什么是计算机病毒?

了解计算机病毒攻击

了解计算机病毒是什么、它如何传播以及不同的变体对于对抗病毒威胁至关重要。需要深入了解病毒扫描程序的工作原理,以便就为组织购买病毒扫描程序做出明智的决定。在落实网络安全等级保护工作中,我们从上篇文章也可以理解,需要具备建立牢固的病毒攻击防御所需的技能。

什么是计算机病毒?

大多数人都熟悉计算机病毒,但可能对它是什么没有明确的定义。计算机病毒是一种自我复制的程序。一般来说,病毒还会有一些其他负面功能,例如删除文件或更改系统设置。然而,病毒的定义是自我复制和快速传播。通常,这种增长本身可能会给受感染的网络带来问题。它可能会导致网络流量过多并阻止网络正常运行。基于一个事实:所有技术的工作能力都是有限的。病毒给网络带来的流量越多,用于执行实际工作的容量就越少。

什么是蠕虫病毒?

蠕虫病毒是一种特殊类型的病毒。有些文本竭尽全力区分蠕虫和病毒,而另一些则仅将蠕虫视为病毒的子集。蠕虫病毒是一种无需人为干预即可传播的病毒。换句话说,病毒需要一些人为操作才能感染计算机(下载文件、打开附件等),但蠕虫病毒无需此类交互即可传播。近年来,蠕虫病毒的爆发比标准的非蠕虫病毒更为常见。坦率地说,今天大多数所谓的“病毒”实际上是一种蠕虫病毒。

病毒如何传播

对抗病毒的最佳方法是限制其传播,因此了解它们的传播方式至关重要。病毒通常会以两种方式之一传播。最常见、最简单的方法是阅读电子邮件地址簿,然后将电子邮件本身发送给地址簿中的每个人。对此进行编程是一项微不足道的任务,这也解释了为什么它如此常见。第二种方法是简单地扫描计算机是否有网络连接,然后将其自身复制到计算机可以访问的网络上的其他计算机。这实际上是病毒传播最有效的方式,但它比其他方法需要更多的编程技巧。
第一种方法是迄今为止最常见的病毒传播方法。Microsoft Outlook可能是最常遭受此类病毒攻击的电子邮件程序之一。原因与其说是Outlook中的安全缺陷,不如说是Outlook的易用性。

参考:易用性与安全性

易用性和安全性之间总是存在冲突。使用系统越容易,其安全性就越低。反之亦然:系统越安全,使用起来就越困难。一些安全专业人员只关注安全方面,而没有充分考虑可用性问题。这导致一些安全专家完全避开微软的产品,因为微软的重点一直是可用性,而不是安全性。
要成为一名有效的网络管理员,必须对这些考虑因素有一个平衡的看法。世界上最安全的计算机是一台不与任何网络连接、未安装任何软件并且已移除所有便携式媒体驱动器(CD-ROM、USB等)的计算机。这样的计算机也将毫无用处。
关于Microsoft Outlook为何如此频繁地遭受病毒攻击,有多种理论。一种解释是它在市场上的流行。病毒编写者希望造成严重破坏。最好的方法是针对最常用的系统。
Outlook经常成为攻击目标的另一个原因是为其编写病毒相对容易。我们之前提到过,许多电子邮件应用程序允许程序员创建应用程序的扩展。所有Microsoft Office产品都是为了让为企业编写软件的合法程序员可以访问应用程序的许多内部对象,从而轻松创建将应用程序集成到Microsoft Office套件中的应用程序。例如,程序员可以编写一个应用程序来访问Word文档、导入Excel电子表格,然后使用Outlook自动将生成的文档通过电子邮件发送给感兴趣的各方。微软在使这个过程变得非常简单方面做得很好,因为通常需要最少的编程来完成这些任务。使用Outlook,只需不到五行代码即可引用Outlook并发送电子邮件。这意味着程序实际上可以导致Outlook本身在用户不知情的情况下发送电子邮件。互联网上有大量代码示例准确展示了如何执行此操作,并且免费提供。因此,不需要非常熟练的程序员就能够访问Outlook通讯簿并自动发送电子邮件。从本质上讲,Outlook编程的简便性是导致如此多针对Outlook的病毒攻击的原因。不需要非常熟练的程序员就能够访问Outlook地址簿并自动发送电子邮件。从本质上讲,Outlook编程的简便性是导致如此多针对Outlook的病毒攻击的原因。不需要非常熟练的程序员就能够访问Outlook地址簿并自动发送电子邮件。从本质上讲,Outlook编程的简便性是导致如此多针对Outlook的病毒攻击的原因。
虽然绝大多数病毒攻击是通过将自身附加到受害者现有的电子邮件软件来传播的,但最近爆发的一些病毒却使用了其他方法进行传播。一种越来越常见的方法是让病毒拥有自己的内部电子邮件引擎。拥有自己的电子邮件引擎的病毒不需要“搭载”计算机的电子邮件软件。这意味着,无论使用什么电子邮件软件,该病毒仍然可以从计算机传播。另一种病毒传播方法是通过网络简单地复制自身。通过多种途径传播的病毒爆发变得越来越普遍。
病毒传播的另一种方式是检查受影响的系统,寻找任何连接的计算机并将其自身复制到这些计算机上。这种自我传播不需要用户交互,因此使用这种方法感染系统的程序被归类为蠕虫病毒。
无论病毒以何种方式到达家门口,一旦进入系统,就会尝试传播,并且在许多情况下,还会尝试对系统造成一些损害。一旦病毒进入系统,它就可以做任何合法程序可以做的事情。这意味着它可能会删除文件、更改系统设置或造成其他危害。病毒攻击的威胁怎么强调都不为过。最近的一些病毒爆发甚至导致现有的安全软件(例如防病毒扫描程序和防火墙)被禁用。让我们花点时间来研究一下蠕虫的典型示例以及在撰写本文时常见的一些病毒攻击。检查现实世界的病毒爆发可以让我们深入了解病毒的运作方式。出于我们的目的,我们将在本节中查看病毒和蠕虫攻击的示例。
Zafi蠕虫病毒
这是一个古老的蠕虫病毒,但说明了蠕虫病毒的问题。该蠕虫的第一个版本仅以匈牙利语发布,因此其传播受到一定程度的限制。然而,通过Zafi.d版本,它以英语传播。该病毒版本声称是节日贺卡,在2004年圣诞节前夕广泛传播。使用节日贺卡作为电子邮件的主题行大大增加了其被阅读的机会。它的战略时机可能导致它感染了比其他情况下更多的系统。该病毒有自己的SMTP电子邮件引擎,并将自身发送到它能找到的尽可能多的地址。该蠕虫从计算机上可能找到的多种不同文件类型中获取电子邮件地址,包括HTML、ASP、文本文件等。
一旦系统被感染,除了向电子邮件地址发送电子邮件之外,它还会尝试检测计算机上的防病毒程序文件并用自身的副本覆盖它们。防病毒软件的禁用使Zafi.d特别危险。某些版本的Zafi还尝试对以下站点进行DoS攻击:
Rombertik
Rombertik在2015年造成了严重破坏。该恶意软件使用浏览器读取网站的用户凭据。它通常作为电子邮件的附件发送。也许更糟糕的是,在某些情况下,Rombertik将覆盖硬盘驱动器上的主引导记录,使计算机无法引导,或者开始加密用户主目录中的文件。
Shamoon
Shamoon是2012年发现的一种计算机病毒,旨在针对能源领域运行Microsoft Windows的计算机。赛门铁克、卡巴斯基实验室和Seculert于2012年8月16日宣布了这一发现。它本质上是一个数据窃取程序,似乎以能源公司的系统为目标。Shamoon的一个变种在2017年再次出现。这种特殊病毒的有趣之处在于它主要针对沙特阿美公司的计算机。
Gameover ZeuS
Gameover ZeuS是一种创建点对点僵尸网络的病毒。本质上,它在受感染的计算机与命令和控制计算机之间建立加密通信,从而允许攻击者控制各种受感染的计算机。2014年,美国司法部暂时关闭了与指挥和控制计算机的通信;然后在2015年,联邦调查局(FBI)宣布悬赏300万美元,奖励因涉嫌参与Gameover ZeuS而抓获叶夫根尼·博加乔夫(Evgeniy Bogachev)的信息。
命令和控制计算机是僵尸网络中用于控制其他计算机的计算机。这些是管理僵尸网络的中心节点。
Mirai
Mirai病毒于2016年9月首次发现,影响运行Linux的网络设备。它将把这些设备变成被远程控制的僵尸。主要专注于IP摄像机、路由器和类似设备。一旦被感染,这些设备就会被用作DDoS攻击的一部分。
Linux.编码器.1
这是勒索软件,于2015年11月首次发现。它之所以引人注目,是因为它专门针对Linux计算机。它通常通过Magento(许多电子商务网站上用于在线购物卡的软件)中的缺陷进行传播。文件首先使用AES 128位进行加密,然后使用RSA对该AES密钥进行加密。
Kedi RAT
2017年9月,Kedi RAT(远程访问木马)通过网络钓鱼电子邮件传播。一旦进入受感染的系统,它就会窃取数据,然后通过Gmail账户通过电子邮件发送数据来泄露该数据。它特别试图识别受感染系统上的个人和/或财务数据以进行出售。
Black Basta
Black Basta是勒索软件,于2022年4月首次发现,截至2023年中期仍然活跃。该名称现在指的是提供勒索软件即服务的组织。原始Black Basta勒索软件引人注目的细微差别之一是,它有针对Linux和Windows的变种。在Windows域控制器上时,Black Basta将创建组策略来禁用Windows Defender和其他防病毒解决方案。这是该病毒特别有害的一个方面。该恶意软件的另一个有害方面是,除了加密计算机文件并索要赎金之外,它还会窃取数据。如果不支付赎金,犯罪者将开始泄露被盗数据。该组织现在分发多种不同的勒索软件“产品”。Qakbot和Print Nightmare已与Black Basta有关。
钛元素(Titanium)
2019年11月,卡巴斯基实验室报告了一种名为Titanium的后门恶意软件高级持续威胁(APT)。APT只是一种长期有效的高级攻击。钛的安装分多个阶段。其中大部分隐藏在载体图像文件(通常是PNG)中。一旦进入计算机,它就会窃取计算机上的文件,从而使其成为间谍软件。恶意软件通常属于多个类别。Titanium还会更改受感染计算机上的配置设置并接收来自远程控制服务器的命令。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/58602.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年5月16日 上午12:31
下一篇 2024年5月16日 上午12:33

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注