ITPub博客

首页 > IT基础架构 > 网络安全 > 知识点!!8类常见恶意软件以及如何识别它们

知识点!!8类常见恶意软件以及如何识别它们

网络安全 作者:IT168GB 时间:2018-07-31 21:41:56 0 删除 编辑

近几年,恶意软件数量不断增加,但从种类来说,也是屈指可数,本文从形式上将恶意软件分为8类,分别为病毒、蠕虫等;他们的传播条件大致相同,用户只要具备良好的安全意识和网络使用习惯,及时更新系统补丁等操作,就可防范大部分恶意软件,也不用太过担心。

1.病毒

计算机病毒是大多数媒体和用户调用恶意软件程序的起因。幸运的是,大多数恶意软件程序都不是病毒。计算机病毒修改其他合法主机文件(或指向它们的指针),以便在执行受害者文件时,也会执行病毒。

如今,纯计算机病毒并不常见,占所有恶意软件的不到10%。这是一件好事:病毒是唯一一种“感染”其他文件的恶意软件。这使得它们特别难以清理,因为必须从合法程序执行恶意软件。这一直是非常重要的。最好的防病毒程序很难正确地执行它,并且在许多(如果不是大多数)情况下,只能隔离或删除受感染的文件。

2.蠕虫

蠕虫比计算机病毒存在的时间更长,一直到大型机时代。电子邮件在20世纪90年代后期使它们流行起来,近十年来,计算机安全专业人员被作为消息附件到来的恶意蠕虫所包围。一个人会打开一封垃圾邮件,整个公司都会在短时间内被感染。

蠕虫的独特特征在于它是自我复制的。以臭名昭着的Iloveyou蠕虫为例:当它攻击时,它几乎击中了世界上每一个电子邮件用户,超载的电话系统(带有欺诈性的文本发送),关闭了电视网络,。其他几种蠕虫,包括SQL Slammer和MS Blaster,确保了蠕虫在计算机安全历史中的地位。

使有效蠕虫如此具有破坏性的原因在于它能够在没有最终用户操作的情况下进行传播。相比之下,病毒要求最终用户在尝试感染其他无辜文件和用户之前至少启动它。蠕虫利用其他文件和程序来完成传播的工作。例如,SQL Slammer蠕虫使用Microsoft SQL中的一个(修补)漏洞,在大约10分钟内连接到互联网的几乎所有未修补的SQL服务器上都会出现缓冲区溢出,这个速度记录至今仍然存在。

3.特洛伊木马

计算机蠕虫已被特洛伊木马恶意软件程序取代,成为黑客的首选武器。特洛伊木马伪装成合法程序,但它们包含恶意指令。它们一直存在,甚至比计算机病毒还要长,但它比任何其他类型的恶意软件更能掌握当前的计算机。

特洛伊木马必须由其受害者执行才能完成其工作。特洛伊木马通常通过电子邮件到达,或在用户访问受感染的网站时被推送。最受欢迎的木马类型是假冒防病毒程序,弹出并声称您已被感染,然后指示您运行程序来清理您的PC。

特洛伊木马很难防范,原因有两个:它们很容易编写(网络犯罪分子经常制作和狩猎木马建筑工具包)并通过欺骗最终用户进行传播 - 补丁,防火墙和其他传统防御无法阻止。恶意软件编写者每月将特洛伊木马数量增加数百万。反恶意软件厂商尽力打击特洛伊木马,但有太多的木马不能完全防御。

4.木马和蠕虫组合

如今,大多数恶意软件都是传统恶意程序的组合,通常包括部分特洛伊木马和蠕虫,偶尔也会包含病毒。通常,恶意软件程序作为特洛伊木马对最终用户显示,但一旦执行,它就像蠕虫一样通过网络攻击其他受害者。

今天的许多恶意软件程序都被认为是rootkit或隐形程序。从本质上讲,恶意软件程序试图修改底层操作系统,以实现最终控制并隐藏反恶意软件程序。要摆脱这些类型的程序,必须从反复选件扫描开始从内存中删除控制组件。

僵尸网络本质上是特洛伊木马/蠕虫组合,试图使被攻击的个人客户成为更大的恶意网络的一部分。Botmasters有一个或多个“命令和控制”服务器,僵尸网络客户端检查以接收更新的指令。僵尸网络的规模从几千台受到攻击的计算机到拥有数十万个系统的庞大网络,这些系统由一个僵尸网络主机控制。这些僵尸网络通常出租给其他犯罪分子,然后将其用于他们自己的邪恶目的。

5.勒索软件

加密数据并将其作为人质等待加密货币支付的恶意软件程序在过去几年中占恶意软件的很大比例,并且百分比仍在增长。勒索软件经常使公司,医院,警察局甚至整个城市陷入瘫痪。

大多数勒索软件程序都是特洛伊木马程序,这意味着它们必须通过某种社交工程进行传播。一旦执行,大多数人会在几分钟内查找并加密用户的文件,尽管有一些人正在采取“等待观察”的方法。通过在启动加密例程之前观察用户几个小时,恶意软件管理员可以确切地知道受害者可以承受多少赎金,并且还确保删除或加密其他所谓的安全备份。

勒索软件可以像其他类型的恶意软件程序一样被阻止,但一旦执行,如果没有经过验证的良好备份,很难扭转损坏。根据一些研究,大约四分之一的受害者支付了赎金,其中约30%的人仍然没有解锁他们的文件。无论哪种方式,解锁加密文件,如果可能的话,需要特定的工具,解密密钥和更多的运气。最好的建议是确保您拥有所有关键文件的良好离线备份。

6.无文件恶意软件

无文件恶意软件实际上并不是一种不同类型的恶意软件,而是更多关于它们如何利用和持久化的描述。传统恶意软件使用文件系统传播并感染新系统。无文件恶意软件现在占所有恶意软件的50%以上且不断增长,是不直接使用文件或文件系统的恶意软件。相反,它们仅在内存中利用和传播,或者使用其他“非文件”OS对象,例如注册表项,API或计划任务。

许多无文件攻击首先是利用现有的合法程序,成为新推出的“子流程”,或者使用内置于操作系统中的现有合法工具(如Microsoft的PowerShell)。最终结果是无文件攻击更难以检测和停止。如果您还不熟悉常见的无文件攻击技术和程序,那么如果您想从事计算机安全工作,那么您可能应该这样做。

7.广告软件

如果您很幸运,您接触过的唯一恶意软件程序是广告软件,它会尝试将受感染的最终用户暴露给不受欢迎的潜在恶意广告。常见的广告软件程序可能会将用户的浏览器搜索重定向到包含其他产品促销的外观相似的网页。

8.间谍软件

间谍软件最常被想要检查别人的计算机活动的人使用。当然,在有针对性的攻击中,犯罪分子可以使用间谍软件记录受害者的击键并获取密码或知识产权。

广告软件和间谍软件程序通常是最容易删除的,通常是因为它们的意图与其他类型的恶意软件一样危害不那么大。查找恶意可执行文件并防止其被执行 - 您已完成。

比实际广告软件或间谍软件更大的担忧是它用于利用计算机或用户的机制,无论是社交工程,未修补软件还是其他十几种根漏洞原因。这是因为虽然间谍软件或广告软件程序的意图并不像后门远程访问木马那样恶意,但它们都使用相同的方法来闯入。广告软件/间谍软件程序的存在应该作为设备的警告或者用户有一些需要纠正的弱点,在真正的不良来临之前。

查找和删除恶意软件

今天,许多恶意软件程序最初都是木马或蠕虫病毒,但随后的僵尸网络,让攻击者真正进入受害者的计算机和网络。许多高级持续性威胁(APT)攻击都是以这种方式开始的:他们利用特洛伊木马获得了数百或数千家公司的入口。绝大多数恶意软件都是为了窃取资金 - 直接从银行账户中窃取,或通过窃取密码或身份间接窃取。

如果幸运的话,您可以使用Microsoft的Autoruns,Microsoft的Process Explorer或Silent Runners等程序查找恶意可执行文件。如果恶意软件程序是隐秘的,您必须首先从内存中删除隐藏组件(如果可能),然后继续解决程序的其余部分。通常,会将Microsoft Windows启动到安全模式或通过其他方法,删除可疑的隐形组件(有时只需重命名),并运行一个好的防病毒扫描程序几次,以便在移除隐身部分后清理剩余部分。

不幸的是,查找和删除单个恶意软件程序组件可能是一个愚蠢的做法。很容易弄错并遗漏一个组件。此外,您不知道恶意软件程序是否已经修改了系统,以至于无法再次使其完全值得信赖。

除非您接受过恶意软件删除和取证方面的培训,否则请备份数据(如果需要),格式化驱动器,并在计算机上发现恶意软件时重新安装程序和数据。修补它并确保最终用户知道恶意软件做了哪些改动。这样,您的计算机才是值得信赖的。

本文转载自“安全加”,转载地址:http://toutiao.secjia.com/article/page?topid=110578

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31510736/viewspace-2168828/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2017-12-11

  • 博文量
    157
  • 访问量
    296679