恶意代码系列一----何谓恶意代码

　　* 通常潜伏在正常的程序应用中，附带执行独立的恶意操作

　　* 通常潜伏在正常的程序应用中，但是会修改正常的应用进行恶意操作

　　* 完全覆盖正常的程序应用，执行恶意操作

　　大多数木马都可以使木马的控制者登录到被感染电脑上，并拥有绝大部分的管理员级控制权限。为了达到这个目的，木马一般都包括一个客户端和一个服务器端客户端放在木马控制者的电脑中，服务器端放置在被入侵电脑中，木马控制者通过客户端与被入侵电脑的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵电脑发送指令来传输和修改文件。通常木马所具备的另一个是发动DdoS(拒绝服务)攻击。
还有一些木马不具备远程登录的功能。它们中的一些的存在只是为了隐藏恶意进程的痕迹，例如使恶意进程不在进程列表中显示出来。另一些木马用于收集信息，例如被感染电脑的密码；木马还可以把收集到的密码列表发送互联网中一个指定的邮件帐户中。

　　3， 蠕虫

　　是一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不象其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。蠕虫是通过系统存在的漏洞和设置的不安全性（例如：设置共享）来进行入侵的。它的自身特性可以使它以及快的速度传输（在几秒中内从地球的一端传送到另一端）。其中比较典型的有Blaster和SQL Slammer。

　　4， 移动代码

　　移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java applets，ActiveX，javascript，和VBScript。

　　5.复合型病毒

　　复合型病毒就是恶意代码通过多种方式传播。著名的Nimda蠕虫实际上就是复合型病毒的一个例子，它通过四种方式传播：

　　* E-Mail：如果用户在一台存在漏洞的电脑上打开一个被Nimda感染的邮件附件，病毒就会搜索这台电脑上存储的所有邮件地址，然后向它们发送病毒邮件。

　　* 网络共享：Nimda会搜索与被感染电脑连接的其他电脑的共享文件，然后它以NetBIOS作为传送工具，来感染远程电脑上的共享文件，一旦那台电脑的用户运行这个被感染文件，那么那台电脑的系统也将会被感染。

　　* Web服务器：Nimda会搜索Web服务器，寻找Microsoft IIS存在的漏洞，一旦它找到存在漏洞的服务器，它就会复制自己的副本过去，并感染它和它的文件。

　　* Web终端：如果一个Web终端访问了一台被Nimda感染的Web服务器，那么它也将会被感染。

　　除了以上这些方法，复合型病毒还会通过其他的一些服务来传播，例如直接传送信息和点对点的文件共享。人们通常将复合型病毒当成蠕虫，同样许多人认为Nimda是一种蠕虫，但是从技术的角度来讲，它具备了病毒，蠕虫和移动代码它们全部的特征。