知識點!!8類常見惡意軟體以及如何識別它們

IT168GB發表於2018-07-31

近幾年,惡意軟體數量不斷增加,但從種類來說,也是屈指可數,本文從形式上將惡意軟體分為8類,分別為病毒、蠕蟲等;他們的傳播條件大致相同,使用者只要具備良好的安全意識和網路使用習慣,及時更新系統補丁等操作,就可防範大部分惡意軟體,也不用太過擔心。

1.病毒

計算機病毒是大多數媒體和使用者呼叫惡意軟體程式的起因。幸運的是,大多數惡意軟體程式都不是病毒。計算機病毒修改其他合法主機檔案(或指向它們的指標),以便在執行受害者檔案時,也會執行病毒。

如今,純計算機病毒並不常見,佔所有惡意軟體的不到10%。這是一件好事:病毒是唯一一種“感染”其他檔案的惡意軟體。這使得它們特別難以清理,因為必須從合法程式執行惡意軟體。這一直是非常重要的。最好的防病毒程式很難正確地執行它,並且在許多(如果不是大多數)情況下,只能隔離或刪除受感染的檔案。

2.蠕蟲

蠕蟲比計算機病毒存在的時間更長,一直到大型機時代。電子郵件在20世紀90年代後期使它們流行起來,近十年來,電腦保安專業人員被作為訊息附件到來的惡意蠕蟲所包圍。一個人會開啟一封垃圾郵件,整個公司都會在短時間內被感染。

蠕蟲的獨特特徵在於它是自我複製的。以臭名昭著的Iloveyou蠕蟲為例:當它攻擊時,它幾乎擊中了世界上每一個電子郵件使用者,超載的電話系統(帶有欺詐性的文字傳送),關閉了電視網路,。其他幾種蠕蟲,包括SQL Slammer和MS Blaster,確保了蠕蟲在電腦保安歷史中的地位。

使有效蠕蟲如此具有破壞性的原因在於它能夠在沒有終端使用者操作的情況下進行傳播。相比之下,病毒要求終端使用者在嘗試感染其他無辜檔案和使用者之前至少啟動它。蠕蟲利用其他檔案和程式來完成傳播的工作。例如,SQL Slammer蠕蟲使用Microsoft SQL中的一個(修補)漏洞,在大約10分鐘內連線到網際網路的幾乎所有未修補的SQL伺服器上都會出現緩衝區溢位,這個速度記錄至今仍然存在。

3.特洛伊木馬

計算機蠕蟲已被特洛伊木馬惡意軟體程式取代,成為駭客的首選武器。特洛伊木馬偽裝成合法程式,但它們包含惡意指令。它們一直存在,甚至比計算機病毒還要長,但它比任何其他型別的惡意軟體更能掌握當前的計算機。

特洛伊木馬必須由其受害者執行才能完成其工作。特洛伊木馬通常透過電子郵件到達,或在使用者訪問受感染的網站時被推送。最受歡迎的木馬型別是假冒防病毒程式,彈出並聲稱您已被感染,然後指示您執行程式來清理您的PC。

特洛伊木馬很難防範,原因有兩個:它們很容易編寫(網路犯罪分子經常製作和狩獵木馬建築工具包)並透過欺騙終端使用者進行傳播 - 補丁,防火牆和其他傳統防禦無法阻止。惡意軟體編寫者每月將特洛伊木馬數量增加數百萬。反惡意軟體廠商盡力打擊特洛伊木馬,但有太多的木馬不能完全防禦。

4.木馬和蠕蟲組合

如今,大多數惡意軟體都是傳統惡意程式的組合,通常包括部分特洛伊木馬和蠕蟲,偶爾也會包含病毒。通常,惡意軟體程式作為特洛伊木馬對終端使用者顯示,但一旦執行,它就像蠕蟲一樣透過網路攻擊其他受害者。

今天的許多惡意軟體程式都被認為是rootkit或隱形程式。從本質上講,惡意軟體程式試圖修改底層作業系統,以實現最終控制並隱藏反惡意軟體程式。要擺脫這些型別的程式,必須從反覆選件掃描開始從記憶體中刪除控制元件。

殭屍網路本質上是特洛伊木馬/蠕蟲組合,試圖使被攻擊的個人客戶成為更大的惡意網路的一部分。Botmasters有一個或多個“命令和控制”伺服器,殭屍網路客戶端檢查以接收更新的指令。殭屍網路的規模從幾千臺受到攻擊的計算機到擁有數十萬個系統的龐大網路,這些系統由一個殭屍網路主機控制。這些殭屍網路通常出租給其他犯罪分子,然後將其用於他們自己的邪惡目的。

5.勒索軟體

加密資料並將其作為人質等待加密貨幣支付的惡意軟體程式在過去幾年中佔惡意軟體的很大比例,並且百分比仍在增長。勒索軟體經常使公司,醫院,警察局甚至整個城市陷入癱瘓。

大多數勒索軟體程式都是特洛伊木馬程式,這意味著它們必須透過某種社交工程進行傳播。一旦執行,大多數人會在幾分鐘內查詢並加密使用者的檔案,儘管有一些人正在採取“等待觀察”的方法。透過在啟動加密例程之前觀察使用者幾個小時,惡意軟體管理員可以確切地知道受害者可以承受多少贖金,並且還確保刪除或加密其他所謂的安全備份。

勒索軟體可以像其他型別的惡意軟體程式一樣被阻止,但一旦執行,如果沒有經過驗證的良好備份,很難扭轉損壞。根據一些研究,大約四分之一的受害者支付了贖金,其中約30%的人仍然沒有解鎖他們的檔案。無論哪種方式,解鎖加密檔案,如果可能的話,需要特定的工具,解密金鑰和更多的運氣。最好的建議是確保您擁有所有關鍵檔案的良好離線備份。

6.無檔案惡意軟體

無檔案惡意軟體實際上並不是一種不同型別的惡意軟體,而是更多關於它們如何利用和持久化的描述。傳統惡意軟體使用檔案系統傳播並感染新系統。無檔案惡意軟體現在佔所有惡意軟體的50%以上且不斷增長,是不直接使用檔案或檔案系統的惡意軟體。相反,它們僅在記憶體中利用和傳播,或者使用其他“非檔案”OS物件,例如登錄檔項,API或計劃任務。

許多無檔案攻擊首先是利用現有的合法程式,成為新推出的“子流程”,或者使用內建於作業系統中的現有合法工具(如Microsoft的PowerShell)。最終結果是無檔案攻擊更難以檢測和停止。如果您還不熟悉常見的無檔案攻擊技術和程式,那麼如果您想從事電腦保安工作,那麼您可能應該這樣做。

7.廣告軟體

如果您很幸運,您接觸過的唯一惡意軟體程式是廣告軟體,它會嘗試將受感染的終端使用者暴露給不受歡迎的潛在惡意廣告。常見的廣告軟體程式可能會將使用者的瀏覽器搜尋重定向到包含其他產品促銷的外觀相似的網頁。

8.間諜軟體

間諜軟體最常被想要檢查別人的計算機活動的人使用。當然,在有針對性的攻擊中,犯罪分子可以使用間諜軟體記錄受害者的擊鍵並獲取密碼或智慧財產權。

廣告軟體和間諜軟體程式通常是最容易刪除的,通常是因為它們的意圖與其他型別的惡意軟體一樣危害不那麼大。查詢惡意可執行檔案並防止其被執行 - 您已完成。

比實際廣告軟體或間諜軟體更大的擔憂是它用於利用計算機或使用者的機制,無論是社交工程,未修補軟體還是其他十幾種根漏洞原因。這是因為雖然間諜軟體或廣告軟體程式的意圖並不像後門遠端訪問木馬那樣惡意,但它們都使用相同的方法來闖入。廣告軟體/間諜軟體程式的存在應該作為裝置的警告或者使用者有一些需要糾正的弱點,在真正的不良來臨之前。

查詢和刪除惡意軟體

今天,許多惡意軟體程式最初都是木馬或蠕蟲病毒,但隨後的殭屍網路,讓攻擊者真正進入受害者的計算機和網路。許多高階持續性威脅(APT)攻擊都是以這種方式開始的:他們利用特洛伊木馬獲得了數百或數千家公司的入口。絕大多數惡意軟體都是為了竊取資金 - 直接從銀行賬戶中竊取,或透過竊取密碼或身份間接竊取。

如果幸運的話,您可以使用Microsoft的Autoruns,Microsoft的Process Explorer或Silent Runners等程式查詢惡意可執行檔案。如果惡意軟體程式是隱秘的,您必須首先從記憶體中刪除隱藏元件(如果可能),然後繼續解決程式的其餘部分。通常,會將Microsoft Windows啟動到安全模式或透過其他方法,刪除可疑的隱形元件(有時只需重新命名),並執行一個好的防病毒掃描程式幾次,以便在移除隱身部分後清理剩餘部分。

不幸的是,查詢和刪除單個惡意軟體程式元件可能是一個愚蠢的做法。很容易弄錯並遺漏一個元件。此外,您不知道惡意軟體程式是否已經修改了系統,以至於無法再次使其完全值得信賴。

除非您接受過惡意軟體刪除和取證方面的培訓,否則請備份資料(如果需要),格式化驅動器,並在計算機上發現惡意軟體時重新安裝程式和資料。修補它並確保終端使用者知道惡意軟體做了哪些改動。這樣,您的計算機才是值得信賴的。

本文轉載自“安全加”,轉載地址:

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2168828/,如需轉載,請註明出處,否則將追究法律責任。

相關文章