过去，攻击者只要将恶意软件安装在目标系统上，就可以让它在无人为干预的情况下自动运行；现如今，大多数攻击活动会被数名攻击者操控，为了逃避检测，攻击者会利用诸多编程或脚本语言来生成恶意代码来让自己突破安全防线潜伏下来。

根据不同恶意软件之间的差异性对其进行分类，可以更好地进行网络安全防护。因此国外杂志《CSO》从恶意软件对受感染设备所造成的影响程度和攻击者想要取得的不同最终目标两方面出发，对恶意软件进行了分类，以下是具体分类结果：

►►►

按对受感染设备所造成的影响分类

宏病毒：这类病毒可能是世界上最常见的恶意软件。大约92%的外部攻击始于网络钓鱼，而宏是保证网络钓鱼“成功”核心。宏是程序在没有用户交互的情况下自动执行的击键或鼠标操作——通常指Microsoft Word/ Excel宏，可以针对工作表或文档自动执行重复性任务。

简单的Office文档宏是最主要的初始感染途径，与工作相关的钓鱼宏则更具欺骗性，而且宏的编程语言（如微软的Visual Basic）很简单，因此攻击者轻而易举就可以编写宏病毒。

多态病毒：多态病毒是最复杂的病毒类型之一。顾名思义，多态病毒会变形，每次进入新应用或新设备运行代码时，执行方式都会发生变化。虽然对所有种类的病毒都应一视同仁地进行防护，但这类病毒最值得关注，因为它错综复杂，极难调查和检测。

驻留病毒：这是一类破坏性很强的病毒。驻留病毒的病毒代码并不存储在调用它的可执行文件中，相反通常存储在可通过Web访问的站点或存储容器中。调用驻留代码的可执行文件通常被编写成非恶意文件，旨在避免被防病毒软件检测出来。与驻留病毒相对应的还有一种非常驻病毒，非常驻病毒包含在调用它的可执行文件中，最常通过滥用企业服务来传播。

引导扇区病毒：这类病毒旨在让威胁分子可以不受限制且深入持久地潜伏起来。这类病毒的最终感染目标是计算机的主引导记录（MBR），被感染后，即使为计算机重新制作映像，病毒也会持续存在，系统一启动就会在宿主的内存中再次执行。这类病毒几乎总是依赖零日漏洞进入到MBR层面，或者通过受感染的USB或硬盘等物理介质来传播。

混合体病毒：虽然一些恶意软件开发人员可能专攻某类病毒，但另一些开发人员采取“所有上述病毒”的方法，一次攻击所有地方。这类病毒通常很难遏制和处理的，它们会感染系统的多个部分，包括内存、文件、可执行代码，甚至引导扇区。这类病毒很常见，会以多种方式、大范围地进行传播。

►►►

按攻击者的攻击目的分类

释放器病毒：这类恶意软件旨在将其他恶意软件释放到受感染的系统上。被攻击目标可能感染上来自恶意链接、附件、下载件等来源的释放器，通常在恶意软件释放完成后就会在系统中消失，宏恶意软件就属于释放器的一类。

信标/有效载荷病毒：信标或有效载荷通常是释放器植入的恶意软件。它们会向攻击者反馈信号，表明新植入的访问途径。如此，攻击者就可以通过信标确立的途径来访问受害者系统，进而访问系统、系统所含的数据或网络上的其他系统。

打包器病毒：这类恶意软件包含一系列的组件，可以使用加密技术作为逃避检测的手段。一些狡猾的恶意软件活动使用一系列打包器，这些打包器像套娃玩具一样嵌套。每个打包器含有另一个打包的组件，直至最终的有效载荷能够执行。

指挥官病毒：犯罪团队通常都有领导者，恶意攻击也不例外，这就是这类恶意软件在多种恶意组件实现最终攻击目标过程中所扮演的角色。这类恶意软件大多被命名为C&C、CNC或C2，它们在被攻击系统的外部环境中运行，让攻击者可以与植入在目标系统上的恶意软件，以及进行活动的其他组件之间保持联系。类比之下，更像现实中不法团伙的指挥部和老巢。