要选择可检测对象的类型,请执行以下操作:
子分类:病毒和蠕虫 (Viruses_and_Worms)
威胁级别:高
典型的病毒和蠕虫会执行未经用户授权的操作。它们会创建可自我复制的副本。
典型病毒
典型病毒侵入计算机后,会感染文件,激活并执行恶意操作,以及将自身的副本添加到其他文件中。
典型病毒仅在计算机本地资源上复制副本,不会自行侵入其他计算机。仅当该病毒将其副本添加至存储在共享文件夹或放入计算机中的 CD 中的文件时,或者在用户发送附有受感染文件的电子邮件消息时,该病毒才会传染给其他计算机。
典型病毒代码可以入侵计算机、操作系统和应用程序的各种区域。根据具体的环境,病毒可分为文件病毒、引导区病毒、脚本病毒和宏病毒。
病毒可以使用多种不同的技术来感染文件。覆盖病毒会使用其代码覆盖受感染文件的代码,从而抹除文件的内容。感染的文件会停止发挥作用,且无法恢复。寄生病毒会修改文件,从而使自身发挥全部或部分功能。伴随病毒不会修改文件,而是创建副本。当您打开受感染的文件时会启动该文件的副本(实际上是病毒)。您也会遇到以下类型的病毒:链接病毒、OBJ 病毒、LIB 病毒、源代码病毒和许多其他病毒。
蠕虫
与典型病毒一样,蠕虫在侵入计算机后,其代码将激活并执行恶意操作。之所以称为蠕虫,是因为它们能够从一台计算机“爬”到另一台计算机,并不需用户权限即可通过许多数据通道来传播副本。
可用于区分各种类型蠕虫的主要特征是蠕虫的传播方式。下表提供了各种类型蠕虫的概览,这些蠕虫按其传播方式进行了分类。
蠕虫传播方式
类型 |
名称 |
描述 |
---|---|---|
电子邮件蠕虫 |
电子邮件蠕虫 |
这些蠕虫通过电子邮件传播。 受感染的电子邮件消息包含带有蠕虫副本的附件,或指向上传到可能已被攻击或者专门创建用于传播蠕虫的网站上某文件的链接。打开该附件时,蠕虫将被激活。在您单击该链接,进行下载,然后打开文件时,蠕虫还会开始执行其恶意操作。之后,蠕虫会继续传播其副本,搜索其他电子邮件地址,并向它们发送受感染的邮件。 |
IM 蠕虫 |
IM 客户端蠕虫 |
它们通过 IM 传播。 通常,此类蠕虫会利用用户的联系人列表发送消息,其中包含指向某网站上带有蠕虫副本的文件的链接。用户下载并打开文件时,蠕虫将被激活。 |
IRC 蠕虫 |
互联网聊天蠕虫 |
这些蠕虫会通过互联网中继聊天(允许通过互联网与其他人实时通信的服务系统)传播。 这些蠕虫会在互联网聊天中年发布包含自身副本的文件或指向该文件的链接。用户下载并打开文件时,蠕虫将被激活。 |
网络蠕虫 |
网络蠕虫 |
这些蠕虫通过计算机网络传播。 与其他类型的蠕虫不同,典型的网络蠕虫不需用户参与即可传播。它会扫描本地网来寻找安装了有漏洞的程序的计算机。为此,它会发送特殊格式的网络数据包(漏洞),其中包含蠕虫代码或部分蠕虫代码。如果网络上存在“有漏洞”的计算机,该计算机会接收到此种网络数据包。蠕虫完全入侵计算机后,将被激活。 |
P2P 蠕虫 |
文件共享网络蠕虫 |
它们通过点对点文件共享网络传播。 为了渗透到 P2P 网络,蠕虫会将自身复制到通常位于用户计算机上的文件共享文件夹中。P2P 网络会显示有关该文件的信息,以便用户可以在网络中像任何其他文件一样“找到”受感染的文件,然后下载并打开该文件。 更加狡猾的蠕虫会模仿特定 P2P 网络的网络协议:它们会返回对搜索程序的积极响应,并提供自身的副本供下载。 |
蠕虫 |
其他类型的蠕虫 |
其他类型的蠕虫包括:
|
子类别:木马
威胁级别:高
与蠕虫和病毒不同,木马不能进行自我复制。例如,用户访问受感染的网页时,它们会通过电子邮件或浏览器侵入计算机。木马通过用户参与而启动。木马启动后即会开始执行恶意操作。
在受感染的计算机上,不同的木马会表现出不同的行为。木马的主要功能包括阻止、修改或破坏信息,以及禁用计算机或网络。木马还可以接收或发送文件,在屏幕上显示消息,请求网页,下载和安装程序,以及重启计算机。
黑客通常使用各种不同木马的“集合”。
下表中介绍了木马行为的类型。
受感染计算机上木马行为的类型
类型 |
名称 |
描述 |
---|---|---|
木马炸弹 |
木马 –“压缩文件炸弹” |
解压缩时,这些压缩文件的大小会急剧增加,从而影响计算机的操作。 用户尝试解压缩这种压缩文件时,计算机可能会运行缓慢或停止运行;硬盘可能会充满“空白”数据。“压缩文件炸弹”对于文件和邮件服务器尤为危险。如果服务器使用自动系统处理接收信息,则“压缩文件炸弹”可能会中断服务器运行。 |
后门 |
用于远程管理的木马 |
此种木马被视为最危险的木马类型。在功能方面,这些木马与安装在计算机上的远程管理应用程序相似。 这些程序会在不被用户发觉的情况下将自身安装到计算机上,以便入侵者远程管理计算机。 |
木马 |
木马 |
木马包括以下恶意应用程序:
|
勒索木马 |
勒索木马 |
这些木马将用户信息作为“人质”,修改或阻止信息,或者影响计算机的操作,以使用户无法使用信息。入侵者向用户进行勒索,许诺发送应用程序来恢复计算机的性能以及计算机上存储的数据。 |
木马点击器 |
木马点击器 |
这些木马通过自行向浏览器发送命令或更改在操作系统文件中指定的网址的方式,从用户的计算机访问网页。 通过使用这些程序,入侵者进行网络攻击并提高网站访问量,从而增加条幅广告的显示次数。 |
木马下载器 |
木马下载器 |
这些木马会访问入侵者的网页,从中下载其他恶意应用程序,并将它们安装到用户的计算机。这些木马包含要下载的恶意应用程序的文件名,或从访问的网页中接收该文件名。 |
木马释放器 |
木马释放器 |
这些木马包含安装在硬盘驱动器上并随后进行安装的其他木马。 入侵者可能会使用木马释放器类型的程序来达到以下目的:
|
通知型木马 |
通知型木马 |
这些木马会通知入侵者受感染的计算机可供访问,并向入侵者发送有关计算机的信息:IP 地址、已开放端口号或电子邮件地址。它们通过电子邮件、FTP、访问入侵者的网页或以其他方式与入侵者联系。 通知型木马类型的程序通常用于包含多种木马的集合中。这些木马会通知入侵者其他木马已成功安装到用户的计算机。 |
代理型木马 |
代理型木马 |
这些木马允许入侵者使用用户的计算机匿名访问网页,它们通常用于发送垃圾邮件。 |
盗号木马 |
密码盗窃软件 |
密码盗劫软件是盗窃用户账户(如软件注册数据)的一种木马。这些木马会查找系统文件和注册表中的机密数据,并通过电子邮件、FTP、访问入侵者的网页或以其他方式将其发送给“攻击者”。 部分这些木马分类为此表中描述的单独类型。这些木马会盗窃银行账户(网银窃贼木马),窃取 IM 客户端用户的数据(IM 木马),以及盗窃在线游戏用户的信息(游戏窃贼木马)。 |
间谍木马 |
间谍木马 |
这些木马暗中监视用户,收集有关用户使用计算机时所做的操作的信息。它们可能会拦截用户通过键盘输入的数据,截取屏幕,或收集活动应用程序的列表。收到信息后,这些木马会通过电子邮件、FTP、访问入侵者的网页或以其他方式将信息传输给入侵者。 |
分布式拒绝服务攻击木马 |
木马网络攻击者 |
这些木马会从用户计算机将大量请求发送至远程服务器。服务器缺少资源来处理所有请求,因此会停止运行(拒绝服务,或简称为 DoS)。黑客通常会使用这些程序感染许多计算机,以使用这些计算机来同时攻击一个服务器。 DoS 程序在用户知悉的情况下从一台计算机发起攻击。DDoS(分布式 DoS)程序在不被受感染计算机用户发觉的情况下从多台计算机发起分布式攻击。 |
盗号木马 |
从 IM 客户端用户那里窃取信息的木马 |
它们会窃取 IM 客户端用户的帐号和密码。这些木马会通过电子邮件、FTP、访问入侵者的网页或以其他方式将数据传输给入侵者。 |
Rootkit |
Rootkit |
这些木马会掩盖其他恶意应用程序及其活动,从而延长这些应用程序在操作系统中持续存在的时间。它们还会隐藏文件、受感染计算机内存中的进程或运行恶意应用程序的注册表键。Rootkit 会掩盖用户计算机上的应用程序与网络上其他计算机之间进行的数据交换。 |
SMS木马 |
SMS格式的木马 |
这些木马会感染手机,向额外收费的手机号码发送 SMS。 |
游戏窃贼木马 |
从在线游戏用户那里窃取信息的木马 |
这些木马会窃取在线游戏用户的账户凭据,然后将这些凭据通过电子邮件、FTP、访问黑客的网页或以其他方式发送给黑客。 |
网银窃贼木马 |
窃取银行账户的木马 |
这些木马会窃取银行账户数据或电子货币系统数据;将这些数据通过电子邮件、FTP、访问黑客的网页或以其他方式发送给黑客。 |
邮件侦测木马 |
收集电子邮件地址的木马 |
这些木马会收集存储在计算机上的电子邮件地址,然后通过电子邮件、FTP、访问入侵者的网页或以其他方式将它们发送给入侵者。入侵者可能会向收集到的地址发送垃圾邮件。 |
子类别:恶意工具
危险级别:中
与其他类型的恶意软件不同,恶意工具在启动过后不会执行其操作。恶意工具可以在用户的计算机上安全地存储和启动。入侵者通常使用这些程序的功能来创建病毒、蠕虫和木马,对远程服务器进行网络入侵,攻击计算机或执行其他恶意操作。
恶意工具的各种功能按下表中所述的类型进行分组。
恶意工具的功能
类型 |
名称 |
描述 |
---|---|---|
构建器 |
构建器 |
通过它们可以创建新的病毒、蠕虫和木马。一些构建器扬言构建了基于窗口的标准界面,用户可在该界面中选择要创建的恶意应用程序的类型,对付调试程序的方式,以及其他功能。 |
拒绝服务攻击 |
网络攻击 |
这些木马会从用户计算机将大量请求发送至远程服务器。服务器缺少资源来处理所有请求,因此会停止运行(拒绝服务,或简称为 DoS)。 |
漏洞 |
漏洞 |
“漏洞”是一组数据或程序代码,利用处理它们的应用程序的缺陷对计算机执行恶意操作。例如,漏洞可以写入或读取文件,或请求“受感染”的网页。 不同的漏洞会利用不同应用程序或网络服务的缺陷。漏洞会伪装成网络数据包通过网络传输到许多计算机,然后搜索网络服务存在缺陷的计算机。DOC 文件中的漏洞会利用文本编辑器的缺陷。在用户打开受感染的文件时,它可能会开始执行黑客编程的操作。嵌入在电子邮件消息中的漏洞会搜索电子邮件客户端的缺陷。用户在电子邮件客户端中打开受感染的邮件时,漏洞会立即开始执行恶意操作。 网络蠕虫会使用漏洞通过网络进行传播。Nuker 漏洞是可禁用计算机的网络数据包。 |
文件加密器 |
加密器 |
加密器会加密其他恶意应用程序,以隐藏它们不被反病毒应用程序发现。 |
洪水攻击器 |
用于“污染”网络的程序 |
这些程序会通过网络通道发送大量邮件。例如,该类型的工具包括污染互联网中继聊天的程序。 洪水攻击器工具不包括“污染”电子邮件、IM 客户端以及移动通信系统所使用通道的程序。这些程序可分为表中介绍的各种类型(电子邮件洪水攻击器、IM 洪水攻击器和 SMS 洪水攻击器)。 |
黑客工具 |
黑客工具 |
这些工具可以破坏其所在的计算机,或攻击其他计算机(例如,未经用户许可添加新系统账户,或清除系统日志以隐藏在操作系统中的存在路径)。这种类型的工具包括一些具有恶意功能的嗅探器,例如密码截取。嗅探器是允许查看网络流量的程序。 |
恶作剧程序 |
恶作剧程序 |
这些程序会警告用户类似病毒的消息:它们可能会在未受感染的文件中“检测到病毒”,或通知用户磁盘已被格式化,尽管这些情况实际并未发生。 |
地址欺骗程序 |
地址欺骗工具 |
这些工具使用伪造的发件人地址发送邮件和网络请求。例如,入侵者会使用地址欺骗程序类型的工具来掩盖他们作为邮件实际发件人的事实。 |
病毒修改工具 |
修改恶意应用程序的工具 |
通过这些工具可以修改其他恶意软件,隐藏它们不被反病毒程序发现。 |
电子邮件洪水攻击器 |
“污染”电子邮件地址的程序 |
这些程序会向各种电子邮件地址发送大量邮件,从而“污染”这些地址。大量的接收邮件会妨碍用户查看收件箱中的有用邮件。 |
IM 洪水攻击器 |
“污染”IM 流量的程序 |
它们向 IM 的用户发送大量消息。大量的信息会妨碍用户查看有用的接收信息。 |
SMS 洪水攻击器 |
使用 SMS“污染”流量的程序 |
这些程序向手机发送大量 SMS。 |
子类别:广告软件;
威胁级别:中
广告软件向用户显示广告信息。广告软件程序会在其他程序的界面中显示条幅广告,并将搜索查询重定向至广告网页。某些广告软件程序会收集有关用户的营销信息,并将其发送给开发者:该信息可能包括用户访问的网站的名称,或用户搜索查询的内容。与间谍木马类型的程序不同,广告软件程序会在用户许可的情况下将该信息发送给开发者。
子类别:可能会被犯罪分子用来破坏计算机或个人数据的合法软件。
危险级别:中
大多数这些应用程序都很有用,因此有许多用户使用它们。这些应用程序包括 IRC 客户端、自动拨号程序、文件下载程序、计算机系统活动监控器、密码实用程序以及用于 FTP、HTTP 和 Telnet 的互联网服务器。
但是,如果入侵者获得了这些程序的访问权限,或如果他们在用户的计算机上安置这些程序,应用程序的某些功能可能会被用来危害安全。
这些应用程序具有不同的功能,下表介绍了它们的类型。
类型 |
名称 |
描述 |
---|---|---|
客户端 IRC |
互联网聊天客户端 |
用户安装这些程序与他人进行互联网中继聊天。入侵者使用这些程序来传播恶意软件。 |
拨号器 |
自动拨号程序 |
它们可以在隐藏模式下通过调制解调器建立电话连接。 |
下载器 |
用于下载的程序 |
这些程序可以在隐藏模式下从网页下载文件。 |
监控器 |
用于监控的程序 |
这些程序可监控其安装到的计算机上的活动(查看哪些应用程序正在活动,以及它们如何与安装在其他计算机上的应用程序交换数据)。 |
密码工具 |
密码恢复器 |
通过它们可以查看和恢复已忘记的密码。入侵者出于相同的目的,秘密地将它们安置在用户的计算机上。 |
远程管理程序 |
远程管理程序 |
系统管理员广泛使用的一些程序。通过这些程序可以获取对远程计算机界面的访问权限,以监控和管理该计算机。入侵者出于同样的目的,秘密地将它们安置在用户的计算机上:用于监控和管理远程计算机。 合法的远程管理程序与实现远程管理的后门类型的木马不同。木马能够独自入侵操作系统并自行安装;合法的程序则无法做到这些。 |
FTP 服务程序 |
FTP 服务器 |
这些程序可起到 FTP 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 FTP 对该计算机的远程访问。 |
代理服务程序 |
代理服务器 |
这些程序可起到代理服务器的作用。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。 |
Telnet 服务程序 |
Telnet 服务器 |
这些程序可起到 Telnet 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 Telnet 对该计算机的远程访问。 |
Web 服务程序 |
Web 服务器 |
这些程序可起到 Web 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 HTTP 对该计算机的远程访问。 |
风险工具 |
在本地计算机上工作的工具 |
在用户自己的计算机上工作时,这些工具会为用户提供其他选项。通过这些工具,用户可以隐藏文件或活动应用程序的窗口,并终止活动的进程。 |
网络工具 |
网络工具 |
与网络上的其他计算机配合工作时,这些工具会为用户提供其他选项。通过这些工具可以进行重启,检测开放的端口,以及启动安装在计算机上的应用程序。 |
P2P 客户端 |
P2P 网络客户端 |
通过它们可以在对等网络中工作。入侵者可能会利用它们传播恶意软件。 |
客户端 SMTP |
SMTP 客户端 |
它们未经用户的同意便发送电子邮件。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。 |
Web 工具栏 |
Web 工具栏 |
它们会向其他应用程序的界面中添加工具栏,以使用搜索引擎。 |
欺骗工具 |
欺骗程序 |
这些程序将自己伪装为其他程序。例如,一些欺骗反病毒程序会显示有关恶意软件检测的信息。但实际上,它们并未找到任何内容或进行清除。 |
子类别:可能会被犯罪分子用来破坏计算机或个人数据的合法软件。
危险级别:中
大多数这些应用程序都很有用,因此有许多用户使用它们。这些应用程序包括 IRC 客户端、自动拨号程序、文件下载程序、计算机系统活动监控器、密码实用程序以及用于 FTP、HTTP 和 Telnet 的互联网服务器。
但是,如果入侵者获得了这些程序的访问权限,或如果他们在用户的计算机上安置这些程序,应用程序的某些功能可能会被用来危害安全。
这些应用程序具有不同的功能,下表介绍了它们的类型。
类型 |
名称 |
描述 |
---|---|---|
客户端 IRC |
互联网聊天客户端 |
用户安装这些程序与他人进行互联网中继聊天。入侵者使用这些程序来传播恶意软件。 |
拨号器 |
自动拨号程序 |
它们可以在隐藏模式下通过调制解调器建立电话连接。 |
下载器 |
用于下载的程序 |
这些程序可以在隐藏模式下从网页下载文件。 |
监控器 |
用于监控的程序 |
这些程序可监控其安装到的计算机上的活动(查看哪些应用程序正在活动,以及它们如何与安装在其他计算机上的应用程序交换数据)。 |
密码工具 |
密码恢复器 |
通过它们可以查看和恢复已忘记的密码。入侵者出于相同的目的,秘密地将它们安置在用户的计算机上。 |
远程管理程序 |
远程管理程序 |
系统管理员广泛使用的一些程序。通过这些程序可以获取对远程计算机界面的访问权限,以监控和管理该计算机。入侵者出于同样的目的,秘密地将它们安置在用户的计算机上:用于监控和管理远程计算机。 合法的远程管理程序与实现远程管理的后门类型的木马不同。木马能够独自入侵操作系统并自行安装;合法的程序则无法做到这些。 |
FTP 服务程序 |
FTP 服务器 |
这些程序可起到 FTP 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 FTP 对该计算机的远程访问。 |
代理服务程序 |
代理服务器 |
这些程序可起到代理服务器的作用。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。 |
Telnet 服务程序 |
Telnet 服务器 |
这些程序可起到 Telnet 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 Telnet 对该计算机的远程访问。 |
Web 服务程序 |
Web 服务器 |
这些程序可起到 Web 服务器的作用。入侵者将它们安置在用户计算机上,以打开通过 HTTP 对该计算机的远程访问。 |
风险工具 |
在本地计算机上工作的工具 |
在用户自己的计算机上工作时,这些工具会为用户提供其他选项。通过这些工具,用户可以隐藏文件或活动应用程序的窗口,并终止活动的进程。 |
网络工具 |
网络工具 |
与网络上的其他计算机配合工作时,这些工具会为用户提供其他选项。通过这些工具可以进行重启,检测开放的端口,以及启动安装在计算机上的应用程序。 |
P2P 客户端 |
P2P 网络客户端 |
通过它们可以在对等网络中工作。入侵者可能会利用它们传播恶意软件。 |
客户端 SMTP |
SMTP 客户端 |
它们未经用户的同意便发送电子邮件。入侵者将它们安置在用户计算机上,以用户名义发送垃圾邮件。 |
Web 工具栏 |
Web 工具栏 |
它们会向其他应用程序的界面中添加工具栏,以使用搜索引擎。 |
欺骗工具 |
欺骗程序 |
这些程序将自己伪装为其他程序。例如,一些欺骗反病毒程序会显示有关恶意软件检测的信息。但实际上,它们并未找到任何内容或进行清除。 |
Kaspersky Endpoint Security 会扫描 SFX(自解压)存档中的压缩对象和解包工具模块。
为了隐藏危险程序不被反病毒应用程序发现,入侵者会使用特殊解包工具存档将这些程序,或创建多重压缩文件。
Kaspersky 病毒分析人员已识别出黑客最常使用的解包工具。
如果 Kaspersky Endpoint Security 在文件中检测到此种打包工具,则该文件很可能包含恶意应用程序或可被犯罪分子用来破坏计算机或个人数据的应用程序。
Kaspersky Endpoint Security 挑选出了以下类型的程序:
Kaspersky Endpoint Security 会扫描 SFX(自解压)存档中的压缩对象和解包工具模块。
为了隐藏危险程序不被反病毒应用程序发现,入侵者会使用特殊解包工具存档将这些程序,或创建多重压缩文件。
Kaspersky 病毒分析人员已识别出黑客最常使用的解包工具。
如果 Kaspersky Endpoint Security 在文件中检测到此种打包工具,则该文件很可能包含恶意应用程序或可被犯罪分子用来破坏计算机或个人数据的应用程序。
Kaspersky Endpoint Security 挑选出了以下类型的程序:
可检测对象的类型