安全动态

盘点恶意软件的8种类型以及识别方法

来源:南京聚铭网络科技有限公司    发布时间:2018-08-07    浏览次数:
 

信息来源:4hou

您知道恶意软件都有哪些吗?您知道应该如何识别这些恶意软件吗?本文将为您详细介绍8种恶意软件,并给您一些关于被恶意软件击中时如何查找和删除恶意软件的基本建议。

如果您正在网上闲逛,不妨静下心来读一读这篇简明扼要的文章,它可以使您更了解这些恶意软件。

1.病毒

计算机病毒,被大多数媒体和普通终端用户称之为恶意软件程序。但事实上,大多数恶意软件程序都不是病毒。计算机病毒会以其他方式来修改合法主机文件,当执行受害者文件时,也会执行病毒。

如今,纯计算机病毒并不常见,占所有恶意软件的不到10%,这是固然一件好事。病毒是唯一一种可以感染其他文件的恶意软件。所以它们特别难以清理,因为必须从合法程序执行恶意软件。那些最好的防病毒程序也只能检查出少数的病毒,并且大多数情况下,只会隔离或删除受感染的文件。

2.蠕虫

蠕虫比计算机病毒存在的时间更长,可以追溯到主机时代。在20世纪90年代后期,蠕虫通过电子邮件流行起来,近十年来,计算机安全专业人员被恶意蠕虫所包围,这些蠕虫是通过邮件附件来感染计算机。当您打开一封含有蠕虫附件的邮件,整个公司都会在短时间内被感染。

蠕虫的独特特征在于它是可以自我复制的。以臭名昭着的Iloveyou蠕虫为例:当它散布时,它几乎击中了世界上每一个电子邮件用户,它可以覆写受感染电脑上的重要档案,如音乐、多媒体与其他档案。而其他几种蠕虫,包括SQL Slammer和MS Blaster,确保了蠕虫在计算机安全历史中的地位。

使蠕虫具有如此破坏性的原因在于它能够在没有终端用户操作的情况下进行传播。相比之下,在试图感染其他文件和用户之前,病毒要求终端用户至少要启动它。而蠕虫是利用其他文件和程序来完成恶意的操作。例如,SQL Slammer蠕虫使用Microsoft SQL中的一个(修补)漏洞,在大约10分钟内,几乎每一个连接到互联网的未修补的SQL服务器上都会出现缓冲区溢出,这个速度记录至今仍然存在。

3.特洛伊木马

计算机蠕虫已被特洛伊木马恶意软件程序取代,成为黑客的首选武器。特洛伊木马可以伪装成合法程序,但它却包含恶意指令。它们甚至比计算机病毒的历史更久远,并且它比任何其他类型的恶意软件更容易操控计算机。

特洛伊木马必须由其受害者执行才能完成其工作。特洛伊木马通常通过电子邮件传播,或在用户访问受感染的网站时被推送。最受欢迎的木马类型是假冒防病毒程序,这时您的计算机会弹出一个对话框,并提示您的计算机已经被木马感染,然后指示您运行程序来清理您的PC。用户吞下诱饵,特洛伊木马生根。

特洛伊木马很难防范,因为它们很容易编写(网络犯罪分子经常制作和狩猎木马建筑工具包)并通过欺骗终端用户进行传播 – 补丁、防火墙和其他传统防御都无法阻止。恶意软件编写者每月都会传播数百万的木马,反恶意软件供应商也在尽力打击特洛伊木马,但始终无法完全清除。

4.变种组合

如今,大多数恶意软件都是传统恶意程序的组合,一般包括部分特洛伊木马和蠕虫,偶尔也会包含病毒。通常,恶意软件程序作为特洛伊木马对终端用户显示,但一旦执行,它就像蠕虫一样通过网络攻击其他受害者。

如今许多恶意软件程序都被认为是rootkit或隐形程序。从本质上讲,恶意软件程序试图修改底层操作系统,以实现最终控制并隐藏反恶意软件程序。要摆脱这些类型的程序,必须从反恶意软件扫描开始,从内存中删除控制组件。

Bots本质上是特洛伊木马和蠕虫的组合,它试图使被攻击的个人客户成为更大的恶意网络的一部分。Botmasters有一个或多个“命令和控制”服务器,它通过客户端检查来接收更新的指令。僵尸网络的规模从几千台受到攻击的计算机到拥有数十万个系统的庞大网络,这些系统由一个僵尸网络主机控制,这些僵尸网络通常会出租给其他犯罪分子,然后将其用于他们自己的恶意目的。

5.勒索软件

勒索软件可以使公司、医院、警察局甚至整个城市陷入瘫痪。大多数勒索软件都是特洛伊木马程序,这意味着它们必须通过某种社交工程进行传播。它通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

勒索软件可以像其他类型的恶意软件程序一样被阻止,但一旦执行,如果没有一个好的有效的备份,则很难扭转损坏。根据一些研究,大约四分之一的受害者支付了赎金,其中约30%的人仍然没有解锁他们的文件。无论哪种方式,想要解锁加密文件(如果可能的话),需要特定的工具、解密密钥和一些运气。最好的建议是确保将您拥有的所有重要文件进行的有效的离线备份。

6.无文件恶意软件

无文件恶意软件实际上并不是一种不同类型的恶意软件,而是更多关于它们如何利用和持久化的描述。传统恶意软件使用文件系统传播并感染新系统。无文件恶意软件现在占所有恶意软件的50%以上,并且在不断的增长,这是一种不直接使用文件或文件系统的恶意软件。相反,它们仅在内存中利用和传播,或者使用其他“非文件”OS对象,例如注册表项,API或计划任务。

许多无文件攻击首先是利用现有的合法程序,成为一个新推出的“子流程”,或者使用内置于操作系统中的现有合法工具(如Microsoft的PowerShell)。最终结果是无文件攻击更难以被检测和停止。如果您还不熟悉常见的无文件攻击技术和程序,那么如果您想从事计算机安全工作就很难了。

7.广告软件

如果您接触过的唯一恶意软件程序是广告软件,那证明您相当幸运。此类软件往往会强制安装并无法卸载;在后台收集用户信息牟利,危及用户隐私;频繁弹出广告,消耗系统资源,使其运行变慢等。常见的广告软件程序可能会将用户的浏览器搜索重定向到包含其他产品促销的外观相似的网页。

8.间谍软件

间谍软件最常用于那些想要检查亲人的计算机活动的人。当然,在有针对性的攻击中,犯罪分子可以使用间谍软件获取密码或知识产权。

广告软件和间谍软件程序通常是最容易删除的,是因为它们的意图与其他类型的恶意软件不同。找到恶意的可执行文件并阻止它被执行 ,您就成功了。

比广告软件或间谍软件更需要人们担忧的,是它用于利用计算机或用户的机制,无论是社交工程、未修补软件还是其他十几种漏洞开发。这是因为虽然间谍软件或广告软件程序的意图并不像后门远程访问木马那样的恶意,但它们都使用相同的方法来侵入用户的系统。我们应该在发现恶意软件之前,将广告软件和间谍软件程序的存在作为一个警告。

如何查找和删除恶意软件

如今,许多恶意软件程序最初都是木马或蠕虫病毒,但逐渐发展成了僵尸网络,使攻击者成功进入受害者的计算机和网络。许多高级持续性威胁(APT)攻击都是以这种方式开始的:他们利用特洛伊木马,获得了成百上千家公司的初步立足点。绝大多数恶意软件都是为了窃取资金,包括直接从银行账户中窃取,或通过窃取密码或身份间接窃取。

如果幸运的话,您可以使用Microsoft的Autoruns、Microsoft的Process Explorer或Silent Runners等程序查找恶意可执行文件。如果恶意软件程序是隐秘的,您必须首先从内存中删除隐藏组件,然后继续解决程序的其余部分。通常,我会将Microsoft Windows启动到安全模式,删除可疑的隐形组件(有时只需重命名),并将一个有效的防病毒扫描程序运行几次,以便清理剩余部分。这是关于如何使用Process Explorer发现和删除恶意软件的一个很好的教程。

不幸的是,查找和删除单个恶意软件程序组件也可能是一个错误。因为您很容易弄错或者漏掉一个组件。此外,您无法判断恶意软件程序是否已经修改了系统。

在此提示您,除非您接受过恶意软件删除和取证方面的培训,否则请一定要备份数据、格式化驱动器、并在计算机上发现恶意软件时重新安装程序和数据。这样,您的计算机及网络将会很安全,并不会有任遗留的风险或问题。

 
 

上一篇:工信部召开 IPv6规模部署及专项督查会议

下一篇:2018年08月07日 聚铭安全速递