第6章計算機病毒與惡意軟件

第6章計算機病毒與惡意軟件版權所有，盜版必糾概述本章來介紹計算機病毒和惡意軟件。在國外，有時將計算機病毒當作惡意軟件來處理。而在我國，惡意軟件沒有明確的法律定義，只在互聯(lián)網(wǎng)協(xié)會對惡意軟件做了介紹，其中不包括計算機病毒的。版權所有，盜版必糾目錄6.1計算機病毒概述

6.2典型的病毒分析6.3惡意軟件概述版權所有，盜版必糾6.1計算機病毒概述6.1.1計算機病毒的概念用卡巴在安全模其實只要我們掌握一些病毒的命名規(guī)則，我們就能通過殺毒軟件的報告中出現(xiàn)的病毒名來判斷該病毒的一些公有的特性了?！坝嬎銠C病毒”為什么叫做病毒。首先，與醫(yī)學上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計算機存儲介質(或程序)里,當達到某種條件時即被激活,它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染它們，對計算機資源進行破壞的這樣一組程序或指令集合。版權所有，盜版必糾6.1計算機病毒概述1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權威性。版權所有，盜版必糾6.1計算機病毒概述6.1.2計算機病毒產(chǎn)生的原因那么究竟它是如何產(chǎn)生的呢？其過程可分為：程序設計－＞傳播－＞潛伏－＞觸發(fā)－＞運行－＞實行攻擊。究其產(chǎn)生的原因不外乎以下幾種：版權所有，盜版必糾6.1計算機病毒概述1.開個玩笑，一個惡作劇某些愛好計算機并對計算機技術精通的人士為了炫耀自己的高超技術和智慧，憑借對軟硬件的深入了解，編制這些特殊的程序。這些程序通過載體傳播出去后，在一定條件下被觸發(fā)。如顯示一些動畫，播放一段音樂，或提一些智力問答題目等，其目的無非是自我表現(xiàn)一下。這類病毒一般都是良性的，不會有破壞操作。2.產(chǎn)生于個別人的報復心理每個人都處于社會環(huán)境中，但總有人對社會不滿或受到不公證的待遇。如果這種情況發(fā)生在一個編程高手身上，那么他有可能會編制一些危險的程序。在國外有這樣的事例：某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測到他的名字在工資報表中刪除，該程序立即發(fā)作，破壞整個系統(tǒng)。類似案例在國內亦出現(xiàn)過。版權所有，盜版必糾6.1計算機病毒概述3.用于版權保護計算機發(fā)展初期，由于在法律上對于軟件版權保護還沒有象今天這樣完善。很多商業(yè)軟件被非法復制，有些開發(fā)商為了保護自己的利益制作了一些特殊程序，附在產(chǎn)品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產(chǎn)品的用戶。用于這種目的的病毒目前已不多見。4.用于特殊目的某組織或個人為達到特殊目的，對政府機構、單位的特殊系統(tǒng)進行宣傳或破壞?；蛴糜谲娛履康摹０鏅嗨?，盜版必糾6.1計算機病毒概述6.1.3計算機病毒的歷史 自從1946年第一臺馮.諾依曼型計算機ENIAC出世以來，計算機已被應用到人類社會的各個領域。然而，1988年發(fā)生在美國的“蠕蟲病毒”事件，給計算機技術的發(fā)展罩上了一層陰影。蠕蟲病毒是由美國CORNELL大學研究生莫里斯編寫。雖然并無惡意，但在當時，“蠕蟲”在INTERNET上大肆傳染，使得數(shù)千臺連網(wǎng)的計算機停止運行，并造成巨額損失，成為一時的輿論焦點。版權所有，盜版必糾6.1計算機病毒概述6.1.4計算機病毒的特征1.傳染性傳染性是病毒的基本特征。在生物界，通過傳染病毒從一個生物體擴散到另一個生物體。在適當?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的版權所有，盜版必糾6.1計算機病毒概述 2.隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常。試想，如果病毒在傳染到計算機上之后，機器馬上無法正常運行，那么它本身便無法繼續(xù)進行傳染了。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。版權所有，盜版必糾6.1計算機病毒概述3.潛伏性大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其破壞模塊。只有這樣它才可進行廣泛地傳播。如“PETER-2”在每年2月27日會提三個問題，答錯后會將硬盤加密。著名的“黑色星期五”在逢13號的星期五發(fā)作。國內的“上海一號”會在每年三、六、九月的13日發(fā)作。當然，最令人難忘的便是26日發(fā)作的CIH。這些病毒在平時會隱藏得很好，只有在發(fā)作日才會露出本來面目。版權所有，盜版必糾6.1計算機病毒概述4.破壞性任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產(chǎn)生程度不同的影響。輕者會降低計算機工作效率，占用系統(tǒng)資源，重者可導致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、W-BOOT等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。版權所有，盜版必糾6.1計算機病毒概述6.1.5計算機病毒的命名世界上那么多的病毒，反病毒公司為了方便管理，他們會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個統(tǒng)一的命名方法來命名的。一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>。病毒前綴是指一個病毒的種類，他是用來區(qū)別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等還有其他的。版權所有，盜版必糾6.1計算機病毒概述下面附帶一些常見的病毒前綴的解釋：

1.系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*.exe和*.dll

文件，并通過這些文件進行傳播。如CIH病毒。版權所有，盜版必糾6.1計算機病毒概述2.蠕蟲病毒蠕蟲病毒的前綴是：Worm。這種病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。比如沖擊波（阻塞網(wǎng)絡），小郵差（發(fā)帶毒郵件）等。3.木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制?，F(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有大家可能遇見比較多的針對網(wǎng)絡游戲的木馬病毒如Trojan.LMir.PSW.60。版權所有，盜版必糾6.1計算機病毒概述

4.腳本病毒腳本病毒的前綴是：Script。腳本病毒的公有特性是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。版權所有，盜版必糾6.1計算機病毒概述

5.宏病毒其實宏病毒是也是腳本病毒的一種，由于它的特殊性，因此在這里單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的公有特性是能感染OFFICE系列文檔，然后通過OFFICE通用模板進行傳播，如：著名的美麗莎(Macro.Melissa)。版權所有，盜版必糾6.1計算機病毒概述

6.后門病毒后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網(wǎng)絡傳播，給系統(tǒng)開后門，給用戶電腦帶來安全隱患。如54很多朋友遇到過的IRC后門Backdoor.IRCBot

。

7、病毒種植程序病毒這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產(chǎn)生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。版權所有，盜版必糾6.1計算機病毒概述

9．玩笑病毒玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girlghost）病毒。版權所有，盜版必糾6.1計算機病毒概述10．捆綁機病毒捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。版權所有，盜版必糾6.1計算機病毒概述10．捆綁機病毒捆綁機病毒的前綴是：Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些捆綁病毒時，會表面上運行這些應用程序，然后隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。版權所有，盜版必糾6.2典型的病毒分析這其中U盤中的病毒是見到的最多的，在本節(jié)重點介紹。U盤是目前使用最為廣泛的移動存儲器，它有體積小、重量輕、容量大攜帶方便等優(yōu)點。但是目前U盤也是傳播病毒的主要途徑之一，有人統(tǒng)計發(fā)現(xiàn)U盤有病毒的比例高達90%。具2008年1月2日，國內最大的計算機反病毒軟件廠商之一江民科技發(fā)布了2007年年度病毒疫情報告以及十大病毒排行，如表6.1所示。其中U盤病毒高位居第一位。版權所有，盜版必糾6.2典型的病毒分析這其中U盤版權所有，盜版必糾6.2典型的病毒分析6.2.1U盤“runauto..”文件夾病毒及清除方法1.“runauto..”文件夾病毒經(jīng)常在計算機硬盤里會發(fā)現(xiàn)名為“runauto..”的一個文件夾，在正常模式或安全模式下都無法刪除，粉碎也不可以。如圖所示為runauto..文件夾。版權所有，盜版必糾6.2典型的病毒分析2.病毒清除方法假設這個文件夾，在C盤，則刪除辦法是：在桌面點擊“開始”→“運行”，輸入“cmd”，再輸入“C:”輸入“rd/s/q

runauto...\”。就可以了，如圖所示為刪除runauto..文件夾的方法。版權所有，盜版必糾6.2典型的病毒分析6.2.2U盤autorun.inf文件病毒及清除方法1.autorun.inf文件病毒目前幾乎所有U盤類的病毒的最大特征都是利用autorun.inf這個來侵入的，而事實上autorun.inf相當于一個傳染途徑，經(jīng)過這個途徑入侵的病毒，理論上是“任何”病毒。版權所有，盜版必糾6.2典型的病毒分析

autorun.inf這個文件是很早就存在的，在WinXP以前的其他windows系統(tǒng)（如Win98，2000等），需要讓光盤、U盤插入到機器自動運行的話，就要靠autorun.inf。這個文件是保存在驅動器的根目錄下的，是一個隱藏的系統(tǒng)文件。它保存著一些簡單的命令，告訴系統(tǒng)這個新插入的光盤或硬件應該自動啟動什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標改成某個路徑下的icon。所以，這本身是一個常規(guī)且合理的文件和技術。版權所有，盜版必糾6.2典型的病毒分析一種是假回收站方式：病毒通常在U盤中建立一個“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實上，回收站的名稱是“Recycled”，而且兩者的圖標是不同的如圖所示。版權所有，盜版必糾6.2典型的病毒分析

U版權所有，盜版必糾6.2典型的病毒分析

U版權所有，盜版必糾6.2典型的病毒分析

2.病毒清除方法對于autorun.inf病毒的解決方案如下：(1)如果發(fā)現(xiàn)U盤有autorun.inf，且不是你自己創(chuàng)建生成的，請刪除它，并且盡快查毒。(2)如果有貌似回收站、瑞星文件等文件，而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱，同時確認該內容不是你創(chuàng)建生成的，請刪除它。(3)一般建議插入U盤時，不要雙擊U盤，另外有一個更好的技巧：插入U盤前，按住Shift鍵，然后插入U盤，建議按鍵的時間長一點。插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤。版權所有，盜版必糾6.2典型的病毒分析6.2.3U盤RavMonE.exe病毒及清除方法1.病毒描述經(jīng)常有人發(fā)現(xiàn)自己的U盤有病毒，殺毒軟件報出一個RavMonE.exe病毒文件，這個也是經(jīng)典的一個U盤病毒。如圖所示為RavMonE.exe病毒運行后出現(xiàn)在進程里。版權所有，盜版必糾6.2典型的病毒分析2.解決方法(1)打開任務管理器（ctrl+alt+del或者任務欄右鍵點擊也可），終止所有RavmonE.exe進程。(2)進入病毒目錄，刪除其中的ravmone.exe。(3)打開系統(tǒng)注冊表依次點開HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項數(shù)值是c:\windows\ravmone.exe的，把他刪除掉。(3)完成后，重新啟動計算機，病毒就被清除了。版權所有，盜版必糾6.2典型的病毒分析6.2.4ARP病毒1.病毒描述ARP地址欺騙類病毒（以下簡稱ARP病毒）是一類特殊的病毒，該病毒一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復制。但是由于其發(fā)作的時候會向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運行，因此它的危害比一些蠕蟲還要嚴重得多。該病毒位居2007年病毒排行榜第二位，如表6.1所示。版權所有，盜版必糾6.2典型的病毒分析6.2.4ARP病毒1.病毒描述版權所有，盜版必糾6.2典型的病毒分析2.解決方法 可以使用360ARP防火墻，這個防火墻可以在上下載。安裝完成后，可以在綜合設置里面設置對ARP病毒的防護，如圖所示。版權所有，盜版必糾6.2典型的病毒分析6.2.5“熊貓燒香”病毒

2006年底，中國互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種，這種病毒將感染的所有程序文件改成熊貓舉著三根香的模樣，如圖所示。它還具有盜取用戶游戲賬號、ＱＱ賬號等功能。截至案發(fā)為止，已有上百萬個人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會各界高度關注，被稱為2006年中國大陸地區(qū)的“毒王”。版權所有，盜版必糾6.2典型的病毒分析據(jù)警方調查，“熊貓燒香”病毒的制作者為湖北省武漢市的李俊，如圖所示，另外雷磊等五名犯罪嫌疑人通過改寫、傳播“熊貓燒香”等病毒，構建“僵尸網(wǎng)絡”，通過盜竊各種游戲和QQ賬號等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。圖“熊貓燒香”病毒的制作者李俊版權所有，盜版必糾6.2典型的病毒分析6.2.6QQ與MSN病毒目前，網(wǎng)上利用QQ、MSN等聊天工具，進行病毒傳播時有發(fā)生，如圖所示為通過QQ自動傳播的病毒。如圖所示為通過MSN傳播的網(wǎng)頁病毒。另外還有黑客給QQ、MSN上加木馬，以盜取QQ、MSN的密碼等信息。版權所有，盜版必糾6.2典型的病毒分析6.2.6QQ與MSN病毒目前，網(wǎng)上利用QQ、MSN等聊天工具，進行病毒傳播時有發(fā)生，如圖所示為通過QQ自動傳播的病毒。如圖所示為通過MSN傳播的網(wǎng)頁病毒。另外還有黑客給QQ、MSN上加木馬，以盜取QQ、MSN的密碼等信息。版權所有，盜版必糾6.2典型的病毒分析

這個網(wǎng)址很可怕，因為它的后面加了一個端口號?？梢詐ing一下它的網(wǎng)址，如圖所示。通過這種方式可以看到它的IP。版權所有，盜版必糾6.2典型的病毒分析

看到它的IP為7，然后再到網(wǎng)站上查找一下就會發(fā)現(xiàn)這個網(wǎng)站實際上在香港。版權所有，盜版必糾6.2典型的病毒分析 2.QQ、MSN病毒防治方法 對于QQ和MSN病毒的防治，可以采用專殺工具。例如，對于QQ病毒可以下載QQkav專殺工具，進行查殺。它的主界面如圖所示。版權所有，盜版必糾6.2典型的病毒分析6.2.7典型手機病毒介紹隨著智能手機的不斷普及，手機病毒成為了病毒發(fā)展的下一個目標。現(xiàn)在手機病毒已經(jīng)從過去的利用手機系統(tǒng)漏洞進行攻擊的類型，向針對開放式智能手機操作系統(tǒng)的類似電腦病毒的程序型轉變，目前為止已經(jīng)出現(xiàn)了三十多種針對智能手機的病毒。本文將向你介紹典型手機病毒的特征、防治方法和殺毒軟件。版權所有，盜版必糾6.2典型的病毒分析1.Cabir手機病毒介紹下面將介紹一種Cabir手機病毒。它的別名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目標手機主要是SymbianOSS60平臺手機。主要危害包括干擾藍牙通訊，加大電力消耗等。版權所有，盜版必糾6.2典型的病毒分析1.Cabir手機病毒介紹下面將介紹一種Cabir手機病毒。它的別名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目標手機主要是SymbianOSS60平臺手機。主要危害包括干擾藍牙通訊，加大電力消耗等。版權所有，盜版必糾6.2典型的病毒分析當文件被執(zhí)行后，手機的屏幕上會提示“InstallCaribe？”，如圖所示。版權所有，盜版必糾6.2典型的病毒分析 一旦開始安裝，手機屏幕上會顯示“Caribe-VZ/29a”，如圖所示。版權所有，盜版必糾6.2典型的病毒分析 病毒安裝過程中，會對Symbian操作系統(tǒng)進行修改。此后用戶每次打開手機時，Cabir也隨之啟動。Cabir會在手機上創(chuàng)建以下文件夾，如圖所示。版權所有，盜版必糾6.2典型的病毒分析2.Cabir手機病毒防治對于Cabir病毒最好的防治方法是：在不用藍牙功能時，將手機的藍牙設置為隱藏（不可被搜索到）或者直接關閉版權所有，盜版必糾6.3惡意軟件概述

惡意軟件俗稱流氓軟件，是對破壞系統(tǒng)正常運行的軟件的統(tǒng)稱。惡意軟件介于病毒軟件和正規(guī)軟件之間，同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實質危害。目前，互聯(lián)網(wǎng)上有許多惡意軟件，如一搜工具條、完美網(wǎng)譯通、博采網(wǎng)摘、百度搜霸、3721上網(wǎng)助手、很棒小秘書、網(wǎng)絡豬、劃詞搜索等。版權所有，盜版必糾6.3惡意軟件概述6.3.1惡意軟件的概述在中國對于惡意軟件定義最權威的要屬于中國互聯(lián)網(wǎng)協(xié)會反惡意軟件協(xié)調工作組對惡意軟件的定義。2006年，中國互聯(lián)網(wǎng)協(xié)會反惡意軟件協(xié)調工作組在充分聽取成員單位意見的基礎上，最終確定了“惡意軟件”定義并向社會公布：惡意軟件俗稱“流氓軟件”，是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含我國法律法規(guī)規(guī)定的計算機病毒。版權所有，盜版必糾6.3惡意軟件概述具有下列特征之一的軟件可以被認為是惡意軟件：1.強制安裝：指未明確提示用戶或未經(jīng)用戶許可，在用戶計算機或其他終端上安裝軟件的行為。2.難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動程序的行為。3.瀏覽器劫持：指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網(wǎng)站或導致用戶無法正常上網(wǎng)的行為。4.廣告彈出：指未明確提示用戶或未經(jīng)用戶許可，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。版權所有，盜版必糾6.3惡意軟件概述5.惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。6.惡意卸載：指未明確提示用戶、未經(jīng)用戶許可，或誤導、欺騙用戶卸載其他軟件的行為。7.惡意捆綁：指在軟件中捆綁已被認定為惡意軟件的行為。8.其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。版權所有，盜版必糾6.3惡意軟件概述6.3.2惡意軟件的類型根據(jù)惡意軟件的表現(xiàn)，可以分為以下9類。1.廣告軟件廣告軟件（Adware）是指未經(jīng)用戶允許，下載并安裝或與其他軟件捆綁并通過彈出式廣告或以其他形式進行商業(yè)廣告宣傳的程序。2.間諜軟件間諜軟件(Spyware)是能夠在使用者不知情的情況下，在用戶電腦上安裝后門程序的軟件。用戶的隱私數(shù)據(jù)和重要信息會被那些后門程序捕獲，甚至這些“后門程序”還能使黑客遠程操縱用戶的電腦。3.瀏覽器劫持瀏覽器劫持是一種惡意程序，通過DLL插