惡意軟體分類大全

覺得自己很瞭解惡意軟體？恐怕你的惡意軟體認知需要更新一下了。如何找出和清除惡意軟體也有一些基本的建議可供參考。安全術語層出不窮，能夠正確分類惡意軟體，並知道各類惡意軟體的不同傳播方式，有助於限制和清除這些作惡的小東西。

下面這份簡明惡意軟體大全，能讓你在專家面前顯得很專業。

1. 病毒

電腦病毒是大多數媒體和普通使用者對全部惡意軟體程式的統稱。幸好大多數惡意軟體程式並不是電腦病毒。電腦病毒能夠修改其他合法主機檔案，當受害主機檔案被執行時，病毒自身也能同時一併運行。

純電腦病毒如今不太常見了，在所有惡意軟體中佔不到10%。這是件好事：電腦病毒是唯一一種能夠感染其他檔案的惡意軟體。因為是跟著合法程式執行，此類惡意軟體特別難以清除。最好的防毒軟體也難以將電腦病毒與合法程式分開，絕大多數情況下都是簡單地隔離和刪除被感染的檔案。

 

2. 蠕蟲

蠕蟲的歷史比電腦病毒更加悠久，要追溯到大型主機時代。上世紀90年代末期，電子郵件將電腦蠕蟲帶到大眾視野當中；近十年時間裡，隨電子郵件附件湧來的各種蠕蟲將電腦安全專家團團包圍。只要一名員工打開了一封帶有蠕蟲的電子郵件，整個公司都會被很快感染。

蠕蟲最顯著的特徵就是自我複製能力。以臭名昭著的“Iloveyou”蠕蟲為例：爆發時，世界上幾乎每一位電子郵件使用者都遭到了襲擊，電話系統超載，電視網路當機，甚至晚報都被延遲了半天。其他幾個蠕蟲，包括SQL Slammer和MS Blaster。讓蠕蟲在電腦安全的歷史上佔了一席之地。

蠕蟲的破壞性來源於其無需終端使用者操作的傳播能力。與之相對，電腦病毒則需要終端使用者至少點擊一下，才可以感染其他的無辜軟體和使用者。蠕蟲利用其他檔案和程式來幹感染無辜受害者的帳戶。舉個例子，利用微軟SQL中的一個漏洞 (已修復)，SQL Slammer 蠕蟲在約10分鐘之內在幾乎每一台沒有修補的SQL伺服器上引發了緩衝區溢位——該傳播速度紀錄至今未破。

 

3. 木馬

電腦蠕蟲已經被特洛伊木馬惡意軟體程式替代，成為了駭客的網路攻擊武器之首選。木馬偽裝成合法程式，但攜帶惡意指令。病毒恒久遠，木馬永流傳。如今的電腦上，木馬比其他任何一種惡意軟體都常見。

特洛伊木馬要受害用戶點擊執行之後才可以進行惡意操作。木馬程式通常透過電子郵件傳遞，或者在用戶訪問被感染網站時推送。偽裝成防毒軟體的木馬最為流行。此類木馬會彈出一個對話視窗，宣稱用戶已經遭到了感染，然後指示使用者去執行某個程式以清掃電腦。用戶一旦聽令行事，木馬就會在使用者的系統中紮根了。

木馬難以防禦的原因主要有兩個：易於編寫 (網路罪犯常製作和販售木馬構建工具包)，以及便於通過欺騙終端使用者來傳播—補丁、防火牆和其他傳統防禦措施都擋不住終端使用者的手賤。惡意軟體編寫者每個月都能產出數百萬個木馬。反惡意軟體供應商已在盡力對抗，但特徵碼實在太多，無暇兼顧。

 

4. 混合型惡意軟體

時至今日，絕大多數惡意軟體都是傳統惡意程式的綜合體，往往既有木馬和蠕蟲的部分，有時也兼具病毒的特徵。惡意軟體程式呈現在終端使用者面前時還是木馬的樣子，一旦執行，便會通過網路攻擊其他受害者，就像蠕蟲一樣。

今天的很多惡意軟體程式都可被認為是rootkits或隱藏程式。惡意軟體程式往往會嘗試修改底層作業系統以獲取最終控制權，並繞過反惡意軟體程式的檢測。想擺脫此類惡意程式，使用者必須從記憶體中清除其控制元件——從反惡意軟體掃描開始。

機器人程式一般都是木馬/蠕蟲的組合，試圖將每一個被利用的用戶端集結起來，組成一個更大的惡意程式網路——僵屍網路。僵屍網路的主人擁有一台或多台“命令與控制(C&C)”伺服器，僵屍用戶端會向這些C&C伺服器報到，接收伺服器上發佈的指令。僵屍網路的規模有大有小，從數千台被駭電腦，到由數十萬台被駭系統組成的巨大網路都有。這些僵屍網路往往被出租給其他網路罪犯，再由這些網路罪犯利用僵屍網路去執行他們各自的惡意企圖。

 

5. 勒索軟體

最近幾年裡，通過加密使用者資料來索要贖金的惡意軟體廣為流行，且此類惡意軟體的所占比例還在擴大。勒索軟體往往能使公司企業、醫療機構、司法機關，甚至整個城市的運轉陷入癱瘓。

大部分勒索軟體都是木馬，也就是說必須通過某種形式的社交工程方法進行傳播。一旦成功植入並運行起來，大部分勒索軟體都會在數分鐘裡尋找並加密用戶的檔案，少數勒索軟體則會採取“等待觀望”的戰術。通過在啟動加密流程前花幾小時觀察使用者，勒索軟體管理員可以算出受害者的贖金承受能力，並確保刪除或加密其他份的備份檔案。

與其他類型的惡意程式相同，勒索軟體是可以被預防的。但如果沒有有效的備份檔案，一旦中招，就很難再逆轉勒索軟體造成的破壞了。研究顯示，約1/4的受害者選擇支付贖金，其中約30%即便支付了贖金也未能解鎖自己已經被鎖定的檔案。無論如何，想要解鎖被加密的檔，即便有可能，也需要特定的工具、解密金鑰，以及很多很多的運氣。對付勒索軟體最行之有效的建議，就是確保所有關鍵檔案都有良好的離線備份。

 

6. 無檔案病毒

準確來講，無檔案病毒並不能真算是一種單獨的惡意軟體類型，更像是對該惡意軟體如何進行漏洞利用和在受害主機上駐留的一種描述。傳統惡意軟體利用檔案系統進行橫向移動和感染新的系統。如今在惡意軟體占比中超過50%以上的無檔案惡意軟體，則並不直接利用檔案和檔案系統。這種惡意軟體只在記憶體中進行漏洞利用和傳播，或者使用其他的非檔案類作業系統物件，比如登錄檔、API，或者計畫任務。

很多無檔案病毒攻擊從利用已存在的合法進程變身新啟動的“子進程”開始，或者利用作業系統中自帶的合法工具，比如微軟的PowerShell。最終結果就是無檔案攻擊更難以檢測和阻止。如果你想謀求一份電腦安全職位，那你最好儘快熟悉常見的無檔案攻擊技術和程式。

 

7. 廣告軟體

只遇到過廣告軟體的人都是幸運的。這種軟體僅僅是向被駭終端使用者呈現不願接收的潛在惡意廣告。常見廣告軟體可能會將使用者的流覽器搜索重定向到看起來長得很像但包含其他產品推送的頁面。

 

8. 惡意廣告

惡意廣告與廣告軟體不同，惡意廣告攻擊是利用合法廣告和廣告網路秘密投送惡意軟體到使用者的電腦。舉個例子，網路罪犯可能會在合法網站上投放一個廣告。當用戶點擊這個廣告，廣告中隱藏的代碼要麼將用戶重定向到惡意網站，要麼直接在他們的電腦上安裝惡意軟體。某些情況下，廣告中嵌入的惡意軟體可能無需使用者操作就能自動執行，這種技術被稱為 “路過式下載”。

網路罪犯也會利用被黑合法廣告網路向很多網站投送廣告。這也是為什麼《紐約時報》、Spotify和倫敦股交所之類流行網站常會淪為惡意廣告載體的原因。

網路罪犯使用惡意廣告當然是為了賺錢。惡意廣告能夠投送任意類型的撈錢惡意軟體，包括勒索軟體、加密貨幣挖礦腳本，或者銀行木馬。

 

9. 間諜軟體

間諜軟體常被人用來查看自己所愛之人的電腦活動。當然，在針對性攻擊裡，網路罪犯也會運用間諜軟體記錄下受害者的擊鍵動作，獲取登錄口令和智慧財產權。

廣告軟體和間諜軟體程式通常是最容易清除的，因為此類軟體的目的不像其他類型的惡意軟體那麼兇狠。找到此類軟體的惡意執行程式，停止進程，阻止啟動，也就清除了威脅。

廣告軟體和間諜軟體中存在的更大顧慮，是它們利用電腦和使用者的機制，可能是社交工程、未經修補的軟體，或者其他十來種root許可權利用途徑。間諜軟體和廣告軟體目的雖然不像遠端存取木馬後門那麼邪惡，但都利用了同一套入侵方法。廣告軟體和間諜軟體的存在，應該被當成設備或使用者已有某種漏洞的早期警報，在真正的傷害造成前加以修復。

 

找出並清除惡意軟體

今天，很多惡意軟體都以木馬和蠕蟲的形式出現，然後連結回一個僵屍網路，讓攻擊者進入受害者的電腦和網路。很多進階持續性威脅的APT攻擊的運作流程如下：使用木馬獲取初始立足點，以便進入到成百上千家公司，搜尋感興趣的智慧財產權。絕大多數惡意軟體都是為了盜取金錢—直接清空一個銀行帳戶，或者通過盜取指令或身份來間接獲取。

如果你夠走運，你會發現利用微軟自動運行、進程管理器或 Silent Runners 的惡意可執行程式。如果惡意軟體是隱藏式的，你就得先從記憶體中清除掉隱藏元件，然後再分辨出該惡意程式的其他部分。可通過進入微軟Windows安全模式來清除可疑隱藏元件(有時候改個檔案名就行)，然後多運行幾次防毒軟體來清除遺留檔案，也可以利用進程管理器來發現並清除惡意軟體。

不幸的是，找到並清除單一個惡意軟體元件可能是在白費勁，很容易找錯或漏掉元件。而且，你並不清楚惡意軟體有沒有將系統修改成無法重回完全可信的狀態。

除非你有上過專門惡意軟體清除課程和取得專業證照，否則最好在發現電腦感染了惡意軟體時，立即備份資料、格式化硬碟，並重新安裝程式和資料。注意隨時更新修補程式，確保終端使用者知道自己都做錯了什麼。這樣你才能獲得一個可信的電腦平臺，不留任何風險和問題地在資安安全戰場上繼續前行。