盤點常見的惡意軟件類型

■ 河北 劉興

編者按：如今惡意軟件大行其道，給個人和企業帶來極大的安全威脅。本文將盤點9 種常見的惡意軟件類型及其特點，來幫助用戶在今后能夠有效規避來自各類惡意軟件的威脅。

近年來惡意軟件蔓延迅速，給個人和企業造成了巨大損失。因此弄清楚惡意軟件的類型非常重要，只有充分了解各種類型的惡意軟件及其傳播方式，才能更好地遏制和消除它們。

以下盤點9 種常見的惡意軟件類型及其特點，可幫助您在今后能夠避免受到惡意軟件的侵蝕。

1.病毒

大多人將計算機病毒與惡意軟件程序相混淆。但請注意，大多數惡意軟件程序并不是病毒。計算機病毒是通過修改其他合法主機文件（或指向它們的指針）的方式是來進行入侵，當用戶在執行受感染的文件時，病毒也會隨之被執行。

如今，純粹的計算機病毒并不常見，僅占所有惡意軟件的不到10%。這或許是一個好現象：病毒是唯一“感染”其他文件的惡意軟件，這使得它們特別難以清除，這也是這么多年來病毒依舊猖獗的原因。而當前最好的防病毒軟件也很難將其徹底清除，在很多情況下，它們只會隔離或刪除受感染的文件。

2.蠕蟲

蠕蟲的出現時間甚至比計算機病毒還要早，可以追溯到大型機時代，并隨著電子郵件在上世紀90 年代末的流行而生。近10 多年來，蠕蟲攻擊常以郵件附件形式出現。只要公司里一個人打開一封包含蠕蟲的電子郵件，整個公司都會很快受到感染。

蠕蟲的獨特之處在于它的自我復制能力。以臭名昭著的Iloveyou 蠕蟲為例：它幾乎襲擊了世界上每個電子郵件用戶，并造成電話系統過載（帶有欺詐性發送的文本）甚至電視網絡癱瘓。其他幾種蠕蟲包括SQL Slammer 和MS Blaster，在計算機安全發展歷程中的具有重要地位。

蠕蟲如此巨大的破壞力是由于它的擴散能力，而無需用戶觸發。相比之下，病毒則要求用戶至少將其啟動，然后才能嘗試感染其他文件和用戶。而蠕蟲會利用其他文件和程序來進行傳播。 例如，SQL Slammer蠕蟲可以使那些未修補Microsoft SQL 漏洞（已修補）的連接Internet 的SQL服務器在不到10 min 內受到感染，并引起緩沖區溢出。這一速度記錄至今仍難撼動。

3.木馬

如今計算機蠕蟲已被Trojan 惡意軟件所取代，成為黑客的首選攻擊武器。木馬往往會偽裝成合法程序，但其中包含了惡意指令。木馬已經存在了很長時間，甚至比計算機病毒還更長，它對當前計算機的控制比任何其他類型的惡意軟件都強。

Trojan 木馬必須由受害者執行操作才能觸發。木馬通常通過電子郵件傳播，或者在用戶訪問受感染的網站時被感染到用戶設備或系統中。目前最為流行的Trojan類型是偽造的防病毒程序，該程序會彈出類似“您已被感染”的信息，然后引誘用戶運行該程序來清潔PC。用戶一旦點擊執行，就會觸發木馬程序。

特別是遠程訪問木馬（RAT）在網絡犯罪分子中流行廣泛。RAT 可以使攻擊者在網絡中橫向移動并感染整個網絡，從而對受害者的計算機進行遠程控制。此類木馬意在逃避檢測。網絡攻擊者甚至不需要自己編寫，通過網絡黑市即可得到眾多現成的RAT。

特洛伊木馬很難防御的原因在于：它們很容易編寫（網絡犯罪分子通常生產并兜售特洛伊木馬構建工具包），并采取欺騙手法來感染用戶。補丁、防火墻和其他傳統防御手段難以防范。惡意軟件編寫者每月能夠制作出數以百萬計的特洛伊木馬，因簽名太多，使得反惡意軟件供應商往往無法跟上網絡攻擊者的步伐。

4.變種和混合形態

如今的大多數惡意軟件都是來自傳統惡意程序的混合形態，通常包括特洛伊木馬和蠕蟲的一部分，偶爾還包括病毒。某個惡意軟件程序看起來似乎是特洛伊木馬，但一旦被執行，它就會像蠕蟲一樣通過網絡傳播并攻擊其他受害者。

許多惡意軟件都屬于rootkit 或隱形程序。惡意軟件通常會嘗試修改目標用戶的底層操作系統，以對其進行最終控制，并規避反惡意軟件的檢測。要清除這些類型的惡意軟件，必須從反惡意軟件掃描開始，從內存中刪除控制組件。

僵尸程序實質上是特洛伊木馬或蠕蟲病毒的組合，能夠控制單個用戶客戶端并使其成為更大的惡意網絡的一部分。僵尸主控機具有一臺或多臺“命令和控制”服務器，被感染的主機將通過一個控制信道接收主控機的指令。僵尸網絡的大小不一，從數千臺受感染的計算機到大型網絡，只有一個僵尸網絡主控者才能控制數十萬個系統。這些僵尸網絡通常被出租給其他網絡犯罪分子，然后將其用于各種網絡攻擊活動。

5.勒索軟件

在過去的幾年中，通過對用戶數據進行加密實施勒索的惡意軟件（勒索軟件）已在整個惡意軟件中占了很大的比例，并且這一比例仍在增長。勒索軟件可使政府部門、醫院、企業乃至整個城市陷入癱瘓。

大多數勒索軟件是特洛伊木馬程序，這意味著它們必須通過某種社會工程學手段進行傳播。而它們一旦被執行，就會在幾分鐘之內查找并加密用戶的文件，如果沒有解密秘鑰，這些被加密的文件則極難被解密。通過對目標用戶的深入了解，網絡犯罪分子可以準確勒索受害者的贖金金額，特別是那些沒有及時備份關鍵數據的受害者，面對這些手段勢必將無所應對。

就像其他所有類型的惡意軟件一樣，勒索軟件也是可以防范的。但是正如前所述，用戶沒有及時備份數據，那么損失就將不可避免了。一些研究表明，大約1/4 的受害者為此支付了贖金，其中大約30%的文件卻仍舊未被解密。解鎖加密的文件需要特定的工具或解密密鑰，除此之外就只剩下運氣了。因此，針對勒索軟件攻擊，最好的建議就是確保您對所有關鍵數據都擁有有效的備份。

6.無文件惡意軟件

無文件惡意軟件其實并不是真正的惡意軟件類別，也不是字面意義上的沒有文件，而是更多形容它們的高度隱蔽性。傳統惡意軟件使用文件系統傳播并感染目標系統。而無文件惡意軟件則是不使用本地持久化技術或者說完全駐留在內存之中的惡意代碼。目前無文件惡意軟件占所有惡意軟件的50%以上，并且還在不斷增長。無文件惡意軟件通常在內存中或使用其他“非文件”OS對象（例如，注冊表項、API 或計劃任務）來進行傳播。

許多無文件攻擊的開始階段都是利用現有的合法程序，成為新啟動的“子進程”（sub-process），或者使用操作系統中內置的現有合法工具（例如Microsoft 的PowerShell）。這就導致它們極難被檢測和阻止。

7.廣告軟件

嚴格意義上講，廣告軟件也屬于惡意軟件的一種，同時可能也是我們每一個人最可能接觸到的。除了不勝其煩的廣告之外，由于廣告軟件會試圖將用戶暴露給有害的、潛在的惡意廣告，所以它也具有一定危害性。而且常見的廣告軟件可能會將用戶的瀏覽器搜索重定向到包含其他產品促銷的相似網頁。

8.惡意廣告

請注意，這里不要與廣告軟件相混淆，惡意廣告是指使用合法的廣告或廣告網絡將惡意軟件秘密傳播給毫無戒心的用戶。例如，網絡犯罪分子可能會通過付費將廣告放置在合法網站上，當用戶點擊廣告時，廣告中的代碼會將用戶重定向到某些惡意網站，或者在用戶計算機上安裝惡意軟件。在某些情況下，廣告中嵌入的惡意軟件可能會自動執行，而無需用戶進行點擊，這種技術也被稱為路過式下載（driveby download）（在未經用戶同意或不知情的情況下自動下載到計算機上）。

除此之外，網絡犯罪分子還會破壞那些合法廣告，這就使得許多合法網站經常成為惡意廣告的媒介，這也導致許多瀏覽合法網站的用戶可能處于危險之中。

當然，使用惡意廣告的網絡犯罪分子的目標是賺錢。惡意廣告可以傳播任何類型的賺錢惡意軟件，包括勒索軟件、加密采礦腳本或銀行木馬。

9.間諜軟件

間諜軟件通常是那些非法獲取秘密信息的間諜，或由試圖檢查他人隱私的人所使用。當然，在有針對性的攻擊中，網絡犯罪分子可以使用間諜軟件記錄受害者的某些諸如擊鍵的行為來盜取密碼。

廣告軟件和間諜軟件通常最容易刪除，只需查找到惡意可執行文件并阻止其執行，然后刪除即可。

但與廣告軟件相比，更大的擔憂來自于間諜軟件通常被用于利用某些方式，例如社會工程、未修補的軟件或其他易被利用的方式來實施攻擊。盡管間諜軟件或廣告軟件的意圖不一定是惡意的，例如后門遠程訪問特洛伊木馬，但它們都使用相同的方法實施入侵。當用戶計算機系統中出現了廣告軟件或間諜軟件，就應當及時刪除，并全面檢查系統，以免引入其他安全威脅。

查找和刪除惡意軟件

找到并刪除單個惡意軟件程序組件可能并不那么容易，因為這很容易造成其他錯誤。另外，我們也并不清楚惡意軟件已經對系統造成了怎樣的破壞，我們是否還能充分信任我們自己的系統安全性。

除非您在惡意軟件的清除和取證方面受過良好的培訓，否則當在計算機上發現惡意軟件時，請先備份好數據（如果需要），然后格式化驅動器并重新安裝程序和數據。同時做好修補程序，以確保萬一出現錯誤還能及時進行恢復。這樣才能夠真正重新獲得計算機系統的安全性。