过去,攻击者可以简单地在目标上安装恶意软件攻击活动将由多个攻击者控制。为了逃避检测,攻击者会使用多种编程或脚本语言生成恶意代码,让自己冲破安全防线隐藏起来。将不同的恶意软件根据其差异性进行分类,可以提供更好的网络安全保护。因此,国外杂志《CSO》从两个方面对恶意软件进行了分类:恶意软件对受感染设备的影响程度和攻击者想要达到的不同最终目标。以下是具体分类结果:按受感染设备对影响分类宏病毒:此类病毒可能是世界上最常见的恶意软件类型。大约92%的外部攻击都是从网络钓鱼开始的,而宏是确保网络钓鱼“成功”的核心。宏是程序在没有用户交互的情况下自动执行的击键或鼠标操作——通常称为MicrosoftWord/Excel宏,可以自动执行工作表或文档上的重复任务。简单的Office文档宏是主要的初始感染向量,而工作相关的钓鱼宏更具欺骗性,而且宏的编程语言(如微软的VisualBasic)简单,攻击者很容易编写出宏病毒。多态病毒:多态病毒是最复杂的病毒类型之一。顾名思义,多态病毒会变形,每次进入新的应用程序或设备以运行其代码时都会改变它们的执行方式。尽管所有类型的病毒都应该得到同等的保护,但这种类型的病毒最值得关注,因为它非常复杂并且极难调查和检测。常驻病毒:这是一种破坏性很强的病毒。驻留病毒的病毒代码并不存储在调用它的可执行文件中,而是通常存储在可通过网络访问的站点或存储容器中。调用驻留代码的可执行文件通常被编写为非恶意的,旨在避免被防病毒软件检测到。常驻病毒的对立面是非常驻病毒,它包含在调用它的可执行文件中,最常见的传播方式是滥用公司服务。引导扇区病毒:这些病毒旨在让威胁行为者保持不受限制、深入和持久。这类病毒的最终感染目标是计算机的主引导记录(MBR)。被感染后,即使重新镜像计算机,病毒也会持续存在,并在系统启动后立即在宿主内存中再次执行。这些病毒几乎总是依靠零日攻击来获得对MBR级别的访问权限,或者通过受感染的USB或硬盘驱动器等物理介质传播。混合病毒:虽然一些恶意软件开发人员可能专注于一种类型的病毒,但其他人则采用“以上所有”方法,同时攻击所有地方。此类病毒通常难以遏制和对付,它们会感染系统的多个部分,包括内存、文件、可执行代码,甚至引导扇区。这些病毒非常常见,可以通过多种方式大规模传播。攻击者目的的滴管病毒:这种类型的恶意软件旨在将其他恶意软件投放到受感染的系统上。被攻击的目标可能会感染来自恶意链接、附件和下载等来源的滴管。通常,恶意软件在释放后会在系统中消失。宏恶意软件属于投放程序类别。信标/有效载荷病毒:信标或有效载荷通常是通过滴管植入的恶意软件。他们将向攻击者发回信号,表明新植入的访问权限。这样,攻击者就可以通过信标所建立的路径获得对受害系统的访问权限,进而访问该系统、系统中包含的数据或网络上的其他系统。加壳病毒:这种类型的恶意软件包含一系列可以使用加密作为逃避检测手段的组件。一些狡猾的恶意软件活动使用一系列像嵌套娃娃一样嵌套的加壳程序。每个打包器都包含另一个打包的组件,直到可以执行最终的有效负载。CommanderViruses:犯罪团队往往有一个领导者,恶意攻击也不例外,这就是此类恶意软件在多个恶意组件实现最终目标的过程中所起的作用。这类恶意软件大多被命名为C&C、CNC或C2,它们运行在被攻击系统的外部环境中,使攻击者能够与目标系统上植入的恶意软件和其他执行活动的组件保持联系。以此类推,更像是现实中犯罪团伙的总部和老巢。参考链接:https://www.csoonline.com/article/3663015/9-types-of-computer-virus-and-how-they-do-their-dirty-work.html。
