| 深层防毒:非恶意软件特征及如何检测 |
| 责任编辑:stef 更新日期:2005-7-6 |
|
|
什么不是恶意软件?
有许多存在的威胁并不被认为是恶意软件,因为它们不是具有邪恶意图的计算机程序。但是,这些威胁对于一个组织而言仍具有安全和经济上的影响。因此,您可能希望了解您组织的 IT 基础结构和 IT 用户工作效率所面临的威胁。
玩笑软件
玩笑应用程序旨在生成一个微笑,或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的,而且很明白地标识为玩笑,因此对于本指南的用途而言,它们并不被认为是恶意软件。有许多玩笑应用程序的示例,从有趣的屏幕效果到逗人开心的动画或游戏,应有尽有。
恶作剧
通常情况下,欺骗某人为您做事要比编写软件使人在不知情的情况下做事容易。因此,在 IT 行业可以看到大量的恶作剧。
与其他形式的恶意软件一样,恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是,在恶作剧中并不执行任何代码;恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为,某个电子邮件声称发现了一种新的病毒类型,并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间,消耗电子邮件资源并占用网络带宽。
欺诈
实际上,违法者已经使用过各种通信形式(在这一次或那一次),试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是,违法者发送电子邮件,试图欺骗收件人透露个人信息(例如,银行帐户信息),然后将这些信息用于非法用途。有一种特殊类型的欺诈称为"phishing"(发音同"fishing",也称为"品牌欺骗"或"carding")。
phishing 的示例包括发件人伪装知名公司(例如,eBay)试图获取用户帐户信息这种情况。Phishing 欺诈通常使用一个模仿某公司官方网站外观的网站。电子邮件用于将用户指向虚假站点,并欺骗用户输入其用户帐户信息,而这些信息将被保存并用于非法用途。这些案例类型应认真处理,并要报告给本地的法律执行机构。
垃圾邮件
垃圾邮件是未经请求的电子邮件,用于为某些服务或产品做广告。它通常被认做是讨厌的东西,但是垃圾邮件不是恶意软件。但是,所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题,这可导致员工工作效率的降低,因为他们每天必须费力查看并删除此类邮件。
术语"垃圾邮件"的来源尚在讨论之中,但是无论它的来源是什么,有一点是可以肯定的,那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重,以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是,我们应该注意到,除了电子邮件服务器和防垃圾邮件软件所承担的负载之外,垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。
恶意软件经常被垃圾软件的始发者(因此称为"垃圾邮件制造者")使用,以在宿主计算机上安装一个小型 SMTP 电子邮件服务器服务,然后通过该服务将垃圾邮件转发到另一个电子邮件收件人。
间谍软件
此类软件有时也称为"spybot"或"跟踪软件"。间谍软件使用其他形式的欺骗性软件和程序,它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息,以及更改 Internet 浏览器配置设置。除了令人讨厌之外,间谍软件还会导致各种问题,从降低计算机的总体性能到侵犯个人隐私。
分发间谍软件的网站使用各种诡计,使用户下载并将其安装在他们的计算机上。这些诡计包括创建欺骗性的用户体验,以及隐蔽地将间谍软件和用户可能需要的其他软件(例如,免费的文件共享软件)捆绑在一起。
广告软件
广告软件通常与宿主应用程序组合在一起,只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装,因而不会给用户带来任何不快。但是,弹出式广告会非常令人讨厌,并且在某些情况下会降低系统性能。此外,有些用户原来并没有完全意识到许可协议中的条款,这些应用程序收集的信息可能会导致他们担心隐私问题。
注意: 尽管术语"间谍软件"和"广告软件"经常交替使用,但只有未经授权的广告软件才等同于间谍软件。为用户提供适当的通知、选择和控制的广告软件并不是欺骗性的,不应划分为间谍软件。还要注意到,声称执行特定功能(实际上执行其他任务)的间谍软件应用程序实际上起到了特洛伊木马的作用。
Internet Cookie
Internet Cookie 是由用户所访问的网站放置在用户计算机上的文本文件。Cookie 包含与用户相关的标识信息,并将该信息提供给网站,然后网站将这些信息(连同站点要保留的、与用户访问相关的任何其他信息)放置在用户计算机上。
Cookie 是合法工具,许多网站使用它们跟踪访问者的信息。例如,用户可能要在网上商店中购买商品,但是在将商品放置在网上购物车中后,他们可能由于某些原因要转到另一个网站。此商店可选择在用户计算机上的 Cookie 中保存关于购物车中有哪些商品的信息,这样当用户返回该站点后,商品仍在购物车中,并且已经准备好可供用户购买(如果他/她希望完成购买)。
人们认为,网站开发人员只能检索他们创建的 Cookie 中所存储的信息。此方法通过阻止这些站点的开发人员之外的其他人员访问用户计算机上的 Cookie,应该可以确保用户的隐私。
不幸的是,据悉某些网站的开发人员在用户不知情的情况下使用 Cookie 收集信息。某些人可能会欺骗用户或违反政策。例如,他们可能跨多个不同的网站跟踪 Web 冲浪习惯,而不通知用户。然后,站点开发人员可以使用此信息自定义用户在网站上看到的广告,这将被视为一种侵犯隐私的行为。这种目标广告形式以及其他形式的"Cookie 滥用"很难识别,从而使得确定是否在系统上阻止它们、什么时间以及怎样阻止它们变得非常困难。另外,可接受级别的共享信息随计算机用户的不同而不同,因此很难创建一个能满足环境中所有计算机用户的需求的"防 Cookie"程序。
防病毒软件
防病毒软件专门用于防护系统,使其免受来自恶意软件的威胁。Microsoft强烈推荐使用防病毒软件,因为它会保护您的计算机系统,使其免受任何形式的恶意软件(而不仅仅是病毒)的侵害。
防病毒软件可以使用许多技术来检测恶意软件。本部分将讨论某些技术的工作原理,包括:
• 签名扫描。目前大多数防病毒软件程序都使用此技术,它通过搜索目标(宿主计算机、磁盘驱动器或文件)来查找表示恶意软件的模式。这些模式通常存储在被称为"签名文件"的文件中,签名文件由软件供应商定期更新,以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。此技术的主要问题是,防病毒软件必须已更新为应对恶意软件,之后扫描器才可识别它。
• 启发式扫描。此技术通过查找通用的恶意软件特征,来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是,它并不依赖于签名文件来识别和应对恶意软件。但是,启发式扫描具有许多特定问题,包括:
• 错误警报。此技术使用通用的特征,因此如果合法软件和恶意软件的特征类似,则容易将合法软件报告为恶意软件。
• 慢速扫描。查找特征的过程对于软件而言要比查找已知的恶意软件模式更难。因此,启发式扫描所用的时间要比签名扫描的时间长。
• 新特征可能被遗漏。如果新的恶意软件攻击所显示的特征以前尚未被识别出,则启发式扫描器可能会遗漏它,直至扫描器被更新。
• 行为阻止。此技术着重于恶意软件攻击的行为,而不是代码本身。例如,如果应用程序尝试打开一个网络端口,则行为阻止防病毒程序会将其检测为典型的恶意软件行为,然后将此行为标记为可能的恶意软件攻击。
现在,许多防病毒供应商在他们的解决方案中混合使用这些技术,以尝试提高客户计算机系统的整体保护级别。
"处于放任状态"恶意软件的典型时间线
已经出现了一种模式,用来定义可作用于公共网络的新恶意软件攻击的生存期,或者定义恶意软件进入放任状态的时间。学习此模式有助于您了解新的恶意软件攻击发布后所带来的风险。
新的时间线从恶意软件最初开发时开始,到它的所有痕迹已从被监视网络中删除为止。时间线阶段定义如下:
1. 构思。恶意软件开发通常从新的攻击或利用方法被提出并且在黑客间共享开始。这些方法将被讨论或研究,直至发现一个方法可以开发为攻击。
2. 开发。在过去,要创建恶意软件必须了解计算机汇编语言以及要攻击的系统的复杂工作原理。但工具包和 Internet 聊天室的出现使几乎每个心怀歹意的人都可以创建恶意软件。
3. 复制。新的恶意软件开发并发布为放任状态之后,它通常必须复制到可能的宿主设备一段时间,然后才能执行主要功能或传递负载。
注意: 尽管有成千上万个已知的恶意软件程序,但仅有极小一部分目前处于放任状态。极大多数的恶意软件程序从未发布给大众,它们通常被称为"动物园病毒"。
4. 传送负载。恶意软件成功地感染了一个宿主之后,它可能会传递负载。如果代码具有用于负载的条件触发器,则此阶段是满足传递机制条件的时候。例如,某些恶意软件负载会在用户执行特定操作或在宿主计算机上的时钟到达特定日期时被触发。如果恶意软件有一个直接操作触发器,则它仅会在感染完成后开始传递负载。例如,在数据记录负载的情况下,恶意软件程序将仅开始记录所需的数据。
5. 识别。在时间线的这一点上,恶意软件被防病毒团体识别出来。在极大多数情况下,此步骤将会在阶段 4 或甚至阶段 3 之前发生,但情况并非总是如此。
6. 检测。威胁被识别出来之后,防病毒软件开发人员需要分析代码来确定可靠的检测方法。一旦他们确定了方法,则会更新防病毒签名文件,以使现有的防病毒应用程序可以检测出新的恶意软件。此过程所用的时间对于控制病毒爆发至关重要。
7. 删除。在发布更新之后,防病毒应用程序的用户有责任及时应用更新,以保护其计算机免受攻击(或者清理已感染的系统)。
注意: 如果没有及时更新本地签名文件,则会导致出现以下极其危险的情况:用户会认为已处于防病毒产品的保护之下,但实际上并没有。
随着越来越多的用户更新防病毒软件,恶意软件的威胁性将会慢慢地变小。此过程基本不会删除处于放任状态的恶意软件的所有实例,因为某些连接到 Internet 的计算机只有极少或根本没有防病毒保护,而恶意软件会驻留在这些计算机中。但总体而言,来自攻击的威胁已经减弱。
尽管此时间线对于每个新开发的恶意软件攻击都会重复一遍,但是它并不代表所有的攻击。许多攻击仅是恶意代码原始部分的修改版本。这样,基础代码和方法是相同的,但是进行了很小的更改,以免攻击在检测到之后被删除。通常,成功的恶意代码攻击会随着星期和月份的推移而产生多个版本。这种情况将导致一种"军备竞赛",恶意软件编写者为了自身利益(可能是为了经济利益,也可能是为了扬名,或仅仅出于好奇)将努力避免程序被检测出来。而病毒防护将根据需要再次被更新、修补或更改,以减轻恶意软件更新后带来的威胁。
小结
恶意软件是计算机技术中一个复杂并且不断发展的领域。在 IT 业面临的所有问题中,几乎没有比恶意软件攻击更具普遍性,也几乎没有比处理恶意软件的相关费用更昂贵的了。了解恶意软件的工作原理、随时间推移的演变方式以及它们所使用的攻击方法,将有助于您以主动的方式处理此问题。反过来,如果恶意软件的确影响了您或您的组织,这将为您提供一种更为有效且效率更高的应对过程。
由于恶意软件使用如此之多的技术进行创建、分发和利用计算机系统,因此很难知道如何保护系统才足以抵挡这样的攻击。但是,一旦了解了风险和漏洞,则可以通过使成功攻击基本不可能发生这种方式来管理系统。
 |
|
| 上一篇文章: 2004年个人版防病毒软件评测报告 |
| 下一篇文章: 几种常见恶性病毒解决方案及清除方法 |
|
|
|
|
