มัลแวร์

จากวิกิพีเดีย สารานุกรมเสรี
ข้ามไปที่การนำทาง ข้ามไปที่การค้นหา

การถ่ายโอนข้อมูล Hexของเวิร์ม Blasterแสดงข้อความที่ทิ้งไว้สำหรับBill Gatesผู้ร่วมก่อตั้งMicrosoftโดยโปรแกรมเมอร์ของเวิร์ม

มัลแวร์ (เป็นกระเป๋าหิ้วสำหรับซอฟต์แวร์ที่เป็นอันตราย ) ใด ๆซอฟแวร์การออกแบบโดยเจตนาที่จะทำให้เกิดความเสียหายกับคอมพิวเตอร์ , เซิร์ฟเวอร์ , ลูกค้าหรือเครือข่ายคอมพิวเตอร์ [1] [2]โดยคมชัดซอฟแวร์ที่เป็นสาเหตุที่ไม่ได้ตั้งใจให้เกิดอันตรายจากการขาดบางอย่างมักจะอธิบายว่าเป็นข้อผิดพลาดซอฟแวร์ [3]ความหลากหลายของประเภทมัลแวร์ที่มีอยู่รวมทั้งไวรัสคอมพิวเตอร์ , เวิร์ม , ม้าโทรจัน , ransomware , สปายแวร์ ,แอดแวร์ , โปรแกรมโกง , ที่ปัดน้ำฝนและScareware

โปรแกรมถือเป็นมัลแวร์เช่นกันหากพวกเขาแอบกระทำการขัดต่อผลประโยชน์ของผู้ใช้คอมพิวเตอร์ ตัวอย่างเช่น ณ จุดหนึ่งคอมแพคดิสก์ของSony BMG ได้ติดตั้งรูทคิตบนคอมพิวเตอร์ของผู้ซื้ออย่างเงียบๆโดยมีจุดประสงค์เพื่อป้องกันการคัดลอกที่ผิดกฎหมาย แต่ยังรายงานเกี่ยวกับพฤติกรรมการฟังของผู้ใช้ และสร้างช่องโหว่ด้านความปลอดภัยเพิ่มเติมโดยไม่ได้ตั้งใจ [4]

ช่วงของซอฟต์แวร์ป้องกันไวรัส , ไฟร์วอลล์และกลยุทธ์อื่น ๆ ที่ใช้ในการช่วยป้องกันการแนะนำของมัลแวร์ที่จะช่วยให้ตรวจสอบได้ถ้ามันมีอยู่แล้วในปัจจุบันและการกู้คืนจากกิจกรรมที่เป็นอันตรายมัลแวร์ที่เกี่ยวข้องและการโจมตี [5]

วัตถุประสงค์

แผนภูมิวงกลมนี้แสดงให้เห็นว่าในปี 2554 70% ของการติดเชื้อมัลแวร์มาจากม้าโทรจัน 17% มาจากไวรัส 8% จากเวิร์ม โดยเปอร์เซ็นต์ที่เหลือแบ่งออกเป็นแอดแวร์ แบ็คดอร์ สปายแวร์ และการเจาะระบบอื่นๆ

โปรแกรมการติดเชื้อในระยะแรกๆ จำนวนมาก รวมถึงInternet Wormตัวแรกถูกเขียนขึ้นเพื่อการทดลองหรือแกล้งกัน [6]ทุกวันนี้ มัลแวร์ถูกใช้โดยแฮ็กเกอร์แบล็กแฮทและรัฐบาล เพื่อขโมยข้อมูลส่วนบุคคล ข้อมูลทางการเงิน หรือธุรกิจ [7] [8]

บางครั้งมีการใช้มัลแวร์อย่างกว้างๆ กับเว็บไซต์ของรัฐบาลหรือองค์กรเพื่อรวบรวมข้อมูลที่ได้รับการปกป้อง[9]หรือเพื่อขัดขวางการทำงานโดยทั่วไป อย่างไรก็ตาม มัลแวร์สามารถใช้กับบุคคลเพื่อรับข้อมูล เช่น หมายเลขประจำตัวหรือรายละเอียด หมายเลขธนาคารหรือบัตรเครดิต และรหัสผ่าน

นับตั้งแต่มีการเข้าถึงอินเทอร์เน็ตบรอดแบนด์ อย่างแพร่หลายซอฟต์แวร์ที่เป็นอันตรายได้รับการออกแบบมาเพื่อหากำไรบ่อยครั้งมากขึ้น ตั้งแต่ปี 2546 ไวรัสและเวิร์มที่แพร่หลายส่วนใหญ่ได้รับการออกแบบมาเพื่อควบคุมคอมพิวเตอร์ของผู้ใช้เพื่อจุดประสงค์ที่ผิดกฎหมาย[10]ที่ติดเชื้อ " คอมพิวเตอร์ผีดิบ " สามารถใช้ในการส่งอีเมลขยะเพื่อข้อมูลโฮสต์เถื่อนเช่นสื่อลามกอนาจารเด็ก , [11]หรือมีส่วนร่วมในการกระจายการปฏิเสธการให้บริการการโจมตีเป็นรูปแบบของการกรรโชก (12)

โปรแกรมที่ออกแบบมาเพื่อการท่องเว็บที่ผู้ใช้จอภาพแสดงโฆษณาที่ไม่พึงประสงค์หรือการเปลี่ยนเส้นทางการตลาดพันธมิตรรายได้จะเรียกว่าสปายแวร์โปรแกรมสปายแวร์ไม่แพร่กระจายเหมือนไวรัส แทนที่จะติดตั้งโดยใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย นอกจากนี้ยังสามารถซ่อนและจัดแพคเกจร่วมกับซอฟต์แวร์ที่ไม่เกี่ยวข้องซึ่งผู้ใช้ติดตั้ง[13]ของ Sony BMG rootkitมีวัตถุประสงค์เพื่อป้องกันการคัดลอกผิดกฎหมาย; แต่ยังรายงานเกี่ยวกับพฤติกรรมการฟังของผู้ใช้ และสร้างช่องโหว่ด้านความปลอดภัยเพิ่มเติมโดยไม่ได้ตั้งใจ[4]

Ransomware ส่งผลกระทบต่อระบบคอมพิวเตอร์ที่ติดไวรัสในทางใดทางหนึ่ง และต้องการการชำระเงินเพื่อให้ระบบกลับสู่สถานะปกติ แรนซัมแวร์มีสองรูปแบบ คือ crypto ransomware และ locker ransomware [14]ด้วย locker ransomware เพียงแค่ล็อคระบบคอมพิวเตอร์โดยไม่ต้องเข้ารหัสเนื้อหา ในขณะที่แรนซัมแวร์แบบดั้งเดิมเป็นตัวล็อคระบบและเข้ารหัสเนื้อหา ตัวอย่างเช่น โปรแกรมเช่นCryptoLocker เข้ารหัสไฟล์อย่างปลอดภัย และถอดรหัสเฉพาะเมื่อชำระเงินเป็นจำนวนมหาศาลเท่านั้น[15]

มัลแวร์บางตัวใช้เพื่อสร้างรายได้จากการคลิกหลอกลวงทำให้ดูเหมือนว่าผู้ใช้คอมพิวเตอร์คลิกลิงก์โฆษณาบนไซต์ ทำให้เกิดการชำระเงินจากผู้โฆษณา ประมาณการในปี 2555 ว่าประมาณ 60 ถึง 70% ของมัลแวร์ที่ทำงานอยู่ทั้งหมดใช้การคลิกหลอกลวงบางประเภท และ 22% ของการคลิกโฆษณาทั้งหมดเป็นการฉ้อโกง[16]

นอกเหนือจากการทำเงินทางอาญาแล้ว มัลแวร์ยังสามารถใช้เพื่อก่อวินาศกรรม ซึ่งมักใช้สำหรับแรงจูงใจทางการเมือง ตัวอย่างเช่นStuxnetได้รับการออกแบบมาเพื่อทำลายอุปกรณ์อุตสาหกรรมที่เฉพาะเจาะจงมาก มีการโจมตีที่มีแรงจูงใจทางการเมืองซึ่งแพร่กระจายไปทั่วและปิดเครือข่ายคอมพิวเตอร์ขนาดใหญ่ รวมถึงการลบไฟล์จำนวนมากและความเสียหายของมาสเตอร์บูตเรคคอร์ดซึ่งอธิบายว่าเป็น "การฆ่าคอมพิวเตอร์" การโจมตีดังกล่าวเกิดขึ้นใน Sony Pictures Entertainment (25 พฤศจิกายน 2014 โดยใช้มัลแวร์ที่เรียกว่าShamoonหรือ W32.Disttrack) และ Saudi Aramco (สิงหาคม 2555) [17] [18]

มัลแวร์ที่ติดเชื้อ

ประเภทที่รู้จักกันดีที่สุดของมัลแวร์ ไวรัส และเวิร์ม เป็นที่รู้จักจากลักษณะการแพร่กระจาย มากกว่าพฤติกรรมเฉพาะใดๆ ไวรัสคอมพิวเตอร์คือซอฟต์แวร์ที่ฝังตัวเองในซอฟต์แวร์ปฏิบัติการอื่น ๆ(รวมถึงระบบปฏิบัติการด้วย) บนระบบเป้าหมายโดยที่ผู้ใช้ไม่รู้และไม่ยินยอม และเมื่อมีการเรียกใช้ ไวรัสจะแพร่กระจายไปยังโปรแกรมปฏิบัติการอื่น ๆ บนมืออื่น ๆ ที่เป็นหนอนเป็นซอฟแวร์มัลแวร์แบบสแตนด์อะโลนที่แข็งขันส่งตัวเองมากกว่าเครือข่ายที่จะติดเชื้อคอมพิวเตอร์เครื่องอื่น ๆ และสามารถคัดลอกตัวเองโดยไม่มีไฟล์ติดไวรัส คำจำกัดความเหล่านี้นำไปสู่การสังเกตว่าไวรัสต้องการให้ผู้ใช้เรียกใช้ซอฟต์แวร์ที่ติดไวรัสหรือระบบปฏิบัติการเพื่อให้ไวรัสแพร่กระจาย ในขณะที่เวิร์มแพร่กระจายไปเอง(19)

การปกปิด

หมวดหมู่เหล่านี้ไม่ได้แยกจากกัน ดังนั้นมัลแวร์อาจใช้เทคนิคหลายอย่าง [20]ส่วนนี้ใช้เฉพาะกับมัลแวร์ที่ออกแบบมาเพื่อทำงานโดยไม่ถูกตรวจพบ ไม่ใช่การก่อวินาศกรรมและแรนซัมแวร์

ไวรัส

ไวรัสคอมพิวเตอร์เป็นซอฟต์แวร์ที่มักจะซ่อนอยู่ภายในโปรแกรมอื่นที่ดูเหมือนไม่มีอันตราย ซึ่งสามารถสร้างสำเนาของตัวเองและแทรกลงในโปรแกรมหรือไฟล์อื่นๆ และมักจะดำเนินการที่เป็นอันตราย (เช่น ทำลายข้อมูล) [21] ตัวอย่างนี้คือการติดเชื้อ PE, เทคนิคที่มักจะใช้ในการแพร่กระจายมัลแวร์ที่แทรกข้อมูลเสริมหรือรหัสปฏิบัติการลงในไฟล์ PE [22]

แรนซัมแวร์ล็อกหน้าจอ

"ล็อกหน้าจอ" หรือล็อกเกอร์หน้าจอเป็นแรนซัมแวร์ "ตำรวจไซเบอร์" ชนิดหนึ่งที่บล็อกหน้าจอบนอุปกรณ์ Windows หรือ Android โดยมีข้อกล่าวหาอันเป็นเท็จในการเก็บเกี่ยวเนื้อหาที่ผิดกฎหมาย พยายามหลอกล่อเหยื่อให้จ่ายค่าธรรมเนียม [23] Jisut และ SLocker ส่งผลกระทบต่ออุปกรณ์ Android มากกว่าหน้าจอล็อกอื่นๆ โดย Jisut คิดเป็นเกือบ 60 เปอร์เซ็นต์ของการตรวจจับแรนซัมแวร์ Android ทั้งหมด [24]

แรนซัมแวร์ที่ใช้การเข้ารหัส

แรนซัมแวร์ที่ใช้การเข้ารหัส เช่นเดียวกับชื่อที่แนะนำ เป็นแรนซัมแวร์ประเภทหนึ่งที่เข้ารหัสไฟล์ทั้งหมดบนเครื่องที่ติดไวรัส มัลแวร์ประเภทนี้จะแสดงป๊อปอัปแจ้งผู้ใช้ว่าไฟล์ของพวกเขาได้รับการเข้ารหัสและต้องจ่ายเงิน (โดยปกติในสกุลเงิน Bitcoin) เพื่อกู้คืน ตัวอย่างของแรนซัมแวร์ที่ใช้การเข้ารหัส ได้แก่ CryptoLocker และ WannaCry [25]

ม้าโทรจัน

ม้าโทรจันเป็นโปรแกรมที่เป็นอันตรายซึ่งปลอมแปลงตัวเองเพื่อปลอมเป็นโปรแกรมหรือยูทิลิตี้ปกติที่ไม่เป็นพิษเป็นภัยเพื่อชักชวนให้เหยื่อติดตั้ง ม้าโทรจันมักจะมีฟังก์ชันทำลายล้างที่ซ่อนอยู่ซึ่งจะเปิดใช้งานเมื่อเริ่มแอปพลิเคชัน คำนี้มาจากเรื่องราวกรีกโบราณของม้าโทรจันซึ่งเคยบุกเมืองทรอยด้วยการลักลอบ[26] [27] [28] [29] [30]

โดยทั่วไปแล้ว ม้าโทรจันจะแพร่กระจายโดยวิศวกรรมสังคมบางรูปแบบตัวอย่างเช่น เมื่อผู้ใช้ถูกหลอกให้เรียกใช้ไฟล์แนบอีเมลที่ปลอมแปลงเป็นที่น่าสงสัย (เช่น แบบฟอร์มที่ต้องกรอกตามปกติ) หรือโดยการดาวน์โหลดจากไดรฟ์ . แม้ว่า payload ของพวกเขาจะเป็นอะไรก็ได้ แต่รูปแบบสมัยใหม่จำนวนมากทำหน้าที่เป็นแบ็คดอร์ ติดต่อผู้ควบคุม ( โทรศัพท์กลับบ้าน ) ซึ่งสามารถเข้าใช้คอมพิวเตอร์ที่ได้รับผลกระทบโดยไม่ได้รับอนุญาต และอาจติดตั้งซอฟต์แวร์เพิ่มเติม เช่นคีย์ล็อกเกอร์เพื่อขโมยข้อมูลลับ ซอฟต์แวร์เข้ารหัสลับ หรือแอดแวร์ เพื่อสร้างรายได้ให้กับโอเปอเรเตอร์โทรจัน[31]แม้ว่าม้าโทรจันและแบ็คดอร์จะไม่สามารถตรวจพบได้ง่าย ๆ ด้วยตัวเอง แต่คอมพิวเตอร์อาจดูเหมือนทำงานช้าลง ปล่อยความร้อนหรือเสียงรบกวนจากพัดลมเพิ่มขึ้น อันเนื่องมาจากการใช้โปรเซสเซอร์หรือเครือข่ายจำนวนมาก ซึ่งอาจเกิดขึ้นเมื่อมีการติดตั้งซอฟต์แวร์เข้ารหัสลับ Cryptominers อาจจำกัดการใช้ทรัพยากรและ/หรือทำงานเฉพาะในช่วงเวลาว่างเพื่อพยายามหลบเลี่ยงการตรวจจับ

ไม่เหมือนกับไวรัสคอมพิวเตอร์และเวิร์ม ม้าโทรจันมักไม่พยายามแทรกตัวเองเข้าไปในไฟล์อื่นหรือเผยแพร่ตัวเอง (32)

ในฤดูใบไม้ผลิปี 2017 ผู้ใช้ Mac ถูกโจมตีโดย Proton Remote Access Trojan (RAT) เวอร์ชันใหม่[33] ที่ได้รับการฝึกฝนให้ดึงข้อมูลรหัสผ่านจากแหล่งต่างๆ เช่น ข้อมูลป้อนอัตโนมัติของเบราว์เซอร์ พวงกุญแจ Mac-OS และห้องเก็บรหัสผ่าน [34]

รูทคิท

เมื่อมีการติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนระบบ จำเป็นต้องซ่อนซอฟต์แวร์ดังกล่าวไว้เพื่อหลีกเลี่ยงการตรวจจับ แพ็คเกจซอฟต์แวร์ที่เรียกว่ารูทคิทช่วยให้สามารถปกปิดได้ โดยการปรับเปลี่ยนระบบปฏิบัติการของโฮสต์เพื่อให้มัลแวร์ถูกซ่อนจากผู้ใช้ รูทคิทสามารถป้องกันไม่ให้กระบวนการที่เป็นอันตรายปรากฏในรายการกระบวนการของระบบหรือป้องกันไม่ให้มีการอ่านไฟล์ [35]

ซอฟต์แวร์ที่เป็นอันตรายบางประเภทมีกิจวัตรเพื่อหลีกเลี่ยงการระบุตัวตนและ/หรือการลบออก ไม่ใช่แค่เพื่อซ่อนตัวเองเท่านั้น ตัวอย่างแรกของพฤติกรรมนี้ถูกบันทึกไว้ในเรื่องราวของไฟล์ศัพท์เฉพาะของโปรแกรมคู่หนึ่งที่รบกวนระบบการแบ่งเวลาของXerox CP-V :

งานผีแต่ละงานจะตรวจจับความจริงที่ว่าอีกงานหนึ่งถูกฆ่า และจะเริ่มสำเนาใหม่ของโปรแกรมที่เพิ่งหยุดทำงานภายในเวลาไม่กี่มิลลิวินาที วิธีเดียวที่จะฆ่าผีทั้งสองได้คือการฆ่าพวกมันพร้อมกัน (ยากมาก) หรือจงใจทำให้ระบบพัง (36)

ประตูหลัง

ลับๆเป็นวิธีการปกติผ่านการตรวจสอบขั้นตอนการมักจะผ่านการเชื่อมต่อกับเครือข่ายเช่นอินเทอร์เน็ต เมื่อระบบถูกบุกรุก อาจมีการติดตั้งแบ็คดอร์อย่างน้อยหนึ่งหลังเพื่อให้สามารถเข้าถึงได้ในอนาคต[37]สำหรับผู้ใช้ที่มองไม่เห็น

แนวคิดนี้มักได้รับการแนะนำว่าผู้ผลิตคอมพิวเตอร์ติดตั้งแบ็คดอร์ไว้ล่วงหน้าบนระบบของตนเพื่อให้การสนับสนุนด้านเทคนิคแก่ลูกค้า แต่สิ่งนี้ไม่เคยได้รับการตรวจสอบอย่างน่าเชื่อถือ มีรายงานในปี 2014 ว่าหน่วยงานรัฐบาลสหรัฐฯ ได้โอนคอมพิวเตอร์ที่ซื้อโดยผู้ที่ถือว่าเป็น "เป้าหมาย" ไปที่เวิร์กช็อปลับที่มีการติดตั้งซอฟต์แวร์หรือฮาร์ดแวร์ที่อนุญาตให้เข้าถึงจากระยะไกลโดยหน่วยงาน ซึ่งถือว่าเป็นหนึ่งในการดำเนินการที่มีประสิทธิผลมากที่สุดเพื่อเข้าถึงเครือข่าย โลก. [38]แบ็อาจถูกติดตั้งโดยม้าโทรจัน, เวิร์ม , รากฟันเทียมหรือวิธีการอื่น ๆ [39] [40]

การหลบหลีก

ตั้งแต่ต้นปี 2015 มัลแวร์ส่วนใหญ่ได้ใช้ประโยชน์จากเทคนิคต่างๆ มากมายที่ออกแบบมาเพื่อหลีกเลี่ยงการตรวจจับและวิเคราะห์ [41]จากสามัญมากไปหาน้อย:

  1. การหลีกเลี่ยงการวิเคราะห์และการตรวจจับโดยการพิมพ์ลายนิ้วมือของสภาพแวดล้อมเมื่อดำเนินการ [42]
  2. วิธีการตรวจหาเครื่องมืออัตโนมัติที่สับสน ซึ่งช่วยให้มัลแวร์หลีกเลี่ยงการตรวจจับโดยเทคโนโลยี เช่น ซอฟต์แวร์ป้องกันไวรัสแบบใช้ลายเซ็นโดยเปลี่ยนเซิร์ฟเวอร์ที่มัลแวร์ใช้ [43]
  3. การหลีกเลี่ยงตามเวลา นี่คือเวลาที่มัลแวร์ทำงานในบางช่วงเวลาหรือตามการกระทำบางอย่างของผู้ใช้ ดังนั้นมันจึงทำงานในช่วงเวลาที่มีช่องโหว่ เช่น ระหว่างกระบวนการบูต ในขณะที่ยังคงอยู่เฉยๆ ในช่วงเวลาที่เหลือ
  4. ทำให้ข้อมูลภายในสับสนเพื่อไม่ให้เครื่องมืออัตโนมัติตรวจพบมัลแวร์ [44]

เทคนิคทั่วไปที่เพิ่มมากขึ้น (2015) คือแอดแวร์ที่ใช้ใบรับรองที่ขโมยมาเพื่อปิดใช้งานการป้องกันมัลแวร์และไวรัส มีการแก้ไขทางเทคนิคเพื่อจัดการกับแอดแวร์ [45]

ปัจจุบันหนึ่งในวิธีที่มีความซับซ้อนและลึกลับที่สุดของการหลีกเลี่ยงคือการหลบซ่อนตัวเทคนิคข้อมูลการใช้งานคือstegomalware แบบสำรวจเกี่ยวกับ Stegomalware เผยแพร่โดย Cabaj et al ในปี 2561 [46]

เทคนิคการหลีกเลี่ยงอีกประเภทหนึ่งคือมัลแวร์ Fileless หรือ Advanced Volatile Threats (AVTs) มัลแวร์แบบไม่มีไฟล์ไม่ต้องการไฟล์เพื่อดำเนินการ มันทำงานภายในหน่วยความจำและใช้เครื่องมือระบบที่มีอยู่เพื่อดำเนินการที่เป็นอันตราย เนื่องจากไม่มีไฟล์อยู่ในระบบ จึงไม่มีไฟล์ปฏิบัติการสำหรับแอนตี้ไวรัสและเครื่องมือทางนิติวิทยาศาสตร์ที่ต้องวิเคราะห์ ทำให้ตรวจจับมัลแวร์ดังกล่าวแทบไม่ได้ วิธีเดียวที่จะตรวจจับมัลแวร์แบบไม่มีไฟล์คือการจับมัลแวร์ที่ทำงานแบบเรียลไทม์ เมื่อเร็วๆ นี้ การโจมตีประเภทนี้เกิดขึ้นบ่อยขึ้น โดยเพิ่มขึ้น 432% ในปี 2560 และคิดเป็น 35% ของการโจมตีในปี 2561 การโจมตีดังกล่าวไม่สามารถทำได้ง่าย แต่เริ่มแพร่หลายมากขึ้นด้วยความช่วยเหลือของ Exploit-kits [47] [48]

ช่องโหว่

  • ในบริบทนี้และตลอดสิ่งที่เรียกว่า "ระบบ" ภายใต้การโจมตีอาจเป็นอะไรจากโปรแกรมเดียวผ่านคอมพิวเตอร์ที่สมบูรณ์และระบบปฏิบัติการที่จะมีขนาดใหญ่เครือข่าย
  • ปัจจัยต่างๆ ทำให้ระบบเสี่ยงต่อมัลแวร์มากขึ้น:

ข้อบกพร่องด้านความปลอดภัยในซอฟต์แวร์

มัลแวร์ใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย (จุดบกพร่องหรือช่องโหว่ด้านความปลอดภัย ) ในการออกแบบระบบปฏิบัติการ ในแอปพลิเคชัน (เช่น เบราว์เซอร์ เช่น Microsoft Internet Explorer เวอร์ชันเก่าที่สนับสนุนโดย Windows XP [49] ) หรือในเวอร์ชันที่มีความเสี่ยงของปลั๊กอินของเบราว์เซอร์ เช่นAdobe Flash Player , Adobe Acrobat หรืออ่านหรือJava SE [50] [51]บางครั้งการติดตั้งปลั๊กอินเวอร์ชันใหม่ก็ไม่ได้ถอนการติดตั้งเวอร์ชันเก่าโดยอัตโนมัติ คำแนะนำด้านความปลอดภัยจากผู้ให้บริการปลั๊กอินจะประกาศการอัปเดตที่เกี่ยวข้องกับความปลอดภัย[52]ช่องโหว่ทั่วไปถูกกำหนดCVE IDsและจดทะเบียนในสหรัฐอเมริกาฐานข้อมูลช่องโหว่แห่งชาติ Secunia PSI [53]เป็นตัวอย่างของซอฟต์แวร์ฟรีสำหรับใช้ส่วนตัว ซึ่งจะตรวจสอบพีซีเพื่อหาซอฟต์แวร์ที่ล้าสมัยที่มีช่องโหว่ และพยายามอัปเดต

ผู้สร้างมัลแวร์กำหนดเป้าหมายบั๊กหรือช่องโหว่เพื่อใช้ประโยชน์ วิธีการทั่วไปคือการใช้ประโยชน์จากช่องโหว่ของบัฟเฟอร์โอเวอร์รันโดยที่ซอฟต์แวร์ที่ออกแบบมาเพื่อจัดเก็บข้อมูลในพื้นที่หน่วยความจำที่ระบุไม่ได้ป้องกันข้อมูลมากเกินกว่าที่บัฟเฟอร์จะสามารถรองรับการจัดเตรียมได้ มัลแวร์อาจให้ข้อมูลที่ล้นบัฟเฟอร์ พร้อมด้วยโค้ดหรือข้อมูลที่สามารถเรียกใช้งานได้ที่เป็นอันตรายหลังจากสิ้นสุดการทำงาน เมื่อเข้าถึงเพย์โหลดนี้จะทำในสิ่งที่ผู้โจมตีกำหนด ไม่ใช่ซอฟต์แวร์ที่ถูกต้อง

การป้องกันมัลแวร์เป็นภัยคุกคามต่อการตรวจจับมัลแวร์ที่เพิ่มขึ้นอย่างต่อเนื่อง [54]จากรายงานภัยคุกคามความปลอดภัยทางอินเทอร์เน็ตประจำปี 2561 ของไซแมนเทค (ISTR) ระบุว่าจำนวนของมัลแวร์มีมากถึง 669,947,865 ตัวในปี 2560 ซึ่งเป็นสองเท่าของตัวแปรมัลแวร์ในปี 2559 [54]

การออกแบบที่ไม่ปลอดภัยหรือข้อผิดพลาดของผู้ใช้

เครื่องคอมพิวเตอร์ก่อนกำหนดจะต้องถูกเด้งจากฟล็อปปี้ดิสก์เมื่อฮาร์ดไดรฟ์ในตัวกลายเป็นเรื่องปกติระบบปฏิบัติการมักจะเริ่มทำงานจากฮาร์ดไดรฟ์ดังกล่าว แต่สามารถบูตจากอุปกรณ์สำหรับบูตเครื่องอื่นได้หากมี เช่น ฟลอปปีดิสก์ซีดีรอมดีวีดีรอม แฟลชไดรฟ์ USB หรือเครือข่าย . เป็นเรื่องปกติที่จะกำหนดค่าคอมพิวเตอร์ให้บูตจากอุปกรณ์เหล่านี้เมื่อมี ปกติจะไม่มีใครสามารถใช้ได้ ผู้ใช้ตั้งใจใส่ซีดีลงในออปติคัลไดรฟ์เพื่อบูตคอมพิวเตอร์ด้วยวิธีพิเศษบางอย่างเช่นเพื่อติดตั้งระบบปฏิบัติการ แม้จะไม่มีการบู๊ต คอมพิวเตอร์สามารถกำหนดค่าให้รันซอฟต์แวร์บนสื่อบางประเภทได้ทันทีที่พร้อมใช้งาน เช่น ให้ทำงานอัตโนมัติของซีดีหรืออุปกรณ์ USB เมื่อเสียบเข้าไป

ผู้จัดจำหน่ายมัลแวร์จะหลอกให้ผู้ใช้ทำการบูทหรือเรียกใช้งานจากอุปกรณ์หรือสื่อที่ติดไวรัส ตัวอย่างเช่น ไวรัสอาจทำให้คอมพิวเตอร์ที่ติดไวรัสเพิ่มรหัสการทำงานอัตโนมัติให้กับแท่ง USB ที่เสียบอยู่ ใครก็ตามที่ติดสติ๊กกับคอมพิวเตอร์เครื่องอื่นที่ตั้งค่าให้ทำงานอัตโนมัติจาก USB จะกลายเป็นติดไวรัสและส่งต่อการติดไวรัสในลักษณะเดียวกัน[55]โดยทั่วไปแล้ว อุปกรณ์ใดๆ ที่เสียบเข้ากับพอร์ต USB แม้กระทั่งหลอดไฟ พัดลม ลำโพง ของเล่น หรืออุปกรณ์ต่อพ่วง เช่น ไมโครสโคปแบบดิจิทัล สามารถใช้เพื่อแพร่กระจายมัลแวร์ได้ อุปกรณ์สามารถติดไวรัสได้ในระหว่างการผลิตหรือการจัดหา หากการควบคุมคุณภาพไม่เพียงพอ[55]

รูปแบบการติดไวรัสนี้ส่วนใหญ่สามารถหลีกเลี่ยงได้โดยการตั้งค่าคอมพิวเตอร์โดยค่าเริ่มต้นให้บูตจากฮาร์ดไดรฟ์ภายใน หากมี และไม่ให้ทำงานอัตโนมัติจากอุปกรณ์ [55] การตั้งใจบูตจากอุปกรณ์อื่นทำได้เสมอโดยการกดปุ่มบางปุ่มระหว่างการบู๊ต

ซอฟต์แวร์อีเมลเก่าจะเปิดโดยอัตโนมัติอีเมล HTMLมีที่อาจเป็นอันตรายJavaScriptรหัส ผู้ใช้ยังสามารถรันไฟล์แนบอีเมลที่เป็นอันตรายที่ปลอมแปลงได้ 2018 ละเมิดข้อมูลการสืบสวนรายงานโดยVerizonโดยอ้างCSO ออนไลน์รัฐว่าอีเมลเป็นวิธีการหลักของการจัดส่งมัลแวร์, การบัญชีสำหรับ 92% ของการส่งมอบมัลแวร์ทั่วโลก [56] [57]

ผู้ใช้ที่มีสิทธิพิเศษเกินและรหัสที่มีสิทธิพิเศษเกิน

ในการคำนวณสิทธิพิเศษหมายถึงจำนวนผู้ใช้หรือโปรแกรมที่ได้รับอนุญาตให้แก้ไขระบบ ในระบบคอมพิวเตอร์ที่ออกแบบมาไม่ดี ทั้งผู้ใช้และโปรแกรมสามารถกำหนดสิทธิ์ได้มากกว่าที่ควรจะมี และมัลแวร์สามารถใช้ประโยชน์จากสิ่งนี้ได้ สองวิธีที่มัลแวร์ทำสิ่งนี้คือผ่านผู้ใช้ที่มีสิทธิ์เกินและโค้ดที่มีสิทธิ์เกิน [ ต้องการการอ้างอิง ]

บางระบบอนุญาตให้ผู้ใช้ทุกคนปรับเปลี่ยนโครงสร้างภายในของตนได้ และผู้ใช้ดังกล่าวในปัจจุบันจะถือว่าเป็นผู้ใช้ที่มีสิทธิพิเศษมากเกินไป นี่เป็นขั้นตอนการทำงานมาตรฐานสำหรับไมโครคอมพิวเตอร์รุ่นแรกและระบบคอมพิวเตอร์ที่บ้าน ซึ่งไม่มีความแตกต่างระหว่างผู้ดูแลระบบหรือรูท และผู้ใช้ทั่วไปของระบบ ในบางระบบผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบจะได้รับสิทธิพิเศษเกินจากการออกแบบ ในแง่ที่ว่าพวกเขาได้รับอนุญาตให้แก้ไขโครงสร้างภายในของระบบ ในบางสภาพแวดล้อม ผู้ใช้ได้รับสิทธิพิเศษมากเกินไปเนื่องจากได้รับสิทธิ์ผู้ดูแลระบบหรือสถานะเทียบเท่าที่ไม่เหมาะสม[58]

บางระบบอนุญาตให้ใช้โค้ดที่เรียกใช้โดยผู้ใช้เพื่อเข้าถึงสิทธิ์ทั้งหมดของผู้ใช้นั้น ซึ่งเรียกว่าโค้ดที่มีสิทธิพิเศษเกิน นี่เป็นขั้นตอนการปฏิบัติงานมาตรฐานสำหรับไมโครคอมพิวเตอร์รุ่นแรกและระบบคอมพิวเตอร์ที่บ้าน มัลแวร์ที่ทำงานเป็นรหัสที่มีสิทธิ์เกิน สามารถใช้สิทธิ์นี้เพื่อล้มล้างระบบ ระบบปฏิบัติการที่ได้รับความนิยมเกือบทั้งหมดในปัจจุบัน และแอปพลิเคชั่นสคริปต์จำนวนมากอนุญาตให้ใช้สิทธิ์โค้ดมากเกินไป โดยปกติในแง่ที่ว่าเมื่อผู้ใช้รันโค้ด ระบบจะอนุญาตให้โค้ดนั้นมีสิทธิ์ทั้งหมดของผู้ใช้รายนั้น สิ่งนี้ทำให้ผู้ใช้เสี่ยงต่อมัลแวร์ในรูปแบบของไฟล์แนบอีเมลซึ่งอาจปลอมหรือไม่ก็ได้ [ ต้องการการอ้างอิง ]

ใช้ระบบปฏิบัติการเดียวกัน

  • ความเป็นเนื้อเดียวกันอาจเป็นจุดอ่อน ตัวอย่างเช่น เมื่อคอมพิวเตอร์ทุกเครื่องในเครือข่ายใช้ระบบปฏิบัติการเดียวกันเวิร์มตัวเดียวสามารถใช้ประโยชน์จากระบบปฏิบัติการเดียวกันได้ทั้งหมด: [59]โดยเฉพาะอย่างยิ่งMicrosoft WindowsหรือMac OS Xมีส่วนแบ่งตลาดมากจนทำให้เกิดช่องโหว่ การมุ่งความสนใจไปที่ระบบปฏิบัติการใดระบบหนึ่งสามารถล้มล้างระบบจำนวนมากได้ การแนะนำความหลากหลายเพียงเพื่อความสมบูรณ์ เช่น การเพิ่มคอมพิวเตอร์ Linux อาจเพิ่มค่าใช้จ่ายระยะสั้นสำหรับการฝึกอบรมและการบำรุงรักษา อย่างไรก็ตาม ตราบใดที่โหนดทั้งหมดไม่ได้เป็นส่วนหนึ่งของบริการไดเรกทอรีเดียวกันสำหรับการตรวจสอบสิทธิ์ การมีโหนดที่หลากหลายสองสามตัวอาจขัดขวางการปิดระบบทั้งหมดเครือข่ายและอนุญาตให้โหนดเหล่านั้นช่วยในการกู้คืนโหนดที่ติดไวรัส ความซ้ำซ้อนในการทำงานที่แยกจากกันดังกล่าวสามารถหลีกเลี่ยงค่าใช้จ่ายในการปิดระบบทั้งหมดได้ โดยต้องแลกมาด้วยความซับซ้อนที่เพิ่มขึ้นและความสามารถในการใช้งานที่ลดลงในแง่ของการรับรองความถูกต้องด้วยการลงชื่อเพียงครั้งเดียว [ ต้องการการอ้างอิง ]

กลยุทธ์ต่อต้านมัลแวร์

เมื่อมัลแวร์โจมตีบ่อยขึ้น ความสนใจก็เริ่มเปลี่ยนจากการป้องกันไวรัสและสปายแวร์ ไปเป็นการป้องกันมัลแวร์ และโปรแกรมที่พัฒนาขึ้นเพื่อต่อสู้กับมัลแวร์โดยเฉพาะ (มาตรการป้องกันและกู้คืนอื่นๆ เช่น วิธีการสำรองและกู้คืน มีการกล่าวถึงในบทความเกี่ยวกับไวรัสคอมพิวเตอร์ ) รีบูตเพื่อกู้คืนซอฟต์แวร์ยังมีประโยชน์ในการบรรเทามัลแวร์ด้วยการย้อนกลับการเปลี่ยนแปลงที่เป็นอันตราย

ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์

ส่วนประกอบเฉพาะของซอฟต์แวร์ต่อต้านไวรัสและป้องกันมัลแวร์ โดยทั่วไปเรียกว่าเครื่องสแกนแบบเข้าถึงได้หรือแบบเรียลไทม์ เจาะลึกเข้าไปในแกนหลักหรือเคอร์เนลของระบบปฏิบัติการและทำงานในลักษณะที่คล้ายกับวิธีที่มัลแวร์บางตัวพยายาม ทำงานแม้ว่าจะได้รับอนุญาตจากผู้ใช้ในการปกป้องระบบ ทุกครั้งที่ระบบปฏิบัติการเข้าถึงไฟล์ เครื่องสแกนการเข้าถึงจะตรวจสอบว่าไฟล์นั้นเป็นไฟล์ที่ 'ถูกต้องตามกฎหมาย' หรือไม่ หากเครื่องสแกนระบุว่าไฟล์เป็นมัลแวร์ การดำเนินการเข้าถึงจะหยุด สแกนเนอร์จะจัดการกับไฟล์ด้วยวิธีที่กำหนดไว้ล่วงหน้า (วิธีกำหนดค่าโปรแกรมป้องกันไวรัสระหว่าง/หลังการติดตั้ง) และ ผู้ใช้จะได้รับแจ้ง[ ต้องการการอ้างอิง ]ซึ่งอาจมีผลกระทบด้านประสิทธิภาพอย่างมากต่อระบบปฏิบัติการ แม้ว่าระดับของผลกระทบจะขึ้นอยู่กับว่าโปรแกรมสแกนเนอร์ได้รับการตั้งโปรแกรมไว้อย่างดีเพียงใด เป้าหมายคือการหยุดการดำเนินการใดๆ ที่มัลแวร์อาจพยายามในระบบก่อนที่จะเกิดขึ้น ซึ่งรวมถึงกิจกรรมที่อาจใช้ประโยชน์จากจุดบกพร่องหรือกระตุ้นการทำงานของระบบปฏิบัติการที่ไม่คาดคิด

โปรแกรมป้องกันมัลแวร์สามารถต่อสู้กับมัลแวร์ได้สองวิธี:

  1. พวกเขาสามารถให้การป้องกันแบบเรียลไทม์กับการติดตั้งซอฟต์แวร์มัลแวร์บนคอมพิวเตอร์ การป้องกันมัลแวร์ประเภทนี้ทำงานในลักษณะเดียวกับการป้องกันไวรัสโดยที่ซอฟต์แวร์ป้องกันมัลแวร์จะสแกนข้อมูลเครือข่ายขาเข้าทั้งหมดเพื่อหามัลแวร์และบล็อกภัยคุกคามที่เจอ
  2. โปรแกรมซอฟต์แวร์ป้องกันมัลแวร์สามารถใช้ในการตรวจจับและลบซอฟต์แวร์มัลแวร์ที่ติดตั้งลงในคอมพิวเตอร์แล้วเท่านั้น ซอฟต์แวร์ป้องกันมัลแวร์ประเภทนี้จะสแกนเนื้อหาของรีจิสทรีของ Windows ไฟล์ระบบปฏิบัติการ และโปรแกรมที่ติดตั้งบนคอมพิวเตอร์ และจะแสดงรายการภัยคุกคามใดๆ ที่พบ ให้ผู้ใช้เลือกไฟล์ที่จะลบหรือเก็บ หรือเปรียบเทียบ รายการนี้เป็นรายการส่วนประกอบมัลแวร์ที่รู้จัก ลบไฟล์ที่ตรงกัน[60]

การป้องกันแบบเรียลไทม์จากมัลแวร์ทำงานเหมือนกับการป้องกันไวรัสแบบเรียลไทม์: ซอฟต์แวร์จะสแกนไฟล์ดิสก์เมื่อดาวน์โหลด และบล็อกกิจกรรมของส่วนประกอบที่ทราบว่าเป็นตัวแทนของมัลแวร์ ในบางกรณี อาจขัดขวางความพยายามในการติดตั้งรายการเริ่มต้นหรือแก้ไขการตั้งค่าเบราว์เซอร์ เนื่องจากส่วนประกอบมัลแวร์จำนวนมากได้รับการติดตั้งอันเป็นผลมาจากการเจาะช่องโหว่ของเบราว์เซอร์หรือข้อผิดพลาดของผู้ใช้ โดยใช้ซอฟต์แวร์รักษาความปลอดภัย (ซึ่งบางส่วนเป็นโปรแกรมป้องกันมัลแวร์ แม้ว่าจะไม่ใช่หลายตัวก็ตาม) กับเบราว์เซอร์ "แซนด์บ็อกซ์" (โดยพื้นฐานแล้วจะแยกเบราว์เซอร์ออกจากคอมพิวเตอร์และด้วยเหตุนี้มัลแวร์ใดๆ ทำให้เกิดการเปลี่ยนแปลง) ยังมีประสิทธิภาพในการช่วยจำกัดความเสียหายใดๆ ที่เกิดขึ้น[61]

ตัวอย่างของซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์ของ Microsoft Windows ได้แก่ ตัวเลือกMicrosoft Security Essentials [62] (สำหรับ Windows XP, Vista และ Windows 7) สำหรับการป้องกันแบบเรียลไทม์Windows Malicious Software Removal Tool [63] (ขณะนี้รวมอยู่ในWindows (ความปลอดภัย) อัปเดตใน " Patch Tuesday " วันอังคารที่สองของแต่ละเดือน) และWindows Defender (ตัวเลือกการดาวน์โหลดในกรณีของ Windows XP ซึ่งรวมฟังก์ชัน MSE ไว้ในกรณีของ Windows 8 ขึ้นไป) [64]นอกจากนี้ โปรแกรมซอฟต์แวร์ป้องกันไวรัสที่มีความสามารถหลายโปรแกรมสามารถดาวน์โหลดได้ฟรีจากอินเทอร์เน็ต[65]การทดสอบพบว่าโปรแกรมฟรีบางโปรแกรมสามารถแข่งขันกับโปรแกรมเชิงพาณิชย์ได้ [65] [66] [67] System File Checkerของ Microsoftสามารถใช้ตรวจสอบและซ่อมแซมไฟล์ระบบที่เสียหายได้

ไวรัสบางปิดการใช้งานการคืนค่าระบบและเครื่องมือของ Windows สำคัญอื่น ๆ เช่นTask Managerและพร้อมรับคำสั่ง ไวรัสดังกล่าวจำนวนมากสามารถถอดออกได้โดยการรีบูตเครื่องคอมพิวเตอร์เข้ามาใช้ Windows เซฟโหมดที่มีเครือข่าย[68]และจากนั้นใช้เครื่องมือของระบบหรือสแกนเนอร์ความปลอดภัยของไมโครซอฟท์ [69]

รากฟันเทียมฮาร์ดแวร์สามารถเป็นได้ทุกประเภท ดังนั้นจึงไม่มีวิธีทั่วไปในการตรวจจับ

การสแกนความปลอดภัยของเว็บไซต์

เนื่องจากมัลแวร์ยังเป็นอันตรายต่อเว็บไซต์ที่ถูกบุกรุก (โดยการทำลายชื่อเสียง การขึ้นบัญชีดำในเครื่องมือค้นหา ฯลฯ) บางเว็บไซต์จึงมีการสแกนช่องโหว่ [70] การสแกนดังกล่าวตรวจสอบเว็บไซต์ ตรวจจับมัลแวร์ อาจสังเกตซอฟต์แวร์ที่ล้าสมัย และอาจรายงานปัญหาด้านความปลอดภัยที่ทราบ

การแยก "ช่องว่างอากาศ" หรือ "เครือข่ายคู่ขนาน"

วิธีสุดท้ายคือ คอมพิวเตอร์สามารถป้องกันจากมัลแวร์ และสามารถป้องกันคอมพิวเตอร์ที่ติดไวรัสจากการเผยแพร่ข้อมูลที่เชื่อถือได้ โดยกำหนด"ช่องว่างอากาศ" (กล่าวคือ ตัดการเชื่อมต่อจากเครือข่ายอื่นทั้งหมด) อย่างไรก็ตาม มัลแวร์ยังสามารถข้ามช่องว่างอากาศได้ในบางสถานการณ์ Stuxnetเป็นตัวอย่างของมัลแวร์ที่นำไปใช้กับสภาพแวดล้อมเป้าหมายผ่านไดรฟ์ USB

"AirHopper", [71] "BitWhisper", [72] "GSMem" [73]และ "Fansmitter" [74]เป็นเทคนิคสี่อย่างที่นักวิจัยแนะนำว่าสามารถรั่วข้อมูลจากคอมพิวเตอร์ที่มีช่องว่างอากาศโดยใช้คลื่นแม่เหล็กไฟฟ้า ความร้อน และอะคูสติก

เกรย์แวร์

Grayware (บางครั้งสะกดคำว่าgreyware ) เป็นคำที่ใช้เพื่อการใช้งานที่ไม่พึงประสงค์หรือไฟล์ที่ไม่ได้จัดเป็นมัลแวร์ แต่สามารถเลวลงประสิทธิภาพการทำงานของคอมพิวเตอร์และอาจทำให้เกิดความเสี่ยงด้านความปลอดภัย [75]

มันอธิบายแอปพลิเคชันที่ทำงานในลักษณะที่น่ารำคาญหรือไม่พึงประสงค์ แต่ยังมีความร้ายแรงหรือลำบากน้อยกว่ามัลแวร์ Grayware บนโลกไซเบอร์สปายแวร์ , แอดแวร์ , dialers หลอกลวงโปรแกรมตลกเครื่องมือการเข้าถึงระยะไกลและโปรแกรมไม่พึงประสงค์อื่น ๆ ที่อาจเป็นอันตรายต่อประสิทธิภาพการทำงานของเครื่องคอมพิวเตอร์หรือก่อให้เกิดความไม่สะดวก คำนี้เริ่มใช้ประมาณปี 2547 [76]

อีกคำหนึ่งคือโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) หรือแอพพลิเคชันที่ไม่ต้องการ (PUA) [77]หมายถึงแอพพลิเคชันที่ถือว่าไม่เป็นที่ต้องการ แม้ว่าผู้ใช้จะดาวน์โหลดมาบ่อยครั้งก็ตาม อาจเป็นไปได้ว่าหลังจากล้มเหลวในการอ่านข้อตกลงการดาวน์โหลด PUP ได้แก่ สปายแวร์ แอดแวร์ และโปรแกรมเรียกเลขหมายหลอกลวง ผลิตภัณฑ์ความปลอดภัยจำนวนมากจัดประเภทตัวสร้างคีย์ที่ไม่ได้รับอนุญาตเป็นเกรย์แวร์ แม้ว่ามักจะมีมัลแวร์จริงอยู่นอกเหนือจากจุดประสงค์ที่มองเห็นได้

ผู้ผลิตซอฟต์แวร์Malwarebytesแสดงเกณฑ์หลายประการสำหรับการจัดประเภทโปรแกรมเป็น PUP [78]แอดแวร์บางประเภท (โดยใช้ใบรับรองที่ถูกขโมย) ปิดการป้องกันมัลแวร์และไวรัส มีการเยียวยาทางเทคนิค [45]

ประวัติ

ก่อนที่การเข้าถึงอินเทอร์เน็ตจะแพร่หลาย ไวรัสแพร่กระจายบนคอมพิวเตอร์ส่วนบุคคลโดยการติดไวรัสโปรแกรมปฏิบัติการหรือบูตเซกเตอร์ของฟลอปปีดิสก์ โดยการแทรกสำเนาของตัวเองลงในคำสั่งรหัสเครื่องในโปรแกรมหรือบูตเซกเตอร์เหล่านี้ไวรัสจะทำให้ตัวเองทำงานทุกครั้งที่โปรแกรมทำงานหรือบูตดิสก์ ไวรัสคอมพิวเตอร์ก่อนได้เขียนขึ้นสำหรับแอปเปิ้ลที่สองและMacintoshแต่พวกเขากลายเป็นที่แพร่หลายมากขึ้นกับการปกครองของไอบีเอ็มพีซีและMS-DOSระบบ ไวรัส IBM PC ตัวแรกใน "ไวด์" เป็นไวรัสบูตเซกเตอร์ขนานนามว่า(c)Brain , [79]สร้างขึ้นในปี 1986 โดยพี่น้อง Farooq Alvi ในปากีสถาน [80]

เวิร์มตัวแรกโปรแกรมติดเชื้อที่เกิดจากเครือข่ายไม่ได้มาจากคอมพิวเตอร์ส่วนบุคคล แต่มาจากระบบ Unix ที่ทำงานหลายอย่างพร้อมกัน หนอนที่รู้จักกันดีเป็นครั้งแรกที่หนอนอินเทอร์เน็ตของปี 1988 ซึ่งการติดเชื้อSunOSและVAX BSDระบบ เวิร์มนี้ไม่ได้แทรกตัวเองเข้าไปในโปรแกรมอื่นต่างจากไวรัส แต่มันใช้ประโยชน์ช่องโหว่ ( ช่องโหว่ ) ในเครือข่ายเซิร์ฟเวอร์และโปรแกรมเริ่มต้นที่ตัวเองทำงานตามที่แยกกระบวนการ [81]เวิร์มในปัจจุบันก็ใช้พฤติกรรมแบบเดียวกันนี้เช่นกัน [82] [83]

ด้วยการเพิ่มขึ้นของแพลตฟอร์มMicrosoft Windowsในปี 1990 และมาโครที่ยืดหยุ่นของแอปพลิเคชัน ทำให้สามารถเขียนโค้ดที่ติดเชื้อในภาษามาโครของMicrosoft Wordและโปรแกรมที่คล้ายคลึงกันได้ ไวรัสมาโครเหล่านี้ติดไวรัสในเอกสารและเทมเพลตมากกว่าแอปพลิเคชัน ( executables ) แต่อาศัยความจริงที่ว่ามาโครในเอกสาร Word เป็นรูปแบบหนึ่งของโค้ดที่ปฏิบัติการได้ [84]

งานวิจัยทางวิชาการ

แนวคิดของโปรแกรมคอมพิวเตอร์ที่สร้างตัวเองได้นั้นสามารถสืบย้อนไปถึงทฤษฎีเบื้องต้นเกี่ยวกับการทำงานของออโตมาตะที่ซับซ้อนได้[85] จอห์น ฟอน นอยมันน์แสดงให้เห็นว่าในทางทฤษฎี โปรแกรมสามารถทำซ้ำได้ นี้ประกอบด้วยผลเหอะในทฤษฎีการคำนวณ Fred Cohenทดลองไวรัสคอมพิวเตอร์และยืนยันสมมติฐานของ Neumann และตรวจสอบคุณสมบัติอื่นๆ ของมัลแวร์ เช่น การตรวจจับและการสับสนในตัวเองโดยใช้การเข้ารหัสเบื้องต้น วิทยานิพนธ์เอกของเขาปี 1987 เกี่ยวกับไวรัสคอมพิวเตอร์[86]การผสมผสานของเทคโนโลยีการเข้ารหัสซึ่งเป็นส่วนหนึ่งของเพย์โหลดของไวรัส การใช้ประโยชน์จากมันเพื่อวัตถุประสงค์ในการโจมตีนั้นได้เริ่มต้นขึ้นและตรวจสอบตั้งแต่กลางปี ​​1990 และรวมถึงแนวคิดแรนซัมแวร์เบื้องต้นและการหลีกเลี่ยง [87]

ดูเพิ่มเติม

อ้างอิง

  1. ^ "กำหนดมัลแวร์: คำถามที่พบบ่อย" technet.microsoft.com . สืบค้นเมื่อ10 กันยายน 2552 .
  2. ^ "เป็น Undirected โจมตีโครงสร้างพื้นฐานที่สำคัญ" (PDF) ทีมงานเตรียมความพร้อมในสหรัฐอเมริกาคอมพิวเตอร์ฉุกเฉิน(Us-cert.gov) สืบค้นเมื่อ28 กันยายน 2557 .
  3. ^ ไคลน์, โทเบียส (11 ตุลาคม 2554). A Bug Hunter ไดอารี่: เป็นไกด์ทัวร์ผ่านป่าของซอฟต์แวร์รักษาความปลอดภัย ไม่มีเครื่องกดแป้ง ISBN 978-1-59327-415-3.
  4. อรรถเป็น รัสซิโนวิช มาร์ก (31 ตุลาคม 2548) "โซนี่รูทคิทและการจัดการลิขสิทธิ์ดิจิทัลไปไกลเกินไป" บล็อกมาร์ค ไมโครซอฟท์ MSDN สืบค้นเมื่อ29 กรกฎาคม 2552 .
  5. ^ "ปกป้องคอมพิวเตอร์ของคุณจากมัลแวร์" . OnGuardOnline.gov. 11 ตุลาคม 2555 . สืบค้นเมื่อ26 สิงหาคม 2556 .
  6. ^ Tipton แฮโรลด์เอฟ (26 ธันวาคม 2002) ข้อมูลคู่มือการจัดการความปลอดภัย ซีอาร์ซี เพรส. ISBN 978-1-4200-7241-9.
  7. ^ "มัลแวร์" . ข้อมูลผู้บริโภค-ค่าคอมมิชชั่นการค้าของรัฐบาลกลาง สืบค้นเมื่อ27 มีนาคม 2557 .
  8. เฮอร์นันเดซ, เปโดร. "Microsoft สาบานที่จะต่อต้านการสอดแนมทางอินเทอร์เน็ตของรัฐบาล" . eWeek สืบค้นเมื่อ15 ธันวาคม 2556 .
  9. ^ ว๊ากซ์, เอดูอาร์ "มัลแวร์ MiniDuke ที่ใช้กับองค์กรของรัฐบาลยุโรป" . Softpedia สืบค้นเมื่อ27 กุมภาพันธ์ 2556 .
  10. ^ "Malware Revolution: การเปลี่ยนแปลงในเป้าหมาย" . มีนาคม 2550
  11. ^ "หนังโป๊เด็ก: มัลแวร์ที่ดีที่สุดของความชั่วร้าย" พฤศจิกายน 2552
  12. ^ PC World - พีซีผีดิบ: เงียบคุกคามการเจริญเติบโต
  13. ^ "ข้อมูลเพียร์ทูเพียร์" . North Carolina State University, สืบค้นเมื่อ25 มีนาคม 2011 .
  14. ริชาร์ดสัน รอนนี่; North, Max (1 มกราคม 2017). "Ransomware: วิวัฒนาการบรรเทาสาธารณภัยและการป้องกัน" ทบทวนการจัดการระหว่างประเทศ 13 (1): 10–21.
  15. ^ Fruhlinger จอช (1 สิงหาคม 2017) "5 การโจมตีแรนซัมแวร์ครั้งใหญ่ที่สุดในรอบ 5 ปีที่ผ่านมา" . คสช. สืบค้นเมื่อ23 มีนาคม 2018 .
  16. ^ "อีกวิธีหนึ่งที่ Microsoft กำลังขัดขวางระบบนิเวศของมัลแวร์" . เก็บถาวรจากต้นฉบับเมื่อ 20 กันยายน 2558 . สืบค้นเมื่อ18 กุมภาพันธ์ 2558 .
  17. ^ "Shamoon เป็นมัลแวร์ตัวล่าสุดที่กำหนดเป้าหมายภาคพลังงาน" . สืบค้นเมื่อ18 กุมภาพันธ์ 2558 .
  18. ^ "คอมพิวเตอร์ฆ่ามัลแวร์ที่ใช้ในการโจมตีโซนี่โทรปลุก" สืบค้นเมื่อ18 กุมภาพันธ์ 2558 .
  19. ^ "ไวรัสคอมพิวเตอร์ – สารานุกรมบริแทนนิกา" . Britannica.com . สืบค้นเมื่อ28 เมษายน 2556 .
  20. ^ "ทุกอย่างเกี่ยวกับมัลแวร์และข้อมูลส่วนบุคคล - TechAcute" techacute.com . 31 สิงหาคม 2014.
  21. ^ "ไวรัส เวิร์ม และม้าโทรจันคืออะไร" . มหาวิทยาลัยอินดีแอนา . ทรัสตีของมหาวิทยาลัยอินดีแอนา. สืบค้นเมื่อ23 กุมภาพันธ์ 2558 .
  22. ^ ปีเตอร์ ซอร์ (3 กุมภาพันธ์ 2548) ศิลปะของไวรัสคอมพิวเตอร์การวิจัยและการป้องกัน การศึกษาเพียร์สัน. NS. 204. ISBN 978-0-672-33390-3.
  23. ^ "Rise of Android Ransomware การวิจัย" (PDF) อีสท .
  24. ^ "สถานะของมัลแวร์ การวิจัย" (PDF) . Malwarebytes
  25. ^ O'Kane, P., Sezer, S. และ Carlin, D. (2018), วิวัฒนาการของแรนซัมแวร์ IET Netw., 7: 321-327. https://doi.org/10.1049/iet-net.207.0207
  26. ^ Landwehr, C. E; เอ อาร์ บูล; เจพี แมคเดอร์มอตต์; ว. ส. ชอย (1993). อนุกรมวิธานของโปรแกรมคอมพิวเตอร์ข้อบกพร่องด้านความปลอดภัยที่มีตัวอย่าง เอกสาร สพฐ. สืบค้นเมื่อ5 เมษายน 2555 .
  27. ^ "นิยามม้าโทรจัน" . สืบค้นเมื่อ5 เมษายน 2555 .
  28. ^ "ม้าโทรจัน" . เว็บโพเดีย. สืบค้นเมื่อ5 เมษายน 2555 .
  29. ^ "ม้าโทรจันคืออะไร – คำจำกัดความจาก Whatis.com" . สืบค้นเมื่อ5 เมษายน 2555 .
  30. ^ "ม้าโทรจัน: [ประกาศเกียรติคุณโดย MIT-hacker-turned-NSA-spook Dan Edwards] N" เก็บถาวรจากต้นฉบับเมื่อ 5 กรกฎาคม 2017 . สืบค้นเมื่อ5 เมษายน 2555 .
  31. ^ "ไวรัส เวิร์ม และม้าโทรจันต่างกันอย่างไร" . ไซแมนเทค คอร์ปอเรชั่น. สืบค้นเมื่อ10 มกราคม 2552 .
  32. ^ "VIRUS-L / comp.virus คำถามที่พบบ่อย (FAQ) v2.00 (คำถาม B3: อะไรคือม้าโทรจัน?)" 9 ตุลาคม 2538 . สืบค้นเมื่อ13 กันยายน 2555 .
  33. ^ "โปรตอน Mac โทรจันมีแอปเปิ้ลรหัสลายเซ็นลงนามขายให้กับลูกค้าราคา $ 50k" แอปเปิ้ลอินไซเดอร์
  34. ^ "มัลแวร์ที่ไม่ใช่ Windows" . เบต้านิวส์ 24 สิงหาคม 2560
  35. ^ McDowell, Mindi "การทำความเข้าใจภัยคุกคามที่ซ่อนอยู่: รูทคิทและบ็อตเน็ต" . US-CERT สืบค้นเมื่อ6 กุมภาพันธ์ 2556 .
  36. ^ "Catb.org" . แคทบี. org สืบค้นเมื่อ15 เมษายน 2010 .
  37. ^ Vincentas (11 กรกฎาคม 2013). "มัลแวร์ใน SpyWareLoop.com" สปายแวร์ห่วง สืบค้นเมื่อ28 กรกฎาคม 2556 .
  38. ^ Staff, SPIEGEL (29 ธันวาคม 2556). "ภายใน TAO: เอกสารเปิดเผยสูงสุด NSA แฮ็หน่วย" เดอร์สออนไลน์ สปีเกล. สืบค้นเมื่อ23 มกราคม 2014 .
  39. ^ เอ็ดเวิร์ดส์, จอห์น. "ยอดผีดิบม้าโทรจันและภัยคุกคาม Bot" ความปลอดภัยด้านไอที เก็บถาวรจากต้นฉบับเมื่อ 9 กุมภาพันธ์ 2017 . สืบค้นเมื่อ25 กันยายน 2550 .
  40. ^ Appelbaum จาค็อบ (29 ธันวาคม 2013) "ช้อปปิ้งสำหรับเกียร์ Spy: แคตตาล็อกประกาศ NSA กล่องเครื่องมือ" เดอร์สออนไลน์ สปีเกล. สืบค้นเมื่อ29 ธันวาคม 2556 .
  41. ^ "มัลแวร์ไป Evasive หลัก - ความช่วยเหลือการรักษาความปลอดภัยสุทธิ" net-security.org . 22 เมษายน 2558.
  42. ^ กีรัต, ดิลุง; วินญา, จิโอวานนี; ครูเกล, คริสโตเฟอร์ (2014). Barecloud: โลหะเปลือยวิเคราะห์ตามการตรวจจับมัลแวร์เป็นข้อแก้ตัว อสม. น. 287–301. ISBN 978-1-931971-15-7.
    ได้อย่างอิสระสามารถเข้าถึงได้ที่: "Barecloud: โลหะเปลือยวิเคราะห์ตามการตรวจจับมัลแวร์เป็นข้อแก้ตัว" (PDF)
  43. ^ เทคนิคสี่ส่วนใหญ่ Evasive ที่ใช้โดยทั่วไปมัลแวร์ 27 เมษายน 2558.
  44. ^ หนุ่ม อดัม; ยุง, โมติ (1997). "การขโมยรหัสผ่านที่ปฏิเสธไม่ได้: ความเป็นไปได้ของการจารกรรมทางอิเล็กทรอนิกส์" อาการ การรักษาความปลอดภัยและความเป็นส่วนตัว อีอีอี น. 224–235. ISBN 0-8186-7828-3.
  45. ^ เคซี่ย์, เฮนรี่ตัน (25 พฤศจิกายน 2015) "ล่าสุดแอดแวร์ปิดการใช้งานซอฟแวร์ป้องกันไวรัส" คู่มือของทอม . ยาฮู.คอม. สืบค้นเมื่อ25 พฤศจิกายน 2558 .
  46. ^ Cabaj ซีส; คาวิลิโอเน, ลูก้า; Mazurczyk, วอยเซียค; เวนด์เซล, สเตฟเฟน; วู้ดเวิร์ด อลัน; แซนเดอร์ เซบาสเตียน (พฤษภาคม 2018). "ภัยคุกคามใหม่ของการปกปิดข้อมูล: หนทางข้างหน้า" ผู้เชี่ยวชาญด้าน IT 20 (3): 31–39. arXiv : 1801.00694 . ดอย : 10.1109/MITP.2018.032501746 . S2CID 22328658 . 
  47. ^ "รัฐเพนน์ WebAccess เข้าสู่ระบบการรักษาความปลอดภัย" webaccess.psu.edu . ดอย : 10.1145/3365001 . สืบค้นเมื่อ29 กุมภาพันธ์ 2020 .
  48. ^ "มัลแวร์วิเคราะห์แบบไดนามิกเทคนิคการหลีกเลี่ยง: การสำรวจ" รีเสิร์ชเกต. สืบค้นเมื่อ29 กุมภาพันธ์ 2020 .
  49. ^ "Global Web Browser... Security Trends" (PDF) . ห้องปฏิบัติการ Kaspersky พฤศจิกายน 2555
  50. ^ Rashid, Fahmida Y. (27 พฤศจิกายน 2555). "Updated เบราว์เซอร์ยังเสี่ยงต่อการโจมตีถ้าปลั๊กอินจะล้าสมัย" pcmag.com เก็บถาวรจากต้นฉบับเมื่อ 9 เมษายน 2559 . สืบค้นเมื่อ17 มกราคม 2556 .
  51. ^ Danchev, Dancho (18 สิงหาคม 2011). "Kaspersky: 12 ช่องโหว่ที่แตกต่างกันที่ตรวจพบในเครื่องคอมพิวเตอร์ทุก" pcmag.com
  52. ^ "แถลงการณ์ Adobe Security และคำแนะนำ" อะโดบี.คอม สืบค้นเมื่อ19 มกราคม 2556 .
  53. ^ Rubenking, Neil J. "Secunia Personal Software Inspector 3.0 Review & Rating" . PCMag.com . สืบค้นเมื่อ19 มกราคม 2556 .
  54. อรรถเป็น เสี่ยว เฟย; ซุนยี่; ตู่ ตงเกา; หลี่ เสวี่ยเลย์; หลัว หมิน (21 มีนาคม 2020). "วิธีการจำแนกมัลแวร์แบบใหม่ตามพฤติกรรมที่สำคัญ" . ปัญหาทางคณิตศาสตร์ทางวิศวกรรม . 2563 : 1–12. ดอย : 10.1155/2020/6804290 . ISSN 1024-123X . 
  55. ^ a b c "อุปกรณ์ USB แพร่ไวรัส" . CNET . ซีบีเอสอินเตอร์แอคที สืบค้นเมื่อ18 กุมภาพันธ์ 2558 .
  56. ^ https://enterprise.verizon.com/resources/reports/DBIR_2018_Report.pdf
  57. ^ Fruhlinger จอช (10 ตุลาคม 2018) “ข้อเท็จจริง ตัวเลข และสถิติความปลอดภัยทางไซเบอร์อันดับต้นๆ ประจำปี 2018” . คสช. ออนไลน์. สืบค้นเมื่อ20 มกราคม 2020 .
  58. ^ "มัลแวร์ไวรัสเวิร์มโทรจันและสปายแวร์" list.ercacinnican.tk . สืบค้นเมื่อ14 พฤศจิกายน 2020 .
  59. ^ "LNCS 3786 – Key Factors Influencing Worm Infection", U. Kanlayasiri, 2006, เว็บ (PDF): SL40-PDF .
  60. ^ "ซอฟต์แวร์ป้องกันไวรัสทำงานอย่างไร" . สืบค้นเมื่อ16 ตุลาคม 2558 .
  61. ^ Souppaya, Murugiah; สการ์โฟน กะเหรี่ยง (กรกฎาคม 2556) "คู่มือการป้องกันและจัดการเหตุการณ์มัลแวร์สำหรับเดสก์ท็อปและแล็ปท็อป" สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ. ดอย : 10.6028/nist.sp.800-83r1 . Cite journal requires |journal= (help)
  62. ^ "Microsoft Security Essentials" . ไมโครซอฟต์. สืบค้นเมื่อ21 มิถุนายน 2555 .
  63. ^ "ซอฟต์แวร์ที่เป็นอันตรายเครื่องมือกำจัด" ไมโครซอฟต์. เก็บถาวรจากต้นฉบับเมื่อ 21 มิถุนายน 2555 . สืบค้นเมื่อ21 มิถุนายน 2555 .
  64. ^ "วินโดวส์ ดีเฟนเดอร์" . ไมโครซอฟต์. เก็บถาวรจากต้นฉบับเมื่อ 22 มิถุนายน 2555 . สืบค้นเมื่อ21 มิถุนายน 2555 .
  65. ^ Rubenking นีลเจ (8 มกราคม 2014) "แอนตี้ไวรัสฟรีที่ดีที่สุดประจำปี 2014" . pcmag.com
  66. ^ "โปรไฟล์แอนตี้ไวรัสฟรีในปี 2018" . โปรแกรมป้องกันไวรัสฟรี. org เก็บถาวรจากต้นฉบับเมื่อ 10 สิงหาคม 2018 . สืบค้นเมื่อ13 กุมภาพันธ์ 2020 .
  67. ^ "ได้อย่างรวดเร็วระบุการทำงานมัลแวร์บนคอมพิวเตอร์ของคุณ" techadvisor.co.uk .
  68. ^ "ฉันจะลบไวรัสคอมพิวเตอร์ได้อย่างไร" . ไมโครซอฟต์. สืบค้นเมื่อ26 สิงหาคม 2556 .
  69. ^ "เครื่องสแกนความปลอดภัยของ Microsoft" . ไมโครซอฟต์. สืบค้นเมื่อ26 สิงหาคม 2556 .
  70. ^ "หน้าตัวอย่าง Google.com Safe Browsing วินิจฉัย" สืบค้นเมื่อ19 มกราคม 2556 .
  71. ^ M. Guri, G. Kedma, A. Kachlon และ Y. Elovici, "AirHopper: Bridging the air-gap ระหว่างเครือข่ายที่แยกออกมาและโทรศัพท์มือถือโดยใช้ความถี่วิทยุ"ซอฟต์แวร์ที่เป็นอันตรายและไม่ต้องการ: The Americas (MALWARE), 2014 9th International Conference on , Fajardo, PR, 2014, pp. 58-67.
  72. ^ M. Guri, M. Monitz, Y. Mirski และ Y. Elovici, "BitWhisper: Covert Signaling Channel between Air-Gapped Computers Using Thermal Manipulations," 2015 IEEE 28th Computer Security Foundations Symposium , Verona, 2015, pp. 276-289 .
  73. ^ GSMem: การกรองข้อมูลจากคอมพิวเตอร์ Air-Gapped ผ่านความถี่ GSM Mordechai Guri, Assaf Kachlon, Ofer Hasson, Gabi Kedma, Yisroel Mirsky และ Yuval Elovici, Ben-Gurion University of the Negev; USENIX Security Symposium 2015
  74. ^ ฮันสปาค ไมเคิล; เกอตซ์, ไมเคิล; ไดดาคูลอฟ, อันเดรย์; Elovici, ยูวัล (2016). Fansmitter: การกรองข้อมูลอะคูสติกจากคอมพิวเตอร์ Air-Gapped (ไร้ลำโพง) arXiv : 1606.05915 [ cs.CR ].
  75. ^ Vincentas (11 กรกฎาคม 2013). "Grayware ใน SpyWareLoop.com" สปายแวร์ห่วง เก็บถาวรจากต้นฉบับเมื่อ 15 กรกฎาคม 2014 . สืบค้นเมื่อ28 กรกฎาคม 2556 .
  76. ^ "สารานุกรมภัยคุกคาม – เกรย์แวร์ทั่วไป" . เทรนด์ไมโคร สืบค้นเมื่อ27 พฤศจิกายน 2555 .
  77. ^ "การให้คะแนนโซลูชันป้องกันมัลแวร์ที่ดีที่สุด" . อาร์สเทคนิคกา 15 ธันวาคม 2552 . สืบค้นเมื่อ28 มกราคม 2014 .
  78. ^ "เกณฑ์ PUP" . Malwarebytes.org . สืบค้นเมื่อ13 กุมภาพันธ์ 2558 .
  79. ^ "การซ่อมแซมไวรัสภาคบูต" . แอนตี้ไวรัส.about.com 10 มิถุนายน 2553 เก็บถาวรจากต้นฉบับเมื่อ 12 มกราคม 2554 . สืบค้นเมื่อ27 สิงหาคม 2010 .
  80. ^ อา โวเน กิลดัส; ปาสกาล จูโนด; Philippe Oechslin (2007). ความปลอดภัยของระบบคอมพิวเตอร์: แนวคิดพื้นฐานและแบบฝึกหัดที่แก้ไขแล้ว EFPL กด NS. 20. ISBN 978-1-4200-4620-5. ไวรัสพีซีตัวแรกเป็นของพี่น้องสองคน Basit Farooq Alvi และ Amjad Farooq Alvi จากปากีสถาน
  81. ^ วิลเลียม Hendric (4 กันยายน 2014) "ประวัติไวรัสคอมพิวเตอร์" . ทะเบียน. สืบค้นเมื่อ29 มีนาคม 2558 .
  82. ^ "Cryptomining หนอน MassMiner ช่องโหว่หลาย - ถนนปลอดภัย" รักษาความปลอดภัยบูเลอวาร์ด . 2 พฤษภาคม 2561 . สืบค้นเมื่อ9 พฤษภาคม 2018 .
  83. ^ "Malware: Types, Protection, Prevention, Detection & Removal - Ultimate Guide" . EasyTechGuides .
  84. ^ "ระวังไวรัสเอกสาร Word" . เรา. norton.com สืบค้นเมื่อ25 กันยายน 2017 .
  85. จอห์น ฟอน นอยมันน์, "Theory of Self-Reproducing Automata", Part 1: Transcripts of lectures given at the University of Illinois, December 1949, Editor: AW Burks, University of Illinois, USA, 1966.
  86. เฟร็ด โคเฮน "ไวรัสคอมพิวเตอร์", วิทยานิพนธ์ระดับปริญญาเอก, มหาวิทยาลัยเซาเทิร์นแคลิฟอร์เนีย, ASP Press, 1988
  87. ^ หนุ่ม อดัม; ยุง, โมติ (2004). การเข้ารหัสที่เป็นอันตราย - การเปิดเผย cryptovirology ไวลีย์. หน้า  1 –392. ISBN 978-0-7645-4975-5.


ลิงค์ภายนอก