[其他] 恶意代码概述

一、恶意代码的定义和类型
1.1 恶意代码的定义
恶意代码是在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。
恶意代码是一个具有特殊功能的程序或代码片段，就像生物病毒一样，恶意代码具有独特的传播和破坏能力。特洛伊木马具有窃取信息的特征，蠕虫主要利用漏洞传播来占用带宽、耗费资源等。
恶意代码具有3个明显的共同特征：目的性、传播性、破坏性。
1.2 恶意代码类型
大多数恶意代码可以分为病毒、木马、蠕虫或复合型。
病毒：病毒是一种专门修改其他宿主文件或硬盘引导区来复制自己的恶意程序。
木马：又叫做特洛伊木马，是一种非自身复制程序。它假装成一种程序，但是其真正意图却不为用户所知。木马并不修改或者感染其他文件。
蠕虫：蠕虫是一种复杂的自身复制代码，它完全依靠自己来传播。
蠕虫和木马有很多共同之处并且很难分辨。两者明显的区别是：木马总是假扮成别的程序，而蠕虫却是在后台中暗中破坏；木马依靠信任它们的用户来激活它们，而蠕虫从一个系统传播到另一个系统不需要用户的任何干预；蠕虫大量地复制自身，而木马并不这样做。

操作系统漏洞为攻击者提供了落脚点，相当于为攻击者打开了门缝，使攻击者有机可乘。另外，数据与可执行指令的混合，如脚本和宏等，也经常成为恶意代码的攻击途径。

二、恶意代码的类型及特征
2.1病毒
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者损坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒常宿主于文件或引导区，传播方式主要是通过用户打开文件、读取邮件或执行其宿主文件。
病毒有潜伏性，潜伏性有两种表现：1.不用专门检测程序检查不出来。2.计算机病毒的内部有一种触发机制。
病毒一般只有几百或一千字节。
病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。
2.2木马和蠕虫
特洛伊木马程序，简称为木马，是一种故意设计隐藏恶意行为的程序，其表面上加装成别的程序。当前，复杂的木马被附加在合法程序上，而被入侵的用户可能永远也不能发现。攻击者会寻找合法的程序绑定木马，然后将它们放在互联网上等待下载。
蠕虫依靠自己的代码传播，它自己包含自我复制程序，利用所在系统进行传播。
Morris蠕虫利用了一些不同的方法。首先，它利用了finger和sendmail程序的漏洞。如果失败，它会假装成其他用户尝试不同的口令来进入。
2.3网页恶意代码
网页恶意代码也称为网页病毒，它主要是利用软件或系统操作平台等安全漏洞，通过将Java Applet应用程序、JavaScript脚本语言程序、ActiveX软件部件网络交互技术(可支持自动执行的代码程序)嵌入在网页的HTML内并执行，以强行修改用户操作系统的注册表配置及系统使用配置程序，甚至可以对被攻击的计算机进行非法控制系统资源、盗取用户文件、恶意删除硬盘中的文件和格式化硬盘等恶意操作。
网页恶意代码的攻击形式是基于网页的，如果打开了带有恶意代码的网页，执行的操作就不单是浏览网页了，甚至还有可能伴随有病毒的原体软件下载或木马下载。
网页恶意代码主要利用了软件或操作平台的安全漏洞。
根据网页恶意代码的作用对象及其表现的特征，可以归纳为如下两大类。
第一类：通过JavaScript、Applet、ActiveX编辑的脚本程序来修改IE浏览器。
第二类：通过JavaScript、Applet、ActiveX编辑的脚本程序修改用户操作系统。

三、著名的恶意代码
1995年，首次发现宏病毒：这个让人特别厌恶和紧张的病毒使用Microsoft Word的宏语言实现，感染文档文件。这类技术很快便波及其他程序中的其他宏语言。
2001年，Code Red蠕虫：7月，这个蠕虫通过Microsoft的IIS网络服务器产品的缓存溢出进行传播。
2001年，Nimda蠕虫：“9.11”恐怖袭击后仅一周，出现了这个极端致命的蠕虫。它有许多种感染Windows计算机的方法，包括Web服务器缓存溢出、Web浏览器开发、Outlook电子邮件攻击和文件共享等。
2003年，SQL Slammer蠕虫
一般情况下，一种新的恶意代码技术出现后，采用新技术的恶意代码会迅速发展，接着反恶意代码技术的发展会抑制其流传。操作系统进行升级时，恶意代码也会调整为新的方式，产生新的攻击技术。
迄今，常见的病毒机包括VCS、GenVir、VCL(Virus Greation Laboratory，病毒制造实验室)、PS-MPC(Phalcon-Skism Mass-Produced Code Generator)、NGVCK(Next Generation Virus Creation Kit,下一代病毒机)和VBS蠕虫孵化器等。
黑客的入侵、计算机病毒的制造及传播、国家秘密情报或者军事机密的泄露，网络资源遭到破坏、攻击并导致信息系统瘫痪等现象层出不穷。