信息來源：4hou

您知道惡意軟件都有哪些嗎？您知道應(yīng)該如何識別這些惡意軟件嗎？本文將為您詳細(xì)介紹8種惡意軟件，并給您一些關(guān)于被惡意軟件擊中時如何查找和刪除惡意軟件的基本建議。

如果您正在網(wǎng)上閑逛，不妨靜下心來讀一讀這篇簡明扼要的文章，它可以使您更了解這些惡意軟件。

1.病毒

計算機(jī)病毒，被大多數(shù)媒體和普通終端用戶稱之為惡意軟件程序。但事實上，大多數(shù)惡意軟件程序都不是病毒。計算機(jī)病毒會以其他方式來修改合法主機(jī)文件，當(dāng)執(zhí)行受害者文件時，也會執(zhí)行病毒。

如今，純計算機(jī)病毒并不常見，占所有惡意軟件的不到10％，這是固然一件好事。病毒是唯一一種可以感染其他文件的惡意軟件。所以它們特別難以清理，因為必須從合法程序執(zhí)行惡意軟件。那些最好的防病毒程序也只能檢查出少數(shù)的病毒，并且大多數(shù)情況下，只會隔離或刪除受感染的文件。

2.蠕蟲

蠕蟲比計算機(jī)病毒存在的時間更長，可以追溯到主機(jī)時代。在20世紀(jì)90年代后期，蠕蟲通過電子郵件流行起來，近十年來，計算機(jī)安全專業(yè)人員被惡意蠕蟲所包圍，這些蠕蟲是通過郵件附件來感染計算機(jī)。當(dāng)您打開一封含有蠕蟲附件的郵件，整個公司都會在短時間內(nèi)被感染。

蠕蟲的獨特特征在于它是可以自我復(fù)制的。以臭名昭著的Iloveyou蠕蟲為例：當(dāng)它散布時，它幾乎擊中了世界上每一個電子郵件用戶，它可以覆寫受感染電腦上的重要檔案，如音樂、多媒體與其他檔案。而其他幾種蠕蟲，包括SQL Slammer和MS Blaster，確保了蠕蟲在計算機(jī)安全歷史中的地位。

使蠕蟲具有如此破壞性的原因在于它能夠在沒有終端用戶操作的情況下進(jìn)行傳播。相比之下，在試圖感染其他文件和用戶之前，病毒要求終端用戶至少要啟動它。而蠕蟲是利用其他文件和程序來完成惡意的操作。例如，SQL Slammer蠕蟲使用Microsoft SQL中的一個（修補(bǔ)）漏洞，在大約10分鐘內(nèi)，幾乎每一個連接到互聯(lián)網(wǎng)的未修補(bǔ)的SQL服務(wù)器上都會出現(xiàn)緩沖區(qū)溢出，這個速度記錄至今仍然存在。

3.特洛伊木馬

計算機(jī)蠕蟲已被特洛伊木馬惡意軟件程序取代，成為黑客的首選武器。特洛伊木馬可以偽裝成合法程序，但它卻包含惡意指令。它們甚至比計算機(jī)病毒的歷史更久遠(yuǎn)，并且它比任何其他類型的惡意軟件更容易操控計算機(jī)。

特洛伊木馬必須由其受害者執(zhí)行才能完成其工作。特洛伊木馬通常通過電子郵件傳播，或在用戶訪問受感染的網(wǎng)站時被推送。最受歡迎的木馬類型是假冒防病毒程序，這時您的計算機(jī)會彈出一個對話框，并提示您的計算機(jī)已經(jīng)被木馬感染，然后指示您運(yùn)行程序來清理您的PC。用戶吞下誘餌，特洛伊木馬生根。

特洛伊木馬很難防范，因為它們很容易編寫（網(wǎng)絡(luò)犯罪分子經(jīng)常制作和狩獵木馬建筑工具包）并通過欺騙終端用戶進(jìn)行傳播 – 補(bǔ)丁、防火墻和其他傳統(tǒng)防御都無法阻止。惡意軟件編寫者每月都會傳播數(shù)百萬的木馬，反惡意軟件供應(yīng)商也在盡力打擊特洛伊木馬，但始終無法完全清除。

4.變種組合

如今，大多數(shù)惡意軟件都是傳統(tǒng)惡意程序的組合，一般包括部分特洛伊木馬和蠕蟲，偶爾也會包含病毒。通常，惡意軟件程序作為特洛伊木馬對終端用戶顯示，但一旦執(zhí)行，它就像蠕蟲一樣通過網(wǎng)絡(luò)攻擊其他受害者。

如今許多惡意軟件程序都被認(rèn)為是rootkit或隱形程序。從本質(zhì)上講，惡意軟件程序試圖修改底層操作系統(tǒng)，以實現(xiàn)最終控制并隱藏反惡意軟件程序。要擺脫這些類型的程序，必須從反惡意軟件掃描開始，從內(nèi)存中刪除控制組件。

Bots本質(zhì)上是特洛伊木馬和蠕蟲的組合，它試圖使被攻擊的個人客戶成為更大的惡意網(wǎng)絡(luò)的一部分。Botmasters有一個或多個“命令和控制”服務(wù)器，它通過客戶端檢查來接收更新的指令。僵尸網(wǎng)絡(luò)的規(guī)模從幾千臺受到攻擊的計算機(jī)到擁有數(shù)十萬個系統(tǒng)的龐大網(wǎng)絡(luò)，這些系統(tǒng)由一個僵尸網(wǎng)絡(luò)主機(jī)控制，這些僵尸網(wǎng)絡(luò)通常會出租給其他犯罪分子，然后將其用于他們自己的惡意目的。

5.勒索軟件

勒索軟件可以使公司、醫(yī)院、警察局甚至整個城市陷入癱瘓。大多數(shù)勒索軟件都是特洛伊木馬程序，這意味著它們必須通過某種社交工程進(jìn)行傳播。它通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。

勒索軟件可以像其他類型的惡意軟件程序一樣被阻止，但一旦執(zhí)行，如果沒有一個好的有效的備份，則很難扭轉(zhuǎn)損壞。根據(jù)一些研究，大約四分之一的受害者支付了贖金，其中約30％的人仍然沒有解鎖他們的文件。無論哪種方式，想要解鎖加密文件（如果可能的話），需要特定的工具、解密密鑰和一些運(yùn)氣。最好的建議是確保將您擁有的所有重要文件進(jìn)行的有效的離線備份。

6.無文件惡意軟件

無文件惡意軟件實際上并不是一種不同類型的惡意軟件，而是更多關(guān)于它們?nèi)绾卫煤统志没拿枋?。傳統(tǒng)惡意軟件使用文件系統(tǒng)傳播并感染新系統(tǒng)。無文件惡意軟件現(xiàn)在占所有惡意軟件的50％以上，并且在不斷的增長，這是一種不直接使用文件或文件系統(tǒng)的惡意軟件。相反，它們僅在內(nèi)存中利用和傳播，或者使用其他“非文件”O(jiān)S對象，例如注冊表項，API或計劃任務(wù)。

許多無文件攻擊首先是利用現(xiàn)有的合法程序，成為一個新推出的“子流程”，或者使用內(nèi)置于操作系統(tǒng)中的現(xiàn)有合法工具（如Microsoft的PowerShell）。最終結(jié)果是無文件攻擊更難以被檢測和停止。如果您還不熟悉常見的無文件攻擊技術(shù)和程序，那么如果您想從事計算機(jī)安全工作就很難了。

7.廣告軟件

如果您接觸過的唯一惡意軟件程序是廣告軟件，那證明您相當(dāng)幸運(yùn)。此類軟件往往會強(qiáng)制安裝并無法卸載；在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運(yùn)行變慢等。常見的廣告軟件程序可能會將用戶的瀏覽器搜索重定向到包含其他產(chǎn)品促銷的外觀相似的網(wǎng)頁。

8.間諜軟件

間諜軟件最常用于那些想要檢查親人的計算機(jī)活動的人。當(dāng)然，在有針對性的攻擊中，犯罪分子可以使用間諜軟件獲取密碼或知識產(chǎn)權(quán)。

廣告軟件和間諜軟件程序通常是最容易刪除的，是因為它們的意圖與其他類型的惡意軟件不同。找到惡意的可執(zhí)行文件并阻止它被執(zhí)行 ，您就成功了。

比廣告軟件或間諜軟件更需要人們擔(dān)憂的，是它用于利用計算機(jī)或用戶的機(jī)制，無論是社交工程、未修補(bǔ)軟件還是其他十幾種漏洞開發(fā)。這是因為雖然間諜軟件或廣告軟件程序的意圖并不像后門遠(yuǎn)程訪問木馬那樣的惡意，但它們都使用相同的方法來侵入用戶的系統(tǒng)。我們應(yīng)該在發(fā)現(xiàn)惡意軟件之前，將廣告軟件和間諜軟件程序的存在作為一個警告。

如何查找和刪除惡意軟件

如今，許多惡意軟件程序最初都是木馬或蠕蟲病毒，但逐漸發(fā)展成了僵尸網(wǎng)絡(luò)，使攻擊者成功進(jìn)入受害者的計算機(jī)和網(wǎng)絡(luò)。許多高級持續(xù)性威脅（APT）攻擊都是以這種方式開始的：他們利用特洛伊木馬，獲得了成百上千家公司的初步立足點。絕大多數(shù)惡意軟件都是為了竊取資金，包括直接從銀行賬戶中竊取，或通過竊取密碼或身份間接竊取。

如果幸運(yùn)的話，您可以使用Microsoft的Autoruns、Microsoft的Process Explorer或Silent Runners等程序查找惡意可執(zhí)行文件。如果惡意軟件程序是隱秘的，您必須首先從內(nèi)存中刪除隱藏組件，然后繼續(xù)解決程序的其余部分。通常，我會將Microsoft Windows啟動到安全模式，刪除可疑的隱形組件（有時只需重命名），并將一個有效的防病毒掃描程序運(yùn)行幾次，以便清理剩余部分。這是關(guān)于如何使用Process Explorer發(fā)現(xiàn)和刪除惡意軟件的一個很好的教程。

不幸的是，查找和刪除單個惡意軟件程序組件也可能是一個錯誤。因為您很容易弄錯或者漏掉一個組件。此外，您無法判斷惡意軟件程序是否已經(jīng)修改了系統(tǒng)。

在此提示您，除非您接受過惡意軟件刪除和取證方面的培訓(xùn)，否則請一定要備份數(shù)據(jù)、格式化驅(qū)動器、并在計算機(jī)上發(fā)現(xiàn)惡意軟件時重新安裝程序和數(shù)據(jù)。這樣，您的計算機(jī)及網(wǎng)絡(luò)將會很安全，并不會有任遺留的風(fēng)險或問題。