有許多存在的威脅并不被認為是惡意軟件,因為它們不是具有邪惡意圖的計算機程序。但是,這些威脅對于一個組織而言仍具有安全和經濟上的影響。因此,您可能希望了解您組織的 IT 基礎結構和 IT 用戶工作效率所面臨的威脅。
玩笑軟件
玩笑應用程序旨在生成一個微笑,或在最糟糕的情況下浪費某人的時間。這些應用程序自從人們開始使用計算機以來就一直存在。它們不是出于邪惡的目的而被開發的,而且很明白地標識為玩笑,因此對于本指南的用途而言,它們并不被認為是惡意軟件。有許多玩笑應用程序的示例,從有趣的屏幕效果到逗人開心的動畫或游戲,應有盡有。
惡作劇
通常情況下,欺騙某人為您做事要比編寫軟件使人在不知情的情況下做事容易。因此,在 IT 行業可以看到大量的惡作劇。
與其他形式的惡意軟件一樣,惡作劇也使用社會工程來試圖欺騙計算機用戶執行某些操作。但是,在惡作劇中并不執行任何代碼;惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經采用了多種形式。但特別常見的一個示例為,某個電子郵件聲稱發現了一種新的病毒類型,并要您通過轉發此郵件來通知您的朋友。這些惡作劇會浪費人們的時間,消耗電子郵件資源并占用網絡帶寬。
欺詐
實際上,違法者已經使用過各種通信形式(在這一次或那一次),試圖欺騙人們執行會給其帶來某些經濟利益的操作。Internet、網站和電子郵件都不例外。一個比較常見的示例是,違法者發送電子郵件,試圖欺騙收件人透露個人信息(例如,銀行帳戶信息),然后將這些信息用于非法用途。有一種特殊類型的欺詐稱為"phishing"(發音同"fishing",也稱為"品牌欺騙"或"carding")。
phishing 的示例包括發件人偽裝知名公司(例如,eBay)試圖獲取用戶帳戶信息這種情況。Phishing 欺詐通常使用一個模仿某公司官方網站外觀的網站。電子郵件用于將用戶指向虛假站點,并欺騙用戶輸入其用戶帳戶信息,而這些信息將被保存并用于非法用途。這些案例類型應認真處理,并要報告給本地的法律執行機構。
垃圾郵件
垃圾郵件是未經請求的電子郵件,用于為某些服務或產品做廣告。它通常被認做是討厭的東西,但是垃圾郵件不是惡意軟件。但是,所發送的垃圾郵件數量的飛速增長已經成為 Internet 基礎結構的一個問題,這可導致員工工作效率的降低,因為他們每天必須費力查看并刪除此類郵件。
術語"垃圾郵件"的來源尚在討論之中,但是無論它的來源是什么,有一點是可以肯定的,那就是垃圾郵件已經成為 Internet 通信中最讓人頭痛的、長久存在的問題之一。許多人認為垃圾郵件問題如此嚴重,以至于它現在威脅到了世界各地的電子郵件通信的健康狀況。但是,我們應該注意到,除了電子郵件服務器和防垃圾郵件軟件所承擔的負載之外,垃圾郵件實際上并不能復制或威脅某個組織 IT 系統的健康和運作。
惡意軟件經常被垃圾軟件的始發者(因此稱為"垃圾郵件制造者")使用,以在宿主計算機上安裝一個小型 SMTP 電子郵件服務器服務,然后通過該服務將垃圾郵件轉發到另一個電子郵件收件人。 #p#副標題#e#
間諜軟件
此類軟件有時也稱為"spybot"或"跟蹤軟件"。間諜軟件使用其他形式的欺騙性軟件和程序,它們在沒有獲取用戶相應許可的情況下即在計算機上執行某些活動。這些活動可以包括收集個人信息,以及更改 Internet 瀏覽器配置設置。除了令人討厭之外,間諜軟件還會導致各種問題,從降低計算機的總體性能到侵犯個人隱私。
分發間諜軟件的網站使用各種詭計,使用戶下載并將其安裝在他們的計算機上。這些詭計包括創建欺騙性的用戶體驗,以及隱蔽地將間諜軟件和用戶可能需要的其他軟件(例如,免費的文件共享軟件)捆綁在一起。
廣告軟件
廣告軟件通常與宿主應用程序組合在一起,只要用戶同意接受廣告軟件即可免費提供宿主應用程序。因為廣告軟件應用程序通常在用戶接受說明應用程序用途的許可協議之后進行安裝,因而不會給用戶帶來任何不快。但是,彈出式廣告會非常令人討厭,并且在某些情況下會降低系統性能。此外,有些用戶原來并沒有完全意識到許可協議中的條款,這些應用程序收集的信息可能會導致他們擔心隱私問題。
注意: 盡管術語"間諜軟件"和"廣告軟件"經常交替使用,但只有未經授權的廣告軟件才等同于間諜軟件。為用戶提供適當的通知、選擇和控制的廣告軟件并不是欺騙性的,不應劃分為間諜軟件。還要注意到,聲稱執行特定功能(實際上執行其他任務)的間諜軟件應用程序實際上起到了特洛伊木馬的作用。
Internet Cookie
Internet Cookie 是由用戶所訪問的網站放置在用戶計算機上的文本文件。Cookie 包含與用戶相關的標識信息,并將該信息提供給網站,然后網站將這些信息(連同站點要保留的、與用戶訪問相關的任何其他信息)放置在用戶計算機上。
Cookie 是合法工具,許多網站使用它們跟蹤訪問者的信息。例如,用戶可能要在網上商店中購買商品,但是在將商品放置在網上購物車中后,他們可能由于某些原因要轉到另一個網站。此商店可選擇在用戶計算機上的 Cookie 中保存關于購物車中有哪些商品的信息,這樣當用戶返回該站點后,商品仍在購物車中,并且已經準備好可供用戶購買(如果他/她希望完成購買)。
人們認為,網站開發人員只能檢索他們創建的 Cookie 中所存儲的信息。此方法通過阻止這些站點的開發人員之外的其他人員訪問用戶計算機上的 Cookie,應該可以確保用戶的隱私。
不幸的是,據悉某些網站的開發人員在用戶不知情的情況下使用 Cookie 收集信息。某些人可能會欺騙用戶或違反政策。例如,他們可能跨多個不同的網站跟蹤 Web 沖浪習慣,而不通知用戶。然后,站點開發人員可以使用此信息自定義用戶在網站上看到的廣告,這將被視為一種侵犯隱私的行為。這種目標廣告形式以及其他形式的"Cookie 濫用"很難識別,從而使得確定是否在系統上阻止它們、什么時間以及怎樣阻止它們變得非常困難。另外,可接受級別的共享信息隨計算機用戶的不同而不同,因此很難創建一個能滿足環境中所有計算機用戶的需求的"防 Cookie"程序。 #p#副標題#e#
關于防病毒軟件
防病毒軟件專門用于防護系統,使其免受來自惡意軟件的威脅。Microsoft強烈推薦使用防病毒軟件,因為它會保護您的計算機系統,使其免受任何形式的惡意軟件(而不僅僅是病毒)的侵害。
防病毒軟件可以使用許多技術來檢測惡意軟件。本部分將討論某些技術的工作原理,包括:
• 簽名掃描。目前大多數防病毒軟件程序都使用此技術,它通過搜索目標(宿主計算機、磁盤驅動器或文件)來查找表示惡意軟件的模式。這些模式通常存儲在被稱為"簽名文件"的文件中,簽名文件由軟件供應商定期更新,以確保防病毒掃描器能夠盡可能多地識別已知的惡意軟件攻擊。此技術的主要問題是,防病毒軟件必須已更新為應對惡意軟件,之后掃描器才可識別它。
• 啟發式掃描。此技術通過查找通用的惡意軟件特征,來嘗試檢測新形式和已知形式的惡意軟件。此技術的主要優點是,它并不依賴于簽名文件來識別和應對惡意軟件。但是,啟發式掃描具有許多特定問題,包括:
• 錯誤警報。此技術使用通用的特征,因此如果合法軟件和惡意軟件的特征類似,則容易將合法軟件報告為惡意軟件。
• 慢速掃描。查找特征的過程對于軟件而言要比查找已知的惡意軟件模式更難。因此,啟發式掃描所用的時間要比簽名掃描的時間長。
• 新特征可能被遺漏。如果新的惡意軟件攻擊所顯示的特征以前尚未被識別出,則啟發式掃描器可能會遺漏它,直至掃描器被更新。
• 行為阻止。此技術著重于惡意軟件攻擊的行為,而不是代碼本身。例如,如果應用程序嘗試打開一個網絡端口,則行為阻止防病毒程序會將其檢測為典型的惡意軟件行為,然后將此行為標記為可能的惡意軟件攻擊。
現在,許多防病毒供應商在他們的解決方案中混合使用這些技術,以嘗試提高客戶計算機系統的整體保護級別。
"處于放任狀態"惡意軟件的典型時間線
已經出現了一種模式,用來定義可作用于公共網絡的新惡意軟件攻擊的生存期,或者定義惡意軟件進入放任狀態的時間。學習此模式有助于您了解新的惡意軟件攻擊發布后所帶來的風險。
新的時間線從惡意軟件最初開發時開始,到它的所有痕跡已從被監視網絡中刪除為止。時間線階段定義如下:
1. 構思。惡意軟件開發通常從新的攻擊或利用方法被提出并且在黑客間共享開始。這些方法將被討論或研究,直至發現一個方法可以開發為攻擊。
2. 開發。在過去,要創建惡意軟件必須了解計算機匯編語言以及要攻擊的系統的復雜工作原理。但工具包和 Internet 聊天室的出現使幾乎每個心懷歹意的人都可以創建惡意軟件。
3. 復制。新的惡意軟件開發并發布為放任狀態之后,它通常必須復制到可能的宿主設備一段時間,然后才能執行主要功能或傳遞負載。
注意: 盡管有成千上萬個已知的惡意軟件程序,但僅有極小一部分目前處于放任狀態。極大多數的惡意軟件程序從未發布給大眾,它們通常被稱為"動物園病毒"。 #p#副標題#e#
4. 傳送負載。惡意軟件成功地感染了一個宿主之后,它可能會傳遞負載。如果代碼具有用于負載的條件觸發器,則此階段是滿足傳遞機制條件的時候。例如,某些惡意軟件負載會在用戶執行特定操作或在宿主計算機上的時鐘到達特定日期時被觸發。如果惡意軟件有一個直接操作觸發器,則它僅會在感染完成后開始傳遞負載。例如,在數據記錄負載的情況下,惡意軟件程序將僅開始記錄所需的數據。
5. 識別。在時間線的這一點上,惡意軟件被防病毒團體識別出來。在極大多數情況下,此步驟將會在階段 4 或甚至階段 3 之前發生,但情況并非總是如此。
6. 檢測。威脅被識別出來之后,防病毒軟件開發人員需要分析代碼來確定可靠的檢測方法。一旦他們確定了方法,則會更新防病毒簽名文件,以使現有的防病毒應用程序可以檢測出新的惡意軟件。此過程所用的時間對于控制病毒爆發至關重要。
7. 刪除。在發布更新之后,防病毒應用程序的用戶有責任及時應用更新,以保護其計算機免受攻擊(或者清理已感染的系統)。
注意: 如果沒有及時更新本地簽名文件,則會導致出現以下極其危險的情況:用戶會認為已處于防病毒產品的保護之下,但實際上并沒有。
隨著越來越多的用戶更新防病毒軟件,惡意軟件的威脅性將會慢慢地變小。此過程基本不會刪除處于放任狀態的惡意軟件的所有實例,因為某些連接到 Internet 的計算機只有極少或根本沒有防病毒保護,而惡意軟件會駐留在這些計算機中。但總體而言,來自攻擊的威脅已經減弱。
盡管此時間線對于每個新開發的惡意軟件攻擊都會重復一遍,但是它并不代表所有的攻擊。許多攻擊僅是惡意代碼原始部分的修改版本。這樣,基礎代碼和方法是相同的,但是進行了很小的更改,以免攻擊在檢測到之后被刪除。通常,成功的惡意代碼攻擊會隨著星期和月份的推移而產生多個版本。這種情況將導致一種"軍備競賽",惡意軟件編寫者為了自身利益(可能是為了經濟利益,也可能是為了揚名,或僅僅出于好奇)將努力避免程序被檢測出來。而病毒防護將根據需要再次被更新、修補或更改,以減輕惡意軟件更新后帶來的威脅。
小結
惡意軟件是計算機技術中一個復雜并且不斷發展的領域。在 IT 業面臨的所有問題中,幾乎沒有比惡意軟件攻擊更具普遍性,也幾乎沒有比處理惡意軟件的相關費用更昂貴的了。了解惡意軟件的工作原理、隨時間推移的演變方式以及它們所使用的攻擊方法,將有助于您以主動的方式處理此問題。反過來,如果惡意軟件的確影響了您或您的組織,這將為您提供一種更為有效且效率更高的應對過程。
由于惡意軟件使用如此之多的技術進行創建、分發和利用計算機系統,因此很難知道如何保護系統才足以抵擋這樣的攻擊。但是,一旦了解了風險和漏洞,則可以通過使成功攻擊基本不可能發生這種方式來管理系統。
