10种计算机恶意软件的本质完全解析（2）

恶意软件混合体

　　到目前为止，我们所讨论的所有类型恶意软件都具有明显的特征，归类起来很方便。但不幸的是，下面的情况就不一样了。为了提高攻击的成功率，恶意软件开发者已经发现获得最佳性能的方法是将不同类型的恶意软件结合起来。

　　Rootkits就是一个这样的例子，一个特洛伊木马和后门程序被封装在同一个载体中。这样的话，在使用的时间，攻击者就可以远程访问计算机，在不受怀疑的情况下完成整个攻击。Rootkits已经成为计算机面临的最大威胁之一了，因此，我们需要对它有一个深入的了解。

　　迥然不同的Rootkits

　　类似大多数的恶意软件，Rootkits选择的是在现有操作系统中进行改动而不是安装新的应用。这种方式是非常有效的，因为它让反恶意软件工具的监测变得非常困难。

　　rootkits包含了几种不同的类型，但目前比较流行的主要是三种类型。它们是用户模式、内核模式、和固件rootkit。在下面，我们先对用户模式和内核模式进行一下了解：

　　· 用户模式：在该模式下，代码通过受限连接进入计算机，获取软件和硬件资源的使用权限。通常情况下，计算机上的大部分代码都运行在用户模式下。由于采用的是受限连接，在用户模式下造成的损害是可以恢复的。

　　· 内核模式：在这种模式下，代码已经可以不受限制地控制计算机上所有的软件和硬件资源。通常情况下，内核模式是操作系统保留给最值得信赖功能的。在内核模式模式下造成的损害是不可恢复的。

　　6. 用户模式的rootkit

　　现在，我们知道了用户模式的rootkit可以和计算机系统管理员拥有相同的权限。这就意味着：

　　· 用户模式的rootkit可以对进程、文件、系统驱动程序、网络端口甚至系统服务进行改动。

　　· 用户模式的rootkit还是需要复制文件到计算机的硬盘驱动器上进行安装，并且在每次系统启动的时间自动加载。

　　Hacker Defender就是用户模式的rootkit的一个例子，值得庆幸的是，众所周知马克·罗斯林伟奇开发的Rootkit Revealer可以防范它和其他大多数用户模式的rootkit。

　　7. 内核模式的rootkit

　　由于用户模式的rootkit可以被发现和清除，rootkit设计者们变换了一种思路，并开发出内核模式的rootkit：

　　· 内核模式意味着rootkit和操作系统以及rootkit检测软件拥有相同的权限。

　　· 这让rootkit可以控制操作系统，也就意味着操作系统也不能被信任了。

　　对于内核模式的rootkit来说，不稳定性是一个缺点，通常情况下，它会经常导致无法解释的崩溃或蓝屏。基于这种原因，选择使用GMER是一个不错的想法。作为值得信赖的rootkit清除工具，它可以清除包括Rustock在内的内核模式的rootkit。

　　8. 固件rootkit

　　由于rootkit开发者了解了将恶意代码保存在固件中的方法，固件rootkit成为了恶意软件混合体的新发展。在这里，固件可以是从微处理器代码到PCI扩展卡固件的任何位置。这就意味着：

　　· 当计算机关闭的时间，rootkit可以将恶意代码写入当前指定的固件。

　　· 重新启动计算机的时间，rootkit就会重新安装。

　　即使清理软件发现并清除了固件rootkit，在计算机下次启动的时间，固件rootkit也会重新出现。

　　9. 恶意移动代码

　　与私下安装相比较，恶意移动代码正迅速成为在计算机上安装恶意软件的最有效方式。首先，我们来了解一下什么是移动代码：

　　· 从远程服务器上获得。

　　· 通过网络进行传输。

　　· 下载到本地系统中并可以执行。

　　移动代码的例子包括了JavaScript脚本、VBScript脚本、ActiveX控件以及Flash动画。移动代码产生的主要目的是提供交互内容，这是很容易理解的。动态网页内容可以让使用者在浏览的时间获得交互式体验。

　　为什么移动代码会给使用者带来威胁?原因其实很简单，它在安装的时间不需要用户的许可，并且可以在功能上误导用户。类似，特洛伊木马恶意软件的入侵工具，由于这仅仅是联合攻击的第一步，所以情况会变得更糟糕。在下面，攻击者就可以安装其它的恶意软件了。

　　防范恶意移动代码的最好方法是确保操作系统和所有辅助软件的及时更新。

　　10. 混合威胁

　　当恶意软件有效地结合了多种单项恶意代码可以实现最大限度的破坏时，就会被认为属于混合威胁。尽管如此，对于混合威胁来说特别值得一提的是，安全专家不情愿地承认它们做的是最出色的。混合威胁通常包括以下几项功能：

　　· 利用已知的漏洞，甚或制造漏洞。

　　· 复制替代模式。

　　· 清除使用者的防御，自动执行代码。

　　混合威胁的恶意软件，举例来说，可以是一封HTML格式的电子邮件，邮件中包含了一个嵌入式木马，而在PDF附件中，则包含了另一种不同类型的木马。比较著名的混合威胁有，尼姆达(Nimda)、红色代码(CodeRed)以及妖怪(Bugbear)。从计算机中清除混合威胁型恶意软件的话，可能需要综合利用多种不同的反恶意软件工具以及安装在LiveCD上的恶意软件扫描工具。

　　总 结

　　对于恶意软件来说：它本身可能会带来是什么样的破坏呢?关于这个问题，我有几点想法：

　　· 恶意软件在可预见的未来是不会消失的。特别是它变得越来越有用，可以带来很多钞票的时间。

　　· 由于所有的反恶意软件工具起到的都是反作用，所以它们是注定要失败的。

　　· 操作系统和应用软件开发商对于软件漏洞需要采取零容忍的态度。

　　· 计算机的使用者需要在安全方面花费更多的时间和精力以保证可以应对不断发展变化的恶意软件。

　　· 关于这一点怎么强调都是不过分的，请务必保持操作系统及应用软件的及时更新。