2017年上半年11大知名惡意軟體

科技 05-20

E安全5月18日文剛剛過去的5月15日國際家庭日，鼓勵家長為孩子傳授可持續發展、人權、性別平等以及形成多元化文化、全球化公民等其它價值觀，關注家庭在培養教育和終身學習中發揮的作用。

網路安全領域也離不開教育。目前，威脅格局不容樂觀，網路安全公司也在竭力應對各種新舊威脅。惡意軟體是安全行業進行繼續教育的源泉，因此，認識最知名惡意軟體家族的攻擊方式對信息安全學習至關重要。

2017年上半年11大知名惡意軟體

2017年上半年，11大知名惡意軟體如下（排名不分先後）：

1. WANNACRY（想哭）

5月12日爆發的全球範圍內的勒索軟體攻擊，就是用的wannacry這款勒索軟體。是一種特洛伊加密軟體（Onion Ransomware），利用Windows操作系統在445埠的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726）潛入電腦對多種文件類型加密並添加.onion後綴，使用戶無法打開，以勒索贖金。這款軟體基於
NSA 武器庫中「永恆之藍」黑客工具打造，主要利用微軟Windows操作系統的MS17-010漏洞進行自動傳播。

5月14日，WannaCry
勒索蠕蟲出現了變種：WannaCry 2.0，這個變種取消了所謂的Kill
Switch，不能通過註冊某個域名來關閉變種勒索蠕蟲的傳播，已經能通過Wine感染Linux系統，其傳播速度也更快。這款開發中的勒索軟體僅能夠對受害者桌面上的文件進行加密，在進行文件加密時，其會為被加密文件名稱之後添加.DARKCRY擴展名，而可執行文件則將被命名為@DaKryEncryptor@.exe，允許勒索軟體開發者進行散布以用於獲取贖金。

目前為止，這是最被廣泛知曉的勒索軟體。

2. CRYPTOWALL（木馬）

這款惡意軟體曾被認為是互聯網上「最大規模、最具破壞性的勒索軟體威脅」。CryptoWall是一款木馬，其常用方式是通過垃圾電子郵件、漏洞利用工具、被劫持的網站或其它惡意軟體感染設備。在向用戶顯示勒索留言之前，CryptoWall會加密用戶的文件。其最突出的特徵是使用AED加密並通過Tor匿名網路執行控制與命令通信。這款勒索軟體通過漏洞利用工具包（EK）、惡意廣告和網路釣魚活動廣泛傳播。這款勒索軟體經過改進，已經推出了多個變種版本，並且目前仍在開發當中。

3. HACKERDEFENDER

HackerDefender是一款Rootkit（Rootkit是一種具備隱藏、操縱、收集數據的特殊的惡意軟體，一般和木馬、後門等其他惡意程序結合使用），其影響運行Windows
NT 4.0、Windows 2000和Windows
XP的電腦。這款惡意軟體偽裝成看似合法的軟體應用程序，誘騙用戶安裝。一旦用戶下載，這款惡意軟體便會在受感染的系統上安裝後門，並註冊為隱藏的系統服務，以持續訪問設備。

4. HIDDAD

這是一款安卓惡意軟體，其主要功能在於顯示廣告。Hiddad可重新打包合法應用程序，之後將其發布到第三方應用商店，利用社交工程技術誘騙用戶安裝虛假的軟體應用。一旦成功安裝，這款惡意軟體還能竊取個人信息或財務信息等敏感數據，向付費服務發送短消息，創建後門並鎖定設備索要贖金，從而影響受害者的安全與隱私。

5. HUMMINGBAD

HummingBad是一款非常複雜、且成熟的安卓惡意軟體。Check
Point的研究人員於2016年2月首次發現它，其試圖通過一款Rootkit和連鎖攻擊（Chain
Attack）技術感染Android用戶。它可以在設備上創建持久型隱匿程序，安裝欺詐應用程序，並稍作修改執行其它惡意活動，例如安裝鍵盤記錄器、竊取憑證，並繞過企業使用的加密電子郵件容器。2016年上半年，HummingBad威脅主宰了移動威脅格局。之後另一款Andriod威脅Triada最終取代了HummingBad，一躍成為2017年1月最流行的移動惡意軟體家族。

6. NECURS

Necurs的主要風險在於這款惡意軟體家族有能力將其它惡意軟體下載到設備上，通常在偽造安全軟體下載時同時下載，該軟體還能創建後門，因此黑客可以藉助這款軟體在受感染的設備上設置後門。Necurs還可以禁用安全軟體，竊取信息，設法實現持久性，並使用多項技術避免檢測。

2017年上半年11大知名惡意軟體

7. NIVDORT（木馬）

Nivdort是作為.zip附件感染用戶電腦的木馬。該木馬能竊取受害者的登錄憑證，包括密碼、銀行信息和社交網站的登錄信息。在某些情況下，這款惡意軟體還試圖在受感染的設備上安裝其它惡意軟體。

8. SALITY

10多年以來，Sality一直在折磨Windows用戶。這款惡意軟體通過感染在本地、可移動和遠程共享驅動器上的可執行文件進行擴散。此外，Sality還試圖感染Windows啟動時運行的可執行文件。一旦成功感染，這款軟體會禁用安全軟體、將受感染的設備列入對等（P2P）殭屍網路，並接收更多文件的URL進行下載。

9. TRIADA

這是一款基於Android的惡意軟體，Triada可以授權超級用戶特權下載惡意軟體，利用該許可權安裝應用程序，並強行顯示廣告。該威脅經過模塊化設計，能感染Android Zygote，或控制應用程序何時啟動和停止的程序，還可以欺騙瀏覽器中載入的URL。此外，Triada能收集受感染手機的信息，並將自身藏身於設備RAM中，從而加大檢測難度。

10. ZEUS

ZeuS(宙斯)往往會通過垃圾郵件活動或路過式下載感染用戶設備。這款惡意軟體的主要目的是竊取機密信息，包括用戶名/密碼和銀行登錄憑證。攻擊者還可以通過ZeuS執行更多文件，關閉電腦並刪除系統文件。

11.CONFICKER（蠕蟲）

Conficker是蠕蟲家族中的一員，能利用Windows系統文件中的漏洞感染PC。一旦安裝成功，這款惡意軟體會禁用服務以及安全產品。如果受感染設備上啟用了文件共享功能，這款蠕蟲還與遠程命令與控制伺服器（C&C伺服器）通信並下載其它文件，同時運行惡意代碼。

防患於未然

考慮到上述惡意軟體家族的持久性，當今世界對惡意軟體的分析應包括監控未知事件。

如今，憑想像開展工作並非易事，但是通過文件完整性監控（File Integrity Monitoring，FIM），組織機構可以預測攻擊者可能會將惡意軟體部署在何處，以及這些程序可能會改變或影響的範圍。

E安全小編建議用戶:

1、時常關注操作系統、應用軟體的版本更新，及時升級（包括電腦、手機等電子設備）打補丁，以免漏洞被利用。

2、建議從正規官網下載軟體或者官方移動應用商店下載APP。

3、安裝安全防護軟體，開啟病毒庫自動更新功能，定期（每周、每月）檢測、查殺一下病毒。

4、對電子郵件進行安全設置，養成良好習慣，對來源不明以及明顯具有誘惑的電子郵件應立即刪除，切勿打開。