安全术语通常以相当随意的方式解释。但是,了解恶意软件的分类很重要,因为了解各种类型的恶意软件是如何传播的,对于遏制和消除它们非常重要。当您与极客们闲逛时,这本整洁的恶意软件寓言集将帮助您正确掌握恶意软件术语。1.病毒计算机病毒是大多数媒体和普通最终用户对每一个登上新闻的恶意软件程序的称呼。幸运的是,大多数恶意程序都不是病毒。计算机病毒会修改原本合法的主机文件(或指向它们的指针),并且当受害者的文件被执行时,病毒也会被执行。纯粹的计算机病毒如今并不常见,在所有恶意软件中所占比例不到10%。这是一件好事:病毒是唯一可以“感染”其他文件的恶意软件。这使得它们特别难以删除,因为恶意软件必须从合法程序中执行。这从来都不容易,即使在今天也几乎是不可能的。最好的防病毒程序很难做到这一点,并且在许多(如果不是大多数)情况下只能隔离或删除受感染的文件。2.蠕虫蠕虫比计算机病毒存在的时间还要长,可以追溯到大型机时代。电子邮件在20世纪90年代后期开始流行,近十年来,计算机安全专业人员一直被附加在电子邮件中的恶意蠕虫所困扰。只要一个人打开一封感染了蠕虫病毒的邮件,整个公司都可能瞬间被感染。计算机蠕虫的独特之处在于它可以自我复制。以臭名昭著的Iloveyou蠕虫为例:当它爆发时,它攻击了世界上几乎所有的电子邮件用户,使电话系统超载(带有欺诈性短信),使电视网络瘫痪,甚至毁掉了我下午的报纸。耽误了半天。其他几种蠕虫,包括SQLSlammer和MSBlaster,也在计算机安全历史中占有一席之地。使有效的蠕虫具有如此破坏性的原因在于它能够在最终用户不采取任何行动的情况下传播。相比之下,病毒要求最终用户至少在尝试感染其他无辜文件和用户之前启动病毒。蠕虫使用其他文件和程序来完成这些活动。例如,SQLSlammer蠕虫利用MicrosoftSQL中的一个(已修补的)漏洞,能够在大约10分钟内在几乎所有未修补的连接到Internet的SQL服务器中造成缓冲区溢出,迄今为止记录的速率保持不变。3.特洛伊木马计算机蠕虫已被特洛伊木马恶意程序取代,成为黑客的首选武器。特洛伊木马伪装成合法程序但包含恶意指令。它们存在了很长时间,甚至比计算机病毒还长,但它们对当今计算机的控制比任何其他类型的恶意软件都多。特洛伊木马程序必须由其受害者执行才能工作。特洛伊木马通常通过电子邮件到达或在用户访问受感染的网站时被推送。最流行的木马类型是一种伪造的防病毒程序,它会弹出并声称您已被感染,然后指示您运行程序来清理您的计算机。用户上钩,木马生根发芽。特别是,远程访问木马(RAT)在网络犯罪分子中非常流行。RAT允许攻击者远程控制受害者的计算机,通常是为了横向移动并感染整个网络。这种类型的特洛伊木马旨在避免检测。威胁脚本甚至不需要自己编写。地下市场上有数百种现成的RAT。特洛伊木马之所以难以防御,有两个原因:它们易于编写(网络犯罪分子经常制作和销售特洛伊木马构建工具包),并且它们通过欺骗最终用户来传播——这是补丁、防火墙和其他传统防御措施无法阻止的。恶意软件编写者每个月都会释放数百万个特洛伊木马。反恶意软件供应商竭尽全力对抗特洛伊木马,但签名太多无法跟上。4.混合体和外来物种今天的大多数恶意软件都是传统恶意程序的组合,通常包括特洛伊木马、蠕虫的一部分,偶尔还有病毒。通常,恶意软件程序在最终用户看来是特洛伊木马,但一旦执行,它就会像蠕虫一样通过网络攻击其他受害者。今天的许多恶意软件程序都被认为是Rootkit或隐形程序。从本质上讲,恶意软件程序总是试图修改底层操作系统,以获得最终控制权并逃避反恶意软件程序。要删除这些类型的程序,您必须从内存中删除控制组件并开始反恶意软件扫描。僵尸程序本质上是特洛伊木马/蠕虫的组合,它们试图使单个受感染的客户端成为更大的恶意网络的一部分。botmaster托管一个或多个“命令和控制”服务器,botclients通过这些服务器接收更新的指令。僵尸网络的规模可以从几千台受感染的计算机到由单个僵尸网络主机控制的数十万个系统组成的庞大网络。这些僵尸网络经常出租给其他犯罪分子,然后他们将它们用于自己的邪恶目的。5.勒索软件加密数据并将其扣为人质以等待加密货币奖励的恶意程序在过去几年中占恶意软件的很大一部分,而且比例还在不断增加。勒索软件通常可以摧毁公司、医院、警察部门,甚至整个城市。大多数勒索软件程序都是特洛伊木马,这意味着它们必须通过某种形式的社会工程来传播。一旦执行,大多数会在几分钟内找到并加密用户的文件,尽管有些现在也采取“观望”的方式。通过在启动加密程序之前观察用户几个小时,恶意软件管理员可以准确计算出受害者可以支付多少赎金,并确保删除或加密本应安全的备份。勒索软件可以像其他类型的恶意软件程序一样被阻止,但一旦执行,如果没有良好的、经过验证的备份,就很难挽回损失。根据一些研究,大约四分之一的受害者支付了赎金,其中约30%的人仍然无法解锁他们的文件。无论哪种方式,解锁加密文件都需要特殊工具、解密密钥和更多运气(如果可能的话)。最好的建议是确保对所有重要文件进行良好的离线备份。6.无文件恶意软件无文件恶意软件实际上并不是一类不同的恶意软件,而是更多地描述了它们是如何被利用和追捕的。传统恶意软件需要通过文件系统传播并感染新系统。无文件恶意软件是不直接使用文件或文件系统的恶意软件,目前占所有恶意软件的50%以上,并且还在不断增长。它们仅在内存中使用或使用其他“非文件”操作系统对象(例如注册表项、API或计划任务)。许多无文件攻击都是通过利用现有的合法程序成为新启动的“子进程”或使用操作系统内置的现有合法工具(例如Microsoft的PowerShell)开始的。最终结果是无文件攻击更难检测和预防。如果您还不熟悉常见的无文件攻击技术和程序,那么如果您想在计算机安全领域工作,您应该熟悉一下。7.广告软件如果幸运的话,您唯一会遇到的恶意软件程序就是广告软件,它试图让受感染的最终用户接触到不需要的、潜在的恶意广告。常见的广告软件程序可能会将用户的浏览器搜索重定向到包含其他产品促销的类似网页。8.恶意广告不要与广告软件混淆,恶意广告是使用合法广告或广告网络秘密地将恶意软件传送到毫无戒心的用户计算机。例如,网络罪犯可能会付费在合法网站上投放广告。当用户点击广告时,广告中的代码会将他们重定向到恶意网站或在他们的计算机上安装恶意软件。在某些情况下,嵌入在广告中的恶意软件可能会在用户没有任何操作的情况下自动执行,这种技术被称为“路过式下载”。众所周知,网络罪犯还会扰乱向许多网站发送广告的合法广告网络。纽约时报、Spotify和伦敦证券交易所等热门网站通常是恶意广告的载体,将其用户置于风险之中。当然,网络罪犯使用恶意广告的目的是为了赚钱。恶意广告可以传播任何类型的赚钱恶意软件,包括勒索软件、加密挖矿脚本或银行木马。9.间谍软件间谍软件最常被那些想要检查亲人计算机活动的人使用。当然,在有针对性的攻击中,犯罪分子可以使用间谍软件来记录受害者的击键并获取密码或知识产权。广告软件和间谍软件程序通常最容易删除,通常是因为它们的意图不像其他类型的恶意软件那样邪恶。找到恶意可执行文件并阻止其执行-就大功告成了。比实际的广告软件或间谍软件更令人担忧的是它用来利用计算机或用户的机制,无论是社会工程、未打补丁的软件,还是其他许多漏洞利用的根本原因。这是因为虽然间谍软件或广告软件程序不像后门远程访问特洛伊木马那样恶意,但它们都使用相同的入侵方法。广告软件/间谍软件程序的存在应被视为一种警告,表明设备或用户存在某种弱点,需要在真正的恶意攻击之前予以纠正。查找和删除恶意软件不幸的是,查找和删除单个恶意程序组件可能是徒劳的。您很容易弄错并错过一个组件。此外,您不知道恶意软件程序是否修改了系统,这使得您无法再次完全信任它。除非您在恶意软件清除和取证方面受过良好培训,否则请备份您的数据(如有必要)、格式化驱动器并在您的计算机上发现恶意软件时重新安装程序和数据。修复它并确保最终用户知道他们做错了什么。这样,您就可以再次拥有一个值得信赖的计算机平台,在没有任何挥之不去的风险或问题的情况下继续战斗。
