有許多存在的威脅并不被認(rèn)為是惡意軟件,因為它們不是具有邪惡意圖的計算機(jī)程序。但是,這些威脅對于一個組織而言仍具有安全和經(jīng)濟(jì)上的影響。因此,您可能希望了解您組織的 IT 基礎(chǔ)結(jié)構(gòu)和 IT 用戶工作效率所面臨的威脅。
玩笑軟件
玩笑應(yīng)用程序旨在生成一個微笑,或在最糟糕的情況下浪費(fèi)某人的時間。這些應(yīng)用程序自從人們開始使用計算機(jī)以來就一直存在。它們不是出于邪惡的目的而被開發(fā)的,而且很明白地標(biāo)識為玩笑,因此對于本指南的用途而言,它們并不被認(rèn)為是惡意軟件。有許多玩笑應(yīng)用程序的示例,從有趣的屏幕效果到逗人開心的動畫或游戲,應(yīng)有盡有。
惡作劇
通常情況下,欺騙某人為您做事要比編寫軟件使人在不知情的情況下做事容易。因此,在 IT 行業(yè)可以看到大量的惡作劇。
與其他形式的惡意軟件一樣,惡作劇也使用社會工程來試圖欺騙計算機(jī)用戶執(zhí)行某些操作。但是,在惡作劇中并不執(zhí)行任何代碼;惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經(jīng)采用了多種形式。但特別常見的一個示例為,某個電子郵件聲稱發(fā)現(xiàn)了一種新的病毒類型,并要您通過轉(zhuǎn)發(fā)此郵件來通知您的朋友。這些惡作劇會浪費(fèi)人們的時間,消耗電子郵件資源并占用網(wǎng)絡(luò)帶寬。
欺詐
實際上,違法者已經(jīng)使用過各種通信形式(在這一次或那一次),試圖欺騙人們執(zhí)行會給其帶來某些經(jīng)濟(jì)利益的操作。Internet、網(wǎng)站和電子郵件都不例外。一個比較常見的示例是,違法者發(fā)送電子郵件,試圖欺騙收件人透露個人信息(例如,銀行帳戶信息),然后將這些信息用于非法用途。有一種特殊類型的欺詐稱為"phishing"(發(fā)音同"fishing",也稱為"品牌欺騙"或"carding")。
phishing 的示例包括發(fā)件人偽裝知名公司(例如,eBay)試圖獲取用戶帳戶信息這種情況。Phishing 欺詐通常使用一個模仿某公司官方網(wǎng)站外觀的網(wǎng)站。電子郵件用于將用戶指向虛假站點,并欺騙用戶輸入其用戶帳戶信息,而這些信息將被保存并用于非法用途。這些案例類型應(yīng)認(rèn)真處理,并要報告給本地的法律執(zhí)行機(jī)構(gòu)。
垃圾郵件
垃圾郵件是未經(jīng)請求的電子郵件,用于為某些服務(wù)或產(chǎn)品做廣告。它通常被認(rèn)做是討厭的東西,但是垃圾郵件不是惡意軟件。但是,所發(fā)送的垃圾郵件數(shù)量的飛速增長已經(jīng)成為 Internet 基礎(chǔ)結(jié)構(gòu)的一個問題,這可導(dǎo)致員工工作效率的降低,因為他們每天必須費(fèi)力查看并刪除此類郵件。
術(shù)語"垃圾郵件"的來源尚在討論之中,但是無論它的來源是什么,有一點是可以肯定的,那就是垃圾郵件已經(jīng)成為 Internet 通信中最讓人頭痛的、長久存在的問題之一。許多人認(rèn)為垃圾郵件問題如此嚴(yán)重,以至于它現(xiàn)在威脅到了世界各地的電子郵件通信的健康狀況。但是,我們應(yīng)該注意到,除了電子郵件服務(wù)器和防垃圾郵件軟件所承擔(dān)的負(fù)載之外,垃圾郵件實際上并不能復(fù)制或威脅某個組織 IT 系統(tǒng)的健康和運(yùn)作。
惡意軟件經(jīng)常被垃圾軟件的始發(fā)者(因此稱為"垃圾郵件制造者")使用,以在宿主計算機(jī)上安裝一個小型 SMTP 電子郵件服務(wù)器服務(wù),然后通過該服務(wù)將垃圾郵件轉(zhuǎn)發(fā)到另一個電子郵件收件人。 #p#副標(biāo)題#e#
間諜軟件
此類軟件有時也稱為"spybot"或"跟蹤軟件"。間諜軟件使用其他形式的欺騙性軟件和程序,它們在沒有獲取用戶相應(yīng)許可的情況下即在計算機(jī)上執(zhí)行某些活動。這些活動可以包括收集個人信息,以及更改 Internet 瀏覽器配置設(shè)置。除了令人討厭之外,間諜軟件還會導(dǎo)致各種問題,從降低計算機(jī)的總體性能到侵犯個人隱私。
分發(fā)間諜軟件的網(wǎng)站使用各種詭計,使用戶下載并將其安裝在他們的計算機(jī)上。這些詭計包括創(chuàng)建欺騙性的用戶體驗,以及隱蔽地將間諜軟件和用戶可能需要的其他軟件(例如,免費(fèi)的文件共享軟件)捆綁在一起。
廣告軟件
廣告軟件通常與宿主應(yīng)用程序組合在一起,只要用戶同意接受廣告軟件即可免費(fèi)提供宿主應(yīng)用程序。因為廣告軟件應(yīng)用程序通常在用戶接受說明應(yīng)用程序用途的許可協(xié)議之后進(jìn)行安裝,因而不會給用戶帶來任何不快。但是,彈出式廣告會非常令人討厭,并且在某些情況下會降低系統(tǒng)性能。此外,有些用戶原來并沒有完全意識到許可協(xié)議中的條款,這些應(yīng)用程序收集的信息可能會導(dǎo)致他們擔(dān)心隱私問題。
注意: 盡管術(shù)語"間諜軟件"和"廣告軟件"經(jīng)常交替使用,但只有未經(jīng)授權(quán)的廣告軟件才等同于間諜軟件。為用戶提供適當(dāng)?shù)耐ㄖ⑦x擇和控制的廣告軟件并不是欺騙性的,不應(yīng)劃分為間諜軟件。還要注意到,聲稱執(zhí)行特定功能(實際上執(zhí)行其他任務(wù))的間諜軟件應(yīng)用程序?qū)嶋H上起到了特洛伊木馬的作用。
Internet Cookie
Internet Cookie 是由用戶所訪問的網(wǎng)站放置在用戶計算機(jī)上的文本文件。Cookie 包含與用戶相關(guān)的標(biāo)識信息,并將該信息提供給網(wǎng)站,然后網(wǎng)站將這些信息(連同站點要保留的、與用戶訪問相關(guān)的任何其他信息)放置在用戶計算機(jī)上。
Cookie 是合法工具,許多網(wǎng)站使用它們跟蹤訪問者的信息。例如,用戶可能要在網(wǎng)上商店中購買商品,但是在將商品放置在網(wǎng)上購物車中后,他們可能由于某些原因要轉(zhuǎn)到另一個網(wǎng)站。此商店可選擇在用戶計算機(jī)上的 Cookie 中保存關(guān)于購物車中有哪些商品的信息,這樣當(dāng)用戶返回該站點后,商品仍在購物車中,并且已經(jīng)準(zhǔn)備好可供用戶購買(如果他/她希望完成購買)。
人們認(rèn)為,網(wǎng)站開發(fā)人員只能檢索他們創(chuàng)建的 Cookie 中所存儲的信息。此方法通過阻止這些站點的開發(fā)人員之外的其他人員訪問用戶計算機(jī)上的 Cookie,應(yīng)該可以確保用戶的隱私。
不幸的是,據(jù)悉某些網(wǎng)站的開發(fā)人員在用戶不知情的情況下使用 Cookie 收集信息。某些人可能會欺騙用戶或違反政策。例如,他們可能跨多個不同的網(wǎng)站跟蹤 Web 沖浪習(xí)慣,而不通知用戶。然后,站點開發(fā)人員可以使用此信息自定義用戶在網(wǎng)站上看到的廣告,這將被視為一種侵犯隱私的行為。這種目標(biāo)廣告形式以及其他形式的"Cookie 濫用"很難識別,從而使得確定是否在系統(tǒng)上阻止它們、什么時間以及怎樣阻止它們變得非常困難。另外,可接受級別的共享信息隨計算機(jī)用戶的不同而不同,因此很難創(chuàng)建一個能滿足環(huán)境中所有計算機(jī)用戶的需求的"防 Cookie"程序。 #p#副標(biāo)題#e#
關(guān)于防病毒軟件
防病毒軟件專門用于防護(hù)系統(tǒng),使其免受來自惡意軟件的威脅。Microsoft強(qiáng)烈推薦使用防病毒軟件,因為它會保護(hù)您的計算機(jī)系統(tǒng),使其免受任何形式的惡意軟件(而不僅僅是病毒)的侵害。
防病毒軟件可以使用許多技術(shù)來檢測惡意軟件。本部分將討論某些技術(shù)的工作原理,包括:
• 簽名掃描。目前大多數(shù)防病毒軟件程序都使用此技術(shù),它通過搜索目標(biāo)(宿主計算機(jī)、磁盤驅(qū)動器或文件)來查找表示惡意軟件的模式。這些模式通常存儲在被稱為"簽名文件"的文件中,簽名文件由軟件供應(yīng)商定期更新,以確保防病毒掃描器能夠盡可能多地識別已知的惡意軟件攻擊。此技術(shù)的主要問題是,防病毒軟件必須已更新為應(yīng)對惡意軟件,之后掃描器才可識別它。
• 啟發(fā)式掃描。此技術(shù)通過查找通用的惡意軟件特征,來嘗試檢測新形式和已知形式的惡意軟件。此技術(shù)的主要優(yōu)點是,它并不依賴于簽名文件來識別和應(yīng)對惡意軟件。但是,啟發(fā)式掃描具有許多特定問題,包括:
• 錯誤警報。此技術(shù)使用通用的特征,因此如果合法軟件和惡意軟件的特征類似,則容易將合法軟件報告為惡意軟件。
• 慢速掃描。查找特征的過程對于軟件而言要比查找已知的惡意軟件模式更難。因此,啟發(fā)式掃描所用的時間要比簽名掃描的時間長。
• 新特征可能被遺漏。如果新的惡意軟件攻擊所顯示的特征以前尚未被識別出,則啟發(fā)式掃描器可能會遺漏它,直至掃描器被更新。
• 行為阻止。此技術(shù)著重于惡意軟件攻擊的行為,而不是代碼本身。例如,如果應(yīng)用程序嘗試打開一個網(wǎng)絡(luò)端口,則行為阻止防病毒程序會將其檢測為典型的惡意軟件行為,然后將此行為標(biāo)記為可能的惡意軟件攻擊。
現(xiàn)在,許多防病毒供應(yīng)商在他們的解決方案中混合使用這些技術(shù),以嘗試提高客戶計算機(jī)系統(tǒng)的整體保護(hù)級別。
"處于放任狀態(tài)"惡意軟件的典型時間線
已經(jīng)出現(xiàn)了一種模式,用來定義可作用于公共網(wǎng)絡(luò)的新惡意軟件攻擊的生存期,或者定義惡意軟件進(jìn)入放任狀態(tài)的時間。學(xué)習(xí)此模式有助于您了解新的惡意軟件攻擊發(fā)布后所帶來的風(fēng)險。
新的時間線從惡意軟件最初開發(fā)時開始,到它的所有痕跡已從被監(jiān)視網(wǎng)絡(luò)中刪除為止。時間線階段定義如下:
1. 構(gòu)思。惡意軟件開發(fā)通常從新的攻擊或利用方法被提出并且在黑客間共享開始。這些方法將被討論或研究,直至發(fā)現(xiàn)一個方法可以開發(fā)為攻擊。
2. 開發(fā)。在過去,要創(chuàng)建惡意軟件必須了解計算機(jī)匯編語言以及要攻擊的系統(tǒng)的復(fù)雜工作原理。但工具包和 Internet 聊天室的出現(xiàn)使幾乎每個心懷歹意的人都可以創(chuàng)建惡意軟件。
3. 復(fù)制。新的惡意軟件開發(fā)并發(fā)布為放任狀態(tài)之后,它通常必須復(fù)制到可能的宿主設(shè)備一段時間,然后才能執(zhí)行主要功能或傳遞負(fù)載。
注意: 盡管有成千上萬個已知的惡意軟件程序,但僅有極小一部分目前處于放任狀態(tài)。極大多數(shù)的惡意軟件程序從未發(fā)布給大眾,它們通常被稱為"動物園病毒"。 #p#副標(biāo)題#e#
4. 傳送負(fù)載。惡意軟件成功地感染了一個宿主之后,它可能會傳遞負(fù)載。如果代碼具有用于負(fù)載的條件觸發(fā)器,則此階段是滿足傳遞機(jī)制條件的時候。例如,某些惡意軟件負(fù)載會在用戶執(zhí)行特定操作或在宿主計算機(jī)上的時鐘到達(dá)特定日期時被觸發(fā)。如果惡意軟件有一個直接操作觸發(fā)器,則它僅會在感染完成后開始傳遞負(fù)載。例如,在數(shù)據(jù)記錄負(fù)載的情況下,惡意軟件程序?qū)H開始記錄所需的數(shù)據(jù)。
5. 識別。在時間線的這一點上,惡意軟件被防病毒團(tuán)體識別出來。在極大多數(shù)情況下,此步驟將會在階段 4 或甚至階段 3 之前發(fā)生,但情況并非總是如此。
6. 檢測。威脅被識別出來之后,防病毒軟件開發(fā)人員需要分析代碼來確定可靠的檢測方法。一旦他們確定了方法,則會更新防病毒簽名文件,以使現(xiàn)有的防病毒應(yīng)用程序可以檢測出新的惡意軟件。此過程所用的時間對于控制病毒爆發(fā)至關(guān)重要。
7. 刪除。在發(fā)布更新之后,防病毒應(yīng)用程序的用戶有責(zé)任及時應(yīng)用更新,以保護(hù)其計算機(jī)免受攻擊(或者清理已感染的系統(tǒng))。
注意: 如果沒有及時更新本地簽名文件,則會導(dǎo)致出現(xiàn)以下極其危險的情況:用戶會認(rèn)為已處于防病毒產(chǎn)品的保護(hù)之下,但實際上并沒有。
隨著越來越多的用戶更新防病毒軟件,惡意軟件的威脅性將會慢慢地變小。此過程基本不會刪除處于放任狀態(tài)的惡意軟件的所有實例,因為某些連接到 Internet 的計算機(jī)只有極少或根本沒有防病毒保護(hù),而惡意軟件會駐留在這些計算機(jī)中。但總體而言,來自攻擊的威脅已經(jīng)減弱。
盡管此時間線對于每個新開發(fā)的惡意軟件攻擊都會重復(fù)一遍,但是它并不代表所有的攻擊。許多攻擊僅是惡意代碼原始部分的修改版本。這樣,基礎(chǔ)代碼和方法是相同的,但是進(jìn)行了很小的更改,以免攻擊在檢測到之后被刪除。通常,成功的惡意代碼攻擊會隨著星期和月份的推移而產(chǎn)生多個版本。這種情況將導(dǎo)致一種"軍備競賽",惡意軟件編寫者為了自身利益(可能是為了經(jīng)濟(jì)利益,也可能是為了揚(yáng)名,或僅僅出于好奇)將努力避免程序被檢測出來。而病毒防護(hù)將根據(jù)需要再次被更新、修補(bǔ)或更改,以減輕惡意軟件更新后帶來的威脅。
小結(jié)
惡意軟件是計算機(jī)技術(shù)中一個復(fù)雜并且不斷發(fā)展的領(lǐng)域。在 IT 業(yè)面臨的所有問題中,幾乎沒有比惡意軟件攻擊更具普遍性,也幾乎沒有比處理惡意軟件的相關(guān)費(fèi)用更昂貴的了。了解惡意軟件的工作原理、隨時間推移的演變方式以及它們所使用的攻擊方法,將有助于您以主動的方式處理此問題。反過來,如果惡意軟件的確影響了您或您的組織,這將為您提供一種更為有效且效率更高的應(yīng)對過程。
由于惡意軟件使用如此之多的技術(shù)進(jìn)行創(chuàng)建、分發(fā)和利用計算機(jī)系統(tǒng),因此很難知道如何保護(hù)系統(tǒng)才足以抵擋這樣的攻擊。但是,一旦了解了風(fēng)險和漏洞,則可以通過使成功攻擊基本不可能發(fā)生這種方式來管理系統(tǒng)。
