從大量各種各樣的專業術語、定義和專用名詞中， 找出和計算機惡意軟件相關的部分是一件非常困難的事情。 因此， 為了保證下面分析的可靠性， 我們首先要確定的就是將用于整篇文章的關鍵術語：

　　· 惡意軟件：所謂惡意軟件指的是專門開發用于在沒有獲得用戶許可的情況下潛入計算機或者給系統造成損害的軟件。

　　· 惡意代碼：惡意代碼指的是惡意的程序代碼， 是基于軟件的應用程序， 通常被稱為惡意軟件的有效部分。

　　· 反惡意軟件工具：這個概念包括了用來處理惡意軟件的所有程序， 不論它是用來進行實時保護， 還是檢測和刪除現有的惡意軟件。 反病毒、反間諜軟件應用和惡意軟件掃描工具都屬于反惡意軟件工具的范疇。

　　關于惡意軟件需要記住的一件重要事情就是， 如同生物一樣， 它的首要目標是復制。 至于破壞計算機系統、銷毀數據或竊取敏感信息， 都是次要的目標。

　　確定了相關的定義后， 就讓我們來看看目前流行的十種不同類型的惡意軟件。

　　1. 臭名昭著的計算機病毒

　　計算機病毒是可以感染計算機的惡意軟件， 但它們需要其它方面的一些手段提供支持。 一個真正的病毒可以通過某種形式的可執行代碼從一臺計算機傳播到另一臺。 舉例來說， 病毒可以隱藏在電子郵件包含的PDF文件中。 大多數病毒包括以下三個方面的功能：

　　· 復制：一旦宿主程序被激活， 病毒和病毒惡意代碼進行的第一個操作就是傳播。

　　· 隱藏：計算機病毒可以采用多種方法隱藏起來， 以防止被反惡意軟件工具發覺。

　　· 有效部分：對于病毒來說惡意代碼的有效部分可以用來進行任何操作， 從關閉計算機到銷毀數據都是可以實現的操作。

　　W32.Sens.A、W32.Sality.AM和W32.Dizan.F就是目前比較流行的計算機病毒實例。 大部分優秀的反病毒軟件都可以在獲得病毒特征碼后將其清除。

　　2. 日益流行的計算機蠕蟲

　　與病毒比起來， 計算機蠕蟲復雜的多， 可以在沒有經過用戶許可的情況下進行復制。 如果惡意軟件利用網絡(因特網)進行傳播， 它屬于蠕蟲的可能性比病毒大得多。 蠕蟲的主要組成部分是：

　　· 入侵工具：利用受害人計算機的漏洞獲取進入方式的惡意代碼。

　　· 安裝工具：入侵工具讓計算機蠕蟲可以繞過系統的安全防護機制。 接下來， 安裝工具就接管了控制權， 并開始將惡意代碼的主體傳輸到受害的計算機上。

　　· 發現工具：一旦安裝完畢， 蠕蟲就會開始使用幾種不同的方法來查找網絡上的其他計算機， 這些方法包括了尋找電子郵件地址、主機列表以及進行DNS信息查詢。

　　· 掃描工具：蠕蟲利用掃描工具來確認新發現的目標計算機中是否存在可以被入侵工具攻擊的漏洞。

　　· 有效部分：駐留在每個受害人計算機上的惡意代碼， 可以利用遠程連接的應用從日志記錄器那里獲取用戶名和密碼。

　　自從1988年莫里斯蠕蟲出現開始， 這種類型已經成為惡意軟件中數量最多的部分。 直到今天， Conficker蠕蟲還在四處感染計算機系統。 包括MBAM、GMER在內的惡意軟件掃描工具可以清除大部分的計算機蠕蟲。

　　3. 未知的后門軟件

　　后門軟件類似我們當中的很多人一直在使用的遠程訪問程序。 它們之所以被當著惡意軟件， 是因為在安裝的時間沒有經過使用者的容許， 而這正是網絡攻擊者想做的事情。 后門軟件通常采用下面給出的安裝模式：

　　· 一種安裝方法是利用目標計算機上的漏洞。

　　· 另一種方法是通過社會工程的方法誘騙用戶， 讓其在不知情的環境下安裝后門軟件。

　　一旦安裝完成， 后門軟件就可以讓攻擊者通過遠程訪問攻擊獲得計算機的完全控制權。 常見的后門軟件包括SubSeven、NetBus、深喉(Deep Throat)、 Back Orifice以及Bionet等等。 通常情況下， 包括MBAM和GMER在內的惡意軟件掃描工具可以成功地清除后門軟件。

　　4. 神秘的特洛伊木馬

　　很難找到比埃德·斯考迪斯和萊尼·澤來特在他們的作品《惡意軟件的真相：我們應該怎樣對抗惡意代碼》中給出的關于特洛伊木馬惡意軟件更好的定義了：

　　“所謂特洛伊木馬， 就是指一種從表面上看起來包含了有用或好的功能， 但實際上是為了掩蓋惡意功能的程序。 ”

　　在安裝的時間， 特洛伊木馬具有破壞性的有效部分會自動運行， 并進行偽裝， 防止反惡意軟件工具發現惡意代碼的存在。 下面列出的偽裝技術就經常會被特洛伊木馬采用：

　　· 重命名：惡意軟件會偽裝成為常見的文件。

　　· 暗中破壞：當系統中已經存在惡意軟件的話， 反惡意軟件工具的安裝往往是無法成功的。

　　· 多態代碼：對代碼進行多態變換可以讓惡意軟件特征碼的更新速度比防御軟件的檢索速度更快， 可以達到隱藏自身的目的。

　　Vundo就是一個最好的例子;它可以欺騙反間諜軟件， 創建彈出的廣告窗口， 降低系統的性能， 并干擾網頁瀏覽活動。 通常情況下。 安裝在LiveCD上的惡意軟件掃描工具可以檢測并清除特洛伊木馬。

　　5. 給人們帶來大量煩惱的廣告軟件/間諜軟件

　　廣告軟件指的是可以在未經用戶許可的情況下創建彈出廣告的軟件。 通常情況下， 廣告軟件是作為一個組成部分安裝在免費軟件中的。 除了非常討人嫌以外， 廣告軟件還會顯著降低計算機的性能。

　　間諜軟件指的是可以在使用者不知情的情況下從計算機上收集信息的軟件。 為什么閱讀用戶協議是非常重要的， 就是因為間諜軟件經常采用臭名昭著的自由軟件作為有效載體。 關于間諜軟件最典型的例子就是， 索尼BMG娛樂公司的光盤復制保護丑聞。

　　大部分反間諜軟件都可以從計算機中快速找出未經許可的廣告軟件/間諜軟件， 并將它們刪除。 定期刪除臨時文件、Cookie和網絡瀏覽器的歷史記錄， 對網絡瀏覽器進行預防性維護， 聽起來也不是一個壞主意。

　　惡意軟件混合體

　　到目前為止， 我們所討論的所有類型惡意軟件都具有明顯的特征， 歸類起來很方便。 但不幸的是， 下面的情況就不一樣了。 為了提高攻擊的成功率， 惡意軟件開發者已經發現獲得最佳性能的方法是將不同類型的惡意軟件結合起來。

　　Rootkits就是一個這樣的例子， 一個特洛伊木馬和后門程序被封裝在同一個載體中。 這樣的話， 在使用的時間， 攻擊者就可以遠程訪問計算機， 在不受懷疑的情況下完成整個攻擊。 Rootkits已經成為計算機面臨的最大威脅之一了， 因此， 我們需要對它有一個深入的了解。

　　迥然不同的Rootkits

　　類似大多數的惡意軟件， Rootkits選擇的是在現有操作系統中進行改動而不是安裝新的應用。 這種方式是非常有效的， 因為它讓反惡意軟件工具的監測變得非常困難。

　　rootkits包含了幾種不同的類型， 但目前比較流行的主要是三種類型。 它們是用戶模式、內核模式、和固件rootkit。 在下面， 我們先對用戶模式和內核模式進行一下了解：

　　· 用戶模式：在該模式下， 代碼通過受限連接進入計算機， 獲取軟件和硬件資源的使用權限。 通常情況下， 計算機上的大部分代碼都運行在用戶模式下。 由于采用的是受限連接， 在用戶模式下造成的損害是可以恢復的。

　　· 內核模式：在這種模式下， 代碼已經可以不受限制地控制計算機上所有的軟件和硬件資源。 通常情況下， 內核模式是操作系統保留給最值得信賴功能的。 在內核模式模式下造成的損害是不可恢復的。

　　6. 用戶模式的rootkit

　　現在， 我們知道了用戶模式的rootkit可以和計算機系統管理員擁有相同的權限。 這就意味著：

　　· 用戶模式的rootkit可以對進程、文件、系統驅動程序、網絡端口甚至系統服務進行改動。

　　· 用戶模式的rootkit還是需要復制文件到計算機的硬盤驅動器上進行安裝， 并且在每次系統啟動的時間自動加載。

　　Hacker Defender就是用戶模式的rootkit的一個例子， 值得慶幸的是， 眾所周知馬克·羅斯林偉奇開發的Rootkit Revealer可以防范它和其他大多數用戶模式的rootkit。

　　7. 內核模式的rootkit

　　由于用戶模式的rootkit可以被發現和清除， rootkit設計者們變換了一種思路， 并開發出內核模式的rootkit：

　　· 內核模式意味著rootkit和操作系統以及rootkit檢測軟件擁有相同的權限。

　　· 這讓rootkit可以控制操作系統， 也就意味著操作系統也不能被信任了。

　　對于內核模式的rootkit來說， 不穩定性是一個缺點， 通常情況下， 它會經常導致無法解釋的崩潰或藍屏。 基于這種原因， 選擇使用GMER是一個不錯的想法。 作為值得信賴的rootkit清除工具， 它可以清除包括Rustock在內的內核模式的rootkit。

　　8. 固件rootkit

　　由于rootkit開發者了解了將惡意代碼保存在固件中的方法， 固件rootkit成為了惡意軟件混合體的新發展。 在這里， 固件可以是從微處理器代碼到PCI擴展卡固件的任何位置。 這就意味著：

　　· 當計算機關閉的時間， rootkit可以將惡意代碼寫入當前指定的固件。

　　· 重新啟動計算機的時間， rootkit就會重新安裝。

　　即使清理軟件發現并清除了固件rootkit， 在計算機下次啟動的時間， 固件rootkit也會重新出現。

　　9. 惡意移動代碼

　　與私下安裝相比較， 惡意移動代碼正迅速成為在計算機上安裝惡意軟件的最有效方式。 首先， 我們來了解一下什么是移動代碼：

　　· 從遠程服務器上獲得。

　　· 通過網絡進行傳輸。

　　· 下載到本地系統中并可以執行。

　　移動代碼的例子包括了JavaScript腳本、VBScript腳本、ActiveX控件以及Flash動畫。 移動代碼產生的主要目的是提供交互內容， 這是很容易理解的。 動態網頁內容可以讓使用者在瀏覽的時間獲得交互式體驗。

　　為什么移動代碼會給使用者帶來威脅?原因其實很簡單， 它在安裝的時間不需要用戶的許可， 并且可以在功能上誤導用戶。 類似， 特洛伊木馬惡意軟件的入侵工具， 由于這僅僅是聯合攻擊的第一步， 所以情況會變得更糟糕。 在下面， 攻擊者就可以安裝其它的惡意軟件了。

　　防范惡意移動代碼的最好方法是確保操作系統和所有輔助軟件的及時更新。

　　10. 混合威脅

　　當惡意軟件有效地結合了多種單項惡意代碼可以實現最大限度的破壞時， 就會被認為屬于混合威脅。 盡管如此， 對于混合威脅來說特別值得一提的是， 安全專家不情愿地承認它們做的是最出色的。 混合威脅通常包括以下幾項功能：

　　· 利用已知的漏洞， 甚或制造漏洞。

　　· 復制替代模式。

　　· 清除使用者的防御， 自動執行代碼。

　　混合威脅的惡意軟件， 舉例來說， 可以是一封HTML格式的電子郵件， 郵件中包含了一個嵌入式木馬， 而在PDF附件中， 則包含了另一種不同類型的木馬。 比較著名的混合威脅有， 尼姆達(Nimda)、紅色代碼(CodeRed)以及妖怪(Bugbear)。 從計算機中清除混合威脅型惡意軟件的話， 可能需要綜合利用多種不同的反惡意軟件工具以及安裝在LiveCD上的惡意軟件掃描工具。

　　總 結

　　對于惡意軟件來說：它本身可能會帶來是什么樣的破壞呢?關于這個問題， 我有幾點想法：

　　· 惡意軟件在可預見的未來是不會消失的。 特別是它變得越來越有用， 可以帶來很多鈔票的時間。

　　· 由于所有的反惡意軟件工具起到的都是反作用， 所以它們是注定要失敗的。

　　· 操作系統和應用軟件開發商對于軟件漏洞需要采取零容忍的態度。

　　· 計算機的使用者需要在安全方面花費更多的時間和精力以保證可以應對不斷發展變化的惡意軟件。

　　· 關于這一點怎么強調都是不過分的， 請務必保持操作系統及應用軟件的及時更新。