上一篇 讲了攻击者怎么骗人点链接。链接背后装的就是 malware。但 malware 不是一个东西,是一族——新闻里 ransomware / trojan / rootkit / botnet 混着用,vibe-coder 听完总分不清。
这篇不重新写定义(每个 concept 站里都有页),只做对比汇总——把 11 种放到同一个坐标系里。
顶层结论
- malware 按 3 个维度分类:怎么传播 / 装在哪 / 干什么
- 不是互斥的——一次真实攻击通常是组合(例:dropper → 装 trojan → 释放 ransomware → 拉进 botnet)
- vibe-coder 时代新风险:npm/pip 包供应链投毒 + AI 写的脚本里藏 obfuscated payload
一张大表(扫这个就够)
| # | 名字 | 一句话 | 关键特征 | vibe-coder 提防 |
|---|---|---|---|---|
| 1 | Virus 病毒 | 寄生在文件里,用户运行才发作 | 需要宿主 + 需要用户触发 | 不要 sudo 执行不明 .sh |
| 2 | Worm 蠕虫 | 像病毒,但自己复制传播 | 不需要宿主,会自己爬到别的机器 | 内网开放端口 → 蠕虫天堂 |
| 3 | Trojan 木马 | 伪装成正常软件骗你装 | 看起来无害,装上就出事 | npm 包”cracked-photoshop.dmg” |
| 4 | Adware 广告软件 | 弹广告赚钱 | 多数合法,恶意版偷换广告主 | 装 freeware 时取消勾选附带软件 |
| 5 | Spyware 间谍软件 | 偷数据卖钱 | 静默运行,常和 bundleware 一起 | 浏览器扩展是重灾区 |
| 6 | Scareware 恐吓软件 | 吓你让你自愿装 | ”您电脑感染 5 个病毒,立即清理!” | 弹窗里的”立即扫描”绝对别点 |
| 7 | Fileless Malware 无文件恶意软件 | 只在内存里跑,硬盘没文件 | 借用系统自带工具(PowerShell 等) | 杀软抓不到,需要内存取证 |
| 8 | Rootkit 内核级后门 | 拿到 root,藏在最底层 | 极难发现 + 极难清除 | 装完通常需要重装系统 |
| 9 | Botnet 僵尸网络 | 一堆中招机器听一个人指挥 | 用来发 DDoS、挖矿、撞库 | 家里 IoT 摄像头是最大重灾区 |
| 10 | Ransomware 勒索软件 | 加密你的文件,要赎金 | 不付钱 = 数据没了 | 唯一靠谱防御 = 离线备份 |
| 11 | PUA 潜在不受欢迎程序 | 不算”病毒”,但烦 / 拖慢 / 偷信息 | 多数 adware/spyware/scareware 是 PUA | 国产软件全家桶典型 |
附两个载荷投递组件(自己不是 malware,但负责送 malware):
1. 三个分类维度(看完上表回头看这个,会很清晰)
维度 A:怎么传播
| 自己传播 | 需要用户触发 |
|---|---|
| Worm、Botnet、Fileless(借宿主程序的 RCE) | Virus、Trojan、Ransomware、Spyware、Adware、Scareware |
维度 B:装在哪 / 隐蔽度
| 在硬盘有文件 | 在内存(更难抓) | 在内核(最难抓) |
|---|---|---|
| Virus、Trojan、Adware、Spyware、Ransomware | Fileless | Rootkit |
维度 C:目的(干啥)
| 目的 | 谁 |
|---|---|
| 赚钱 - 加密勒索 | Ransomware |
| 赚钱 - 偷信息卖 | Spyware |
| 赚钱 - 偷广告分成 | 恶意 Adware |
| 赚钱 - 借算力 | Botnet(挖矿)、cryptojacking |
| 持久控制 | Rootkit、Backdoor |
| 传播跳板 | Worm、Trojan、Botnet bot |
| 吓骗 | Scareware |
2. 一次真实攻击长什么样(不是单一 malware)
新闻里”WannaCry 勒索软件”听起来是一个东西,实际是一条链:
钓鱼邮件附件 ← Social Engineering ([[social-engineering-and-phishing|上一篇]])
↓
打开后 Dropper 释放 ← Trojan 伪装
↓
Loader 联网拉 payload ← C2 通信
↓
利用 SMB 漏洞自传播 ← Worm 行为
↓
加密所有文件 + 显示赎金 ← Ransomware
↓
被感染机器加入僵尸网 ← Botnet
重点:同一次事件,6 种 malware 类别都涉及。所以分类不是”互斥”,是”角色分工”。
3. AI / vibe-coder 时代的两条新传播路径
路径 1:供应链投毒(npm / pip / VS Code 扩展)
- 攻击者发布看似有用的 npm 包(
crypto-helper等),装机量上来后推送恶意更新 - AI 写代码时容易”看着名字眼熟就
npm install”,根本没看过包源码 - 典型案例:
xz-utils后门(2024)——差点把后门塞进所有 Linux 发行版
vibe-coder 防御:
- 装新包前查 npm trends——没下载量 / 没 star / 维护者一个匿名号 → 直接不装
- 用
npm audit/socket.dev/snyk扫 - 锁版本(
package-lock.json/requirements.txt钉死 hash)
路径 2:AI 生成的”自动化脚本”里藏 payload
- 攻击者污染 AI 训练数据或伪造 Stack Overflow 答案,让 AI 在推荐代码里默认引用恶意域名
- 你让 AI 写”自动备份脚本”,AI 写出来一段长 shell,里面
curl https://看着正常的域名 | bash - 你不会读完——这就是攻击向量
vibe-coder 防御:
- 任何 AI 给的脚本里出现
curl ... | bash或eval、exec、base64 -d—— 拒绝 - 让 AI 解释脚本每一行,它讲不通的行就是炸药
- 在沙箱里跑,别直接给 root
4. 防御速查
| 控制 | 主挡 |
|---|---|
| EDR | Virus / Trojan / Adware / Spyware |
| 打补丁(patch) | Worm(蠕虫几乎全靠未修漏洞) |
| 最小权限(参考 IAM) | Rootkit / 提权 |
| 离线备份(3-2-1 规则) | Ransomware |
| 内存取证 / EDR 行为检测 | Fileless |
| 网络隔离 + 出口防火墙 | Botnet C2 通信 |
| 应用白名单 | 所有 |
| 用户培训(参考 social engineering 篇) | 入口处的 phishing |
3-2-1 备份:3 份数据、2 种不同介质、1 份离线。Ransomware 加密了在线副本也加密不了离线的——这是勒索软件唯一靠谱的防御。
概念关联
- Malware · Virus · Worm · Trojan · Ransomware · Rootkit · Botnet
- Adware · Spyware · Scareware · Fileless Malware · PUA
- Dropper · Loader · 杀毒软件