恶意软件有哪些不同类型？

恶意软件意味着什么？

英文"恶意软件（malware）"一词源自英文单词"恶意（malicious ）“和”软件（software）"。恶意软件是一种侵入式软件，旨在对计算机和计算机系统造成损害。相比之下，造成意外损坏的软件通常被称为软件错误。

人们有时会问病毒和恶意软件之间的区别。不同之处在于，恶意软件是一系列在线威胁的总称，包括病毒、间谍软件、广告软件、勒索软件和其他类型的有害软件。计算机病毒只是一种类型的恶意软件。

恶意软件可以通过网络钓鱼、恶意附件、恶意下载、社交工程或闪存驱动引入网络,。在本概述中，我们将介绍常见的恶意软件类型。

恶意软件的类型

了解不同类型的恶意软件攻击以帮助保护自己免受入侵非常重要。虽然一些恶意软件类别众所周知（至少在名称上），但其他恶意软件类别则并非如此：

广告软件

广告软件（Adware）是"广告支持软件"的缩写，在计算机屏幕或移动设备上显示不需要的、有时是恶意的广告，将搜索结果重定向到广告网站，并在未经用户同意的情况下捕获可以出售给广告商的用户数据。并非所有广告软件都是恶意软件，有些合法且可安全使用。

用户通常可以通过管理互联网浏览器中的弹出控件和首选项，或使用广告拦截器来影响广告软件的频率或他们允许的下载类型。

广告软件示例：

• Fireball— Fireball 在2017上成为头条新闻，当时一家以色列软件公司发现全球 2.5 亿台计算机和五分之一的企业网络感染了它。如果 Fireball 感染了您的计算机，它会接管您的浏览器。它会将您的主页更改为虚假搜索引擎 Trotus，并在您访问的任何网页中插入扎眼的广告。它还可以防止您修改浏览器设置。
• Appearch – Appearch是另一种常见的广告软件程序，充当浏览器劫持者。它通常与其他免费软件捆绑在一起，会在浏览器中插入众多广告，让网页浏览变得非常困难。当尝试访问一个网站时，您会被带到 Appearch.info。如果您设法打开网页，Appearch 会将随机文本块转换为链接，因此当您选择文本时，弹出窗口会邀请您下载软件更新。

间谍软件

间谍软件 是一种隐藏在您的设备上的恶意软件，监视活动并窃取如财务数据、帐户信息、登录名等敏感信息。间谍软件可以利用软件漏洞进行传播，或者与合法软件或木马捆绑在一起。

间谍软件示例：

• CoolWebSearch– 该程序利用 Internet Explorer 中的安全漏洞劫持浏览器、更改设置并将浏览数据发送给其作者。
• Gator – 该程序通常与文件共享软件（如 Kazaa）捆绑在一起，监控受害者的网上冲浪习惯，使用这些信息为他们提供特定的广告。

勒索软件和加密恶意软件

勒索软体旨在将用户锁定在其系统之外或者拒绝其访问数据，直到支付赎金为止。加密恶意软件是一种勒索软件，它对用户文件进行加密并要求在特定截止日期前付款，通常通过数字货币付款，例如 比特币。多年来，勒索软件对各行业组织构成了持续威胁。随着越来越多的企业拥抱数字化转型，他们成为勒索软件攻击目标的可能性大大增加。

勒索软件示例：

• CryptoLocker 在 2013 年和 2014 年肆虐流行，网络犯罪分子用它来访问和加密系统上的文件。网络犯罪分子使用社交工程策略诱骗员工将勒索软件下载到计算机上，从而感染网络。下载后，CryptoLocker 将显示一条赎金消息，如果在规定的截止日期之前进行现金或比特币付款，他们将解密数据。虽然 CryptoLocker 勒索软件已被打掉，但据信其操作者从毫无戒心的组织那里勒索了大约三百万美元。
• Phobos 恶意软件 — 2019 年出现的一款勒索软件。这种勒索软件基于以前已知的 Dharma（又名 CrySis）勒索软件系列。

木马

木马 （或特洛伊木马）伪装成合法软件，诱骗您在计算机上执行恶意软件。因为它看起来值得信赖，所以用户下载它，从而无意中允许恶意软件下载到他们的设备上。木马本身是门道。与蠕虫不同，它们需要主机才能工作。一旦木马安装在设备上，黑客就可以用它来删除、修改或捕获数据，将您的设备作为僵尸网络的一部分，窥探您的设备或访问您的网络。

木马示例：

• Qbot 恶意软件也被称为 Qakbot 或Pinkslipbot，是自 2007 年以来活跃的银行木马，专注于窃取用户数据和银行凭证。恶意软件已经演化到包括新的传递机制、命令和控制技术以及反分析功能。
• TrickBot 恶意软件于 2016 年首次确定，是由老练的网络犯罪分子开发和操作的特洛伊木马。TrickBot 最初设计作为银行木马以窃取财务数据，现已演化成为模块化的多阶段恶意软件，为其操作者提供执行众多非法网络活动的全套工具。

蠕虫

蠕虫是最常见的恶意软件类型之一，利用操作系统漏洞在计算机网络上传播。蠕虫是一个独立程序，不需要任何人操作即可复制自己以感染其他计算机。由于蠕虫可以快速传播，因此通常被用来执行有效负载（一段为破坏系统而创建的代码）。有效负载可以删除主机系统上的文件、为勒索软件攻击加密数据、窃取信息、删除文件以及创建僵尸网络。

蠕虫示例：

• SQL Slammer 是一个知名的计算机蠕虫，不使用传统的分发方法。相反，它产生随机的 IP 地址并将自己发送给他们，寻找那些不受防病毒软件保护的人。它在 2003 年面世后不久，超过 75,000 台受感染的计算机在几个主要网站上不知不觉参与了 DDoS 攻击。尽管相关安全补丁已经提供了多年，但 SQL Slammer在 2016 年和 2017 年仍然死灰复燃。

病毒

病毒是一段代码，将自身插入应用程序并在应用程序运行时执行。一旦进入网络，病毒就可能被用来窃取敏感数据、发动 DDoS 攻击或进行勒索软件攻击。病毒通常通过受感染的网站、文件共享或电子邮件附件下载传播，在受感染的主机文件或程序被激活前处于休眠状态。一旦发生这种情况，病毒就可以自我复制并通过您的系统传播。

病毒示例：

• Stuxnet— Stuxnet出现在 2010 年，被广泛认为由美国和以色列政府开发，用来破坏伊朗的核计划。它通过 USB 驱动传播，针对西门子工业控制系统，导致离心机以创纪录的速度发生故障和自毁。据信 Stuxnet 感染了 20,000 多台计算机，摧毁了伊朗五分之一的核离心机，这使其计划退回到几年前。

键盘记录器

键盘记录器 是一种监视用户活动的间谍软件。键盘记录器可用于合法目的，例如，家庭用来跟踪孩子的在线活动，或组织用来监控员工活动。但是，当出于恶意目的安装时，键盘记录器可用于窃取密码数据、银行信息和其他敏感信息。键盘记录器可以通过网络钓鱼、社交工程或恶意下载插入系统。

键盘记录器示例：

• 2017 年，一名爱荷华大学的学生在工作人员电脑上安装键盘记录程序以窃取登录凭据，修改成绩后被捕。那个学生被判有罪，判处四个月监禁。

机器人和僵尸网络

机器人是感染了恶意软件的计算机，因此可以被黑客远程控制。机器人有时被称为僵尸计算机，可以用来发动更多的攻击，或者成为所谓僵尸网络的机器人集合的一部分。因为在未被发现的情况下传播，僵尸网络可以包括数百万个设备。僵尸网络可帮助黑客进行无数恶意活动，包括 DDoS 攻击、发送 垃圾邮件和网络钓鱼消息、以及传播其他类型的恶意软件。

僵尸网络示例：

• 仙女座恶意软件 – 仙女座僵尸网络与 80 个不同的恶意软件家族相关联。它的范围甚广，一度 每月感染一百万台新机器，通过社交媒体、即时消息、垃圾邮件、漏洞利用工具包等传播自己。该行动在 2017 年被联邦调查局、欧洲刑警组织的欧洲网络犯罪中心等破获，但许多个人电脑继续受到感染。
• Mirai — 2016年，一场大规模的 DDoS 攻击导致美国东海岸大部分地区无法上网。当局最初担心这次袭击是一个敌对国家干的，后来发现是由 Mirai 僵尸网络引起的。Mirai 是一种自动发现物联网 (IoT) 设备感染并将其征入僵尸网络的恶意软件。从那里，这支 IoT 大军可以用来发起 DDoS 攻击，在攻击中，大量的垃圾流量用恶意流量淹没目标服务器。 Mirai 今天仍继续制造麻烦。

PUP 恶意软件

PUP 代表"可能不需要的程序"，可能包括广告、工具栏和与您下载的软件无关的弹出窗口。严格来说，PUP 并不总是恶意软件，PUP 开发人员指出，他们的程序是在用户同意的情况下下载的，不像恶意软件。但人们普遍认为，人们下载 PUP 主要是因为他们没有意识到已经同意这样做。

PUP 通常与其他更合法的软件捆绑在一起。大多数人得到 PUP 是因为下载了一个新程序，在安装时没有阅读小字，因此没有意识到他们选择了其他不是真想要的的程序。

PUP 恶意软件示例：

• Mindspark 恶意软件 – 这是一个易于安装的 PUP ，在用户不注意的时候下载到用户的机器上。Mindspark 可以在用户不知情的情况下更改设置并触发设备上的行为。它出了名的难以消除。

混合恶意软件

今天，大多数恶意软件是不同类型的恶意软件的组合，通常包括部分特洛伊木马和蠕虫，偶尔还包括病毒。通常，恶意软件程序在最终用户看来是特洛伊木马，但一旦执行，它就会像蠕虫一样通过网络攻击其他受害者。

混合恶意软件示例：

• 2001 年，一位自称为"Lion"的恶意软件开发者发布了一种混合恶意软件：蠕虫/rootkit组合。Rootkits允许黑客操纵操作系统文件，而蠕虫是快速传播代码段的强大载体。这种恶意组合造成了严重破坏：它对 10,000 多个Linux 系统造成了损害。蠕虫/rootkit 组合恶意软件被明确设计为利用 Linux 系统中的漏洞。

无文件恶意软件

无文件恶意软件是一种使用合法程序感染计算机的恶意软件。它不依赖文件，也不留下足迹，这使得检测和删除富有挑战性。无文件恶意软件在 2017 年作为一种主流攻击类型出现，但其中许多攻击方法已经存在了一段时间。

无文件感染不存储在文件中或直接安装在机器上，会直接进入内存，恶意内容永远不会触及硬盘驱动器。网络犯罪分子越来越多地将无文件恶意软件作为一种有效的替代攻击形式，这使得传统防病毒软件更难以检测到它，因为它占用空间小，没有要扫描的文件。

无文件恶意软件示例：

• Frodo、Number Of The Beast 和 The Dark Avenger 都是这种恶意软件的早期例子。

逻辑炸弹

逻辑炸弹是一种恶意软件，只有在触发时才会激活，例如在特定日期和时间或第 20 次登录帐户。病毒和蠕虫通常包含逻辑炸弹，以便在预先定义的时间或满足其他条件时传递其有效载荷（即恶意代码）。逻辑炸弹造成的损害从改变几个字节的数据到使硬盘驱动器无法读取，不一而足。

逻辑炸弹示例：

• 2016 年，一位程序员 导致电子表格每隔几年在西门子公司的一个分支机构出现故障，所以他们只好不断雇用他来解决这个问题。在这种情况下，没有人怀疑任何事情，直到一次巧合迫使恶意代码公之于众。

恶意软件如何传播？

恶意软件威胁传播的最常见方式包括：

• 电子邮件： 如果您的电子邮件被黑客入侵，恶意软件可以强制您的计算机发送带有受感染附件或恶意网站链接的电子邮件。当收件人打开附件或单击链接时，恶意软件将安装在他们的计算机上，如此循环重复。
• 物理介质： 黑客可以将恶意软件加载到 USB 闪存驱动器上，然后等待毫无戒心的受害者将其插入计算机。这种技术通常用于企业间谍活动。
• 弹出警报： 这包括虚假安全警报，诱骗您下载虚假安全软件，在某些情况下，这可能是其它恶意软件。
• 漏洞： 软件中的安全缺陷可能允许恶意软件未经授权访问计算机、硬件或网络。
• 后门： 软件、硬件、网络或系统安全中的有意或无意开口。
• 路过式下载： 在最终用户知情或者不知情的情况下意外下载软件。
• 权限升级： 攻击者获得对计算机或网络的升级访问权限，然后使用它发起攻击的情况。
• 同质性： 如果所有系统都运行相同的操作系统并连接到同一网络，则蠕虫成功传播到其他计算机的风险会增加。
• 混合威胁： 恶意软件包结合了多种类型恶意软件的特征，使它们更难检测和阻止，因为它们可以利用不同漏洞。

恶意软件感染的迹象

如果您注意到以下任何一项，则您的设备上可能有恶意软件：

• 计算机缓慢、崩溃或冻结
• 臭名昭着的"蓝屏死机"
• 程序自动打开和关闭或改变自己
• 存储空间不足
• 增加了弹出窗口、工具栏和其他不需要的程序
• 电子邮件和消息在您未启动它们的情况下被发送

使用防病毒保护您免受恶意软件威胁：

保护自己免受恶意软件攻击和垃圾程序的最佳方法是使用综合防病毒软件。卡巴斯基全范围安全软件 提供24/7的黑客、病毒和恶意软件防护，帮助保持您的数据和设备安全。

相关文章：

• 谁制造了恶意软件？
• 病毒与蠕虫有什么区别？
• 计算机病毒如何工作？
• 2020年影响最大的勒索软件