惡意軟體的意思是什麼?
「惡意軟體」(malware) 一詞是「惡意 + 軟體」(malicious + software) 的縮寫。惡意軟體是蓄意設計的、旨在對電腦與電腦系統造成損害的侵入式軟體。反之,造成非故意損害的軟體通常稱為軟體錯誤。
大眾有時候會詢問病毒與惡意軟體之間的區別。區別在於,惡意軟體是各種線上威脅的總稱,包含病毒、間諜軟體、廣告軟體、勒索軟體與其他類型的有害軟體;而電腦病毒僅是其中一種惡意軟體。
惡意軟體可能會透過網路釣魚、惡意附件、惡意下載、社會工程或隨身碟傳入網路。在本文中,我們將大致瞭解一些常見的惡意軟體類型。
惡意軟體類型
我們必須瞭解不同類型的惡意軟體攻擊,才有助於保護自己免於受到侵害。雖然某些惡意軟體類別已經人盡皆知(至少知道名稱),但還有一些惡意軟體類別則少為人知:
廣告軟體
廣告軟體是「由廣告支援的軟體」的縮寫,會在電腦螢幕或行動裝置上顯示不受歡迎的廣告(有時候是惡意廣告),將搜尋結果重新導向至廣告網站,並在未取得使用者同意的情況下,擷取可以銷售給廣告商的使用者資料。並非所有廣告軟體都是惡意軟體,某些廣告軟體不僅合法而且可以安全地使用。
使用者通常可以透過管理網路瀏覽器中的彈出式控制項與喜好設定或使用廣告攔截器,來影響廣告軟體出現的頻率以及使用者允許的下載類型。
廣告軟體的範例:
- Fireball:Fireball 在 2017 年時登上媒體頭條,當時一家以色列軟體公司發現全球 2.5 億台電腦以及五分之一的企業網路都感染到這個廣告軟體。如果電腦被感染,Fireball 會接管瀏覽器。Fireball 會將首頁變成 Trotus 這個偽造的搜尋引擎,然後將突兀的廣告插入您瀏覽的所有網頁。Fireball 也會阻止您修改瀏覽器設定。
- Appearch:Appearch 是可作為瀏覽器劫持程式的另一種常見廣告軟體程式。Appearch 通常會與其他免費軟體搭配,將許多廣告插入瀏覽器,讓網路瀏覽變得寸步難行。如果試圖造訪網站,系統會改為將您導向 Appearch.info。如果想要開啟網頁,Appearch 會將文字的隨機區塊轉換成連結,在您選取文字時,以彈出視窗邀請您下載軟體更新。
間諜軟體
間諜軟體是一種隱藏在裝置中的惡意軟體,會監控活動並竊取如財務資料、帳戶資訊、登入資訊等敏感資訊。間諜軟體可以利用軟體漏洞來傳播,或是與合法軟體或木馬程式捆綁在一起。
間諜軟體範例:
- CoolWebSearch:這個程式利用 Internet Explorer 中的安全漏洞入侵瀏覽器、變更設定並將瀏覽資料傳送給其製作者。
- Gator:這個程式通常與 Kazaa 等檔案共享軟體捆綁在一起,監控受害者的網頁瀏覽習慣並使用該資訊為受害者提供特定廣告。
勒索軟體與加密惡意軟體
勒索軟體是一種惡意軟體,會鎖住使用者的系統或拒絕使用者存取資料,直至使用者支付贖金。加密惡意軟體是一種勒索軟體,會加密使用者的檔案並要求在特定期限前付款,而且通常要求透過比特幣等數位貨幣付款。多年以來,勒索軟體一直是各產業中的組織揮之不去的威脅。隨著越來越多的企業採納數位轉型,這些企業成為勒索軟體攻擊目標的可能性也大幅成長。
勒索軟體範例:
- CryptoLocker 是一種在 2013 年與 2014 年盛行的惡意軟體,被網路罪犯用來存取並加密系統檔案。網路罪犯使用社會工程戰術,誘使員工將勒索軟體下載到他們的電腦,進而感染網路。下載之後,CryptoLocker 就會顯示一則隨機訊息,提出只要在述及的期限前支付現金或比特幣,就可以解密資料。CryptoLocker 勒索軟體已遭消滅,但據信其操作者從毫無戒備的組織勒索了約三百萬美元。
- Phobos 惡意軟體是一種出現在 2019 年的勒索軟體。這種勒索軟體是以過往已知的 Dharma(即 CrySis)勒索軟體系列為基礎。
木馬程式
木馬程式將自己偽裝成合法軟體,誘使您在電腦上執行惡意軟體。由於這種程式看起來可信賴,使用者會下載這種程式,在無意之中允許將惡意軟體安裝在使用者的裝置上。木馬程式即是一個入口。與蠕蟲不同,木馬程式需要主機才能運作。一旦在裝置上安裝木馬程式,駭客就可以使用木馬程式來刪除、修改或擷取資料,利用您的裝置作為殭屍網路的一部分,監視您的裝置或取得網路的存取權限。
木馬程式範例:
- Qbot 惡意軟體(亦稱 Qakbot 或 Pinkslipbot)是一種活耀於 2007 年的銀行木馬程式,著重在竊取使用者的資料與銀行憑證。這種惡意軟體已演變成加入新穎的傳遞機制、命令與控制技術以及躲避分析功能。
- TrickBot 惡意軟體(在 2016 年首次發現)是由頂尖的網路罪犯開發與操作的一款木馬程式。最初,TrickBot 這套惡意軟體被設計成竊取財物資料的銀行木馬程式。之後,TrickBot 演變成模組化、多階段惡意軟體,為其操作者提供完整的工具套件,以執行諸多非法的網路活動。
蠕蟲
蠕蟲是一種常見的惡意軟體類型,利用作業系統漏洞在電腦網路中傳播。蠕蟲是一種獨立的程式,可以在不要求任何人採取行動的情況下,複製自身來感染其他電腦。由於蠕蟲可以快速傳播,因此常被用於執行承載(為損害系統而建立的程式碼)。承載可以刪除主機系統上的檔案、為勒索軟體攻擊加密資料、竊取資訊、刪除檔案以及建立殭屍網路。
蠕蟲範例:
- SQL Slammer 是一種知名的電腦蠕蟲,並不使用傳統的散佈方法。反之,SQL Slammer 會產生隨機 IP 位址並將自己傳送給它們,從中尋找未受到防毒軟體保護的電腦。於 2003 年發動襲擊後不久,SQL Slammer 感染的 75,000 電腦,在不知情的情況下參與了多個主要網站上的 DDoS 攻擊。雖然相關的安全修補程式已問世多年,但是 SQL Slammer 仍在 2016 與 2017 年再度復活。
病毒
病毒是一種將自身插入應用程式並在應用程式運行時執行的程式碼。一旦病毒潛入網路之中,就可以將病毒用於竊取敏感資料、啟動 DDoS 攻擊或執行勒索軟體攻擊。病毒通常透過受到感染的網站、檔案分享或電子郵件附件下載等方式傳播,且在受感染的主機檔案或是程式啟用之前,都處於休眠狀態。在發生這種情況之後,病毒可以複製自身並且透過您的系統傳播。
病毒範例:
- Stuxnet:Stuxnet 出現在 2010 年,被普遍認為是美國與以色列政府開發的,為的是中斷伊朗的核子計劃。Stuxnet 透過 USB 隨身碟傳播,針對西門子的工業控制系統發動攻擊,造成離心機故障並以創記錄的速度自我毀滅。通常認為,Stuxnet 感染了超過 20,000 台電腦並且毀壞了伊朗五分之一的核離心機,致使伊朗的計劃倒退數年。
鍵盤側錄器
鍵盤側錄器是一種監視使用者活動的間諜軟體。鍵盤側錄器可用於合法用途,例如:家庭使用鍵盤側錄器追蹤孩子的線上活動,或者組織使用鍵盤側錄器來監控員工活動。然而,當出於惡意目的安裝鍵盤記錄器時,鍵盤側錄器可用於竊取密碼資料、銀行資訊與其他敏感資訊。有心人士可透過網路釣魚、社會工程或惡意下載,將鍵盤側錄器插入系統。
鍵盤側錄器範例:
- 在 2017 年,愛荷華大學的一位學生為竊取登入憑證來修改分數和成績,在工作人員的電腦上安裝鍵盤側錄器,因此遭到逮捕。該位學生經判定有罪,判處四個月監禁。
殭屍程式與殭屍網路
殭屍程式是受到惡意軟體感染的電腦,因此駭客可以遠端控制這台電腦。然後,殭屍程式(有時稱為殭屍電腦)可用於啟動更多攻擊或成為一組稱為殭屍網路之殭屍程式的一部分。由於殭屍網路可在不被偵測的情況下傳播,因此殭屍網路可以包含數百萬台裝置。殭屍網路協助駭客執行眾多惡意活動,包含 DDoS 攻擊、傳送垃圾郵件與網路釣魚訊息以及傳播其他類型的惡意軟體。
殭屍網路範例:
- Andromeda 惡意軟體:Andromeda 殭屍網路與 80 種不同的惡意軟體家族有關聯。Andromeda 成長速度驚人,在一個月內就感染了一百萬台全新機器,透過社群媒體、即時傳訊、垃圾郵件、網站滲透測試工具等方式散布。FBI、歐洲刑警組織 (Europol) 下轄的歐洲網路犯罪中心 (European Cybercrime centre) 與其他組織在 2017 年挫敗了這個惡意軟體行動,但是仍有許多電腦持續受到感染。
- Mirai:在 2016 年,一場大規模的 DDoS 攻擊讓美國東岸的大部分區域無法存取網路。這場一開始讓主管機關擔憂是敵對國家/地區所進行的攻擊,其實是殭屍網路所造成的攻擊。Mirai 是一種惡意軟體,會自動尋找物聯網 (IoT) 裝置加以感染,並徵用這些裝置成為殭屍網路。從此,這個物聯網大軍可用於執行 DDoS 攻擊,其中垃圾流量會以惡意流量灌滿目標的伺服器。Mirai 在今日仍舊造成麻煩。
PUP 惡意軟體
PUP 代表「潛在垃圾程式」(potentially unwanted programs)。PUP 是可能包含與您下載之軟體無關的廣告、工具列和彈出視窗的程式。嚴格來說,PUP 並不一定是惡意軟體,PUP 開發人員指出他們的程式是在其使用者同意時下載的程式,這與惡意軟體不同。但是,普遍認為,大眾會下載 PUP 的原因是他們未能意識到他們已經同意下載。
PUP 通常與其他更多合法軟體組合在一起。大部分的人最終會取得 PUP,是因為他們下載了全新的程式,而且在安裝程式時並未閱讀附屬細則,因此他們並未意識到自己選擇了沒有實際用途的額外程式。
PUP 惡意軟體範例:
- Mindspark 惡意軟體:這是一款很容易安裝的 PUP,會在使用者未注意到時下載到機器上。Mindspark 可以在使用者不知不覺中變更設定並觸發裝置上的行為。Mindspark 極難以消除。
混合式惡意軟體
現今大部分的惡意軟體是不同種惡意軟體的組合,通常包含部分的木馬程式與蠕蟲,偶爾也包含病毒。惡意軟體程式通常會以木馬程式的形式顯示在終端使用者的裝置上,但在執行惡意軟體之後,惡意軟體就會像蠕蟲一樣,透過網路攻擊其他受害者。
混合式惡意軟體範例:
- 在 2001 年,自稱為 Lion 的惡意軟體開發人員釋出了一種混合式惡意軟體,這是結合蠕蟲與 Rootkit 的惡意軟體。Rootkit 可讓駭客操縱作業系統檔案,蠕蟲則是可快速傳播程式碼的強大媒介。這種惡意組合造成了嚴重的破壞:對超過 10,000 台電腦的 Linux 系統造成了損害。蠕蟲/Rootkit 組合惡意軟體被專門設計為利用 Linux 系統中的漏洞。
無檔案惡意軟體
無檔案惡意軟體是一種使用合法的程式來感染電腦的惡意軟體。這種惡意軟體並不依賴檔案,而且不會留下任何足跡,讓人們難以偵測與移除這種惡意軟體。無檔案惡意軟體在 2017 年出現,成為當年度的主流攻擊類型,但其中的許多攻擊方法已經存在了一段時間。
在不需要儲存在檔案或是直接安裝在機器的情況下,無檔案感染會直接進入記憶體,而惡意內容從未接觸到硬碟。網路罪犯日漸將無檔案惡意軟體作為有效的替代攻擊形式,讓傳統的防毒軟體更難以偵測無檔案惡意軟體,因為無檔案惡意軟體並未留下過多足跡而且缺少可被掃描到的檔案。
無檔案惡意軟體範例:
- Frodo、Number of the Beast 與 The Dark Avenger 皆為這種惡意軟體的早期範例。
邏輯炸彈
邏輯炸彈是一種僅會在觸發時啟動的惡意軟體,例如在特定的日期與時間,或是在第 20 次登入帳戶時。病毒與蠕蟲經常會包含邏輯炸彈,可在預先定義的時間或是在滿足其他條件時傳遞其承載(即惡意程式碼)。邏輯炸彈造成的損害從變更資料位元組到讓硬碟無法讀取等各有不同。
邏輯炸彈範例:
- 在 2016 年,一位程式設計師每隔幾年就在西門子公司的分公司造成工作表故障,因此該分公司不得不持續聘僱這位程式設計師修正這個問題。在此案例中,沒有任何人提出任何懷疑,直到一次巧合迫使這個惡意程式碼公諸於眾。
惡意軟體如何傳播?
惡意軟體威脅最常見的傳播方式包含:
- 電子郵件:如果電子郵件遭到駭客入侵,惡意軟體可以迫使您的電腦寄送含有受感染附件或惡意網站連結的電子郵件。當收件者開啟附件或是點擊連結,惡意軟體就會安裝在他們的電腦上,然後重複這樣的循環。
- 實體媒介:駭客可以將惡意軟體載入 USB 隨身碟,並等待不知情的受害者將該隨身碟插入受害者的電腦。此技術通常用於從事企業間諜活動。
- 彈出式警示:這包含偽造的安全警示,可誘使您下載偽造的安全軟體,在某些情況中,這些偽造的安全軟體可能是其他惡意軟體。
- 漏洞:軟體中的安全缺陷可讓惡意軟體未經授權存取電腦、硬體或網路。
- 後門:軟體、硬體、網路或系統安全中的蓄意或非蓄意開口。
- 路過式下載:在終端使用者知道或不知道的情況下非蓄意下載軟體。
- 權限提升:攻擊者獲得電腦或網路的升級存取權限,然後使用該存取權限啟動攻擊的一種情況。
- 同質性:如果所有系統都執行相同的作業系統並連線到相同的網路,那麼蠕蟲成功地傳播到其他電腦的風險將會提高。
- 混合式威脅:結合多種惡意軟體特徵的惡意軟體套件,讓使用者更難以偵測到這些套件的存在或停止這些套件,因為這些惡意軟體套件會利用不同的漏洞。
感染惡意軟體的跡象
如果注意到下方所列的任何事項,裝置上可能有惡意軟體存在:
- 電腦出現緩慢、當機或凍結等狀況
- 出現惡名昭彰的「藍色當機畫面」
- 程式自動開啟與關閉或自行變更
- 缺少儲存空間
- 增加彈出視窗、工具列與其他有害程式
- 在未啟動電子郵件與訊息的情況下傳送電子郵件與訊息
使用防毒軟體,保護自己不受惡意軟體威脅侵害:
保護自己不受惡意軟體攻擊以及潛在垃圾程式侵害的最佳方式,就是使用全方位的防毒軟體。卡巴斯基全方位安全軟體提供全年無休的防護,抵禦駭客、病毒與惡意軟體侵害,協助保護您的資料與裝置。
推薦產品:
