恶意软件全面解析:定义、分类及知名攻击实例

本文深入剖析了恶意软件(Malware)的核心定义及其主要类型,包括广告软件、间谍软件、勒索软件、木马、蠕虫、病毒等,并通过Fireball、CryptoLocker、Stuxnet、Mirai等多个著名实例详细阐述了各类恶意软件的运作机理与危害,是了解网络威胁基础的全面指南。

什么是恶意软件及其类型?

“恶意软件”(Malware)是“恶意软件”(malicious software)的缩写。它是一种入侵性软件,被有意设计用于损害计算机和计算机网络。另一方面,无意中造成损害的软件通常被称为软件漏洞(software bug)。

人们有时会询问恶意软件和病毒之间的区别。关键在于,恶意软件是一个总称,涵盖了包括病毒、间谍软件、广告软件和勒索软件在内的各种网络威胁。简而言之,计算机病毒是恶意软件的一种。

恶意软件可以通过多种方式进入网络,例如网络钓鱼、恶意附件、恶意下载、社会工程学攻击以及U盘。本文概述了常见的恶意软件类型。

恶意软件的类型

如果你想保护自己免受侵害,了解不同类型的恶意软件攻击至关重要。至少从名称上看,某些类别的恶意软件比其他类别更为人熟知:

1. 广告软件 (Adware) 广告软件(Advertising-supported software)是指在计算机屏幕或移动设备上显示未经请求、有时甚至是恶意广告的软件。它还会将搜索结果重定向到销售广告的网站,并在用户不知情或未同意的情况下收集可出售给广告商的用户数据。广告软件并不总是恶意的;其中一些是安全且合法的。 用户可以通过管理其互联网浏览器中的弹窗控制和偏好设置,或使用广告拦截器,来控制广告软件的频率或他们允许的下载类型。 广告软件示例:

  • Fireball(火焰球): 2017年,一家以色列软件公司发现全球有2.5亿台电脑和五分之一的公司网络感染了Fireball,这使其成为头条新闻。当Fireball侵入你的系统时,它会控制你的浏览器。它会将你的主页更改为假冒的Trotus搜索引擎,并在你访问的每个网站上强制显示侵入性广告,同时阻止你更改浏览器设置。
  • Appearch: 另一个作为浏览器劫持者的常见广告软件是Appearch。它通常与其他免费软件捆绑安装,通过用广告淹没浏览器使网页浏览变得极为困难。当你尝试访问网站时,可能会被重定向到Appearch.info。即使你成功访问了网页,Appearch也会将随机文本段落转换为超链接,导致弹出窗口出现并要求你下载软件更新。

2. 间谍软件 (Spyware) 间谍软件是一种隐藏在设备上的恶意软件,它会监控你的活动并窃取敏感数据,包括登录凭据、财务信息和账户信息。间谍软件通过利用软件漏洞、捆绑在合法的软件包中或通过木马进行传播。 间谍软件示例:

  • CoolWebSearch: 该软件利用Internet Explorer的安全漏洞来控制浏览器、修改其设置,并将浏览数据发送给其创建者。
  • Gator: 该程序通常与Kazaa等文件共享应用程序捆绑在一起,它会跟踪受害者的在线活动,并利用这些数据向他们显示针对性的广告。

3. 加密恶意软件与勒索软件 (Crypto-malware and Ransomware) 勒索软件旨在阻止用户访问其系统或数据,直到支付赎金。被称为“加密恶意软件”的勒索软件会加密用户文件,并要求在特定日期前支付赎金,通常使用比特币等虚拟货币。多年来,勒索软件已成为各行业组织面临的持续威胁。随着越来越多的企业进行数字化转型,成为勒索软件攻击目标的风险也在增加。 勒索软件示例:

  • CryptoLocker: 网络犯罪分子在2013年和2014年常用的一种恶意软件,用于访问和加密系统上的文件。犯罪分子利用社会工程学手段欺骗员工将勒索软件下载到他们的电脑上,从而入侵网络。下载后,CryptoLocker会显示赎金通知,承诺在指定截止日期前支付现金或比特币即可解锁数据。据信,尽管该恶意软件后来已被清除,但其所有者已从容易受骗的企业那里榨取了约300万美元。
  • Phobos 恶意软件: 2019年出现的一种新型勒索软件。该变种基于之前发现的Dharma(也称为CrySis)勒索软件家族。

4. 木马 (Trojans) 木马(也称为特洛伊木马)是一种伪装成可信软件,诱骗你在计算机上运行恶意软件的程序。用户因其看似可靠而下载它,无意中将恶意软件引入设备。木马本身只是一个入口。与蠕虫不同,它们需要宿主程序才能运行。一旦木马安装在设备上,黑客就可以利用它来访问你的网络、进行监控、删除、修改或窃取数据,或者利用该设备加入僵尸网络。 木马示例:

  • Qbot 恶意软件: 也称为“Qakbot”或“Pinkslipbot”,其目的是窃取用户信息和银行凭证。自2007年以来一直活跃。该恶意软件不断发展,增加了反分析、命令控制和传播的新功能。
  • TrickBot 恶意软件: 一种由经验丰富的网络犯罪分子创建和运营的木马,首次发现于2016年。TrickBot最初是作为银行木马窃取财务信息而开发的,但后来已发展成为模块化、多阶段的恶意软件,使其操作者能够进行广泛的非法在线活动。

5. 蠕虫 (Worms) 蠕虫是最常见的恶意软件类型之一,它通过利用操作系统中的漏洞在计算机网络中传播。蠕虫是一种独立的程序,无需用户干预即可自行传播并感染其他计算机。由于其快速传播的能力,蠕虫常被用来执行有效载荷(payload)——一段旨在损害系统的代码。有效载荷可以窃取数据、删除主机系统中的文件、为勒索软件攻击加密数据以及构建僵尸网络。 蠕虫示例:

  • SQL Slammer: 这种著名的计算机蠕虫不通过传统方式传播。它会生成一个随机IP地址,并向未受杀毒软件保护的IP地址广播自身进行传播。2003年,在其发生后不久,超过75,000台被感染的计算机无意中参与了针对多个知名网站的拒绝服务攻击。尽管相关的安全补丁已发布多年,但SQL Slammer在2016年和2017年再度活跃。

6. 病毒 (Viruses) 病毒是一种侵入应用程序并在其运行时开始执行的代码。一旦病毒进入网络,它可以被用来发起勒索软件攻击、DDoS攻击或窃取机密数据。病毒会保持休眠状态,直到受感染的主机文件或程序被激活。它通常通过受感染的网站、文件共享或电子邮件附件下载进行传播。之后,病毒可以在你的系统中复制和传播。 病毒示例:

  • Stuxnet(震网): 当Stuxnet在2010年首次出现时,普遍认为是由美国和以色列政府创建,旨在破坏伊朗的核计划。它通过U盘传播,针对西门子工业控制系统,感染离心机并使其以前所未有的速度自毁。据信Stuxnet感染了超过20,000台计算机,损坏了伊朗五分之一的核离心机,使该国计划拖延数年。

7. 键盘记录器 (Keylogger) 键盘记录器是一种监控用户活动的间谍软件。键盘记录器有合法用途,例如公司用于监控员工活动或家庭用于监控孩子的在线活动。但是,当恶意安装时,键盘记录器可用于窃取银行信息、密码和其他私人数据。键盘记录器可以通过恶意下载、社会工程学或网络钓鱼等方式侵入系统。 键盘记录器示例:

  • 2017年,一名爱荷华大学的学生因入侵员工电脑并安装键盘记录器以获取登录凭据来修改成绩而被捕。该学生被定罪后,被判处四个月监禁。

8. 僵尸网络和其他自动化系统 (Botnets and other automated systems) 被恶意软件感染以便黑客可以远程控制的计算机称为“机器人”或“僵尸”。这个僵尸计算机随后可被用来发动进一步攻击或加入一个称为僵尸网络的机器人群体。僵尸网络可能悄无声息地传播,包含数百万台设备。黑客将僵尸网络用于各种非法目的,例如发动DDoS攻击、分发垃圾邮件和网络钓鱼信息,以及传播其他恶意软件。 僵尸网络示例:

  • Andromeda(仙女座)恶意软件: 与仙女座僵尸网络相关的恶意软件家族多达80个。它通过社交媒体、即时通讯、垃圾邮件、漏洞利用工具包等方式传播,规模一度达到每月新增一百万台机器。2017年,FBI、欧洲刑警组织的欧洲网络犯罪中心和其他机构取缔了该行动,但仍有大量电脑被感染。
  • Mirai: 2016年一次重大的DDoS攻击导致美国东海岸大部分地区互联网瘫痪。此次攻击由Mirai僵尸网络发起,最初导致当局认为它是由敌对民族国家所为。Mirai是一种特殊类型的恶意软件,会自动搜索并感染物联网设备,将其征召进僵尸网络。这个物联网大军随后可被用来发动DDoS攻击,用恶意流量洪水淹没目标的服务器。直至今日,Mirai仍在造成问题。

9. 潜在有害程序 (PUP) 感染 PUP是“潜在有害程序”(Potentially Unwanted Programs)的缩写,这些程序可能包含与所下载软件无关的工具栏、弹出窗口和广告。PUP开发者指出,与恶意软件不同,他们的程序是在用户许可的情况下下载的,因此从技术上讲,PUP并不总是恶意软件。然而,众所周知,大多数PUP下载发生在用户未意识到他们已同意下载的情况下。

10. 混合型恶意软件 (Blends) 如今,大多数恶意软件是不同类型恶意软件的混合体,通常包含蠕虫和木马的成分,偶尔还有病毒。当恶意软件程序执行时,对于最终用户来说它通常看起来像木马,但在网络中攻击其他受害者时却像蠕虫。

11. 无文件恶意软件 (Fileless Malware) 无文件恶意软件是一种利用合法程序感染计算机的恶意软件。它不依赖于文件,也不留下痕迹,因此难以发现和清除。尽管无文件恶意软件在2017年成为一种常见的攻击形式,但其许多攻击技术已被使用了一段时间。 无文件感染直接进入内存,永远不会接触硬盘,因为恶意内容不存储在文件中,也不直接安装在计算机上。由于其占用空间小且没有文件可供扫描,无文件恶意软件正成为网络犯罪分子越来越流行的攻击手段,使得传统杀毒软件更难检测。

恶意软件感染的迹象: 如果你的设备出现以下任何情况,可能已感染恶意软件:

  • 计算机冻结、崩溃或运行缓慢
  • 臭名昭著的“蓝屏死机”
  • 程序自动启动、停止或自行更改
  • 存储容量减少
  • 出现更多工具栏、弹窗和其他不需要的应用程序
  • 消息和电子邮件在你不知情的情况下被发送

使用反病毒程序保护自己免受恶意软件威胁 使用全面的反病毒软件是抵御恶意软件攻击和潜在有害程序的最佳网络安全措施,以保护你的数据和设备免受黑客、病毒和恶意软件的侵害。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次