什么是“流氓软件”？

从技术上讲，恶意广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等等都处在合法商业软件和电脑病毒之间的灰色地带。它们既不属于正规商业软件，也不属于真正的病毒；既有一定的实用价值，也会给用户带来种种干扰，大家就称这种软件为流氓软件。

流氓软件包括广告程序、间谍软件、IE插件等，它们严重干扰了正常的网络秩序，使广大网络用户不胜其扰。这些程序共同的特征是未经用户许可强行潜伏到用户电脑中，而且此类程序无卸载程序，无法正常卸载和删除，强行删除后还会自动生成。此外，象广告程序会强迫用户接受阅读广告信息，间谍软件搜集用敏感信息并向外发送，严重侵犯了用户的选择权和知情权。

而且近日多个大型网站的讨论区里关于流氓软件的投诉呈急剧上升之势，大家纷纷痛斥这些软件给计算机带来的危害。有些“流氓软件”甚至会劫持用户的浏览器，使一些网民被引导到了不良网站上，严重影响了互联网的正常秩序。

国家计算机病毒应急中心已表示，他们目前已在检测杀毒软件产品时，加入了检测“间谍软件”“广告程序”这一项。

从法律的层面上来讲，我国刑法第285条、286条对侵入用户计算机、破坏计算机功能的行为进行了明确规定，“流氓软件”的编写和发布将可能触犯国家法律，国家有关部门长期以来对其十分重视，并一直在密切关注事态的发展。

众怒难犯，有关人士也正在呼吁主管部门将此类不良程序列为有害程序，等同于病毒、木马来处理，以便于反病毒厂商早日将这些程序加入杀毒软件病毒库。不过在这之前流氓软件的行径似乎完全没有收敛，而采取了更加先进的技术手段，与操作系统紧密联系起来，就算是在安全模式下也照样启动不误，让人头痛不已。

3721就很流氓，还有淘宝的插件

危到没有，就是很烦人，始终有个不想要的东西在里面。我的到现在也没有完全清除干净。

请慢慢看吧！

1、安装推广由“反复提示”式为主为转向捆绑为主
自从Windows XP SP2推出加强的安全特性后，以前频繁出现的3721安装提示被进行了有效抑制（图1），因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外，又开拓了在某些共享软件和免费软件中捆绑的方式进行安装（图2）。新的捆绑安装方式，虽然有安装选项，但对于习惯了“一路回车法”安装软件的用户，被顺手装入系统的可能性极大！
2、“一拖三”的安装方式，偷偷植入另外模块

如果被安装上上网助手，则实际上同时被植入系统的并非上网助手一个程序，而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序。

卸载上网助手时，额外植入的两套程序不会被卸载；卸载每一套程序时，卸载对话框中都添加保留另外模块的选项，以实现非刻意卸载情况下的自我交叉修复。
3、完善的自我保护机制
从安装、保护、卸载、修复几个环节来看，各个环节环环相扣（图4），任何一环没有正确处理，则就无法实现表面的干净卸载（真正彻底卸载除非手工清理，否则无法实现完全卸载，，后文详述）。

1、黄毒横行触目惊心
安装3721中上网助手后，浏览器浏览器地址栏被无告知地植入20多项URL列表，其内容不外乎：性、娱乐、赚钱等几方面有关。
从其强行植入的地址栏URL列表来看，安装了3721或上网助手的电脑就不折不扣地成了一台“少儿不宜”的电脑电脑！
看看其强行植入的“美女如云——15亿图片心情体验”链接，随意点击几个链接，结果如图6，什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等不堪入目的字眼扑面而来！

插件管理专家别有私心

打开上网助手的插件管理专家，其中仅仅“虚心”地把搜索助手列了出来；但打开浏览器的加载项对话框，3721和上网助手植入的十几个加载项却赫然在目（图12）！别家的插件算插件，自己偷偷植入的众多玩艺一律不算插件，这是什么逻辑？！

把自己的“搜一搜”右键菜单视为系统默认菜单

再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后，报告“没有可清理的菜单！”

但实际上，在浏览器中右击鼠标，“！搜一搜”的3721附加的菜单项已经如同系统默认菜单项那样被保存下来。令人不解的是，“！搜一搜”这种表达方式不知在中国语言学中算是一种什么手法？

自欺欺人的“清理IE工具条”
试试“清理IE工具条”的效果如何。清理后，报告“没有可清理的工具条！”，但IE工具栏上被3721自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损（图14）。难道它自己的这些就不属于系统之外的第三方工具条吗？工具栏按钮清理也是如此。

向系统植入的文件
除了有专门的程序文件夹，3721还在WindowsDownloaded Program Files目录以隐藏的方式保存其文件以便快速修复；在系统驱动程序目录植入驱动程序文件并保证安全模式（即使你不上网！）也能够被加载并且不能被直接删除。
①安装3721后的文件植入情况：
● WindowsDownloaded Program Files目录被植入37个文件1个文件夹；
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
● Program Files目录植入目录名为3721，共含15个文件和1个文件夹。
● WindowsDownloaded Program Files目录被植入30个文件1个文件夹；
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
● Program Files目录植入目录名为3721，共含79个文件和7个文件夹。
● Program Files目录植入目录名为YDT，共含4个文件和1个文件夹。
共计植入114个文件和9个子文件夹。

写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计，系统注册表被写入的内容大致如下（因浏览网页等操作会导致动态修改，因此可能会有一些误差）：
安装3721后，注册表中被写入122个键项、408个键值；
安装上网助手后，注册表中被写入251个键项、656个键值。
遗憾的是，按正确的方法卸载、重启后注册表项目仍然无法全部被清除！

3721声明以标准系统接口实现自动加载，而且将这些标准接口利用得淋漓尽致！
⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块，而且卸载、重启后仍然存在；
⑵通过驱动程序模式加载CnMinPK.sys模块，实现进程隐藏，并且通过系统本身的Msconfig无法检测；
⑶通过其多个模块之间的相互修复和守护实现，实现交叉安装、修复、加载；
⑷通过嵌入浏览器帮助对象，实现功能的自动加载；
⑸通过各模块卸载对话框中的修复选项，诱导用户在卸载某个模块的同时，修复和自动加载另一些模块；
⑹通过捆绑到某些第三方安装程序，在安装过程中实现自动安装和自动加载。

安装上网助手后，任务列表中会存在三个进程，其中以Rundll32.exe显示的两个进程可以实现自动交叉修复，即一个进程是另外一个进程的守护进程。因此，使用Windows任务管理器是无法顺利将它们从内存中关闭的，这点相信多数人深有体会！

1、“完全删除”和“完全卸载”的卸载承诺
无论3721网络实名还是上网助手，在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。
2、完全卸载不完全
网络实名卸载成功并重启后，在资源管理器中无法看到WindowsDownloaded Program Files文件夹中有任何文件（即使你将资源管理器设置为显示所有文件、显示系统文件）。但使用著名的Total Commander文件管理器，却发现有一个zsmod.dll的隐藏文件！如果是卸载上网助手，卸载成功并重启后，上述目录居然隐藏有30个文件1个文件夹！
以zsmod.dll为关键字在注册表编辑器中搜索，可以发现这个文件并非是一个被“遗忘”的死文件，而是有相应的注册表键值！
参考资料：http://www.juntuan.net/hkjc/gjsy/n/2005-06-26/5960.html本回答被提问者采纳

“流氓软件”是介于病毒和正规软件之间的软件。

计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制。
正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。

“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。

"流氓软件"是介于病毒和正规软件之间的软件。如果电脑中有流氓软件，可能会出现以下几种情况:用户使用电脑上网时，会有窗口不断跳出;电脑浏览器被莫名修改增加了许多工作条;当用户打开网页时，网页会变成不相干的奇怪画面，甚至是黄色广告。