病毒壳(Packer)、病毒生成器(Constructor)可以归为一类。“病毒壳”是指使用某种压缩或加密算法对病毒体进行加密和压缩的工具,能够实现病毒文件的自动变形,目的是为了逃避杀毒软件的正常缴杀,俗称“过杀软”。
“病毒生成器”内置加密和变形引擎,能够批量产生出“哈希值”完全不同、但功能完全相同的病毒,就像“借尸还魂”。这两类病毒都是用自动化技术来对抗杀毒软件的,因此属于“工业化”类病毒。
广告软件(ADware)、色情软件(Pornware)、间谍软件(Spyware)、行为记录件(TrackWare)可以归为一类。“广告软件”运行时会弹出广告、“色情软件”会自动联接色情网站、“间谍软件”会偷偷执行某些恶意任务、“行为记录件”会记录用户的电脑操作行为。这几类病毒国内统称“流氓软件”,特指一些用病毒技术编写的带有商业目的的软件。它们是互联网发展初期的产物,当时大家都在用这种方式跑马圈地抢用户,因此属于“灰产类”病毒。
捆绑器(Binder)、下载器(Downloader)、释放器(Dropper)可以归为一类。“捆绑器”能够将病毒和正常软件“二次打包”成一个新文件,启动时病毒以无界面的方式同时运行,但用户毫无感知。“下载器”运行时会自动联接某个网站,下载最新版本的“下载器”;“释放器”运行时会释放出多个有危害的恶意文件。事实上,一个下载器往往会先下载一个释放器,释放器到本地后再释放出木马文件。这种分步骤执行可以轻松骗过当今最红的云查杀引擎,同时也是APT攻击里常用的手法,因此是“APT类”病毒。
内核病毒(Rootkit)是一种“越权执行”的恶意代码,它设法让自己达到和操作系统内核一样的运行级别,甚至进入内核空间,这样它就拥有了操作系统最高访问权限。RootKit本来是Linux操作系统的概念,后来被病毒制造者借鉴,病毒的RootKit技术指的是那些能够绕过操作系统应用层API调用,直接利用更底层的系统调用来实现恶意行为,甚至比杀毒软件的控制更底层,可以实现“完全隐形”。如果从引导区就开始入侵,则被称为“Bootkit”。很多流氓软件都会采取类似的技术来保护自己,很难真正清除干净,所以这类病毒被称为“内核对抗”类。
勒索软件(Ransomware)通过系统漏洞传播,采用一次一密的高阶加密技术,能够将计算机上的文档文件全部加密,并通过加密网络来索要数字货币赎金,全程无法追溯。客户支付赎金后,病毒会自动通过在线的方式发送解密密钥。用户中招后,只有支付赎金一条路、别无它法。当然,由于病毒编写水平的差异,勒索软件里也有少部分家族是可以解密的。
勒索软件自产生开始,已经有近百个家族、近万个变种,是目前病毒发展的最新形态,也是至今还在不断给企业带来大量危害的“威胁新物种”。
如果想了解更多网络安全人和事,欢迎搜索微信公众号:锐安全,或下方扫码进入:
用户评论