若要選取可偵測的威脅類型,請執行以下操作:
子分類:病毒和蠕蟲 (Viruses_and_Worms)
威脅等級:高
典型的病毒和蠕蟲會執行未經使用者授權的操作。它們會建立可自我複製的副本。
典型病毒
典型病毒侵入電腦後,會感染檔案,啟動並執行惡意操作,以及將自身的副本新增到其他檔案中。
典型病毒僅在電腦本機資源上複製副本,不會自行侵入其他電腦。僅當此病毒將其副本新增至儲存在共用資料夾或放入電腦中的 CD 中的檔案時,或者在使用者傳送附有受感染檔案的電子郵件訊息時,此病毒才會傳染給其他電腦。
典型病毒代碼可以入侵電腦、作業系統和應用程式的各種區域。根據具體的環境,病毒可分為檔案病毒、引導磁區病毒、指令碼病毒和巨集病毒。
病毒可以使用多種不同的技術來感染檔案。覆蓋病毒會使用其代碼覆蓋受感染檔案的代碼,從而抹除檔案的內容。感染的檔案會停止發揮作用,且無法還原。寄生病毒會修改檔案,從而使自身發揮全部或部分功能。伴隨病毒不會修改檔案,而是建立副本。當您開啟受感染的檔案時會啟動此檔案的副本(實際上是病毒)。您也會遇到以下類型的病毒:連結病毒、OBJ 病毒、LIB 病毒、原始程式碼病毒和許多其他病毒。
蠕蟲
與典型病毒一樣,蠕蟲在侵入電腦後,其代碼將啟動並執行惡意操作。之所以稱為蠕蟲,是因為它們能夠從一台電腦“爬”到另一台電腦,並不需使用者權限即可透過許多資料通道來傳播副本。
可用於區分各種類型蠕蟲的主要特徵是蠕蟲的傳播方式。下表提供了各種類型蠕蟲的概覽,這些蠕蟲按其傳播方式進行了分類。
蠕蟲傳播方式
類型 |
名稱 |
描述 |
---|---|---|
電子郵件蠕蟲 |
電子郵件蠕蟲 |
這些蠕蟲透過電子郵件傳播。 受感染的電子郵件訊息包含帶有蠕蟲副本的附件,或指向上傳到可能已被攻擊或者專門建立用於傳播蠕蟲的網站上某檔案的連結。開啟此附件時,蠕蟲將被啟動。在您點擊此連結,進行下載,然後開啟檔案時,蠕蟲還會開始執行其惡意操作。之後,蠕蟲會繼續傳播其副本,搜尋其他電子郵件信箱,並向它們傳送受感染的郵件。 |
IM 蠕蟲 |
即時通訊用戶端蠕蟲 |
它們透過 IM 傳播。 通常,此類蠕蟲會利用使用者的連絡人清單傳送訊息,其中包含指向某網站上帶有蠕蟲副本的檔案的連結。使用者下載並開啟檔案時,蠕蟲將被啟動。 |
IRC 蠕蟲 |
網際網路聊天蠕蟲 |
這些蠕蟲會透過網際網路中繼聊天(允許透過網際網路與其他人即時通信的服務系統)傳播。 這些蠕蟲會在網際網路聊天中發佈包含自身副本的檔案或指向此檔案的連結。使用者下載並開啟檔案時,蠕蟲將被啟動。 |
網路蠕蟲 |
網路蠕蟲 |
這些蠕蟲透過電腦網路傳播。 與其他類型的蠕蟲不同,典型的網路蠕蟲不需使用者參與即可傳播。它會掃描區域網路來尋找安裝了有弱點的程式的電腦。為此,它會傳送特殊格式的網路封包(弱點),其中包含蠕蟲代碼或部分蠕蟲代碼。如果網路上存在“有弱點”的電腦,此電腦會接收到此種網路封包。蠕蟲完全入侵電腦後,將被啟動。 |
P2P 蠕蟲 |
檔案共用網路蠕蟲 |
它們透過點對點檔案共用網路傳播。 為了滲透到 P2P 網路,蠕蟲會將自身複製到通常位於使用者電腦上的檔案共用資料夾中。P2P 網路會顯示有關此檔案的資訊,以便使用者可以在網路中像任何其他檔案一樣“找到”受感染的檔案,然後下載並開啟此檔案。 更加狡猾的蠕蟲會模仿特定 P2P 網路的網路協定:它們會返回對搜尋程式的積極回應,並提供自身的副本供下載。 |
蠕蟲 |
其他類型的蠕蟲 |
其他類型的蠕蟲包括:
|
子類別:木馬程式
威脅等級:高
與蠕蟲和病毒不同,木馬不能進行自我複製。例如,使用者存取受感染的網頁時,它們會透過電子郵件或瀏覽器侵入電腦。木馬透過使用者參與而啟動。木馬啟動後即會開始執行惡意操作。
在受感染的電腦上,不同的木馬會表現出不同的行為。木馬的主要功能包括封鎖、修改或破壞資訊,以及停用電腦或網路。木馬還可以接收或傳送檔案,在螢幕上顯示訊息,請求網頁,下載和安裝程式,以及重新啟動電腦。
駭客通常使用各種不同木馬的“集合”。
下表中介紹了木馬行為的類型。
受感染電腦上木馬行為的類型
類型 |
名稱 |
描述 |
---|---|---|
木馬炸彈 |
木馬 –“壓縮檔案炸彈” |
解壓縮時,這些壓縮檔案的大小會急劇增加,從而影響電腦的操作。 使用者嘗試解壓縮這種壓縮檔案時,電腦可能會執行緩慢或停止執行;硬碟可能會充滿“空白”資料。“壓縮檔案炸彈”對於檔案和郵件伺服器尤為危險。如果伺服器使用自動系統處理接收資訊,則“壓縮檔案炸彈”可能會中斷伺服器執行。 |
後門 |
用於遠端管理的木馬 |
此種木馬被視為最危險的木馬類型。在功能方面,這些木馬與安裝在電腦上的遠端管理應用程式相似。 這些程式會在不被使用者發覺的情況下將自身安裝到電腦上,以便入侵者遠端管理電腦。 |
木馬 |
木馬 |
木馬包括以下惡意應用程式:
|
勒索木馬 |
勒索木馬 |
這些木馬將使用者資訊作為“人質”,修改或封鎖資訊,或者影響電腦的操作,以使使用者無法使用資訊。入侵者向使用者進行勒索,許諾傳送應用程式來還原電腦的效能以及電腦上儲存的資料。 |
木馬點擊器 |
木馬點擊器 |
這些木馬透過自行向瀏覽器傳送指令或變更在作業系統檔案中指定的網址的方式,從使用者的電腦存取網頁。 透過使用這些程式,入侵者進行網路攻擊並提高網站存取量,從而增加條幅廣告的顯示次數。 |
木馬下載器 |
木馬下載器 |
這些木馬會存取入侵者的網頁,從中下載其他惡意應用程式,並將它們安裝到使用者的電腦。這些木馬包含要下載的惡意應用程式的檔案名稱,或從存取的網頁中接收此檔案名稱。 |
木馬釋放器 |
木馬釋放器 |
這些木馬包含安裝在硬碟磁碟機上並隨後進行安裝的其他木馬。 入侵者可能會使用木馬釋放器類型的程式來達到以下目的:
|
通知型木馬 |
通知型木馬 |
這些木馬會通知入侵者受感染的電腦可供存取,並向入侵者傳送有關電腦的資訊:IP 位址、已開放埠號或電子郵件信箱。它們透過電子郵件、FTP、存取入侵者的網頁或以其他方式與入侵者聯絡。 通知型木馬類型的程式通常用於包含多種木馬的集合中。這些木馬會通知入侵者其他木馬已成功安裝到使用者的電腦。 |
代理型木馬 |
代理型木馬 |
這些木馬允許入侵者使用使用者的電腦匿名存取網頁,它們通常用於傳送垃圾郵件。 |
盜號木馬 |
密碼竊盜軟體 |
密碼竊盜軟體是竊盜使用者帳戶(如軟體註冊資料)的一種木馬。這些密碼會尋找系統檔案和登錄檔中包含的機密資料,並透過電子郵件、FTP、存取入侵者的網頁或以其他方式將機密資料傳送給“攻擊者”。 部分這些木馬分類為此表中敘述的單獨類型。這些木馬會盜竊銀行帳戶(網銀竊賊木馬),竊取 IM 用戶端使用者的資料(IM 木馬),以及盜竊線上遊戲使用者的資訊(遊戲竊賊木馬)。 |
間諜木馬 |
間諜木馬 |
這些木馬暗中監視使用者,收集有關使用者使用電腦時所做的操作的資訊。它們可能會攔截使用者透過鍵盤輸入的資料,截取螢幕,或收集活動應用程式的清單。收到資訊後,這些木馬會透過電子郵件、FTP、存取入侵者的網頁或以其他方式將資訊傳輸給入侵者。 |
分散式拒絕服務攻擊木馬 |
木馬網路攻擊者 |
這些木馬會從使用者電腦將大量請求傳送至遠端伺服器。伺服器缺少資源來處理所有請求,因此會停止執行(拒絕服務,或簡稱為 DoS)。駭客通常會使用這些程式感染許多電腦,以使用這些電腦來同時攻擊一個伺服器。 DoS 程式在使用者知悉的情況下從一台電腦發起攻擊。DDoS(分散式 DoS)程式在不被受感染電腦使用者發覺的情況下從多台電腦發起分散式攻擊。 |
木馬 IM |
從 IM 用戶端使用者那裡竊取資訊的木馬 |
它們會竊取 IM 用戶端使用者的帳戶和密碼。這些木馬會透過電子郵件、FTP、存取入侵者的網頁或以其他方式將資料傳輸給入侵者。 |
Rootkit |
Rootkits |
這些木馬會掩蓋其他惡意應用程式及其活動,從而延長這些應用程式在作業系統中持續存在的時間。它們還會隱藏檔案、受感染電腦記憶體中的處理程序或執行惡意應用程式的登錄機碼。Rootkit 會掩蓋使用者電腦上的應用程式與網路上其他電腦之間進行的資料交換。 |
木馬 SMS |
SMS 格式的木馬 |
這些木馬會感染手機,向額外收費的手機號碼傳送 SMS。 |
遊戲竊賊木馬 |
從線上遊戲使用者那裡竊取資訊的木馬 |
這些木馬會竊取線上遊戲使用者的帳戶憑證,然後將這些憑證透過電子郵件、FTP、存取駭客的網頁或以其他方式傳送給駭客。 |
網銀竊賊木馬 |
竊取銀行帳戶的木馬 |
這些木馬會竊取銀行帳戶資料或電子貨幣系統資料,然後將這些資料透過電子郵件、FTP、存取駭客的網頁或以其他方式傳送給駭客。 |
郵件偵測木馬 |
收集電子郵件信箱的木馬 |
這些木馬會收集儲存在電腦上的電子郵件信箱,然後透過電子郵件、FTP、存取入侵者的網頁或以其他方式將它們傳送給入侵者。入侵者可能會向收集到的位址傳送垃圾郵件。 |
子類別:惡意工具
危險等級:中
與其他類型的惡意軟體不同,惡意工具在啟動過後不會執行其操作。惡意工具可以在使用者的電腦上安全地儲存和啟動。入侵者通常使用這些程式的功能來建立病毒、蠕蟲和木馬,對遠端伺服器進行網路入侵,攻擊電腦或執行其他惡意操作。
惡意工具的各種功能按下表中所述的類型進行分組。
惡意工具的功能
類型 |
名稱 |
描述 |
---|---|---|
構建器 |
構建器 |
透過它們可以建立新的病毒、蠕蟲和木馬。一些構建器揚言構建了基於視窗的標準介面,使用者可在此介面中選擇要建立的惡意應用程式的類型,對付偵錯工具的方式,以及其他功能。 |
拒絕服務攻擊 |
網路攻擊 |
這些木馬會從使用者電腦將大量請求傳送至遠端伺服器。伺服器缺少資源來處理所有請求,因此會停止執行(拒絕服務,或簡稱為 DoS)。 |
弱點 |
弱點 |
弱點是一組資料或程式碼,利用處理它們的應用程式的缺陷對電腦執行惡意操作。例如,弱點可以寫入或讀取檔案,或請求“受感染”的網頁。 不同的弱點會利用不同應用程式或網路服務的缺陷。弱點會偽裝成網路封包透過網路傳輸到許多電腦,然後搜尋網路服務存在缺陷的電腦。DOC 檔案中的弱點會利用文字編輯器的缺陷。在使用者開啟受感染的檔案時,它可能會開始執行駭客程式設計的操作。嵌入在電子郵件訊息中的弱點會搜尋電子郵件用戶端的缺陷。使用者在電子郵件用戶端中開啟受感染的郵件時,弱點會立即開始執行惡意操作。 網路蠕蟲會使用弱點透過網路進行傳播。Nuker 弱點是可停用電腦的網路封包。 |
檔案加密器 |
加密器 |
加密器會加密其他惡意應用程式,以隱藏它們不被防毒應用程式發現。 |
洪水攻擊器 |
用於“污染”網路的程式 |
這些程式會透過網路通道傳送大量郵件。例如,此類型的工具包括污染網際網路中繼聊天的程式。 洪水攻擊器工具不包括“污染”電子郵件、IM 用戶端以及行動通信系統所使用通道的程式。這些程式可分為表中介紹的各種類型(電子郵件洪水攻擊器、IM 洪水攻擊器和 SMS 洪水攻擊器)。 |
駭客工具 |
駭客工具 |
這些工具可以破壞其所在的電腦,或攻擊其他電腦(例如,未經使用者許可新增新系統帳戶,或清除系統日誌以隱藏在作業系統中的存在路徑)。這種類型的工具包括一些具有惡意功能的嗅探器,例如密碼截取。嗅探器是允許檢視網路流量的程式。 |
惡作劇程式 |
惡作劇程式 |
這些程式會警告使用者類似病毒的訊息:它們可能會在未受感染的檔案中“偵測到病毒”,或通知使用者磁碟已被格式化,儘管這些情況實際並未發生。 |
位址欺騙程式 |
位址欺騙工具 |
這些工具使用偽造的寄件者位址傳送郵件和網路請求。例如,入侵者會使用位址欺騙程式類型的工具來掩蓋他們作為郵件實際寄件者的事實。 |
病毒修改工具 |
修改惡意應用程式的工具 |
透過這些工具可以修改其他惡意軟體,隱藏它們不被防毒程式發現。 |
電子郵件洪水攻擊器 |
“污染”電子郵件信箱的程式 |
這些程式會向各種電子郵件信箱傳送大量郵件,從而“污染”這些位址。大量的接收郵件會妨礙使用者檢視收件箱中的有用郵件。 |
IM 洪水攻擊器 |
“污染”IM 流量的程式 |
它們向 IM 的使用者傳送大量訊息。大量的資訊會妨礙使用者檢視有用的接收資訊。 |
SMS 洪水攻擊器 |
使用 SMS“污染”流量的程式 |
這些程式向手機傳送大量 SMS。 |
子類別:廣告軟體;
威脅等級:中
廣告軟體向使用者顯示廣告資訊。廣告軟體程式會在其他程式的介面中顯示條幅廣告,並將搜尋查詢重新導向至廣告網頁。某些廣告軟體程式會收集有關使用者的行銷資訊,並將其傳送給開發者:此資訊可能包括使用者存取的網站的名稱,或使用者搜尋查詢的內容。與間諜木馬類型的程式不同,廣告軟體程式會在使用者許可的情況下將此資訊傳送給開發者。
子類別:可能會被犯罪分子用來破壞電腦或個人資料的合法軟體。
危險等級:中
大多數這些應用程式都很有用,因此有許多使用者使用它們。這些應用程式包括 IRC 用戶端、自動撥號器、檔案下載程式、電腦系統活動監控器、密碼實用程式以及用於 FTP、HTTP 和 Telnet 的網際網路伺服器。
但是,如果入侵者獲得了這些程式的存取權限,或如果他們在使用者的電腦上安置這些程式,應用程式的某些功能可能會被用來危害安全。
這些應用程式具有不同的功能,下表介紹了它們的類型。
類型 |
名稱 |
描述 |
---|---|---|
用戶端 IRC |
網際網路聊天用戶端 |
使用者安裝這些程式與他人進行網際網路中繼聊天。入侵者使用這些程式來傳播惡意軟體。 |
撥號器 |
自動撥號程式 |
它們可以在隱藏模式下透過數據機建立電話連線。 |
下載器 |
用於下載的程式 |
這些程式可以在隱藏模式下從網頁下載檔案。 |
監控器 |
用於監控的程式 |
這些程式可監控其安裝到的電腦上的活動(檢視哪些應用程式正在活動,以及它們如何與安裝在其他電腦上的應用程式交換資料)。 |
密碼工具 |
密碼還原器 |
透過它們可以檢視和還原已忘記的密碼。入侵者出於相同的目的,秘密地將它們安置在使用者的電腦上。 |
遠端管理程式 |
遠端管理程式 |
系統管理員廣泛使用的一些程式。透過這些程式可以獲取對遠端電腦介面的存取權限,以監控和管理此電腦。入侵者出於同樣的目的,秘密地將它們安置在使用者的電腦上:用於監控和管理遠端電腦。 合法的遠端管理程式與實現遠端管理的後門類型的木馬不同。木馬能夠獨自入侵作業系統並自行安裝;合法的程式則無法做到這些。 |
FTP 服務程式 |
FTP 伺服器 |
這些程式可起到 FTP 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 FTP 對此電腦的遠端存取。 |
代理服務程式 |
代理伺服器 |
這些程式可起到代理伺服器的作用。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。 |
Telnet 服務程式 |
Telnet 伺服器 |
這些程式可起到 Telnet 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 Telnet 對此電腦的遠端存取。 |
Web 服務程式 |
Web 伺服器 |
這些程式可起到 Web 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 HTTP 對此電腦的遠端存取。 |
風險工具 |
在本機電腦上工作的工具 |
在使用者自己的電腦上工作時,這些工具會為使用者提供其他選項。透過這些工具,使用者可以隱藏檔案或活動應用程式的視窗,並終止活動的處理程序。 |
網路工具 |
網路工具 |
與網路上的其他電腦配合工作時,這些工具會為使用者提供其他選項。透過這些工具可以進行重新啟動,偵測開放的連接埠,以及啟動安裝在電腦上的應用程式。 |
P2P 用戶端 |
P2P 網路用戶端 |
透過它們可以在對等網路中工作。入侵者可能會利用它們傳播惡意軟體。 |
用戶端 SMTP |
SMTP 用戶端 |
它們未經使用者的同意便傳送電子郵件。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。 |
Web 工具列 |
Web 工具列 |
它們會向其他應用程式的介面中新增工具列,以使用搜尋引擎。 |
欺騙工具 |
欺騙程式 |
這些程式將自己偽裝為其他程式。例如,一些欺騙防毒程式會顯示有關惡意軟體偵測的資訊。但實際上,它們並未找到任何內容或進行解毒。 |
子類別:可能會被犯罪分子用來破壞電腦或個人資料的合法軟體。
危險等級:中
大多數這些應用程式都很有用,因此有許多使用者使用它們。這些應用程式包括 IRC 用戶端、自動撥號器、檔案下載程式、電腦系統活動監控器、密碼實用程式以及用於 FTP、HTTP 和 Telnet 的網際網路伺服器。
但是,如果入侵者獲得了這些程式的存取權限,或如果他們在使用者的電腦上安置這些程式,應用程式的某些功能可能會被用來危害安全。
這些應用程式具有不同的功能,下表介紹了它們的類型。
類型 |
名稱 |
描述 |
---|---|---|
用戶端 IRC |
網際網路聊天用戶端 |
使用者安裝這些程式與他人進行網際網路中繼聊天。入侵者使用這些程式來傳播惡意軟體。 |
撥號器 |
自動撥號程式 |
它們可以在隱藏模式下透過數據機建立電話連線。 |
下載器 |
用於下載的程式 |
這些程式可以在隱藏模式下從網頁下載檔案。 |
監控器 |
用於監控的程式 |
這些程式可監控其安裝到的電腦上的活動(檢視哪些應用程式正在活動,以及它們如何與安裝在其他電腦上的應用程式交換資料)。 |
密碼工具 |
密碼還原器 |
透過它們可以檢視和還原已忘記的密碼。入侵者出於相同的目的,秘密地將它們安置在使用者的電腦上。 |
遠端管理程式 |
遠端管理程式 |
系統管理員廣泛使用的一些程式。透過這些程式可以獲取對遠端電腦介面的存取權限,以監控和管理此電腦。入侵者出於同樣的目的,秘密地將它們安置在使用者的電腦上:用於監控和管理遠端電腦。 合法的遠端管理程式與實現遠端管理的後門類型的木馬不同。木馬能夠獨自入侵作業系統並自行安裝;合法的程式則無法做到這些。 |
FTP 服務程式 |
FTP 伺服器 |
這些程式可起到 FTP 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 FTP 對此電腦的遠端存取。 |
代理服務程式 |
代理伺服器 |
這些程式可起到代理伺服器的作用。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。 |
Telnet 服務程式 |
Telnet 伺服器 |
這些程式可起到 Telnet 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 Telnet 對此電腦的遠端存取。 |
Web 服務程式 |
Web 伺服器 |
這些程式可起到 Web 伺服器的作用。入侵者將它們安置在使用者電腦上,以開啟透過 HTTP 對此電腦的遠端存取。 |
風險工具 |
在本機電腦上工作的工具 |
在使用者自己的電腦上工作時,這些工具會為使用者提供其他選項。透過這些工具,使用者可以隱藏檔案或活動應用程式的視窗,並終止活動的處理程序。 |
網路工具 |
網路工具 |
與網路上的其他電腦配合工作時,這些工具會為使用者提供其他選項。透過這些工具可以進行重新啟動,偵測開放的連接埠,以及啟動安裝在電腦上的應用程式。 |
P2P 用戶端 |
P2P 網路用戶端 |
透過它們可以在對等網路中工作。入侵者可能會利用它們傳播惡意軟體。 |
用戶端 SMTP |
SMTP 用戶端 |
它們未經使用者的同意便傳送電子郵件。入侵者將它們安置在使用者電腦上,以使用者名義傳送垃圾郵件。 |
Web 工具列 |
Web 工具列 |
它們會向其他應用程式的介面中新增工具列,以使用搜尋引擎。 |
欺騙工具 |
欺騙程式 |
這些程式將自己偽裝為其他程式。例如,一些欺騙防毒程式會顯示有關惡意軟體偵測的資訊。但實際上,它們並未找到任何內容或進行解毒。 |
Kaspersky Endpoint Security 會掃描 SFX(自解壓)存檔中的壓縮物件和解壓縮工具模組。
為了隱藏危險程式不被防毒應用程式發現,入侵者會使用特殊解壓縮工具存檔這些程式,或建立多重壓縮檔案。
Kaspersky 病毒分析人員已識別出駭客最常使用的解壓縮工具。
如果 Kaspersky Endpoint Security 在檔案中偵測到此種封裝工具,則該檔案很可能包含惡意應用程式或可被犯罪分子用來破壞電腦或個人資料的應用程式。
Kaspersky Endpoint Security 挑選出了以下類型的程式:
Kaspersky Endpoint Security 會掃描 SFX(自解壓)存檔中的壓縮物件和解壓縮工具模組。
為了隱藏危險程式不被防毒應用程式發現,入侵者會使用特殊解壓縮工具存檔這些程式,或建立多重壓縮檔案。
Kaspersky 病毒分析人員已識別出駭客最常使用的解壓縮工具。
如果 Kaspersky Endpoint Security 在檔案中偵測到此種封裝工具,則該檔案很可能包含惡意應用程式或可被犯罪分子用來破壞電腦或個人資料的應用程式。
Kaspersky Endpoint Security 挑選出了以下類型的程式: