2.2 恶意代码的概念、类型和危害

任何以某种方式对用户、计算机或网络造成破坏的程序，都被称为恶意代码 ^[12] 。按照研究人员的普遍认知，常见的恶意代码主要包括以下9种类型 ^[13] ：

（1）计算机病毒

附加在计算机程序中，在宿主程序运行后激活，能影响计算机正常使用，且能自我复制的一组计算机指令或程序代码。

（2）蠕虫

蠕虫与计算机病毒类似，能够自我复制。与病毒不同之处在于，蠕虫不需要附加在别的程序内，无需宿主即可自我复制或执行。

（2）后门

将自身安装到一台计算机中允许攻击者绕过计算机的安全性控制而获取对计算机程序或系统访问权的恶意程序。

（3）僵尸网络

与后门类似，也允许攻击者访问系统。所有被同一个僵尸网络感染的计算机将会从一台控制命令服务器接收到相同的命令，从而共同对目标发起攻击。

（4）下载器

用来下载其他恶意代码的恶意代码。下载器通常是在攻击者获得系统的访问权限时首先进行安装的。下载器程序会下载和安装其他的恶意代码。

（5）启动器

也称为加载器，一种设置自身或其它恶意代码片段以达到即时或将来秘密运行的恶意代码。启动器的目的是安装一些程序，以使恶意行为对用户隐藏。启动器通常包含它要加载的恶意代码，以实现启动其它恶意程序的目的。

（6）内核套件

设计用来隐藏其他恶意程序的恶意代码。内核套件通常与其他恶意代码（如后门）组合成工具套件，为攻击者远程访问提供机会，并使代码很难被受害者发现。

（7）间谍代码

这是一类在未经用户许可的情况下，从受害计算机上收集信息并发送给攻击者的恶意代码。

（8）勒索代码

一种隐蔽地在受害者计算机上安装，加密受害计算机上的文件，对受害者进行恐吓和勒索的恶意代码。

（9）发送垃圾邮件的恶意代码

这类恶意代码在感染用户计算机后，便会使用系统与网络资源来发送大量的垃圾邮件。这类恶意代码通过为攻击者出售垃圾邮件发送服务而获得利益。

恶意代码的危害主要包括：

（1）计算机和网络操作性能下降

恶意代码最直接的危害就是影响计算机和网络的正常运转，导致计算机和网络的操作性能急剧或缓慢下降，最终给正常的程序运行造成破坏。

（2）硬件故障

有些恶意代码通过修改硬件参数或破坏硬件核心数据导致硬件发生故障，而不能正常运行。比如曾经的CIH病毒，通过破坏驱动器和BIOS芯片中存储的数据导致启动程序不能正常运行，受害者必须更换BIOS芯片才能重启计算机 ^[14] 。

（3）数据丢失或被窃

在当今信息时代，信息已成为最有价值的无形资产，很多恶意代码以窃取秘密信息为目的，比如从个人电脑中窃取个人隐私信息，然后对受害者进行诈骗；更多的恶意代码以公司为攻击对象，密谋从公司窃取有价值的情报信息，获得经济利益；更有甚者以国家为攻击对象，从相关政府部门获取事关国家安全的情报信息，以达到更大的目的。

（4）其它未显现的隐藏损害

除了以上较为明显直观的危害，恶意代码还会造成一些不明显的隐藏损害。比如，一些木马和病毒在感染目标系统之后，并不对系统造成任何的破坏活动，而只是利用受感染系统作为一个中转站，利用其互联网络向外发送一些指令信息或垃圾信息，而且这些信息都会隐藏在正常的网络流量中，不易被检测发现。