微软关于恶意软件的分类界定

jiangchuan

http://technet.microsoft.com/zh-tw/library/dd180728.aspx
台湾微软官网上文件库的文章
繁体中文
我简单转化了一下
希望对新手有帮助
特别可以明确什么是木马



剪不断、理还乱的恶意软体与间谍软体
更新日期: 2005年4月7日

作者：赖荣枢
goodman_lai@yahoo.com

这几年来，资讯安全始终是资讯产业的沸腾话题。虽然第一支电脑病毒程式（virus）早在20多年前就已经出现，而第一支蠕虫程式（worm）是在1988年肆虐当时的UNIX网路，不过电脑和网路在当时都是学术界的昂贵设备，当然不会引起大众注意。

然而近十年来，由于网际网路刺激了电脑的应用与普及，电脑和网路渐渐变得平民化，也快速进入企业和家庭，成为资料处理和数位娱乐的重要角色。更有什者，担任传输资讯基础建设的网际网路，不仅承载了有用的资讯，同时也传送有害的资讯，因此使得资讯安全成为资讯产业的沸腾话题，而且越来越热。

在网路尚不普及的年代，磁片和数据机拨接的BBS是病毒的主要传染途径，而因为网路提供了无远弗届、跨越实际地理限制的特性，并且也提供了越来越快的连线速度，使得网路也成为资安威胁的超级大通路；因为藉由网路，资讯可以快速的进出电脑。但也请切记，网路并非造成威胁的唯一方式，只要是能够让资料进出电脑的管道，都有可能造成威胁入侵或资料外泄的后果。因此举凡网路、磁碟片、光碟片、随身碟，以及各种无线网路（802.11a/b/g、红外线、蓝芽等等），都是可以让资料进出电脑的管道。
本页内容

恼人的恶意软体
最让使用者困扰的间谍软体
正确的开始是成功的关键
恼人的恶意软体

在林林总总的资安威胁当中，恶意软体（malicioussoftware，malware）是最为常见的方式。恶意软体泛指一切不怀好意的程式，经常听到的病毒、蠕虫、间谍软体（spyware）都是恶意软体。虽然报纸的资讯新闻版面经常以「病毒」来泛称所有的恶意软体，不过这或许是因为一般的电脑使用者无从理解各种恶意软体的差别，但是要对抗恶意软体的专业IT人员，当然必须清楚各种恶意软体的概念与差异。

必须提醒各位的是，以下所说明的，是恶意软体的「概念」，攻击者可以单独的以某一种概念来创造恶意软体，不过攻击者往往也会综合多种概念来创造威力更强的恶意软体。例如结合了蠕虫、后门程式和间谍软体的概念，可以创造出利用网路传染，并且让攻击者进出被感染电脑、又会收集使用者个人资讯的恶意软体。
病毒

FredCohen的研究论文首次出现将病毒（virus）的生物特征带入资讯工程的领域，在他的论文当中如此的定义资讯工程的「病毒」：We definea computer 'virus' as a program that can 'infect' other programs bymodifying them to include a possibly evolved copy ofitself，而这也是现今对电脑病毒的定义。

电脑病毒的特征是根据生物界的病毒而来，会藉由修改其他程式进而感染这些程式，而且还会自我繁衍；所以感染其他程式和自我繁衍是病毒的重要特征。病毒通常具备潜伏、繁殖、触发、执行等特性，而当病毒进入执行阶段，往往也就开始窃取或破坏使用者资料，甚至损毁系统而造成无法开机。

病毒有很多种类型：开机型、档案型、复合型，有些还会以编码的方式隐藏自己。为数最多的病毒是巨集病毒（macrovirus），根据美国国家电脑安全协会的统计，巨集病毒目前已占所有电脑病毒总数的三分之二，这是因为巨集病毒容易写作，并且依附在诸如Word、Excel等文件而容易让使用者失去戒心。
蠕虫

Robert Jr. Morris应该没有料到他在1988年11月所写的一支网路程式，竟然成为第一支在网际网路上广为扩散的蠕虫（worm），而这支被称为Morris Worm的蠕虫，便成为其他蠕虫的仿效对象。

「蠕虫」这个名称的由来，是取自John Brunner在1975年的科幻小说故事—The ShockwaveRider，故事描述利用电脑网路控制人民的集权政府与自由战士之间的对抗，自由战士使用一种称为tapeworm程式破坏集权政府的电脑网路；而最后当然是tapeworm程式成功的瘫痪了政府的网路系统，集权的政府也被自由战士瓦解。

蠕虫的行为和病毒非常类似，但是病毒会感染并依附着「宿主」程式，而蠕虫不需要宿主，是个可以独立执行的程式；蠕虫就像一条藉由网路的爬行而会传染其他电脑的虫。
特洛伊木马程式

「特洛伊木马程式」（TrojanHorses）这个名称的由来，是取自特洛伊战争当中，久攻不下的希腊人不怀好意送给特洛伊人的那匹大木马。特洛伊木马藏着希腊士兵杀进特洛伊城，而特洛伊木马程式则会依附在正常的程式，或是将特洛伊木马程式设计成看起来是有用的程式，而当使用者执行暗中附着特洛伊木马的正常程式，特洛伊木马就会悄悄的执行被赋予的任务，例如私下监控使用者行为，而发现使用者在登入线上游戏时，侧录使用者所输入的帐号和密码，再藉由网路传回。特洛伊木马程式也称为特洛伊，或称为木马，它与病毒的差别，是特洛伊木马并不会感染其他程式，也不会自我复制。
僵尸

僵尸（Zombie）是一种会偷偷藉由网路来控制其他电脑的程式，而攻击者将僵尸植入其他电脑的目的，通常就是遥控被控制的电脑来发动攻击。也就是说，攻击者不用自己的电脑来发动攻击，而是找个替死鬼来发动攻击，以免东窗事发被抓到。
后门程式

后门程式（backdoor）就像个秘密通道，如果电脑系统被放置了后门程式，等于是开了秘密通道给攻击者，只要电脑开机就能让攻击者进入电脑。
间谍软体

间谍软体（spyware）是晚近出现的恶意软体，是指在未经使用者同意的情况之下，藉由网路对使用者进行广告，或者会收集使用者的电脑操作行为或个人资讯，甚至进而修改电脑设定的程式。

如果程式是经过使用者同意而收集使用者的电脑操作行为和个人资讯，再经由后端的程式分析之后，对使用者推送适当的广告讯息，还称不上是恶意软体，毕竟使用者已经同意。就像发卡银行也可以分析刷卡交易记录而得知卡友的消费习惯、兴趣、嗜好，再推送适当的广告，可以更确切的达到广告效果；但一定要经过当事人同意。

在讲求人权的社会，未善尽告知义务而收集个人行为、资讯，已经有侵犯隐私权的疑虑，因此许多国家已经开始为此立法，而除了法律之外，资讯业界当然也希望能藉由软体技术，来遏止这种不当收集个人资讯的作法。
回到页首
最让使用者困扰的间谍软体

我曾经帮一位没有电脑技术背景的朋友处理困扰他很久的电脑问题：

     *

      只要连上网际网路就经常出现赌场或奇怪药品的广告
     *

       Internet Explorer预设首页被改成一个奇怪的搜寻引擎网站，而且改不回来
     *

      电脑的执行速度突然慢到不像话
     *

      开机和关机的时间都很明显的变长，而且往往要关闭电源才能关机

很明显的是间谍软体造成的问题，虽然要排除掉那些状况并不难，但是间谍软体很可能过几天又重回这位朋友的电脑了，因为对没有电脑技术背景的使用者来说，往往很难养成正确的电脑使用习惯。

再者，就技术的角度，间谍软体是较难侦测、预防的恶意软体，因为许多间谍软体的行为都游走在灰色的模糊地带，而且也不像其他的恶意软体会出现明显的不当行为；此外，也因为间谍软体是晚近出现的恶意软体，间谍软体与反间谍软体之间还在进行较大规模的角力。

微软在三月15日公布了一份白皮书Windows AntiSpyware (Beta): Analysis Approach andCategories，这份白皮书说明了WindowsAntiSpyware将如何识别、分类、处理可能对使用者造成危害的间谍软体。目前仍处于测试阶段的WindowsAntiSpyware使用了一份庞大的威胁资料库，记录了超过十万种具威胁的档案、设定的特征、处理方式，以及建议使用者该如何因应这些恶意软体的方法。

处理间谍软体（spyware）的困难之一，是许多软体都游走在灰色的模糊地带，因为除了恶意行为之外，间谍软体也都有合法、正当的行为，以致于很难断定某些软体到底是「好」还是「坏」，因此有时候往往无法清楚的界定出谁是「间谍软体」。

因此WindowsAntiSpyware除了会辨识软体的类型之外，也会依照软体行为所可能造成的风险程度，提供建议给使用者：是该忽略、隔离或移除可疑的软体。微软的研究人员会依照各种标准来决定软体是否达到「恶意」或「间谍」，如果是的话，软体的相关资料就会加入WindowsAntiSpyware的威胁资料库，让执行Windows AntiSpyware的系统可以侦测的到。

辨识软体的行为不是一件简单的事，因为软体可能利用各种技巧来达到欺瞒的效果。此外，WindowsAntiSpyware也会监控是否有软体在暗中搜集、使用、传送使用者个人资料，也会注意是否有软体在拖慢系统效能、破坏作业系统，甚至还要抵挡软体直接攻击或关闭Windows AntiSpyware。
回到页首
正确的开始是成功的关键

软体行为游走在灰色模糊地带的间谍软体，并不像其他的恶意软体会出现明显的不当行为，这增加了间谍软体的侦测和预防。但是尽可能的收集所有间谍软体的相关资讯（包括特征、行为、结果等等），与侦测出现有的间谍软体，并且再归纳、分析出间谍软体的行为模式，以作为预防间谍软体的参考，是阻挡间谍软体最为可行的方法；尤其当资讯越多，并搭配正确的分析方法，就可以降低误判。

其实目前资安厂商并没有一致的方法来定义这些危害电脑使用者的恶意软体，各家厂商使用自己的分类标准，就连恶意软体的名字也是各取各的，同一支恶意软体有好几种名字（包括奇怪的中文译名，例如「杀手病毒」其实不是病毒，而是蠕虫），实在造成IT人员的困扰。

要遏止恶意软体的蔓延，正确的电脑操作习惯是相当重要的关键。大家都知道就寝或外出前应该将门窗锁好，甚至还会再额外花钱安装保全设备，或请保全人员定时巡逻，目的就会维护好居家安全，以免遭到宵小盗贼的侵犯。相同的，任何使用者及IT人员，也应该为连上网路的电脑做好正确的安全防护，正确的安全防护当然包括正确的电脑操作习惯，因为网际网路上的「宵小」实在不少，而这些宵小所带来的危害，预计也只会有增而无减。

Firewall2

楼主真是有心人啊谢谢分享了。

mybook0918

阿门！每周日开放注册，终于注册上了，发个消息！

413055156

这个意义已经不大了 现在的木马、病毒、蠕虫界限都很模糊

jiangchuan

其实主要是介绍给那些寻找杀马软件的人看的

Firewall2

原帖由 mybook0918 于 2009-4-5 10:43 发表
阿门！每周日开放注册，终于注册上了，发个消息！

深有同感，我错过了两个星期了