10種計算機惡意軟件的本質(zhì)完全解析

從大量各種各樣的專業(yè)術(shù)語、定義和專用名詞中， 找出和計算機惡意軟件相關(guān)的部分是一件非常困難的事情。 因此， 為了保證下面分析的可靠性， 我們首先要確定的就是將用于整篇文章的關(guān)鍵術(shù)語：

　　· 惡意軟件：所謂惡意軟件指的是專門開發(fā)用于在沒有獲得用戶許可的情況下潛入計算機或者給系統(tǒng)造成損害的軟件。

　　· 惡意代碼：惡意代碼指的是惡意的程序代碼， 是基于軟件的應(yīng)用程序， 通常被稱為惡意軟件的有效部分。

　　· 反惡意軟件工具：這個概念包括了用來處理惡意軟件的所有程序， 不論它是用來進行實時保護， 還是檢測和刪除現(xiàn)有的惡意軟件。 反病毒、反間諜軟件應(yīng)用和惡意軟件掃描工具都屬于反惡意軟件工具的范疇。

　　關(guān)于惡意軟件需要記住的一件重要事情就是， 如同生物一樣， 它的首要目標(biāo)是復(fù)制。 至于破壞計算機系統(tǒng)、銷毀數(shù)據(jù)或竊取敏感信息， 都是次要的目標(biāo)。

　　確定了相關(guān)的定義后， 就讓我們來看看目前流行的十種不同類型的惡意軟件。

　　1. 臭名昭著的計算機病毒

　　計算機病毒是可以感染計算機的惡意軟件， 但它們需要其它方面的一些手段提供支持。 一個真正的病毒可以通過某種形式的可執(zhí)行代碼從一臺計算機傳播到另一臺。 舉例來說， 病毒可以隱藏在電子郵件包含的PDF文件中。 大多數(shù)病毒包括以下三個方面的功能：

　　· 復(fù)制：一旦宿主程序被激活， 病毒和病毒惡意代碼進行的第一個操作就是傳播。

　　· 隱藏：計算機病毒可以采用多種方法隱藏起來， 以防止被反惡意軟件工具發(fā)覺。

　　· 有效部分：對于病毒來說惡意代碼的有效部分可以用來進行任何操作， 從關(guān)閉計算機到銷毀數(shù)據(jù)都是可以實現(xiàn)的操作。

　　W32.Sens.A、W32.Sality.AM和W32.Dizan.F就是目前比較流行的計算機病毒實例。 大部分優(yōu)秀的反病毒軟件都可以在獲得病毒特征碼后將其清除。

　　2. 日益流行的計算機蠕蟲

　　與病毒比起來， 計算機蠕蟲復(fù)雜的多， 可以在沒有經(jīng)過用戶許可的情況下進行復(fù)制。 如果惡意軟件利用網(wǎng)絡(luò)(因特網(wǎng))進行傳播， 它屬于蠕蟲的可能性比病毒大得多。 蠕蟲的主要組成部分是：

　　· 入侵工具：利用受害人計算機的漏洞獲取進入方式的惡意代碼。

　　· 安裝工具：入侵工具讓計算機蠕蟲可以繞過系統(tǒng)的安全防護機制。 接下來， 安裝工具就接管了控制權(quán)， 并開始將惡意代碼的主體傳輸?shù)绞芎Φ挠嬎銠C上。

　　· 發(fā)現(xiàn)工具：一旦安裝完畢， 蠕蟲就會開始使用幾種不同的方法來查找網(wǎng)絡(luò)上的其他計算機， 這些方法包括了尋找電子郵件地址、主機列表以及進行DNS信息查詢。

　　· 掃描工具：蠕蟲利用掃描工具來確認新發(fā)現(xiàn)的目標(biāo)計算機中是否存在可以被入侵工具攻擊的漏洞。

　　· 有效部分：駐留在每個受害人計算機上的惡意代碼， 可以利用遠程連接的應(yīng)用從日志記錄器那里獲取用戶名和密碼。

　　自從1988年莫里斯蠕蟲出現(xiàn)開始， 這種類型已經(jīng)成為惡意軟件中數(shù)量最多的部分。 直到今天， Conficker蠕蟲還在四處感染計算機系統(tǒng)。 包括MBAM、GMER在內(nèi)的惡意軟件掃描工具可以清除大部分的計算機蠕蟲。

　　3. 未知的后門軟件

　　后門軟件類似我們當(dāng)中的很多人一直在使用的遠程訪問程序。 它們之所以被當(dāng)著惡意軟件， 是因為在安裝的時間沒有經(jīng)過使用者的容許， 而這正是網(wǎng)絡(luò)攻擊者想做的事情。 后門軟件通常采用下面給出的安裝模式：

　　· 一種安裝方法是利用目標(biāo)計算機上的漏洞。

　　· 另一種方法是通過社會工程的方法誘騙用戶， 讓其在不知情的環(huán)境下安裝后門軟件。

　　一旦安裝完成， 后門軟件就可以讓攻擊者通過遠程訪問攻擊獲得計算機的完全控制權(quán)。 常見的后門軟件包括SubSeven、NetBus、深喉(Deep Throat)、 Back Orifice以及Bionet等等。 通常情況下， 包括MBAM和GMER在內(nèi)的惡意軟件掃描工具可以成功地清除后門軟件。

　　4. 神秘的特洛伊木馬

　　很難找到比埃德·斯考迪斯和萊尼·澤來特在他們的作品《惡意軟件的真相：我們應(yīng)該怎樣對抗惡意代碼》中給出的關(guān)于特洛伊木馬惡意軟件更好的定義了：

　　“所謂特洛伊木馬， 就是指一種從表面上看起來包含了有用或好的功能， 但實際上是為了掩蓋惡意功能的程序。 ”

　　在安裝的時間， 特洛伊木馬具有破壞性的有效部分會自動運行， 并進行偽裝， 防止反惡意軟件工具發(fā)現(xiàn)惡意代碼的存在。 下面列出的偽裝技術(shù)就經(jīng)常會被特洛伊木馬采用：

　　· 重命名：惡意軟件會偽裝成為常見的文件。

　　· 暗中破壞：當(dāng)系統(tǒng)中已經(jīng)存在惡意軟件的話， 反惡意軟件工具的安裝往往是無法成功的。

　　· 多態(tài)代碼：對代碼進行多態(tài)變換可以讓惡意軟件特征碼的更新速度比防御軟件的檢索速度更快， 可以達到隱藏自身的目的。

　　Vundo就是一個最好的例子;它可以欺騙反間諜軟件， 創(chuàng)建彈出的廣告窗口， 降低系統(tǒng)的性能， 并干擾網(wǎng)頁瀏覽活動。 通常情況下。 安裝在LiveCD上的惡意軟件掃描工具可以檢測并清除特洛伊木馬。

　　5. 給人們帶來大量煩惱的廣告軟件/間諜軟件

　　廣告軟件指的是可以在未經(jīng)用戶許可的情況下創(chuàng)建彈出廣告的軟件。 通常情況下， 廣告軟件是作為一個組成部分安裝在免費軟件中的。 除了非常討人嫌以外， 廣告軟件還會顯著降低計算機的性能。

　　間諜軟件指的是可以在使用者不知情的情況下從計算機上收集信息的軟件。 為什么閱讀用戶協(xié)議是非常重要的， 就是因為間諜軟件經(jīng)常采用臭名昭著的自由軟件作為有效載體。 關(guān)于間諜軟件最典型的例子就是， 索尼BMG娛樂公司的光盤復(fù)制保護丑聞。

　　大部分反間諜軟件都可以從計算機中快速找出未經(jīng)許可的廣告軟件/間諜軟件， 并將它們刪除。 定期刪除臨時文件、Cookie和網(wǎng)絡(luò)瀏覽器的歷史記錄， 對網(wǎng)絡(luò)瀏覽器進行預(yù)防性維護， 聽起來也不是一個壞主意。

　　惡意軟件混合體

　　到目前為止， 我們所討論的所有類型惡意軟件都具有明顯的特征， 歸類起來很方便。 但不幸的是， 下面的情況就不一樣了。 為了提高攻擊的成功率， 惡意軟件開發(fā)者已經(jīng)發(fā)現(xiàn)獲得最佳性能的方法是將不同類型的惡意軟件結(jié)合起來。

　　Rootkits就是一個這樣的例子， 一個特洛伊木馬和后門程序被封裝在同一個載體中。 這樣的話， 在使用的時間， 攻擊者就可以遠程訪問計算機， 在不受懷疑的情況下完成整個攻擊。 Rootkits已經(jīng)成為計算機面臨的最大威脅之一了， 因此， 我們需要對它有一個深入的了解。

　　迥然不同的Rootkits

　　類似大多數(shù)的惡意軟件， Rootkits選擇的是在現(xiàn)有操作系統(tǒng)中進行改動而不是安裝新的應(yīng)用。 這種方式是非常有效的， 因為它讓反惡意軟件工具的監(jiān)測變得非常困難。

　　rootkits包含了幾種不同的類型， 但目前比較流行的主要是三種類型。 它們是用戶模式、內(nèi)核模式、和固件rootkit。 在下面， 我們先對用戶模式和內(nèi)核模式進行一下了解：

　　· 用戶模式：在該模式下， 代碼通過受限連接進入計算機， 獲取軟件和硬件資源的使用權(quán)限。 通常情況下， 計算機上的大部分代碼都運行在用戶模式下。 由于采用的是受限連接， 在用戶模式下造成的損害是可以恢復(fù)的。

　　· 內(nèi)核模式：在這種模式下， 代碼已經(jīng)可以不受限制地控制計算機上所有的軟件和硬件資源。 通常情況下， 內(nèi)核模式是操作系統(tǒng)保留給最值得信賴功能的。 在內(nèi)核模式模式下造成的損害是不可恢復(fù)的。

　　6. 用戶模式的rootkit

　　現(xiàn)在， 我們知道了用戶模式的rootkit可以和計算機系統(tǒng)管理員擁有相同的權(quán)限。 這就意味著：

　　· 用戶模式的rootkit可以對進程、文件、系統(tǒng)驅(qū)動程序、網(wǎng)絡(luò)端口甚至系統(tǒng)服務(wù)進行改動。

　　· 用戶模式的rootkit還是需要復(fù)制文件到計算機的硬盤驅(qū)動器上進行安裝， 并且在每次系統(tǒng)啟動的時間自動加載。

　　Hacker Defender就是用戶模式的rootkit的一個例子， 值得慶幸的是， 眾所周知馬克·羅斯林偉奇開發(fā)的Rootkit Revealer可以防范它和其他大多數(shù)用戶模式的rootkit。

　　7. 內(nèi)核模式的rootkit

　　由于用戶模式的rootkit可以被發(fā)現(xiàn)和清除， rootkit設(shè)計者們變換了一種思路， 并開發(fā)出內(nèi)核模式的rootkit：

　　· 內(nèi)核模式意味著rootkit和操作系統(tǒng)以及rootkit檢測軟件擁有相同的權(quán)限。

　　· 這讓rootkit可以控制操作系統(tǒng)， 也就意味著操作系統(tǒng)也不能被信任了。

　　對于內(nèi)核模式的rootkit來說， 不穩(wěn)定性是一個缺點， 通常情況下， 它會經(jīng)常導(dǎo)致無法解釋的崩潰或藍屏。 基于這種原因， 選擇使用GMER是一個不錯的想法。 作為值得信賴的rootkit清除工具， 它可以清除包括Rustock在內(nèi)的內(nèi)核模式的rootkit。

　　8. 固件rootkit

　　由于rootkit開發(fā)者了解了將惡意代碼保存在固件中的方法， 固件rootkit成為了惡意軟件混合體的新發(fā)展。 在這里， 固件可以是從微處理器代碼到PCI擴展卡固件的任何位置。 這就意味著：

　　· 當(dāng)計算機關(guān)閉的時間， rootkit可以將惡意代碼寫入當(dāng)前指定的固件。

　　· 重新啟動計算機的時間， rootkit就會重新安裝。

　　即使清理軟件發(fā)現(xiàn)并清除了固件rootkit， 在計算機下次啟動的時間， 固件rootkit也會重新出現(xiàn)。

　　9. 惡意移動代碼

　　與私下安裝相比較， 惡意移動代碼正迅速成為在計算機上安裝惡意軟件的最有效方式。 首先， 我們來了解一下什么是移動代碼：

　　· 從遠程服務(wù)器上獲得。

　　· 通過網(wǎng)絡(luò)進行傳輸。

　　· 下載到本地系統(tǒng)中并可以執(zhí)行。

　　移動代碼的例子包括了JavaScript腳本、VBScript腳本、ActiveX控件以及Flash動畫。 移動代碼產(chǎn)生的主要目的是提供交互內(nèi)容， 這是很容易理解的。 動態(tài)網(wǎng)頁內(nèi)容可以讓使用者在瀏覽的時間獲得交互式體驗。

　　為什么移動代碼會給使用者帶來威脅?原因其實很簡單， 它在安裝的時間不需要用戶的許可， 并且可以在功能上誤導(dǎo)用戶。 類似， 特洛伊木馬惡意軟件的入侵工具， 由于這僅僅是聯(lián)合攻擊的第一步， 所以情況會變得更糟糕。 在下面， 攻擊者就可以安裝其它的惡意軟件了。

　　防范惡意移動代碼的最好方法是確保操作系統(tǒng)和所有輔助軟件的及時更新。

　　10. 混合威脅

　　當(dāng)惡意軟件有效地結(jié)合了多種單項惡意代碼可以實現(xiàn)最大限度的破壞時， 就會被認為屬于混合威脅。 盡管如此， 對于混合威脅來說特別值得一提的是， 安全專家不情愿地承認它們做的是最出色的。 混合威脅通常包括以下幾項功能：

　　· 利用已知的漏洞， 甚或制造漏洞。

　　· 復(fù)制替代模式。

　　· 清除使用者的防御， 自動執(zhí)行代碼。

　　混合威脅的惡意軟件， 舉例來說， 可以是一封HTML格式的電子郵件， 郵件中包含了一個嵌入式木馬， 而在PDF附件中， 則包含了另一種不同類型的木馬。 比較著名的混合威脅有， 尼姆達(Nimda)、紅色代碼(CodeRed)以及妖怪(Bugbear)。 從計算機中清除混合威脅型惡意軟件的話， 可能需要綜合利用多種不同的反惡意軟件工具以及安裝在LiveCD上的惡意軟件掃描工具。

　　總 結(jié)

　　對于惡意軟件來說：它本身可能會帶來是什么樣的破壞呢?關(guān)于這個問題， 我有幾點想法：

　　· 惡意軟件在可預(yù)見的未來是不會消失的。 特別是它變得越來越有用， 可以帶來很多鈔票的時間。

　　· 由于所有的反惡意軟件工具起到的都是反作用， 所以它們是注定要失敗的。

　　· 操作系統(tǒng)和應(yīng)用軟件開發(fā)商對于軟件漏洞需要采取零容忍的態(tài)度。

　　· 計算機的使用者需要在安全方面花費更多的時間和精力以保證可以應(yīng)對不斷發(fā)展變化的惡意軟件。

　　· 關(guān)于這一點怎么強調(diào)都是不過分的， 請務(wù)必保持操作系統(tǒng)及應(yīng)用軟件的及時更新。