行为特性分类
按照行为特性,病毒可分为二十一种:感染式病毒(Virus)、蠕虫(Worm)、木马(Trojan)、后门(Backdoor)、黑客工具(Hacktool)、脚本病毒(Script)、宏病毒(Macro)、玩笑程序(Joke)、捆绑器(Binder)、恶意软件(Harm)、损坏程序(Junk)、释放器(Dropper)、下载器(Downloader)、广告软件(ADware)、色情软件(Pornware)、间谍软件(Spyware)、行为记录件(Trackware)、病毒壳(Packer)、病毒生成器(Constructor)、内核病毒(Rootkit)、勒索软件(Ransomware)。
感染式病毒只感染系统的可执行文件,将自己植入目标文件内,或驻留内存,或加密变形,一旦中招,很难清除。通过文件传播,以消耗计算机资源为主要目的。
蠕虫是利用网络漏洞传播的病毒,传播载体是内存和网络,通过漏洞进入目标计算机的内存,内存中开始枚举网络中相邻的计算机,若有漏洞自动入侵,重复上述的感染过程,一旦爆发,会带来大规模的网络阻塞,如红色代码、冲击波病毒。
木马、后门、黑客工具这三种相互关联,木马可以通过邮件、网页挂马链接、网页漏洞、即时通信软件等方式进去计算机,隐藏在后台自动运行,或给系统开后门,等待远程程序的指令,操纵用户计算机,偷盗用户计算机上的账号和密码等信息。病毒的名称来源于“特洛伊木马”的故事。后门则是以开辟网络访问的隐匿通道为主要目的。黑客工具以攻击或控制目标计算机为主要目的。这三种构成了一套攻击方式:木马通过网页或邮件进入计算机,释放一个后门程序,建立远程连接通道,木马程序通过后门程序和远程的黑客工具相连,盗取用户计算机上的信息或操纵用户的操作系统。
脚本病毒和宏病毒,脚本病毒利用脚本语言编写的病毒,常见的如JavaScript、VBScript、PowerShell等,本身编写容易,以网页为感染和传播介质,由于是解释型语言,本身的哈希值极易被改变,只能通过人工分析提取特征,或构造脚本语言解释器来自动提取特征。宏病毒也是一种脚本,但它只存在于微软的Office软件中,使用Office的宏语言编写。
玩笑程序、恶意软件、损坏程序这三种属于“*扰类”的病毒,玩笑程序运行后不会对系统造成破坏,但会对用户造成心理恐慌,比如提示格式化你的硬盘。恶意软件指那些不传播也不感染,运行后破坏计算机,导致计算机无法正常使用的程序。损坏程序只包含病毒代码但是病毒代码已经无法运行的残缺病毒文件。
病毒壳、病毒生成器,病毒壳使用压缩或加密算法对恶意代码进行加密和压缩,可对执行文件进行自动的变形,特点是壳非常小,自解压,不实用辅助程序,在商业领域可以用于软件保护,在病毒领域则为“过*软”。病毒生成器内置加密和变形引擎,批量产出“哈希值”完全不同,但是功能相同的恶意软件。
广告软件、色情软件、间谍软件、行为记录件这几类病毒统称为“流氓软件”。广告软件运行时会弹出广告,色情软件运行时会自动链接色情网站,间谍软件运行时偷偷执行某些恶意任务,行为记录件记录用户的计算机操作行为的恶意软件,
捆绑器、下载器、释放器可归为“APT类”病毒,捆绑器将一个恶意软件和一个正常程序打包成一个文件,执行时会优先在后台执行恶意软件。用户毫无察觉。下载器运行时会自动链接某个网站,下载最新版本的恶意程序。释放器运行时释放出多个有危害的恶意文件。在现实中,下载器会先下载一个释放器,释放器到本地释放出木马文件。
内核病毒是一种越权执行的恶意软件,设法让自己达到和内核一样的运行级别,甚至进入内核空间,从而拥有和内核一样的访问权限。病毒通过Rootkit技术绕过系统的API调用,利用更底层的调用来接管操作系统的高级API调用,有程序试图尝试查找他们时,便返回假信息,从而隐藏自己。这是一种高级的技术手段,很多流氓软件会采用此类技术来保护自己。
勒索软件又叫勒索病毒,是至今为止唯一一种无法完全清除和追踪的病毒。它通过系统漏洞进行传播,运行时利用高阶加密手段,将本地计算机上的文档文件全部加密,采取的是非对称加密,一次一密,保证每台计算机的解密密钥都不相同。想加密只能通过支付赎金,整个过程都无法追溯。
感谢阅读。
#网络安全# #木马# #计算机蠕虫病毒爆发# #黑客# #恶意软件#
