鐵之狂傲

 取回密碼
 註冊
搜尋

切換到指定樓層
1#
作者:Kerash Thieph. (編)
日期:2007-08-22
主題:病毒木馬間諜廣告-分類

內文:

  編寫本文的目的,主要是告訴各位,網路上所謂的「木馬、病毒等」惡意物件該如何分類。很多人其實都會將之混為一談,但事實上某些種類並不能混在一起,而且可能是天壤之別。為了替各位分類,這篇文章會從各大防毒網站以及資訊網站擷取較適當的訊息提供大家參考。希望大家看了文章後能比較有相當的概念而不至於被混淆。

  在廣泛的行為模式定義上,可以界定的種類是『電腦病毒』以及『木馬程式』。這兩種的行為幾乎是不同的(但多少有同樣的地方),以下將小幅整理出這兩者在特性以及行為上的不同。

※於此附註一下,在很多資料或書上,會將木馬直接定義成病毒。
 我在此補充,本資料是針對『行為』區分,其餘說法暫不加以說明。



【電腦病毒】
  如同醫學上的病毒一樣,電腦的病毒會『自我複製』到其他檔案上。而且並不必靠使用者本身執行,而是利用本身的指令進而複製到其他檔案裡面,一但中毒了要根除不容易,而且感染到的檔案有可能完全無法修復還原。而多數病毒在感染時,會將指令複寫到啟動磁區裡面,讓你在開機或者執行程式時,先行啟動病毒,造成該檔案受到感染。

  老實說,病毒的複製方法太多又不一定固定,要一一介紹出來可能會整篇廢話或者不知道的名詞出現,因此盡可能簡略介紹。

  目前病毒多數是感染電腦中的「執行檔(exe或com居多)」,將資料的內容整個修改,讓系統無法辨識。另外也可能會將『文件關聯』修改,讓你在執行檔案執會找不到正確的關聯檔(就是你要開 txt 卻叫你選擇開啟的程式,或者跳出 cmd 視窗然後關閉)。感染執行檔的後果,輕者多數檔案無法開啟,必須重新安裝。重者則是連電腦都無法正常執行,只能整個 format 後重新安裝。

  較為危險的是以前人家常常都說不會出現的 BIOS 病毒,也就是感染主機硬體的病毒,但事實上還是有的,之前台灣人寫出來的 CIH (車諾比病毒) 就有動到 BIOS。不過該病毒作者說「雖然這隻病毒沒寫入病毒碼在 BIOS 裡面, 而只是填入垃圾資料到 BIOS,就足以證明, 部份 BIOS 可能會被病毒清掉其程式, 甚至被病毒感染...」,因此不容忽視。

  至於其他感染後的影響則不一定,可能是電腦會自己唱歌、突然桌面出現煙火、錯誤訊息狂跳,都有可能。總之除了惡作劇病毒外,最好都嚴防電腦被感染,否則後果很難想像。

※BIOS病毒有資料寫說主要是將內部設定修改或者整個打亂,造成無法正常使用的狀況。
※另外還有 蠕蟲(worm)與病毒算是類似,這後續補充。




【特洛依木馬】
  木馬的來源應該不用我多加介紹了,因此我直接省略。電腦的木馬,簡而言之,『危險程式偽裝成安全外表讓使用者無預警執行,進而讓電腦暴露在危險的狀況下』,這算是我目前想的到最好的解釋方式了。目前有很多程式都是如此,都是『披著羊皮的狼』,假意好心幫助你,卻暗中將你電腦的資料一個一個的送出去,這種在廣義上我們都可以叫做木馬。

  至於在木馬旗下再細分,依目前我們可以多加區分二類『廣告程式(adware)』『間諜程式(spy-bot)』,甚至可以將『後門程式(Backdoor)』暫且列入木馬的行列。但雖然同稱為木馬,各種類型還是有不同的行為模式。以下解說一下概要及觀念。


『廣義木馬』
  依現在的定義,只要是從電腦中偷取資料到其他電腦都算是木馬了。前篇拙作「簡易刪除木馬」裡面的【篇一】前三行就是這種概念,只要這種模式的目前在電腦上都稱為木馬。由於藉著這種連接方式,使用者的資料就會遭到盜取。至於這型的木馬也分很多種,包括『Downloader』『Clicker』『Droppers』『Steal-PSW』等等等(參照卡巴分類)。

  細分還可以分的更細,例如 Downloader 是會自動從網路上抓更多惡意程式進入你電腦安裝,一旦被植入並執行且若沒完全根除則會一發不可收拾。Droppers 亦同於 Downloader ,只是他不是從網路下載,而是在植入木馬時一併安裝,然而有時會給你一個系統錯誤的訊息,接著就被存到某個磁碟內並且開始啟動。至於每個防毒軟體的認定方式不一樣,因此同一種類的木馬可能有兩三種不同的類型。

  《木馬執行方式》修改登錄檔,並在電腦創立 exe 以及 dll 檔案,連接到各執行檔,以便傳輸或連接。(電腦會帶著 exe , dll)


『廣告軟體(木馬)』
  廣告軟體其實有分正常跟不正常的,主要差別在於使用者的認定以及是否自願安裝該檔案。例如即時通訊將你的瀏覽器裝上他們自製的搜尋器,這也可以說成是廣告軟體,但它可以讓使用者選擇,因此不算是惡意程式。

  而會被歸類在木馬,在正常的說法是因為使用者不一定喜歡它的廣告但是它為了商業利益而強制安裝。在不正常的方面則是惡意網站直接在 IE 掛上可見插件(熟悉的就是 3721、ALibabar),或者不可見的修改(例如彈出視窗、修改 Flash 內容)。然而大多數的廣告軟體主要是為了打知名度而做出植入的動作,但某些更甚至會偷取使用者的資料。

  《木馬執行方式》修改登錄檔、植入 dll 在 Internet Explorer 之中。或造成自動跳窗。(可能不會有怪程式,或者只單單有 dll)


『間諜程式』
  顧名思義,間諜就是偷偷在你電腦執行,藉以偷取電腦的資料,更甚者是直接監控你的畫面。由於無法確切定義到底什麼樣子才算「間諜」模式,因此很難做區分,但是間諜程式比起一般木馬,所竊取的資料多更多,可以說是集合型的木馬,而偷窺的東西從你上的網站到輸入的按鍵都可能會紀錄。然而某些間諜軟體更危險的地方就在於他不一定真的「偷偷安裝」,而可能是光明正大要你安裝,但是安裝過程看起來很安全(甚至誤以為那是保護你電腦的工具)。

=====================================================================
  舉個我常見的就是 VirusProtect Pro ,他會偷偷先安裝小程式在你的電腦,然後當你瀏覽網路時,會突然給你警告說電腦沒有安裝防護工具,接著你點入後便連結到一個網站要求你下載程式,一旦你下載了,他便正式侵入你的電腦,之後使用時就會無緣無故的出現問題。但不知情的人或許還認為那是安全且正常的軟體呢!
=====================================================================

  《木馬執行方式》直接安裝程式在電腦執行,有私下執行也有直接執行的。


另外補充一些資料

『後門(BackDoor)』
  後門的本身並不恐怖,恐怖的在於它可能會使用電腦較不常使用的服務,接著外界可以藉此得到電腦的訪問權,於是便透過這個服務進入電腦,進而偷取資料或者增刪檔案。有些軟體會在程式中做後門,主要是為了『維修』或『測試』而用,但是假設這個後門被有心人仕偵測出來,可能就會利用這點來做入侵的動作,因此不可不小心。

『蠕蟲(Worm)』
  蠕蟲算是網路上除了直接攻擊外甚危險的程式,甚至有些攻擊還會利用到蠕蟲。蠕蟲主要的行為是『搜尋系統漏洞』,他本身的程式碼沒有固定,而且大多都是廢物(不是很爛,而是一堆亂寫的程式碼)。其中也有靠DDOS(分散式阻斷式服務)來攻擊電腦網路,造成使用者網路阻塞甚至癱瘓的狀況。然而蠕蟲與病毒比較來說,差別是蠕蟲不會複製程式碼在其他程式上造成其他程式無法使用,反而是會待在電腦的記憶體中複製存活,並且可能操控電腦部分系統,進而做散播的動作。例如會自動傳帶有蠕蟲的信件、自動開啟對外服務等都是其行為。

  通常蠕蟲是無法靠一般軟體預防的,最重要的還是隨時做更新,這樣可以讓蠕蟲的攻擊性降低許多。

-------
最近努力趕一篇各種防範軟體的掃描區域Orz
本篇歡迎討論編輯,我會盡量修正錯誤。

這篇是上個月打的了 ... 不過鐵傲似乎比較不注重這方面的主題
所以我就沒貼了,不過 ... 還是貼上好了
 
轉播0 分享0 收藏0

回覆 使用道具 檢舉

總評分:  聲望 + 4   檢視全部評分
boy69731  精華文章  發表於 07-9-19 22:53 聲望 + 4 枚
你需要登入後才可以回覆 登入 | 註冊

存檔|手機版|聯絡我們|新聞提供|鐵之狂傲

GMT+8, 24-12-5 11:21 , Processed in 0.021626 second(s), 17 queries , Gzip On.

回頂部