介绍恶意软件:定义，攻击，类型和分析

来源：Introduction to Malware: Definition, Attacks, Types and Analysis，https://www.greycampus.com/blog/information-security/introduction-to-malware-definition-attacks-types-and-analysis

一、介绍

恶意软件（Malware）是任何一款对你的系统或网络造成伤害的软件。恶意软件与普通程序的不同之处在于，它们大多有能力在网络中传播，保持不可检测，对受感染的系统或网络造成变化/破坏，持久性。它们有能力降低机器的性能，并可能导致网络的破坏。考虑这样一种情况，当计算机被感染，不再可用，里面的数据变得不可用——这是一些恶意软件破坏的场景。恶意软件攻击可以追溯到互联网普及之前。以下是一些恶意软件攻击的历史:

（1）Melissa: Melissa是由David L. Smith在1999年创建并发布的。它是一个嵌入在word文件中的宏病毒。该文件被设置成包含各种网站的密码，这让人们好奇地打开它并执行宏。一旦执行宏将重新发送病毒到用户地址簿的前50人。该病毒后来被追踪到创造者，史密斯被判处10年监禁。

（2）My Doom:我的末日是蠕虫而不是病毒，因此它不需要人工干预就可以在网络中传播。它是2004年传播速度最快的电子邮件蠕虫之一。它是由垃圾邮件发送者传播的，并包含文本。该恶意软件最初被认为是一种变种的Mimail蠕虫病毒，但该理论被拒绝。它被命名为MyDoom，这是由于在代码的一行中出现了doom这个词。它影响了像谷歌和微软这样的公司，造成了数十亿美元的损失。

（3）Stuxnet病毒(2010):Stuxnet病毒可以被认为是一种先进的恶意软件，它对伊朗的一座核电站造成了硬件级的破坏。Stuxnet病毒通过一个u盘进入系统，感染了所有的windows电脑，代码使用了一个数字伪造证书，这有助于避免被发现。Stuxnet病毒通过网络来检查控制核离心机的控制线系统。它利用了一个零日漏洞来控制离心机，使它们以无法控制的速度旋转，从而摧毁它们。

（4）Wannacry(2017):迄今为止最大的勒索软件攻击之一，感染了100多个国家的系统。Wannacry利用了一个SMB漏洞，该漏洞已经被微软发现，并于2017年3月打了补丁。大多数系统运行的是旧版本的补丁，因此受到了影响。它与其他恶意软件的不同之处在于，它在没有任何用户干预的情况下在网络中传播，并对整个系统进行加密，除非支付赎金，否则无法使用。它的目标是医疗保健行业，并蔓延到其他行业。Marcus Hutchins发现了一种杀死机制，但恶意软件被更新并绕过该开关再次发布。对于为什么IT安全是重要的，为什么我们需要一个有效的补丁管理系统，这是一个警钟。

二、恶意软件的类型

1、病毒（Virus）:需要人工干预才能运行和传播的恶意软件。

文件病毒:受感染的可执行文件，打开时会感染其他文件。

宏病毒:Excel文件中的恶意软件写在VBS，一旦文件被打开，宏将被执行和感染其他文件。

主引导记录病毒:更改或删除引导记录。这可能会使系统变得无用。

多态病毒经常改变其形态以避免被发现。

隐形病毒:隐藏在其他合法的文件或服务中。

2、特洛伊（Trojan）:隐藏在其他合法文件中的恶意软件。合法的文件和软件与恶意软件捆绑在一起，这样当软件被安装时，恶意软件也会被安装和执行。

远程访问木马:允许黑客在你不知情的情况下通过隐蔽的渠道远程访问你的系统。

数据发送木马:窃取保存在您的系统上的数据并将其传输给攻击者。

破坏性木马:破坏其他文件和服务。

安全软件禁用木马:禁用系统防火墙和防病毒，以便其他恶意文件可以下载和运行而不被检测到。

3、蠕虫（Worm）:类似于病毒，但不需要任何人为干预运行和传播的网络。

4、垃圾邮件（Spam）:电子邮件和附件中的恶意软件。用户被骗点击这些电子邮件，以便他们的系统可以安装病毒。

5、勒索软件（Ransomware）:将系统完全加密，并要求用户索要赎金来解密数据。即使支付了赎金，也无法保证该系统是否会被解密。

6、rootkit:非常难以检测，不格式化系统就无法删除。

7、广告软件（Adware）:在你的系统和网页上产生不必要的广告。

8、间谍软件（Spywares）:像间谍一样坐在你的系统上，监视/记录活动。

9、键盘记录程序（Keyloggers）:记录键盘上的所有按键，这可能有助于黑客窃取密码。