恶意软件
定义是,偷偷地嵌入到其他程序中,意图摧毁数据,运行破坏性或入侵性程序,或者破坏受害者数据、应用程序或操作系统的保密性、完整性、可用性。
有关恶意软件的术语:
它们大致可以分为两类,一类是进行复制的,包括病毒和蠕虫,另一类是不进行复制的,如木马和垃圾邮件。
传播机制包括
- 感染已存在的可执行程序或需要解释执行的内容,使其传播到其他系统中
- 在本地或者通过网络利用软件漏洞进行攻击,蠕虫正是通过这种方式复制
- 利用社会工程实施攻击,诱导用户绕过安全机制来安装木马或响应网络钓鱼攻击
一、病毒
计算机病毒是一种可以通过修改其他程序或任何形式的可执行内容来实现感染功能的程序,这种修改也包括将病毒程序自身副本注入到其他目标程序,并使得被注入后的程序同样具有感染功能。
简单来说,病毒可以通过软盘、U盘等载体或者网络等共享介质,实现感染扩散,并且它能够做其宿主程序被允许做的任何事情。
在病毒的生命周期内,会经历如下四个阶段:
- 潜伏阶段 病毒处于休眠状态,直至被激活
- 传播阶段 病毒将其副本安放在其他程序或磁盘上,期间往往会通过变形技术躲避检测
- 触发阶段 通过一些系统事件,包括病毒复制次数等触发
- 发作阶段 病毒开始执行既定的功能
以感染目标类型来划分,病毒可分为:
- 引导区感染病毒 感染主引导记录,然后当系统从包含病毒的磁盘启动后再进行传播
- 文件感染病毒 感染那些可以被操作系统或者shell执行的文件
- 宏病毒 感染那些包含宏代码的文件,这些宏代码由特定的应用程序解释执行
宏病毒
宏病毒感染多种用户文件类型中用以支持活动内容的脚本代码,且它有以下特点:
- 宏病毒不依赖于单一的平台
- 宏病毒只感染文档文件
- 宏病毒很容易被传播
- 宏病毒感染用户文档,而非系统程序,因此,传统的文件系统访问控制在防止病毒传播上发挥的作用十分有限
二、蠕虫
蠕虫是这样一种程序:首先主动寻求感染更多的计算机,然后将每个被感染的计算机作为自动发射台向其他计算机发起攻击。它利用客户端或服务器程序中的漏洞,来获得每个新系统的访问权限。
蠕虫可以通过网络连接、共享媒介(U盘等)进行传播,电子邮件蠕虫则可通过电子邮件的文档附件或即时通信工具传送的文件所包含的宏或脚本代码进行传播。蠕虫一旦被激活,可能再次复制和传播。
为了复制自身,蠕虫使用如下方式访问远程系统:
- 电子邮件或即时通信工具
- 文件共享
- 远程执行功能
- 远程文件访问或传输功能
- 远程登录功能
新的蠕虫副本会在远程计算机上进一步运行,并执行一些有效载荷的功能,而且将以同样的方式继续传播。和病毒类似,蠕虫也具有4个阶段,在传输阶段,蠕虫一般会寻找访问机制,复制并传输自身的副本到远程系统。
当前蠕虫技术的特点:
- 跨平台
- 多种攻击手段
- 超快速扩散
- 多态
- 变形
- 传输载体(分布式僵尸程序等)
- 0-Day漏洞利用
此外,移动代码往往承担起将病毒、蠕虫或特洛伊木马传播到用户系统中的作用。
来源:Z.Clark
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!