恶意软件
主页 > 
恶意软件
< 返回

恶意软件

惡意軟件是不同類型的惡意程式碼的一個統稱。惡意軟件可用於破壞正常的電腦功能,竊取數據,獲得未經授權的訪問,或形成殭屍網絡以發起有組織的攻擊。

何谓病毒与恶意程式码?

恶意程式码是指范围广泛,会对电脑或网络造成损害或不预期影响的程式。潜在的损害可以包括资料的修改丶破坏或窃取,允许未经授权的系统接达,产生非期待的萤幕画面以及执行用户绝不想要的功能。

恶意程式码的例子包括了电脑病毒蠕虫特洛依木马间谍软件广告程式Rootkit、主动式内容、僵尸电脑(Zombies)僵尸网络(Botnets)预防勒索软件。因为他们会导致对软件及资讯处理设备的严重威胁,用户及管理者必须采取预防措施来侦测并避免恶意程式码的爆发。

电脑病毒

电脑病毒是一种自我複製的电脑程式,会将自己附著在其他档案 /程式上,并且在主程式 /档案启动时秘密地执行。病毒在执行时会进行一些作业如删除档案 /硬件,显示骚扰资讯,附著在其他档案上等等。

病毒种类

常驻记忆体病毒

这种病毒会常驻在主程式上。每当作业系统执行档案时,病毒就会感染像是程式档等合适目标。

程式档病毒

这种病毒会感染副档名为 exe、 com、 sys等档案。

多构式病毒

病毒会使用各种多样态科技来改变形状。

开机磁区病毒

这种病毒会在磁碟初始化或开机後,感染磁碟的系统区。

隐形病毒

这种病毒会使用各种隐形科技来隐藏自己避免遭到抗电脑病毒软件的侦测。

巨集病毒

这种病毒和其他病毒型态不同,攻击的是资料档而非执行档。

因为下列原因,巨集病毒常常出现:

他们附著在那些独立於平台的文件与档案。
文件藉由像是电子邮件或档案交换等方式送到其他电脑上。收件者收到的感染文件是来自於「可信任」的寄件者。

电子邮件病毒

透过电子邮件讯息散佈的病毒。

防範技巧

一般最佳作业实务

蠕蟲

蠕蟲是一种可自我複製的程式,不需要附著在主程式 /档案上。和电脑病毒不同的是,蠕蟲是可以自我执行的。蠕蟲有能力透过网络传播,也可以在短时间内进行大规模毁灭性的攻击。

一个大规模攻击的例子为 "SQL 蠕蟲攻击 ",发生於 2003 年 1 月 25 日。蠕蟲攻击了微软 SQL 伺服器或 MSDE2000 资料库引擎的漏洞。弱点是位於底层索引服务,而微软已经在 2002 发表修正档。这种病毒以每 8.5 秒时间倍增,在十分钟内就感染了具有漏洞主机 90%以上的区域。最後感染了至少七万五千部主机并导致网络中断,产生了以下的影响:

取消飞机航班
干扰选举
银行自动提款机故障

防範技巧

一般最佳作业实务

特洛依木马

特洛依木马是一种非複製型病毒,看起来是正当的程式,但实际上在执行时会出现恶性及非法活动。攻击者使用特洛依木马窃取用户密码资讯,或者只是简单地破坏硬件上的程式或资料。

特洛依木马难以侦测,因为它设计透过执行某些功能来隐藏外貌。

某些近期例子是:

特洛依木马隐藏在线上遊戏的外掛程式中,协助线上遊戏者对他们的遊戏角色进行升级;然而同时也窃取了线上遊戏帐号与密码。遊戏者的虚拟宝物也因此遭窃。
特洛依木马隐藏在热门的商业套装程式中,并上传到免费下载的网站上,或者透过同侪架构下载网络的分享。
特洛依木马是非常危险的,因为它们能够打开後门,进入系统,并允许攻击者在您的电脑上安装进一步的恶意程式。 Back Orifice 及 Subseven 是两个著名的远端进入特洛依木马,允许攻击者操控受害者的电脑。

防範技巧

除了遵循一般最佳作业实务,您应该:

安装档案及目录完整性检查器。
注意可疑硬磁碟活动及 /或网络活动,例如硬磁碟 LED指示灯总是亮著时。
注意可疑的档案删除或修改。
检查电脑系统是否在您不知道的情况下被非法使用,例如电字邮件帐户。
间谍软件及广告软件

间谍软件是一种在没有用户的同意下,秘密转寄用户资料给第三方的软件。资料包括了用户的线上活动,电脑的档案许可,或者甚至用户敲键内容。

广告软件则是一种执行程式时显示广告横幅的软件。某些广告软件同时也是间谍软件。他们先潜入受害者的电脑并收集资料,接著显示与所蒐集资料有关的广告横幅。

被安装了间谍软件 /广告软件的系统可能显示下列一个或多个徵兆:

网站浏览器的「首页」会变更成另一个网站,而且 /或者在没有用户同意下,在「我的最爱」中加入新的项目。用户无法对变更做任何改变,并且这些浏览器攻击者会迫使用户造访不想要的网站,大量提高该网站的点击率以提高广告值。
即使当用户的浏览器并未开启或者系统没有连结到互联网时,带有广告的弹出视窗还是会出现在萤幕上。
未经用户许可下在电脑上安装新的软件组件,如浏览器工具列等。
用户并未执行任何线上活动时,可疑的网络通讯还是会出现在电脑上。

无论如何,某些间谍软件的程式设计十分小心,避免被用户注意到,因此也无法藉由以上不正常情况来进行筛选。这种间谍软件只能透过抗电脑病毒软件产品 /工具来加以侦测并移除。

防範技巧

除了一般最佳作业实务,您应该:

不要从可疑来源如网站、同侪架构档案分享资源等等下载 /安装软件。
即使在下载与安装合法软件之前,要先阅读使用条款与条件,因为他们可能会要求您接受安装一些广告软件或间谍软件系统。
当造访某些网站时,如被要求安装外掛程式或使用权同意,请仔细阅读使用条款。
检查特定搜寻引擎所提供的资讯,他们的搜寻结果可能包括了恶意程式码。这可以在搜寻连结时避免危险或不可信赖的网站。
安装可以过滤间谍软件及广告软件的浏览器工具列。
安装反间谍与反广告的软件。
Rootkit

Rootkit是一整套档案,可以以恶性窃取的方式,改变一个作业系统的标準功能。藉由作业系统的改变,rootkit允许攻击者在受害者系统中,扮演系统管理者的角色。(在Unix系统中则是 "根" 目录用户的角色 ---因此才称为 "rootkit"。)

许多rootkit的设计使他们以及他们对系统所做的改变隐藏起来。这使得判定系统中是否有rootkit与被rootkit改变的内容,变得很困难。例如,rootkit可能会将连结到他们自己档案的目录与程序列表项目隐匿起来。

Rootkit也会被利用来安装其他种类的攻击工具,如後门程式与键击记录器。 Rootkit的案例包括了 LPK5, Knark, Adore及 Hacker Defender。

防範技巧

一般最佳作业实务

主动式内容

与传统的静态资料档使用软件程式的方法不同,现行的资料物件,如网页,电子邮件及文件可以让资料与程式码交织在一起,允许程式码在用户电脑上进行动态执行。这些资料物件经常在用户之间转换的情形会让他们成为有效的病毒载具。程式码执行的透明度会成为保安上的顾虑。

ActiveX元件控制与 Java语言是两种主要的「主动式内容」科技。一般而言, ActiveX元件控制所造成威胁较大,因为可直接接达当地视窗呼叫 (native Windows calls),从而接达任何系统功能。另一方面, Java语言的 Java虚拟机器会让它自己成为一个所谓的「沙包」,或与作业系统服务有所隔离。然而,这并不表示没有 Java病毒。

防範技巧

除了一般最佳作业实务,您应该要:

注意任何不正常的徵兆
程式在执行时花了比平常更久的时间
系统记忆量或磁碟可使用空间突然降低
浏览器的首页遭到改变
无法再接达某些网站
不要安装任何来自可疑网站的主动式内容。不要选择安装页上的拒绝选项,而是关闭浏览器。因为有些安装页可能是一种视觉诈骗,无论选择那一个选项都会安装主动式内容。如果不行,可能要考虑使用作业管理程式来强迫关闭浏览器。
殭屍电脑 (Zombies) 及殭屍网络 (Botnets)

殭屍电脑,是指一部接达上互联网,并在电脑拥有者不知情况下,被破解操纵的电脑。殭屍网络是指由殭屍电脑所组成的网络,并已经遭到攻击者接管及远端控制。

殭屍网络可能包括几百台甚至更多的殭屍电脑。这些殭屍网络会囊括遍及全世界各地家用的、学校的、商业的以及政府的电脑。

殭屍电脑可能只是在速度上轻微地降低,或者显示奇怪的讯息。然而攻击者可以使用殭屍网络对另一个系统或网络进行大规模攻击,如 DDoS(分布式拒绝服务攻击)。因为殭屍网络里的机器数量十分庞大,当所有这些机器集中针对单一目标进行一个分布式拒绝服务攻击时,所汇集的计算量是十分庞大的。

您应该保护机器或系统避免成为殭屍电脑

其他

恶作剧电子邮件是一种假的病毒警告,通常以电子邮件讯息形式出现。它会建议读者将讯息转寄给其他人,导致电子邮件数目迅速激增,令系统超出负荷量。

流动装置病毒 /蠕蟲

如同任何其他电脑平台,流动装置也容易遭到恶意程式码的攻击。虽然目前针对手提设备与智慧型手机的恶意程式码并非普遍,但它们很可能随著流动式应用程式功能的增加以及这些设备的装设普及化而有所增加。

流动式应用程式发展环境的开放式架构,和经常伴随大量的软件发展文件与工具,也很容易允许攻击者製造这些平台的恶意程式码。

恶意程式码会以好几种方式感染流动装置,包括:

透过 SMS或 MMS电子邮件:含超连结至恶意程式码的讯息会传送给用户,诱使该用户选择该连结并下载恶意程式码。另一个方式为恶意程式码以电子邮件的附件形式传送至用户,并在执行时感染设备。恶意程式码也会以类似状况透过 MMS讯息来繁殖。 SymbOS/Commarrior.M 是一种能够透过 MMS讯息在 Symbian 系列上散佈的蠕蟲。
经由桌面同步化: Cxover 蠕蟲就是这样的一种例子。 Cxover 是一种概念检验式蠕蟲,会同时影响个人电脑以及流动装置的视窗系统。如果在流动装置的视窗系统上执行,会透过 ActiveSync 连结,自我複製到电脑上。如果在个人电脑视窗系统上执行,则会透过 ActiveSync 搜寻任何手提设备并自我複製到该设备上。
经由蓝芽,红外线或 Wi-Fi 装置:第一只能够透过蓝芽散佈的蠕蟲是在 2004 年 1 月发现的,命名为 Cabir 。这是针对 Symbian作业系统系列 60 智慧型手机的概念检验式蠕蟲,但之後就没有大量出现。蠕蟲需要接受者好几个的互动步骤才能够执行。意图传送恶意程式欺骗接受者接受的攻击者,也会盘剥蓝芽的潜在弱点。

逻辑炸弹

逻辑炸弹是一种嵌入其他程式的程式码,遇到特定预先定义的条件时就会启动。

例如,如果时间炸弹,在某个系统里未发现另一个程式码或密码匙,就会攻击该个系统并删除所有资料。在某些情况下,逻辑炸弹会透过互联网通知攻击者,炸弹已经準备好要攻击受害者。

陷阱门

陷阱门是程式的一个秘密进入点,刻意包含在程式码之中。可以用来帮助程式除错,但也可能用於恶性目的。

常见的模糊技术

恶意程式码发展者与写作者会使用下列常见的模糊技术来逃避侦测与删除:

綑绑工与包装者
多数病毒识别码是以检验和值的方式,使用档案特徵和恶意程式码的前几个二进位数元来製造。綑绑工技术是将病毒与恶意程式码档案绑在另一个档案上,并改变它的格式。包装者技术则在嵌入病毒码之前先进行压缩。
自我加密与自我解密
恶意程式码会自我加密解密,甚至会使用好几层加密及解密技术并 /或在加密及解密过程使用乱数匙。这样就难以被直接检查出来。
多态
恶意程式码会在自我加密过程中改变预设的加密设定及解密码。这样会让侦测困难许多。
变形
恶意程式码会藉由如重新安排程式码段,或藉由在来源程式码中加入没有用的程式行,重新编译成新格式,来改变原来的格式。
程式码转换成 VB(Visual Basic) 手稿程式 (script)
这种方法将一个执行档程式 (.exe) 转换成 visual basic(.vbs) 的手稿程式,以附著在一个文件、资料档或电子邮件讯息中。
隐形
这种技术是藉由自我隐藏程式码的设计来逃避抗电脑病毒软件侦测系统。有一种例子是监察系统对档案的呼叫;恶意程式码就可以修改程序对呼叫的回传资讯,并且只回传原来的资讯。

增长的风险

恶意程式码所导致的风险正日渐增加,因为他们的威胁及目的有了基本上的改变。以往的恶意程式码只会做出骚扰及一般的破坏,但现今的恶意程式码攻击的动机则更多是在於金钱上的掠夺。攻击者采取类似传统软件发展及商业应用等方式来攻击,使攻击日益复杂并更有组织。

研究显示,发现软件漏洞与透过新型电脑病毒/蠕虫来发现漏洞之间的时间相隔有缩短的趋势。此外,抗电脑病毒软件发展电脑病毒及恶意程式码定义来缓和这个问题是需要时间的,所以您的抗电脑病毒软件可能无法及时侦测到最新发现的恶意程式码。因此,如果没有装置其他的保安最佳作业实务,您的电脑就仍会受到电脑病毒攻击的威胁。

您的电脑在下列情况下有可能会受到感染:

用户安装或打开来自不可信任来源或滥发电邮的恶性附件 /程式 /外挂程式
用户造访恶性网站
电脑未做适当修补与更新,让攻击者找到机会或漏洞
电脑未做适当配置,让攻击者找到机会或漏洞

处理恶意软件爆发

防范恶意软件的最佳作业实务

防毒资料

Virus Bulletin(只提供英文版)

病毒资料库

(以下产品 /服务供应商网址祇作参考用途,不可视为本网站推荐或认可之产品及服务清单 )

F-Secure Security Advisories(只提供英文版)
McAfee Threat Center(只提供英文版)
Symantec Security Center(只提供英文版)
Trend Micro Threat Encyclopaedia(只提供英文版)