主要观点总结
这篇文章介绍了网络空间中存在的恶意代码分类及其具体定义和统计信息,包括感染式病毒、蠕虫、木马、黑客工具和灰色软件等。同时,也提到了安天实验室对恶意代码样本的分类方法和相关的研究成果。文章旨在提高公众对网络安全的认识,强调恶意代码检测能力在网络防御中的重要性。
关键观点总结
关键观点1: 感染式病毒通过感染宿主文件进行传播,多数感染对象都是其他的可执行文件。
感染式病毒多数是在上世纪80年代通过软盘扩散传播的,随着主流操作系统的不断更新,文件格式发生变化,病毒的生命周期变短。
关键观点2: 蠕虫是一种自主传播恶意代码,通过通讯信道、存储介质等传播,其感染速度比传统病毒凶猛。
蠕虫的全盛时代来自本世纪初的互联网普及,现在依然存在通过U盘传播等方式在内网扩散。
关键观点3: 木马是一种执行有危害计算机系统的程序,不具备自身主动传播的属性,而是攻击者借助网络攻击方式投放。
木马数量在恶意代码中是最多的,被用于盗取资金、账号、虚拟装备等牟利活动。
关键观点4: 黑客工具是辅助完成网络攻击的恶意程序,运行在攻击者自己的电脑上,用于完成对远程机器的攻击。
黑客工具作为攻击者的“武器”,用于定向攻击、长期潜伏、持续获取各种秘密信息和情报。
关键观点5: 灰色软件是存在于正常软件和恶意程序之间的软件或插件,主要是对用户有干扰或低风险侵害,但不足以构成严重后果的程序。
灰色软件的行为相对模糊,开发者经常干扰安全企业,给安全工作者形成了是否应该查杀处置的难题。
正文
作为命名前缀。
“蠕虫(
Worm
)”也是引自生物学的概念,指依靠蠕动爬行的无脊椎动物。当然其也在《沙丘》等科幻作品中幻化成为巨大的形象。而计算机领域的蠕虫,则是指具有自主传播能力的恶意代码。与感染式病毒不同的是,其不需要借助感染宿主,而是一个独立的可执行程序,通过通讯信道、存储介质,并有可能利用漏洞来实现自主传播。
在上世纪七十年代,已经有一些早期被称为“爬虫”的程序,被认为是计算机蠕虫的雏形。这类程序还是被定名为蠕虫。
蠕虫的全盛时代来自本世纪初的互联网普及,蠕虫依赖电子邮件、网络扫描植入、
IRC
聊天工具等扩散传播,其感染速度远比传统病毒凶猛,有的蠕虫甚至几十分钟扩散全球。多数蠕虫制作者的编写动机,并不是为了炫技的心理满足,而是依托蠕虫扩散控制更多的计算机,或者传播木马,以谋取利益。
在著名的“魔窟”蠕虫事件中,攻击者通过蠕虫病毒来实施加密,导致了大量计算机数据被加密而不能使用。
今天,蠕虫的全盛时代已经过去,由于计算机操作系统安全性的增强,能够直接远程执行的可利用漏洞变得稀缺,攻击者更多会利用这些漏洞进行定向攻击。但依然有很多蠕虫利用
U
盘传播等方式在内网扩散。被蠕虫感染说明系统安全防护治理水平存在严重不足。
根据计算机病毒分类百科中的统计数据,全球已经出现过的蠕虫约四千个家族,三万多个变种。包括安天
AVL SDK
反病毒引擎在内,多数反病毒产品在检测到蠕虫病毒时,会以
Worm
作为命名前缀。
特洛伊木马源自希腊神话中的“木马计”的故事——希腊大军久攻特洛伊城不下,于是夜间佯装败退,却留下一个肚子里藏着士兵的巨大木马。特洛伊人以为木马是天神赐予的礼物,将其拖入城内。深夜,木马里埋伏的奇兵,偷偷打开城门,放入希腊大军。
后来,计算机工作者就用特洛伊木马来指代那些执行有危害计算机系统的可用性、完整性、安全性的程序。特洛伊木马与感染式病毒、蠕虫不同,其不具备自身主动传播的属性,而是攻击者借助钓鱼邮件等网络攻击方式投放,或者守株待兔。
绝大多数木马是由网络黑产犯罪组织或个人编写,用于盗取资金、账号、虚拟装备,或者实施挖矿、加密勒索等牟利活动。特别是勒索等黑产攻击中,已经出现了所谓的“勒索即服务”等上下游分工模式。勒索木马的开发者变成上游,通过搭建进行勒索犯罪的基础设施,将勒索木马、窃密木马等作为可租用工具,可获取经济利益,这给了各种攻击组织源源不断制造木马的动力,导致木马的数量一直飞速膨胀。
而在高度隐蔽的
APT
攻击中,木马也是攻击者最重要的“武器”,用来实施定向攻击、长期潜伏、持续获取各种秘密信息和情报。
在恶意代码的分类统计中,木马的数量是最多的,根据计算机病毒分类百科中的统计数据,当前已达三万六千多个家族,一千三百多万个变种。包括安天
AVL SDK
反病毒引擎在内,多数反病毒产品在检测到木马时,会以
Trojan
作为命名前缀。
