跳至主要內容
>_ITDITD網站資安平台

名詞解釋

什麼是惡意軟體 — 種類、感染途徑與基本的防禦

惡意軟體是危害裝置或資料的不良軟體的統稱。本文以防禦視角、不公開攻擊手法地講解病毒·勒索軟體·間諜軟體·木馬·蠕蟲·殭屍程式等種類、主要感染途徑(可疑附件/巨集·假下載·未修補的漏洞),以及守護方式(更新·EDR·最小權限·備份)。

發布於 2026-07-02 更新於 2026-07-02 閱讀時間 2 分鐘

「危害裝置或資料的不良軟體」的統稱——這就是惡意軟體。本文講解主要的種類,以及種類不同但共通的守護方式(不公開攻擊手法)。

惡意軟體的種類(一張地圖)

名稱雖然很多,但你需要記住的只是「大致有這些族群」這張地圖就夠了。因為如後所述,守護方式是共通的。

病毒

寄生於正常檔案,被執行時就複製並擴散感染。無法單獨行動。

蠕蟲

能單獨自我複製,透過網路自動擴散。在疏於防護的網路中爆發性蔓延。

木馬

偽裝成有用的正常軟體來入侵,然後在背後進行不良動作。特徵是「你自己把它裝進來」。

勒索軟體

加密檔案並索要贖金。如今多半還伴隨竊取資料的雙重勒索(→專門文章)。

間諜軟體

不被察覺地潛伏,竊取按鍵輸入·認證資訊·瀏覽紀錄等。

殭屍程式 / 殭屍網路

遠端操控被感染的裝置,把大量裝置束成一群用於攻擊。命令從 C2 傳來(→C2)。

惡意軟體的主要種類。看起來各不相同,但守護方式是共通的(入口·偵測·復原)。

實際上,一個惡意軟體同時兼具多種性質也並不罕見(例如:以木馬的形式入侵,作為間諜軟體竊取資訊,最後投放勒索軟體)。正因如此,與其花時間去分類「這是什麼病毒?」,不如把入口·偵測·復原的防禦鞏固起來更為實用。

主要感染途徑(了解入口)

惡意軟體並非像魔法一樣憑空出現,而是從幾乎固定的一組門進來。這裡只呈現高層次的途徑(不公開具體手法)。

附件·巨集
釣魚郵件的附件或 Office 文件的巨集。最常見的入口
假下載
偽裝成正常軟體的散布,或被竄改的網站
未修補的漏洞
面向網際網路的軟體中已知的缺口被攻破
USB·來路不明的應用程式
經由外部媒體或來源不明的應用程式帶入

每一種入口,都是「不小心開啟/放著不更新/不確認來源」這種人與維運的縫隙。反過來說,接下來的防禦就能封堵掉大部分。

守護方式(種類不同,該做的事一樣)

不必逐一記住每種種類的個別對策。堆疊對惡意軟體整體皆有效的三層防禦才是基本。

1

封堵入口:更新·可疑檔案·MFA

勤加更新作業系統與軟體,不讓已知的缺口放著不管。不開啟沒有印象的附件·巨集·連結。用多因素驗證(MFA)守護主要帳號,即使認證資訊被竊也不會立刻被攻入(→ 如何選擇 MFA)。

2

放置偵測的一層:防毒軟體/EDR

用包含作業系統內建在內的防毒軟體攔下已知的威脅,若需要更高的防禦,就用 EDR 監控「行為」,連未知的也一併捕捉(→ EDR 是什麼)。不過偵測並非萬能,切勿只依賴這一項。

3

縮小受害範圍:最小權限

不要以系統管理員權限進行日常作業。把權限保持在必要的最小限度,萬一真的被執行,也能抑制受害的蔓延(一台·一個帳號的入侵不會波及整體)。

4

能夠復原:備份

最後一道防線是備份。尤其面對勒索軟體,離線/防竄改的副本再加上定期的復原演練就是決定性關鍵(→ 備份與復原的基礎)。

傳統型防毒軟體(比對已知)

  • 以比對已知惡意軟體的「指紋(特徵碼)」來偵測
  • 輕便·輕量,對廣泛流通的威脅有效
  • 容易漏掉未知·剛做出來的變種
  • 常被誤解成「裝了就安心」

EDR(監控行為)

  • 不看檔名,而以可疑的行為(異常的加密·對外通訊)偵測
  • 能察覺未知的攻擊與「正常工具被濫用」
  • 會留下紀錄,可用於感染後的調查·遏制
  • 即便如此,仍無法取代入口(更新)與復原(備份)

本站的觀點:死記種類不是防禦戰略

攻擊者會不斷改變名稱與外觀。所以追逐「這個月的惡意軟體名稱」並不會讓防禦變強。普遍有效的,是入口·偵測·復原的三層這個結構本身。本站對自己也套用同一原則——持續更新依賴套件來封堵入口,機械化監控 CVE 來偵測,把組態保持在可重現的狀態以便復原。防範惡意軟體並非什麼特別的事,而是這些基礎的延伸。

盲點:「我裝了防毒軟體,所以沒事」並不成立

最常見的誤解,就是把一個偵測軟體當成「護身符」。偵測必定會漏掉一定的比例,一旦那裡被突破,防禦就歸零。真正強的是層層疊穿:在入口減少母數(不開啟·勤更新),用偵測(防毒軟體/EDR)捕捉,再用復原(備份)讓仍然漏掉的東西失效。不依賴任何單獨一層,正是惡意軟體防禦的出發點。

接下來閱讀

FAQ

Q惡意軟體和病毒有什麼區別?
A

病毒是惡意軟體的一種。惡意軟體是「危害裝置或資料的不良軟體」整體的統稱,包含病毒·蠕蟲·木馬·勒索軟體·間諜軟體·殭屍程式等。日常對話中人們習慣把什麼都叫「病毒」,但嚴格來說「病毒」是指寄生於其他檔案來自我複製的那一種,而惡意軟體是把它們統括起來的大傘。

Q只用免費的防毒軟體就夠了嗎?
A

作為個人的基本,作業系統內建的防護(如 Windows 的 Microsoft Defender)+勤加更新+備份+最小權限,就能涵蓋相當大的部分。不過防毒軟體以比對「已知的壞東西」為主,未知或巧妙的攻擊會有漏網之魚。在需要更高防禦的場景,監控行為以捕捉未知攻擊的 EDR 可作為補充。無論如何,不要只依賴「偵測」,還要把入口(更新·不開啟可疑檔案)與復原(備份)一併備齊才重要。

Q我好像感染了惡意軟體,該怎麼辦?
A

首先,不要慌張付款。步驟依序是:(1) 把該裝置從網路斷開(阻止擴散與對外通訊);(2) 用另一台安全的裝置,變更電子郵件·銀行·主要帳號的密碼並啟用多因素驗證;(3) 用備份還原或初始化,回到乾淨的狀態;(4) 切斷你懷疑的入口(開啟過的附件·安裝過的應用程式·插過的 USB)。若是存放重要資料的裝置,也可考慮諮詢專家。