什么是恶意软件及其类型?
“恶意软件”(Malware)是“恶意软件”(malicious software)的缩写。恶意软件是故意设计用于损害计算机和计算机网络的侵入性软件。另一方面,无意中造成损害的软件通常被称为软件漏洞。
人们有时会询问恶意软件和病毒之间的区别。区别在于,勒索软件(包括病毒、间谍软件、广告软件和勒索软件等各种网络威胁)被称为恶意软件。简单来说,计算机病毒是恶意软件的一种。
恶意软件可以通过网络钓鱼、恶意附件、恶意下载、社会工程和U盘等方式进入网络。本文概述中我们将探讨常见的恶意软件类型。
恶意软件类型
若想保护自己免受侵害,了解各种类型的恶意软件攻击至关重要。一些恶意软件类别至少从名称上看比其他类别更为人所知:
1. 广告软件
广告软件(Adware),全称“广告支持软件”,是在计算机屏幕或移动设备上显示未经请求且有时是恶意广告的软件。它还会将搜索结果重定向到销售广告的网站,并在用户不知情或未同意的情况下收集可出售给广告商的用户数据。广告软件并不总是恶意的;其中一些是安全且合法的。
用户可以通过管理其互联网浏览器中的弹出窗口控制和首选项,或使用广告拦截器,来控制广告软件的频率或允许的下载类型。
广告软件示例:
- Fireball: 2017年,一家以色列软件公司发现全球2.5亿台电脑和五分之一的公司网络感染了Fireball,这使其成为头条新闻。当Fireball侵入您的系统时,它会控制您的浏览器。它会将您的主页更改为虚假的Trotus搜索引擎,并在您访问的每个网站上投放侵入性广告。它还阻止您更改浏览器设置。
- Appearch: 另一个作为浏览器劫持者的常见广告软件是Appearch。它通常与其他免费软件包捆绑在一起,通过用广告淹没浏览器,使网页浏览变得极其困难。当您尝试访问网站时,会显示Appearch.info。如果您成功访问了网页,Appearch会将随机文本段落转换为超链接,导致弹出窗口出现并要求您下载软件更新。
2. 间谍软件
间谍软件是一种隐藏在您的设备上、跟踪您的活动并窃取敏感数据(包括登录凭证、财务信息和账户信息)的恶意软件。通过利用软件漏洞,间谍软件可以通过合法的软件捆绑包或特洛伊木马进行传播。
间谍软件示例:
- CoolWebSearch: 该软件利用Internet Explorer的安全漏洞来控制浏览器、修改其设置,并将浏览信息发送给其创建者。
- Gator: 该程序通常与Kazaa等文件共享应用程序捆绑在一起,跟踪受害者的在线活动,并利用这些数据向他们显示有针对性的广告。
3. 加密恶意软件和勒索软件
勒索软件是一种旨在阻止用户访问其系统或数据直至支付赎金的恶意软件。“加密恶意软件”是一种勒索软件,它会加密用户文件并要求在规定日期前支付赎金,通常使用比特币等虚拟货币。多年来,勒索软件已成为各行各业组织面临的持续威胁。随着越来越多的企业进行数字化转型,成为勒索软件攻击目标的风险也在增加。
勒索软件示例:
- CryptoLocker: 网络犯罪分子在2013年和2014年使用这种常见的恶意软件来访问和加密系统上的文件。他们采用社会工程技术欺骗员工将勒索软件下载到他们的电脑上,从而危及网络。下载后,CryptoLocker会显示赎金通知,承诺在指定截止日期前以现金或比特币支付赎金即可解锁数据。尽管该恶意软件后来被清除,但据信CryptoLocker勒索软件的所有者从轻信的企业那里榨取了约300万美元。
- Phobos: 2019年出现了一种名为Phobos恶意软件的新型勒索软件。该变种基于先前已识别的Dharma(也称为CrySis)勒索软件家族。
4. 木马
木马(也称为特洛伊木马)是一种伪装成可信软件以诱骗您在计算机上运行恶意软件的恶意软件。用户因其看似可靠而下载它,无意中将恶意软件安装到他们的设备上。木马仅仅是一个入口。与蠕虫不同,它们需要宿主才能运行。一旦木马安装在设备上,黑客就可以利用它来访问您的网络、监视网络、删除、修改或窃取数据,或利用该设备加入僵尸网络。
木马示例:
- Qbot 恶意软件: 也称为“Qakbot”或“Pinkslipbot”,其目标是窃取用户信息和银行凭证。自2007年以来一直在运作。该恶意软件不断发展,增加了用于反分析、命令控制和交付的新功能。
- TrickBot 恶意软件: 这是一种由经验丰富的网络犯罪分子创建和运行的木马,于2016年首次被发现。TrickBot最初是作为银行木马窃取财务信息而开发的,但后来已发展成为一种模块化、多阶段的恶意软件,使其操作者能够进行各种非法在线活动。
5. 蠕虫
蠕虫是最常见的恶意软件类型之一,通过利用操作系统中的漏洞在计算机网络中传播。蠕虫是一种独立的程序,无需用户干预即可自行传播并感染其他计算机。由于其快速传播的能力,蠕虫经常被用来执行有效负载,即一段旨在损害系统的代码。有效负载可以窃取数据、删除主机系统中的文件、加密数据以进行勒索软件攻击以及建立僵尸网络。
蠕虫示例:
- SQL Slammer: 这种著名的计算机蠕虫并不通过传统方式传播。相反,它会生成一个随机IP地址,并广播自己以寻找未受防病毒软件保护的IP地址。2003年,在它发生后不久,超过75,000台受感染计算机无意中参与了针对多个知名网站的拒绝服务攻击。尽管多年前就有相关安全补丁可用,但SQL Slammer在2016年和2017年重新出现。
6. 病毒
病毒是一段代码,它侵入应用程序并在应用程序运行时开始执行。一旦病毒进入网络,就可以用来发起勒索软件攻击、DDoS攻击或窃取机密数据。病毒将保持休眠状态,直到被感染的主机文件或程序被激活。它通常通过受感染的网站、文件共享或电子邮件附件下载传播。之后,病毒可以复制并传播到您的整个系统。
病毒示例:
- Stuxnet: 当Stuxnet在2010年首次出现时,人们普遍认为它是美国和以色列政府为阻碍伊朗核计划而创建的。它通过U盘传播,针对西门子工业控制系统,感染离心机并导致它们以前所未有的速度自毁。据信Stuxnet感染了超过20,000台计算机,损坏了伊朗五分之一的核离心机,使该国的计划推迟了数年。
7. 键盘记录器
键盘记录器是一种跟踪用户活动的间谍软件。键盘记录器有合法的用途,例如组织用来监控员工活动,或家庭用来监控孩子的在线活动。然而,当被恶意安装时,键盘记录器可用于窃取银行信息、密码和其他私人数据。键盘记录器可以通过恶意下载、社会工程或网络钓鱼渗透到系统中。
键盘记录器示例:
- 2017年,一名爱荷华大学学生因入侵员工电脑并安装键盘记录器以获取登录凭证来修改成绩而被捕。该学生被定罪后,被判处四个月监禁。
8. 僵尸网络和其他自动化系统
被恶意软件感染以便黑客可以远程控制的计算机称为“僵尸”或“机器人”。这个机器人,也称为僵尸计算机,然后可以被用来执行进一步的攻击或加入一组称为僵尸网络的机器人。僵尸网络可能包含数百万台设备,并秘密传播。黑客将僵尸网络用于各种非法目的,例如DDoS攻击、传播垃圾邮件和网络钓鱼消息,以及传播其他恶意软件。
僵尸网络示例:
- Andromeda 恶意软件: Andromeda僵尸网络与八十个不同的恶意软件家族相关联。它通过社交媒体、即时通讯、垃圾邮件、漏洞利用工具包等方式传播,最终达到每月新增一百万台机器的规模。2017年,FBI、欧洲刑警组织欧洲网络犯罪中心和其他机构关闭了该操作;然而,大量个人电脑仍然被感染。
- Mirai: 2016年一次重大的DDoS攻击导致美国东海岸大部分地区无法访问互联网。Mirai僵尸网络是这次攻击的元凶,起初导致当局认为这是敌对国家的行为。Mirai是一种特殊类型的恶意软件,它会自动寻找物联网设备并感染它们,将其征召加入僵尸网络。然后,这支物联网大军可以被用来发动DDoS攻击,用大量恶意流量淹没目标的服务器。直到现在,Mirai仍然造成问题。
9. 潜在有害程序感染
PUP是“潜在有害程序”的缩写,是可能包含与所下载软件无关的工具栏、弹出窗口和广告的程序。PUP开发者指出,与恶意软件不同,他们的程序是在用户许可下下载的,因此从技术上讲,PUP并不总是恶意软件。然而,众所周知,大多数PUP下载发生在用户不知情的情况下,他们“同意”了下载。
10. 混合型恶意软件
如今,大多数恶意软件是各种恶意软件的混合体,通常包含蠕虫和木马的元素,偶尔还有病毒。当恶意软件程序执行时,对于最终用户来说它通常看起来像木马,但会像蠕虫一样攻击网络上的其他受害者。
11. 无文件恶意软件
无文件恶意软件是一种利用合法程序感染计算机的恶意软件。由于它不依赖文件且不留痕迹,因此很难发现和清除。尽管无文件恶意软件在2017年成为一种常见的攻击形式,但许多攻击技术已经使用了一段时间。
无文件感染直接进入内存,从不接触硬盘驱动器,因为恶意内容不存储在文件中或直接安装在计算机上。由于其足迹小且没有文件可扫描,无文件恶意软件正成为网络犯罪分子更受欢迎的攻击方法,使得传统防病毒软件更难识别。
恶意软件感染迹象
如果您注意到以下任何情况,您的设备可能感染了恶意软件:
- 计算机冻结、崩溃或运行缓慢
- 臭名昭著的“蓝屏死机”
- 程序自动启动、停止或自行更改
- 存储容量减少
- 出现更多工具栏、弹出窗口和其他不需要的应用程序
- 未经您许可发送消息和电子邮件
使用防病毒程序防范恶意软件威胁
使用全面的防病毒软件是防范恶意软件攻击和潜在有害程序的最佳网络安全措施,以保护您的数据和设备免受黑客、病毒和恶意软件的侵害。