惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。按傳播方式,惡意代碼可以分成四類:病毒,木馬,蠕蟲和移動代碼。
一、病毒
病毒一般都具有自我複製的功能,同時,它們還可以把自己的副本分發到其他文件、程序或電腦中去。病毒一般鑲嵌在主機的程序中,當被感染文件執行操作的時候,病毒就會自我繁殖(例如:打開一個文件,運行一個程序,點擊郵件的附件等)。由於設計者的目的不同,病毒也擁有不同的功能,一些病毒只是用於惡作劇,而另一些則是以破壞爲目的,還有一些病毒表面上看是惡作劇病毒,但實際上隱含破壞功能。病毒可以分爲以下幾類:感染文件病毒、感染引導區病毒、宏病毒和惡作劇電子郵件。
1. 感染文件病毒:感染文件病毒會把自己加載到可執行文件中,例如:WORD、電子表格、電腦遊戲。當病毒感染了一個程序後,它就會自我複製去感染系統中的其他程序,或者是其他通過共享使用了被感染文件的系統。此外,病毒還會駐留在系統內存中,以至於一旦有新的程序運行就會被病毒感染。病毒的另一種感染方式是通過修改程序運行時所執行文件的順序而不是修改程序運行的文件本身。在這種情況下,被感染的程序在執行的時候將先運行病毒,而後才運行自己的文件。目前,jerusalem和cascade是這類病毒中比較著名的。
2. 感染引導區病毒:感染引導區病毒可以感染硬盤或是可移動存儲設備(例如軟盤)的主引導區。引導區是存儲器最開始的一段空間,它用來放置存儲器中數據的結構定義等信息。此外,引導區中還包含引導程序,它在主機啓動時運行來引導操作系統啓動。主引導區是硬盤上一段獨立的空間,只有用基本輸入/輸出系統可以定位和加載它的引導程序。當帶病毒磁盤的內容在系統啓動時被讀取,病毒代碼就會被執行;軟盤等可移動存儲設備即使不是啓動盤,它也可以感染系統。感染引導區病毒具有極好的隱藏能力,並且可以對電腦造成極大的破壞,甚至可以達到無法恢復的地步。電腦如果感染這種病毒,一般會出現以下症狀:電腦在啓動時顯示錯誤信息提示,或者是無法啓動。Michelangelo和Stoned是這種病毒的典型例子。
3. 宏病毒:宏病毒是目前比較流行也是比較危險的一種病毒。宏病毒把自己加載到WORD和電子表格等文件中。這種病毒就像它的名字所說的,它是利用宏語言編寫的應用程序來運行和繁殖的。目前許多受歡迎的軟件(例如:Microsoft Office)都會自動利用宏語言來編譯和反覆執行作業。宏病毒就會利用這一點來傳播惡意代碼。由於用戶經常把帶有宏程序的文件共享,所以宏病毒的傳播速度是非常快的。當宏病毒感染文件的時候,它也會把該文件用於創建和打開操作的臨時文件感染。因此,被宏病毒感染的文件創建出的臨時文件也是被感染的文件。Marker和Melissa是這種病毒的典型例子。
4. 惡作劇電子郵件:這種病毒就像它的名字提到的一樣,是一種假冒的病毒警告。它的內容一般是恐嚇用戶,表示將要對用戶電腦造成極大的破壞;或是欺騙用戶電腦即將被病毒感染,警告他們立即採取緊急措施。儘管這種病毒發佈的信息是非法的,但是它還是像真正的病毒一樣傳播廣泛。通常這種病毒的傳播是通過一些無辜的用戶,他們希望發送這個信息提醒其他人防範病毒的侵襲。通常,惡作劇郵件並不會造成什麼危害,但是有的惡作劇郵件會指使用戶修改系統設置或是刪除某些文件,這將會影響系統的安全性。閱讀惡作劇郵件會浪費用戶時間,而且一些惡作劇郵件會發送到一些技術支持的部門,警告他們將會有新的病毒威脅網絡安全或是尋求幫助。這種病毒傳播比較廣泛的有Good Times和Bud Frogs。
二、特洛伊木馬
這類病毒是根據古希臘神話中的木馬來命名的,這種程序從表面上看沒有什麼,但是實際上卻隱含着惡意意圖。一些木馬程序會通過覆蓋系統中已經存在的文件的方式存在於系統之中,同時它可以攜帶惡意代碼,還有一些木馬會以一個軟件的身份出現(例如:一個可供下載的遊戲),但它實際上是一個竊取密碼的工具。這種病毒通常不容易被發現,因爲它一般是以一個正常的應用的身份在系統中運行的。特洛伊木馬可以分爲以下三個模式:
* 通常潛伏在正常的程序應用中,附帶執行獨立的惡意操作
* 通常潛伏在正常的程序應用中,但是會修改正常的應用進行惡意操作
* 完全覆蓋正常的程序應用,執行惡意操作
大多數木馬都可以使木馬的控制者登錄到被感染電腦上,並擁有絕大部分的管理員級控制權限。爲了達到這個目的,木馬一般都包括一個客戶端和一個服務器端客戶端放在木馬控制者的電腦中,服務器端放置在被入侵電腦中,木馬控制者通過客戶端與被入侵電腦的服務器端建立遠程連接。一旦連接建立,木馬控制者就可以通過對被入侵電腦發送指令來傳輸和修改文件。通常木馬所具備的另一個是發動DdoS(拒絕服務)攻擊。
還有一些木馬不具備遠程登錄的功能。它們中的一些的存在只是爲了隱藏惡意進程的痕跡,例如使惡意進程不在進程列表中顯示出來。另一些木馬用於收集信息,例如被感染電腦的密碼;木馬還可以把收集到的密碼列表發送互聯網中一個指定的郵件帳戶中。
三、蠕蟲
是一種可以自我複製的完全獨立的程序,它的傳播不需要藉助被感染主機中的其他程序。蠕蟲的自我複製不象其他的病毒,它可以自動創建與它的功能完全相同的副本,並在沒人干涉的情況下自動運行。蠕蟲是通過系統存在的漏洞和設置的不安全性(例如:設置共享)來進行入侵的。它的自身特性可以使它以及快的速度傳輸(在幾秒中內從地球的一端傳送到另一端)。其中比較典型的有Blaster和SQL Slammer。
四、移動代碼
移動代碼是能夠從主機傳輸到客戶端計算機上並執行的代碼,它通常是作爲病毒,蠕蟲,或是特洛伊木馬的一部分被傳送到客戶計算機上的。另外,移動代碼可以利用系統的漏洞進行入侵,例如非法的數據訪問和盜取root帳號。通常用於編寫移動代碼的工具包括Java applets,ActiveX,JavaScript,和VBScript。