说明:安天视频号在端午节当日推出科普视频《端午时节防五毒》，其中引用了目 病毒百科(https://www.virusview.net/)相关分类统计数据。视频采取复古像素风格，获得了网友关注，安天公众号将视频解说整理成文。

端午时节，中华先民洒扫庭院、熏蒸艾草，以驱赶传说中的“五毒”，即蜈蚣、毒蛇、蝎子、壁虎、蟾蜍，以防范蛇虫咬伤，保护生命安全。其中蕴含着朴素的生命安全道理体现了我们的祖先在探索自然、改造自然过程中的安全追求。

现代化的中国，蛇虫鼠蚁已经不再是人民生命健康的主要威胁。但在网络空间中，依然存在传播泛滥的毒虫，在学术文献中，把它们统称为恶意代码，通俗的说法中则笼统地称之为“病毒”，但从网络工作者视角，可以把它们划分为感染式病毒、蠕虫、木马、黑客工具、灰色软件等具体类别。

感染式病毒（Virus）

“病毒（Virus）”是借用了生物学的概念来定义那些能够通过感染寄生宿主的方式进行传播的计算机恶意代码。多数感染式病毒的感染对象都是其他的可执行文件，被感染的文件在运行中，也将计算机病毒加载运行起来，用自己的“副本”继续感染其他程序，周而复始。

在个人计算机革命开始的上世纪80年代，主要依靠软磁盘拷贝代码和数据，而计算机病毒也跟随着软盘扩散传播。那时多数计算机病毒的编写动机，是炫技带来的心理满足感。发作现象很多都是在屏幕上显示各种字符，或者进行其他的恶作剧。

计算机病毒的扩散感染，使它更容易被安全企业所发现捕获，因此多数病毒的生命周期并不长。特别是随着主流操作系统的不断更新，文件格式发生变化，系统增加了更严格的文件格式验证、权限控制机制。攻击者更多编写以独立文件形态存在的恶意代码，而不是病毒。但在今天在很多企业机构的内网中，还有很顽固的病毒感染，例如宏病毒，它是针对Word/Excel/PowerPoint文件的一种脚本病毒，因此能不能很好地查杀宏病毒，也是检验主机安全软件的基本功。

由于“计算机病毒”是最早进入公众视野的恶意代码术语，已经广泛地被大众接受，人们往往把所有的恶意代码都通俗地统称为“病毒”。但安全工作者基于对恶意程序的严格分类研究，则一直依托“感染宿主”这个关键属性，作为判定恶意程序是否属于病毒的关键分类标准。根据计算机病毒分类百科中的统计数据，全球已经出现过的感染式病毒约一万个家族，五万八千多 个变种。包括安天AVL SDK反病毒引擎在内，多数反病毒产品在检测到感染式病毒时，会以Virus作为命名前缀。

蠕虫（Worm）

“蠕虫（Worm）”也是引自生物学的概念，指依靠蠕动爬行的无脊椎动物。当然其也在《沙丘》等科幻作品中幻化成为巨大的形象。而计算机领域的蠕虫，则是指具有自主传播能力的恶意代码。与感染式病毒不同的是，其不需要借助感染宿主，而是一个独立的可执行程序，通过通讯信道、存储介质，并有可能利用漏洞来实现自主传播。

在上世纪七十年代，已经有一些早期被称为“爬虫”的程序，被认为是计算机蠕虫的雏形。这类程序还是被定名为蠕虫。

蠕虫的全盛时代来自本世纪初的互联网普及，蠕虫依赖电子邮件、网络扫描植入、IRC聊天工具等扩散传播，其感染速度远比传统病毒凶猛，有的蠕虫甚至几十分钟扩散全球。多数蠕虫制作者的编写动机，并不是为了炫技的心理满足，而是依托蠕虫扩散控制更多的计算机，或者传播木马，以谋取利益。

在著名的“魔窟”蠕虫事件中，攻击者通过蠕虫病毒来实施加密，导致了大量计算机数据被加密而不能使用。

今天，蠕虫的全盛时代已经过去，由于计算机操作系统安全性的增强，能够直接远程执行的可利用漏洞变得稀缺，攻击者更多会利用这些漏洞进行定向攻击。但依然有很多蠕虫利用U盘传播等方式在内网扩散。被蠕虫感染说明系统安全防护治理水平存在严重不足。

根据计算机病毒分类百科中的统计数据，全球已经出现过的蠕虫约四千个家族，三万多个变种。包括安天AVL SDK反病毒引擎在内，多数反病毒产品在检测到蠕虫病毒时，会以Worm作为命名前缀。

木马（Trojan）

特洛伊木马源自希腊神话中的“木马计”的故事——希腊大军久攻特洛伊城不下，于是夜间佯装败退，却留下一个肚子里藏着士兵的巨大木马。特洛伊人以为木马是天神赐予的礼物，将其拖入城内。深夜，木马里埋伏的奇兵，偷偷打开城门，放入希腊大军。

后来，计算机工作者就用特洛伊木马来指代那些执行有危害计算机系统的可用性、完整性、安全性的程序。特洛伊木马与感染式病毒、蠕虫不同，其不具备自身主动传播的属性，而是攻击者借助钓鱼邮件等网络攻击方式投放，或者守株待兔。

绝大多数木马是由网络黑产犯罪组织或个人编写，用于盗取资金、账号、虚拟装备，或者实施挖矿、加密勒索等牟利活动。特别是勒索等黑产攻击中，已经出现了所谓的“勒索即服务”等上下游分工模式。勒索木马的开发者变成上游，通过搭建进行勒索犯罪的基础设施，将勒索木马、窃密木马等作为可租用工具，可获取经济利益，这给了各种攻击组织源源不断制造木马的动力，导致木马的数量一直飞速膨胀。

而在高度隐蔽的APT攻击中，木马也是攻击者最重要的“武器”，用来实施定向攻击、长期潜伏、持续获取各种秘密信息和情报。

在恶意代码的分类统计中，木马的数量是最多的，根据计算机病毒分类百科中的统计数据，当前已达三万六千多个家族，一千三百多万个变种。包括安天AVL SDK反病毒引擎在内，多数反病毒产品在检测到木马时，会以Trojan作为命名前缀。

黑客工具（HackTool）

黑客工具(HackTool)是用来辅助完成网络攻击的恶意程序。与病毒、蠕虫、木马运行在受害者主机不同，HackTool运行在攻击者自身的电脑，或者攻击跳板机上，用于完成对远程机器的攻击，其实就是黑客使用的工具集。

黑客工具有的用于进行病毒辅助生产，例如各种病毒生成器、制造机，有的辅助将木马进行与正常文件进行绑定，有的提供免杀，也有的用来构造和发送异常格式数据包，可导致被攻击主机蓝屏。

网络管理者如果在正常主机上发现黑客工具，且并非是内部用来做攻防检验时，则需要意识到，相关的主机可能已经成为攻击者的跳板。

由于部分黑客工具只在攻击者主机上运行，因此无法被安全工作者完整掌握。根据计算机病毒分类百科中的统计数据，黑客工具有五千五百个家族，四十四万五千个变种。黑客工具的作为一个分类，标准尚未统一，安天AVL SDK反病毒引擎在检测到黑客工具时，会以Hacktool作为统一命名前缀。

灰色软件（Grayware）

灰色软件，顾名思义就是存在于正常软件和恶意程序的中间地带,主要是一些对用户有干扰或低风险侵害，但不足以构成严重后果的软件或插件。最常见的灰色软件就是所谓的广告件，其被安装后，经常弹出广告弹窗，给用户带来骚扰，因此也被称为流氓软件。有的流氓软件用色情题材引诱安装，或者为黄色内容导流，此类也被称为色情软件。

这些程序的背后，都是灰产牟利。广告件就是通过用户的点击和浏览行为来获得利润，以各种方式植入到用户的设备或应用程序中，并在用户使用过程中显示弹窗广告、插入广告链接或强行展示广告等。

由于灰色软件的行为是在相对模糊的地带，其本身可能带有一定的可用功能，灰色软件的开发者也经常用法律诉讼的方式对安全企业进行干扰，因此反而给安全工作者形成了一个是否应该查杀处置的难题。

相比于感染式病毒、蠕虫、木马等恶意代码，安全界没有形成对这一灰色地带更清晰的定义。根据计算机病毒分类百科中的统计数据，Grayware样本有 6248个家族，298万个变种。安天AVL SDK反病毒引擎在检测到灰色软件时，会以Grayware作为统一命名前缀，而也有一部分国际安全产品将此类软件称之为PUA（潜在有害程序Potential unwanted Application），即用户不需要的程序。

感染式病毒、蠕虫、木马、黑客工具、灰色软件，这是一个面向病毒样本命名的分类方法，但实际情况一定更为复杂，比如那些既能感染文件，又能自我主动传播的应该划分到病毒还是蠕虫；那些能自己扩散传播，又带有窃密、勒索功能的程序到底是蠕虫还是木马。安全工作者是基于支持分类的关键特性等级来进行分类的，如果感染宿主的属性优先级最高，则其无论具备哪些其他特性，都会被划分成病毒。因此感染宿主、自主传播、危害运行主机、辅助攻击活动、对运行主机进行程度较弱的侵害，就构成了分类的基本标志。

这样做的必要性在于：先进反病毒引擎必须对检出恶意对象给与一个确定性的名称标识，这样才能有利于用户的观测了解和日志分析处理。这个名称就是恶意代码的结构化命名，例如：:Trojan/Win32.Lockbit[Ransom]。在这个多节告警名称中，第一节说明这个文件是一个特洛伊木马，第二节说明这个木马运行在Windows系统32位环境下，第三节说明其来自于Lockbit恶意代码家族，而括号中的[Ransom]说明样本运行实施勒索攻击。严谨的分类命名能力同样也是检验反病毒引擎能力的标志。

今天，恶意代码的总数已经超过5万个家族和1800万个变种，可以来到安天实验室出品的计算机病毒分类百科（https://www.virusview.net/），查询和认识这些数字时代的“毒物”，还可以看到安天工程师绘制的病毒通缉令漫画，更直观地感受威胁。病毒分类百科也是观察安全工程师如何运营安全能力的窗口，每天数以百万计的文件被安天赛博超脑捕获，经过分析判定，转化为AVL SDK反病毒引擎的检测规则，驱动着云端规则库的实时更新和每天十二次的本地病毒库升级。

恶意代码的检测能力是网络空间敌我识别能力最关键的频谱，是防御的基础能力。因此我们运营先进反病毒引擎既要能实现精准检测，也要极限控制误报发生，避免对系统运行和运营带来干扰。而病毒百科则是我们带给公众的公共安全知识，每次更新中如果有新的可检出病毒家族，病毒百科全书也会自动化产生新的词条。

这就是网络安全工作者的端午驱赶“五毒”的故事，这是人类千年演进的安全需求在人类创造的数字世界的自然延展。每个时代都拥有自己的语言，但发展与安全永远孕育其中。从人体到人类社会，在我们前行的路上，每种毒物的出现，都在推动产生新的抗体。

附：参考资料：

安天实验室对恶意代码样本的分类方法可查看我们发布的相关文献：《恶意代码SCMP 分类方法框架与风险行为多标签机制——符合 MECE 原则的分类规范与提升风险揭示度的命名结构改进》

1）中文版本，发表于Chinaxiv，访问链接：https://chinaxiv.org/abs/202405.00061

2）英文版本，发表于Journal of Electrical Electronics Engineering（ ISSN: 2834-4928 ） 访问链接： https://www.opastpublishers.com/open-access-articles/scientific-classification-of-malware-from-practice-and-multilabel-mechanism-for-risky-behaviors.pdf

文献获取方式

微信扫描或长按识别二维码下载

（中文版）

（英文版）