早期的恶意软件种类少，每类恶意软件的特色也很明显，很容易进行分类。通常根据恶意软件是否依附于宿主程序来区分。如病毒是寄生性代码，需要依附于宿主程序，而蠕虫、木马和僵尸则是可以独立运行的程序。另外一个区分方法是恶意软件是否自我复制。如木马和垃圾邮件不自我复制，而病毒和蠕虫会自我复制。

伴随着计算机技术的发展，恶意软件的种类也在不断增加。单纯的依据某个标准对恶意软件分类已经无法满足要求。这个时候需要从多种角度对恶意软件进行分类。比较有用的方法是从恶意软件向目标传播的传播机制，以及恶意软件到达目标之后所执行的动作或载荷进行分类。

传播机制的例子有：① 感染现有的可执行程序或由病毒解释的内容并随后传播到其他系统中；② 利用软件漏洞（本地的或网络的，通过蠕虫或夹带式下载实施）来允许恶意软件自我复制；③ 借助社会工程说服用户绕过安全机制来安装木马程序或响应网络钓鱼。

恶意软件一旦到达目标系统，其可能执行的恶意行为（也就是恶意软件的载荷）包括：① 破坏系统或者数据文件；② 窃取服务，以便使系统成为僵尸网络中的一个僵尸代理；③ 通过按键记录程序或间谍软件窃取系统信息，特别是登录口令或其他个人隐私信息；④ 隐藏自身的存在，以防止被检测出来和禁止运行。

早期的恶意软件倾向于使用单一的传播方式传播单一的载荷。随着恶意软件的发展进化，集成了多种传播机制和多种载荷的混合型恶意软件逐渐增多，它们的传播能力更强，恶意行为更多。混合攻击使用了多种感染或传播手段，最大化其传播速度和攻击的严重程度。一些恶意软件甚至支持某种更新机制，允许恶意软件部署之后改变其传播范围和载荷机制。

在恶意软件发展早期，其开发和部署需要一定的编程技术和技巧。20世纪90年代初，病毒制作工具包的出现改变了这种情况，而后在21世纪出现了更多通用的攻击工具包，这些攻击工具包极大地助长了恶意软件的开发和部署。目前，这些被称作犯罪软件（Crimeware）的工具包，包含了多种传播机制和载荷模块。即使是新手，也可以对它们进行选择、组合及部署。这些工具包也可以很容易地针对最新发现的漏洞来定制，从而在漏洞被发现到被广泛修补（通过补丁程序）这段时间内进行攻击。这些工具包显著增加了有能力部署恶意软件的攻击者的人数。尽管使用这些工具包制作的恶意软件往往不如那些从头设计的恶意软件复杂，其生成的恶意软件变种的绝对数量仍然会给对抗它们的防御系统造成相当大的麻烦。(www.daowen.com)

宙斯（Zeus）犯罪软件工具包是此类攻击工具包的一个典型例子。它被用于生成很多非常高效、隐秘的恶意软件。这助长了很多犯罪活动，特别是截获并利用银行信用卡凭证。其他广泛使用的攻击包包括Blackhole、Sakura和Phoenix。

过去近20年来，恶意软件发展的另一个显著的变化是，攻击者由个人的、常常以炫耀技术能力为目的，转变为更加有组织和更具危害性的攻击源。这些攻击源包括有政治动机的攻击者、罪犯和有组织的犯罪团伙。他们向公司、国家和政府代理人出售服务。这显著改变了恶意软件数量上升背后的可用资源和动机，并实际上催生了包括出售攻击包、访问受害主机，以及窃取信息之类的地下经济。

近年来还出现了一种新的攻击形式—— 高级持续性威胁（Advanced Persistent Threats，APT）。APT并不是一种新型的恶意软件，而是利用丰富的资源、持续地使用各种入侵技术和恶意软件攻击选定的目标（通常是一些商业或政治目标）。APT常常来自国家支持的组织，有些也可能来自犯罪企业。APT与其他类型攻击的不同之处在于，APT精心地选择攻击目标，持续地、长期地并且常常是隐秘地对目标进行攻击。

从窃取与知识产权相关的数据，窃取与安全和基础设施相关的数据，到物理性的破坏基础设施，都有可能是APT的目的。APT所采用的技术，包括社会工程、钓鱼邮件，以及夹带式下载（在目标组织的员工可能会访问的网站上实施）。其目的是用拥有多种传播机制和载荷的复杂的恶意软件感染目标。一旦获得了对目标组织的系统的初始访问权限，攻击者就会利用更多的攻击工具来维持和扩大他们的访问权限。由于此类攻击针对特定的目标并且持续地攻击，所以更加难于防御。这需要组合多种防御技术，同时也需要通过培训提高员工防范此类攻击的安全意识。即使采用当前最好的应对策略，利用0day漏洞和新的攻击方法，APT攻击仍然可能会成功。因此，能够检测、响应和缓解此类攻击的多层防护措施是必要的。防护措施可能包括监视恶意软件的命令和控制流，检测渗透数据流。

接下来，我们将探讨各种类型的恶意软件，之后讨论相应的防范措施。