惡意軟件太難懂這份教程送給你

陸英

網絡安全發展迅速，每天都有新的威脅和攻擊方法出現，高調的網絡入侵時有發生，更不用說還有些事件根本沒有上報。這些入侵的規模和后果已經超出了技術層面，因此，沒有充分網絡安全風險意識的非技術人員最可能成為攻擊目標。這種情況下，非技術人員進行安全意識培訓要分三步走：認識惡意軟件、識別惡意軟件和對抗惡意軟件。

1.認識惡意軟件

惡意軟件是指新開發或經過修改的、可對計算機設備造成損害的軟件，實際上是為實現各種不同目的的惡意代碼。它的主要功能是獲取保密數據、竊取身份、劫持流量和操作系統、加密數字資產和監視用戶等。惡意軟件可以分為以下幾種類型：

病毒

作為最廣泛傳播的惡意軟件，病毒是可自我復制的惡意代碼，它依附或內置于可執行文件，以降低用戶的警覺性，一旦執行，病毒可感染其他應用程序并進行自我復制。病毒通過郵件和硬件（USB秘鑰和其他計算機外部配件）傳輸。病毒通常采用隱形技術設計，以避免殺毒軟件檢測。

蠕蟲

蠕蟲和病毒經常被混為一談，確實，除了蠕蟲是可自我執行的文件外，兩者在很多方面都很像。它們不需要用戶激活，可在多臺計算機上進行自我執行和復制，強大的蠕蟲可自我調節，甚至自我修復，Smxnet就是最顯著的例子。

木馬

木馬是惡意代碼的盾牌，它們偽裝成無害的應用程序，誘使用戶從網站下載或從外部存儲設備復制該應用程序。視頻播放器、游戲和其他免費的互聯網服務都是常見的誘餌，可誘使用戶下載木馬。木馬的一個重要特點是：它們不可以自動執行，需要借助目標受害者才能感染其他應用程序。

間諜軟件、勒索軟件和鍵盤記錄

就傳播方法而言，病毒、蠕蟲和木馬都屬于惡意軟件的第一大類。惡意軟件還可以按照功能進行細分。比如，擊鍵記錄、間諜軟件和勒索軟件都是通過病毒、蠕蟲或木馬進行傳播的。擊鍵記錄可記錄用戶在計算機上輸入的每條指令，包括密碼、信用卡信息和任何其他敏感數據。間諜軟件部署后可偷偷激活攝像頭和麥克風，收集操作環境的相關信息，暗中監視用戶。勒索軟件的攻擊目標為具有高價值數據資產的用戶和公司。一旦激活，勒索軟件可加密和劫持整個數據庫，在獲取贖金后才進行數據解密。

Rootldt、RAT和后門

Rootldt、RAT和后門都屬于復雜的惡意軟件，旨在獲取或繞過計算機的最高權限。一旦部署，攻擊者可通過Rootldt獲得對Root系統的特權訪問。RAT和后門這兩種不同的惡意軟件，目的是對受害者的計算機進行遠程秘密訪問，籍此攻擊者可遠程、合法地監視和執行應用程序。

消除對惡意軟件的誤解

第一，惡意軟件雖具破壞性，但其功能有時是合法活動必不可少的工具。例如，RAT和間諜軟件可用于工作進度監控和遠程技術支持之類的遠程工作。因此，對軟件的使用目的決定了它是惡意還是合法。

第二，惡意軟件雖大多針對的是微軟Windows系統中的漏洞，但不代表只會攻擊Windows。截至2017年3月，各種版本的Windows占了大約90%的操作系統市場份額，說明它在普通用戶中很受歡迎，因而成為了攻擊者的理想目標，可利用其中的漏洞并開發工具以感染盡可能多的用戶。但若打開了釣魚郵件中的惡意鏈接并在欺詐網站上輸入了個人信息，無論受害者的操作系統是Linux～Windows還是MAC OS，結果都一樣。

第三，不使用或同時使用多款殺毒軟件起不到防護作用，將計算機恢復出廠配置也不能完全消除惡意軟件。不同的殺毒軟件可能互不兼容，會把對方視為惡意程序。惡意軟件可感染固件或隱藏在硬盤驅動器的未格式化分區和個人文件備份中，格式化和恢復Windows系統未必能根除惡意軟件。

2.識別惡意軟件

彈出消息

勒索軟件和廣告軟件會彈出消息，或者提供瀏覽器重定向鏈接，敦促用戶立即行動或表示系統的正常功能無法恢復。這些彈出消息是惡意軟件存在的明顯跡象。要注意的是，欺詐性工具欄和其他瀏覽器重定向小工具有高度誤導性。通過誘使受害者安裝其他惡意軟件并提供個人信息和銀行信息，這些工具將受感染的計算機暴露在更多的風險中。某些情況下，惡意軟件會禁用計算機上的殺毒程序和防火墻，使受害者無防守之力。由于惡意軟件可能導致兼容性問題并與其他應用程序產生沖突，所以此類多重滲透最終會使系統崩潰。

網速變慢

速度和網絡性能降低是系統遭遇攻擊的可靠初始跡象。惡意軟件一旦安裝可長期在系統后臺運行，由于惡意軟件要執行命令并占用網速，自然會消耗額外的處理器、RAM、硬盤和網絡容量，并最終削弱系統性能。

非正常行為

受害者可能會發現自己的IP地址被列入了黑名單或者被親朋告知自己發送了不正常的信息，這是由于R00Ik“和擊鍵記錄等惡意軟件可將受害者的計算機變成僵尸網絡。

3.對抗惡意軟件

第一，個人要始終保持警惕。非技術人員應對可疑郵件保持警惕，網絡釣魚是針對基層員工的首要攻擊策略。驗證身份和下載源合法性是防御攻擊行為的有效基本措施。

第二，在每臺計算機上安裝性能好的反惡意軟件。通常，只要安裝了強大且最新的反惡意軟件，計算機就可以提供自動操作，隔離或刪除惡意軟件和受感染的文件。

第三，用戶應定期獲取安全更新和補丁，確保反惡意軟件的正常功能。

第四，將侵入細節報告給機構安全人員或負責人。在某些復雜的情況下，操作系統無法正常運行，用戶幾乎無法在正常操作環境中執行反惡意軟件。報告機制可讓技術人員快速提供協助并確定各種應對措施，如斷開互聯網、控制惡意軟件和向執法部門報告等。對安全人員而言，從惡意軟件中收集的信息在測試和強化現有程序、提高安全意識和惡意軟件抵御方面大有幫助。