收藏 | 恶意软件的九大家族介绍

在数字化时代的浪潮中，我们身边的安全隐患也日益增多。恶意软件（malware），这个听起来有些神秘的词汇，实际上却是网络空间中的无形之手，时刻威胁着我们的信息安全。恶意软件，简单来说，就是那些专门设计来破坏、窃取或干扰计算机系统正常运行的软件。从常见的病毒到狡猾的特洛伊木马，它们都是恶意软件大家族中的一员。

1. 恶意软件定义

恶意软件（malware）是指被专门设计用于损坏或中断系统、破坏保密性、完整性、可用性的软件，我们常说的病毒和特洛伊木马都属于恶意软件。

此外，我们还会经常听到恶意代码（Malicious Code）这一概念，但恶意软件和恶意代码还是有一些区别，主要体现在以下几个方面：

• 定义范围： 恶意代码是一段具有恶意目的的程序代码片段，可以是一小段脚本、指令序列或单个的指令。恶意软件则是一个更广泛的概念，通常指完整的、可执行的恶意程序。

• 功能完整性： 恶意代码可能只是实现特定恶意功能的一部分代码，不一定能独立运行。而恶意软件通常是一个完整的、能够独立运行并执行一系列恶意操作的应用程序。

• 传播方式： 恶意代码可能嵌入在正常的软件或文件中进行传播。恶意软件则往往以独立的程序文件形式传播。

• 复杂性： 恶意软件通常具有更复杂的结构和功能，可能包含多个模块和组件来实现不同的恶意行为。恶意代码相对可能较为简单。

例如，一段用于窃取用户密码的代码片段可以被视为恶意代码，而一个能够自动传播、窃取密码、破坏系统的完整程序则是恶意软件。

总的来说，恶意代码是构成恶意软件的基础元素，恶意软件是由多个恶意代码组合而成的具有完整功能的恶意程序。

2. 恶意软件九大家族

2.1. 病毒（Virus）

一种程序，即通过修改其他程序，使其他程序包含一个自身可能已发生变化的原程序副本，从而完成传播自身程序，当调用受传染的程序，该程序即被执行。

这是最古老的恶意形式之一，它可以自我复制并感染其他文件，如MyDoom或ILOVEYOU。它们通常通过电子邮件、下载的附件或共享文件传播。

举例：

• ILOVEYOU：这是一个通过电子邮件传播的病毒，它会破坏系统文件并试图通过电子邮件将自身发送给用户的联系人。
• MyDoom：这是历史上传播最快的病毒之一，它会通过电子邮件和P2P网络传播，并可能导致系统崩溃。

2.2. 特洛伊木马（Trojan horse）

一种伪装成良性应用软件的恶意程序。特洛伊木马伪装成有用的程序（如记事本、游戏）诱骗用户安装，但实际上在后台运行恶意代码，可以窃取敏感信息或提供后门访问。

病毒、特洛伊木马依靠用户对计算机的不当使用在系统间传播。

举例：

• Zeus：这个木马专门针对网上银行，能够窃取用户的银行凭证。
• WannaCry：尽管它通常被归类为勒索软件，但WannaCry也使用了木马的技术来传播。

2.3. 蠕虫（Sworm）

一种通过数据处理系统或计算机网络传播自身的独立程序。 蠕虫经常被设计用来占满可用资源，如存储空间或处理时间。

举例：

• Conficker：这个蠕虫能够利用Windows系统的漏洞进行传播，它会感染计算机并创建一个僵尸网络，用于发起DDoS攻击。
• Slammer：这是第一个大规模利用网络传播的蠕虫，它通过SQL Server的漏洞迅速传播。

2.4. 后门（Backdoor）

允许攻击者未经授权访问系统的恶意软件。通常用于攻击者在入侵系统后保持访问权限。

举例：

• Back Orifice：这是一个经典的Windows后门程序，它允许攻击者远程控制受感染的计算机。
• Command & Control (C&C) 服务器：这些服务器用于远程控制受感染的计算机，通常作为后门的一部分。

2.5. 间谍软件（Spyware）

从计算机用户处收集私人或保密信息的欺骗性软件。

• 信息可能包括最频繁访问的网站或口令之类更敏感的信息；
• 间谍软件监视用户的操作并将重要细节传输到远程系统。

举例：

• Keyloggers：记录用户敲打键盘时的一举一动，从而窃取密码和其他敏感信息。
• Cookies：某些类型的Cookies可能会跟踪用户的在线行为，尽管它们不一定被视为恶意软件。

2.6. 勒索软件（Ransomware）

是一种将加密技术武器化的恶意软件，针对个人或企业，锁定数据并索要赎金以解锁。

举例：

• Locky：这个勒索软件通过加密用户的文件来勒索赎金。
• Cerber：这是一个非常流行的勒索软件，它使用多种方法来传播并加密用户文件。

2.7. 广告软件（Adware）

广告软件虽然在形式上与间谍软件非常相似，但有不同的用途。它使用多种在受感染的计算机上显示广告的技术。最简单的广告软件形式是当你上网时，在屏幕上显示弹出广告。更邪恶的版本可能监控你的购物行为，并将你重定向到竞争对手的网站。

间谍软件和广告软件都属于一类被称为潜在有害的软件程序(potentially unwanted programs/applications，PUPs/PUAs)，用户同意在其系统上安装的软件，但会执得角户呆希望或朱授权的功能。

举例：

• Conduit：这是一个广告软件程序，它会更改用户的浏览器设置并显示广告。
• Superfish：这是联想电脑预装的一个广告软件，它通过在用户浏览的网页中注入广告来赚钱。

2.8. Rootkit

隐藏恶意进程和文件，让受害者难以察觉，如Stuxnet，它曾用于伊朗核设施的操作系统级攻击。

举例：

• Rootkit.Titan：这是一种早期的Rootkit，它在1990年代末和2000年代初被广泛使用。Rootkit.Titan能够隐藏网络连接、进程、文件和注册表项，使其难以被检测到。
• Rootkit.Autorun：这是另一种早期的Rootkit，它主要通过USB驱动器的自动运行功能传播。它能够隐藏自身并阻止用户从注册表中删除它，从而使得它难以被安全软件检测和移除。

2.9. 逻辑炸弹（Logic bomb）

当由某一特定系统条件触发时，对数据处理系统造成损害的恶性逻辑程序。

逻辑炸弹感染系统并且在满足指定逻辑条件(如时间、程序启动、 Web 站点登录等)前保持休眠状态的恶意软件。许多病毒和特洛伊木马都包含逻辑炸弹组件。

举例：

• CIH病毒（也称为Chernobyl病毒）：这是一个著名的逻辑炸弹案例，由台湾大学生陈盈豪编写。该病毒在1998年首次被发现，会在特定的日期（4月26日，切尔诺贝利核灾难纪念日）触发，破坏计算机的BIOS和硬盘数据。
• 泰利熊（Terror Bear）：这是1990年代初期在美国发现的一个逻辑炸弹案例，它被设计成在特定的日期和时间触发，删除计算机上的文件。

3. 小结

恶意软件指在计算机上执行有害、未经授权或未知活动的任何脚本或程序。恶意代码存在多种形式，其中包括病毒、蠕虫、 木马、内含破坏性宏的文档、逻辑炸弹等。

• 病毒则通过一些人为干预传播；
• 蠕虫依赖自身力量在系统间传播；
• 特洛伊木马伪装成有用的程序（如游戏，记事本），但实际上在后台运行恶意代码；
• 逻辑炸弹包含的恶意代码在满足某些指定条件时执行。

恶意软件，这个数字世界的阴暗面，以其多样的形式和隐蔽的手段，时刻威胁着我们的信息安全。了解它们的定义、类别和特点，是我们构建安全防线的第一步。在这个信息爆炸的时代，保护自己的数据安全，就是保护自己的未来。