简介

《深层病毒防护指南》在本章中简要介绍了计算机病毒的演变，从最初相对简单的病毒到如今存在的各种各样的恶意软件。本章定义了已知恶意软件类型和技术的分类，同时提供了与恶意软件传播及其给各种规模的组织所带来的风险有关的信息。

由这个主题不断发展的本质所决定，本指南并不旨在记录和解释所有恶意软件元素及其可能的变体。然而，本指南的确在尝试了解包含恶意软件的各种元素的本质方面迈出了意义重大的第一步。本指南还讨论并定义了恶意软件之外的其他内容，如间谍软件（在没有获取用户相应许可的情况下就在计算机上执行某些活动的程序）、垃圾邮件（未经请求的电子邮件）和广告软件（集成到软件中的广告）。

返回页首

计算机病毒的演变

20 世纪 80 年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的，并且是相对简单的自行复制的文件，它们仅在执行时显示简单的恶作剧而已。

注意： 值得注意的是，提供病毒演变的明确历史几乎是不可能的。恶意软件的非法本质意味着，作恶者关注的是如何隐藏恶意代码的来源。本指南介绍病毒研究人员和防病毒行业普遍认可的恶意软件历史。

1986 年，报道了攻击 Microsoft? MS-DOS? 个人计算机的第一批病毒；人们普遍认为 Brain 病毒是这些计算机病毒中的第一种病毒。然而，1986 年出现的其他首批病毒还包括 Virdem（第一个文件病毒）和 PC-Write（第一个特洛伊木马病毒，此程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。）在 PC-Write 中，特洛伊木马程序伪装成一个同名的流行共享软件：字处理器应用程序。

随着更多的人开始研究病毒技术，病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区，然后又开始感染可执行文件。1988 年出现了第一个 Internet 蠕虫病毒（一种使用自行传播恶意代码的恶意软件，它可以通过网络连接，自动将其自身从一台计算机分发到另一台计算机）。Morris Worm 导致 Internet 的通信速度大大地降低。为了应对这种情况以及病毒爆发次数的不断增长，出现了 CERT Coordination Center（网址：http://www.cert.org/），通过协调对病毒爆发和事件的响应来确保 Internet 的稳定性。

1990 年，网上出现了病毒交流布告栏，成为病毒编写者合作和共享知识的平台。此外，还出版了第一本关于病毒编写的书籍，并且开发出了第一个多态病毒（通常称为 Chameleon 或 Casper）。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。此后不久，即出现了 Tequila 病毒，这是出现的第一个比较严重的多态病毒攻击。接着在 1992 年，出现了第一个多态病毒引擎和病毒编写工具包。

自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将 其自身发送到联系人；宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门（由恶意软件引入的秘密或隐藏的网络入口点）使得病毒编写者（或黑客）可以返回和运行他们所选择的任何软件。本指南上下文中的黑客是试图非法访问计算机系统或网络的程序员和计算机用户。本章的下一部分将详细讨论恶意软件。

有些病毒附带其自身的嵌入式电子邮件引擎，可以使已感染的系统直接通过电子邮件传播病毒，而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程，来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任，使其打开附加的病毒文件，来显著地增加大规模感染的可能性。

恶意软件演变的同时，防病毒软件也处在不断的发展之中。但是，当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间，仍然存在存活机会。因此，现在发布的许多病毒在最初的数天内感染速度极快，之后一旦分发了应对病毒的签名文件，感染速度则迅速降低。

返回页首

什么是恶意软件？

本指南将术语"恶意软件"用作一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。

那么，计算机病毒或蠕虫的确切含义是什么？它们和特洛伊木马之间有哪些不同之处？防病毒应用程序是仅对蠕虫和特洛伊木马有效，还是仅对病毒有效？

所有这些问题都起源于令人迷惑且通常被曲解的恶意代码世界。现有恶意代码的数目和种类繁多，因此很难为每个恶意代码类别提供一个准确的定义。

对于笼统的防病毒讨论，可使用以下简单的恶意软件类别定义：

对于本指南的用途而言，负载是一个集合术语，表示恶意软件攻击在已感染计算机上执行的操作。各种恶意软件类别的上述定义使得可以通过一个简单的流程图来说明这些类别之间的不同之处。下图说明了可用来确定程序或脚本是否属于这些类别的元素：

图 2.1 恶意代码决策树

通过此图，可以区分对于本指南用途而言的每种常见恶意代码类别。但是，了解单个攻击所引入的代码可能适合一个或多个类别是非常重要的。这些类型的攻击（称作混合威胁，包含使用多种攻击方法的多个恶意软件类型）会以极快的速度传播。攻击方法是恶意软件可用于发起攻击的例程。由于这些原因，混合威胁特别难以应对。

以下部分对每种恶意软件类别进行了更为详细的解释，以帮助说明每种类别的一些主要元素。

特洛伊木马

特洛伊木马不被认为是计算机病毒或蠕虫，因为它不自行传播。但是，病毒或蠕虫可用于将特洛伊木马作为攻击负载的一部分复制到目标系统上，此过程称为"发送"。特洛伊木马的通常意图是中断用户的工作或系统的正常运行。例如，特洛伊木马可能在系统中提供后门，使黑客可以窃取数据或更改配置设置。

在提及特洛伊木马或特洛伊类型活动时，还有两个经常使用的术语，其识别方法和解释如下：

蠕虫

如果恶意代码进行复制，则它不是特洛伊木马，因此为了更精确地定义恶意软件而要涉及到的下一个问题是："代码是否可在没有携带者的情况下进行复制？"即，它是否可以在无须感染可执行文件的情况下进行复制？如果此问题的答案为"是"，则此代码被认为是某种类型的蠕虫。

大多数蠕虫试图将其自身复制到宿主计算机上，然后使用此计算机的通信通道来进行复制。例如，Sasser 蠕虫依赖服务的安全漏洞最初感染一个系统，然后使用已感染系统的网络连接来试图进行复制。如果已安装最新的安全更新（来停止感染），或已在环境中启用防火墙来阻止蠕虫所用的网络端口（来停止复制），则攻击将会失败。

病毒

如果恶意代码将其自身的副本添加到文件、文档或磁盘驱动器的启动扇区来进行复制，则认为它是病毒。此副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。有关详细信息，请参阅本章后面的"防护机制"部分。正如前面所提及的，病毒通常会将其包含的负载（例如，特洛伊木马）放置在一个本地计算机上，然后执行一个或多个恶意操作（例如，删除用户数据）。但是，仅进行复制且不具有负载的病毒仍是恶意软件问题，因为该病毒自身在其复制时可能会损坏数据、消耗系统资源并占用网络带宽。

返回页首

恶意软件的特征

每类恶意软件可以表现出来的各种特征通常非常类似。例如，病毒和蠕虫可能都会使用网络作为传输机制。然而，病毒会寻找文件以进行感染，而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。

目标环境

恶意软件试图攻击宿主系统时，可能需要许多特定的组件，攻击才能成功。下面是一个典型示例，说明恶意软件在攻击宿主系统时所需的组件：

携带者对象

如果恶意软件是病毒，它会试图将携带者对象作为攻击对象（也称为宿主）并感染它。目标携带者对象的数量和类型随恶意软件的不同而大不相同，以下列表提供了最常用的目标携带者的示例：

传输机制

攻击可以使用一个或多个不同方法，在计算机系统之间尝试并复制。本部分提供了与恶意软件使用的几个比较常见的传输机制有关的信息。

负载

一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为"负载"的操作，负载可以采用许多形式。在本部分中识别的某些常见负载类型包括：

触发机制

触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递。典型的触发机制包括以下内容：

防护机制

许多恶意软件示例使用某种类型的防护机制，来降低被发现和删除的可能性。以下列表提供了一些已被使用的技术的示例：

返回页首

什么不是恶意软件？

有许多存在的威胁并不被认为是恶意软件，因为它们不是具有邪恶意图的计算机程序。但是，这些威胁对于一个组织而言仍具有安全和经济上的影响。因此，您可能希望了解您组织的 IT 基础结构和 IT 用户工作效率所面临的威胁。

玩笑软件

玩笑应用程序旨在生成一个微笑，或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的，而且很明白地标识为玩笑，因此对于本指南的用途而言，它们并不被认为是恶意软件。有许多玩笑应用程序的示例，从有趣的屏幕效果到逗人开心的动画或游戏，应有尽有。

恶作剧

通常情况下，欺骗某人为您做事要比编写软件使人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。

与其他形式的恶意软件一样，恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是，在恶作剧中并不执行任何代码；恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为，某个电子邮件声称发现了一种新的病毒类型，并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间，消耗电子邮件资源并占用网络带宽。

欺诈

实际上，违法者已经使用过各种通信形式（在这一次或那一次），试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是，违法者发送电子邮件，试图欺骗收件人透露个人信息（例如，银行帐户信息），然后将这些信息用于非法用途。有一种特殊类型的欺诈称为"phishing"（发音同"fishing"，也称为"品牌欺骗"或"carding"）。

phishing 的示例包括发件人伪装知名公司（例如，eBay）试图获取用户帐户信息这种情况。Phishing 欺诈通常使用一个模仿某公司官方网站外观的网站。电子邮件用于将用户指向虚假站点，并欺骗用户输入其用户帐户信息，而这些信息将被保存并用于非法用途。这些案例类型应认真处理，并要报告给本地的法律执行机构。

垃圾邮件

垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。

术语"垃圾邮件"的来源尚在讨论之中，但是无论它的来源是什么，有一点是可以肯定的，那就是垃圾邮件已经成为 Internet 通信中最让人头痛的、长久存在的问题之一。许多人认为垃圾邮件问题如此严重，以至于它现在威胁到了世界各地的电子邮件通信的健康状况。但是，我们应该注意到，除了电子邮件服务器和防垃圾邮件软件所承担的负载之外，垃圾邮件实际上并不能复制或威胁某个组织 IT 系统的健康和运作。

恶意软件经常被垃圾软件的始发者（因此称为"垃圾邮件制造者"）使用，以在宿主计算机上安装一个小型 SMTP 电子邮件服务器服务，然后通过该服务将垃圾邮件转发到另一个电子邮件收件人。

间谍软件

此类软件有时也称为"spybot"或"跟踪软件"。间谍软件使用其他形式的欺骗性软件和程序，它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息，以及更改 Internet 浏览器配置设置。除了令人讨厌之外，间谍软件还会导致各种问题，从降低计算机的总体性能到侵犯个人隐私。

分发间谍软件的网站使用各种诡计，使用户下载并将其安装在他们的计算机上。这些诡计包括创建欺骗性的用户体验，以及隐蔽地将间谍软件和用户可能需要的其他软件（例如，免费的文件共享软件）捆绑在一起。

广告软件

广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但是，弹出式广告会非常令人讨厌，并且在某些情况下会降低系统性能。此外，有些用户原来并没有完全意识到许可协议中的条款，这些应用程序收集的信息可能会导致他们担心隐私问题。

注意： 尽管术语"间谍软件"和"广告软件"经常交替使用，但只有未经授权的广告软件才等同于间谍软件。为用户提供适当的通知、选择和控制的广告软件并不是欺骗性的，不应划分为间谍软件。还要注意到，声称执行特定功能（实际上执行其他任务）的间谍软件应用程序实际上起到了特洛伊木马的作用。

Internet Cookie

Internet Cookie 是由用户所访问的网站放置在用户计算机上的文本文件。Cookie 包含与用户相关的标识信息，并将该信息提供给网站，然后网站将这些信息（连同站点要保留的、与用户访问相关的任何其他信息）放置在用户计算机上。

Cookie 是合法工具，许多网站使用它们跟踪访问者的信息。例如，用户可能要在网上商店中购买商品，但是在将商品放置在网上购物车中后，他们可能由于某些原因要转到另一个网站。此商店可选择在用户计算机上的 Cookie 中保存关于购物车中有哪些商品的信息，这样当用户返回该站点后，商品仍在购物车中，并且已经准备好可供用户购买（如果他/她希望完成购买）。

人们认为，网站开发人员只能检索他们创建的 Cookie 中所存储的信息。此方法通过阻止这些站点的开发人员之外的其他人员访问用户计算机上的 Cookie，应该可以确保用户的隐私。

不幸的是，据悉某些网站的开发人员在用户不知情的情况下使用 Cookie 收集信息。某些人可能会欺骗用户或违反政策。例如，他们可能跨多个不同的网站跟踪 Web 冲浪习惯，而不通知用户。然后，站点开发人员可以使用此信息自定义用户在网站上看到的广告，这将被视为一种侵犯隐私的行为。这种目标广告形式以及其他形式的"Cookie 滥用"很难识别，从而使得确定是否在系统上阻止它们、什么时间以及怎样阻止它们变得非常困难。另外，可接受级别的共享信息随计算机用户的不同而不同，因此很难创建一个能满足环境中所有计算机用户的需求的"防 Cookie"程序。

返回页首

防病毒软件

防病毒软件专门用于防护系统，使其免受来自恶意软件的威胁。Microsoft 强烈推荐使用防病毒软件，因为它会保护您的计算机系统，使其免受任何形式的恶意软件（而不仅仅是病毒）的侵害。

防病毒软件可以使用许多技术来检测恶意软件。本部分将讨论某些技术的工作原理，包括：

现在，许多防病毒供应商在他们的解决方案中混合使用这些技术，以尝试提高客户计算机系统的整体保护级别。

可从多个 Microsoft 合作伙伴那里获取防病毒软件。关于完整的最新列表，请参阅 Microsoft.com 中的"Microsoft Antivirus Partners"页，网址为：http://www.microsoft.com/security/partners/antivirus.asp（英文）。

返回页首

"处于放任状态"恶意软件的典型时间线

已经出现了一种模式，用来定义可作用于公共网络的新恶意软件攻击的生存期，或者定义恶意软件进入放任状态的时间。学习此模式有助于您了解新的恶意软件攻击发布后所带来的风险。

新的时间线从恶意软件最初开发时开始，到它的所有痕迹已从被监视网络中删除为止。时间线阶段定义如下：

随着越来越多的用户更新防病毒软件，恶意软件的威胁性将会慢慢地变小。此过程基本不会删除处于放任状态的恶意软件的所有实例，因为某些连接到 Internet 的计算机只有极少或根本没有防病毒保护，而恶意软件会驻留在这些计算机中。但总体而言，来自攻击的威胁已经减弱。

尽管此时间线对于每个新开发的恶意软件攻击都会重复一遍，但是它并不代表所有的攻击。许多攻击仅是恶意代码原始部分的修改版本。这样，基础代码和方法是相同的，但是进行了很小的更改，以免攻击在检测到之后被删除。通常，成功的恶意代码攻击会随着星期和月份的推移而产生多个版本。这种情况将导致一种"军备竞赛"，恶意软件编写者为了自身利益（可能是为了经济利益，也可能是为了扬名，或仅仅出于好奇）将努力避免程序被检测出来。而病毒防护将根据需要再次被更新、修补或更改，以减轻恶意软件更新后带来的威胁。

返回页首

小结

恶意软件是计算机技术中一个复杂并且不断发展的领域。在 IT 业面临的所有问题中，几乎没有比恶意软件攻击更具普遍性，也几乎没有比处理恶意软件的相关费用更昂贵的了。了解恶意软件的工作原理、随时间推移的演变方式以及它们所使用的攻击方法，将有助于您以主动的方式处理此问题。反过来，如果恶意软件的确影响了您或您的组织，这将为您提供一种更为有效且效率更高的应对过程。

由于恶意软件使用如此之多的技术进行创建、分发和利用计算机系统，因此很难知道如何保护系统才足以抵挡这样的攻击。但是，一旦了解了风险和漏洞，则可以通过使成功攻击基本不可能发生这种方式来管理系统。

下一步是分析 IT 基础结构中各个点的风险，然后设计合适的防护措施，这是下一章的主题。设计有效的恢复计划是本指南最后一章的主题。