今天,用病毒代表那些对计算机具有破坏性和恶意企图的软件已经不合时宜,因为虎视眈眈看着我们的计算机系统的软件决不只有病毒。现在计算机人员给那些对电脑产生危害的软件起了一个通用的名字,它叫做MalWare(恶意软件)。
从1983年11月3日,弗雷德·科恩(Fred Cohen)博士研制出在运行过程中可自我复制的破坏性程序之后,计算机病毒这个物种在程序员和自身进化的力量下不断壮大,且越发复杂。今天的“病毒” 已不再是“Computer Viruses”那么简单,关于恶意软件(MalWare)的种类划分有很多方法,这里提供比较普遍接受的一种。还是先从共同的祖先“病毒”说起。
病毒(Virus)
病毒最初的表象是程序当中的一个可执行文件。因此,从渊源上讲,病毒是宿主程序或是文件中的一段代码。当使用者调用被感染的程序和文件时病毒就会发作。一般来讲,遭受病毒感染的程序和文件仍然能够运转,但是也有些病毒可以通过自身代码的复制来覆盖原有程序的代码,从而把原有程序彻底摧毁。
另外,病毒在计算机之间传播的方式比较被动,只有当被病毒感染的文件从一台计算机传送到另一台没有保护的计算机时,病毒才算找到了新的滋生土壤。
蠕虫(Worms)
与病毒相比,蠕虫在传播过程中已经可以拥有体面的躯体,它不再是别的程序中一个执行文件,或者文件中的一段代码。它可以对操作系统进行破坏,当然它们要想运行,需要作为引导程序的一部分,在系统启动的时候被激活。
蠕虫在电脑之间传递的方式更多,它可以利用目标系统的弱点,将自身复制到网路上的其他系统上。由于蠕虫比病毒更加容易传播,再加上它深入系统层面的破坏能力,因此更让人恐惧。
特洛伊木马(Trojan)
特洛伊木马,从名字上就能让人想起那批隐藏在特洛伊木马里的希腊士兵,以特洛伊命名的恶意软件程序同样以隐藏性作为自己最大的特点。就好像希腊人把杀机掩饰成礼物,特洛伊木马同样把自己掩饰成为一个合法的程序,甚至没准真的也会让即将受害的使用者感到它是一个礼物。同样,就像木马不能像真的马一样生儿育女一样,特洛伊木马程序也不能通过自我“克隆”,繁育出自己的下一代。
既然不能像病毒或蠕虫一样破坏应用程序或操作系统,那么木马程序的破坏力表现在哪?希腊人制造木马并没有期望木马本身有什么杀伤力,而是寄希望于木马进入特洛伊城堡之后从木马里出来的士兵来毁坏城市,木马程序也可以在进入计算机系统之后,激活其它的恶意软件,比如病毒。
后门(Backdoor)
有些软件程序员有意识地设计了后门程序,作为恶意信息传播过程中的“内应”。后门程序更像是潜入电脑中的小偷,允许不法分子绕过常规的鉴定程序访问电脑。
根据工作和传播方式的不同,后门程序可以被分成两大类,一类后门程序有点类似木马程序,它被人工加载在其它的软件中,通过其宿主程序的运行而运行,而它的传播也是通过宿主程序被用户安装在另外的计算机上而得以进行。也许这跟病毒的特性更加相近,但是不能自我复制,决定了它与病毒还是有很大差别。第二类后门程序更像是一种蠕虫,因为它们在操作系统的引导过程中被激活,而它们的传播同样也是在蠕虫自动传播时搭乘蠕虫的“顺风车”。
间谍软件(Spyware)
间谍软件顾名思义就是干间谍干的事情,它们收集并发送用户的个人资料和电脑操作记录等信息。如果运气好,这些信息可能只包括很普通的浏览模式信息,但如果碰上和它的发明者一样用心险恶的间谍软件,用户的银行帐号和密码很可能就成为可怜的羔羊。无论从工作方式还是传播方式上讲,间谍软件都与木马程序很类似。只不过,“间谍”们在受害者电脑里通常没有兴趣沾花惹草,挑起病毒蠕虫的爆发,只是恶狠狠地盯着用户的隐秘信息,瞅准机会下手。
根据调查公司Forrester Research今年2月发布的"2005年反间谍软件方案"(Antispyware adoption in 2005)报告指出,间谍软件已成为企业组织最关切的安全问题之一。
Exploit
很多人认为恶意软件都是心怀恶意或者想搞恶作剧的编程高手的杰作。但事实上,有些对电脑有恶意的软件恰恰出于系统安全研究员之手。Exploit就是一个例子。很讽刺吧?这不是搬起石头砸自己的脚吗?或许吧,安全研究员们针对系统的特定安全漏洞而设计出Exploit,目的在于证明系统安全漏洞的存在性。因此,虽然对单个电脑它存在着不得已而为之的“恶意”,但在因特网上,它并不 — 定具有破坏性。
Rootkit
第一批 Rootkit 是在20世纪90年代被识别出来的,当时Sun和 Linux 操作系统是它们的主要攻击对象。目前,Rootkit可用于许多操作系统,其中包括Microsoft Windows平台。这种软件通常可以通过删除登录日志和隐藏进攻者行为的方法隐藏袭击的痕迹。
Rootkit还可以把后门程序包含其中,这样攻击者就可以很方便地再次造访,或者还可以集成Exploit用以攻击其他系统。由于Rootkit需要通过与操作系统的核心层挂钩来达到其隐藏自身行为的目的,因些Rootkit很难被侦测到。
许多计算机安全专家一致认为,如果用户的电脑遭受了Rootkit的袭击,那用户能采取的最好的,也可能是唯一的办法就是把自己的硬盘格式化然后重装系统。因为,你或许永远都没办法知道是否把Rootkit完全赶出了你的电脑。
Key Logger
也许你觉得前面几种恶意软件有点太“软”,但Keylogger却是一个直接和硬件设备有关系的恶意软件,它所直接关系到的硬件设备恐怕一看就猜得到,那就是——键盘。
Keylogger可以将电脑用户敲击过的那些键盘按顺序记录下来,事后在通过网络发送给黑客。通常,Keylogger只有在它发现受害用户连接到了一个安全级别较高的网站时才会被“叫醒”,比如说银行网站。因为只有那个时候,它记录下来的信息才可能对那些图谋不轨的黑客有用,比如在银行网站上,Keylogger记录下来的很可能就包括了电脑使用者的银行帐号和密码等信息。
这种软件的出现,让黑客们可以绕开银行等安全级别较高的网站对数据的高水平加密,在用户把个人信息通过网络传输出去,甚至是进入电脑存储设备之前就把它记录下来。黑客们真是费尽了心机!
Dialers
恶意拨号器,这种自动拨号程序常常做一些损人不利己的事情,虽然它显得有些小儿科,但是它给那些拨号上网的计算机用户带来的损失常常是巨大的。比如,Dialers可能会在用户睡熟的时候,大半夜“爬起来”,通过用户的电话线打长途电话,而且还是国际长途!不过这种小东西也会干点“正经事”,他们可以在把电话拨通之后,把Keylogger记录下来的用户机密或其他信息发送给它的主人——黑客。
如此之多满怀恶意的软件盯着我们的计算机系统,让人浑身发寒。但幸好反病毒软件场上已经开始对一系列的恶意软件予以更多重视。“反病毒”公司也许需要朝着“反恶意软件”公司的方向发展。
本文原载于《信息系统工程》
网友评论