惡意軟件
主頁 > 
惡意軟件
< 返回

惡意軟件

惡意軟件是不同類型的惡意程式碼的一個統稱。惡意軟件可用於破壞正常的電腦功能,竊取數據,獲得未經授權的訪問,或形成殭屍網絡以發起有組織的攻擊。

何謂病毒與惡意程式碼?

惡意程式碼是指範圍廣泛,會對電腦或網絡造成損害或不預期影響的程式。潛在的損害可以包括資料的修改、破壞或竊取,允許未經授權的系統接達,產生非期待的螢幕畫面以及執行用戶絕不想要的功能。

惡意程式碼的例子包括了電腦病毒蠕蟲特洛依木馬間諜軟件廣告程式Rootkit、主動式內容、殭屍電腦 (Zombies)殭屍網絡 (Botnets)預防勒索軟件。因為他們會導致對軟件及資訊處理設備的嚴重威脅,用戶及管理者必須採取預防措施來偵測並避免惡意程式碼的爆發。

電腦病毒

電腦病毒是一種自我複製的電腦程式,會將自己附著在其他檔案 /程式上,並且在主程式 /檔案啟動時秘密地執行。病毒在執行時會進行一些作業如刪除檔案 /硬件,顯示騷擾資訊,附著在其他檔案上等等。

病毒種類

常駐記憶體病毒

這種病毒會常駐在主程式上。每當作業系統執行檔案時,病毒就會感染像是程式檔等合適目標。

程式檔病毒

這種病毒會感染副檔名為 exe、 com、 sys等檔案。

多構式病毒

病毒會使用各種多樣態科技來改變形狀。

開機磁區病毒

這種病毒會在磁碟初始化或開機後,感染磁碟的系統區。

隱形病毒

這種病毒會使用各種隱形科技來隱藏自己避免遭到抗電腦病毒軟件的偵測。

巨集病毒

這種病毒和其他病毒型態不同,攻擊的是資料檔而非執行檔。

因為下列原因,巨集病毒常常出現:

他們附著在那些獨立於平台的文件與檔案。
文件藉由像是電子郵件或檔案交換等方式送到其他電腦上。收件者收到的感染文件是來自於「可信任」的寄件者。

電子郵件病毒

透過電子郵件訊息散佈的病毒。

防範技巧

一般最佳作業實務

蠕蟲

蠕蟲是一種可自我複製的程式,不需要附著在主程式 /檔案上。和電腦病毒不同的是,蠕蟲是可以自我執行的。蠕蟲有能力透過網絡傳播,也可以在短時間內進行大規模毀滅性的攻擊。

一個大規模攻擊的例子為 "SQL 蠕蟲攻擊 ",發生於 2003 年 1 月 25 日。蠕蟲攻擊了微軟 SQL 伺服器或 MSDE2000 資料庫引擎的漏洞。弱點是位於底層索引服務,而微軟已經在 2002 發表修正檔。這種病毒以每 8.5 秒時間倍增,在十分鐘內就感染了具有漏洞主機 90%以上的區域。最後感染了至少七萬五千部主機並導致網絡中斷,產生了以下的影響:

取消飛機航班
干擾選舉
銀行自動提款機故障

防範技巧

一般最佳作業實務

特洛依木馬

特洛依木馬是一種非複製型病毒,看起來是正當的程式,但實際上在執行時會出現惡性及非法活動。攻擊者使用特洛依木馬竊取用戶密碼資訊,或者只是簡單地破壞硬件上的程式或資料。

特洛依木馬難以偵測,因為它設計透過執行某些功能來隱藏外貌。

某些近期例子是:

特洛依木馬隱藏在線上遊戲的外掛程式中,協助線上遊戲者對他們的遊戲角色進行升級;然而同時也竊取了線上遊戲帳號與密碼。遊戲者的虛擬寶物也因此遭竊。
特洛依木馬隱藏在熱門的商業套裝程式中,並上傳到免費下載的網站上,或者透過同儕架構下載網絡的分享。
特洛依木馬是非常危險的,因為它們能夠打開後門,進入系統,並允許攻擊者在您的電腦上安裝進一步的惡意程式。 Back Orifice 及 Subseven 是兩個著名的遠端進入特洛依木馬,允許攻擊者操控受害者的電腦。

防範技巧

除了遵循一般最佳作業實務,您應該:

安裝檔案及目錄完整性檢查器。
注意可疑硬磁碟活動及 /或網絡活動,例如硬磁碟 LED指示燈總是亮著時。
注意可疑的檔案刪除或修改。
檢查電腦系統是否在您不知道的情況下被非法使用,例如電字郵件帳戶。
間諜軟件及廣告軟件

間諜軟件是一種在沒有用戶的同意下,秘密轉寄用戶資料給第三方的軟件。資料包括了用戶的線上活動,電腦的檔案許可,或者甚至用戶敲鍵內容。

廣告軟件則是一種執行程式時顯示廣告橫幅的軟件。某些廣告軟件同時也是間諜軟件。他們先潛入受害者的電腦並收集資料,接著顯示與所蒐集資料有關的廣告橫幅。

被安裝了間諜軟件 /廣告軟件的系統可能顯示下列一個或多個徵兆:

網站瀏覽器的「首頁」會變更成另一個網站,而且 /或者在沒有用戶同意下,在「我的最愛」中加入新的項目。用戶無法對變更做任何改變,並且這些瀏覽器攻擊者會迫使用戶造訪不想要的網站,大量提高該網站的點擊率以提高廣告值。
即使當用戶的瀏覽器並未開啟或者系統沒有連結到互聯網時,帶有廣告的彈出視窗還是會出現在螢幕上。
未經用戶許可下在電腦上安裝新的軟件組件,如瀏覽器工具列等。
用戶並未執行任何線上活動時,可疑的網絡通訊還是會出現在電腦上。

無論如何,某些間諜軟件的程式設計十分小心,避免被用戶注意到,因此也無法藉由以上不正常情況來進行篩選。這種間諜軟件只能透過抗電腦病毒軟件產品 /工具來加以偵測並移除。

防範技巧

除了一般最佳作業實務,您應該:

不要從可疑來源如網站、同儕架構檔案分享資源等等下載 /安裝軟件。
即使在下載與安裝合法軟件之前,要先閱讀使用條款與條件,因為他們可能會要求您接受安裝一些廣告軟件或間諜軟件系統。
當造訪某些網站時,如被要求安裝外掛程式或使用權同意,請仔細閱讀使用條款。
檢查特定搜尋引擎所提供的資訊,他們的搜尋結果可能包括了惡意程式碼。這可以在搜尋連結時避免危險或不可信賴的網站。
安裝可以過濾間諜軟件及廣告軟件的瀏覽器工具列。
安裝反間諜與反廣告的軟件。
Rootkit

Rootkit是一整套檔案,可以以惡性竊取的方式,改變一個作業系統的標準功能。藉由作業系統的改變,rootkit允許攻擊者在受害者系統中,扮演系統管理者的角色。(在Unix系統中則是 "根" 目錄用戶的角色 ---因此才稱為 "rootkit"。)

許多rootkit的設計使他們以及他們對系統所做的改變隱藏起來。這使得判定系統中是否有rootkit與被rootkit改變的內容,變得很困難。例如,rootkit可能會將連結到他們自己檔案的目錄與程序列表項目隱匿起來。

Rootkit也會被利用來安裝其他種類的攻擊工具,如後門程式與鍵擊記錄器。 Rootkit的案例包括了 LPK5, Knark, Adore及 Hacker Defender。

防範技巧

一般最佳作業實務

主動式內容

與傳統的靜態資料檔使用軟件程式的方法不同,現行的資料物件,如網頁,電子郵件及文件可以讓資料與程式碼交織在一起,允許程式碼在用戶電腦上進行動態執行。這些資料物件經常在用戶之間轉換的情形會讓他們成為有效的病毒載具。程式碼執行的透明度會成為保安上的顧慮。

ActiveX元件控制與 Java語言是兩種主要的「主動式內容」科技。一般而言, ActiveX元件控制所造成威脅較大,因為可直接接達當地視窗呼叫 (native Windows calls),從而接達任何系統功能。另一方面, Java語言的 Java虛擬機器會讓它自己成為一個所謂的「沙包」,或與作業系統服務有所隔離。然而,這並不表示沒有 Java病毒。

防範技巧

除了一般最佳作業實務,您應該要:

注意任何不正常的徵兆
程式在執行時花了比平常更久的時間
系統記憶量或磁碟可使用空間突然降低
瀏覽器的首頁遭到改變
無法再接達某些網站
不要安裝任何來自可疑網站的主動式內容。不要選擇安裝頁上的拒絕選項,而是關閉瀏覽器。因為有些安裝頁可能是一種視覺詐騙,無論選擇那一個選項都會安裝主動式內容。如果不行,可能要考慮使用作業管理程式來強迫關閉瀏覽器。
殭屍電腦 (Zombies) 及殭屍網絡 (Botnets)

殭屍電腦,是指一部接達上互聯網,並在電腦擁有者不知情況下,被破解操縱的電腦。殭屍網絡是指由殭屍電腦所組成的網絡,並已經遭到攻擊者接管及遠端控制。

殭屍網絡可能包括幾百台甚至更多的殭屍電腦。這些殭屍網絡會囊括遍及全世界各地家用的、學校的、商業的以及政府的電腦。

殭屍電腦可能只是在速度上輕微地降低,或者顯示奇怪的訊息。然而攻擊者可以使用殭屍網絡對另一個系統或網絡進行大規模攻擊,如 DDoS(分布式拒絕服務攻擊)。因為殭屍網絡裡的機器數量十分龐大,當所有這些機器集中針對單一目標進行一個分布式拒絕服務攻擊時,所匯集的計算量是十分龐大的。

您應該保護機器或系統避免成為殭屍電腦

其他

惡作劇電子郵件是一種假的病毒警告,通常以電子郵件訊息形式出現。它會建議讀者將訊息轉寄給其他人,導致電子郵件數目迅速激增,令系統超出負荷量。

流動裝置病毒 /蠕蟲

如同任何其他電腦平台,流動裝置也容易遭到惡意程式碼的攻擊。雖然目前針對手提設備與智慧型手機的惡意程式碼並非普遍,但它們很可能隨著流動式應用程式功能的增加以及這些設備的裝設普及化而有所增加。

流動式應用程式發展環境的開放式架構,和經常伴隨大量的軟件發展文件與工具,也很容易允許攻擊者製造這些平台的惡意程式碼。

惡意程式碼會以好幾種方式感染流動裝置,包括:

透過 SMS或 MMS電子郵件:含超連結至惡意程式碼的訊息會傳送給用戶,誘使該用戶選擇該連結並下載惡意程式碼。另一個方式為惡意程式碼以電子郵件的附件形式傳送至用戶,並在執行時感染設備。惡意程式碼也會以類似狀況透過 MMS訊息來繁殖。 SymbOS/Commarrior.M 是一種能夠透過 MMS訊息在 Symbian 系列上散佈的蠕蟲。
經由桌面同步化: Cxover 蠕蟲就是這樣的一種例子。 Cxover 是一種概念檢驗式蠕蟲,會同時影響個人電腦以及流動裝置的視窗系統。如果在流動裝置的視窗系統上執行,會透過 ActiveSync 連結,自我複製到電腦上。如果在個人電腦視窗系統上執行,則會透過 ActiveSync 搜尋任何手提設備並自我複製到該設備上。
經由藍芽,紅外線或 Wi-Fi 裝置:第一隻能夠透過藍芽散佈的蠕蟲是在 2004 年 1 月發現的,命名為 Cabir 。這是針對 Symbian作業系統系列 60 智慧型手機的概念檢驗式蠕蟲,但之後就沒有大量出現。蠕蟲需要接受者好幾個的互動步驟才能夠執行。意圖傳送惡意程式欺騙接受者接受的攻擊者,也會盤剝藍芽的潛在弱點。

邏輯炸彈

邏輯炸彈是一種嵌入其他程式的程式碼,遇到特定預先定義的條件時就會啟動。

例如,如果時間炸彈,在某個系統裡未發現另一個程式碼或密碼匙,就會攻擊該個系統並刪除所有資料。在某些情況下,邏輯炸彈會透過互聯網通知攻擊者,炸彈已經準備好要攻擊受害者。

陷阱門

陷阱門是程式的一個秘密進入點,刻意包含在程式碼之中。可以用來幫助程式除錯,但也可能用於惡性目的。

常見的模糊技術

惡意程式碼發展者與寫作者會使用下列常見的模糊技術來逃避偵測與刪除:

綑綁工與包裝者
多數病毒識別碼是以檢驗和值的方式,使用檔案特徵和惡意程式碼的前幾個二進位數元來製造。綑綁工技術是將病毒與惡意程式碼檔案綁在另一個檔案上,並改變它的格式。包裝者技術則在嵌入病毒碼之前先進行壓縮。
自我加密與自我解密
惡意程式碼會自我加密解密,甚至會使用好幾層加密及解密技術並 /或在加密及解密過程使用亂數匙。這樣就難以被直接檢查出來。
多態
惡意程式碼會在自我加密過程中改變預設的加密設定及解密碼。這樣會讓偵測困難許多。
變形
惡意程式碼會藉由如重新安排程式碼段,或藉由在來源程式碼中加入沒有用的程式行,重新編譯成新格式,來改變原來的格式。
程式碼轉換成 VB(Visual Basic) 手稿程式 (script)
這種方法將一個執行檔程式 (.exe) 轉換成 visual basic(.vbs) 的手稿程式,以附著在一個文件、資料檔或電子郵件訊息中。
隱形
這種技術是藉由自我隱藏程式碼的設計來逃避抗電腦病毒軟件偵測系統。有一種例子是監察系統對檔案的呼叫;惡意程式碼就可以修改程序對呼叫的回傳資訊,並且只回傳原來的資訊。

增長的風險

惡意程式碼所導致的風險正日漸增加,因為他們的威脅及目的有了基本上的改變。以往的惡意程式碼只會做出騷擾及一般的破壞,但現今的惡意程式碼攻擊的動機則更多是在於金錢上的掠奪。攻擊者採取類似傳統軟件發展及商業應用等方式來攻擊,使攻擊日益複雜並更有組織。

研究顯示,發現軟件漏洞與透過新型電腦病毒/蠕蟲來發現漏洞之間的時間相隔有縮短的趨勢。此外,抗電腦病毒軟件發展電腦病毒及惡意程式碼定義來緩和這個問題是需要時間的,所以您的抗電腦病毒軟件可能無法及時偵測到最新發現的惡意程式碼。因此,如果沒有裝置其他的保安最佳作業實務,您的電腦就仍會受到電腦病毒攻擊的威脅。

您的電腦在下列情況下有可能會受到感染:

用戶安裝或打開來自不可信任來源或濫發電郵的惡性附件 /程式 /外掛程式
用戶造訪惡性網站
電腦未做適當修補與更新,讓攻擊者找到機會或漏洞
電腦未做適當配置,讓攻擊者找到機會或漏洞

處理惡意軟件爆發

防範惡意軟件的最佳作業實務

防毒資料

Virus Bulletin(只提供英文版)

病毒資料庫

(以下產品 /服務供應商網址祇作參考用途,不可視為本網站推荐或認可之產品及服務清單 )

F-Secure Security Advisories(只提供英文版)
McAfee Threat Center(只提供英文版)
Symantec Security Center(只提供英文版)
Trend Micro Threat Encyclopaedia(只提供英文版)