人們對安全術語的理解往往過于隨意。然而，弄清楚惡意軟件的分類是很重要的，因為了解各種類型的惡意軟件是如何傳播的對遏制和消除它們非常重要。

當你和極客們在一起的時候，這個簡潔的惡意軟件寓言集將幫助你正確理解你的惡意軟件術語。

[[355201]]

1. 病毒

計算機病毒是大多數媒體和普通終端用戶對新聞中所報道的每一個惡意軟件程序的稱呼。幸運的是，大多數惡意軟件程序并不是病毒。計算機病毒會修改其他合法的主機文件(或指向它們的指針)，當受害者的文件被執行時，病毒也會被執行。

純粹的計算機病毒在今天并不常見，它只占所有惡意軟件的不到10%。這是一件好事:病毒是唯一能“感染”其他文件的惡意軟件。這使得它們特別難以清除，因為惡意軟件必須從合法程序中執行。這一直是不簡單的，即使在今天也幾乎是不可能的。最好的反病毒程序都很難做到這一點，在許多(如果不是大多數)情況下，只能夠隔離或刪除受感染的文件。

2. 蠕蟲

蠕蟲存在的時間甚至比計算機病毒還要長，可以一直追溯到大型機時代。電子郵件在20世紀90年代末成為了時尚，而近十年來，計算機安全專家們就一直在被作為郵件附件的惡意蠕蟲所包圍。只要有一個人打開了一封被蠕蟲感染的電子郵件，整個公司就很快會被感染。

電腦蠕蟲的獨特之處在于它可以自我復制。以臭名昭著的Iloveyou蠕蟲為例:當它爆發時，它幾乎攻擊了世界上每一個電子郵件用戶，使電話系統過載(用欺詐手段發送短信)，癱瘓電視網絡，甚至把我每天下午的報紙都延遲了半天。其他幾個蠕蟲病毒，包括SQL Slammer和MS Blaster，也確保了其在計算機安全歷史中的地位。

一個有效的蠕蟲之所以具有如此大的破壞力，是因為它能夠在最終用戶不采取行動的情況下傳播。相比之下，病毒要求最終用戶至少需要在病毒試圖感染其他無辜文件和用戶之前將其啟動。蠕蟲則利用其他文件和程序來完成這些活動。例如，SQL Slammer蠕蟲利用了Microsoft SQL中的一個(修補過的)漏洞，在大約10分鐘內就可以使幾乎每一臺連接到互聯網的未修補的SQL服務器發生緩沖區溢出，這一速度記錄至今仍保持不變。

3. 木馬

電腦蠕蟲已被木馬惡意軟件程序所取代，成為了黑客的首選武器。特洛伊木馬會被偽裝成合法程序，但包含了惡意指令。它們已經存在了很久，甚至比計算機病毒還要長，但它們比任何其他類型的惡意軟件都更能控制當前的計算機。

特洛伊木馬程序必須由其受害者執行才能工作。木馬通常會通過電子郵件到達，或者在用戶訪問受感染的網站時被推送。最受歡迎的木馬類型是假的防病毒程序，它會彈出并聲稱你已被感染，然后指示你運行一個程序來清理你的電腦。用戶吞下誘餌，木馬就會生根發芽。

特別是遠程訪問木馬(RAT)在網絡犯罪分子中非常流行。RAT允許攻擊者遠程控制受害者的計算機，通常是為了橫向移動并感染整個網絡。這種類型的木馬是為避免被檢測而設計的。威脅腳本甚至不需要自己去寫。地下市場上有數百個現成的RAT。

特洛伊木馬很難防御有兩個原因:它們很容易編寫(網絡犯罪分子通常會制作和兜售木馬構建工具包)，并會通過欺騙最終用戶來進行傳播--補丁、防火墻和其他傳統防御措施無法阻止。惡意軟件編寫者每月都會放出數百萬個木馬。反惡意軟件供應商則會盡最大努力來對抗特洛伊木馬，但簽名太多，無法跟上。

4. 混血兒和外來物種

如今，大多數惡意軟件都是傳統惡意程序的組合，通常包括特洛伊木馬和蠕蟲的一部分，偶爾還包括了病毒。通常，惡意軟件程序在最終用戶看來都是一個特洛伊木馬，但一旦執行，它就會像蠕蟲一樣通過網絡來攻擊其他受害者。

今天的許多惡意軟件程序都會被認為是rootkit或隱形程序。從本質上來說，惡意軟件程序總是試圖修改底層操作系統，以獲得最終控制權，并躲避反惡意軟件程序。要刪除這些類型的程序，你就必須從內存中刪除控制組件，并從反惡意軟件掃描開始。

僵尸程序本質上是特洛伊木馬/蠕蟲的組合，它們試圖使單個被攻擊的客戶端成為更大惡意網絡的一部分。僵尸主控機有一個或多個“命令和控制”服務器，僵尸客戶端則可以通過這些服務器接收更新后的指令。僵尸網絡的規模可以從幾千臺受損的計算機到由一個僵尸網絡主機控制的數十萬個系統組成的巨大網絡。這些僵尸網絡經常會被出租給其他犯罪分子，然后他們將其用于自己的邪惡目的。

5. 勒索軟件

在過去的幾年中，加密數據并將其作為人質等待加密貨幣回報的惡意程序在惡意軟件中占了很大比例，而且這個比例還在不斷增長。勒索軟件經常會癱瘓公司、醫院、警察部門，甚至是整個城市。

大多數勒索軟件程序都是特洛伊木馬，這意味著它們必須通過某種形式的社會工程來進行傳播。一旦被執行，其大多數會在幾分鐘內查找并加密用戶的文件，盡管現在有一些也采取了“觀望”的方法。通過在啟動加密程序前觀察用戶幾個小時，惡意軟件管理員可以準確計算出受害者可以支付多少贖金，并確保刪除或加密其他據稱安全的備份。

勒索軟件可以像其他類型的惡意軟件程序一樣被阻止，但是一旦被執行，如果沒有一個好的、經過驗證的備份，就很難扭轉損失。根據一些研究，大約四分之一的受害者會支付贖金，其中，大約30%的人仍然無法解鎖他們的文件。不管怎樣，如果可能的話，解鎖加密文件需要特殊的工具、解密密鑰和更多的運氣。最好的建議是確保所有關鍵文件都有一個好的離線備份。

6. 無文件惡意軟件

無文件惡意軟件實際上并不是一個不同類別的惡意軟件，但更多的是對它們如何利用以及孜孜以求的描述。傳統惡意軟件需要通過文件系統傳播并感染新的系統。無文件惡意軟件目前占所有惡意軟件的50%以上，而且還在不斷增長，它是不直接使用文件或文件系統的惡意軟件。它們僅在內存中使用或使用其他“非文件”操作系統對象(如注冊表鍵、API或計劃任務)。

許多無文件攻擊始于利用現有的合法程序，以成為新啟動的“子進程”，或者通過使用操作系統中內置的現有合法工具(如Microsoft的PowerShell)。最終結果是無文件攻擊更難被檢測和阻止。如果你還不熟悉常見的無文件攻擊技術和程序，你應該去熟悉，如果你想在計算機安全領域工作的話。

7. 廣告軟件

如果幸運的話，你接觸到的唯一惡意軟件程序就是廣告軟件，它試圖將受到損害的最終用戶暴露在不需要的、潛在的惡意廣告中。常見的廣告軟件程序可能會將用戶的瀏覽器搜索重定向到包含其他產品促銷的相似網頁。

8. 惡意廣告

不要與廣告軟件相混淆，惡意廣告是指使用合法廣告或廣告網絡向不知情的用戶計算機秘密發送惡意軟件。例如，網絡罪犯可能會花錢在合法網站上投放廣告。當用戶點擊廣告時，廣告中的代碼要么會將他們重定向到惡意網站，要么會在他們的計算機上安裝惡意軟件。在某些情況下，嵌入在廣告中的惡意軟件可能會在用戶不采取任何行動的情況下自動執行，這種技術被稱為“路過式下載”。

眾所周知，網絡犯罪分子還會破壞向許多網站發送廣告的合法廣告網絡。紐約時報、Spotify和倫敦證券交易所等受歡迎的網站經常會成為惡意廣告的載體，使其用戶處于危險之中。

當然，使用惡意廣告的網絡罪犯的目標是賺錢。惡意廣告可以傳播任何類型的賺錢惡意軟件，包括勒索軟件、密碼挖掘腳本或是銀行特洛伊木馬。

9. 間諜軟件

間諜軟件最常被那些想檢查親人電腦活動的人使用。當然，在有針對性的攻擊中，罪犯可以使用間諜軟件記錄受害者的擊鍵，并獲得密碼或知識產權。

廣告軟件和間諜軟件程序通常是最容易被刪除的，這通常是因為它們的意圖不像其他類型的惡意軟件那樣邪惡。找到惡意的可執行文件并防止它被執行--你就完成了。

一個比實際的廣告軟件或間諜軟件更令人擔憂的是它被用來利用計算機或用戶的機制，不管是社會工程、未修補的軟件，還是其他十幾個root exploit原因。這是因為盡管間諜軟件或廣告軟件程序的意圖并不像后門遠程訪問特洛伊木馬那樣惡意，但它們都使用著相同的方法進行入侵。廣告軟件/間諜軟件程序的存在應該被作為一個警告，即在真正的惡意到來之前，設備或用戶存在某種需要被糾正的弱點。

查找并刪除惡意軟件

不幸的是，找到并刪除單個惡意程序組件可能是一件愚蠢的差事。你很容易搞錯并錯過一個組件。另外，你也不知道惡意軟件程序是否修改了系統，這會使得它不可能被再次完全信任。

除非你在惡意軟件清除和取證方面受過良好的培訓，否則就請備份數據(如果需要)，格式化驅動器，并在計算機上發現惡意軟件時重新安裝程序和數據。修補好它，確保最終用戶知道他們做錯了什么。這樣，你就又有了一個值得信賴的計算機平臺，又可以在戰斗中前進，而不會有任何揮之不去的風險或問題了。