流氓软件有什么危害

危害1：遭遇"赖死不走"的流氓软件:流氓软件系统里"安家"后，太过于乐不思蜀以致于多次将它"请出"也未能如愿。重启后它还是纠缠不休，直至你重新安装系统。危害程度：★★★★

危害2：遭遇"强行捆绑"型流氓软件:强行捆绑就是在网友下载的软件上面，捆绑了其它未经网友同意下载并安装的软件、插件，这些流氓软件安装的时候非常隐蔽，在刹那间就莫名其妙地占领了你的电脑。一般是由软件作者将它们捆绑在一起以获得利润。危害程度：★★★

危害3：遭遇"强力侵扰"型流氓软件:姑勿论流氓软件是如何进入系统的，如果它安安静静就算了，不过有些软件不依不饶，老是出来在你眼前晃动，占用系统资源，让人烦不胜烦。危害程度：★★★★★

流氓软件种种恶行让广大网友们愤慨不已，所以我们特意收集了网友们对流氓软件的一些不愉快的经历，希望大家能够更深地了解流氓软件的危害程度。

“比特币敲诈者”病毒再次变种 可**个人隐私

今年一月份首次现身中国的“比特币敲诈者”病毒如今呈指数级爆发，腾讯反病毒实验室日前发现，该病毒疯狂变种，仅5月7日当天新变种数就已达13万，不仅敲诈勒索用户，甚至还能**个人隐私。腾讯反病毒实验室分析，从攻击源来看，这是由黑客控制的僵尸网络以网络邮件为传播载体发起的一场风暴。

“比特币敲诈者” 呈指数级爆发

比特币是一种新兴的网络虚拟货币，因可兑换成大多数国家的货币而在全世界广受追捧。与此同时，一种名为“CTB-Locker”的“比特币敲诈者”病毒也肆虐全球，其通过远程加密用户电脑内的文档、等文件，向用户勒索赎金，否则这些加密的文档将在指定时间永久销毁。

僵尸网络助“比特币敲诈者”愈发猖狂

根据腾讯反病毒实验室监测，“比特币敲诈者”的攻击源大部分来自美国，其次是法国、土耳其等。从IP来看，这些攻击源来自一个黑客控制的僵尸网络，黑客利用这个僵尸网络发起邮件风暴。邮件内容大多是接收发票之类，诱导用户去点击下载附件。

“比特币敲诈者”攻击源分布

所谓僵尸网络 （Botnet） 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。

据了解，之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

僵尸网络助“比特币敲诈者”愈发猖狂

国家互联网应急中心监测的最新数据显示，仅2014年上半年，中国境内就有625万余台主机被黑客用作木马或僵尸网络受控端，15万个网站链接被用于传播恶意代码，25万余个网站被植入后门程序，捕获移动互联网恶意程序36万余个，新出现信息系统高危漏洞1243个。

腾讯反病毒实验室安全专家表示，僵尸网络构成了一个攻击平台，利用这个平台可以有效地发起各种各样的攻击行为，可以导致整个基础信息网络或者重要应用系统瘫痪，也可以导致大量机密或个人隐私泄漏，还可以用来从事网络欺诈等其他违法犯罪活动。无论是对整个网络还是对用户自身，都造成了比较严重的危害。“比特币敲诈者”便是利用僵尸网络发起邮件风暴，进行各种各样的攻击。

“比特币敲诈者”疯狂变种 可窃取隐私

据了解，“比特币敲诈者”病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点。用户一旦中招，病毒将浏览所有文档（后缀为txt、doc、zip等文件）和（后缀为jpg、png等文件），并将这些文件进行加密让用户无法打开，用户必须支付一定数量的“比特币”当做赎金才可以还原文件内容。

用户必须支付赎金才可解锁文件

腾讯反病毒实验室的监测数据显示，从今年4月开始，“比特币敲诈者”疫情最为严重，为了持久有效的攻击，躲避静态特征码的查杀，病毒也在不断地演变，图标多选用文档图标（如doc,pdf等），而自身的壳不断地变形变异。其中，5月7日新变种达到最高值，单天就高达13万个！

“比特币敲诈者”变异趋势

腾讯反病毒实验室安全专家表示，近期发现的“比特币敲诈者”病毒不仅敲诈用户，而且还新增了盗号的特性，会默默搜集用户电脑里的密码配置文件，如：电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码，威胁用户财产安全。目前，腾讯安全团队已第一时间对该病毒进行了深入分析，并可完美查杀此类病毒以及所有变种。

赎回文件需数千元 安全专家支招防范技巧

据路透社报道，“比特币敲诈者”病毒出自俄罗斯的一名黑客，名字叫艾维盖尼耶·米哈伊洛维奇·波格契夫(Evgeniy Mikhailovich Bogachev)，曾凭借这类勒索木马病毒令12个国家超过一百万计算机感染，经济损失超过1亿美元。美国联邦调查局（FBI）官网显示，波格契夫在FBI通缉十大黑客名单中排名第二，是某网络犯罪团体的头目。FBI悬赏300万美元通缉波格契夫，这也是美国在打击网络犯罪案件中所提供的最高悬赏金。

专家强调，正因为危害较大，FBI才会悬赏如此高的奖金缉拿病毒作者。用户一旦中招，意味着电子版的合同，多年老照片，刚刚写好的企划案，刚刚做成的设计图，统统在病毒的加密下无法打开。病毒制造者主要利用用户急切恢复文件的心理实施敲诈，成功率极高。据悉，比特币近期虽然行情低迷，但单个成交价也在1391元人民币左右（4月20日更新数据），所以，虽然是几个比特币的勒索，对于用户来说也不是小数目。

专家提醒，不要轻易下载来路不明的文件，尤其是后缀为exe，scr的可执行性文件，不要仅凭图标判断文件的安全性。另外，平时养成备份习惯，将一些重要文件备份到移动硬盘、网盘，一旦被木马感染，也可及时补救。

僵尸网络防御方法

如果一台计算机受到了一个僵尸网络的DoS攻击，几乎没有什么选择。一般来说，僵尸网络在地理上是分布式的，我们难于确定其攻击计算机的模式。

被动的 *** 作系统指纹识别可以确认源自僵尸网络的攻击，网络管理员可以配置防火墙设备，使用被动的 *** 作系统指纹识别所获得的信息，对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。

一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击，但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来，有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”，因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。

前述的僵尸服务器结构有着固有的漏洞和问题。例如，如果发现了一个拥有僵尸网络通道的服务器，也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性，断开服务器将导致整个僵尸网络崩溃。然而，IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性，所以发现一个通道未必会导致僵尸网络的消亡。

基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器，如“空路由”的DNS项目，或者完全关闭IRC服务器。

但是，新一代的僵尸网络几乎完全都是P2P的，将命令和控制嵌入到僵尸网络中，通过动态更新和变化，僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥，才能读取僵尸网络所捕获的数据。

必须指出，新一代僵尸网络能够检测可以分析其工作方式的企图，并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时，甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决

僵尸网络解决方案

好消息是在威胁不断增长时，防御力量也在快速反应。如果你是一家大型企业的负责人，你可以使用一些商业产品或开源产品，来对付这些威胁。

首先是FireEye的产品，它可以给出任何攻击的清晰视图，而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点，阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动，然后轻松地重新构建被感染的系统。在网络访问不太至关重要时，可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机，而无需使用签名技术或基于行为的技术。此外，SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。

著名的大型公司，如谷歌等，不太可能被僵尸网络击垮。其原因很简单，它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络，而这几乎是不太可能的，因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击，如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。

不过，由于DDoS攻击活动太容易被发现而且强度大，防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。

　　恶意软件的编写者们不断地在寻找新的方法来伪装他们的代码，以求逃过杀毒软件的检测。目前有两种新的代码伪装技术对现有的恶意代码检测分析系统形成了挑战，这就是脱壳(unpacking)和运行时多态(run―timep01yITlorphism)。更为危险的是，脱壳和运行时多态都可以利用GPu进行加速。这样一来，之前困扰恶意软件编写者的那些高负荷计算运行方法，都可以利用GPU强大的并行计算能力进行处理。这将导致我们在未来而临破坏力更为强大、狡猾而令人防不胜防的恶意软件。

加壳和变身恶意软件感染计算机的方法

本文中将提到多次有关汁算机病毒、僵尸客户端、木马程序、后门程序以及恶意软件等诸多对电脑经常程序运行产生危害的非法软件。为了方便起见，本文全部将其称呼为“怀有恶意性质的软件”或“恶意软件”。

在正常情况下，这些怀有恶意性质的软件，会悄悄地插入你的系统进程中，并在后台执行一些不可告人的 *** 作。从硬件角度来分析，传统计算机系统中，只有CPU能完成这样的任务。原因首先是CPU可以执行任意类型的代码，可编程性极强；其次，CPU是系统的核心，拥有执行任务相当高的权限；其三，现代CPU性能都很不错，多核心技术的普及让这些怀疑恶意性质的软件即使运行起来，用户也很难察觉――因为你的CPU某些核心往往不会满载，NVlDIA，已经分别针对其GPU发布了相应的SDK(software developmentkits，软件开发包)，用于帮助程序员执行可以在GPUJL运行的通用代码。这些代码甚至可以使用传统的C语言来编写，比较常见的有NVIDIA和CUDA或者AMD的Stream。

目前，最新一代的GPU(比如支持DirectX 11的NVIDIA GeForce GTX500系列)，已经允许CPU和GPU上运行的代码完全相同(如NVIDIA所推出的CUDA-X86计划)。在这种情况下，GPU通用计算被广泛应用于各类计算任务中。当然，这部分计算任务还包括那些“雄心勃勃”的恶意软件代码编写者。考虑到通用计算的巨大潜力，做出“恶意软件编写者们将利用现代GPU的强大性能，来为自己牟利”的预测就是很自然的事情了。

当然，如果恶意软件需要正常的运行，必须有两个先决条件：1躲避现有反恶意软件的防御能力；2超越分析人员人工解析的能力。很多情况下，对恶意软件的人工解析是确定、部署相应的检测并开发反制软件的先决条件。为了达到这个目的，恶意软件往往使用两种手段来阻止各种反恶意软件发现，并防御自己的运行――这就是加壳和多态性，这是使用最为广泛的、用于逃避反恶意软件扫描和防御的技术。除此之外，在实际应用中，代码伪装和反调试技巧常常被用于阻碍对恶意软件代码所实施的逆向分析工程。

所谓加壳，就是将自己真正需要运行的内容保护起来。打比方来说，炸d外面包上鲜花，然后放在邮包里，邮包放在旅行箱里，旅行箱被放在运输飞机的某一处。在加了三层壳子后，炸d看起来像个正常的旅行箱，但一旦飞机上天，爆炸后的后果就不堪设想。恶意软件往往将自己伪装成正常执行的程序，骗取系统或者反病毒软件，甚至是用户本人的信任，最终实现其不可知的目的。

而多态性，是指恶意软件在执行时，不将自己全部暴露在内存中――如果全部暴露，就可能难以逃脱反恶意软件的扫描。因此，恶意软件将自己的一小部分暴露在内存中，然后在需要的时候再暴露另一部分。简而言之就是“化整为零，按需调用”。这个看起来相当“有效率”的方法，带来了恶意软件非常难以防御的特性。因为程序不是人，它们只能机械地执行扫描和对比的任务。如果反病毒程序已经确定了几种恶意软件“变身”的方法，那么只要恶意软件下次改变一下暴露顺序，或者掩盖一下自己的执行目标，反病毒软件就可能无法侦测。

迄今为止，这些所有的恶意软件都利用了目前程序执行环境的复杂性，尽可能隐秘地逃脱反恶意软件的侦测。更糟的是，大部分研究反恶意软件的安全研究人员们只关注于IA-32架构，因为绝大多数恶意软件都运行在X86系统上。但令人担心的是，GPU通用计算的来临，为恶意软件的编写者们带来了一扇机会之窗，因为大多数安全研究者对于GPU的执行环境和指令集架构并不熟悉。利用GPU通用计算，恶意软件可能会有效对抗现有的防御手段。

机会还是威胁GPU通用计算的发展

接下来，让我们先暂停一下对恶意软件的恐惧，进入GPU的世界。GPU通用计算最近几年来飞速发展，当GPU本身可编程性和灵活性大大提高后，很多人开始着手探索如何利用GPU架构进行大规模的并行计算，毕竟GPU拥有系统中最为强劲的浮点计算能力，仅仅作为3D计算显然相当可惜。但GPU通用计算需要专用API才能在GPU上完美运行。一般的图形APIMDlrectX和OpenGL等，都不能很好地进行通用计算。

对传统GPU来说，无论是GPU本身设计还是调用方式都尽可能为GPU需要执行的图形计算优化。因此你如果想利用GPU庞大的计算资源，那些需要计算的数据和变量，必须映射为图形学对象，算法处理必须被表述为像素和顶点处理的形式，假装是在进行图形计算一样。这种“假装”的形式让程序员感到很束缚。因为传统GPU缺乏方便的数据类型，基本的计算函数，以及一个一般化的内存访问模型，使得它对于习惯于工作在传统编程环境下的程序员们来说没有多少吸引力。

进入DirectX 10时代后，NVIDIA提出了CUDAfCompute UnifiedDevice Architecture)这样一个相当富有创造力的通用运算API架构。有了这个API之后，程序员就不需要在自己的大脑中“映射”各种数据，APl作为沟通桥粱已经承担了数据转换、程序编译等任务。这样一来，GPU就能很好地发挥计算效能。与此同时，AMD也提供了对应自家GPU产品的通用计算方法，被称为Stream。

CUDA由一个C语言的极小扩展集和一个运行库组成，这个运行库提供的函数能够控制GPU，以及设备专有函数和相应的数据。从相对宏观的角度看，一个CUDA程序由两部分组成，一个运行在CPU上，另一个称之为“kernel”，是运行于GPU上的并行化部分。不过GPU上的kernel是不能独立运行的，它只能依赖于CPU上的父进程调用，因此，它不能被作为一个独立的程序直接初始化。

CUDA中的kernel在运行时被划分为多个线程来执行，这些线程被组织成多个线程块，然后交由GPU的CUDA Core--也就是常说的流处理器来执行。在GeForceGPU中，每个处理单元会包含8个SIMD流处理器组。这8个SIMD流处理器组会根据一个线程调度器的调配，令多个线程块尽可能高效率、最大化地运作，保障整个GPU的运行效率。

除了编程执行外，CUDA还提供了用于在主机和GPU问进行数据交换的 函数，所有的I／O动作都通过PCI-E总线进行。不仅如此，存储器 *** 作还可以通过DMA进行，这样就可以大幅度提高CPU和GPU工作的并行程度。在内存一致性方面，主机的分页锁定内存中的一个块可以被映射到GPU的地址空间里，使得在CPU上运行的普通程序和GPU上运行的kernel能够直接访问相同的数据。

总的来说，无论是CUDA还是Stream，都是尽可能利用GPU"性能的API。恶意软件要运行得有效率，就绕不开这两个API。下面就让我们来看看恶意软件是如何在GPU上捣鬼的。

上文说过，运行于GPU上的kernel必须依赖CPU上的父进程。恶意软件也是如此，那些能利用GPU超强性能的恶意软件往往包含两个部分--GPU部分和CPU部分。说得更细致一些，那就是恶意软件在执行时，会裁入GPU端的设备代码，分配CPU和GPU都可以访问到的一块内存区域，先初始化数据，然后调度GPU代码开始执行。当然，和所有利用GPU的程序一样，恶意软件可以在GPU和CPU之前来回转换，或者单独让GPU运行或者只让CPU运行，也可以同时在GPU和GPU并行执行。

当然，恶意软件编写者不仅仅看中了GPU的计算能力，他们还需要更自由、不被监视的执行空间。恰好，在GPU这里，恶意软件可以与CUDA库静态链接，成为一个独立的可执行程序，这样一来，恶意软件就不需要在被感染的系统中安装额外软件。更令人难以接受的是，目前GPU端的代码执行，以及CPU和GPU之间的通讯，都不需要管理员特权。这意味着，恶意软件可以在任何用户权限下成功运行――它不需要任何权限，也没人监控它。这就令恶意软件隐蔽性更高、更容易被运行起来。

束手无策恶意软件如何利用GPU资源

前文已经描述了恶意软件感染系统的方式，并且说明了它利用GPU进行并行加速的可能性。接下来，研究人员将通过实例来模拟这个过程。在模拟中使用的原型代码不仅仅证明了恶意软件利用GPU的可行性，而且已经确信对现有的分析检测系统构成了不容忽视的挑战。

研究人员选择使用NVIDIACUDA来部署源代码，当然攻击者可以很容易地使用其他GPU代码版本，甚至还能在不同GPU之间进行转换。目前攻击者只要掌握了CUDA和Stream，就能基本上掌握100％的GPU恶意软件攻击范围。还有更令人恐惧的――OpenCL是一个跨平台的GPGPU框架，致力于提供统一的API，如果它得到广泛引用，那么就连插入不同版本的代码也完全没有必要，只要平台支持OpenCL，就可能被恶意软件利用你电脑中的GPU加速运行。

1自脱壳GPU加速

前文已经简单介绍了恶意软件的加壳技术。当然，飞机上放炸d的例子只是用于破坏性的炸d。在软件这里，经过多层加壳伪装后的代码，需要脱壳解秘，才能变成真正的恶意代码危害系统。

一般情况下，恶意软件设计有自脱壳程序，这个程序在运行时会首先解包被隐藏的代码，然后将控制权移交给已在主机内存中变形为真实代码的恶意软件。当然，一种恶意软件可能不止使用一种加壳程序，使用不同的变换方法或者改变解包程序的代码，攻击者可以容易地制造同一个恶意软件的全新变种，还能有效地躲避检测程序。

目前传统恶意软件的自脱壳算法都不特别复杂，因为要考虑到CPU的计算能力，一旦显著拖累系统，恶意软件不但容易被察觉，还给自己的运行带来了不利影响。但利用GPU强大的并行计算能力后，恶意软件的作者能够利用极其复杂的加密算法给恶意软件加壳，这些复杂的加密算法最终将被GPU大规模并行架构快速而有效地处理。

这种高强度的加壳、脱壳 *** 作，为现有的恶意软件分析检测系统制造了不容忽视的障碍。许多反恶意软件中用于检测自动脱壳的部分有先天缺陷，没办法应对基于GPU的自解包恶意软件。比如常用的PolyUnpack，在脱壳时依赖单步执行和动态反汇编，但这种技术在GPU上的动态和静态分析还很不成熟，当然也没有获得恶意软件分析系统的支持。另外一些反恶意软件的脱壳系统，比如Renovo，依赖于在虚拟机中监控恶意软件的执行过程，但显而易见的是，目前的虚拟机还仅仅只能做到虚拟图形设备而已，只能执行简单的3D计算，根本不能执行GPU通用计算任务，也没有这方面的功能。这样一来，利用虚拟机监控恶意软件的脱壳也将成为泡影。

当然，还有一些检测软件脱壳的技术比如omniUnDack，这种技术理论上可能会对恶意软件在GPU中的 *** 作起到一定的检测作用，但实际上它在应用中还是和虚拟机联合部署的，也就是说，实际应用中也不能检测到GPU中的脱壳运行情况。

2运行时多态技术

不过，前一页研究人员的演示可能并不能让人信服，有人肯定会说，无论加壳脱壳的设备是CPU还是GPU、无论壳算法多么复杂，最终都将恶意代码直接存放在主机内存中。这样一来只要反恶意软件扫描系统内容，就能很轻松地发现恶意软件执行意图并给予相应防御措施。

实际上这种情况只能代表部分恶意软件的运行方法。正像本文开头解释“运行时多态”技术时说的那样，恶意软件在运行时，往往不会暴露自己的全部代码，它可能重新加壳，或者只是按需分配、重复加壳脱壳那些当前需要的代码。不仅如此，恶意软件开发人员还会控制解码部分的粒度，也就是每次解码的数最，这个数量越小，在内存中暴露真实代码的区域就越小，被侦测的可能性也就越低，也越难以被发现和防御。这种代码分割算法给反恶意软件带来了明显的困扰。

在加入了GPU后，这些重复脱壳加壳的算法，都使用GPu执行，并且整个需要脱壳和加壳的部分代码也全部存在GPUAc。CPU的职责仅是在每个部分的代码执行前和执行后，将控制权交还给GPu上的调度代码，去做按需的解密变换和加密变换。也就是说，在执行期间，控制权在CPU和GPU之间不断地转换。同样，GPU和CPU也拥有一个可以同时访问的内存区域用于保持数据一致性和及时刷新。

不仅如此，在这种技术中，解密密匙被保存在较为保密的、无法从CPU端访问的CUDA设备存储器当中，更有甚者，在每个部分执行后的重加密过程中，还可以使用随机生成的不同密匙，这导致了恶意软件能够在存储器中以不可预测的方式不断地发生变异。而这些解密方法和变异都是不能被检测或者预测到的，将直接导致目前依赖抽取密钥和相应加密解密区域等方法的反恶意软件运行失败。当然从理论上来说，虽然原始代码的完整抽取仍然是可能被分析人员做到的，但是如果考虑现有的反调试技术，这种有GPu从旁协助的运行时多态会使得整个逆向工程分析过程变得异常地漫长和艰难。

未来更危险GPU上恶意软件的发展方向

在先前的章节中，研究人员为我们展示了恶意软件将自己在CPU和GPU之 间分离执行的具体方式。虽然现代GPU的性能已经足够强大，但是目前的技术仅仅使用了其中的一小部分。未来恶意软件作者可能会开始广泛利用GPU的图形和通用计算能力。

GPU提供了，大规模并行处理的能力，可以被用来加速CPU负载较重的运算。例如，一些恶意软件开发人员往往使用僵尸网络进行大规模的密码暴力破解，而这正是GPU通用计算的专长。通过对GPU通用计算的支持，僵尸电脑的能力可以很容易地获得延伸，可以使用被感染主机的GPU来分摊密码破解的负载。这不仅带来了整体破解效率的显著提升，而且还隐藏了正在进行的恶意活动――因为GPU的工作无法被实时监控，无法鉴别正在运行的代码，所以难以确认GPU上是否有密码破解程序的代码出现。另外，由于GPU的加入，在这种计算任务中，CPU几乎不会占用，所以CPU负载监视程序对于检测恶意活动也无能为力。

除了恶意软件在GPU上的运行外，还有其他的一些危险也可能和GPU挂钩。比如GPU的帧缓冲区，屏幕上所显示的内容往往存放在帧缓冲区内。不过目前系统对帧缓冲区的访问没有施加限制，这可能会带来一系列攻击手段。比如，GPU上运行的恶意代码能够周期性地访问这一缓冲区，将用户屏幕上出现的私人数据收入囊中，这个做法比现有的屏幕截图的手段更加隐蔽。而更老练的恶意软件甚至会试图在用户访问虚假网站时，在屏幕上显示错误的或者具有迷惑性的信息，例如偷偷将用户浏览器地址栏中，那些可能会引起用户怀疑的恶意地址，替换成看起来正常的地址。

不过有一个好消息是，目前帧缓冲区还存在读写保护，因此一些对帧缓冲区的恶意行为很难轻易实施。但由于厂商们一直在尝试提升GPU通用运算SDK和图形API(如OpenGL，DirectX)的互通性，所以未来有可能存在对屏幕帧缓冲区拥有完全访问权限的kernel。这种要求主要来自于那些需要直接访问屏幕像素的程序，例如3D变换，视频编码与解码等。因为这样一来就可以大大减少cPU和GPU间的数据交换。所以，将来发布的硬件会不可避免地具备这一特性。

更恐怖的是，未来的GPu通用架构将使得部署基于GPU的恶意软件成为可能，也就是说，恶意软件将主要在GPU上运行，与在CPU上运行的程序没有任何关联。不过令人庆幸是，这种问题可能在短期内都不会出现。因为现有图形硬件架构很难支持独立GPU程序的多任务运行，任意时刻只支持一个任务占用GPU。这就意味着一旦有任何独占GPU的运算任务存在，那么负责屏幕内容渲染的程序无法运行，显示器上显示的内容会被冻结。虽然这些在现在看来不太现实，有很多技术障碍需要克服，但是在将来，图形硬件将具备下一代恶意软件所需要的功能，这会彻底释放GPU的能力。

当然，我们现在也无需悲观。毕竟当前GPU还无法脱离CPU对系统进行控制。我们现在还有充分的时间，对未来GPU可能进行的破坏行为进行研究，预防。同时，也有不少杀毒软件开始采用能够利用GPu运算能力的杀毒引擎，显然这也将大大提升电脑的反病毒能力。最后，让我们听听长期致力于GPU通用计算研究、来自香港浸会大学的赵开勇先生对此文的精彩点评。

“流氓软件”是介于病毒和正规软件之间的软件。计算机病毒指的是：自身具有、或使其它程序具有破坏系统功能、危害用户数据或其它恶意行为的一类程序。这类程序往往影响计算机使用，并能够自我复制。正规软件指的是：为方便用户使用计算机工作、娱乐而开发，面向社会公开发布的软件。“流氓软件”介于两者之间，同时具备正常功能（下载、媒体播放等）和恶意行为（d广告、开后门），给用户带来实质危害。流氓软件的分类根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：1、广告软件（Adware）定义：广告软件是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过d出式广告等形式牟取商业利益的程序。危害：此类软件往往会强制安装并无法卸载；在后台收集用户信息牟利，危及用户隐私；频繁d出广告，消耗系统资源，使其运行变慢等。例如：用户安装了某下载软件后，会一直d出带有广告内容的窗口，干扰正常使用。还有一些软件安装后，会在IE浏览器的工具栏位置添加与其功能不相干的广告图标，普通用户很难清除。2、间谍软件(Spyware)定义：间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。危害：用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等。这些“后门程序”甚至能使用户的电脑被远程 *** 纵，组成庞大的“僵尸网络”，这是目前网络安全的重要隐患之一。例如：某些软件会获取用户的软硬件配置，并发送出去用于商业目的。3、浏览器劫持定义：浏览器劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。危害：用户在浏览网站时会被强行安装此类插件，普通用户根本无法将其卸载，被劫持后，用户只要上网就会被强行引导到其指定的网站，严重影响正常上网浏览。例如：一些不良站点会频繁d出安装窗口，迫使用户安装某浏览器插件，甚至根本不征求用户意见，利用系统漏洞在后台强制安装到用户电脑中。这种插件还采用了不规范的软件编写技术（此技术通常被病毒使用）来逃避用户卸载，往往会造成浏览器错误、系统异常重启等。4、行为记录软件（Track Ware）定义：行为记录软件是指未经用户许可，窃取并分析用户隐私数据，记录用户电脑使用习惯、网络浏览习惯等个人行为的软件。危害：危及用户隐私，可能被黑客利用来进行网络诈骗。例如：一些软件会在后台记录用户访问过的网站并加以分析，有的甚至会发送给专门的商业公司或机构，此类机构会据此窥测用户的爱好，并进行相应的广告推广或商业活动。5、恶意共享软件(malicious shareware)定义：恶意共享软件是指某些共享软件为了获取利益，采用诱骗手段、试用陷阱等方式强迫用户注册，或在软件体内捆绑各类恶意插件，未经允许即将其安装到用户机器里。危害：使用“试用陷阱”强迫用户进行注册，否则可能会丢失个人资料等数据。软件集成的插件可能会造成用户浏览器被劫持、隐私被窃取等。例如：用户安装某款媒体播放软件后，会被强迫安装与播放功能毫不相干的软件（搜索插件、下载软件）而不给出明确提示；并且用户卸载播放器软件时不会自动卸载这些附加安装的软件。又比如某加密软件，试用期过后所有被加密的资料都会丢失，只有交费购买该软件才能找回丢失的数据。6、其它随着网络的发展，“流氓软件”的分类也越来越细，一些新种类的流氓软件在不断出现，分类标准必然会随之调整。

这个病毒好像就是通过短信里面的链接传播的，如果你收到一条说你的手机存在隐患需要更新之类的短信，还有升级链接什么的，千万别点。这病毒有自我保护机制，中了没法手动卸载的，而且会偷偷往外发短信和偷偷联网下载恶意程序上传手机用户隐私，所以很厉害。如果很怕中毒又管不住自己的话，就下载一个网秦杀毒软件防御一下吧，那个软件有病毒防火墙，而且这病毒也是他们播报的，应该被写在病毒库里了，这样更保险一点。