編者按：根據數據統計資源網站Statista數據，2019年全球惡意軟件攻擊數量超過了99億次。惡意軟件會損壞或利用其感染的任何設備、網絡、軟件或服務器。惡意軟件開發者即網絡犯罪分子，會濫用裝有惡意軟件的設備來獲取財務、個人、專業或政治利益。盡管不同類型的惡意軟件的編碼方式不同，但是可以根據惡意軟件的結構、行為和共同特征對其進行分類，每種類型惡意軟件的目標都是以特定方式損害受感染的設備。

　　本文介紹了三種主要類型的惡意軟件：病毒、蠕蟲、特洛伊木馬，以及其他五種廣泛使用的惡意軟件：rootkit、鍵盤記錄程序、勒索軟件、間諜軟件、廣告軟件，并提供了四種防范惡意軟件感染的建議：保持軟件更新并安裝補丁、識別網絡釣魚郵件、提防垃圾郵件及惡意網站、定期掃描硬件及IoT設備。

　　一、八種不同類型的惡意軟件

　　1計算機病毒

　　就像生物病毒一樣，計算機病毒通過宿主感染并傳播給他人。不過計算機病毒是通過數字格式傳播的，并不是通過人類宿主。計算機病毒是隱藏在以下位置的惡意程序：

　　l 硬件部件;

　　l 軟件;

　　l 操作系統;

　　l 瀏覽器;

　　l 媒體文件(圖像、視頻、幻燈片、GIF等);

　　l 文件(.doc，PDF等)。

　　一旦用戶下載并激活了惡意程序，病毒便會激活并破壞設備。病毒會自我復制，更改受感染設備的程序代碼，并獲得對設備硬件和軟件組件的未經授權的控制。計算機病毒具有許多不同的結構，可用于各種網絡犯罪。

　　計算機病毒的生命周期

　　當病毒將進入用戶設備時，會先保持休眠狀態。病毒需要觸發器(即主機執行的手動操作)才能激活。通常，觸發器可以是激活軟件、打開受感染的文件/媒體、啟用宏等。一旦激活，該病毒就會開始搜索其他位置進行自我復制，例如在軟件、硬盤驅動器、可移動硬件(如存儲卡和USB驅動器)上。病毒會更改計算機程序的原始設置和代碼，最后釋放其有效負載。有效負載是核心代碼，可使病毒能夠執行其創建的任務。網絡犯罪分子創建病毒導致的結果有很多，包括：

　　l 使目標設備的硬件或操作系統崩潰;

　　l 破壞系統;

　　l 顯示大量不需要的彈出窗口;

　　l 訪問目標用戶的聯系人列表和電子郵件聯系人。

　　計算機病毒概覽

　　l 一些病毒使用數學算法對自身進行加密。因此，防病毒程序無法檢查和讀取包含病毒的軟件內部的代碼;

　　l 防病毒程序會搜索一些已知的代碼串來檢測病毒。這些代碼也稱為“病毒特征”。但是某些病毒的編寫方式寫得特別好，以至于它們每次感染后都會自行重寫并更改其代碼。由于缺少相似的字符串模式，因此防病毒程序很難跟蹤病毒;

　　l 一些新一代病毒使用高級人工智能(AI)來讀取用戶的請求。當用戶開始掃描其設備時，病毒會復制原始文件，并將未受感染的文件副本發送到防病毒掃描程序，從而使感染文件保持隱藏狀態。

　　2特洛伊木馬

　　特洛伊木馬是一種惡意軟件，偽裝成合法軟件并誘騙用戶安裝它。特洛伊木馬程序編寫者將惡意代碼插入合法軟件/文件中，或者開發與合法程序類似的惡意軟件。誘使用戶在其系統上安裝特洛伊木馬的方式有很多，例如：

　　l 升級：當用戶嘗試在線訪問某些內容時，受感染的網站會限制內容，并要求用戶將軟件、應用程序、瀏覽器、媒體播放器等更新為最新版本。但是，當用戶單擊提供的鏈接時，木馬會與升級的軟件一起安裝在用戶的設備上;

　　l 媒體文件：犯罪者在網絡釣魚電子郵件或惡意網站中提供鏈接，以下載免費的圖像、mp3文件、游戲、幻燈片或視頻。但是，當用戶嘗試下載時，設備中下載的是木馬感染的版本或完全不同的程序;

　　l 電子郵件附件：攻擊者發送帶有特洛伊木馬感染附件的網絡釣魚電子郵件。

　　木馬無法自我復制，因此，它們會保留在本地(在其最初存儲的程序/文件中)。然而，如今市場上存在將木馬與病毒或蠕蟲結合在一起的混合惡意軟件。病毒和蠕蟲為木馬了提供復制功能，因此其破壞力倍增。

　　七種木馬程序

　　(1)勒索木馬

　　此類型的木馬會加密、破壞、修改、復制、鎖定、和刪除數據。此類木馬將用戶系統中的數據作為勒索條件，并在用戶支付贖金后將其釋放。

　　(2)Mail-Finder木馬

　　此類型木馬的任務是從其目標的電子郵件客戶端中查找所有電子郵件聯系人。該木馬可將列表發送給其創建者。在某些情況下，會通過網絡釣魚電子郵件在受害者不知情的情況下通過網絡釣魚電子郵件將自己轉發給這些聯系人，從而進行自我傳播。

　　(3)偽造的防病毒木馬

　　此類木馬會向用戶發送虛假消息，告知其設備已感染病毒。有時會使用復雜的報告和掃描結果，顯示出很高的威脅級別，從而使用戶感到恐慌。然后，該木馬作者向用戶收取病毒清除服務費用。

　　(4)下載木馬

　　此類木馬的目的是在設備所有者不知情的情況下從互聯網下載其他惡意軟件。

　　(5)僵尸網絡木馬

　　僵尸網絡木馬用于破壞Web瀏覽器，感染其他設備，迫使其加入僵尸網絡大軍，并執行各種網絡犯罪。

　　(6)后門/遠程訪問木馬

　　此類木馬可使網絡犯罪分子遠程訪問控制入侵的設備，例如：

　　l 訪問和修改文件;

　　l 重新啟動目標系統;

　　l 安裝或卸載其他軟件;

　　l 與其他連接的物聯網設備發送和接收信息;

　　l 獲得許多其他類似的特權。

　　(7)間諜木馬

　　此類木馬也稱間諜軟件，會監視用戶的行為，如上網行為以及用戶在網站和設備上鍵入的內容(如個人信息、財務數據、登錄憑據等)。之后此類信息將用于執行身份盜用犯罪、財務欺詐或勒索軟件攻擊。

　　3電腦蠕蟲

　　蠕蟲是一種可以自我復制并迅速傳播到其他連接的設備、文件和軟件上的惡意軟件。因此，這意味著蠕蟲是具有高度傳染性的獨立計算機程序。與需要觸發才能激活的病毒不同，蠕蟲是自主的，一旦被插入用戶的設備中，就可以開始自我復制，不需要用戶操作即可激活?；救湎x會占用主機設備的過多帶寬和資源，從而使其運行緩慢或無法正常運行。它還會耗盡設備的RAM和內部存儲器，并使共享互聯網絡過載。但更糟糕的是，許多現代蠕蟲通常與木馬和病毒等其他類型的惡意軟件配對使用。這些混合蠕蟲具有以下功能：

　　l 提供遠程訪問權限;

　　l 加密文件;

　　l 發送垃圾郵件和網絡釣魚電子郵件;

　　l 從互聯網上下載惡意軟件;

　　l 刪除文件;

　　l 以閃電般的速度危害主機設備。

　　蠕蟲和木馬的組合可用于執行：

　　l 僵尸網絡攻擊;

　　l 瀏覽器中間人攻擊;

　　l 暴力攻擊;

　　l DDoS攻擊。

　　蠕蟲是需要大量感染設備的網絡攻擊的理想選擇。

　　4 Rootkits

　　rootkit是一種計算機程序，可使犯罪分子無需任何必要的憑據即可未經授權訪問文件/軟件。軟件的某些核心組件需要用戶身份驗證才能訪問它們，例如：

　　l 密碼(Passwords);

　　l 一次性密碼(One-time passwords，OTPs);

　　l 密碼(Secret codes);

　　l 安全問題。

　　然而，當rootkit安裝在用戶設備上時，會破壞系統，包括硬件和軟件，使其作者可以繞過身份驗證過程并在用戶不知情的情況下獲得管理權限。盡管某些防病毒程序可以檢測到rootkit，但是一旦將其插入設備的核心組件中，仍然很難將其刪除。如果它存儲在內核中，則需要重新安裝整個操作系統來擺脫它。如果rootkit隱藏在硬件中(也稱為固件rootkit)，則必須替換整個硬件組件才能將其刪除。

　　5鍵盤記錄器

　　術語“鍵盤記錄器”是指監視用戶鍵盤活動的一種基于軟件或硬件的程序。每當按下鍵盤上的按鍵時，就在創建擊鍵。這就是使用者與設備進行通信的方式。鍵盤記錄程序會記錄進行的每個按鍵記錄(因此得名鍵盤記錄程序Keylogger)?；谲浖逆I盤記錄程序隱藏在操作系統、內核級程序、正在運行的應用程序以及受感染設備的Web瀏覽器中。盡管它們對計算機或其他設備沒有威脅，但基于它們竊取的信息類型，會對使用它們的人員和組織構成威脅。然而按鍵記錄并非在所有情況下都是非法的。例如，某些組織選擇使用鍵盤記錄器來跟蹤其員工的工作。然而當出于竊聽和竊取信息目的將鍵盤記錄程序安裝在用戶設備上時，就屬于惡意軟件類別。

　　其他一些類型的惡意軟件(蠕蟲、病毒、特洛伊木馬)也具有擊鍵記錄功能。用戶被誘騙下載隱藏了鍵盤記錄程序的軟件，安裝并激活后，按鍵記錄器會跟蹤并記錄用戶的按鍵。

　　鍵盤記錄竊取了什么

　　網絡罪犯使用這些工具來竊取個人身份信息(PII)、財務數據、密碼、個人通信、甚至媒體文件。犯罪者可以使用它來執行：

　　l 身份盜用：這種類型的犯罪包括在使用他人名字的同時開設銀行賬戶、借貸、提交納稅申報表等;

　　l 財務欺詐：此類欺詐包括濫用付款卡和銀行信息進行未經授權的資金轉移;

　　l 勒索軟件攻擊：網絡犯罪分子會威脅如果不支付贖金，就會傳播或刪除個人或組織的數據。

　　有時，攻擊者會收集用戶的個人數據，并將其在暗網出售。

　　6勒索軟件

　　勒索軟件是將目標數據作為人質的惡意軟件。為了使受害者重新獲得對其文檔、圖像、視頻及其他重要數據的訪問權，他們必須首先支付指定的費用(通常以加密貨幣支付)。通常，勒索軟件使用加密密鑰對數據進行加密，沒有相應的密鑰，任何人都無法訪問此類加密數據。有時，勒索軟件會鎖定或關閉整個系統，并且需要支付勒索贖金才能重新啟動系統。勒索軟件也可以針對網站。攻擊者會鎖定網站的所有文件、數據庫、甚至備份，從而有效地鎖定了網站所有者。這就是諸如CodeGuard之類的網站和數據備份產品可以成為救命稻草的地方，CodeGuard會自動將備份存儲在第三方云平臺中，并在存儲之前掃描每個備份中的惡意軟件。

　　勒索軟件通過網絡釣魚電子郵件或惡意網站以特洛伊木馬或計算機蠕蟲的形式傳播。

　　7間諜軟件

　　顧名思義，這種類型的惡意軟件會在受害者不知情和未經其同意的情況下竊聽受害者的行為。間諜軟件是一個廣義術語，包括監視用戶的任何類型的惡意軟件(特洛伊木馬、鍵盤記錄程序、跟蹤cookie等)。間諜軟件會竊取用戶的以下內容：

　　l 個人和職業信息;

　　l 登錄信息;

　　l 支付卡號;

　　l 聯系人列表;

　　l 銀行信息;

　　l 有關其他已連接設備的信息;

　　l 用戶系統中的漏洞等。

　　它還可以監視受害者的瀏覽行為。

　　當間諜軟件插入公司網絡或政府網站后，可能會竊聽和泄漏機密數據、軍事信息、商業機密、技術知識以及所有其他類型的敏感信息。

　　網絡犯罪分子將此類信息濫用于身份盜竊、財務欺詐、勒索或引起政治動蕩，還可在暗網中將此類信息出售給其他網絡犯罪分子。

　　8廣告軟件

　　廣告軟件在用戶瀏覽互聯網或使用應用程序/軟件時在他們的設備上顯示廣告。一些軟件發行商免費或以較低的價格提供軟件，并從廣告中收回開發和升級成本。發布與廣告軟件捆綁在一起的軟件是合法的，該軟件跟蹤用戶的地理位置并相應地顯示廣告，從而為開發人員產生“點擊付費”的收入。然而，廣告軟件設計成：

　　l 使用“無法關閉”的窗口生成不需要的彈出窗口;

　　l 跟蹤用戶操作;

　　l 竊取用的個人信息或登錄憑據。

　　有時，病毒或蠕蟲會集成到執行各種網絡犯罪的廣告軟件中。

　　二、現代惡意軟件呈現出不斷變化的威脅趨勢

　　所有不同類型的惡意軟件都會隨著時間的流逝而發展演變，然而也有些類型的惡意軟件會自行更改以逃避檢測。多態和變態惡意軟件(Polymorphic and Metamorphic Malware)是指每一次插入都能改變其特征碼和密碼的惡意軟件。根據Webroot的研究結果，94%的惡意可執行文件是多態的。

　　l 多態惡意軟件(Polymorphic malware)會更改其部分編碼，同時保留一部分主要代碼。這使得它可以被某些類型的反惡意軟件程序跟蹤，但實際上無法被傳統的模式匹配網絡安全工具檢測到;

　　l 變態惡意軟件(Metamorphic malware)是可以自我重塑的高級惡意軟件。每次迭代后，它都會更改其所有代碼，從而使其無法被安全軟件跟蹤。

　　三、防止惡意軟件感染IT系統的四種方法

　　安全軟件的重要性：強大的安全軟件可以檢測并刪除大多數常見類型的惡意軟件，如殺毒軟件、反惡意軟件、反間諜軟件和防火墻之類的軟件對于抵御常見和知名惡意軟件的防護是必不可少的。盡管安全軟件很難檢測某些高級惡意軟件，但至少可以在設備上有任何可疑下載或訪問受感染的網站時引起注意并發出警報。

　　1保持軟件更新并安裝補丁

　　每當軟件發布者發現并修復軟件漏洞時，都會發布軟件的更新版本。網絡罪犯一直在尋找仍在使用未打補丁或舊系統的設備，以利用其漏洞。換言之，舊版本中的漏洞就像黑客將其用作將惡意軟件插入系統的入口點。

　　預防措施：一旦收到有關所使用的操作系統、瀏覽器或任何類型的軟件程序的更新通知，請立即安裝更新版本。

　　2識別網絡釣魚電子郵件

　　網絡釣魚詐騙涉及犯罪者在冒充他人的同時發送未經請求的電子郵件。攻擊者將惡意軟件隱藏在此類電子郵件中，或將收件人重定向到惡意網站。

　　網上誘騙電子郵件及其附件的設計看起來不錯，就像來自合法的人和公司一樣。例如，網絡釣魚電子郵件可能看起來像是來自同事或HR的電子郵件，要求提供有關業務或機密文件的一些機密信息。但實際上，這些類型的電子郵件來自網絡犯罪分子，其附件通常包含各種類型的惡意軟件。有時，攻擊者會在電子郵件中發送帶有欺騙性文本的惡意鏈接，誘騙用戶點擊。當不知情的用戶單擊此類鏈接時，惡意軟件會在不知情的情況下自動下載到用戶的設備上。

　　預防措施：始終檢查發件人的電子郵件地址。它必須來自公司的官方電子郵件地址，并在“@”符號后包含域名。例如，如果電子郵件來自亞馬遜，則發件人的電子郵件地址必須包含“@amazon.com”。切勿從未經請求的電子郵件中下載任何內容，但是如果必須下載，至少在下載前使用反惡意軟件掃描附件。

　　3提防垃圾郵件和惡意網站

　　黑客制作一些網站的目的是分發惡意軟件或誘騙用戶共享其機密信息。盡管某些網站屬于合法企業，但是黑客卻在網站所有者不知情的情況下將惡意軟件插入了其鏈接、媒體、表格中。每當用戶從此類網站下載任何內容或點擊受感染的鏈接時，惡意軟件就會安裝在他們的系統上。

　　預防措施：每次從互聯網上下載某些內容時(特別是免費軟件、歌曲、視頻、圖像、文件等)，請使用功能強大的防病毒或反惡意軟件程序對其進行掃描。另外，應定期檢查下載內容以及C：/ Program Files和C：/ Program Files(x86)文件夾。通常，新軟件會自動存儲在這些位置。如果發現任何未知軟件，請對其進行調查。如果沒有任何用途請將其刪除。

　　4定期掃描硬件和物聯網設備

　　攻擊者會感染硬件組件，如存儲卡、USB、CD、DVD等。每當用戶將受感染的硬件插入其設備時，惡意軟件就會將自身插入其中。

　　預防措施：將上述所有工具插入設備后，請立即使用強大的安全軟件進行掃描。

　　四、關于不同類型的惡意軟件及其防范方法的最終思考

　　惡意軟件開發者每天都在想出聰明和創新的方法來開發各種類型的惡意軟件。盡管安全軟件制造商正在竭盡全力追趕上先進的惡意軟件，但是在網上沖浪和從互聯網下載東西時也必須保持足夠的警惕。如果不幸成為網絡犯罪的受害者，或者懷疑設備受到威脅，請立即采取必要措施，請專業人員清理系統，或將問題報告給相關部門。

參考資源

　　【1】 https://sectigostore.com/blog/different-types-of-malware/

　　【2】 https://www.statista.com/statistics/873097/malware-attacks-per-year-worldwide/

　　【3】 https://www-cdn.webroot.com/9315/2354/6488/2018-Webroot-Threat-Report_US-ONLINE.pdf