对计算机恶意软件分析及防范技术研究

韩桂杰

（中国石油化工股份有限公司辽宁沈阳石油分公司，辽宁 沈阳 110031）

1 恶意软件的类型及特点

恶意软件是一种秘密植入用户系统借以盗取用户机密信息，破坏用户软件和操作系统或是造成其它危害的一种网络程序。对于绝大多数系统来说，恶意软件已经成为了最大的外部威胁，给企业和个人都带来了巨大的损失。仅以恶意软件中的间谍软件为例，间谍软件侵犯了用户的隐私，这已经成为企业用户关注的焦点。尽管间谍软件的出现已有时日，但是近几年使用间谍软件侵入系统监视用户行为变得更加猖獗。主要的恶意软件有：

1.1 浏览器劫持

浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。

1.2 间谍软件(Spyware)

间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程操纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。

1.3 广告软件（Adware）

广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁弹出广告，消耗系统资源，使其运行变慢等。例如：用户安装了某下载软件后，会一直弹出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。

1.4 恶意共享软件(malicious shareware)

恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。

1.5 行为记录软件（Track Ware）

行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危及用户隐私，可能被黑客利用来进行网络诈骗。例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。

1.6 行为记录软件（track ware）

行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。行为记录软件危及用户隐私，可能被黑客利用来进行网络诈骗。

1.7 恶作剧程序

恶作剧程序通常都是执行程序，本身没有过激危害，但影响正常工作的一类程序。恶作剧程序改变系统中部分文件的编码格式，运行没有任何提示，支持文件改名,支持文件合并器。恶作剧程序如果不是刻意散播，通常没有自我散播能力。

恶意软件有两大特点：一是编写病毒化。不少恶意软件为了防止被杀毒软件或恶意软件卸载工具发现，采用了病毒常用的Rootkit技术进行自我保护。Rootkit可以对自身及指定的文件进行隐藏或锁定，防止被发现和删除。更有一些恶意软件，采用“自杀式”技术攻击杀毒软件。一旦发现用户安装或运行杀毒软件，便运行恶意代码，直接造成计算机死机、蓝屏，让用户误以为是杀毒软件存在问题。

二是传播病毒化。为了达到更好的传播效果，并减小成本，不少中小厂商直接使用病毒进行“恶意推广”。用户的计算机感染病毒后，病毒会自动在后台运行，下载并安装恶意软件。同时，恶意软件安装后也会去从互联网自动下载运行病毒。大量的恶意软件开始使用电脑病毒来隐藏自身、进行快速传播、并对抗用户的清除等，这些行为严重危害到用户的信息安全和利益。

2 恶意软件威胁的防范

2.1 部署企业反恶意软件解决方案

随着恶意软件逐渐成为安全机制的核心问题，企业都应该部署自己的防恶意软件解决方案，并且由于大多数恶意软件都会直接影响用户电脑，因此安全重点应该是企业中每台用户计算机。

此外，由于远程访问技术无处不在，远程用户也应该部署相同的安全措施，最好就是为远程用户部署完成的端点安全解决方案，包括修补程序和防火墙管理以及防恶意软件程序。最后，可以考虑部署入侵防御系统(IPS)来拦截和预防某些由远程用户导致的攻击。

2.2 及时修复

由于安全领域技术日益变化，企业应该随时保持企业系统的更新状态，例如可以专门安排一名工作人员关注CERT警告和漏洞标签以获取任何更新信息，保持企业系统的及时修复可以在很大程度上降低安全风险。当然有时供应商的修复补丁可能会比较晚，但及时修复补丁绝对是最安全的做法。

2.3 部署强大的身份验证机制

很多企业攻击都是依靠单一验证而发动攻击的，传统钓鱼式攻击、键盘记录攻击以及上述Twittr攻击都属于这种形式。这些攻击主要在于窃取个人信息(用户名和密码)，这些信息将用于登陆用户的帐户。部署额外的身份验证机制可以抵御这些攻击，例如通过要求用户使用自身的东西(安全设备)或者指纹等来验证身份。部署多因素身份验证系统通常能够抵御上述所有攻击形式。

因为这些攻击可以获取信息，例如用户安全问题的答案，额外的基于信息的身份验证并不能提供额外的保护，数字证书也是同样的道理，因为这些信息都很容易复制或者窃取，并不能抵御这些攻击。

目前选择身份验证解决方案的最佳做法是，选择一个带外双因素系统，因为现在的恶意软件已经能够攻击传统的带内双因素系统。另外，考虑添加生物认证因素，混合声音、指纹或者其他三因素验证系统。通过使用单独渠道(例如电话网络)进行第二层验证，还可以帮助避开安装在用户设备上的恶意软件。

2.4 建立安全的防护体系意识

防范恶意软件的第一步，就是要有安全的多层意识，一是数据层；二是应用程序层；三是主机层；四是内部网络层；五是外围网络层；六是物理安全层；七是策略、过程和意识层。将安全的多层意识作用在计算机网络体系中，我们就可以逐层进行分析、进行有效的防范。

计算机网络信息安全是一项复杂的系统工程，防御网络入侵与攻击只是保障网络信息安全的一部分。

3 结束语

随着计算机网络的快速应用和普及，网络信息安全的不确定因素也越来越多，我们必须综合考虑各种安全因素，认真分析各种可能的入侵和攻击形式，采取有效的技术措施，制定合理的网络安全策略和配套的管理办法，防止各种可能的入侵和攻击行为，避免因入侵和攻击造成的各种损失。

[1]蔡志平.计算机病毒检测技术研究与实现[D].国防科学技术大学，2001.

[2]陶书志.网络环境下恶意软件问题研究[J].情报探索，2008（5）.