计算机威胁种类

“威胁”一词在此是指任何能够间接或直接给计算机、网络、信息或用户权益造成损失的软件（也就是恶意软件和其他不良程序）。“威胁”一词还具有更广的含义，包括计算机和网络的任何潜在危险（也就是可以被黑客进攻利用的漏洞）。

下面介绍的所有类型的软件都有能力损害用户数据或数据隐私。某些不在系统中隐形的软件（如一些垃圾邮件群发软件或流量分析软件）一般不被归为计算机威胁，但某些情况下这些软件也有可能给用户带来危害。

计算机病毒

此类计算机威胁的特点是能够将自身代码植入其他软件的执行代码。这种植入称为感染。大多数情况下被感染的文件也成为病毒携带体，而其恶意代码并不一定与原恶意代码一致。大部分病毒是用来损坏或销毁数据。

Doctor Web将病毒按照其感染的文件类型加以区分：

•文件病毒感染操作系统文件（一般是可执行文件和动态库），在已感染文件被调用时激活。

•宏病毒感染Microsoft Office软件包中的软件（和其他允许使用宏指令的软件，如常使用Visual Basic语言的软件）所使用的文件。宏指令是使用软件编写语言写成的内置软件（宏），可在一定条件下启动（如在Microsoft Word中打开、关闭和保存文件时启动宏）。

•脚本病毒使用脚本语言编写，大多数情况下感染的是其他脚本文件（如操作系统的服务文件）。也能利用Web应用中的脚本漏洞感染支持脚本运行的其它类型的文件。

•引导区病毒感染磁盘引导扇区以及硬盘的主引导区。此类病毒内存占用极小，在进行卸载、重启和系统结束运行前会一直执行其功能。

大多数病毒具有一定的防止被侦测的保护机制。防止被侦测的的保护技术在不断提升，而反病毒软件则在不断研发克服这些保护机制的新技术。按照防侦测保护机制原则病毒可分为：

•加密病毒在每次进行感染时都会对自身代码进行加密，增加在文件、内存或引导扇区将其侦测的难度。此类病毒的各副本只有一个短片段（加密进程）相同，这一片段可作为侦测病毒的特征码；

•多态病毒除了加密代码，还利用特殊的加密进程在每一个副本中对自身进行更改，因此这类病毒没有字节特征码。

•隐形病毒（隐身病毒）采用专门手段隐藏自己在被感染对象中的行踪。这种病毒在感染对象前提取对象特征，之后当操作系统或其他寻找发生更改的文件的软件访问被感染对象时以原有特征作为回应。

病毒还可以按照其编写语言来进行分类（大多数病毒使用汇编语言、高级编程语言、脚本语言等等），也可按照其能感染的操作系统分类。

计算机蠕虫

近来“计算机蠕虫”类型的恶意软件比起其他类型的病毒和恶意软件而言更为多见。与病毒相同，此类软件能够自行创建副本，但不感染其它对象。蠕虫通过网络入侵计算机（经常是通过电子邮件附件或利用互联网）后将其功能副本群发到其他计算机。蠕虫开始传播利用的可以是用户的操作，也可以是自动选择和进攻计算机的模式。

蠕虫不一定只是一个文件（蠕虫体）。大多数蠕虫有一个所谓的感染部分（Shellcode），加载到计算机内存后会通过网络加载执行文件形式的蠕虫体。在蠕虫体尚未加载到系统之前可以通过重启计算机（重启过程中进行内存重置）去掉蠕虫的感染部分。而一旦蠕虫体进入系统，则只能依靠反病毒软件来解除威胁。

由于蠕虫具有极强的传播能力，即便是本身没有任何恶意功能（本身对系统无害），也能够造成整个网络无法运行。

Doctor Web公司按照蠕虫传播方式（介质）将其分为：

•网络蠕虫利用各种网络协议和文件交换协议进行传播。

•邮箱蠕虫利用邮箱协议（POP3、SMTP等等）进行传播。

•聊天室蠕虫利用常用即时通讯软件（ICQ、IM、IRC等等）进行传播。

木马程序

此类恶意软件不能自我复制。木马替换掉某一经常启用的软件并执行其功能（或是制造执行器功能的假象），同时执行某种功能恶意（损坏和删除数据、转发机密信息等等），或者是为不法分子非法登录计算机创造条件，比如利用被感染计算机危害第三方。

此类软件具有与病毒类似的隐蔽功能和恶意功能，甚至可以是病毒的一个模块，但一般木马是作为单独的执行文件进行传播（写入文件服务器、信息载体或作为邮件附件发送到邮箱），利用用户不慎操作或系统的某些进程启动。

对木马进行分类不是一件很容易的事，首先是因为木马大多是依靠病毒和蠕虫进行传播，其次是很多其他类型的威胁执行的恶意功能经常被认为只有木马才能执行。以下是Doctor Web公司划分为单独类的的某些木马：

•后门程序是能够绕过现有权限提供和保护机制获取系统优先访问权的木马。后门程序不感染文件，而是通过更改密钥参数将自己写入注册表。

•Rootkit用于通过截获操作系统系统功能来达到隐身的目的。此外，rootkit能够隐藏其他软件进程、注册表的各种参数、文件夹和文件。rootkit可作为单独软件或作为另一恶意软件的补充组件。按照运行原则可将rootkit分为两组：以用户模式运行的rootkit（拦截用户模式库功能）（User Mode Rootkits – UMR）和以引擎模式运行的rootkit（拦截系统引擎层面的功能，大大增加侦测和解除威胁的难度）（Kernel Mode Rootkits-KMR）。

•键盘记录器（keylogger）用于记录用户通过键盘输入的数据，目的是窃取个人信息，如网络密码、用户名、银行卡号码等等；

•点击器在用户点击链接时将用户重定向到可能是恶意网站的特定网站。一般将用户重定向是为了提高某些网站的广告流量，或是用于组织拒绝服务进攻（DDoS进攻）。

•代理木马可使不法分子利用受害人计算机隐身上网；

木马还具有其他功能，如更换浏览器首页或删除指定文件。但这些功能其他类型的安全威胁（如病毒和蠕虫）也能执行。

黑客工具

黑客工具为黑客编写。最常见的此类软件是端口扫描器，用于分析防火墙和其他安全保障组件中存在的漏洞。除了黑客，网络管理员使用这样的工具来检查所管理的网络是否安全。有时利用社会工程的软件也归为黑客工具。

广告程序

通常指的是内嵌于免费软件中的广告代码，用于强制显示广告。但有时此类代码是由其他恶意软件暗中传播，在浏览器中显示广告。经常广告程序运行采用由间谍软件收集的信息。

恶作剧程序

与广告程序一样，这种类型的恶意软件不会给系统造成直接危害。经常是生成假错误通知，谎称操作会导致数据受损。其主要意图是恐吓用户，引起烦躁情绪。

拨号器

是一种专门的计算机软件，用于拨打某区段电话号码来寻找调制器会回应的号码。找到后不法分子会利用这些号码增收电话费或在用户不知情的情况下通过调制器接通高费用的电话服务。

风险程序

此类软件并非以危害用户为目的而编写，但因其自身特点能够给系统带来威胁。属于此类程序的不只是能够意外损坏和删除文件的程序，还包括能被黑客或其他软件利用而使系统遭受危害的程序。各种远程通信和远程控制软件、FTP服务器软件等等也属于风险程序。

可疑对象

所有启发式分析技术侦测到的具有潜在危险的对象都归为可疑对象。可能是任一类型的计算机威胁（包括信息安全人员之前尚未遇到的威胁），也可能是被误报的对象。建议将含有可疑对象的文件隔离，然后提交给Doctor Web公司反病毒实验室进行分析。