病毒知识

病毒知识

___czqn8编辑

威胁类别

• 广告软件

• 广告软件/间谍软件

• 应用程序

• 后门客户端

• 拨号器

• 双扩展名文件

• 欺诈性软件

• 游戏

• 玩笑程序

• 钓鱼

• 侵犯私人领域的程序

• 非常规运行时压缩程序

广告软件

广告软件是一种通过弹出窗口或通过显示在计算机屏幕上的栏显示横幅广告的软件。这些广告通常无法移除，因此始终可见。通过连接数据，可分析用户的使用行为，从数据安全考虑，这是很有问题的。

Avira 产品能够检测广告软件。如果在威胁类别下的配置中选中广告软件选项，从而启用该选项，则在 Avira 产品检测到广告软件时，会发出相应的警报。

广告软件/间谍软件

这种软件通常未获得用户确认或同意就显示广告，或是向第三方发送用户个人数据，因此属于恶意软件。

Avira 产品能够识别“广告软件/间谍软件”。如果在威胁类别下的配置内选中广告软件/间谍软件选项，从而启用该选项，则在 Avira 产品检测到广告软件或间谍软件时，会发出相应的警报。

应用程序

APPL 一词是指使用时存在风险或来源可疑的各应用程序。

Avira 产品能够识别“应用程序 (APPL)”。如果在威胁类别下的配置中选中应用程序选项，从而启用该选项，则在 Avira 产品检测到这样的行为时，会发出相应的警报。

后门客户端

为了窃取数据或操纵计算机，后门服务器程序会在用户毫无察觉的情况下潜入计算机。这种程序可由第三方使用后门控制软件（客户端）通过 Internet 或网络进行控制。

Avira 产品能够识别“后门控制软件”。如果在威胁类别下的配置中选中后门控制软件选项，从而启用该选项，则在 Avira 产品检测到这样的软件时，会发出相应的警报。

拨号器

Internet 上提供的某些服务是要付费的。在德国，通过拨号器拨打 0190/0900（在奥地利和瑞士拨打 09x0；在德国，该号码在中期内设置更改为 09x0）是要付费的。在计算机上安装后这些程序后，它们通过拨打相应的付费号码（其收费标准可能差异很大）来建立稳定的连接。

在电话费帐单中计入上网费用是合法的，对于用户而言，也是有利的。不容置疑，真正的拨号器是用户有意使用的。这样的拨号器只有征得用户同意后才会安装在用户计算机上，而用户一定是以清楚无误的可见说明或请求表示同意的。真正的拨号器的拨号过程清晰可见。此外，真正的拨号器还会准确无误地计费。

很遗憾，还有一些拨号器在用户无法察觉的情况下安装在计算机上，来源可疑，甚至具有欺骗性。例如，它们会换掉 Internet 用户与 ISP（Internet 服务提供商）之间的默

认数据通信链接，然后，只要建立连接，就会拨打收费（通常很贵）的 0190/0900 号码。在下次收到电话帐单之前，受感染的用户可能不会注意到，在他的计算机上，0190/0900 恶意拨号器在每次连接时都拨打价格极高的号码，导致电话费用剧增。

建议您要求电话提供商直接阻止这个号码段，从而立即防范恶意拨号器（0190/0900 拨号器）。

默认情况下，Avira 产品能够检测类似的拨号器。

如果在威胁类别下的配置中选中拨号器选项，从而启用该选项，则在检测到拨号器时，您会收到相应的警报。这样，您可以删除恶意 0190/0900 拨号器，如果它并非恶意拨号器，可将它声明为例外文件，以便将来不再扫描该文件。

双扩展名文件

有些可执行文件以可疑的方式隐藏其真正的文件扩展名。恶意软件通常采用这种伪装方法。

Avira 产品可识别“双扩展名文件”。如果在威胁类别下的配置中选中双扩展名文件选项，从而启用该选项，则 Avira 产品检测到此类文件时，您将收到相应的警报。

欺诈性软件

又称为“恐吓软件”或“流氓软件”，这是一种谎称计算机遭到病毒或恶意软件感染的欺诈性软件。此类软件冒充专业的防病毒软件，但实际意在吓唬用户。其目的是使受害者感受到即将来临的（不真实）威胁，并使受害者为消除这种威胁而支付报酬。还有一些

情况是：使受害者误以为正受到攻击，并指导他们执行操作，而实际上执行的操作才真正导致遭受攻击。

Avira 产品能够检测恐吓软件。如果在威胁类别配置中选中欺诈性软件选项，从而启用该选项，则在 Avira 产品检测到此类文件时，会发出相应的警报。

游戏

玩计算机游戏自有合适的地方，但不是在工作场所（也许午餐时间除外）。然而，Internet 中存在众多可下载的游戏，很多公司员工和公职人员都会玩扫雷和纸牌游戏。从 Internet 上可以下载大量的游戏。电子邮件游戏也变得越来越流行：各种游戏在大量传递，从简单的象棋到“舰队演习”（包括鱼雷战斗）：相应的游戏操作通过电子邮件程序发送给游戏伙伴，对方再对此做出回应。

研究表明，从经济的角度看，花费在计算机游戏上的工作时间已达到了很高的比例。因此，越来越多的公司自然会考虑如何禁止在工作场所玩计算机游戏。

Avira 产品能够识别计算机游戏。如果在威胁类别下的配置中选中游戏选项，从而启用该选项，则在 Avira 产品检测到游戏时，会发出相应的警报。现在，您可以直接删除它，游戏真正地结束了。

玩笑程序

玩笑程序只是为了吓人或提供点普通娱乐，不会造成危害，也不会复制。加载玩笑程序后，计算机通常会在某一时刻突然播放出一段旋律或在屏幕上显示一些不寻常的东西。

举例来说，磁盘驱动器中的清洗机 (DRAIN.COM) 或屏幕吞噬程序 (BUGSRES.COM) 就是玩笑程序。

但是请注意！所有玩笑程序症状也可能是源自病毒或特洛伊木马。至少，用户会大吃一惊，或认为自己真的造成了损坏，从而陷入恐慌。

Avira 产品扩展包含扫描和识别例程，能够检测到玩笑程序，必要时可将这些程序作为恶意程序予以删除。如果在威胁类别下的配置中选中玩笑程序选项，从而启用该选项，则在检测到玩笑程序时会发出相应的警报。

钓鱼

钓鱼（也称为品牌仿冒），是一种狡猾的数据窃取形式，其目标是 Internet 服务提供商、银行、网上银行服务和登记部门的客户或潜在客户。

当您在 Internet 上提交电子邮件地址、填写在线表单、访问新闻组或网站时，您的数据可能会被“Internet 爬网蜘蛛”窃取，然后在未经您允许的情况下将其用于行骗或其他犯罪活动。

Avira 产品能够识别“钓鱼”。如果在威胁类别下的配置中选中钓鱼选项，从而启用该选项，则在 Avira 产品检测到这样的行为时，会发出相应的警报。

侵犯私人领域的程序

有些软件可能会危害系统安全、启动恶意程序活动、损害隐私或窥探用户行为，因而属于恶意软件。

Avira 产品能够检测存在“安全隐私风险”的软件。如果在扩展威胁类别下的配置中选中侵犯私人领域的程序选项，从而启用该选项，则在 Avira 产品检测到这样的软件时，会发出相应的警报。

非常规运行时压缩程序

使用非常规运行时压缩程序压缩的文件，以及据此分类为可疑文件的文件。

Avira 产品能够识别“非常规运行时压缩程序”。如果在威胁类别下的配置中选中非常规运行时压缩程序选项，从而启用该选项，则在 Avira 产品检测到这样的压缩程序时，会发出相应的警报。

病毒及其他恶意软件

• 广告软件

• 后门程序

• 启动扇区病毒

• 僵尸网络

• 漏洞攻击

• 欺诈性软件

• 恶作剧程序

• 蜜罐

• 宏病毒

• 网址嫁接

• 钓鱼

• 多态病毒

• 程序病毒

• Rootkit

• 脚本病毒和蠕虫

• 间谍软件

• 特洛伊木马（简称木马）

• 僵尸病毒

广告软件

广告软件是一种通过弹出窗口或通过显示在计算机屏幕上的栏显示横幅广告的软件。这些广告通常无法移除，因此始终可见。通过连接数据，可分析用户的使用行为，从数据安全考虑，这是很有问题的。

后门程序

后门程序可以绕过计算机访问安全机制而获取对计算机的访问权限。

正在后台运行的程序通常可赋予攻击者无限的权限。在后门程序的帮助下，攻击者可窃取用户的个人数据。但后门程序主要用来在相关系统上安装更多的计算机病毒或者蠕虫。

启动扇区病毒

硬盘的引导区或主引导扇区主要感染引导区病毒。它们覆盖系统运行所需的重要信息。其中一种麻烦的结果是：再也无法加载计算机系统…

僵尸网络

僵尸网络的定义是（Internet 上）由相互通信的僵尸计算机组成的远程 PC 网络。僵尸网络可能包含一系列在通用命令和控制结构下正在运行程序（通常是指蠕虫、特洛伊木马之类的程序）的被入侵的计算机。僵尸网络的用途很多，包括发动“拒绝服务”攻击等，受感染 PC 的用户对它的存在常常不知情。僵尸网络的潜在危害主要在于，该网络可能达到数千台计算机的规模，其总带宽可以堵塞大多数常规的 Internet 访问。

漏洞攻击

漏洞（安全漏洞）是一种计算机程序或脚本，它利用 Bug、缺陷或弱点在计算机系统中提升权限或拒绝服务。例如，一种攻击形式是在 Internet 上利用伪造的数据包进行攻击。攻击者可侵入程序从而提升权限。

欺诈性软件

又称为“恐吓软件”或“流氓软件”，这是一种谎称计算机遭到病毒或恶意软件感染的欺诈性软件。此类软件冒充专业的防病毒软件，但实际意在吓唬用户。其目的是使受害者感受到即将来临的（不真实）威胁，并使受害者为消除这种威胁而支付报酬。还有一些情况是：使受害者误以为正受到攻击，并指导他们执行操作，而实际上执行的操作才真正导致遭受攻击。

恶作剧程序

多年来，Internet 和其他网络的用户都收到过有关病毒传播的电子邮件警报。警报要求收件人发送给所有认识的同事和其他用户，以提醒每个人应对“危险”，这些警报就通过电子邮件进行扩散了。

蜜罐

蜜罐是安装在网络中的服务（程序或者服务器）。它的功能是监控网络和记录攻击。对合法的用户来说，这种服务是未知的，因此用户并不了解。如果攻击者发现网络中的薄弱环节并使用蜜罐提供的服务，蜜罐就会记录攻击行为并发出警报。

宏病毒

宏病毒是一些用应用程序的宏语言（如 WinWord 6.0 中的 WordBasic）编写的小程序，一般情况下只会随着这个应用程序的文档传播。正因如此，它们也被称作文档病毒。为了处于活动状态，它们需要激活相应的应用程序并且执行其中一个被感染的宏。与通常意义上的病毒不同，宏病毒并不攻击可执行文件，但是会攻击相应宿主应用程序的文档。

网址嫁接

网址嫁接就是操纵 Web 浏览器的主机文件，将查询地址转向具有欺骗性的网站。这种方式比传统的钓鱼更进一步。使用网址嫁接技术的欺诈者运行自己的服务器机房，在那里，存储着假网站。网址嫁接是各种类型的 DNS 攻击的一个概括性术语。在操纵主机文件时，将借助特洛伊木马或病毒对系统进行特定的操纵。这样，即使输入正确的网址，系统也只能访问假网站。

钓鱼

钓鱼的意思是钓取 Internet 用户的个人详细信息。钓鱼者通常向受害人发送看起来很正式的信件（如电子邮件），意在引诱他们向自己透露机密信息，特别是网上银行帐户的用户名和密码或 PIN 和 TAN。使用窃取的详细访问信息，钓鱼者冒充受害人的身份，用其名义进行交易。有一点很清楚：银行和保险公司绝不会通过电子邮件、短信或电话询问信用卡号、PIN、TAN 或其他详细访问信息。

多态病毒

多态病毒是真正的伪装高手。它们可以改变自己的编程代码，因此很难检测。

程序病毒

计算机病毒是一种在运行后能够将其自身附加到其他程序上并引起感染的程序。病毒不像逻辑炸弹和特洛伊木马，病毒进行自我繁殖。和蠕虫相比，病毒始终需要一个程序作为宿主，以在其中寄存恶性代码。一般来说，宿主自身的程序运行不会改变。

Rootkit

Rootkit 是一组在计算机系统被侵入后安装的软件工具，用于隐藏侵入者登录信息、隐藏进程和记录数据，总而言之：隐形存驻。它们会尝试更新已安装的间谍程序，重新安装被删除的间谍软件。

脚本病毒和蠕虫

这类病毒极易编写，可以扩散：只要采用适当的方法，几小时之内就可以通过电子邮件扩散到全世界。

脚本病毒和蠕虫使用 Javascript 和 VBScript 等脚本语言编写，将自身嵌入其他新脚本中，或者通过调用操作系统功能进行扩散。它们经常经由电子邮件和文件（文档）交换扩散。

蠕虫是一种自我繁殖但并不感染宿主的程序。因此蠕虫不会构成其他程序序列的组成部分。通常，在采用严格安全措施的系统上，蠕虫是唯一可能侵入任何类型的破坏性程序的。

间谍软件

间谍软件之所以称为间谍程序，是因为它在用户不知情的情况下拦截或者部分控制一台计算机的操作。间谍软件利用受感染计算机获取商业利益。

特洛伊木马（简称木马）

现在木马很常见。特洛伊木马是那些貌似具有特定功能，但在运行后却露出本来面目的程序（多为执行破坏性功能）。特洛伊木马无法复制自身，这与病毒和蠕虫不同。大多数木马都有个让人感兴趣的名称（例如 SEX.EXE 或 STARTME.EXE），目的在于引诱用户启动木马。执行后，特洛伊木马就会激活，然后执行破坏性操作，例如格式化硬盘。Dropper 是一种特殊形式的特洛伊木马，它“投放”病毒，也就是说，它将病毒嵌入计算机系统中。

僵尸病毒

僵尸计算机是指被恶意程序感染、并且能够让黑客通过远程控制为犯罪目的而滥用的计算机。受感染的 PC 按照命令启动“拒绝服务 (DoS)”攻击，例如发送垃圾邮件和钓鱼电子邮件。