什么是恶意软件？病毒，蠕虫，特洛伊木马，勒索软件终于搞懂了

恶意软件是病毒，蠕虫，特洛伊木马和其他有害计算机程序的综合术语，它自计算机诞生后初期就一直伴随着我们。但恶意软件不断发展，黑客利用它来破坏并获取敏感信息；打击恶意软件占据了信息安全专业人员的大部分日常工作。

恶意软件的定义

恶意软件如微软所说的那样，“这是一个全面的术语，指的是任何旨在对单个计算机，服务器或计算机网络造成损害的软件。”换句话说，软件基于其预期用途被识别为恶意软件，而不是用于构建它的特定技术。

恶意软件的类型

比如，恶意软件与病毒之间存在差异：病毒是一种恶意软件，因此所有病毒都是恶意软件，但并非每一种恶意软件都是病毒。

有许多不同的方法可以对恶意软件进行分类；首先是恶意软件的传播方式。可能已经听说过病毒，木马和蠕虫这两个词可以互换使用，但正如赛门铁克所解释的那样，它们描述了恶意软件感染目标计算机的三种方式：

蠕虫是一种独立的恶意软件，可以自我复制并从一台计算机传播到另一台计算机。

病毒是一段计算机代码，它将自身插入另一个独立程序的代码中，然后强制该程序采取恶意行为并自行传播。

特洛伊木马是一个程序，它不能自我复制，但伪装成用户想要的东西，并诱使它们激活它，以便它可以造成它的破坏和传播。

恶意软件也可以由攻击者自己“手动”安装在计算机上，方法是获取对计算机的物理访问权限或使用权限提升来获取远程管理员访问权限。

对恶意软件进行分类的另一种方法是，一旦它成功感染了受害者的计算机，它就会做什么。恶意软件使用各种潜在的攻击技术：

间谍软件被Webroot Cybersecurity定义为“用于秘密收集毫无戒心用户数据的恶意软件”。从本质上讲，它会影响你在使用计算机时的行为，以及你发送和接收的数据，通常是为了将该信息发送给第三方。键盘记录程序是一种特定类型的间谍软件，它记录用户所做的所有击键，非常适合窃取密码。

正如TechTarget技术网站所描述的，rootkit是“一个程序，或者更常见的是一组软件工具，它使威胁行为者能够远程访问和控制计算机或其他系统。”它之所以得名，是因为它是一套工具（通常是非法的）在目标系统上获得root访问权限（比如Unix管理员级别的控制），并使用该功能隐藏它们的存在。

广告软件是一种恶意软件，它会迫使你的浏览器重定向到网络广告，这些广告通常会寻求进一步下载，甚至更多的恶意软件。

勒索软件是一种恶意软件，可以加密硬盘驱动器的文件并要求付款，通常是比特币，以换取解密密钥。过去几年中一些备受瞩目的恶意软件爆发，如Petya，都是勒索软件。如果没有解密密钥，受害者就无法重新获得对其文件的访问权限。所谓的恐吓软件是勒索软件的一种“影子”版本；它声称控制了你的计算机并要求赎金，但实际上只是使用浏览器重定向循环这样的技巧使它看起来好像它造成了比实际更多的损害，并且不像勒索软件可以相对容易地禁用。

Cryptojacking是攻击者可以强迫你用比特币提供它们的另一种方式，只有它可以在你不知道的情况下运行。挖掘恶意软件感染你的计算机并使用你的CPU周期来挖掘比特币以获取攻击者的利润。挖掘软件可以在操作系统的后台运行，也可以在浏览器窗口中作为JavaScript运行。

任何特定的恶意软件都有感染手段和行为类别。因此，例如，WannaCry是一种勒索软件蠕虫。并且一个特定的恶意软件可能具有不同的形式，具有不同的攻击向量：例如，Emotet银行恶意软件被发现为木马和蠕虫。

2018年6月互联网安全中心的十大恶意软件，可以让您对恶意软件的类型有一个很好的认识。到目前为止，最常见的感染媒介是垃圾邮件，它诱使用户激活特洛伊风格的恶意软件。WannaCry和Emotet是列表中最流行的恶意软件，但包括NanoCore和Gh0st在内的许多其他恶意软件都被称为远程访问特洛伊木马或RAT，实质上是像特洛伊木马一样传播的rootkit。像CoinMiner这样的加密货币恶意软件完善了这个列表。

如何防止恶意软件

垃圾邮件和网络钓鱼电子邮件是恶意软件感染计算机的主要媒介，防止恶意软件的最佳方法是确保你的电子邮件系统严密锁定，并且你的用户知道如何发现危险。我们建议结合使用仔细检查附加文档并限制潜在危险的用户行为，以及让用户熟悉常见的网络钓鱼欺诈，以便他们的常识能够发挥作用。

在涉及更多技术预防措施时，可以采取许多步骤，包括保持所有系统的修补和更新，保存硬件清单，以便了解需要保护的内容，并对基础架构执行持续的漏洞评估。特别是在勒索软件攻击方面，一种方法是始终对文件进行备份，确保在硬盘加密时，你永远不需要支付赎金来取回它们。

恶意软件防护工具

防病毒软件是恶意软件防护产品类别中最广为人知的产品；尽管名称中存在“病毒”，但大多数产品都防范各种形式的恶意软件。虽然高端安全专业人士认为它已经过时，但它仍然是基本反恶意软件防御的支柱。根据AV-TEST最近的测试，今天最好的防病毒软件来自卡巴斯基实验室，赛门铁克和趋势科技供应商。

当涉及到更先进的企业网络时，端点安全产品可以提供针对恶意软件的深度防御。它们不仅提供你希望从防病毒中获得的基于签名的恶意软件检测，还提供反间谍软件，个人防火墙，应用程序控制和其他类型的主机入侵防护。Gartner提供了该领域的首选名单，其中包括Cylance，CrowdStrike和Carbon Black的产品。

端点安全供应商：https://www.gartner.com/reviews/customer-choice-awards/endpoint-protection-platforms

如何检测恶意软件

尽管你付出了最大的努力，但在某些时候你的系统将被恶意软件感染是完全可能的。你怎么能肯定地说出来？

当你达到企业IT级别时，还可以使用更高级的可见性工具来查看网络中发生的情况并检测恶意软件感染。大多数形式的恶意软件使用网络将信息传播或发送回其控制器，因此网络流量包含你可能会错过的恶意软件感染信号；那里有各种各样的网络监控工具，价格从几美元到几千美元不等。还有SIEM工具，它们是从日志管理程序演变而来的；这些工具分析来自基础架构中各种计算机和设备的日志，以查找问题迹象，包括恶意软件感染。SIEM供应商的范围从像IBM和HP Enterprise这样的行业巨头，到像Splunk和Alien Vault这样的小型供应商。

如何摆脱恶意软件

一旦被感染，如何删除恶意软件实际上需要很高的成本。恶意软件删除是一项棘手的工作，该方法可能会根据你正在处理的类型而有所不同。如果你正在寻找清理系统的工具，Tech Radar提供了2018年最佳的免费产品清单，其中包含一些来自防病毒世界的熟悉名称以及Malwarebytes等新手。

2018年最佳恶意软件清除工具：https://www.techradar.com/news/the-best-free-malware-removal-tools

恶意软件的示例

我们已经讨论了当前一些迫在眉睫的恶意软件威胁。但是，漫长而传奇的恶意软件历史，可追溯到20世纪80年代由Apple II爱好者的受感染软盘和1988年在Unix机器上传播的Morris蠕虫。其他一些高调的恶意软件攻击包括：

• ILOVEYOU：一种蠕虫，在2000年像野火一样蔓延，造成超过150亿美元的损失。
• SQL Slammer，它在2003年第一次快速传播的几分钟内就使互联网流量停滞不前。
• Conficker，一种利用Windows中未修补的漏洞并利用各种攻击媒介的蠕虫。从注入恶意代码到网络钓鱼电子邮件，最终破解密码并将Windows设备劫持到僵尸网络中。
• Zeus，一种针对银行信息的00年代后期键盘记录木马。
• CryptoLocker，第一次广泛传播的勒索软件攻击，其代码不断在类似的恶意软件项目中重新利用。
• Stuxnet是一种非常复杂的蠕虫病毒，它感染了全球的计算机，但只在一个地方造成了真正的破坏：伊朗核设施在纳坦兹，在那里它摧毁了富铀离心机。