随着互联网和黑客产业链的发展，传统的黑客入侵方式已不再是攻击事件的主流，制作恶意软件并传播成为当下攻击的主要方式。而随着Web的发展，通过网页悄悄下载恶意软件到用户的机器上成为恶意软件传播的主流形式，使用Firefox的用户在浏览网页时就会经常发现图1所示的警告，告诉用户访问的网站可能存在的风险，以保护用户免遭恶意软件的侵害。FireFox本身并不能识别有恶意软件的网站，真正保护用户的是本期要介绍的站在和恶意软件进行斗争最前沿的组织——Stopbadware.org。

图1 FireFox恶意软件提示

　　非盈利的组织形式

　　Stopbadware.org是一个致力于消除恶意软件(badware)的非盈利组织，由哈佛大学法学院伯克曼社会与网络中心(Harvard Law School’s Berkman Center for Internet & Society)与牛津大学互联网学院(Oxford Internet Institute)在2006年的1月联合成立。

　　除了发起单位，Stopbadware获得了一系列业界拥有先进安全技术的企业的赞助。经费资助之外，这些参与企业(Partner)还根据自己的所长，为Stopbadware提供了不同的服务。例如Google作为支撑赞助商(Sustaining Sponsor)，利用自己的搜索技术为Stopbadware提供了传播恶意软件的网站信息；Paypal则为Stopbadware.org提供发展方向的咨询(Advising Sponsor)；Consumer Reports WebWatch本身作为非盈利组织，不能向Stopbadware提供资金帮助(Unpaid Sponsor)，却为Stopbadware提供了用户论坛(BadwareBuster.org)的支持；也还有一些企业只作为赞助商(Contributing Sponsors)，如AOL、联想(Lenovo)、Mozilla、趋势科技和VeriSign公司。

　　Stopbadware的负责人是Jonathan Zittrain和John Palfrey。可能是因为出自组织单位哈佛法学院，所以这两位负责人都是法学教授(Professor of Law)，不过他们的研究方向则是跨越计算机和法律两个学科，研究在计算机领域的法律问题。在他们的领导下，有一个6人的小型团队负责Stopbadware日常的各类工作。

　　除此之外，Stopbadware还有一个顾问委员会(advisory board)和一支顶尖的技术工作组(technical working group)。顾问委员会负责为Stopbadaware的发展方向和研究方针提供指导性意见，委员会的成员来自各个赞助商，其中包括了世界顶尖的互联网和安全专家，如互联网之父Vinton G. Cerf和ICANN前任主席Esther Dyson。

　　技术工作组由来自不同公司的一群安全专家以个人身份加入组成，帮助Stopbadware制定和改进研究计划和方法。

　　三大工作内容

　　Stopbadware的工作主要包括三方面：发布恶意软件的警告、建立传播恶意软件站点的数据库和发布针对恶意软件的研究报告。

　　发布警告

　　Stopbadware根据行为将恶意软件定义为七类:未告知用户即安装的软件(例如通过木马安装、捆绑在其他软件中)、安装时未表明软件身份(例如广告软件不告知用户自己是广告软件)、对计算机有负面影响的软件(例如有Dos攻击的软件，消耗主机的CPU和网络资源)、修改其他软件的软件(例如为IE增加广告条、修改缺省URL)、将用户数据发给未经授权的第三方的软件(例如盗号软件)、干涉用户正常操作的软件(例如各类自动弹出窗口的软件)以及卸载时无法正常删除的软件(例如著名的3721上网助手)。
　　Stopbadware对恶意软件的定义不仅仅针对那些攻击软件，为了规范软件的行为，保护用户的合法权益，对所有有不轨行为的软件，Stopbadware等同视之，甚至一些知名软件也会上Stopbadware的恶意软件榜，比较著名的案例就是realplayer。

　　2008年初，Stopbadware根据对realplayer软件行为的检查发布如下公告：“我们认为RealPlayer 10.5是恶意软件，因为其没有明确告知用户将被安装广告软件。我们还认为RealPlayer 11是恶意软件，因为未明确告知将安装Rhapsody Player Engine，并且在卸载RealPlayer后也不能被移除。”迫于Stopbadware的影响力，Realplay的发言人被迫做出声明：RealPlayer 10.5已经不是继续维护的版本，而RealPlayer 11将在未来的版本中解决上述问题。Stopbadware建立了一个恶意软件信息库，对于每种恶意软件Stopbadware会给出该软件恶意行为的描述，并对已经安装该软件的用户给出解决方案。

　　建立和维护大型数据库

　　Stopbadware的另一项主要功能是公布有传播恶意软件行为的网站。当前主要的恶意软件传播是通过用户浏览网页的方式进行，在以前，恶意软件一般只存在于黑客假设的恶意网站上，通过诱骗用户下载或者攻击浏览器漏洞自动下载的方式安装到用户主机上，而当前大量的合法网站会因为被黑客攻击加载了攻击代码成为传播恶意软件的帮凶。

　　Stopbadware维护了一个大型的网站数据库，称为“恶意软件站点交易大厅(Badware Website Clearinghouse)”，记录那些当前有传播恶意软件行为的网站地址。这些站点数据不是Stopbadware自己获得的，而是来源于Google的安全浏览项目(Safe Browsing initiative)。数据库中最高曾有20多万条网站记录，即使当前也有15万条以上，由此可见恶意软件传播趋势的凶猛。

表1  2008年5月TOP 10 为恶意软件主机提供服务的AS Block

　　但是这些站点中大多数属于被攻击后挂载了恶意代码的网站，也属于受害者，为了帮助这些站点发现自己的问题，Stopbadware提供一个用户社区论坛badwarebusters.org。互联网用户都可以在badwarebusters.org就自己遇到的恶意软件问题提问，寻求恶意软件的破坏者(badware buster)们来帮助。同时Badwarebuster.org也是那些因被攻击而列入传播恶意软件的网站向Stopbadware进行申诉的渠道，网站的站长可以就为什么自己的网站被列入Stopbadware的数据库在Badwarebuster.org上提问，也可以在修复网站后在社区中向Stopbadware提出将自己的地址移出数据库的要求。

　　发布研究报告

　　除了公布恶意软件以及传播恶意软件网站的数据，Stopbadware同时对恶意软件的发展和传播进行研究，不定期公布白皮书和技术文档，帮助技术人员和非技术人员了解恶意软件以及与之对抗的方式。Stopbadware为互联网用户、网站的维护者以及软件的开发者都提供了指导性意见(Guildline)，该如何避免遭受恶意软件的攻击，或者避免开发出有恶意软件功能的产品。每半年Stopbadware还会对传播恶意软件的站点进行一个总结性报告。

　　中国的ISP缺乏响应

　　不幸的是，在最近2007年和2008年上半年的报告中，中国都排在传播恶意软件的站点的首位(如表1)。根据Stopbadware的报告，这和中国的ISP们缺乏响应有关，美国的ISP们虽然也会有大量的站点传播恶意软件，但在Stopbadware联系它们以后会迅速做出响应，清理或通知所有者修复这些站点，而中国的ISP对Stopbadware的通知经常没有回应，往往是很多站点的所有者自己发现上了Stopbadware的黑名单后才采取清理工作。

　　(作者单位为东南大学计算机科学与工程学院)

　　来源：《中国教育网络》2009年1-2月刊