译文 | 盘点9种类型恶意软件以及识别方法

安在2019-09-10 13:57:55





如今,互联网四通八达,恶意软件也是漫天飞舞。很多人以为,恶意软件距离我们很远,事实上,恶意软件无时不刻不在我们身边,它们几乎无孔不入、无恶不作,将我们的上网设备搞得糟糕不堪,也让我们的生活与工作变得凌乱头痛。


很多时候,我们并不知道我们中了恶意软件,因为很多恶意软件是很隐秘运行着的。它们在偷偷地偷窃着我们的数据和隐私,或者记录着我们生活的点点滴滴,为了某些营销或商业推广而提供数据。


因为,我们必须知道,当下恶意软件都有哪些类别?我们作为普通人,该当如何辨别这些恶意软件?如果有比较浅显的方法,能够协助我们识别出恶意软件,或许我们便能减少很多网络威胁。


在此,我们通过整理发现,详细介绍九种恶意软件,并列出如何查找和删除它们的一些基本方法。




现实中,人们玩游戏喜欢使用外挂,以便在游戏世界中飞天遁地、无所不能。实际上,很多病毒木马就喜欢隐藏在这些外挂之中。


因此,如何识别哪些外挂软件隐藏恶意软件,并且学会去删除它们,这是一项非常重要的技能。


虽然我们不能成为专业的安全人员,但是我们必须具备一些专业的安全技能。保护自身上网设备的安全,以及个人隐私数据的万无一失,都是 很有必要的。


1.病毒


计算机病毒是一种恶意软件,可以通过正规的应用程序代码来传播和复制自身。


病毒与其他类型的恶意软件一样,攻击者会部署病毒来破坏或控制计算机。计算机病毒像艾滋病毒或流感这样的生物病毒一样本身无法繁殖,它需要劫持一个细胞为它工作,对受感染的生物造成严重破坏。


同样,计算机病毒本身并不是一个独立的程序,而是代码片段,可以将其插入到其他应用程序中。当运行该应用程序时,它会执行病毒代码,导致从系统异常到崩溃不等的后果。


在日常会话和大众媒体中,人们经常会把病毒和恶意软件互换使用。但严格来说,病毒是一种特定类型的恶意软件,符合上述定义;


另外两种主要类型是特洛伊木马,它们伪装成无害的应用程序以欺骗用户执行它们;以及蠕虫,它可以独立于任何其他应用程序进行复制和传播。病毒的显着特征是它需要感染其他程序才能运行。


如今,纯计算机病毒并不常见,占所有恶意软件不到10%。这是一种好现象,病毒是唯一可以“感染”其他文件的恶意软件。所以它们特别难以识别清楚。目前最好的防病毒程序,也只能检查出一部分少数的病毒,并且大多只能隔离或删除受感染的文件。


2.变种组合


如今,大多恶意软件都是传统恶意程序的组合,通常包括部分特洛伊木马和蠕虫,偶尔也会包含病毒。通常,恶意软件程序对用户显示为特洛伊木马程序,但一旦执行,它就像蠕虫一样通过网络攻击其他用户,这是一种非常糟糕的情况。


如今,许多恶意软件程序都被认为是rootkit或隐形程序。从实质上讲,恶意软件程序试图修改底层操作系统,以便最终控制并隐藏反恶意软件程序。要摆脱这种类型的恶意程序,必须从反恶意软件扫描开始,从内存中删除控制组件。


Bots本质上是特洛伊木马和蠕虫组合,它试图使被攻击的个人客户成为更大的恶意网络的一部分。Botmasters有一个或多个“命令和控制”服务器,它通过客户端检查来接收更新的指令。


僵尸网络的规模从几千台受感染的计算机到庞大的网络,在一个僵尸网络主机的控制下拥有数十万个系统。这些僵尸网络通常出租给其他犯罪分子,然后将其用于他们自己的恶意目的。如此行为,不扼则滔天。


3.间谍软件


间谍软件最常用于那些想要检查熟人的计算机活动的人。当然,在有针对性的攻击中,犯罪分子可以使用间谍软件获取密码或知识产权。这一点就比较让人难以接受。


广告软件和间谍软件程序通常是最容易删除的,是因为它们的意图与其他类型的恶意软件不同。找到恶意的可执行文件并阻止它被执行 ,您就成功了。


比广告软件或间谍软件更需要人们担忧的,是它用于利用计算机或用户的机制,无论是社交工程、未修补软件还是其他十几种漏洞开发。


这是因为虽然间谍软件或广告软件程序的意图,并不像后门远程访问木马那样的恶意,但它们都使用相同的方法来侵入用户系统。我们应该在发现恶意软件之前,将广告软件和间谍软件程序的存在作为一个警告。不得放松对它们的警惕之心。


4.蠕虫


蠕虫比病毒存在时间更加长久,几乎可以追溯到主机时代。


在20世纪90年代后期,蠕虫通过电子邮件流行起来。最近十年来,蠕虫通过邮件附件来感染计算机。当你打开一封含有蠕虫附件的邮件,整个公司都会在短时间内被感染。是一种让公司非常头痛的存在。


蠕虫的独特特点在于它可以自我复制。以臭名昭着的I love you蠕虫为例:当它传播时,它几乎感染了世界上每一个电子邮件用户,它可以覆写受感染电脑上的重要档案。其他几种蠕虫,包括SQL Slammer和MS Blaster,奠定了蠕虫在计算机安全历史中的地位。


蠕虫如此具有破坏性的原因在于,它能够在没有用户操作的情况下,进而进行传播。因为蠕虫是利用其他文件和程序来完成恶意的传播与感染。


例如,SQL Slammer蠕虫使用Microsoft SQL中的一个(修补)漏洞,在大约10分钟内,连接到互联网几乎所有未修补的SQL服务器上,都会出现缓冲区溢出,这个速度记录至今仍然让人感到震惊不已。


5.广告软件


如果您接触过的唯一恶意软件程序是广告软件,那证明您相当幸运。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。


常见的广告软件程序,可能会将用户的浏览器搜索重定向到包含其他产品促销的外观相似的网页。我们上网一般经常遇到,尤其是装机时代,见识泛滥成灾,让人深恶痛绝。


6.特洛伊木马


计算机蠕虫已被特洛伊木马恶意软件程序取代,成为黑客的首选武器。特洛伊木马伪装成合法程序,但它们包含恶意指令。它们甚至比计算机病毒存在的时间还要长,并且它比任何其他类型的恶意软件都更容易掌握当前的计算机。


特洛伊木马必须由其受害者执行才能完成其工作。特洛伊木马通常通过电子邮件传播,或在用户访问受感染的网站时被推送。


最受欢迎的特洛伊木马类型是假冒的防病毒程序,这时您的计算机会弹出一个对话框并提示您的计算机已经被木马感染,然后指示您运行程序来清理您的PC。用户吞下诱饵,特洛伊木马生根。


特洛伊木马很难防范,原因有两个:它们很容易编写(网络罪犯经常制作和狩猎特洛伊木马构建工具包)并通过欺骗最终用户进行传播 - 补丁,防火墙和其他传统防御无法阻止。恶意软件编写者每月将传播数百万的特洛伊木马,反恶意软件供应商尽力打击特洛伊木马程序,但始终无法完全清除。


7.勒索软件


勒索软件可以使公司、医院、警察局甚至整个城市陷入瘫痪,威力很强,让人惧怕。大多数勒索软件都是特洛伊木马程序,这意味着它们必须通过某种社交工程进行传播。它通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。真是无恶不作啊!


这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。赚钱方式有一套。


勒索软件可以像其他类型的恶意软件程序一样被阻止,但一旦执行,如果没有一个好的有效的备份,则很难逆转损坏文件。根据一些研究,大约四分之一的受害者支付了赎金,其中约30%的人仍然没有解锁他们的文件。言而无信,也是勒索者的大忌。当然,勒索者灭绝自然更好。


无论哪种方式,想要解锁加密文件(如果可能的话),需要特定的工具、解密密钥和一些运气。最好的建议是确保将您拥有的所有重要文件进行的有效的离线备份


8.恶意广告


不要与广告软件混淆,恶意广告是指使用合法广告或广告网络将恶意软件秘密传递给毫无戒心的用户计算机。例如,网络犯罪分子可能会为在合法网站上放置广告付费。当用户点击广告时,广告中的代码会将其重定向到恶意网站或在其计算机上安装恶意软件。真是一种糟糕的体验。


在某些情况下,广告中嵌入的恶意软件,可能会在没有用户任何操作的情况下自动执行,这种技术称为“偷渡式下载”。像偷渡客一样无孔不入,这是一种无恶意的形象比喻。


众所周知,网络犯罪分子会破坏向许多网站投放广告的合法广告网络。通常情况下,纽约时报,Spotify和伦敦证券交易所等热门网站都是恶意广告的载体,让用户处于危险之中。这是十分不友善的行为,让人体验很不好。


当然,使用恶意广告的网络犯罪分子的目标是赚钱。无利不起早,恶意软件不赚钱,就不会有制作的冲动。恶意广告可以提供任何类型的赚钱恶意软件,包括勒索软件,加密脚本或银行特洛伊木马。


9.无文件恶意软件


无文件恶意软件实际上并不是一种不同类型的恶意软件,而是更多关于它们如何利用和持久化的描述。传统恶意软件使用文件系统传播并感染新系统。


无文件恶意软件现在占所有恶意软件的50%以上,并且在不断的增长,这是一种不直接使用文件或文件系统的恶意软件。相反,它们仅在内存中利用和传播,或者使用其他“非文件”OS对象,例如注册表项,API或计划任务。


许多无文件攻击首先是利用现有的合法程序,成为一个新推出的“子流程”,或者使用内置于操作系统中的存有的合法工具(如Microsoft的PowerShell)。最终结果是无文件攻击更难以被检测和停止。


如何查找和删除恶意软件


如今,许多恶意软件程序最初都是木马或蠕虫病毒,但逐渐发展成了僵尸网络,使攻击者成功进入受害者的计算机和网络。


许多高级持续性威胁(APT)攻击都是以这种方式开始的:他们利用特洛伊木马,获得了成百上千家公司的初步立足点。绝大多数恶意软件都是为了窃取资金,包括直接从银行账户中窃取,或通过窃取密码或身份间接窃取。


如果幸运的话,您可以使用Microsoft的Autoruns、Microsoft的Process Explorer或Silent Runners等程序查找恶意可执行文件。如果恶意软件程序是隐秘的,您必须首先从内存中删除隐藏组件,然后继续解决程序的其余部分。


通常,我会将Microsoft Windows启动到安全模式,删除可疑的隐形组件(有时只需重命名),并将一个有效的防病毒扫描程序运行几次,以便清理剩余的部分。


不过,查找和删除单个恶意软件程序组件,也可能导致一些错误。比如弄错或者漏掉一个组件。此外,无法判断恶意软件程序是否已经修改了系统。


因而,除非你接受过恶意软件删除和取证方面的培训,否则请一定要备份数据、格式化驱动器、并在计算机上发现恶意软件时重新安装程序和数据。




扩展阅读:病毒的传播与防护


病毒如何运行工作?

 

想象一下,你的计算机上的应用程序已被病毒感染(我们将讨论一下可能发生的各种方式,但是现在,让我们把感染当作一个给定的)。病毒是如何进行肮脏的工作的?

 

Bleeping Computer提供了一个很好的高级概述,了解该过程的工作原理。一般过程是这样的:受感染的应用程序执行(通常是在用户的请求下),并且在任何合法代码执行之前将病毒代码加载到CPU内存中。


此时,病毒通过感染主机上的其他应用程序来传播,并在任何可能的地方插入恶意代码(常驻病毒会在程序打开时对其执行此操作,而非常驻病毒即使未运行也会感染可执行文件)。

 

引导扇区病毒在此阶段使用特别具有破坏性的技术:它们将代码置于启动状态计算机系统磁盘的扇区,确保它甚至在操作系统完全加载之前就会执行,从而无法以“干净”的方式运行计算机。

 

一旦病毒挂钩到你的计算机中,它就可以开始执行其有效负载,这是病毒代码部分用于完成其创建者为其构建的工作的术语。这些可能包括各种令人讨厌的东西:病毒可以扫描您的计算机硬盘驱动器以获取银行凭据,记录您的击键以窃取密码,将您的计算机变成僵尸,对黑客的敌人发起DDoS攻击,甚至加密您的数据和需求比特币赎金以恢复访问权限(其他类型的恶意软件当然可以有类似的负载:有勒索软件蠕虫和DDoS特洛伊木马等等)

 

计算机病毒如何传播?

 

在早期的互联网时代,病毒经常通过受感染的软盘从计算机传播到计算机。例如,SCA病毒在使用盗版软件的磁盘上传播给Amiga用户。它几乎是无害的,但高达40%的Amiga用户被感染。

 

在大多数情况下,病毒通过互联网传播,病毒代码感染的应用程序就像其他任何应用程序一样,从计算机传输到计算机。因为许多病毒包括逻辑炸弹 - 确保病毒的有效负载仅在特定时间或在特定条件下执行的代码 - 用户或管理员可能不知道他们的应用程序受到感染,并且会转移或安装它们而不受惩罚。

 

受感染的应用程序可能会通过电子邮件发送(无意或有意 - 某些病毒实际上劫持了计算机的邮件软件以通过电子邮件发送自己的副本); 它们也可以从受感染的代码存储库或受损的应用商店下载。

 

你或许已经注意到,所有这些感染载体的共同点是:它们需要受害者执行受感染的应用程序或代码。请记住,病毒只能在其主机应用程序运行时执行和重现!

 

尽管如此,通过电子邮件这种常见的恶意软件传播方法,导致许多人焦虑的问题是:我打开电子邮件来感染病毒吗?答案是肯定不能; 您必须下载并执行已感染病毒代码的附件才会感染病毒。这就是为什么大多数安全专业人员坚持认为在执行电子邮件附件时要非常小心,以及为什么大多数电子邮件客户端和Webmail服务默认包含病毒扫描功能。

 

如果受感染的代码在Web浏览器中作为JavaScript运行,并且设法利用安全漏洞来感染本地安装的程序,这是计算机病毒传播中特别狡猾的方式。某些电子邮件客户端将执行嵌入在电子邮件中的HTML和JavaScript代码,因此严格来说,打开此类邮件可能会使您的计算机感染病毒。

 

但是大多数电子邮件客户端和网络邮件服务都具有内置的安全功能,可以防止这种情况发生,所以这不是感染因素,但可能是您最关心的问题之一。

 

计算机病毒的类型

 

赛门铁克对你可能遇到的各种类型的病毒进行了很好的细分,并以不同的方式进行分类。我们已经遇到了常驻病毒和非常驻病毒,引导扇区病毒,网络脚本病毒等。您可能还想了解其他几种类型:

 

一个宏病毒感染嵌入在Microsoft Office或PDF文件的应用程序的宏。许多人小心从不打开奇怪应用程序的人忘记了这些类型的文档本身可以包含可执行代码。不要放松警惕!

 

一个多态病毒稍稍改变自己的源代码,每次它会将自身复制,以避免杀毒软件的检测。

 

请记住,这些类别方案基于病毒行为的不同方面,因此病毒可能属于多个类别。例如,常驻病毒也可以是多态的。

 

计算机病毒防护

 

防病毒软件是恶意软件防护产品类别中最广为人知的产品。CSO编制了一份针对Windows、Android、Linux和macOS的顶级防病毒软件列表,但请记住,防病毒软件并不是最终的解决方案。

 

当涉及到更先进的企业网络时,产品的端点安全会提供针对恶意软件的深度防御。它们不仅提供您希望从防病毒中获得的基于签名的恶意软件检测,还提供反间谍软件,个人防火墙,应用程序控制和其他类型的主机入侵防护。Gartner公司提供此领域的首选名单,其中包括Cylance,CrowdStrike和Carbon Black的产品。

 

有关病毒的需要注意的一点是,它们通常利用操作系统或应用程序代码中的漏洞来感染您的系统并自行运行; 如果没有漏洞可以利用,即使执行病毒代码也可以避免感染。

 

为此,您需要对所有系统进行修补和更新,保留硬件清单,以便了解需要保护的内容,并对基础架构执行持续的漏洞评估。

 

电脑病毒症状

 

你怎么知道病毒是否已经超过了你的防御系统?除了勒索软件之外,病毒并不会提醒您他们已经破坏了您的计算机。正如生物病毒想要保持其宿主存活一样,它可以继续让它作为繁殖和传播的载体,因此计算机病毒也会在你的计算机瘫痪时并持续在后台运行对你造成损害。但诺顿认为出现以下五种症状,则说明你的计算机已被病毒感染:

 

  1、性能异常缓慢

  2、经常崩溃

  3、打开计算机时启动的未知或不熟悉的程序

  4、从您的电子邮件帐户发送大量电子邮件

  5、更改您的主页或密码

 

如果您怀疑您的计算机已被感染,则需要进行计算机病毒扫描。有很多免费服务可以帮助您进行探索:安全侦探有一个最好的概述。

 

计算机病毒如何清除

 

一旦在您的计算机上安装了病毒,删除它的过程类似于删除任何其他类型的恶意软件 - 但这并不容易。 CSO 提供了有关如何从rootkit,勒索软件和加密劫持中删除或以其他方式恢复的信息。我们还有一个审核Windows注册表的指南以确定如何继续前进。

 

如果您正在寻找清理系统的工具,Tech Radar有一个很好的免费产品集合,其中包含一些来自防病毒世界的熟悉名称以及Malwarebytes等。

 

这是一个明智的举措,就是总是备份你的文件,这样如果你需要,你就可以从一个已知的安全状态中恢复,而不是试图从你的启动记录中解救病毒代码,或者向粗略的东欧流氓支付赎金。

 

计算机病毒史

 

第一个真正的计算机病毒是Elk Cloner,它是由一个充满恶作剧的15岁的Richard Skrenta于1982年开发的。Elk Cloner是Apple II引导扇区病毒,可能会在有两个软盘驱动器的计算机上从软盘跳到软盘(就像许多人那样)。

 

历史上的其他主要病毒包括:

 

耶路撒冷:潜伏在计算机上的DOS病毒,于13日星期五发射,并删除了应用程序。

 

Melissa:一种群发邮件的宏病毒,它在1999年将地下病毒现场推向了主流。它为其创建者赢得了20个月的监禁。

 

但是,严格来说,你在21世纪听说过的大多数大牌恶意软件都是蠕虫或特洛伊木马,而不是病毒。但这并不意味着病毒不在那里,所以要小心你执行的代码。




「推荐阅读」




译文 | 防御安全威胁的三种最重要的方法
译文 | 美国金融监管局第4512项新规:美国证券交易委员会准许使用电子签名
译文 | 企业CISO须知:5种威胁检测和响应技术即将登场
译文 | 目前全球最好的十个防病毒软件盘点排名
译文 | 你应该花多少钱在安全上?

     ▼加入诸子云                                  

▲加入粉丝群






点【在看】的人最好看


https://www.wxwenku.com/d/201333669