觉得自己了解恶意软件?恐怕你的恶意软件认知需要更新一下了。如何查找和清除恶意软件也有一些基本的建议可供参考。
安全术语层出不穷,但能够正确分类恶意软件,并知道各类恶意软件的不同传播方式,有助于限制和清除这些作恶的小东西。
下面这份简明恶意软件大全能让你在极客面前都显得很专业。
1. 病毒
计算机病毒是大多数媒体和普通终端用户对新闻报导中全部恶意软件程序的统称。但幸好大多数恶意软件程序并不是计算机病毒。计算机病毒能够修改其他合法主机文件 (或文件指针),以便当受害主机文件被执行时,病毒自身也一并运行起来。
纯计算机病毒如今已经不太常见了,在所有恶意软件中占比不到10%。这是件好事:计算机病毒是唯一一种能够感染其他文件的恶意软件。因为随合法程序执行,此类恶意软件特别难以清除。最好的杀毒软件也难以将计算机病毒与合法程序剥离,绝大多数情况下都是简单地隔离和删除被感染的文件。
2. 蠕虫
蠕虫的历史甚至比计算机病毒的更加悠久,能追溯到大型机时代。上世纪90年代末期,电子邮件将计算机蠕虫带到大众视野当中;近十年时间里,随电子邮件附件涌来的各种蠕虫将计算机安全专家团团包围。只要一名员工打开了一封带有蠕虫的电子邮件,整个公司都会被很快感染。
蠕虫最显著的特征就是自我复制能力。以臭名昭著的 “Iloveyou” 蠕虫为例:该蠕虫爆发时,世界上几乎每一位电子邮件用户都遭到了袭击,电话系统过载,电视网络宕机,甚至晚报都被延迟了半天。其他几个蠕虫,包括 SQL Slammer 和微软冲击波 ( MS Blaster )。让蠕虫在计算机安全的历史上占据了一席之地。
蠕虫的破坏性来源于其无需终端用户操作的传播能力。与之相对,计算机病毒则需要终端用户至少点击那么一下,才可以感染其他的无辜软件和用户。蠕虫利用其他文件和程序来干感染无辜受害者的账户。举个例子,利用微软SQL中的一个漏洞 (已修复),SQL Slammer 蠕虫在约10分钟之内在几乎每一台未打补丁的联网SQL服务器上引发了缓冲区溢出——该传播速度纪录至今未破。
3. 木马
计算机蠕虫已经被特洛伊木马恶意软件程序替代,成为了黑客的网络攻击武器之选。木马伪装成合法程序,但携带恶意指令。病毒恒久远,木马永流传。如今的计算机上,木马比其他任何一种恶意软件都常见。
特洛伊木马要受害用户点击执行之后才可以进行恶意操作。木马程序通常通过电子邮件投递,或者在用户访问被感染网站时推送。伪装成杀毒软件的木马最为流行。此类木马会弹出一个对话框,宣称用户已经遭到了感染,然后指示用户去运行某个程序以清扫电脑。用户一旦上钩听令行事,木马就会在用户的系统中扎根了。
木马难以防御的原因主要有两个:易于编写 (网络罪犯常制作和售卖木马构建工具包),以及便于通过诱骗终端用户来传播——补丁、防火墙和其他传统防御措施都挡不住终端用户的手贱。恶意软件编写者每个月都能产出数百万个木马。反恶意软件供应商已在尽力对抗,但特征码实在太多,无暇兼顾。
4. 混合型恶意软件
时至今日,绝大多数恶意软件都是传统恶意程序的综合体,往往既有木马和蠕虫的部分,有时也兼具病毒的特征。恶意软件程序呈现在终端用户面前时还是木马的样子,但一旦执行,便会通过网络攻击其他受害者,就像蠕虫一样。
今天的很多恶意软件程序都可被认为是rootkits或隐藏程序。恶意软件程序往往会尝试修改底层操作系统以获取终极控制权,并绕过反恶意软件程序的检测。想摆脱此类恶意程序,用户必须从内存中清除其控制组件——从反恶意软件扫描开始。
机器人程序一般都是木马/蠕虫的组合,试图将每一个被利用的客户端集结起来,组成一个更大的恶意程序网络——僵尸网络。僵尸网络的主人拥有一台或多台 “命令与控制(C2)” 服务器,僵尸客户端会向这些C2服务器报到,接收服务器上发布的指令。僵尸网络的规模有大有小,从数千台被黑计算机,到由数十万台被黑系统组成的巨大网络都有。这些僵尸网络往往被出租给其他网络罪犯,再由这些网络罪犯利用僵尸网络去执行他们各自的恶意企图。
5. 勒索软件
最近几年里,通过加密用户数据来索要赎金的恶意软件广为流行,且此类恶意软件的占比还在扩大。勒索软件往往能使公司企业、医疗机构、司法机关,甚至整个城市的运转陷入停滞。
大部分勒索软件都是木马,也就是说必须通过某种形式的社会工程方法进行传播。一旦成功植入并运行起来,大部分勒索软件都会在数分钟里寻找并加密用户的文件,少数勒索软件则会采取 “等待观望” 的战术。通过在启动加密流程前花几小时观察用户,勒索软件管理员可以算出受害者的赎金承受能力,并确保删除或加密其他本应安全的备份文件。
与其他类型的恶意程序相同,勒索软件也是可以被预防的。但如果没有有效的备份文件,一旦中招,就很难再逆转勒索软件造成的破坏了。研究显示,约1/4的受害者选择支付赎金,但其中约30%人即便支付了赎金也未能解锁自己已经被锁定的文件。无论如何,想要解锁被加密的文件,即便有可能,也需要特定的工具、解密密钥,以及很多很多的运气。对付勒索软件最行之有效的建议,就是确保所有关键文件都有良好的离线备份。
6. 无文件恶意软件
准确来讲,无文件恶意软件并不能真算是一种单独的恶意软件类型,而更像是对该恶意软件如何进行漏洞利用和在受害主机上驻留的一种描述。传统恶意软件利用文件系统进行横向移动和感染新的系统。如今在恶意软件占比中超过50%以上的无文件恶意软件,则并不直接利用文件和文件系统。这种恶意软件只在内存中进行漏洞利用和传播,或者使用其他的非文件类操作系统对象,比如注册表、API,或者计划任务。
很多无文件攻击从利用已存在的合法进程变身新启动的 “子进程” 开始,或者利用操作系统中自带的合法工具,比如微软的PowerShell。最终结果就是无文件攻击更难以检测和阻止。如果你想谋求一份计算机安全职位,那你最好尽快熟悉常见的无文件攻击技术和程序。
7. 广告软件
只遇到过广告软件的人都是幸运的。这种软件仅仅是向被黑终端用户呈现不愿接收的潜在恶意广告。常见广告软件可能会将用户的浏览器搜索重定向到看起来长得很像但包含其他产品推送的页面。
8. 恶意广告
恶意广告与广告软件不同,恶意广告攻击是利用合法广告和广告网络秘密投送恶意软件到用户的计算机。举个例子,网络罪犯可能会在合法网站上投放一个广告。当用户点击这个广告,广告中隐藏的代码要么将用户重定向到恶意网站,要么直接在他们的计算机上安装恶意软件。某些情况下,广告中嵌入的恶意软件可能无需用户操作就能自动执行,这种技术被称为 “偷渡式下载”。
网络罪犯也会利用被黑合法广告网络向很多网站投送广告。这也是为什么《纽约时报》、Spotify和伦敦股交所之类流行站点常会沦为恶意广告载体的原因。
网络罪犯使用恶意广告当然是为了赚钱。恶意广告能够投送任意类型的捞钱恶意软件,包括勒索软件、加密货币挖矿脚本,或者银行木马。
9. 间谍软件
间谍软件常被人用来查看自己所爱之人的计算机活动。当然,在针对性攻击里,网络罪犯也会运用间谍软件记录下受害者的击键动作,获取登录口令和知识产权。
广告软件和间谍软件程序通常是最容易清除的,因为此类软件的目的不像其他类型的恶意软件那么凶狠。找到此类软件的恶意可执行程序,停止进程,阻止启动,也就清除了威胁。
广告软件和间谍软件中存在的更大顾虑,是它们利用计算机和用户的机制,可能是社会工程、没打补丁的软件,或者其他十来种root权限利用途径。间谍软件和广告软件程序的目的虽然不像远程访问木马后门那么邪恶,但都利用了同一套入侵方法。广告软件和间谍软件的存在,应被当成设备或用户已有某种漏洞的早期警报,以便在真正的伤害造成前加以修复。
找出并清除恶意软件
今天,很多恶意软件都以木马和蠕虫的形式出现,然后回连一个僵尸网络,让攻击者进入到受害者的计算机和网络。很多高级持续性威胁的APT攻击的运作流程如下:使用木马获取初始立足点以便进入到成百上千家公司,搜寻感兴趣的知识产权。绝大多数恶意软件都是为了盗取金钱——直接清空一个银行账户,或者通过盗取口令或身份来间接获取。
如果你够走运,你会发现利用微软自动运行、进程管理器或 Silent Runners 的恶意可执行程序。如果恶意软件是隐藏式的,你就得先从内存中清除掉隐藏组件,然后再分辨出该恶意程序的其他部分。可通过进入微软Windows安全模式来清除可疑隐藏组件(有时候改个文件名就行),然后多运行几次杀软扫描器来清除遗留文件,也可以利用进程管理器来发现并清除恶意软件。
但不幸的是,找到并清除单个恶意软件组件可能是在白费劲,很容易找错或漏掉组件。而且,你并不清楚恶意软件有没有将系统修改成无法重回完全可信的状态。
除非你专门培训过恶意软件清除和取证,否则最好在发现计算机感染了恶意软件时备份数据、格式化硬盘,并重新安装程序和数据。注意打好补丁,确保终端用户知道自己都做错了什么。这样你才能获得一个可信的计算机平台,不留任何风险和问题地在计算机安全战场上继续前行。
相关阅读