2、惡意軟件

"惡意軟件"作為一個集合名詞，來指代故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。

對于籠統(tǒng)的防病毒討論，可使用以下簡單的惡意軟件類別定義：

• 特洛伊木馬：該程序看上去有用或無害，但卻包含了旨在利用或損壞運行該程序的系統(tǒng)的隱藏代碼。特洛伊木馬程序通常通過沒有正確說明此程序的用途和功能的電子郵件傳遞給用戶。它也稱為特洛伊代碼。特洛伊木馬通過在其運行時傳遞惡意負(fù)載或任務(wù)達到此目的。

• 蠕蟲：蠕蟲使用自行傳播的惡意代碼，它可以通過網(wǎng)絡(luò)連接自動將其自身從一臺計算機分發(fā)到另一臺計算機上。蠕蟲會執(zhí)行有害操作，例如，消耗網(wǎng)絡(luò)或本地系統(tǒng)資源，這樣可能會導(dǎo)致拒絕服務(wù)攻擊。某些蠕蟲無須用戶干預(yù)即可執(zhí)行和傳播，而其他蠕蟲則需用戶直接執(zhí)行蠕蟲代碼才能傳播。除了復(fù)制，蠕蟲也可能傳遞負(fù)載。

• 病毒：病毒代碼的明確意圖就是自行復(fù)制。病毒嘗試將其自身附加到宿主程序，以便在計算機之間進行傳播。它可能會損害硬件、軟件或數(shù)據(jù)。宿主程序執(zhí)行時，病毒代碼也隨之運行，并會感染新的宿主，有時還會傳遞額外負(fù)載。

在提及特洛伊木馬或特洛伊類型活動時，還有兩個經(jīng)常使用的術(shù)語，其識別方法和解釋如下：

• 遠(yuǎn)程訪問特洛伊：某些特洛伊木馬程序使黑客或數(shù)據(jù)竊取者可以遠(yuǎn)程地控制系統(tǒng)。此類程序稱為"遠(yuǎn)程訪問特洛伊"(RAT) 或后門。RAT 的示例包括 Back Orifice、Cafeene 和 SubSeven。

• Rootkit：Rootkit 是軟件程序集，黑客可用來獲取計算機的未經(jīng)授權(quán)的遠(yuǎn)程訪問權(quán)限，并發(fā)動其他攻擊。這些程序可能使用許多不同的技術(shù)，包括監(jiān)視擊鍵、更改系統(tǒng)日志文件或現(xiàn)有的系統(tǒng)應(yīng)用程序、在系統(tǒng)中創(chuàng)建后門，以及對網(wǎng)絡(luò)上的其他計算機發(fā)起攻擊。Rootkit 通常被組織到一組工具中，這些工具被細(xì)化為專門針對特定的操作系統(tǒng)。第一批 Rootkit 是在 20 世紀(jì) 90 年代被識別出來的，當(dāng)時 Sun 和 Linux 操作系統(tǒng)是它們的主要攻擊對象。目前，Rootkit 可用于許多操作系統(tǒng)，其中包括 Microsoft Windows 平臺。

3、惡意軟件的特征

每類惡意軟件可以表現(xiàn)出來的各種特征通常非常類似。例如，病毒和蠕蟲可能都會使用網(wǎng)絡(luò)作為傳輸機制。然而，病毒會尋找文件以進行感染，而蠕蟲僅嘗試復(fù)制其自身。以下部分說明了惡意軟件的典型特征。

目標(biāo)環(huán)境

惡意軟件試圖攻擊宿主系統(tǒng)時，可能需要許多特定的組件，攻擊才能成功。下面是一個典型示例，說明惡意軟件在攻擊宿主系統(tǒng)時所需的組件：

• 設(shè)備。某些惡意軟件將一種設(shè)備類型作為專門的攻擊目標(biāo)，例如，個人計算機、Apple Macintosh 計算機甚至個人數(shù)字助理 (PDA)，但是請注意，PDA 惡意軟件目前非常少見。

• 操作系統(tǒng)。惡意軟件可能需要特殊的操作系統(tǒng)才會有效。

• 應(yīng)用程序。惡意軟件可能需要在目標(biāo)計算機上安裝特定的應(yīng)用程序，才能傳遞負(fù)載或進行復(fù)制。

攜帶者對象

如果惡意軟件是病毒，它會試圖將攜帶者對象作為攻擊對象(也稱為宿主)并感染它。目標(biāo)攜帶者對象的數(shù)量和類型隨惡意軟件的不同而大不相同，以下列表提供了最常用的目標(biāo)攜帶者的示例：

• 可執(zhí)行文件。這是通過將其自身附加到宿主程序進行復(fù)制的"典型"病毒類型的目標(biāo)對象。除了使用 .exe 擴展名的典型可執(zhí)行文件之外，具有以下擴展名的文件也可用作此用途：.com、.sys、.dll、.ovl、.ocx 和 .prg。

• 腳本。將腳本用作攜帶者目標(biāo)文件的攻擊，這些文件使用諸如 Microsoft Visual Basic? Script、JavaScript、AppleScript 或 Perl Script 之類的腳本語言。此類文件的擴展名包括：.vbs、.js、.wsh 和 .prl。

• 宏。這些攜帶者是支持特定應(yīng)用程序(例如，字處理器、電子表格或數(shù)據(jù)庫應(yīng)用程序)的宏腳本語言的文件。例如，病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏語言來生成許多效果，從惡作劇效果(在文檔四處改變單詞或更改顏色)到惡意效果(格式化計算機的硬盤驅(qū)動器)。

• 啟動扇區(qū)。計算機磁盤(硬盤和可啟動的可移動媒體)上的特定區(qū)域(例如，主啟動記錄 (MBR) 或 DOS 啟動記錄)也可被認(rèn)為是攜帶者，因為它們可以執(zhí)行惡意代碼。當(dāng)某個磁盤被感染時，如果使用該磁盤來啟動其他計算機系統(tǒng)，將會復(fù)制病毒。

注意：如果病毒同時將文件和啟動扇區(qū)作為感染目標(biāo)，可稱其為"多部分"病毒。

傳輸機制

攻擊可以使用一個或多個不同方法，在計算機系統(tǒng)之間嘗試并復(fù)制。本部分提供了與惡意軟件使用的幾個比較常見的傳輸機制有關(guān)的信息。

• 可移動媒體。計算機病毒和其他惡意軟件最初的、并且可能也是最多產(chǎn)的傳送器(至少到當(dāng)前為止)是文件傳輸。此機制開始于軟盤，然后移動到網(wǎng)絡(luò)，目前正在尋找新的媒體，例如，通用串行總線 (USB) 設(shè)備和火線。感染速度并不像基于網(wǎng)絡(luò)的惡意軟件那樣快，但安全威脅卻始終存在，而且難以完全消除，因為系統(tǒng)之間需要交換數(shù)據(jù)。

• 網(wǎng)絡(luò)共享一旦為計算機提供了通過網(wǎng)絡(luò)彼此直接連接的機制，就會為惡意軟件編寫者提供另一個傳輸機制，而此機制所具有的潛力可能會超出可移動媒體的能力，從而可以傳播惡意代碼。由于在網(wǎng)絡(luò)共享上實現(xiàn)的安全性級別很低，因此會產(chǎn)生這樣一種環(huán)境，其中惡意軟件可以復(fù)制到大量與網(wǎng)絡(luò)連接的計算機上。這在很大程度上替代了使用可移動媒體的手動方法。

• 網(wǎng)絡(luò)掃描。惡意軟件的編寫者使用此機制來掃描網(wǎng)絡(luò)，以查找容易入侵的計算機，或隨意攻擊 IP 地址。例如，此機制可以使用特定的網(wǎng)絡(luò)端口將利用數(shù)據(jù)包發(fā)送到許多 IP 地址，以查找容易入侵的計算機進行攻擊。

• 對等 (P2P) 網(wǎng)絡(luò)。要實現(xiàn) P2P 文件傳輸，用戶必須先安裝 P2P 應(yīng)用程序的客戶端組件，該應(yīng)用程序?qū)⑹褂靡粋€可以通過組織防火墻的網(wǎng)絡(luò)端口，例如，端口 80。應(yīng)用程序使用此端口通過防火墻，并直接將文件從一臺計算機傳輸?shù)搅硪慌_。這些應(yīng)用程序很容易在 Internet 上獲取，并且惡意軟件編寫者可以直接使用它們提供的傳輸機制，將受感染的文件傳播到客戶端硬盤上。

• 電子郵件。電子郵件已成為許多惡意軟件攻擊所選擇的傳輸機制。電子郵件可以很容易地傳送到幾十萬人，而惡意軟件作惡者又無須留下自己的計算機，這使得電子郵件成為一種非常有效的傳輸方式。使用此方式哄騙用戶打開電子郵件附件要相對容易一些(使用社會工程技術(shù))。因而，許多最多產(chǎn)的惡意軟件爆發(fā)已使用電子郵件作為它們的傳輸機制。有兩種使用電子郵件作為傳輸機制的基本類型的惡意軟件：

• 郵件程序。這種類型的惡意軟件通過使用宿主上安裝的郵件軟件(例如，Microsoft Outlook? Express)，或使用其自身的內(nèi)置簡單郵件傳輸協(xié)議 (SMTP) 引擎，將其自身作為郵件發(fā)送到限定數(shù)量的電子郵件地址。

• 大量郵件程序。這種類型的惡意軟件使用宿主上安裝的郵件軟件或其自身的內(nèi)置 SMTP 引擎，在受感染的計算機上搜索電子郵件地址，然后將其自身作為郵件大量發(fā)送到這些地址。

• 遠(yuǎn)程利用。惡意軟件可能會試圖利用服務(wù)或應(yīng)用程序中的特定安全漏洞來進行復(fù)制。此行為通?？梢栽谌湎x中見到;例如， Slammer 蠕蟲利用 Microsoft SQL Server? 2000 中的漏洞。此蠕蟲生成了一個緩沖區(qū)溢出，允許一部分系統(tǒng)內(nèi)存被可在和 SQL Server 服務(wù)相同的安全上下文中運行的代碼覆蓋。緩沖區(qū)溢出這種情況的出現(xiàn)，是因為向緩沖區(qū)添加的信息多于其可以存儲的信息量。攻擊者可能會利用此漏洞來占用系統(tǒng)。Microsoft 在 Slammer 發(fā)布的數(shù)月之前即識別并修復(fù)了此漏洞，但是由于有少數(shù)系統(tǒng)未被更新，使得此蠕蟲得以傳播。

4、 其他惡意軟件

有許多存在的威脅并不被認(rèn)為是惡意軟件，因為它們不是具有邪惡意圖的計算機程序。但是，這些威脅對于一個用戶而言仍然具有安全和經(jīng)濟上的影響。

玩笑軟件

玩笑應(yīng)用程序旨在生成一個微笑，或在最糟糕的情況下浪費某人的時間。這些應(yīng)用程序自從人們開始使用計算機以來就一直存在。它們不是出于邪惡的目的而被開發(fā)的，而且很明白地標(biāo)識為玩笑，

惡作劇

與其他形式的惡意軟件一樣，惡作劇也使用社會工程來試圖欺騙計算機用戶執(zhí)行某些操作。但是，在惡作劇中并不執(zhí)行任何代碼;惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經(jīng)采用了多種形式。但特別常見的一個示例為，某個電子郵件聲稱發(fā)現(xiàn)了一種新的病毒類型，并要您通過轉(zhuǎn)發(fā)此郵件來通知您的朋友。這些惡作劇會浪費人們的時間，消耗電子郵件資源并占用網(wǎng)絡(luò)帶寬。

欺詐

實際上，違法者已經(jīng)使用過各種通信形式(在這一次或那一次)，試圖欺騙人們執(zhí)行會給其帶來某些經(jīng)濟利益的操作。Internet、網(wǎng)站和電子郵件都不例外。一個比較常見的示例是，違法者發(fā)送電子郵件，試圖欺騙收件人透露個人信息(例如，銀行帳戶信息)，然后將這些信息用于非法用途。有一種特殊類型的欺詐稱為"phishing"(發(fā)音同"fishing"，也稱為"品牌欺騙"或"carding")。

phishing 的示例包括發(fā)件人偽裝知名公司(例如，eBay)試圖獲取用戶帳戶信息這種情況。Phishing 欺詐通常使用一個模仿某公司官方網(wǎng)站外觀的網(wǎng)站。電子郵件用于將用戶指向虛假站點，并欺騙用戶輸入其用戶帳戶信息，而這些信息將被保存并用于非法用途。這些案例類型應(yīng)認(rèn)真處理，并要報告給本地的法律執(zhí)行機構(gòu)。

垃圾郵件

垃圾郵件是未經(jīng)請求的電子郵件，用于為某些服務(wù)或產(chǎn)品做廣告。它通常被認(rèn)做是討厭的東西，但是垃圾郵件不是惡意軟件。但是，所發(fā)送的垃圾郵件數(shù)量的飛速增長已經(jīng)成為 Internet 基礎(chǔ)結(jié)構(gòu)的一個問題，這可導(dǎo)致員工工作效率的降低，因為他們每天必須費力查看并刪除此類郵件。

間諜軟件

此類軟件有時也稱為"spybot"或"跟蹤軟件"。間諜軟件使用其他形式的欺騙性軟件和程序，它們在沒有獲取用戶相應(yīng)許可的情況下即在計算機上執(zhí)行某些活動。這些活動可以包括收集個人信息，以及更改 Internet 瀏覽器配置設(shè)置。除了令人討厭之外，間諜軟件還會導(dǎo)致各種問題，從降低計算機的總體性能到侵犯個人隱私。

分發(fā)間諜軟件的網(wǎng)站使用各種詭計，使用戶下載并將其安裝在他們的計算機上。這些詭計包括創(chuàng)建欺騙性的用戶體驗，以及隱蔽地將間諜軟件和用戶可能需要的其他軟件(例如，免費的文件共享軟件)捆綁在一起。

廣告軟件

廣告軟件通常與宿主應(yīng)用程序組合在一起，只要用戶同意接受廣告軟件即可免費提供宿主應(yīng)用程序。因為廣告軟件應(yīng)用程序通常在用戶接受說明應(yīng)用程序用途的許可協(xié)議之后進行安裝，因而不會給用戶帶來任何不快。但是，彈出式廣告會非常令人討厭，并且在某些情況下會降低系統(tǒng)性能。此外，有些用戶原來并沒有完全意識到許可協(xié)議中的條款，這些應(yīng)用程序收集的信息可能會導(dǎo)致他們擔(dān)心隱私問題。

5、風(fēng)險防護

加強自我防范意識是我們防御網(wǎng)絡(luò)威脅的第一步，我們將從以下11個方面來介紹平時使用網(wǎng)絡(luò)過程中需加強的防范意識。

1、預(yù)防第一

保持獲取信息。通過相關(guān)途徑獲取最新爆發(fā)的病毒和威脅的信息和防范方式。

2、得到保護

安裝防病毒程序。如果你是一個家庭或者個人用戶，下載任何一個排名最佳的程序都相當(dāng)容易，而且可以按照安裝向?qū)нM行操作。如果你在一個網(wǎng)絡(luò)中，首先咨詢你的網(wǎng)絡(luò)管理員。

3、定期掃描你的系統(tǒng)

如果你剛好是第一次啟動防病毒軟件，最好讓它掃描一下你的整個系統(tǒng)。干凈并且無病毒問題地啟動你的電腦是很好的一件事情。通常，防病毒程都能夠設(shè)置成在計算機每次啟動時掃描系統(tǒng)或者在定期計劃的基礎(chǔ)上運行。一些程序還可以在你連接到互聯(lián)網(wǎng)上時在后臺掃描系統(tǒng)。定期掃描系統(tǒng)是否感染有病毒，最好成為你的習(xí)慣。

4、更新你的防病毒軟件

既然你安裝了病毒防護軟件，就應(yīng)該確保它是最新的。一些防病毒程序帶有自動連接到互聯(lián)網(wǎng)上，并且只要軟件廠商發(fā)現(xiàn)了一種新的威脅就會添加新的病毒探測代碼的功能。你還可以在此掃描系統(tǒng)查找最新的安全更新文件。

5、不要輕易執(zhí)行附件中的EXE和COM等可執(zhí)行程序

這些附件極有可能帶有計算機病毒或是黑客程序，輕易運行，很可能帶來不可預(yù)測的結(jié)果。對于認(rèn)識的朋友和陌生人發(fā)過來的電子函件中的可執(zhí)行程序附件都必須檢查，確定無異后才可使用。

6、不要輕易打開附件中的文檔文件

對方發(fā)送過來的電子函件及相關(guān)附件的文檔，首先要用"另存為…"命令("Save As…")保存到本地硬盤，待用查殺計算機病毒軟件檢查無毒后才可以打開使用。如果用鼠標(biāo)直接點擊兩下DOC、XLS等附件文檔，會自動啟用Word或Excel，如有附件中有計算機病毒則會立刻傳染;如有"是否啟用宏"的提示，那絕對不要輕易打開，否則極有可能傳染上電子函件計算機病毒。

7、不要直接運行附件

對于文件擴展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含這些附件的電子函件，以保證計算機系統(tǒng)不受計算機病毒的侵害。

8、郵件設(shè)置

如果是使用Outlook作為收發(fā)電子郵件軟件的話，應(yīng)當(dāng)進行一些必要的設(shè)置。選擇"工具"菜單中的"選項"命令，在"安全"中設(shè)置"附件的安全性"為"高";在"其他"中按"高級選項"按鈕，按"加載項管理器"按鈕，不選中"服務(wù)器腳本運行"。最后按"確定"按鈕保存設(shè)置。

9、慎用預(yù)覽功能

如果是使用Outlook Express作為收發(fā)電子函件軟件的話，也應(yīng)當(dāng)進行一些必要的設(shè)置。選擇"工具"菜單中的"選項"命令，在"閱讀"中不選中"在預(yù)覽窗格中自動顯示新聞郵件"和"自動顯示新聞郵件中的圖片附件"。這樣可以防止有些電子函件計算機病毒利用Outlook Express的缺省設(shè)置自動運行，破壞系統(tǒng)。

10、卸載Scripting Host

對于使用Windows 98操作系統(tǒng)的計算機，在"控制面板"中的"添加/刪除程序"中選擇檢查一下是否安裝了Windows Scripting Host。如果已經(jīng)安裝，請卸載，并且檢查Windows的安裝目錄下是否存在Wscript.exe文件，如果存在的話也要刪除。因為有些電子函件計算機病毒就是利用Windows Scripting Host進行破壞的。

11、警惕發(fā)送出去的郵件

對于自己往外傳送的附件，也一定要仔細(xì)檢查，確定無毒后，才可發(fā)送。雖然電子函件計算機病毒相當(dāng)可怕，只要防護得當(dāng)，還是完全可以避免傳染上計算機病毒的，仍可放心使用。

通過以上對蠕蟲病毒的種種描述及其爆發(fā)的癥狀，相信大家已經(jīng)對其有了較深的理解。由于蠕蟲病毒是通過網(wǎng)絡(luò)傳播的，在如今網(wǎng)絡(luò)高度發(fā)達的時期，蠕蟲病毒是防不勝防的，我們只有筑好自己電腦上的防火墻和養(yǎng)成良好的上網(wǎng)習(xí)慣，才能把危害降到最低。

yajing