什么是恶意软件及其类型?
“恶意软件”(Malware)是“恶意软件”(malicious software)的缩写。它是一种有目的性设计的入侵性软件,旨在损害计算机和计算机网络。相比之下,无意中造成损害的软件通常被称为软件漏洞。
人们有时会询问恶意软件和病毒之间的区别。关键在于,恶意软件是一个涵盖各种网络威胁的总称,包括病毒、间谍软件、广告软件和勒索软件等。简而言之,计算机病毒是恶意软件的一种类型。
恶意软件可以通过网络钓鱼、恶意附件、恶意下载、社会工程学和闪存驱动器等方式进入网络。本文概述中,我们将探讨常见的恶意软件类型。
恶意软件类型
如果你想保护自己免受侵害,了解各种类型的恶意软件攻击至关重要。有些恶意软件类别至少以其名称而言,比其他类别更为人熟知:
1. 广告软件
广告软件(Adware),即“广告支持软件”,是一种在计算机屏幕或移动设备上显示未经请求且有时是恶意广告的软件。它还会将搜索结果重定向到销售广告的网站,并在用户不知情或未经同意的情况下收集可出售给广告商的用户数据。广告软件并非总是恶意的;其中一些是安全且合法的。
用户可以通过管理其互联网浏览器中的弹出窗口控制和首选项,或使用广告拦截器,来控制广告软件的频率或允许下载的类型。
广告软件示例:
- Fireball:2017年,一家以色列软件公司发现,全球有2.5亿台电脑和五分之一的公司网络感染了Fireball,这成为头条新闻。当Fireball侵入你的系统时,它会控制你的浏览器。它会将你的主页修改为假冒的Trotus搜索引擎,并在你访问的每个网站插入侵入性广告。它还会阻止你更改浏览器设置。
- Appearch:另一个作为浏览器劫持者运作的流行广告软件是Appearch。它通常与其他免费软件包捆绑在一起,通过用广告淹没浏览器,使网页浏览变得极其困难。当你尝试访问网站时,会显示Appearch.info。即使你成功访问了网页,Appearch也会将随机文本段落转换为超链接,导致弹出窗口出现并要求你下载软件更新。
2. 间谍软件
间谍软件(Spyware)是隐藏在设备上、监控你的活动并窃取敏感数据(包括登录凭据、财务信息和账户信息)的恶意软件。通过利用软件漏洞,间谍软件可以通过合法的软件包或特洛伊木马进行传播。
间谍软件示例:
- CoolWebSearch:该软件利用Internet Explorer的安全漏洞控制浏览器,修改其设置,并将浏览信息发送给其创建者。
- Gator:该程序通常与Kazaa等文件共享应用程序捆绑在一起,跟踪受害者的在线活动,并利用这些数据向他们展示定向广告。
3. 加密恶意软件与勒索软件
勒索软件(Ransomware)是一种旨在阻止用户访问其系统或数据,直至支付赎金的恶意软件。被称为“加密恶意软件”(crypto-malware)的勒索软件会加密用户文件,并要求在特定日期前支付赎金,通常使用比特币等虚拟货币。多年来,勒索软件已成为各行业组织面临的持续威胁。随着更多企业进行数字化转型,成为勒索软件攻击目标的风险也增加了。
勒索软件示例:
- CryptoLocker:网络犯罪分子在2013年和2014年广泛使用这种恶意软件来访问和加密系统上的文件。他们采用社会工程技术欺骗员工将勒索软件下载到他们的电脑上,从而危及网络。下载后,CryptoLocker会显示赎金通知,承诺在指定截止日期前支付现金或比特币即可解锁数据。据信,尽管该恶意软件后来已被清除,但CryptoLocker勒索软件的所有者仍从轻信的公司那里榨取了约300万美元。
- Phobos 恶意软件:2019年出现了一种新型勒索软件。该变种基于先前已识别的Dharma(也称为CrySis)勒索软件家族。
4. 特洛伊木马
特洛伊木马(Trojan Horse)是一种伪装成可信赖程序,以诱骗你在计算机上运行恶意软件的恶意软件。用户因其看似可靠而下载它,无意中将恶意软件引入设备。木马本身只是一个入口。与蠕虫不同,它们需要宿主才能运行。一旦木马安装在设备上,黑客就可以利用它访问你的网络,进行监视,删除、修改或窃取数据,或利用该设备加入僵尸网络。
木马示例:
- Qbot 恶意软件:也称为“Qakbot”或“Pinkslipbot”,其目的是窃取用户信息和银行凭证。它自2007年以来一直活跃。该恶意软件不断发展,增加了用于反分析、命令和控制以及交付的新功能。
- TrickBot 恶意软件:这是一种由经验丰富的网络犯罪分子创建和运营的木马,首次发现于2016年。TrickBot最初是作为银行木马开发的,用于窃取财务信息,但后来已发展成为模块化、多阶段的恶意软件,使其操作者能够进行广泛的非法在线活动。
5. 蠕虫
蠕虫(Worms)是最常见的恶意软件类型之一,通过利用操作系统中的漏洞在计算机网络中传播。蠕虫是一个独立的程序,无需用户干预即可自我传播并感染其他计算机。由于其快速传播的能力,蠕虫常被用来执行有效负载(payload),即一段旨在损害系统的代码。有效负载可以窃取数据、删除主机系统上的文件、加密数据以进行勒索软件攻击以及构建僵尸网络。
蠕虫示例:
- SQL Slammer:这种著名的计算机蠕虫并非通过传统方式传播。相反,它会生成一个随机IP地址,并向未受防病毒软件保护的IP地址广播自身。2003年,在其发生后不久,超过75,000台受感染的计算机无意中参与了针对多个知名网站的拒绝服务攻击。尽管相关的安全补丁已推出多年,但SQL Slammer在2016年和2017年再次出现。
6. 病毒
病毒(Virus)是一种侵入应用程序并在其运行时开始执行的代码。一旦病毒进入网络,可用于发起勒索软件攻击、DDoS攻击或窃取机密数据。病毒会保持休眠状态,直到被感染的主机文件或程序被激活。它通常通过受感染的网站、文件共享或电子邮件附件下载传播。之后,病毒可以复制并传播到你的整个系统。
病毒示例:
- Stuxnet:当Stuxnet于2010年首次出现时,人们普遍认为它是美国和以色列政府为阻碍伊朗核计划而创造的。它通过USB拇指驱动器传播,针对西门子工业控制系统,感染离心机并导致它们以异常速率自毁。据信,Stuxnet感染了超过20,000台计算机,损坏了伊朗五分之一的核离心机,使其核计划推迟了数年。
7. 键盘记录器
键盘记录器(Keylogger)是一种监控用户活动的间谍软件。键盘记录器有合法用途,例如组织用于监控员工活动,或家庭用于监控孩子的在线活动。然而,当恶意安装时,键盘记录器可用于窃取银行信息、密码和其他私人数据。键盘记录器可以通过恶意下载、社会工程学或网络钓鱼侵入系统。
键盘记录器示例:
- 大学作弊案:2017年,一名爱荷华大学的学生因入侵教职员工电脑并安装键盘记录器以获取登录凭证来修改成绩而被捕。该学生被定罪后,被判处四个月监禁。
8. 僵尸网络和其他自动化系统
被恶意软件感染以便黑客可以远程控制的计算机称为“僵尸”(bot)。这种僵尸计算机(也称为“肉鸡”)随后可被用于执行其他攻击或加入一组僵尸,即僵尸网络(botnet)。僵尸网络可能包含数百万台设备,并秘密传播。黑客利用僵尸网络进行各种非法活动,例如DDoS攻击、分发垃圾邮件和网络钓鱼信息,以及传播其他恶意软件。
僵尸网络示例:
- Andromeda 恶意软件:Andromeda僵尸网络与80个不同的恶意软件家族有关联。它通过社交媒体、即时通讯、垃圾邮件、漏洞利用工具包等方式传播,最终达到每月新增一百万台机器的规模。2017年,FBI、欧洲刑警组织欧洲网络犯罪中心和其他机构取缔了该行动;然而,大量电脑仍然处于感染状态。
- Mirai:2016年一次大规模的DDoS攻击导致美国东海岸大部分地区互联网无法访问。Mirai僵尸网络是这次攻击的元凶,起初导致当局认为这是敌对国家的产物。Mirai是一种特殊类型的恶意软件,能自动寻找并感染物联网(IoT)设备,将其征召进僵尸网络。然后,这支物联网军队可用于发动DDoS攻击,用恶意流量的洪流淹没目标的服务器。即使到现在,Mirai仍然造成问题。
9. 潜在有害程序感染
潜在有害程序(PUP),即“可能不需要的程序”,是可能包含与下载软件无关的工具栏、弹出窗口和广告的程序。PUP开发者指出,与恶意软件不同,他们的程序是在用户许可下下载的,因此从技术上讲,PUP并不总是恶意软件。然而,众所周知,大多数PUP下载发生在用户不知情的情况下,即用户并未意识到自己已同意下载。
10. 混合型恶意软件
如今,大多数恶意软件是各种恶意软件的混合体,通常包含蠕虫和木马的元素,偶尔还有病毒。当恶意软件程序执行时,对于最终用户来说它通常看起来像木马,但会像蠕虫一样攻击网络上的其他受害者。
11. 无文件恶意软件
无文件恶意软件(Fileless Malware)是一种利用合法程序感染计算机的恶意软件。由于它不依赖于文件且不留痕迹,因此难以发现和清除。尽管无文件恶意软件在2017年成为一种常见的攻击形式,但许多攻击技术已使用了一段时间。
无文件感染直接进入内存,从不接触硬盘驱动器,因为恶意内容并不存储在文件中或直接安装在计算机上。由于其占用空间小且没有文件可扫描,无文件恶意软件正成为网络犯罪分子更受欢迎的替代攻击方法,使得传统防病毒软件更难以识别。
恶意软件感染迹象:
如果你观察到以下任何情况,你的设备可能已感染恶意软件:
- 计算机冻结、崩溃或运行缓慢
- 著名的“蓝屏死机”
- 程序自动启动和停止或自行更改
- 存储容量减少
- 出现更多工具栏、弹出窗口和其他不需要的应用程序
- 未经你许可发送消息和电子邮件
使用防病毒程序保护自己免受恶意软件威胁
使用全面的防病毒软件是抵御恶意软件攻击和潜在有害程序的最佳网络安全措施。它能保护你的数据和设备免受黑客、病毒和恶意软件的侵害。