基本定义
恶意软体用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。
网路用户在浏览一些恶意网站,或者从不安全的站点下载游戏或其它程式时,往往会连合恶意程式一併带入自己的电脑,而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时,用户才有可能发觉电脑已“中毒”。在恶意软体未被发现的这段时间,用户网上的所有敏感资料都有可能被盗走,比如银行帐户信息,信用卡密码等。
这些让受害者的电脑不断弹出色情网站或者是恶意广告的程式就叫做恶意软体,它们也叫做流氓软体。
软体种类
对于笼统的防病毒讨论,可使用以下简单的恶意软体类别定义:
特洛伊
该程式看上去有用或无害,但却包含了旨在利用或损坏运行该程式的系统的隐藏代码。特洛伊木马程式通常通过没有正确说明此程式的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。
蠕虫
蠕虫使用自行传播的恶意代码,它可以通过网路连线自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作,例如,消耗网路或本地系统资源,这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播,而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了複製,蠕虫也可能传递负载。
病毒
病毒代码的明确意图就是自行複製。病毒尝试将其自身附加到宿主程式,以便在计算机之间进行传播。它可能会损害硬体、软体或数据。宿主程式执行时,病毒代码也随之运行,并会感染新的宿主,有时还会传递额外负载。
危害性
恶意软体其本身可能是一种病毒,蠕虫,后门或漏洞攻击脚本,它通过动态地改变攻击代码可以逃避入侵检测系统的特徵检测(Signature-based detection ,也可称为模式匹配)。攻击者常常利用这种多变代码进入网际网路上的一些带有入侵侦测的系统或IDSes入侵者警告系统。
软体特徵
中国网际网路协会公布了恶意软体的官方定义如下:
恶意软体(俗称“流氓软体”)是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软体。他有具备以下某些特徵:
1.强制安装:指未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软体的行为。
a)在安装过程中未提示用户;
b)在安装过程中未提供明确的选项供用户选择;
c)在安装过程中未给用户提供退出安装的功能;
d)在安装过程中提示用户不充分、不明确;(明确充分的提示信息包括但不限于软体作者、软体名称、软体版本、软体功能等)
2.难以卸载:指未提供通用的卸载方式,或在不受其他软体影响、人为破坏的情况下,卸载后仍然有活动程式的行为。
a)未提供明确的、通用的卸载接口(如Windows系统下的“程式组”、“控制台”的“添加或删除程式”);
b)软体卸载时附有额外的强制条件,如卸载时需要连网、输入验证码、回答问题等。
c)在不受其他软体影响或人为破坏的情况下,不能完全卸载,仍有子程式或模组在运行(如以进程方式);
3.浏览器劫持:指未经用户许可,修改用户浏览器或其他相关设定,迫使用户访问特定网站或导致用户无法正常上网的行为。
a)限制用户对浏览器设定的修改;
b)对用户所访问网站的内容擅自进行添加、删除、修改;
c)迫使用户访问特定网站或不能正常上网。
d)修改用户浏览器或作业系统的相关设定导致以上三种现象的行为。
4.广告弹出:指未明确提示用户或未经用户许可,利用安装在用户计算机或其他终端上的软体弹出广告的行为。
a)安装时未告知用户该软体的弹出广告行为;
b)弹出的广告无法关闭;
c)广告弹出时未告知用户该弹出广告的软体信息;
5.恶意收集用户信息:指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
a)收集用户信息时,未提示用户有收集信息的行为;
b)未提供用户选择是否允许收集信息的选项;
c)用户无法查看自己被收集的信息;
6.恶意卸载:指未明确提示用户、未经用户许可,或误导、欺骗用户卸载其他软体的行为。
a)对其他软体进行虚假说明;
b)对其他软体进行错误提示;
c)对其他软体进行直接删除。
7.恶意捆绑:指在软体中捆绑已被认定为恶意软体的行为。
a)安装时,附带安装已被认定的恶意软体;
b)安装后,通过各种方式安装或运行其他已被认定的恶意软体。
8.其他侵犯用户知情权、选择权的恶意行为。
对付方法
恶意软体可以採取不同的形式,从广义上讲,最臭名昭着的莫过于特洛伊木马、rootkit、后门软体等,病毒和蠕虫也可以看作恶意软体。有些形式的威胁具有某几种恶意软体的特徵。
因为恶意软体由多种威胁组成,所以需要採取多处方法和技术来保卫系统。如採用防火墙来过滤潜在的破坏性代码,採用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网路,加强对破坏性代码的防御能力。
作为一种最强大的反恶意软体防御工具,反病毒程式可以保护计算机免受病毒、蠕虫、特洛伊木马的威胁。近几年来,反病毒软体的开发商已经逐渐将垃圾邮件和间谍软体等威胁的防御功能集成到其产品中。除了这些技术手段之外,企业应当採取措施防止恶意软体在单位网路内传播:
1、教育员工正确使用电子邮件和Web
具体来说,特别要注意:
要教育雇员,如果不知道邮件的来源和附属档案的属性,不要打开邮件中的附属档案。
告诉员工不要从网际网路下载和安装未获得授权的程式。
让雇员清楚社会工程欺诈的骗术,提防其欺骗雇员点击受感染连结的伎俩。
教育雇员了解最新的攻击手段,学习公司的安全策略和建议,并坚决执行。
2、禁止或监督非web源的协定在企业网路内使用
如禁止或限制即时通信及端到端的协定进入企业网路,这些正是殭尸等恶意软体得以通信和传播的工具。
3、确保在所有的桌面系统和伺服器上安装最新的浏览器、作业系统、应用程式补丁,并确保垃圾邮件和浏览器的安全设定达到适当水平。
4、确保全装所有的安全软体,并及时更新并且使用最新的威胁资料库。
5、不要授权普通用户使用管理员许可权,特别要注意不要让其下载和安装设备驱动程式,因为这正是许多恶意软体乘虚而入的方式。
6、制定处理恶意事件的策略,在多个部门组建可实现协调回响职责并能够定期执行安全培训的团队。
恶意软体威胁经过几年的发展已经成为一种强大的势力,更确切地说它已经成为一种受经济利益驱使的商业活动;而反恶意软体厂商由于受到各种因素的制约,应对和反击措施相对被动。并且前者在暗处,后者在明处,形式对反恶意软体的开发者不利。但两种力量的斗争将持续下去。
社会危害
要解决恶意软体的问题,首先要了解它,那些人究竟要利用恶意软体乾什么?恶意软体本身不是一个新概念。实际上在20世纪80年代的时候,人们对于恶意软体的定义就是恶意植入系统破坏和盗取系统信息的程式。
记载的最早的广为关注的恶意软体是一名大学生1988年编写的蠕虫病毒,当时他主要是藉此测试英特网的大小。但是由于其中一个代码的错误,导致蠕虫大量複製,迅速传播感染了数以千计的电脑。
儘管如此,这么多年以来恶意软体的製造技术没有太大的变化。20世纪80年代恶意软体的技术跟时下开发恶意软体的技术差不多。变化的只是恶意软体的开发和执行的速度,原因是自动化工具的出现。以前製作的时候只能一个接一个,就是流水线的大规模生产。
侦察难度
专家称,传统的病毒库保护方式根本就难以应对恶意软体的攻击。恶意软体一直在变化,即使是侦察到,它们也会自动调整和变化。依靠单独的技术根本就难以防範危险。
恶意软体威胁网路和系统漏洞的方式也在改变。例如依靠邮件附属档案到转向网路使用社交网路引诱下载感染的档案和应用程式,或是直接让人们点击恶意网站下载恶意软体到用户的系统中。
风险控制
这一问题可能会变得越来越糟糕。有机构曾预测,恶意软体将会无所不至,包括智慧型手机,Vista,MacOSX和其它的操作环境都会逐渐吸引恶意软体的兴趣。还有人预测网路结构也会成为恶意软体关注的焦点,譬如,路由器,域名伺服器,搜寻引擎等。
如果企业还没有升级防御措施的话,就得注意了。网关和扫描是新的保护方式,此外还要注意终端设备保护,譬如台式机和移动设备的保护。
特别在是社交网站上日益泛滥的恶意软体的出现,企业也要使用相关的识别软体。在恶意软体的防範中最弱的一个环节就是用户,若对这一问题不加以重视的话,再强的马奇若防线都会被突破。
诸多变体
恶意软体生态的複杂性也在改变。以前的变体很少,木马,殭尸病毒,蠕虫,rootkit,间谍软体,还有一些危害性相对较小的广告外挂程式实际上也是恶意软体,形式规模各异。
但是,最令人害怕的变化还是恶意软体的来源问题。就在几年以前还只是一些人的恶作剧,时下是一个个有组织的犯罪集团。根据IT专家网的调查,由于受经济利益的驱动,恶意软体写手的方法主要是密码盗取,键盘记录和其它一些行为。2006年,平均每个月有140万次攻击。
因此,恶意软体攻击变得更加具有目的性。许多病毒的出现远远高于病毒库中已存在的样本,企业只有在中招之后才能防範。
Web2.0和恶意软体
随着Web2.0社交网路的日益流行,譬如,YouTube和MySpace,它们依赖的某种形式的互动功能实际上增加了感染恶意软体的风险。
2007年发生的恶意软体事件已经证实了这一担忧。一种使用木马的storm蠕虫在系统中构建了一个后门程式,之后导致的危害席捲整个欧洲。病毒传播方式就是在虚假的新闻中插入恶意的视频档案。一旦点击,就会自动下载恶意软体。在被安全专家发现之前,数以千计的电脑和系统已经被感染。
