恶意软件特性
3、恶意软件的特征
每类恶意软件可以表现出来的各种特征通常非常类似。例如,病毒和蠕虫可能都会使用网络作为传输机制。然而,病毒会寻找文件以进行感染,而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。
目标环境
恶意软件试图攻击宿主系统时,可能需要许多特定的组件,攻击才能成功。下面是一个典型示例,说明恶意软件在攻击宿主系统时所需的组件:
设备。某些恶意软件将一种设备类型作为专门的攻击目标,例如,个人计算机、Apple Macintosh 计算机甚至个人数字助理 (PDA),但是请注意,PDA 恶意软件目前非常少见。
操作系统。恶意软件可能需要特殊的操作系统才会有效。
应用程序。恶意软件可能需要在目标计算机上安装特定的应用程序,才能传递负载或进行复制。
携带者对象
如果恶意软件是病毒,它会试图将携带者对象作为攻击对象(也称为宿主)并感染它。目标携带者对象的数量和类型随恶意软件的不同而大不相同,以下列表提供了最常用的目标携带者的示例:
可执行文件。这是通过将其自身附加到宿主程序进行复制的“典型”病毒类型的目标对象。除了使用 .exe 扩展名的典型可执行文件之外,具有以下扩展名的文件也可用作此用途:.com、.sys、.dll、.ovl、.ocx 和 .prg。
脚本。将脚本用作携带者目标文件的攻击,这些文件使用诸如 Microsoft Visual Basic Script、JavaScript、AppleScript 或 Perl Script 之类的脚本语言。此类文件的扩展名包括:.vbs、.js、.wsh 和 .prl。
宏。这些携带者是支持特定应用程序(例如,字处理器、电子表格或数据库应用程序)的宏脚本语言的文件。例如,病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏语言来生成许多效果,从恶作剧效果(在文档四处改变单词或更改颜色)到恶意效果(格式化计算机的硬盘驱动器)。
启动扇区。计算机磁盘(硬盘和可启动的可移动媒体)上的特定区域(例如,主启动记录 (MBR) 或 DOS 启动记录)也可被认为是携带者,因为它们可以执行恶意代码。当某个磁盘被感染时,如果使用该磁盘来启动其他计算机系统,将会复制病毒。
注意:如果病毒同时将文件和启动扇区作为感染目标,可称其为“多部分”病毒。
网友评论