什么是恶意软件 - 病毒、蠕虫与木马的区别及防护

恶意软件 - 恶意程序的全貌

恶意软件（Malware）是"Malicious Software"的缩写，是以损害计算机或网络为目的而创建的软件的总称。病毒、蠕虫、木马、勒索软件、间谍软件等种类繁多，各自有不同的手法和目的。

恶意软件的历史可以追溯到 1986 年的 Brain 病毒。这个由巴基斯坦程序员兄弟创建的病毒感染软盘的引导扇区，将磁盘卷标改写为"(c) Brain"。当时主要是恶作剧动机，而如今的恶意软件大多是以金钱为目的的有组织犯罪。

恶意软件的种类与特征

恶意软件按感染方式、是否自我复制、目的进行分类。

病毒和蠕虫的根本区别

病毒和生物病毒一样需要"宿主"。它寄生在可执行文件（.exe）、文档（宏病毒）、引导扇区等中，当用户执行该文件时开始活动。而蠕虫不需要宿主，利用网络漏洞自主传播。2003 年的 SQL Slammer 蠕虫仅用 10 分钟就传遍全球，严重消耗了互联网带宽。

木马的狡猾之处

木马不会自我复制。它伪装成正规软件或文件，诱使用户主动安装。免费游戏、盗版软件、虚假安全工具等是典型的伪装手段。一旦安装，就会打开后门允许攻击者远程访问，或通过键盘记录器窃取认证信息。

感染途径 - 恶意软件从哪里来

恶意软件的感染途径多种多样，主要有以下 5 种。

钓鱼邮件

最常见的感染途径。冒充正规机构的邮件中包含恶意附件（Office 宏、PDF、ZIP）或链接。了解如何识别钓鱼诈骗直接关系到预防恶意软件感染。

路过式下载

仅仅浏览被篡改的网站或恶意广告（恶意广告投放），就会利用浏览器或插件的漏洞自动下载并执行恶意软件。由于不需要用户操作，特别危险。

软件漏洞

利用操作系统或应用程序未修补的漏洞入侵。特别是远程桌面（RDP）漏洞、VPN 设备的零日漏洞、Web 服务器配置缺陷容易被攻击。2017 年的 WannaCry 勒索软件利用 Windows SMB 协议的漏洞（EternalBlue），感染了 150 多个国家的 20 多万台计算机。

USB 设备和物理介质

仅将感染的 U 盘插入电脑，就可能通过自动运行功能执行恶意软件。Stuxnet（2010 年）以伊朗核设施为目标，通过 U 盘入侵了隔离网络。

供应链攻击

在正规软件更新中混入恶意软件的手法。2020 年的 SolarWinds 事件中，IT 管理工具 Orion 的更新被植入后门，影响了包括美国政府机构在内的 18,000 多个组织。

恶意软件的检测方法

安全软件检测恶意软件的方法大致分为 3 类。

现代安全软件采用这三种方法的多层防御组合。此外，通过与基于云的威胁情报联动，实时共享从全球用户收集的威胁信息，提高了对新型恶意软件的响应速度。

想系统学习恶意软件检测技术和防护措施，可以参考网络安全防护专业书籍。

防范恶意软件的实用措施

始终保持操作系统和软件为最新版本

安全补丁发布后请尽快安装。WannaCry 损害扩大的最大原因是，大量系统未安装 Microsoft 两个月前发布的补丁。请启用 Windows Update 自动更新，并保持浏览器和插件为最新版本。

安装安全软件并启用实时保护

Windows 自带的 Microsoft Defender 在独立测试机构 AV-TEST 的评估中，检测率与商业产品不相上下。如果安装额外的安全软件，请注意实时保护不要冲突。

警惕邮件附件和链接

不要打开陌生发件人的附件。即使是熟人的邮件，对于意料之外的附件或链接也要确认后再打开。除非有正当理由，否则不要点击 Office 文件的"启用宏"按钮。

定期备份

勒索软件防护的关键是备份。请实践 3-2-1 规则（3 份副本、2 种介质、1 份离线保存）。仅靠云存储的同步功能不足以作为备份，因为勒索软件加密的文件会被原样同步。

不安装可疑软件

请避免从官方网站或官方应用商店以外的地方下载软件。声称"免费使用付费软件"的网站几乎可以确定植入了恶意软件。了解如何检查是否被入侵也能让你更安心。

疑似感染时的应对

如果出现以下迹象，请怀疑恶意软件感染：

• 电脑突然变得很慢
• 出现不认识的程序在运行
• 浏览器主页或搜索引擎被擅自更改
• 频繁弹出广告
• 文件无法打开、扩展名被更改（勒索软件的迹象）
• 安全软件被禁用

疑似感染时，首先断开网络连接。拔掉网线，关闭 Wi-Fi。这样可以阻止恶意软件与外部命令控制服务器通信，防止向网络内其他设备扩散。然后运行安全软件进行全盘扫描，清除检测到的恶意软件。

事先设置好设备加密可以降低恶意软件窃取数据的风险。在IP 确认上检查通信状况，确认是否有可疑的连接目标也是有效的做法。