Learn IT: Malware

1. 什么是恶意软件， 最常见的类型是什么?2. 多数恶意软件怎么发散出去的?3. 恶意软件未来发行趋势是什么?4. 恶意软件问题有多严重?5. 为什么恶意软件攻击的次数增加那么迅速地?6. 什么是垃圾邮件-恶意软件连接?7. 如果我的网络被恶意软件袭击了我该怎么办?8. 我该如何删除恶意软件? 9. 我应该怎样保护我的系统和网络以免受恶意软件袭击?10. 我可以在哪里找到关于恶意软件的最新信息?1 。什么是恶意软件， 最常见的类型是什么?恶意软件(源于malicious software) 是意欲搞破坏任一类型程序。病毒、蠕虫、间谍软件，和特洛伊马都是恶意软件最常见例子。尤其， 恶意软件的传染能: 破坏文件，修改或删除数据， 散布机密数据， 使硬件瘫痪， 拒绝合法的用户存取， 和导致一个硬盘崩溃。恶意软件还常常设计来向你的电子邮件列表中所有的朋友和同事的地址发送它自己。恶意软件的传染的结果包括浪费资源、破坏系统、破坏一致性，数据丢失和被窃并能让客户端的用户失去信心。常见的恶意软件类型:" 病毒在计算机内自已复制和散播于网络中并修改文件或数据。他们通常指需要一些用户动作就可以启动，通常只是点击一个附着于电子邮件的可执行文件(即使是电子邮件信息的植入编程也可以执行病毒程序) 。通常情况下，人们会认为这个文件是来自可信资源或者是他们想见到的一些东西。" 蠕虫 是一种能在没有任何用户动作的情况下自动传染计算机的病毒变形。蠕虫不修改文件， 而是常驻在内存里并复制自己。蠕虫使用炒作系统的一部分，这部分对于用户来说是自动且无形的。通常只有在它的无法控制的疯狂复制占用了系统资源使得其他的任务缓慢甚至停滞的情况下才会发现它们。" 特洛伊木马 是掩藏在无害编程之内或数据中的恶意代码，在这种情况下它可以得到控制和执行它选择的损伤形式， 比如破坏你硬盘里的文件分配表。特洛伊木马可能又会再次与散布于其他的病毒之中。" 间谍软件是放在你的计算机中能秘密随收集信息的并把它们传给广告商或其他相关人的程序。间谍软件可以向软件病毒一样进入计算机或因为安装新的程序而进入计算机。虽然没有恶意的倾向，间谍软件经常会在没有你的同意或者你没有意识到的情况下，通常是作为驱动程序下载或由于点击一些一个欺骗的弹出式窗口选项，被安装在你的电脑内。同样的，广告软件，通常包括间谍软件的成分，也可以认为是恶意软件。" 浏览器劫持 是修改你的计算机的浏览器设置的程序以使得你会重订想到你并不想访问的网站的程序。多数浏览器劫持修改访问过他们的人的首页和查寻页缺省值， 这些网站花钱购买者向服务已增加他们的访问率。更加恶劣的版本经常: 增加为色情的网站书签到用户的收藏夹; 导致黄色弹出窗口迅速的弹出使得用户来不及点击关闭它们；并且在他们不注意的输错了URL或者忽略了www前缀的时候重定向用户到色情站点。恶劣的浏览器劫持代码无疑会同样的减慢你的机器速度甚至导致浏览器崩溃。 虽然各类恶意软件有不同，他们之间的区别却因为混合威胁的日趋常见而变得模糊。若干种恶意软件的威胁混合在一起使得他们的破坏和传播速度最大化。 2 。 多数恶意软件是怎样发散出去的?通常， 恶意软件通过三种方法的中一个散播出去: 通过电子邮件， 不是通过带有病毒的附件就是附着在信息体里；通过被感染的程序; 或通过网站里被感染的代码。最初， 可移动的介质-通常是一个软盘--是多数恶意软件进入你的计算机的介质，但现在大多数恶意软件是电子散播的。根据各种各样的报告， 当前病毒由电子邮件传播的百分比从87涨到了93%。3 。未来恶意软件散播趋势是什么?虽然最近广泛散播的恶意软件都是通过电子邮件附件传播的，传染网站和程序下载具有更深层的影响。Matt Fisher， SPI Dynamics的安全工程师， 最近在多伦多的反黑客工作组对扩展的网络安全需求发表了讲话。Fisher 声称几乎每个网站有会使黑客轻易的闯入的严重弱点。根据Fisher， 问题是， 安全性没有被建立入Web程序，结果， 攻击者可以通过阅读网页的源代码，抓取一些来自注解码的信息， 在把它输入地址栏就可以侵入网站。在2004 年6月， 一次基于Web的攻击发生在被袭网站的一个执行Java Script的页脚。程序试图访问存放在其它服务器的文件。当局相信， 意向是窃取信用卡信息从受袭击站点的访问者。虽然负责网站被关闭了， 同样的工作可能在将来由其他人使用。许多安全专家相信，新的通讯方式， 比如即时通讯和VoIP， 形成一个具有非常严重的威胁网络。根据Gartner小组研究58% 网络安全经理阐明， 即时通讯工具对他们的企业构成最严重的安全威胁。Symantec Security Response预言， 以后的主要蠕虫开发将是基于IM的。此外，根据研究院长Eric Chien，公司审查的每个免费的IM 客户都包含可利用的弱点。4 。恶意软件问题有多严重? 对于开发来说2003 年是迄今最坏的一年，为并且没有任何迹象表明攻击数量和严重性除了增加还有什么好的趋势。一些统计: " Code Red在14 个小时之内在互联网传染了每台脆弱的计算机; Slammer在20分钟之内做了同样的事情。IM开发能在30 秒内波及50 万计算机 (Symantec Security Response) " 2001 年， 每300封电子邮件就有一封包含了病毒; 在2004 年， 那个数字被预言能达到100 (MessageLabs)" 在过去十年攻击成十倍的增加，报告攻击的从1993 年的1，334 次到2003 年的137，529 (CERT Coordination Center)" 2003 年每天TrendMicro能接到20-40 新或变种的病毒威胁报告 " 在2003年1月到6月之间攻击的次数超出了70，000 -达到了去年的两倍 (路透社) " 2003 年随即抽取的300公司中有92个遭受了主要(超过25 台计算机受到影响)病毒的攻击(计算机病毒流行报告) " 在一个指定的月在上述调查报告中的公司有11%的计算机被传染了(计算机病毒流行报告) " 间谍软件估计将通过旷代连接出现在大约90%的电脑里。(Scott Culp， Microsoft) " 间谍软件造成了1/3的Windows程序的崩溃(Scott Culp， Microsoft) " 在2003 年全球企业在病毒方面花的钱到达五百五十亿美元，而2001 年只有一百三十亿(TrendMicro)5 。 为什么恶意软件的攻击数量会增加得那么快?" 在计算机文化的持续延伸: 全世界越来越多的人，有足够的技术和知识让他们能制造并散发恶意软件。 " 在互联网有众多可利用的攻击必需的工具， 这样甚而人们可以只知道一些粗浅知识就可以毫无困难的发起进攻。" 在延长期内更旧的威胁依然活跃，而且还经常会复苏，所以当新的恶意软件发布的时候， 它不是替换他们而是对旧的威胁一种补充。 " 一些来自恶意软件创作者的报告从说，在病毒制造者之间有着激烈的竞争，看谁能造成更加大的破坏。" 现代软件的复杂使得开发商更难查出并修正它弱点。 " 根据许多专家所说的， 在过去几年内垃圾邮件在容量上是成指数级地增长，而恶意软件结合起来似的他们两个能达到散布量。6 。 什么是垃圾邮件-恶意软件联合?虽然携带恶意软件的消息经常认为是不同于垃圾邮件一个另外类别，但是他们仍然符合垃圾邮件的标准：A. 他们是未经请求的；B. 他们是大量发送的。 有些分析员， 比如IDC 的Natasha David，预言2004年垃圾邮件将出现类似病毒传播的通常方式。Ed ?Skoudis， Malware: Fighting Malicious Code的作者解释它是怎么实现的:"恶意软件和垃圾邮件在一个病毒周期共同作用。攻击者用垃圾邮件通过电子邮件向机器散播后门。无心的用户执行这些电子邮件附件，因此他们的系统就被安装了后门。攻击者然后使用最近被传染的系统当作弹起点启动他们的资源地址发送更多的垃圾邮件来逃避电子邮件服务器的反传播和过滤器设置。"MessageLabs， 一个纽约的公司，分析服务器数据并发现许多垃圾邮件信息来自于已知的病毒源。根据他们的分析， MessageLabs说，Sobig病毒和它的早期变种都可能是垃圾邮件发送者制造的。问题是：垃圾邮件不再仅仅是麻烦事情了；他变成了网络安全的一种严重威胁。仅仅在桌面删除垃圾邮件还是不够的。使用最好的垃圾邮件过滤器，并推广到解决全球的垃圾邮件问题。 7 。我怎么知道我的网络是否被恶意软件袭击了?入侵检测系统(IDS)可以检测任何已知恶意软件的攻击。但是，新开发的就可以逃脱这种检测。你的网络被袭击包括突然的莫名其妙的高峰流量；非计划的服务器重启；已知盘符用在日至文件里；莫名其妙的登陆失败；包侦听的迹象；以及检测到大量的虚假包离开你的网络。8 。 我该怎样删除恶意软件? 如果反间谍软件产品和反病毒程序没能起作用，你可能就得尝试一手动的方法了。首先要做的是找到和并中止可疑程序。为新的Windows操作系统，带有任务管理器窗口(按control-alt-delete或用鼠标右键单击任务栏选择它)然后在进程表里查看。一定数量的网站，比如Sysinfo.org 和reger24.de，都提供了启动进程的列表或者可查数据库。如果你无法找到当前运行程序的任何相关信息，把它的名字放到搜索引擎中搜索。当你发现某个进程是恶意软件问题的一部分，在任务管理器选择上它并点击结束进程按钮。有时候当你这样做了以后，你会得到一个类似"拒绝访问"的信息，在这种情况下你必须使用更强的方法。SysInternals的像Pskill这样的程序，能解决这种问题。Pskill是可从公司的网站上下载。使用这种直接的指令可以移除这种顽固程序。其它程序，比如autoruns.exe (还可得到从SysInternals得到)可以用来帮助你发现导致这些程序在Windows重启时再次运行的设置。当你发现他们之后删除他们。你做完这一步之后恶意软件就会被禁用。最后一个词就是小心：在你删除前你必须确保这个程序是恶意软件，否则你就会造成更加多的麻烦。9 。我应该怎样保护我的系统和网络以免受恶意软件袭击?对于网络管理员: " 跟上新威胁-这不是需要迄今发现的病毒定义。订阅对电子邮件服务， 比如Sophos的这种服务，它能发出最新恶意病毒的警告" 确保一旦有新的可用的补丁就安装上它们。虽然微软的发布IIS 服务器的安全漏洞补丁，Nimda和Code Red仍然能找到他们的弱点，因为还有很多的许多系统没有打补丁。" 分程序文件常常用来发送病毒，比如exe、 pif、 scr， 和 vbs。虽然带病毒的附件可能看起来像任何一种文件类型，如果你把它排除在怀疑对象之外你就会继续。" 教育终端用户都在安全的信息传输和浏览行为环境下。" 最小化用户访问敏感数据量。" 为雇员建立安全政策，以及违反规矩后的后果。 " 为终端用户打上安全补丁。" 安装一个安全的企业即使通讯工具(EIM) 或在其它产品增加安全组件。" 定期审计安全状况，最好有外部审计员实施。" 保证远程用户和他们的设备都是安全的。" 建立一个灾难恢复计划，保护你的网络和数据免受难以预料的灾难的困扰。为终端用户: " 保持病毒库更新并经常运行反病毒软件，不论在家还是在工作。如果你的家庭计算机、便携式计算机，或连接到计算机的掌上设备，拙劣的安全措施可能是整个网络陷入危险中。 " 频繁地访问Windows更新页面并下载所有建议下载的安全补丁。 " 检查你的浏览器的安全信息和选项之后正确的设置它。" 不要打开可疑的附件。即使是来自于你知道的某人也要保持谨慎。如果附件不是预期的，在你打开它之前向发送者确认它。由于文件的扩展很可能是欺骗性的所以不要假设打开这个文件是安全的，即便他看上去像文本文件。" 也不要打开可以的信息。恶意软件可能会植入消息的内容后面。一些病毒， 比如BubbleBoy、Kak，和Nimda 能在你打开消息的时候传染你的计算机。" 不要预览消息。如果你通过你打开窗口浏览消息，你实际上打开了那里出现的各则消息。查看或预览消息会导致更多的垃圾邮件。许多垃圾邮件包含着消息被观看时通知发件者的一种机制。这样就会确认一个激活的地址，这样就会发送更大量的带有病毒附件的垃圾邮件。" 在你的电子邮件程序中适当地使用严密安全设置。例如Outlook，在Tools > Options > Security > Secure content > Attachment security中，设置附件安全性为高以便你在打开附件之前会得到提示。" 提防社会技术尝试。不要对外泄漏密码或其它被保护的信息；不要留下把这些东西贴得到处都是(或在把它们当成笔记粘在你的计算机里，令人惊奇的使者居然是一种普遍现象) 。" 如果可能，选择仅用文本方式查看消息。10 。我在哪里可以找到关于恶意软件的最新信息?每当检测到新病毒时Sophos就会发出通知。CERT 维护的即时更新的漏洞，关联和补丁信息。EWeek 的安全中心经常更新SearchSecurity.com有最新关于当前的新闻产生核心报道的变种。NTBugtrac 是一张邮件列表的名单关于Windows漏洞和及其使用的。目录 恶意软件 词对去词汇:浏览与恶意软件相关词汇手册自我估价:在你看完词汇之后， 做个自测看看关于恶意软件你学到了什么。