恶意代码是什么

恶意代码是指没有功能但会带来危险的代码。最安全的定义之一是将所有不必要的代码视为恶意代码。不必要的代码比恶意代码有更广泛的含义，包括所有可能与组织的安全策略相冲突的软件。

恶意代码是指没有功能但会带来危险的代码。最安全的定义之一是将所有不必要的代码视为恶意代码。不必要的代码比恶意代码有更广泛的含义，包括所有可能与组织的安全策略相冲突的软件。

定义

定义1:恶意代码也叫恶意软件。这些软件也可以被称为广告软件、间谍软件和恶意共享软件。是指未经用户明确提示或者未经用户许可，在用户计算机或者其他终端上安装运行，侵害用户合法权益的软件。与病毒或蠕虫不同的是，这些软件很多不是由小团体或个人秘密编写和分发的，而是很多知名企业和团体都怀疑有这类软件。有时被称为流氓软件。

定义2:恶意代码是指故意编译或设置的，会对网络或系统构成威胁或潜在威胁的计算机代码。最常见的恶意代码有电脑病毒、木马、电脑蠕虫、后门、逻辑炸弹等等。

中文:恶意软件或恶意软件，简称恶意代码、恶意代码或恶意软件。

特征

具有以下共同特征:

(1)恶意目的

(2)它本身就是一个计算机程序

(3)通过执行行动

有些恶作剧程序或游戏程序不能视为恶意代码。有许多文献讨论了病毒的特征。虽然有很多，但是机制都差不多。在反病毒程序的保护范围内，值得注意的是，它是一种非病毒性病毒。

非过滤病毒

非过滤病毒包括密码破解软件、嗅探器软件、键盘输入录音软件、远程木马和间谍等。组织内部或外部的攻击者使用这些软件获取密码，监视网络通信，记录私人通信，并秘密接收和传输来自远程主机的未经授权的命令。但是一些私装的P2P软件，其实在企业的防火墙上开了一个洞。不可过滤病毒呈上升趋势，其防御不是简单的任务。与不可过滤病毒相关的概念包括:

间谍部件

间谍软件与商业产品软件有关。当一些商业软件产品安装在用户的机器上时，它们是在没有用户授权的情况下通过互联网连接的，这样用户的软件就可以与开发者的软件进行通信。这部分通讯软件叫间谍软件。只有安装一个基于主机的防火墙，记录网络活动，用户才能发现软件产品和他们的开发者有规律的交流。间谍软件作为商业软件包的一部分，大多是无害的，其目的是扫描系统，获取用户的隐私数据。

远程访问特洛伊

远程访问木马RAT是安装在受害者机器上实现未授权网络访问的程序。比如NetBus和SubSeven可以冒充其他程序来迷惑用户安装，比如冒充可执行邮件、从Web下载文件、游戏和贺卡等。，或者它们可以通过物理邻近直接安装。

僵尸

恶意代码不是从内部控制的。在分布式拒绝服务攻击中，很多互联网站点被其他主机上的僵尸程序攻击。僵尸可以利用网络上计算机系统的安全漏洞，在多台主机上安装自动攻击脚本。这些宿主成为受害者，听从攻击者的指挥。在某个时刻，他们聚集在一起攻击其他受害者。

非法访问权限

密码破解、网络嗅探、网络漏洞扫描是公司内部人员窥探同事、获取非法资源访问权限的主要手段。这些攻击工具不是自动执行的，而是秘密操纵的。

键盘记录器

一些用户组织使用PC活动监控软件来监控用户的操作，并通过键盘进行记录，以防止员工不当使用资源，或者收集罪犯的证据。攻击者也可以使用该软件进行信息间谍活动和网络攻击。

P2P系统

基于互联网的对等应用，如Napster、goto mepc、AIM、Groove，以及远程访问工具，如goto mepc，可以通过HTTP或其他公共端口穿透防火墙，让员工建立自己的VPN，这对于组织或公司来说，有时是非常危险的。因为这些程序必须先从内部PC远程连接到外部的Gotomypc主机，然后用户才能通过这个连接访问office PC。如果使用这种连接，会给组织或企业带来很大的危害。

逻辑炸弹和定时炸弹

逻辑炸弹和定时炸弹是旨在摧毁数据和应用程序的程序。一般是组织内不满的员工植入的。逻辑炸弹和定时炸弹对网络和系统的破坏很大。欧米茄工程公司前网络管理员蒂莫西·劳埃德(Timothy Lloyd)在1996年触发了埋在他前雇主计算机系统中的软件逻辑炸弹，造成1000万美元的损失，他本人最近被判处41个月监禁。

通信技术

恶意代码编写者一般使用三种手段传播恶意代码:软件漏洞、用户本身或者他们的混合体。有些恶意代码是自启动蠕虫和嵌入式脚本，本身就是软件。这种恶意代码对人类活动没有要求。一些恶意代码，如木马、邮件蠕虫等，利用受害者的心理操纵他们执行不安全的代码；其他人欺骗用户关闭保护措施来安装恶意代码。

利用商业软件缺陷的恶意代码包括Code Red、Kaka和BubbleBoy。它们完全依赖于商业软件产品的缺陷和弱点，例如溢出漏洞和在不适当的环境中执行任意代码的能力。和未打补丁的IIS软件一样，输入缓冲区溢出也有缺陷。Code Red和Nimda是利用Web服务缺陷的攻击代码，Linux和Solaris上的蠕虫也利用了远程计算机的缺陷。

恶意代码编写者的一个典型手法就是将恶意代码邮件伪装成其他恶意代码受害者的感染报警邮件，这些受害者往往是Outlook通讯录中的用户或者缓冲区中的WEB页面，可以尽可能的吸引受害者的注意力。一些恶意代码作者也表现出高度的心理操纵能力，LoveLetter就是一个突出的例子。一般用户对陌生人的邮件附件越来越警惕，恶意代码作者也设计了一些诱饵来吸引受害者的兴趣。附件的使用现在和将来都会受到网关过滤器的限制和阻止，恶意代码编写人员会试图绕过网关过滤器。使用的方法可能包括使用模糊文件类型、将常见的可执行文件类型压缩成zip文件等。

对IRC(互联网中继聊天)和IM(即时通讯)系统的攻击越来越多，大多诱骗用户下载并执行自动代理软件，让远程系统作为分布式拒绝服务(DDoS)的攻击平台，或者使用后门程序和木马程序来控制。

传播趋势

恶意代码的传播有以下趋势:

物种更加模糊

恶意代码的传播不仅仅依赖于软件漏洞或社会工程中的一个，还可能是它们的混合。比如蠕虫产生寄生文件病毒、木马程序、密码窃取程序、后门程序，进一步模糊了蠕虫、病毒、特洛伊的区别。

混合传播模式

“混合病毒威胁”和“聚合威胁”成为新的病毒术语。“红队”利用IIS漏洞。尼姆达其实是1988年出现的莫里斯蠕虫的衍生物。他们的特点是利用漏洞。病毒模式从引导区模式发展到多类型病毒蠕虫模式需要很短的时间。

多个平台

多平台攻击开始出现，一些恶意代码可以在不兼容的平台上发挥作用。来自Windows的蠕虫可以利用Apache的漏洞，而Linux的蠕虫可以以exe格式派生Troy。

使用销售技巧

还有一种趋势是，更多的恶意代码使用销售技术，其目的不仅是利用受害者的邮箱达到最大转发次数，更是为了引起受害者的兴趣，让受害者进一步对恶意文件进行操作，利用网络检测、邮件脚本嵌入等无附件技术达到自己的目的。

恶意软件制造商可能会将一些众所周知的攻击方法与新的漏洞结合起来，打造下一代WM/Concept、下一代Code Red和下一代Nimda。对于杀毒软件厂商来说，要改变应对新威胁的方法需要花费大量的时间。

相关问题

(1)没有标准的病毒防护方法。专家认为，更安全的方法是每周更新一次病毒数据库，但在特殊情况下，需要更频繁地更新。1999年，Y2K病毒数据库需要每天更新，但到了2000年5月，为了对付LoveLetter病毒的变种，病毒数据库不得不每天更新几次。需要指出的是，有时候，这样频繁的更新对保护效果的提升不大。

(2)用户对微软的操作系统和应用抱怨颇多，但病毒防护工具的功能确实是最应该抱怨的因素之一。

(3)启发式病毒搜索没有得到广泛应用，因为清除一个病毒的成本小于调整启发式软件的成本，被比作“治疗不如疾病本身”。

(4)企业在防火墙管理和电子邮件管理上投入了大量精力。建议使用单独的人员和工具来完成这项任务。

(5)恶意代码攻击的数据分析不够。虽然有些病毒扫描软件有系统活动日志，但由于文件大小的限制，无法长期保存。同时，对恶意代码感染程度的衡量和分析还不够，一般企业无法从战术和战略层面清晰描述自己公司的安全问题。

(6)病毒扫描软件只通知用户更改设置，不自动修改设置。

(7)病毒防护软件有其自身的安全缺陷，容易被攻击者利用，但病毒软件厂商由于害怕被攻击，不愿谈及此事。

(8)很多软件既可以用于安全管理，也可以用于安全突破。问题出在意图上，比如漏洞扫描器、嗅探器，这些都是攻击者可以利用的。

影响

恶意代码的传播方式正在迅速演变，从引导区到某种类型的文件，到宏病毒，到邮件，到网络，爆发和流行的时间越来越短。Form boot病毒出现于1989年，用了一年才流行起来。宏病毒概念宏病毒于1995年出现，花了三个月才流行起来。洛夫莱特花了大约一天时间，红色代码花了大约90分钟，尼姆达花了不到30分钟。这些数字背后的规则是显而易见的:在恶意代码演化的每一步中，病毒和蠕虫从发布到流行的时间越来越短。

恶意代码本身越来越直接利用操作系统或应用程序的漏洞，而不是单纯依靠社会工程。服务器和网络设施越来越成为目标。L10n、PoisonBOx、Code Red、Nimda等蠕虫利用漏洞进行自我传播，不需要其他代码

知识库编号:RSV0603549

内容分类:脚本病毒

关键词:恶意代码；症状；修复方法

恶意代码的十三个症状和简单的修复方法。

破坏IE浏览器的网页病毒；