0
恶意软件
什么是恶意软件?
术语"恶意软件"用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。
网络用户在浏览一些恶意网站,或者从不安全的站点下载游戏或其它程序时,往往会连合恶意程序一并带入自己的电脑,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时,用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间,用户网上的所有敏感资料都有可能被盗走,比如银行帐户信息,信用卡密码等。
这些让受害者的电脑不断弹出色情网站或者是恶意广告的程序就叫做恶意软件,它们也叫做流氓软件。
对于笼统的防病毒讨论,可使用以下简单的恶意软件类别定义:
特洛伊木马。该程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。
蠕虫。蠕虫使用自行传播的恶意代码,它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作,例如,消耗网络或本地系统资源,这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播,而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了复制,蠕虫也可能传递负载。
病毒。病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序,以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时,病毒代码也随之运行,并会感染新的宿主,有时还会传递额外负载。
恶意软件其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测(Signature-based detection ,也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或IDSes入侵者警告系统。
1、强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为。
2、难以卸载:指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
3、浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
4、广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
5、恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
6、恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软件的行为。
7、恶意捆绑:指在软件中捆绑已被认定为恶意软件的行为。
8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。
恶意软件可以采取不同的形式,从广义上讲,最臭名昭著的莫过于特洛伊木马、rootkit、后门软件等,病毒和蠕虫也可以看作恶意软件。有些形式的威胁具有某几种恶意软件的特征。
因为恶意软件由多种威胁组成,所以需要采取多处方法和技术来保卫系统。如采用防火墙来过滤潜在的破坏性代码,采用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网络,加强对破坏性代码的防御能力。
作为一种最强大的反恶意软件防御工具,反病毒程序可以保护计算机免受病毒、蠕虫、特洛伊木马的威胁。近几年来,反病毒软件的开发商已经逐渐将垃圾邮件和间谍软件等威胁的防御功能集成到其产品中。除了这些技术手段之外,企业应当采取措施防止恶意软件在单位网络内传播:
1、教育员工正确使用电子邮件和Web
具体来说,特别要注意:
要教育雇员,如果不知道邮件的来源和附件的属性,不要打开邮件中的附件。
告诉员工不要从互联网下载和安装未获得授权的程序。
让雇员清楚社会工程欺诈的骗术,提防其欺骗雇员点击受感染链接的伎俩。
教育雇员了解最新的攻击手段,学习公司的安全策略和建议,并坚决执行。
2、禁止或监督非web源的协议在企业网络内使用
如禁止或限制即时通信及端到端的协议进入企业网络,这些正是僵尸等恶意软件得以通信和传播的工具。
3、确保在所有的桌面系统和服务器上安装最新的浏览器、操作系统、应用程序补丁,并确保垃圾邮件和浏览器的安全设置达到适当水平。
4、确保安装所有的安全软件,并及时更新并且使用最新的威胁数据库。
5、不要授权普通用户使用管理员权限,特别要注意不要让其下载和安装设备驱动程序,因为这正是许多恶意软件乘虚而入的方式。
6、制定处理恶意事件的策略,在多个部门组建可实现协调响应职责并能够定期执行安全培训的团队。
恶意软件威胁经过几年的发展已经成为一种强大的势力,更确切地说它已经成为一种受经济利益驱使的商业活动;而反恶意软件厂商由于受到各种因素的制约,应对和反击措施相对被动。并且前者在暗处,后者在明处,形式对反恶意软件的开发者不利。但两种力量的斗争将持续下去。
要解决恶意软件的问题,首先要了解它,那些人究竟要利用恶意软件干什么?恶意软件本身不是一个新概念。实际上在20世纪80年代的时候,人们对于恶意软件的定义就是恶意植入系统破坏和盗取系统信息的程序。
记载的最早的广为关注的恶意软件是一名大学生1988年编写的蠕虫病毒,当时他主要是借此测试英特网的大小。但是由于其中一个代码的错误,导致蠕虫大量复制,迅速传播感染了数以千计的电脑。
尽管如此,这么多年以来恶意软件的制造技术没有太大的变化。20世纪80年代恶意软件的技术跟现在开发恶意软件的技术差不多。变化的只是恶意软件的开发和执行的速度,原因是自动化工具的出现。以前制作的时候只能一个接一个,现在就是流水线的大规模生产。
难以侦察
专家称,传统的病毒库保护方式根本就难以应对恶意软件的攻击。恶意软件一直在变化,即使是侦察到,它们也会自动调整和变化。依靠单独的技术根本就难以防范危险。
恶意软件威胁网络和系统漏洞的方式也在改变。例如过去依靠邮件附件到现在转向网络使用社交网络引诱下载感染的文件和应用程序,或是直接让人们点击恶意网站下载恶意软件到用户的系统中。
日益增长的风险
这一问题可能会变得越来越糟糕。有机构曾预测,恶意软件将会无所不至,包括智能手机,Vista,MacOSX和其它的操作环境都会逐渐吸引恶意软件的兴趣。还有人预测网络结构也会成为恶意软件关注的焦点,譬如,路由器,域名服务器,搜索引擎等。
如果企业还没有升级防御措施的话,现在就得注意了。网关和扫描是新的保护方式,此外还要注意终端设备保护,譬如台式机和移动设备的保护。
特别在是社交网站上日益泛滥的恶意软件的出现,企业也要使用相关的识别软件。最后,我们不得不说,在恶意软件的防范中最弱的一个环节就是用户,如果对这一问题不加以重视的话,再强的马奇若防线都会被突破。
各种各样的变体
恶意软件生态的复杂性也在改变。以前的变体很少,现在动辄成百上千的形形色色的变体。木马,僵尸病毒,蠕虫,rookit,间谍软件,还有一些危害性相对较小的广告插件实际上也是恶意软件,形式规模各异。
但是,最令人害怕的变化还是恶意软件的来源问题。就在几年以前还只是一些人的恶作剧,现在是一个个有组织的犯罪集团。根据IT专家网的调查,由于受经济利益的驱动,恶意软件写手的方法主要是密码盗取,键盘记录和其它一些行为。2006年,平均每个月有140万次攻击。
因此,现在的恶意软件攻击变得更加具有目的性。许多病毒的出现远远高于病毒库中已存在的样本,企业只有在中招之后才能防范。
Web2.0和恶意软件
随着Web2.0社交网络的日益流行,譬如,YouTube和MySpace,它们依赖的某种形式的交互功能实际上增加了感染恶意软件的风险。
2007年发生的恶意软件事件已经证实了这一担忧。一种使用木马的storm蠕虫在系统中构建了一个后门程序,之后导致的危害席卷整个欧洲。病毒传播方式就是在虚假的新闻中插入恶意的视频文件。一旦点击,就会自动下载恶意软件。在被安全专家发现之前,数以千计的电脑和系统已经被感染。
