有許多存在的威脅并不被認(rèn)為是惡意軟件,因?yàn)樗鼈儾皇蔷哂行皭阂鈭D的計(jì)算機(jī)程序。但是,這些威脅對(duì)于一個(gè)組織而言仍具有安全和經(jīng)濟(jì)上的影響。因此,您可能希望了解您組織的 IT 基礎(chǔ)結(jié)構(gòu)和 IT 用戶工作效率所面臨的威脅。
玩笑軟件
玩笑應(yīng)用程序旨在生成一個(gè)微笑,或在最糟糕的情況下浪費(fèi)某人的時(shí)間。這些應(yīng)用程序自從人們開始使用計(jì)算機(jī)以來(lái)就一直存在。它們不是出于邪惡的目的而被開發(fā)的,而且很明白地標(biāo)識(shí)為玩笑,因此對(duì)于本指南的用途而言,它們并不被認(rèn)為是惡意軟件。有許多玩笑應(yīng)用程序的示例,從有趣的屏幕效果到逗人開心的動(dòng)畫或游戲,應(yīng)有盡有。
惡作劇
通常情況下,欺騙某人為您做事要比編寫軟件使人在不知情的情況下做事容易。因此,在 IT 行業(yè)可以看到大量的惡作劇。
與其他形式的惡意軟件一樣,惡作劇也使用社會(huì)工程來(lái)試圖欺騙計(jì)算機(jī)用戶執(zhí)行某些操作。但是,在惡作劇中并不執(zhí)行任何代碼;惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經(jīng)采用了多種形式。但特別常見的一個(gè)示例為,某個(gè)電子郵件聲稱發(fā)現(xiàn)了一種新的病毒類型,并要您通過(guò)轉(zhuǎn)發(fā)此郵件來(lái)通知您的朋友。這些惡作劇會(huì)浪費(fèi)人們的時(shí)間,消耗電子郵件資源并占用網(wǎng)絡(luò)帶寬。
欺詐
實(shí)際上,違法者已經(jīng)使用過(guò)各種通信形式(在這一次或那一次),試圖欺騙人們執(zhí)行會(huì)給其帶來(lái)某些經(jīng)濟(jì)利益的操作。Internet、網(wǎng)站和電子郵件都不例外。一個(gè)比較常見的示例是,違法者發(fā)送電子郵件,試圖欺騙收件人透露個(gè)人信息(例如,銀行帳戶信息),然后將這些信息用于非法用途。有一種特殊類型的欺詐稱為"phishing"(發(fā)音同"fishing",也稱為"品牌欺騙"或"carding")。
phishing 的示例包括發(fā)件人偽裝知名公司(例如,eBay)試圖獲取用戶帳戶信息這種情況。Phishing 欺詐通常使用一個(gè)模仿某公司官方網(wǎng)站外觀的網(wǎng)站。電子郵件用于將用戶指向虛假站點(diǎn),并欺騙用戶輸入其用戶帳戶信息,而這些信息將被保存并用于非法用途。這些案例類型應(yīng)認(rèn)真處理,并要報(bào)告給本地的法律執(zhí)行機(jī)構(gòu)。
垃圾郵件
垃圾郵件是未經(jīng)請(qǐng)求的電子郵件,用于為某些服務(wù)或產(chǎn)品做廣告。它通常被認(rèn)做是討厭的東西,但是垃圾郵件不是惡意軟件。但是,所發(fā)送的垃圾郵件數(shù)量的飛速增長(zhǎng)已經(jīng)成為 Internet 基礎(chǔ)結(jié)構(gòu)的一個(gè)問(wèn)題,這可導(dǎo)致員工工作效率的降低,因?yàn)樗麄兠刻毂仨氋M(fèi)力查看并刪除此類郵件。
術(shù)語(yǔ)"垃圾郵件"的來(lái)源尚在討論之中,但是無(wú)論它的來(lái)源是什么,有一點(diǎn)是可以肯定的,那就是垃圾郵件已經(jīng)成為 Internet 通信中最讓人頭痛的、長(zhǎng)久存在的問(wèn)題之一。許多人認(rèn)為垃圾郵件問(wèn)題如此嚴(yán)重,以至于它現(xiàn)在威脅到了世界各地的電子郵件通信的健康狀況。但是,我們應(yīng)該注意到,除了電子郵件服務(wù)器和防垃圾郵件軟件所承擔(dān)的負(fù)載之外,垃圾郵件實(shí)際上并不能復(fù)制或威脅某個(gè)組織 IT 系統(tǒng)的健康和運(yùn)作。
惡意軟件經(jīng)常被垃圾軟件的始發(fā)者(因此稱為"垃圾郵件制造者")使用,以在宿主計(jì)算機(jī)上安裝一個(gè)小型 SMTP 電子郵件服務(wù)器服務(wù),然后通過(guò)該服務(wù)將垃圾郵件轉(zhuǎn)發(fā)到另一個(gè)電子郵件收件人。 #p#副標(biāo)題#e#
間諜軟件
此類軟件有時(shí)也稱為"spybot"或"跟蹤軟件"。間諜軟件使用其他形式的欺騙性軟件和程序,它們?cè)跊](méi)有獲取用戶相應(yīng)許可的情況下即在計(jì)算機(jī)上執(zhí)行某些活動(dòng)。這些活動(dòng)可以包括收集個(gè)人信息,以及更改 Internet 瀏覽器配置設(shè)置。除了令人討厭之外,間諜軟件還會(huì)導(dǎo)致各種問(wèn)題,從降低計(jì)算機(jī)的總體性能到侵犯?jìng)€(gè)人隱私。
分發(fā)間諜軟件的網(wǎng)站使用各種詭計(jì),使用戶下載并將其安裝在他們的計(jì)算機(jī)上。這些詭計(jì)包括創(chuàng)建欺騙性的用戶體驗(yàn),以及隱蔽地將間諜軟件和用戶可能需要的其他軟件(例如,免費(fèi)的文件共享軟件)捆綁在一起。
廣告軟件
廣告軟件通常與宿主應(yīng)用程序組合在一起,只要用戶同意接受廣告軟件即可免費(fèi)提供宿主應(yīng)用程序。因?yàn)閺V告軟件應(yīng)用程序通常在用戶接受說(shuō)明應(yīng)用程序用途的許可協(xié)議之后進(jìn)行安裝,因而不會(huì)給用戶帶來(lái)任何不快。但是,彈出式廣告會(huì)非常令人討厭,并且在某些情況下會(huì)降低系統(tǒng)性能。此外,有些用戶原來(lái)并沒(méi)有完全意識(shí)到許可協(xié)議中的條款,這些應(yīng)用程序收集的信息可能會(huì)導(dǎo)致他們擔(dān)心隱私問(wèn)題。
注意: 盡管術(shù)語(yǔ)"間諜軟件"和"廣告軟件"經(jīng)常交替使用,但只有未經(jīng)授權(quán)的廣告軟件才等同于間諜軟件。為用戶提供適當(dāng)?shù)耐ㄖ⑦x擇和控制的廣告軟件并不是欺騙性的,不應(yīng)劃分為間諜軟件。還要注意到,聲稱執(zhí)行特定功能(實(shí)際上執(zhí)行其他任務(wù))的間諜軟件應(yīng)用程序?qū)嶋H上起到了特洛伊木馬的作用。
Internet Cookie
Internet Cookie 是由用戶所訪問(wèn)的網(wǎng)站放置在用戶計(jì)算機(jī)上的文本文件。Cookie 包含與用戶相關(guān)的標(biāo)識(shí)信息,并將該信息提供給網(wǎng)站,然后網(wǎng)站將這些信息(連同站點(diǎn)要保留的、與用戶訪問(wèn)相關(guān)的任何其他信息)放置在用戶計(jì)算機(jī)上。
Cookie 是合法工具,許多網(wǎng)站使用它們跟蹤訪問(wèn)者的信息。例如,用戶可能要在網(wǎng)上商店中購(gòu)買商品,但是在將商品放置在網(wǎng)上購(gòu)物車中后,他們可能由于某些原因要轉(zhuǎn)到另一個(gè)網(wǎng)站。此商店可選擇在用戶計(jì)算機(jī)上的 Cookie 中保存關(guān)于購(gòu)物車中有哪些商品的信息,這樣當(dāng)用戶返回該站點(diǎn)后,商品仍在購(gòu)物車中,并且已經(jīng)準(zhǔn)備好可供用戶購(gòu)買(如果他/她希望完成購(gòu)買)。
人們認(rèn)為,網(wǎng)站開發(fā)人員只能檢索他們創(chuàng)建的 Cookie 中所存儲(chǔ)的信息。此方法通過(guò)阻止這些站點(diǎn)的開發(fā)人員之外的其他人員訪問(wèn)用戶計(jì)算機(jī)上的 Cookie,應(yīng)該可以確保用戶的隱私。
不幸的是,據(jù)悉某些網(wǎng)站的開發(fā)人員在用戶不知情的情況下使用 Cookie 收集信息。某些人可能會(huì)欺騙用戶或違反政策。例如,他們可能跨多個(gè)不同的網(wǎng)站跟蹤 Web 沖浪習(xí)慣,而不通知用戶。然后,站點(diǎn)開發(fā)人員可以使用此信息自定義用戶在網(wǎng)站上看到的廣告,這將被視為一種侵犯隱私的行為。這種目標(biāo)廣告形式以及其他形式的"Cookie 濫用"很難識(shí)別,從而使得確定是否在系統(tǒng)上阻止它們、什么時(shí)間以及怎樣阻止它們變得非常困難。另外,可接受級(jí)別的共享信息隨計(jì)算機(jī)用戶的不同而不同,因此很難創(chuàng)建一個(gè)能滿足環(huán)境中所有計(jì)算機(jī)用戶的需求的"防 Cookie"程序。 #p#副標(biāo)題#e#
關(guān)于防病毒軟件
防病毒軟件專門用于防護(hù)系統(tǒng),使其免受來(lái)自惡意軟件的威脅。Microsoft強(qiáng)烈推薦使用防病毒軟件,因?yàn)樗鼤?huì)保護(hù)您的計(jì)算機(jī)系統(tǒng),使其免受任何形式的惡意軟件(而不僅僅是病毒)的侵害。
防病毒軟件可以使用許多技術(shù)來(lái)檢測(cè)惡意軟件。本部分將討論某些技術(shù)的工作原理,包括:
• 簽名掃描。目前大多數(shù)防病毒軟件程序都使用此技術(shù),它通過(guò)搜索目標(biāo)(宿主計(jì)算機(jī)、磁盤驅(qū)動(dòng)器或文件)來(lái)查找表示惡意軟件的模式。這些模式通常存儲(chǔ)在被稱為"簽名文件"的文件中,簽名文件由軟件供應(yīng)商定期更新,以確保防病毒掃描器能夠盡可能多地識(shí)別已知的惡意軟件攻擊。此技術(shù)的主要問(wèn)題是,防病毒軟件必須已更新為應(yīng)對(duì)惡意軟件,之后掃描器才可識(shí)別它。
• 啟發(fā)式掃描。此技術(shù)通過(guò)查找通用的惡意軟件特征,來(lái)嘗試檢測(cè)新形式和已知形式的惡意軟件。此技術(shù)的主要優(yōu)點(diǎn)是,它并不依賴于簽名文件來(lái)識(shí)別和應(yīng)對(duì)惡意軟件。但是,啟發(fā)式掃描具有許多特定問(wèn)題,包括:
• 錯(cuò)誤警報(bào)。此技術(shù)使用通用的特征,因此如果合法軟件和惡意軟件的特征類似,則容易將合法軟件報(bào)告為惡意軟件。
• 慢速掃描。查找特征的過(guò)程對(duì)于軟件而言要比查找已知的惡意軟件模式更難。因此,啟發(fā)式掃描所用的時(shí)間要比簽名掃描的時(shí)間長(zhǎng)。
• 新特征可能被遺漏。如果新的惡意軟件攻擊所顯示的特征以前尚未被識(shí)別出,則啟發(fā)式掃描器可能會(huì)遺漏它,直至掃描器被更新。
• 行為阻止。此技術(shù)著重于惡意軟件攻擊的行為,而不是代碼本身。例如,如果應(yīng)用程序嘗試打開一個(gè)網(wǎng)絡(luò)端口,則行為阻止防病毒程序會(huì)將其檢測(cè)為典型的惡意軟件行為,然后將此行為標(biāo)記為可能的惡意軟件攻擊。
現(xiàn)在,許多防病毒供應(yīng)商在他們的解決方案中混合使用這些技術(shù),以嘗試提高客戶計(jì)算機(jī)系統(tǒng)的整體保護(hù)級(jí)別。
"處于放任狀態(tài)"惡意軟件的典型時(shí)間線
已經(jīng)出現(xiàn)了一種模式,用來(lái)定義可作用于公共網(wǎng)絡(luò)的新惡意軟件攻擊的生存期,或者定義惡意軟件進(jìn)入放任狀態(tài)的時(shí)間。學(xué)習(xí)此模式有助于您了解新的惡意軟件攻擊發(fā)布后所帶來(lái)的風(fēng)險(xiǎn)。
新的時(shí)間線從惡意軟件最初開發(fā)時(shí)開始,到它的所有痕跡已從被監(jiān)視網(wǎng)絡(luò)中刪除為止。時(shí)間線階段定義如下:
1. 構(gòu)思。惡意軟件開發(fā)通常從新的攻擊或利用方法被提出并且在黑客間共享開始。這些方法將被討論或研究,直至發(fā)現(xiàn)一個(gè)方法可以開發(fā)為攻擊。
2. 開發(fā)。在過(guò)去,要?jiǎng)?chuàng)建惡意軟件必須了解計(jì)算機(jī)匯編語(yǔ)言以及要攻擊的系統(tǒng)的復(fù)雜工作原理。但工具包和 Internet 聊天室的出現(xiàn)使幾乎每個(gè)心懷歹意的人都可以創(chuàng)建惡意軟件。
3. 復(fù)制。新的惡意軟件開發(fā)并發(fā)布為放任狀態(tài)之后,它通常必須復(fù)制到可能的宿主設(shè)備一段時(shí)間,然后才能執(zhí)行主要功能或傳遞負(fù)載。
注意: 盡管有成千上萬(wàn)個(gè)已知的惡意軟件程序,但僅有極小一部分目前處于放任狀態(tài)。極大多數(shù)的惡意軟件程序從未發(fā)布給大眾,它們通常被稱為"動(dòng)物園病毒"。 #p#副標(biāo)題#e#
4. 傳送負(fù)載。惡意軟件成功地感染了一個(gè)宿主之后,它可能會(huì)傳遞負(fù)載。如果代碼具有用于負(fù)載的條件觸發(fā)器,則此階段是滿足傳遞機(jī)制條件的時(shí)候。例如,某些惡意軟件負(fù)載會(huì)在用戶執(zhí)行特定操作或在宿主計(jì)算機(jī)上的時(shí)鐘到達(dá)特定日期時(shí)被觸發(fā)。如果惡意軟件有一個(gè)直接操作觸發(fā)器,則它僅會(huì)在感染完成后開始傳遞負(fù)載。例如,在數(shù)據(jù)記錄負(fù)載的情況下,惡意軟件程序?qū)H開始記錄所需的數(shù)據(jù)。
5. 識(shí)別。在時(shí)間線的這一點(diǎn)上,惡意軟件被防病毒團(tuán)體識(shí)別出來(lái)。在極大多數(shù)情況下,此步驟將會(huì)在階段 4 或甚至階段 3 之前發(fā)生,但情況并非總是如此。
6. 檢測(cè)。威脅被識(shí)別出來(lái)之后,防病毒軟件開發(fā)人員需要分析代碼來(lái)確定可靠的檢測(cè)方法。一旦他們確定了方法,則會(huì)更新防病毒簽名文件,以使現(xiàn)有的防病毒應(yīng)用程序可以檢測(cè)出新的惡意軟件。此過(guò)程所用的時(shí)間對(duì)于控制病毒爆發(fā)至關(guān)重要。
7. 刪除。在發(fā)布更新之后,防病毒應(yīng)用程序的用戶有責(zé)任及時(shí)應(yīng)用更新,以保護(hù)其計(jì)算機(jī)免受攻擊(或者清理已感染的系統(tǒng))。
注意: 如果沒(méi)有及時(shí)更新本地簽名文件,則會(huì)導(dǎo)致出現(xiàn)以下極其危險(xiǎn)的情況:用戶會(huì)認(rèn)為已處于防病毒產(chǎn)品的保護(hù)之下,但實(shí)際上并沒(méi)有。
隨著越來(lái)越多的用戶更新防病毒軟件,惡意軟件的威脅性將會(huì)慢慢地變小。此過(guò)程基本不會(huì)刪除處于放任狀態(tài)的惡意軟件的所有實(shí)例,因?yàn)槟承┻B接到 Internet 的計(jì)算機(jī)只有極少或根本沒(méi)有防病毒保護(hù),而惡意軟件會(huì)駐留在這些計(jì)算機(jī)中。但總體而言,來(lái)自攻擊的威脅已經(jīng)減弱。
盡管此時(shí)間線對(duì)于每個(gè)新開發(fā)的惡意軟件攻擊都會(huì)重復(fù)一遍,但是它并不代表所有的攻擊。許多攻擊僅是惡意代碼原始部分的修改版本。這樣,基礎(chǔ)代碼和方法是相同的,但是進(jìn)行了很小的更改,以免攻擊在檢測(cè)到之后被刪除。通常,成功的惡意代碼攻擊會(huì)隨著星期和月份的推移而產(chǎn)生多個(gè)版本。這種情況將導(dǎo)致一種"軍備競(jìng)賽",惡意軟件編寫者為了自身利益(可能是為了經(jīng)濟(jì)利益,也可能是為了揚(yáng)名,或僅僅出于好奇)將努力避免程序被檢測(cè)出來(lái)。而病毒防護(hù)將根據(jù)需要再次被更新、修補(bǔ)或更改,以減輕惡意軟件更新后帶來(lái)的威脅。
小結(jié)
惡意軟件是計(jì)算機(jī)技術(shù)中一個(gè)復(fù)雜并且不斷發(fā)展的領(lǐng)域。在 IT 業(yè)面臨的所有問(wèn)題中,幾乎沒(méi)有比惡意軟件攻擊更具普遍性,也幾乎沒(méi)有比處理惡意軟件的相關(guān)費(fèi)用更昂貴的了。了解惡意軟件的工作原理、隨時(shí)間推移的演變方式以及它們所使用的攻擊方法,將有助于您以主動(dòng)的方式處理此問(wèn)題。反過(guò)來(lái),如果惡意軟件的確影響了您或您的組織,這將為您提供一種更為有效且效率更高的應(yīng)對(duì)過(guò)程。
由于惡意軟件使用如此之多的技術(shù)進(jìn)行創(chuàng)建、分發(fā)和利用計(jì)算機(jī)系統(tǒng),因此很難知道如何保護(hù)系統(tǒng)才足以抵擋這樣的攻擊。但是,一旦了解了風(fēng)險(xiǎn)和漏洞,則可以通過(guò)使成功攻擊基本不可能發(fā)生這種方式來(lái)管理系統(tǒng)。
