スパイウェアの判断基準なんてある意味で千差万別であり。
「広義のスパイウェア」として、個人情報の流出やトラッキング行為とは無関係なものまでをスパイウェアとして、一部のメーカーやセキュリティ対策企業や個人・団体が堂々と述べる今日この頃。

今、ちょっとした壁にぶつかっておりまして。
どなたか忌憚なき見解をコメントで投稿していただきましたらば、参考とさせていただきます。

WinAntiVirusPro 2007は、インストール操作のためにインストーラーファイルをダブルクリックした時点で、使用許諾説明書の提示も何も無い段階で、勝手に外部にデータを送信する。
一見すると外部サイトよりのCookieをSetするためのトラフィックなんですが。
送信されるIDは同じVirtualなマシンであっても、アダプターアドレス（MACアドレス）を変更しないと同一・そして変更すると変わるのだ。

いささか面倒な問題として。
WinAntiVirusPro 2007によりハードウェアの情報を元に作成され無断で送信されるIDは、10進法で10桁。
MACアドレスは16進法で12桁ですよね。。。。。。。。。情報量が違います。
MACアドレスなどより取得した情報を元にハッシュ状のより短い文字列（実際は数字だけど）を作成し、無断送信したとして。
かならずコリジョンは生じますよね、これでは。

笑われそうなんですが、実は3ヶ月間ほどこの問題について大変悩んでおります。

自分の解釈としてはですが。
WinAntiVirusPro 2007が送信する10進法で10桁のIDは、IP アドレスの（個別のIP addressではなく）アドレスブロックと結びつければ、十分にスパイウェアとして機能するような気がするんですよ。
そしてInternet Explorerの介在無く、WinAntiVirusPro 2007のインストーラーファイルのみでCookieをSetする際には、色々と情報も抜かれてしまいそうですよね。

同じグローバルIPアドレスを利用し複数台のパソコンがネットワークに接続されている環境下では、もしくはダイヤルアップ接続や半固定・固定と呼ばれるある限定されたアドレスブロックを割り当てられるエンドユーザーが居たとして。
Cookieは「特定のマシンである」と決め付けるにはいささか不十分な要素があったとして。
ハードウェアの何らかの数値（多分MACアドレス）より取得した数値を、CookieのSET時に併用してしまえば、個人の名前や住所はともかくある特定のノードをピンポイントで管理できる情報を作成できるのではと。

わかり易く書くと、こんな感じ。
1）無断で外部へノードをある程度限定できるIDを送信し、同時にCookieをセット
（IDはハードウェア上の情報を元にするので、桁数や情報量が少なかったとしても、アドレスブロック毎に管理すればコリジョンが生じる可能性は低いと推察される）
2）Cookieは、WinFixer系の偽ソフトウェア（WinAntiVirusPro 2007を含むのだが）との関連がある広告代理店と、そのソフトウェア配布者のドメインに送信される。
3）大手広告代理店が絡むCookieは、トラッキングクッキーとして機能しているとする。

自分はこれは、利用者の許諾を得ない段階でID（これが不十分なものだったとしても）を無断送信する点で、スパイウェアとして扱っても問題は無いと思う。
IDはIP アドレスと組み合わせ管理すれば、十分に特定個人のマシンを特定し得るのだから。
つまり、IDそのものは全てのネット利用者間でのコリジョンと言うか重複の可能性があったとしても、十分に個人を（より正確に書けば特定マシンを）特定し得るんじゃないだろうかと。