从蠕虫到勒索软件：恶意软件的演变与防范（非常详细）零基础入门到精通，收藏这一篇就够了

程序员霸哥

于 2025-05-22 22:02:07 发布

阅读量455

点赞数 20

分类专栏：程序员计算机工具编程文章标签：网络 web安全安全 linux 前端 python java

本文链接：https://blog.csdn.net/logic1001/article/details/148150276

版权

程序员同时被 3 个专栏收录

2566 篇文章

订阅专栏

计算机工具

1400 篇文章

订阅专栏

编程

754 篇文章

订阅专栏

什么是恶意软件？

**恶意软件，简而言之，涵盖了病毒、蠕虫、木马等一切具有恶意的计算机程序，它们被黑客利用以破坏系统或窃取敏感信息。**换句话说，一个软件之所以被视为恶意软件，关键在于其被设计用于执行恶意行为，而非制作它所使用的技术或手段。

关于恶意软件与病毒的区别：其实，这是一个略显片面的讨论。因为病毒本质上就是恶意软件的一种表现形式，意味着所有病毒都归类于恶意软件，但并非所有恶意软件都是病毒。

恶意软件的历史

恶意软件的出现历史源远流长，最早可追溯到20世纪80年代，那时Apple II用户间交换的受感染软盘便已初现端倪。随后，1988年的Morris蠕虫在Unix系统上肆虐，更是将恶意软件的影响力推向了新的高度。

近年来，数起引人注目的恶意软件攻击包括：

ILOVEYOU蠕虫病毒，在2000年迅速传播，造成了超过150亿美元的损失。

SQL Slammer，2003年首次爆发，几分钟内便导致互联网流量大幅受阻。

Conficker，一种利用Windows漏洞并通过多种攻击手段（如恶意代码注入、网络钓鱼邮件）传播的蠕虫，最终控制Windows设备形成僵尸网络。

Zeus，一款针对银行信息的键盘记录木马，活跃于20世纪后期。

CryptoLocker，首次大规模勒索软件攻击，其代码被不断复制用于类似恶意项目。

震网病毒，一种高度复杂的蠕虫，虽感染全球计算机，但仅在伊朗纳坦兹核设施造成实际破坏，显示出其作为美以情报机构工具的威力。

Ryuk，一款针对可能支付赎金的脆弱组织（如医院和政府）的勒索软件，常通过TrickBot木马进行传播。

恶意软件如何感染？

恶意软件的感染过程主要分为两个阶段：初始感染和后续传播。

据2024年一份报告显示，2023年，漏洞利用是最主要的初始感染途径，占比高达38%，紧随其后的分别是网络钓鱼（17%）、历史入侵遗留问题（15%）、被盗凭证（10%）以及暴力破解（6%）。

恶意软件的传播方式

您或许常听到“病毒”、“木马”和“蠕虫”这些词被混用，但实际上，它们各自代表了三种不同类型的恶意软件，区别主要在于其复制与传播机制。

蠕虫是一种能够自我复制并在不同计算机间游走的独立恶意软件。其创造者深知操作系统漏洞，蠕虫会在其运行的任何网络环境中搜寻可接入的计算机，并在这些易受攻击的机器上复制自身。早期的蠕虫多依赖软盘等可移动介质传播，而现代蠕虫则更倾向于通过网络扫描寻找漏洞，无论是公司内网还是互联网上的计算机都难逃其手。

**病毒则是一种寄生性的计算机代码，它会悄无声息地嵌入到其他程序中，借助这些“宿主”程序进行传播，并在执行时执行恶意操作。**与蠕虫类似，病毒也会寻找网络中的漏洞，但其独特的潜伏方式使得它可以通过看似无害的应用程序，从开源平台、应用商店乃至官方软件发布渠道潜入用户系统。

**木马，顾名思义，是一种伪装成用户所需之物的恶意软件，它利用社会工程学手段欺骗用户下载并执行。**木马常以邮件附件形式出现，如伪装成工资单或简历的“salary.xls”或“resume.doc”，实则暗藏Microsoft Office宏中的恶意代码。一旦激活，木马的首要任务便是自我复制，可能会劫持用户的邮件系统，向更多潜在受害者发送自己。

此外，恶意软件还可能由攻击者直接“亲手”安装在目标计算机上，无论是通过物理接触还是利用权限提升技术远程操控。

恶意软件的类型概览

恶意软件的分类方式多样，除了按传播方式划分外，还可根据其入侵后的行为特征进行分类：

间谍软件

●

监视用户行为及数据传输，常用于窃取信息，键盘记录器是其一特例，专门捕捉用户的按键操作。

Rootkit

●

以系统底层为目标，赋予攻击者最高控制权，同时隐藏自身痕迹。

广告软件

●

强迫浏览器显示广告，甚至诱导下载更多恶意软件，常伴随免费软件捆绑出现。

勒索软件

●

加密用户文件，要求支付赎金以换取解密密钥，如Petya等案例令人瞩目。恐吓软件则是其变种，通过夸大威胁以恐吓用户支付赎金。

加密劫持

●

利用用户计算机进行加密货币挖掘，窃取计算资源牟利，隐蔽性极高。

恶意广告

●

通过合法广告渠道投放恶意代码，诱导用户点击后重定向至恶意网站或自动下载恶意软件。

远程访问木马（RAT）

●

赋予攻击者远程操控受害者计算机的权限，类似于合法远程协助软件的非法应用。

下载程序

●

作为木马的一种，专门负责下载并安装其他恶意软件。

多态性恶意软件

●

频繁变换形态以躲避安全检测，如Storm Worm便是其典型代表。

值得注意的是，恶意软件的形式与攻击媒介多样，如WannaCry结合了勒索软件与蠕虫的特性，而Emotet银行恶意软件则兼具木马与蠕虫的功能。

恶意软件会侵袭移动设备吗？

简而言之，恶意软件确实能够侵扰移动设备，且这一威胁正日益加剧。2023年，针对移动设备的攻击较上一年激增了52%，其中广告软件占据了所有检测到的威胁的40.8%。

Pegasus作为一款同时瞄准iOS与Android平台的移动间谍软件，赫然位列CIS（国际计算机安全协会）顶级恶意软件黑名单之中。此外，银行恶意软件、移动勒索软件及移动广告软件等，也是常见的移动恶意软件类型。

从2022年至2023年间，针对移动设备的攻击数量激增了52%，且这类攻击在所有检测到的威胁中占比高达40.8%。

真实案例警示

安全团队揭露了一项隐蔽的恶意软件活动，该活动在全球范围内潜伏于移动设备中长达半年之久，期间未被察觉。其主要目的是向Android设备推送广告软件，以此牟利。此威胁背后的行为者完全有能力迅速调整策略，将用户导向其他类型的恶意软件，如银行木马，以窃取用户凭证和财务信息，或是勒索软件。

该网络安全公司已确认有60,000个独特的Android应用程序被该广告软件感染，并推测实际感染数量或远超此数。鉴于发现的独特样本数量庞大，此次攻击很可能实现了高度自动化。

一项名为SandStrike的新间谍活动正是通过此类恶意VPN应用在Android设备上加载间谍软件。攻击者精心构建了一个虚假的在线社群，并利用伪装成VPN服务的应用程序窃取用户的凭证及其他敏感数据。这再次印证了APT（高级持续性威胁）组织如何不断翻新旧有攻击手段并研发新型武器，特别是在针对移动设备的战场上。

攻击者采用了既狡猾又出人意料的策略：SandStrike正是利用了用户对VPN服务所寄予的保护与安全的信任，实现了其恶意目的。

在SandStrike活动中，APT组织利用社交平台创建了拥有千余名粉丝的虚假账户，以诱骗受害者上钩。

如今，恶意软件通过社交网络传播变得异常容易，且可能长期潜伏而不被发现。因此，保持高度警惕，并配备有效的威胁情报及防护工具，以抵御现有及新兴威胁，显得尤为重要。

如何预防恶意软件

恶意软件的预防高度依赖于良好的网络安全习惯。至少，您应落实以下七个关键步骤：

1.定期对员工进行网络安全意识培训

2.建立健全的补丁管理机制

3.确保所有软件保持最新版本

4.维护最新的资产清单

5.定期开展网络安全漏洞评估

6.严格监控网络流量

7.定期进行数据备份