恶意软件的终极指南 密码窃取器变得更加复杂和危险

什么是恶意软件?恶意软件包含哪些类型?如何防御、检测或移除?本文针对这些疑问给出答案。

所谓“恶意软件”，事实上是一个关乎病毒、蠕虫、木马以及其他有害计算机程序的综合术语，其自计算的早期阶段就一直存在并活跃在我们身边。但是，它并非一成不变地存在着，而是随着技术的进步在不断发展完善，目前，黑客经常利用它来破坏并获取敏感信息的访问权限。可以说，打击恶意软件如今已经占据信息安全专业人士的大部分工作日常。

一、恶意软件定义

恶意软件(Malware)是恶意的软件(malicious software)的缩写。对于微软所言，它是一个包罗万象的术语，指的是任何旨在对单个计算机、服务器或计算机网络造成损害的软件。换句话说，一个软件之所以被识别为“恶意软件”，主要是基于其预期用途，而不是基于其构建技术或其他因素。

而在中国，关于恶意软件的定义还要追溯到2006年11月，根据中国互联网协会正式公布的恶意软件定义：恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。

病毒是一种恶意软件，因此所有病毒都是恶意软件，但是并非每一种恶意软件都是病毒，它也有可能是蠕虫、木马、广告插件、自动脚本等。

二、恶意软件类型

恶意软件的分类方式有很多种;首先是根据恶意软件的传播方式进行分类。您可能已经听说过病毒、木马和蠕虫这些词可以互换使用，但正如赛门铁克所解释的那样，它们描述了恶意软件感染目标计算机的三种微妙方式：

蠕虫是一种独立的恶意软件，可以自我复制并从计算机传播到计算机;

病毒是一段计算机代码，可以将自身插入另一个独立程序的代码中，然后强制该程序实施恶意行为并自行传播;

木马是一个程序，它不能自我复制，但可以伪装成用户想要的东西，并诱骗他们激活它，以便它可以实现自身的破坏和传播活动。

恶意软件也可以由攻击者自己“手动”安装在计算机上，条件是要获取对目标计算机的物理访问权限，或使用权限提升来获取远程管理员访问权限。

针对恶意软件的另一种分类方式，主要依据其预期目的，即一旦恶意软件成功感染受害者的计算机后，它会利用各种攻击技术执行何种潜在的恶意企图：

间谍软件：Webroot Cybersecurity将其定义为“用于秘密收集毫无戒心的用户数据的恶意软件”。本质上来说，它会在您使用计算机时，窃取您发送或接收的数据，以及监听您的网络行为，并将这些收集到的信息发送给第三方。其中，键盘记录程序是一种特殊类别的间谍软件，能够记录用户所有的击键操作——这种方式非常适合窃取用户密码信息;

Rootkit：TechTarget将其定义为“主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合”。广义而言，Rootkit也可视为一项技术。最早Rootkit用于善意用途，但后来Rootkit也被黑客用在入侵和攻击他人的电脑系统上，电脑病毒、间谍软件等也常使用Rootkit来隐藏踪迹，因此Rootkit已被大多数的防毒软件归类为具危害性的恶意软件;

广告软件：同样属于恶意软件的一种，它会迫使您的浏览器重定向到网络广告，而这些广告通常会寻求进一步下载，甚至加载更多的恶意软件。正如《纽约时报》所言，广告软件通常捎带一些诱人的“免费”项目，如游戏或浏览器扩展等。

勒索软件：是近年来非常普遍的一种恶意软件形式，主要通过加密受害者硬盘驱动器的文件，并要求支付赎金(通常为比特币等加密货币)来交换解密密钥。过去几年间，发生了多起备受瞩目的勒索软件事件，如WannaCry、Petya等。如果没有解密密钥，受害者将无法获取对其锁定文件的访问权限。所谓的“恐吓软件”(scareware)实际上是勒索软件的一种影子版本;它会声称已经控制了您的计算机，并要求您支付赎金，但实际上它只是利用了浏览器重定向循环这样的技巧，使其看起来好像遭遇勒索软件攻击一样。

加密劫持(Cryptojacking?)：这是除勒索软件外，攻击者强迫您提供比特币等加密货币的另一种方式，只有它能够在您不必知道的情况下运行。加密挖掘恶意软件能够感染您的计算机设备，并使用您的CPU周期来挖掘比特币等加密货币，以此牟取暴利。这种类型的恶意软件可以在操作系统的后台运行，也可以在浏览器窗口中作为JavaScript运行。