■ 河北 刘兴
编者按:如今恶意软件大行其道,给个人和企业带来极大的安全威胁。本文将盘点9 种常见的恶意软件类型及其特点,来帮助用户在今后能够有效规避来自各类恶意软件的威胁。
近年来恶意软件蔓延迅速,给个人和企业造成了巨大损失。因此弄清楚恶意软件的类型非常重要,只有充分了解各种类型的恶意软件及其传播方式,才能更好地遏制和消除它们。
以下盘点9 种常见的恶意软件类型及其特点,可帮助您在今后能够避免受到恶意软件的侵蚀。
大多人将计算机病毒与恶意软件程序相混淆。但请注意,大多数恶意软件程序并不是病毒。计算机病毒是通过修改其他合法主机文件(或指向它们的指针)的方式是来进行入侵,当用户在执行受感染的文件时,病毒也会随之被执行。
如今,纯粹的计算机病毒并不常见,仅占所有恶意软件的不到10%。这或许是一个好现象:病毒是唯一“感染”其他文件的恶意软件,这使得它们特别难以清除,这也是这么多年来病毒依旧猖獗的原因。而当前最好的防病毒软件也很难将其彻底清除,在很多情况下,它们只会隔离或删除受感染的文件。
蠕虫的出现时间甚至比计算机病毒还要早,可以追溯到大型机时代,并随着电子邮件在上世纪90 年代末的流行而生。近10 多年来,蠕虫攻击常以邮件附件形式出现。只要公司里一个人打开一封包含蠕虫的电子邮件,整个公司都会很快受到感染。
蠕虫的独特之处在于它的自我复制能力。以臭名昭著的Iloveyou 蠕虫为例:它几乎袭击了世界上每个电子邮件用户,并造成电话系统过载(带有欺诈性发送的文本)甚至电视网络瘫痪。其他几种蠕虫包括SQL Slammer 和MS Blaster,在计算机安全发展历程中的具有重要地位。
蠕虫如此巨大的破坏力是由于它的扩散能力,而无需用户触发。相比之下,病毒则要求用户至少将其启动,然后才能尝试感染其他文件和用户。而蠕虫会利用其他文件和程序来进行传播。
例如,SQL Slammer蠕虫可以使那些未修补Microsoft SQL 漏洞(已修补)的连接Internet 的SQL服务器在不到10 min 内受到感染,并引起缓冲区溢出。这一速度记录至今仍难撼动。
如今计算机蠕虫已被Trojan 恶意软件所取代,成为黑客的首选攻击武器。木马往往会伪装成合法程序,但其中包含了恶意指令。木马已经存在了很长时间,甚至比计算机病毒还更长,它对当前计算机的控制比任何其他类型的恶意软件都强。
Trojan 木马必须由受害者执行操作才能触发。木马通常通过电子邮件传播,或者在用户访问受感染的网站时被感染到用户设备或系统中。目前最为流行的Trojan类型是伪造的防病毒程序,该程序会弹出类似“您已被感染”的信息,然后引诱用户运行该程序来清洁PC。用户一旦点击执行,就会触发木马程序。
特别是远程访问木马(RAT)在网络犯罪分子中流行广泛。RAT 可以使攻击者在网络中横向移动并感染整个网络,从而对受害者的计算机进行远程控制。此类木马意在逃避检测。网络攻击者甚至不需要自己编写,通过网络黑市即可得到众多现成的RAT。
特洛伊木马很难防御的原因在于:它们很容易编写(网络犯罪分子通常生产并兜售特洛伊木马构建工具包),并采取欺骗手法来感染用户。补丁、防火墙和其他传统防御手段难以防范。恶意软件编写者每月能够制作出数以百万计的特洛伊木马,因签名太多,使得反恶意软件供应商往往无法跟上网络攻击者的步伐。
如今的大多数恶意软件都是来自传统恶意程序的混合形态,通常包括特洛伊木马和蠕虫的一部分,偶尔还包括病毒。某个恶意软件程序看起来似乎是特洛伊木马,但一旦被执行,它就会像蠕虫一样通过网络传播并攻击其他受害者。
许多恶意软件都属于rootkit 或隐形程序。恶意软件通常会尝试修改目标用户的底层操作系统,以对其进行最终控制,并规避反恶意软件的检测。要清除这些类型的恶意软件,必须从反恶意软件扫描开始,从内存中删除控制组件。
僵尸程序实质上是特洛伊木马或蠕虫病毒的组合,能够控制单个用户客户端并使其成为更大的恶意网络的一部分。僵尸主控机具有一台或多台“命令和控制”服务器,被感染的主机将通过一个控制信道接收主控机的指令。僵尸网络的大小不一,从数千台受感染的计算机到大型网络,只有一个僵尸网络主控者才能控制数十万个系统。这些僵尸网络通常被出租给其他网络犯罪分子,然后将其用于各种网络攻击活动。
在过去的几年中,通过对用户数据进行加密实施勒索的恶意软件(勒索软件)已在整个恶意软件中占了很大的比例,并且这一比例仍在增长。勒索软件可使政府部门、医院、企业乃至整个城市陷入瘫痪。
大多数勒索软件是特洛伊木马程序,这意味着它们必须通过某种社会工程学手段进行传播。而它们一旦被执行,就会在几分钟之内查找并加密用户的文件,如果没有解密秘钥,这些被加密的文件则极难被解密。通过对目标用户的深入了解,网络犯罪分子可以准确勒索受害者的赎金金额,特别是那些没有及时备份关键数据的受害者,面对这些手段势必将无所应对。
就像其他所有类型的恶意软件一样,勒索软件也是可以防范的。但是正如前所述,用户没有及时备份数据,那么损失就将不可避免了。一些研究表明,大约1/4 的受害者为此支付了赎金,其中大约30%的文件却仍旧未被解密。解锁加密的文件需要特定的工具或解密密钥,除此之外就只剩下运气了。因此,针对勒索软件攻击,最好的建议就是确保您对所有关键数据都拥有有效的备份。
无文件恶意软件其实并不是真正的恶意软件类别,也不是字面意义上的没有文件,而是更多形容它们的高度隐蔽性。传统恶意软件使用文件系统传播并感染目标系统。而无文件恶意软件则是不使用本地持久化技术或者说完全驻留在内存之中的恶意代码。目前无文件恶意软件占所有恶意软件的50%以上,并且还在不断增长。无文件恶意软件通常在内存中或使用其他“非文件”OS对象(例如,注册表项、API 或计划任务)来进行传播。
许多无文件攻击的开始阶段都是利用现有的合法程序,成为新启动的“子进程”(sub-process),或者使用操作系统中内置的现有合法工具(例如Microsoft 的PowerShell)。这就导致它们极难被检测和阻止。
严格意义上讲,广告软件也属于恶意软件的一种,同时可能也是我们每一个人最可能接触到的。除了不胜其烦的广告之外,由于广告软件会试图将用户暴露给有害的、潜在的恶意广告,所以它也具有一定危害性。而且常见的广告软件可能会将用户的浏览器搜索重定向到包含其他产品促销的相似网页。
请注意,这里不要与广告软件相混淆,恶意广告是指使用合法的广告或广告网络将恶意软件秘密传播给毫无戒心的用户。例如,网络犯罪分子可能会通过付费将广告放置在合法网站上,当用户点击广告时,广告中的代码会将用户重定向到某些恶意网站,或者在用户计算机上安装恶意软件。在某些情况下,广告中嵌入的恶意软件可能会自动执行,而无需用户进行点击,这种技术也被称为路过式下载(driveby download)(在未经用户同意或不知情的情况下自动下载到计算机上)。
除此之外,网络犯罪分子还会破坏那些合法广告,这就使得许多合法网站经常成为恶意广告的媒介,这也导致许多浏览合法网站的用户可能处于危险之中。
当然,使用恶意广告的网络犯罪分子的目标是赚钱。恶意广告可以传播任何类型的赚钱恶意软件,包括勒索软件、加密采矿脚本或银行木马。
间谍软件通常是那些非法获取秘密信息的间谍,或由试图检查他人隐私的人所使用。当然,在有针对性的攻击中,网络犯罪分子可以使用间谍软件记录受害者的某些诸如击键的行为来盗取密码。
广告软件和间谍软件通常最容易删除,只需查找到恶意可执行文件并阻止其执行,然后删除即可。
但与广告软件相比,更大的担忧来自于间谍软件通常被用于利用某些方式,例如社会工程、未修补的软件或其他易被利用的方式来实施攻击。尽管间谍软件或广告软件的意图不一定是恶意的,例如后门远程访问特洛伊木马,但它们都使用相同的方法实施入侵。当用户计算机系统中出现了广告软件或间谍软件,就应当及时删除,并全面检查系统,以免引入其他安全威胁。
找到并删除单个恶意软件程序组件可能并不那么容易,因为这很容易造成其他错误。另外,我们也并不清楚恶意软件已经对系统造成了怎样的破坏,我们是否还能充分信任我们自己的系统安全性。
除非您在恶意软件的清除和取证方面受过良好的培训,否则当在计算机上发现恶意软件时,请先备份好数据(如果需要),然后格式化驱动器并重新安装程序和数据。同时做好修补程序,以确保万一出现错误还能及时进行恢复。这样才能够真正重新获得计算机系统的安全性。
猜你喜欢蠕虫勒索木马小木马娃娃乐园·综合智能(2021年11期)2021-12-06骑木马科普童话·学霸日记(2021年6期)2021-09-05情绪勒索:警惕以爱之名的伤害看世界(2021年11期)2021-06-08遭遇勒索红蜻蜓·低年级(2020年12期)2020-06-20小木马读友·少年文学(清雅版)(2019年6期)2019-10-15勒索西藏文学(2019年4期)2019-09-17——美创科技“诺亚”防勒索系统向勒索病毒“宣战”">获奖产品介绍:对勒索病毒说不——美创科技“诺亚”防勒索系统向勒索病毒“宣战”网络安全和信息化(2019年8期)2019-08-28酒的危害性小学生时代·综合版(2016年4期)2016-11-19发动机机体用蠕虫状石墨铸铁的生产工艺汽车与新动力(2012年1期)2012-03-25蜗牛和蠕虫比赛数学大世界·小学低年级辅导版(2010年11期)2010-11-08