什么是恶意软件及其特征

什么是恶意软件及其特征

什么是恶意软件？

本指南使用恶意软件一词作为统称，指故意在计算机系统上执行恶意任务的病毒，蠕虫和木马.

因此，计算机病毒或蠕虫的确切含义是什么，它们与木马之间的区别是，防病毒应用程序仅对蠕虫和木马有效，还是仅对病毒有效？

所有这些问题都源于一个混乱且常常被误解的恶意代码世界. 现有恶意代码的数量和种类繁多，很难为每个恶意代码类别提供准确的定义.

有关常规防病毒讨论，请使用以下简单的恶意软件类别定义，

•木马. 该程序看上去有用或无害，但包含旨在利用或破坏运行该程序的系统的隐藏代码. 木马程序通常通过无法正确描述程序目的和功能的电子邮件发送给用户. 也称为木马代码. 木马通过在运行时传递恶意负载或任务来实现此目的.

•蠕虫. 该蠕虫使用自我传播的恶意代码，该代码可以通过网络连接将自身从一台计算机自动分发到另一台计算机. 蠕虫会执行有害操作，例如消耗网络或本地系统资源，这可能导致拒绝服务攻击. 某些蠕虫无需用户干预即可执行和传播，而其他蠕虫则要求用户直接执行蠕虫代码进行传播. 除了复制外，蠕虫还可能转移负载.

•病毒. 病毒代码的明确意图是自己复制它. 该病毒会尝试将其自身附加到主机程序，以在计算机之间传播. 它可能会损坏硬件，软件或数据. 当主机程序执行时，病毒代码也会运行并感染新主机，有时会传递额外的负载.

在本指南中，有效负载是一个统称，指的是恶意软件对受感染计算机的攻击. 上面对各种恶意软件类别的定义使得可以通过简单的流程图解释这些类别之间的差异. 下图说明了可用于确定程序或脚本是否属于这些类别的元素，

第1/17页

图2.1恶意代码决策树

使用此图，您可以区分本指南中的每个常见恶意代码类别. 但是，重要的是要了解一次攻击引入的代码可能适合一个或多个类别. 这些类型的攻击称为混合威胁，其中包含多种使用多种攻击方法且传播速度极快的恶意软件. 攻击方法是恶意软件可以用来发起攻击的例程. 由于这些原因，混合威胁尤其难以应对.

以下各节将更详细地说明每个恶意软件类别，以帮助说明每个类别的一些主要元素.

木马

木马不被视为计算机病毒或蠕虫，因为它不会自行传播. 但是，可以将病毒或蠕虫作为攻击有效负载的一部分用于将木马复制到目标系统，此过程称为发送. 木马通常旨在中断用户的工作或系统的正常运行. 例如，木马可能会在系统中提供后门，使黑客可以窃取数据或更改配置设置.

第2/17页

在提到木马或木马类型的活动时，有两个更常用的术语. 识别方法和说明如下，

•远程访问Troy. 一些木马程序允许黑客或数据窃贼远程控制系统. 这种程序称为远程访问木马（RAT）或后门程序. RAT的示例包括后孔，Cafeene和SubSeven.

有关这种木马的详细说明，请参阅Microsoft TechNet网站上的文章“危险: 远程访问木马”

，英语，

•Rootkit. Rootkit是黑客可以用来获得对计算机的未经授权的远程访问并发起其他攻击的软件程序集. 这些程序可能使用许多不同的技术，包括监视击键，更改系统日志文件或现有的系统应用程序，在系统中创建后门以及对网络上其他计算机发起攻击. Rootkit通常被组织为一组工具，这些工具被完善为特定的操作系统. 第一个rootkit出现在1990年代，当时Sun和Linux操作系统是它们的主要目标. Rootkit当前可用于许多操作系统，包括Microsoft®Windows®平台.

请注意，RAT和某些包含rootkit的工具具有合法的远程控制和监视用途. 但是，这些工具引入的安全性和机密性问题给使用它们的环境带来了总体风险.

蠕虫

如果复制了恶意代码，则它不是木马，因此，要更准确地定义恶意软件，下一个要解决的问题是是否可以在没有载体的情况下复制代码，即是否可以复制而不会感染可执行文件. 如果对这个问题的回答是“是”，则此代码被认为是某种蠕虫.

大多数蠕虫会尝试将其自身复制到主机，然后使用此计算机的通信通道进行复制. 例如，Sasser蠕虫所依赖的一个安全漏洞最初是感染系统，然后使用被感染系统的网络连接来尝试复制. 如果安装了最新的安全更新以阻止感染，或者在环境中启用了防火墙以阻止蠕虫停止复制所使用的网络端口，则攻击将失败.

病毒

如果恶意代码将其自身副本添加到文件，文档或磁盘驱动器的引导扇区中以进行复制，则该恶意代码被视为病毒. 该副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本. 有关更多信息，请参阅本章后面的“保护机制”部分. 和以前一样

第3/17页

如上所述，病毒通常将其包含的有效负载（例如木马）放置在本地计算机上，然后执行一项或多项恶意操作，例如删除用户数据. 但是，仅复制而没有负载的病毒仍然是恶意软件问题，因为该病毒本身在复制时可能会损坏数据，消耗系统资源并消耗网络带宽.

恶意软件的特征

每种类型的恶意软件可以展现的各种特征通常非常相似. 例如，病毒和蠕虫都可能将网络用作传输机制. 但是，该病毒寻找要感染的文件，该蠕虫仅尝试自我复制. 以下各节介绍了恶意软件的典型特征.

目标环境

当恶意软件尝试攻击主机系统时，成功进行攻击可能需要许多特定组件. 以下是恶意软件攻击主机系统所需组件的典型示例，

•设备. 某些恶意软件专门针对一种设备类型，例如个人计算机，Apple Macintosh计算机，甚至是个人数字助理（PDA），但请注意，PDA恶意软件目前非常罕见.

•操作系统. 恶意软件可能需要特殊的操作系统才能有效. 例如，在1990年代后期出现的CIH或切尔诺贝利病毒仅攻击Microsoft Windows？

95还是Windows？ 98台计算机.

•应用程序. 恶意软件可能需要在目标计算机上安装特定的应用程序才能交付负载或进行复制. 例如，2002年出现的LFM.926病毒只有在本地计算机上可执行Shockwave Flash（.swf）文件时才能进行攻击.

载体对象

如果恶意软件是病毒，它将尝试使用载体对象作为攻击对象（也称为主机）并对其进行感染. 目标载体的对象的数量和类型因恶意软件的不同而有很大差异，以下列表提供了最常用的目标载体的示例，

•可执行. 这是典型的病毒类型目标对象，通过将其自身附加到主机程序进行复制. 除了使用.exe扩展名的典型可执行文件之外，具有以下扩展名的文件也可以用于此目的: .com，.sys，.dll，.ovl，.ocx和.prg.

•脚本. 使用脚本作为载体对象文件的攻击，这些对象使用脚本语言（例如Microsoft VisualBasic®脚本，javascript，AppleScript或Perl脚本）. 此类文件具有.vbs，.js，.wsh和.prl之类的扩展名.

第4/17页

•宏. 这些载体是支持特定应用程序（例如文字处理器，电子表格或应用程序）的宏脚本语言的文件. 例如，病毒可以使用Microsoft Word和Lotus Ami Pro中的宏语言来生成许多效果，包括恶作剧效果，更改文档周围的单词或颜色，恶意效果，格式化计算机硬盘等等.

•引导扇区. 计算机磁盘，硬盘和可引导可移动介质上的某些区域（例如主引导记录（MBR）或DOS引导记录）也可以视为载体，因为它们可以执行恶意代码. 磁盘被感染后，如果使用该磁盘引导其他计算机系统，则该病毒将被复制.

请注意，如果病毒同时使用文件和引导扇区作为感染目标，则可以将其称为多部分病毒.

转移机制

附件可以使用一种或多种不同的方法来尝试在计算机系统之间进行复制. 本节提供有关恶意软件使用的几种较常见的传输机制的信息.

•可移动媒体. 至少到目前为止恶意软件和电脑病毒有什么区别?，计算机病毒和其他恶意软件是第一个，并且可能是最多产的传播者，至少到目前为止. 该机制从软盘开始，然后转移到网络，目前正在寻找新的媒体，例如通用串行总线（USB）设备和FireWire. 感染的速度不及基于网络的恶意软件，但安全威胁始终存在，并且由于需要在系统之间交换数据而难以完全消除.

•一旦网络共享为计算机提供了一种通过网络直接相互连接的机制，它将为恶意软件编写者提供另一个编写者，并且这种机制的潜力可能超出了可移动媒体的能力恶意软件和电脑病毒有什么区别?，因此会传播恶意代码. 由于在网络共享上实施的安全级别较低，因此创建了一个环境，在该环境中可以将恶意软件复制到连接到网络的大量计算机上. 这在很大程度上取代了使用可移动媒体的手动方法.

•网络扫描. 恶意软件编写者使用此机制来扫描网络以查找容易受到威胁的计算机，或随意攻击IP地址. 例如，这种机制可以使用特定的网络端口将漏洞利用数据包发送到许多IP地址，以找到易受攻击的计算机.

5/17页

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-160920-1.html