มัลแวร์

มัลแวร์ (อังกฤษ: malware เป็นคำสนธิจากคำว่า malicious software)^[1] เป็นซอฟต์แวร์ที่เจตนาออกแบบมาเพื่อสร้างความเสียหายให้แก่คอมพิวเตอร์ เซิร์ฟเวอร์ เครื่องลูกข่าย หรือเครือข่ายคอมพิวเตอร์, เพื่อแพร่งพรายข้อมูลส่วนบุคคล เพื่อเข้าถึงข้อมูลหรือระบบโดยไม่ได้รับอนุญาต กีดกัดไม่ให้เข้าถึงข้อมูล หรือบ่อนทำลายความมั่นคงคอมพิวเตอร์หรือความเป็นส่วนตัวของผู้ใช้^{[1][2][3][4][5]} (แต่ก็มีซอฟต์แวร์ที่อาจเป็นอันตรายโดยมิได้เจตนาเพราะมีข้อบกพร่องที่เรียกว่า บั๊กซอฟต์แวร์) มัลแวร์มีหลากหลายประเภทรวมถึงไวรัสคอมพิวเตอร์ หนอนคอมพิวเตอร์ มัลแวร์เรียกค่าไถ่ บอตเน็ต ม้าโทรจัน อินโฟสตีลเลอร์ ตัวบันทึกแป้นพิมพ์ รูตคิต สปายแวร์ มัลแวร์ไร้ไฟล์ คริปโตแจ็กกิง ไวเปอร์ แอดแวร์ ประตูหลัง ดร็อปเปอร์ และมัลแวร์ลูกผสม^[1][6][7]

มัลแวร์เป็นปัญหาสำคัญสำหรับทั้งปัจเจกบุคคลและธุรกิจที่ต้องทำการทางอินเทอร์เน็ต^[8][9] ตามรายงานอันตรายความมั่นคงทางอินเทอร์เน็ตปี 2018 ของบริษัทความมั่นคงไซเบอร์อเมริกัน Symantec รูปแปรของมัลแวร์ได้เพิ่มจำนวนเป็น 669,947,865 ตัวในปี 2017 ซึ่งมากกว่าปี 2016 เป็นทวีคูณ^[10] อาชญากรรมคอมพิวเตอร์ซึ่งรวมการโจมตีด้วยมัลแวร์และอาชญากรรมอื่น ๆ ที่ใช้คอมพิวเตอร์ทำ ได้ระบุว่าจะทำให้เศรษฐกิจโลกเสียหาย 187 ล้านล้านบาทในปี 2021 โดยกำลังเพิ่มขึ้นร้อยละ 15 ต่อปี^[11] ตั้งแต่ปี 2021 (เป็นปีที่รัสเซียเข้ารุกรานยูเครนอย่างเต็มตัว) ได้เริ่มมีมัลแวร์ซึ่งโจมตีระบบที่ดำเนินการโครงสร้างพื้นฐานที่สำคัญอย่างวิกฤต เช่น เครือข่ายจ่ายกระแสไฟฟ้า^[12]

การป้องกันมัลแวร์จะต่าง ๆ กันขึ้นอยู่กับชนิด แต่โดยมากทำได้ด้วยการติดตั้งโปรแกรมป้องกันไวรัส ไฟร์วอลล์ การอัปเดตซอฟต์แวร์เป็นประจำ การป้องกันไม่ให้เครือข่ายคอมพิวเตอร์ถูกบุกรุก การเก็บสำรองไฟล์เป็นประจำ และการแยกระบบ/ไฟล์ที่ติดมัลแวร์ออก แต่มัลแวร์ก็อาจออกแบบเพื่อหลบโปรแกรมป้องกันไวรัสได้เหมือนกัน^[10]

ประวัติ

แนวคิดเกี่ยวกับโปรแกรมคอมพิวเตอร์ที่ก๊อบปี้ตนเอง ย้อนกลับไปหาทฤษฎีปฏิบัติการของออโตมาตาที่ซับซ้อนได้^[13] นักวิทยาการคอมพิวเตอร์ชาวอเมริกัน จอห์น ฟอน นอยมันน์ ได้แสดงทางทฤษฎีว่าโปรแกรมสามารถก๊อบปี้ตนเอง เป็นผลจากทฤษฎีการคำนวณได้ ส่วนนักวิทยาการคอมพิวเตอร์ชาวอเมริกัน เฟร็ด โคเฮ็น ทำการทดลองกับไวรัสคอมพิวเตอร์ ยืนยันสมมติฐานของนอยมันน์ แล้วตรวจสอบลักษณะอื่น ๆ ของมัลแวร์เช่น การตรวจจับได้ และการอำพรางตัวเองด้วยการเข้ารหัสลับแบบพื้น ๆ วิทยานิพนธ์ปริญญาเอกปี 1987 ของเขามีชื่อว่า "ไวรัสคอมพิวเตอร์"^[14] การศึกษาการเข้ารหัสลับตัวเพย์โหลดคือคำสั่งก่อการร้ายของไวรัส เริ่มขึ้นตั้งแต่กลางคริสต์ทศวรรษ 1990 รวมทั้งแนวคิดเรื่องมัลแวร์เรียกค่าไถ่และเทคนิคหลบเลี่ยงโปรแกรมต่อต้านไวรัส^[15]

ก่อนจะมีการใช้อินเทอร์เน็ตอย่างแพร่หลาย ไวรัสปกติจะกระจายไปตามคอมพิวเตอร์ส่วนบุคคลโดยทำให้โปรแกรมหรือบูตเซกเตอร์ของดิสก์ติดเชื้อ เพราะใส่สำเนาของตนเองเข้าไปในรหัสเครื่องของโปรแกรมหรือในบูตเซกเตอร์ ไวรัสก็จะได้การดำเนินการทุกครั้งที่เล่นโปรแกรมหรือปลุกเครื่องจากดิสก์ แม้ไวรัสในยุคต้น ๆ จะออกแบบเพื่อเครื่องแอปเปิล II และแมคอินทอช แต่ต่อมาก็กระจายไปอย่างรวดเร็วอาศัยการคลองตลาดของคอมพิวเตอร์ไอบีเอ็มพีซีและระบบปฏิบัติการ MS-DOS ไวรัสไอบีเอ็มพีซีของจริงแรกที่ถูกปล่อยเป็นไวรัสบูตเซกเตอร์ชื่อว่า (c)Brain ที่สองพี่น้องชาวปากีสถานเป็นผู้เขียนเพื่อป้องกันการก็อปปี้ดิสก์โปรแกรมของตน^[16]

ผู้กระจายมัลแวร์มักจะหลอกให้ผู้ใช้ปลุกเครื่องหรือเล่นโปรแกรมจากอุปกรณ์หรือสื่อที่ติดเชื้อ ยกตัวอย่างเช่นไวรัสอาจจะทำคอมพิวเตอร์ที่ติดเชื้อให้เพิ่มโปรแกรมที่เล่นเองโดยอัตโนมัติไปยังยูเอสบีแฟลชไดรฟ์ที่เสียบเข้า เมื่อเสียบแฟลชไดรฟ์เข้ากับคอมอีกเครื่องหนึ่งที่ตั้งให้เล่นโปรแกรมอัตโนมัติ ก็จะติดมัลแวร์ด้วยแล้วสามารถแพร่เชื้อไปได้เช่นเดียวกัน^[17]

โปรแกรมอีเมลรุ่นเก่า ๆ อาจจะเปิดอีเมลเอชทีเอ็มแอลโดยอัตโนมัติ ซึ่งอาจมีจาวาสคริปต์มุ่งร้ายอยู่ ผู้ใช้ยังอาจดำเนินการไฟล์แนบอีเมลที่มุ่งร้ายแบบอำพรางไว้อีกด้วย รายงานการตรวจสอบข้อมูลแตกปี 2018 ของบริษัทโทรคมนาคมยักษ์ใหญ่อเมริกัน "เวไรซอน" ระบุว่า อีเมลเป็นวิธีหลักในการกระจายมัลแวร์โดยอยู่ในอัตราร้อยละ 96 ทั่วโลก^[18][19]

หนอนคอมพิวเตอร์แรกเป็นโปรแกรมที่แพร่ไปทางเน็ต โดยไม่ได้มีต้นกำเนิดที่คอมพิวเตอร์ส่วนบุคคล แต่ที่ระบบยูนิกซ์ ตัวแรกที่รู้จักกันดีที่สุดก็คือ หนอนมอร์ริสปี 1988 ซึ่งแพร่ไปตามระบบซันโอเอสและแว็กซ์บีเอสดี แต่ไม่เหมือนกับไวรัส หนอนจะไม่ก็อปปี้ตัวเองสอดเข้าในโปรแกรมอื่น ๆ แต่จะหาช่องโหว่ในโปรแกรมของเซิร์ฟเวอร์ในเครือข่าย แล้วดำเนินการเป็นกระบวนการของตนเอง ๆ^[20] หนอนทุกวันนี้ก็ยังมีพฤติกรรมเช่นนี้อยู่^[21]

เพราะการขึ้นครองตลาดของไมโครซอฟท์วินโดวส์ในช่วงทศวรรษ 1990 โดยมีแอปซึ่งใช้มาโครที่พลิกแพลงได้ดีมาก จึงเริ่มมีมัลแวร์ในภาษามาโครของไมโครซอฟท์เวิร์ดและโปรแกรมเช่นเดียวกันอื่น ๆ ไวรัสมาโครเหล่านี้จะติดเอกสารและไฟล์แม่แบบแทนที่จะติดแอป (คือไม่ได้ติดไฟล์สั่งทำการ) โดยอาศัยว่ามาโครเป็นรูปแบบการสั่งการชนิดหนึ่ง^[22]

โปรแกรมที่ติดต่อได้ในยุคต้น ๆ รวมทั้งหนอนมอร์ริส ผู้เขียนจริง ๆ ตั้งใจทำเป็นการทดลองหรือหลอกเล่น^[23] แต่ในปัจจุบัน ทั้งอาชญากรคอมพิวเตอร์และองค์กรต่าง ๆ ของรัฐจะทำเพื่อขโมยข้อมูลส่วนตัว ข้อมูลทางการเงินและข้อมูลทางธุรกิจ^[24][25] อุปกรณ์ต่าง ๆ ที่เสียบเข้ากับช่องยูเอสบีได้ ไม่ว่าจะเป็นลำโพง ของเล่น อุปกรณ์ต่อคอมพิวเตอร์อื่น ๆ เช่น กล้องจุลทรรศน์ดิจิทัล ล้วนแต่สามารถใช้กระจายมัลแวร์ อนึ่ง อุปกรณ์ต่าง ๆ ก็สามารถติดเชื้อในช่วงการผลิตหรือช่วงการส่งจำหน่าย ถ้าควบคุมกระบวนการหรือคุณภาพได้ไม่ดีพอ^[17]

จุดประสงค์

ตั้งแต่มีอินเทอร์เน็ตบรอดแบนด์ให้ใช้อย่างกว้างขวาง ซอฟต์แวร์ที่มุ่งร้ายก็มักทำเพื่อหาผลประโยชน์ ตั้งแต่ปี 2003 ทั้งไวรัสคอมพิวเตอร์และหนอนคอมพิวเตอร์ที่กระจายไปอย่างแพร่หลายต่างก็แฮ็กคอมพิวเตอร์เพื่อทำสิ่งที่ผิดกฎหมาย^[26] คอมพิวเตอร์ซอมบี้ที่ติดเชื้อสามารถใช้ส่งอีเมลสแปม หรือว่าใช้บรรจุสิ่งที่ผิดกฎหมาย เช่น สื่อลามกอนาจารเด็ก^[27] หรือใช้เพื่อโจมตีโดยปฏิเสธการให้บริการ เป็นการขู่เข็ญรีดไถรูปแบบหนึ่ง^[28]

มีการใช้มัลแวร์อย่างกว้างขวางเพื่อเจาะเว็บไซต์ของรัฐและของบริษัทเพื่อเก็บข้อมูลสำคัญ^[29] หรือเพื่อขัดขวางการทำงานของระบบ มัลแวร์สามารถใช้กับปัจเจกบุคคลเพื่อให้ได้ข้อมูลต่าง ๆ เช่น เลขบัตรประชาชน รายละเอียดข้อมูลส่วนตัว ข้อมูลบัญชีธนาคาร ข้อมูลบัญชีบัตรเครดิต และข้อมูลบัญชีบริการทางอินเทอร์เน็ตกับรหัสผ่าน^[30][31]

นอกจากอาชญากรรมเพื่อชิงทรัพย์แล้ว มัลแวร์ยังสามารถใช้ก่อวินาศกรรม บ่อยครั้งเพื่อผลทางการเมือง ยกตัวอย่างเช่น Stuxnet ออกแบบให้ขัดการทำงานของเครื่องมือทางอุตสาหกรรมโดยเฉพาะ ๆ มีจุดประสงค์เพื่อชะลอโปรแกรมนิวเคลียร์ของประเทศอิหร่าน

มีแม้แต่การโจมตีเพื่อผลทางการเมืองซึ่งแพร่กระจายไปทั่วแล้วชะงักการทำงานของเครือข่ายคอมพิวเตอร์ขนาดใหญ่ ลบข้อมูลเป็นจำนวนมาก ทำลาย master boot record ที่จำเป็นเพื่อให้ปลุกเครื่องคอมพิวเตอร์ได้ เป็นการโจมตีที่เรียกได้ว่า ฆาตกรรมคอมพิวเตอร์ เช่นที่ทำกับบริษัทโซนี่พิคเจอร์สเมื่อวันที่ 25 พฤศจิกายน 2014 ด้วยมัลแวร์ Shamoon/W32.Disttrack โดยส่วนหนึ่งเพื่อไม่ให้ออกภาพยนตร์เกี่ยวกับผู้นำเกาหลีเหนือ และกับบริษัทน้ำมันซาอุดิอะแรมโก้เมื่อเดือนสิงหาคม 2012 โดยอาจเป็นการแก้แค้นการโจมตีของ Stuxnet^[32][33]

ชนิด

มัลแวร์สามารถจัดหมวดหมู่ได้หลายวิธี บางอย่างอาจจะอยู่ในหมวดหมู่มากกว่าหนึ่งพร้อม ๆ กัน^[1] อย่างกว้าง ๆ สามารถจัดได้เป็น 3 ชนิด^[34] (1) กู๊ดแวร์ (2) เกรย์แวร์ และ (3) มัลแวร์

การจัดหมวดหมู่ซอฟต์แวร์ที่อาจมุ่งร้าย
ข้อมูลจากงานศึกษาปี 2023^[34]

ชนิด	ลักษณะ	ตัวอย่าง
กู๊ดแวร์	ได้จากแหล่งที่น่าเชื่อถือ	แอปจากกูเกิล เพลย์ ซอฟต์แวร์ที่มีบั๊ก
เกรย์แวร์	ผู้ชำนาญการไม่มีมติร่วมกัน/ค่าวัดไม่สามารถระบุ	ซอฟต์แวร์ที่อาจจะไม่พึงปรารถนา สปายแวร์ แอดแวร์
มัลแวร์	มีมติร่วมกันอย่างกว้างขวางว่าเป็นซอฟต์แวร์มุ่งร้าย หรือได้มาจากแหล่งที่เป็นปัญหา	ไวรัสคอมพิวเตอร์ หนอนคอมพิวเตอร์ รูตคิต ประตูหลัง มัลแวร์เรียกค่าไถ่ ม้าโทรจัน

มัลแวร์

เฮ็กซ์ดัมป์ของหนอนคอมพิวเตอร์บลาสเตอร์ซึ่งฝากข้อความให้แก่ผู้ร่วมก่อตั้งบริษัทไมโครซอฟท์ บิล เกตส์

ไวรัส

บทความหลัก: ไวรัสคอมพิวเตอร์

ไวรัสคอมพิวเตอร์เป็นซอฟต์แวร์ที่มักซ่อนตัวในโปรแกรมที่ดูไม่มีอันตราย สามารถสร้างสำเนาและแพร่กระจายตัวเองโดยฝังเข้าไปในโปรแกรม ไฟล์ หรือระบบปฏิบัติการโดยที่ผู้ใช้ไม่รู้ตัว ลักษณะการแพร่กระจายนี้คล้ายกับเชื้อไวรัสในธรรมชาติ เมื่อทำงาน ไวรัสมักก่อความเสียหาย เช่น ทำลายข้อมูลหรือระบบ ตัวอย่างวิธีการแพร่กระจายคือการแทรกคำสั่งหรือข้อมูลเข้าไปในไฟล์สั่งทำการประเภท Portable Executable ทำให้ไฟล์นั้นติดเชื้อและสามารถแพร่กระจายไวรัสต่อไปได้^[3][35][36]

หนอนคอมพิวเตอร์

บทความหลัก: หนอนคอมพิวเตอร์

หนอนคอมพิวเตอร์เป็นมัลแวร์ที่ทำการได้เดี่ยว ๆ ที่ส่งตัวเองไปตามเครือข่ายคอมพิวเตอร์เพื่อติดคอมพิวเตอร์อื่น ๆ โดยก๊อปปี้ตนเองได้โดยไม่เปลี่ยนไฟล์อื่น ๆ นิยามเช่นนี้จึงได้ข้อสังเกตว่า ผู้ใช้ต้องดำเนินการซอฟต์แวร์ที่ติดไวรัสเพื่อที่จะแพร่เชื้อต่อไป เทียบกับหนอนคอมพิวเตอร์ที่กระจายตัวเอง^[37]

รูตคิต

บทความหลัก: รูตคิต

เมื่อติดตั้งในระบบแล้ว มัลแวร์จะพยายามซ่อนตัวเองเพื่อไม่ให้ถูกตรวจจับได้ เมื่อทำเป็นโปรแกรมสำเร็จแบบ "รูตคิต" ก็จะช่วยสามารถให้ซ่อนตัว เพราะปรับแต่งระบบปฏิบัติการได้เพื่อซ่อนมัลแวร์จากผู้ใช้ รูตคิตสามารถป้องกันไม่ให้ปรากฏในรายการกระบวนการของระบบ หรือป้องกันไม่ให้ใคร ๆ อ่านไฟล์ได้^[38]

ซอฟต์แวร์มุ่งร้ายบางอย่างยังมีรูทีนที่สามารถหลบการระบุตัวและ/หรือการพยายามกำจัด ไม่เพียงแต่ซ่อนตัวเท่านั้น พฤติกรรมเช่นนี้ในยุคแรก ๆ ได้พบในคอมพิวเตอร์ Xerox CP-V ซึ่งเป็นระบบแบ่งกันใช้เวลา ผู้ใช้ได้กล่าวถึงมัลแวร์ดังกล่าวไว้ว่า

จ็อบผีแต่ละตัวจะตรวจดูว่าอีกตัวถูกฆ่าแล้วหรือเปล่า โดยจะเริ่มก็อปปี้ใหม่ภายในไม่กี่มิลลิวินาทีถ้าถูกฆ่า การฆ่าจ็อบผีทั้งสองตัวมีวิธีเดียวก็คือ ต้องฆ่ามันพร้อม ๆ กันซึ่งยากมาก หรือจงใจล้มระบบทั้งระบบ^[39]

ประตูหลัง

บทความหลัก: ประตูหลัง

"ประตูหลัง" เป็นชื่อกว้าง ๆ ของโปรแกรมคอมพิวเตอร์ที่ช่วยให้ผู้โจมตีควบคุมคอมพิวเตอร์ของเหยื่อได้โดยไม่ได้รับอนุญาตและโดยที่เหยื่อจะไม่รู้ได้นาน ๆ^[40] ปกติจะใช้วิธีโจมตีอื่น ๆ เช่น ม้าโทรจัน หนอนและไวรัสคอมพิวเตอร์ ในการหลบหลีกกลไกพิสูจน์ตัวจริงผ่านเครือข่ายคอมพิวเตอร์ที่ไม่มั่นคงเช่นอินเทอร์เน็ตเพื่อติดตั้งประตูหลังในเบื้องต้น แต่ก็อาจใช้ผลข้างเคียงของบั๊กในซอฟต์แวร์ทั่วไปเป็นช่องโหว่เพื่อให้เข้าถึงคอมพิวเตอร์หรือเครือข่ายได้

เคยเชื่อกันว่าผู้ผลิตคอมพิวเตอร์อาจติดตั้งประตูหลังในคอมไว้ก่อนเพื่อจะได้ให้การสนับสนุนทางเทคนิคแก่ลูกค้า แต่นี่ก็ไม่เคยตรวจสอบได้ว่าเป็นจริง มีรายงานว่าในปี 2014 สำนักงานจารกรรมของสหรัฐได้ดักเอาคอมพิวเตอร์ที่บุคคลหรือองค์กรซึ่งเป็นเป้าหมายได้ซื้อ แล้วติดตั้งซอฟต์แวร์หรือฮาร์ดแวร์ที่ทำให้สามารถควบคุมโดยทางไกลได้ เป็นโปรเจ็กต์จารกรรมที่จัดว่าได้ผลดีที่สุดในการลอบเข้าถึงเครือข่ายคอมพิวเตอร์ต่าง ๆ รอบโลก^[41] ประตูหลังอาจจะได้การติดตั้งโดยม้าโทรจัน หนอนคอมพิวเตอร์ อุปกรณ์แปลกปลอม หรือด้วยวิธีอื่น ๆ^[42][43]

ม้าโทรจัน

บทความหลัก: ม้าโทรจัน (คอมพิวเตอร์)

ม้าโทรจันจะแสดงตนว่าเป็นโปรแกรมปกติหรือโปรแกรมอรรถประโยชน์ที่ไม่มีโทษเพื่อหลอกให้เหยื่อติดตั้ง แต่ก็จะมีฟังก์ชันอันตรายที่ซ่อนเอาไว้โดยจะทำงานก็ต่อเมื่อเปิดแอป ชื่อมาจากมหากาพย์กรีซโบราณเกี่ยวกับม้าโทรจันที่ใช้ลอบบุกรุกเมืองทรอย^[44][45]

ม้าโทรจันมักแพร่กระจายผ่านการใช้วิศวกรรมสังคม เช่น การหลอกให้ผู้ใช้เปิดไฟล์แนบที่อำพรางไว้ไม่ให้น่าสงสัย (เช่น หลอกว่าเป็นแบบฟอร์มให้กรอก) หรือยุยงให้ติดตั้งโปรแกรมที่ปกปิดความเป็นอันตรายไว้ แม้โปรแกรมที่ติดมาด้วย (เรียกว่าเพย์โหลด) อาจจะเป็นอะไรก็ได้ แต่บางอย่างอาจทำหน้าที่เป็นประตูหลังเพื่อให้ผู้ควบคุมเข้าถึงคอมพิวเตอร์ได้โดยไม่ได้รับอนุญาต และอาจติดตั้งซอฟต์แวร์เพิ่มเติม เช่น ตัวบันทึกแป้นพิมพ์เพื่อขโมยข้อมูลสำคัญ ๆ โปรแกรมขุดเหรียญคริปโต หรือแอดแวร์ก่อรายได้แก่ผู้ควบคุม^[46] แม้ว่าม้าโทรจันและประตูหลังดังกล่าวจะตรวจจับได้ยาก แต่ก็อาจทำให้คอมพิวเตอร์ทำงานช้าลง ร้อนมากขึ้น และพัดลมเสียงดังขึ้น ซึ่งเป็นผลจากการใช้ซีพียูและเครือข่ายอย่างหนัก อย่างไรก็ตาม เพื่อไม่ให้ถูกตรวจจับได้ง่าย โปรแกรมอาจจำกัดการใช้ทรัพยากร หรือว่าจะทำการก็ต่อเมื่อคอมเดินเครื่องเปล่า

ไม่เหมือนกับหนอนและไวรัสคอมพิวเตอร์ ม้าโทรจันปกติจะไม่ใส่ตัวเองเข้าในไฟล์อื่น ๆ และก็จะไม่กระจายก๊อบปี้ของตัวเองต่อ ๆ ไป^[47]

ในต้นปี 2017 มีการปล่อยม้าโทรจันสำหรับแมคโอเอส คือ Proton Remote Access Trojan รุ่นใหม่^[48] ซึ่งดูดข้อมูลรหัสผ่านจากแหล่งต่าง ๆ เช่น ตัวเติมข้อมูลอัตโนมัติของเว็บบราวเซอร์ คีย์เชน และโปรแกรมจัดการรหัสผ่าน^[49]

อินโฟสตีลเลอร์

บทความหลัก: อินโฟสตีลเลอร์

อินโฟสตีลเลอร์เป็นม้าโทรจันที่ขโมยข้อมูลสำคัญจากคอมพิวเตอร์ เช่น รหัสผ่าน ข้อมูลการเงิน และข้อมูลส่วนบุคคล มันแพร่กระจายผ่านฟิชชิง เว็บไซต์ติดมัลแวร์ และการดาวน์โหลดซอฟต์แวร์อันตราย ข้อมูลที่ถูกขโมยมักถูกขายในตลาดมืด อาชญากรใช้ข้อมูลนี้เพื่อฉ้อโกงหรือเข้าถึงระบบโดยไม่ได้รับอนุญาต^[50]

อินโฟสตีลเลอร์มักให้เช่าใช้งานแบบบริการมัลแวร์ ทำให้ใช้งานได้ง่ายแม้ไม่มีความรู้ทางเทคนิค^[50] มันเริ่มแพร่หลายตั้งแต่ปี 2007 และยังคงเป็นภัยคุกคามสำคัญทั่วโลก^[51] ประเทศไทยติดอันดับ 10 ประเทศที่ติดเชื้ออินโฟสตีลเลอร์มากที่สุดในปี 2022^[52]

การป้องกันรวมถึงการอัปเดตซอฟต์แวร์ ใช้รหัสผ่านที่แข็งแกร่ง ระวังอีเมลและลิงก์ที่น่าสงสัย ใช้การพิสูจน์ตัวตนหลายปัจจัย และใช้โซลูชันความปลอดภัยที่เหมาะสม^[50][53]

ดร็อปเปอร์

ดร็อปเปอร์ (dropper) เป็นม้าโทรจันชนิดหนึ่ง ซึ่งมุ่งส่งมัลแวร์ให้แก่ระบบที่มันติด ส่วนตัวเองจะใช้วิธีอำพรางโดยมีเพย์โหลดที่ไม่มากเพื่อไม่ให้ถูกตรวจจับได้^[54] ไม่ควรสับสนดร็อปเปอร์กับโหลดเดอร์ (loader) /สเตเจอร์ (stager) โหลดเดอร์/สเตเจอร์มีหน้าที่แค่โหลดส่วนขยายของมัลแวร์เข้าในความจำ (เช่น โหลดไดนามิกลิงก์ไลบรารีโดยไม่ใช้บริการการโหลดปกติของระบบปฏิบัติการ) ซึ่งมุ่งหมายให้มีปฏิบัติการเบื้องต้นเบาจนตรวจจับไม่ได้ ส่วนดร็อปเปอร์มีหน้าที่ดาวน์โหลดมัลแวร์อื่น ๆ มาลงที่ระบบ

มัลแวร์เรียกค่าไถ่

บทความหลัก: มัลแวร์เรียกค่าไถ่

มัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์ จะป้องกันไม่ให้ผู้ใช้เปิดไฟล์ของตนได้จนกว่าจะจ่ายค่าไถ่ มีอยู่สองชนิดคือ คริปโตและล็อกเกอร์^[55] แบบล็อกเกอร์จะปิดไม่ให้ใช้ระบบโดยไม่ได้เข้ารหัสลับข้อมูลของระบบ แบบคริปโตจะปิดไม่ให้ใช้ระบบด้วยและเข้ารหัสลับข้อมูลของระบบด้วย ยกตัวอย่างเช่นโปรแกรม CryptoLocker จะเข้ารหัสลับไฟล์ต่าง ๆ อย่างมั่นคง โดยผู้โจมตีจะถอดรหัสให้ก็ต่อเมื่อได้ทรัพย์เป็นจำนวนมาก^[56]

ตัวล็อกจอเป็นมัลแวร์เรียกค่าไถ่ที่อ้าง "เจ้าหน้าที่ตำรวจไซเบอร์" ล็อกอุปกรณ์วินโดวส์หรือแอนดรอยด์ แล้วกล่าวหาว่ามีไฟล์ผิดกฎหมาย พยายามขู่เข็ญทำให้กลัวเพื่อให้จ่าย "ค่าปรับ"^[57] มัลแวร์ Jisut และ SLocker ได้ติดอุปกรณ์แอนดรอยด์มากกว่าตัวล็อกจออื่น ๆ ในบรรดามัลแวร์เรียกค่าไถ่ที่ตรวจจับได้โดยมี Jisut เป็นตัวก่อเหตุร้อยละ 60^[58]

มัลแวร์เรียกค่าไถ่แบบคริปโต จะเข้ารหัสลับไฟล์ทั้งหมดบนคอมพิวเตอร์ แล้วก็จะแสดงหน้าจอที่บอกว่า ไฟล์ถูกเข้ารหัสลับหมดแล้ว ผู้ใช้จะต้องจ่ายค่าไถ่ ปกติเป็นบิตคอยน์เพื่อจะกู้เอาไฟล์คืน ตัวอย่างรวมทั้ง CryptoLocker และ WannaCry^[59]

การคลิกหลอกลวง

มัลแวร์บางอย่างทำเงินด้วยการคลิกหลอกลวง คือทำให้เหมือนว่าผู้ใช้คอมพิวเตอร์นั้นคลิกลิงก์โฆษณาที่เว็บไซต์หนึ่ง ๆ ซึ่งทำให้ผู้โฆษณาต้องเสียค่าบริการ ในปี 2012 ประเมินว่า มัลแวร์ที่กำลังทำการทั้งหมดร้อยละ 60-70 มีฟังก์ชันเช่นนี้ และการคลิกลิงก์โฆษณาทั้งหมดร้อยละ 22 เป็นการฉ้อฉล^[60]

เกรย์แวร์

ข้อมูลเพิ่มเติม: ซอฟต์แวร์ที่อาจจะไม่พึงปรารถนา

เกรย์แวร์เป็นแอปที่ไม่พึงประสงค์ หรืออาจเป็นไฟล์ที่อาจทำคอมพิวเตอร์ให้ช้าลง หรืออาจทำให้เสี่ยงความมั่นคง แต่ยังไม่มีมติร่วมกันเพียงพอจะจัดว่าเป็นมัลแวร์^[34] มีชนิดต่าง ๆ รวมทั้งสปายแวร์ แอดแวร์ แอปโทรศัพท์ฉ้อฉล แอปหลอกเล่น และแอปควบคุมคอมทางไกล^[40] ยกตัวอย่างเช่น แผ่นซีดีเพลงของโซนี่บีเอ็มจีได้ลอบติดตั้งรูตคิตบนคอมพิวเตอร์ของลูกค้าโดยตั้งใจป้องกันการทำสำเนา แต่กลับสร้างปัญหาเกี่ยวกับความปลอดภัยโดยมิได้เจตนา^[61]

ซอฟต์แวร์ที่อาจจะไม่พึงปรารถนา

ซอฟต์แวร์ที่อาจจะไม่พึงปรารถนา (PUP) เป็นแอปที่จัดว่าไม่พึงปรารถนาแม้ผู้ใช้อาจจะได้จงใจดาวน์โหลด^[62] ตัวอย่างรวมทั้งสปายแวร์ แอดแวร์ และแอปโทรศัพท์ฉ้อฉล

ผลิตภัณฑ์ความมั่นคงหลายอย่างจัดโปรแกรมสร้างกุญแจผลิตภัณฑ์ (คีย์เจ็น) ว่าไม่พึงปรารถนา อนึ่ง คีย์เจ็นก็มักจะมีมัลแวร์จริง ๆ นอกเหนือจากฟังก์ชันสร้างกุญแจ^[63] ในปี 2012 ผู้บรรยายในงานประชุมสมาคมคอมพิวเตอร์เอซีเอ็ม ประเมินว่า^[63] คีย์เจ็นถึงร้อยละ 55 อาจมีมัลแวร์และคีย์เจนที่เป็นอันตรายร้อยละ 36 จะตรวจจับไม่ได้ด้วยโปรแกรมป้องกันไวรัส

แอดแวร์

บทความหลัก: แอดแวร์

แอดแวร์ (adware) คือโปรแกรมที่แสดงหรือดาวน์โหลดโฆษณาโดยอัตโนมัติลงที่คอมพิวเตอร์ซึ่งติดตั้งโปรแกรมเหล่านี้ บางอย่างเป็นสปายแวร์ (spyware) และถือว่าเป็นโปรแกรมที่ละเมิดความเป็นส่วนตัว (privacy-invasive software) แอดแวร์บางชนิดอาจปิดโปรแกรมต่อต้านมัลแวร์และต่อต้านไวรัสด้วย^[64]

สปายแวร์

บทความหลัก: สปายแวร์

สปายแวร์ (เป็นคำสนธิจากคำว่า spying software) เป็นซอฟต์แวร์ที่มีพฤติกรรมมุ่งร้าย หมายจะเก็บข้อมูลเกี่ยวกับบุคคลหรือองค์กร เพื่อส่งไปให้กับบุคคลที่ 3 ทำให้ผู้ใช้เสียหายโดยทำลายความเป็นส่วนตัว สร้างปัญหาความมั่นคงแก่อุปกรณ์ หรือความเสียหายอื่น ๆ แต่พฤติกรรมเช่นนี้ก็อาจมีทั้งในมัลแวร์จริง ๆ และซอฟต์แวร์ปกติ

อนึ่ง เว็บไซต์ต่าง ๆ ก็ยังอาจมีพฤติกรรมเช่นนี้ เช่น ทำ web tracking ซึ่งผู้ดำเนินการเว็บไซต์และบุคคลที่ 3 จะเก็บข้อมูลกิจกรรมของผู้เยี่ยมเว็บไซต์แล้วแชร์ข้อมูลนั้นในเวิลด์ไวด์เว็บ อาจมีการวิเคราะห์พฤติกรรมของผู้ใช้เพื่อให้ได้ข้อมูลที่ทำให้ผู้ดำเนินการสามารถอนุมานความชอบใจของผู้ใช้ ซึ่งอาจเป็นข้อมูลที่บุคคลอื่น ๆ เช่นผู้โฆษณาสนใจ^[65][66] อนึ่ง แม้อุปกรณ์ฮาร์ดแวร์เองก็อาจมีสปายแวร์^[67]

สปายแวร์มักจะเกี่ยวข้องกับการโฆษณา ดังนั้น จึงถูกวิจารณ์ได้เหมือน ๆ กัน แต่เพราะพฤติกรรมเช่นนี้สามัญมากโดยอาจไม่เป็นอันตราย ดังนั้น นิยามที่แม่นยำของสปายแวร์จึงไม่ใช่เรื่องง่าย^[68]

การตรวจจับ

โปรแกรมต่อต้านไวรัสมักจะใช้เทคนิคสองอย่างเพื่อตรวจจับมัลแวร์คือ 1. การวิเคราะห์แบบสถิต 2. การวิเคราะห์แบบพลวัตหรือแบบฮิวริสติก^[69] การวิเคราะห์แบบสถิตจะตรวจดูคำสั่งการของซอฟต์แวร์ที่เป็นอันตราย แล้วสร้างลายเซ็นของโปรแกรมนั้น ต่อมาก็จะใช้ลายเซ็นนั้นสำหรับเปรียบเทียบเมื่อสแกนไฟล์ แต่วิธีนี้ก็ใช้ไม่ได้สำหรับมัลแวร์ที่ยังไม่ได้ตรวจดู ดังนั้น โปรแกรมต่อต้านไวรัสจึงต้องทำการวิเคราะห์แบบพลวัต เพื่อตรวจสอบว่าซอฟต์แวร์กำลังดำเนินการอะไรบนคอมพิวเตอร์ แล้วระงับซอฟต์แวร์ถ้าทำอะไรที่ไม่น่าจะทำ

เป้าหมายอย่างหนึ่งของมัลแวร์ก็คือซ่อนตัวเองไม่ให้โปรแกรมต่อต้านไวรัสหรือผู้ใช้ตรวจจับได้^[1] การตรวจจับมัลแวร์ทำได้ยากเพราะเหตุสองอย่าง หนึ่ง การระบุว่าซอฟต์แวร์มุ่งร้ายหรือเปล่าเป็นเรื่องยาก^[34] สอง มัลแวร์ใช้เทคนิคที่ทำให้ตรวจจับได้ยาก^[69] มีการประเมินว่าโปรแกรมต่อต้านไวรัสตรวจจับมัลแวร์ไม่ได้ร้อยละ 33^[63] เทคนิคป้องกันการถูกตรวจจับซึ่งใช้มากที่สุดก็คือการเข้ารหัสลับเพย์โหลดของมัลแวร์ เพื่อป้องกันโปรแกรมต่อต้านไวรัสไม่ให้เช็คลายเซ็นได้^[34]

มัลแวร์เช่น crypter มากับบล็อบคำสั่งการมุ่งร้ายที่เข้ารหัสลับและตัวถอดรหัสลับ ซึ่งทำหน้าที่ถอดรหัสลับบล็อบคำสั่งการแล้วโหลดเข้าในความจำ เพราะโปรแกรมต่อต้านไวรัสมักจะไม่สแกนความจำ สแกนแต่ไฟล์บนดิสก์ วิธีนี้จึงหลบเลี่ยงการถูกตรวจจับได้ มัลแวร์ชั้นแนวหน้ายังสามารถแปลงเป็นรูปแบบต่าง ๆ ซึ่งลดโอกาสการถูกตรวจจับเพราะลายเซ็นจะปรากฏต่าง ๆ กัน นี่เรียกว่า มัลแวร์พอลิมอร์ฟิก เทคนิคอื่น ๆ ที่ใช้หลีกเลี่ยงการถูกตรวจจับตามลำดับจากสามัญไปยังไม่สามัญ คือ^[70]

1. การหลีกเลี่ยงการถูกวิเคราะห์และการตรวจจับโดยเช็คสิ่งแวดล้อมก่อนเมื่อดำเนินการ^[71]
2. ทำให้อุปกรณ์ตรวจเช็คอัตโนมัติสับสน เช่น มีมัลแวร์ที่เปลี่ยนลิงก์ส่งข้อมูลทุก ๆ วัน^[70]
3. การเลือกเวลาทำการ คือจะทำการในช่วงเวลาโดยเฉพาะ ๆ หรือหลังจากที่ผู้ใช้ได้ทำอะไรอย่างใดอย่างหนึ่ง จึงสามารถทำการได้ในช่วงที่มีจุดอ่อน เช่นในช่วงที่ปลุกเครื่อง โดยอยู่เฉย ๆ ในเวลาที่เหลือ
4. อำพรางข้อมูลภายในเพื่อไม่ให้อุปกรณ์อัตโนมัติตรวจจับได้^[72]
5. ใช้วิธีการซ่อนที่ซับซ้อนเช่น stegomalware ซึ่งใช้วิทยาการอำพรางข้อมูลเพื่อซ่อนคำสั่งการที่มุ่งร้าย^[73]
6. มัลแวร์ไร้ไฟล์จะโหลดคำสั่งการเข้าในความจำแล้วดำเนินการโดยไม่ใช้ไฟล์ และใช้แต่เครื่องมือที่มีอยู่แล้วในระบบเท่านั้นเพื่อก่อการร้าย การใช้ไฟล์สั่งการที่มีอยู่แล้วเพื่อก่อการร้าย เป็นเทคนิคที่เรียกว่า Living off the Land (LotL)^[74] ซึ่งลดร่องรอยหลักฐานทางดิจิทัลที่จะหาได้เพื่อการวิเคราะห์

ในปี 2017 พบว่าการโจมตีเหล่านี้เพิ่มขึ้นจากปีก่อนในอัตราร้อยละ 432 ส่วนในปี 2018 พบว่าการโจมตีเช่นนี้อยู่ในอัตราร้อยละ 35 ของการโจมตีทั้งหมด แม้จริง ๆ ทำได้ไม่ง่ายแต่ก็แพร่หลายยิ่งขึ้นเพราะมีชุดการโจมตีที่ทำไว้สำเร็จรูป (exploit-kits)^[75][76]

ความเสี่ยง

ซอฟต์แวร์ที่มีช่องโหว่

ช่องโหว่คอมพิวเตอร์เป็นจุดอ่อน ข้อบกพร่อง หรือบั๊กในแอป ในคอมพิวเตอร์ ในระบบปฏิบัติการ หรือในเครือข่ายคอมพิวเตอร์ที่มัลแวร์ใช้หลบเลี่ยงวิธีการป้องกัน หรือใช้ขโมยเอาสิทธิพิเศษที่จำเป็นในการดำเนินการต่อไป ยกตัวอย่างเช่น โปรแกรมอรรถประโยชน์เสรีและโอเพนซอร์สที่ใช้กู้ดิสก์คือ TestDisk รุ่น 6.4 และก่อนหน้านั้นมีช่องโหว่ที่ทำให้ผู้โจมตีสามารถฉีดรหัสสั่งการเข้าไปในโปรแกรม^[77]

มัลแวร์สามารถหาประโยชน์จากความบกพร่องทางความมั่นคง (เช่น บั๊กหรือความอ่อนแอทางความมั่นคง) ในระบบปฏิบัติการ ในแอป (เช่น ในเว็บบราวเซอร์)^[78] หรือในส่วนขยายเว็บบราวเซอร์ เช่น อะโดบีแฟลชเพลย์เยอร์ อะโดบีแอโครแบต หรือ Java SE^[79][80] อย่างเช่นช่องโหว่ที่มักถูกถือเอาประโยชน์อย่างสามัญก็คือ บัฟเฟอร์ไหลล้น (buffer overrun) คือซอฟต์แวร์ปกติจะเก็บข้อมูลไว้ในความจำในเขตที่ระบุ แต่ก็ไม่ป้องกันไม่ให้ข้อมูลที่ได้ล้นบัฟเฟอร์ มัลแวร์จึงอาจให้ข้อมูลที่ล้นบัฟเฟอร์ โดยมีโค๊ดสั่งทำการหรือข้อมูลที่มุ่งร้ายในส่วนที่ล้น เมื่อซอฟต์แวร์เข้าถึงเพย์โหลดที่อยู่ตรงนั้น ก็จะทำการตามที่ผู้โจมตีต้องการ ไม่ทำสิ่งที่ควรทำ

มัลแวร์อาจจะถือเอาประโยชน์ช่องโหว่ที่ได้พึ่งค้นพบ ก่อนที่ผู้พัฒนาซอฟต์แวร์จะมีเวลาสร้างอัปเดตสำหรับแพตช์^[8] และแม้จะมีแพตช์แล้วแต่ก็อาจจะไม่ได้การติดตั้งโดยทันที ทำให้มัลแวร์มีโอกาสฉวยโอกาสกับระบบที่ยังไม่ได้แพตช์ได้ อนึ่ง บางครั้งการติดตั้งแพตช์หรือซอฟต์แวร์รุ่นใหม่ก็ไม่ถอนเอารุ่นเก่าออกด้วย

มีวิธีการหลายอย่างที่ผู้ใช้สามารถได้ข้อมูลและป้องกันตัวเองจากช่องโหว่ทางความมั่นคงของซอฟต์แวร์ บริษัทซอฟต์แวร์เองมักประกาศอัปเดตเกี่ยวกับปัญหาทางความมั่นคง^[81] ช่องโหว่ที่สามัญจะมีเลขประจำตัวที่เรียกว่า CVE IDs แล้วบันทึกไว้ในฐานข้อมูลสาธารณะเช่น ฐานข้อมูลช่องโหว่แห่งชาติสหรัฐฯ (National Vulnerability Database) มีโปรแกรมต่าง ๆ เช่น Secunia PSI^[82] และ UCheck ที่สามารถสแกนหาซอฟต์แวร์ที่หมดอายุแล้วเพื่ออัปเดต ไฟร์วอลล์และระบบป้องกันการถูกบุกรุก (intrusion prevention system) สามารถตรวจตราการส่งข้อมูลทางเครือข่ายเพื่อสืบหากิจกรรมที่น่าสงสัย ซึ่งอาจบ่งการถูกโจมตี^[83]

การมีสิทธิมากเกิน

ผู้ใช้หรือโปรแกรมอาจจะได้สิทธิเกินความจำเป็น ซึ่งมัลแวร์อาจฉวยโอกาสเอาได้ เช่นในรายงานปี 2011 เมื่อสุ่มตัวอย่างแอปแอนดรอยด์ 940 ตัว 1 ใน 3 ตัวขอสิทธิ์เกินความจำเป็น^[84] วิธีการแก้ปัญหาก็คือการใช้ซอฟต์แวร์ของบุคคลที่ 3 เพื่อตรวจสอบแอปที่มีสิทธิเกินความจำเป็น^[85]

ระบบบางอย่างอนุญาตให้ผู้ใช้ทุกคนเปลี่ยนส่วนประกอบอันเป็นแกนหรือค่าตั้งระบบ ซึ่งปัจจุบันพิจารณาว่าได้สิทธิเกิน แต่นี่ก็ปกติสำหรับไมโครคอมพิวเตอร์และคอมพิวเตอร์ประจำบ้านยุคต้น ๆ ซึ่งไม่แยกแยะระหว่างแอดมินหรือรูตกับผู้ใช้ทั่วไปของระบบ ระบบบางอย่างให้ผู้ใช้ธรรมดามีสิทธิเกินตั้งแต่เริ่ม ในบางระบบ ผู้ใช้อาจมีสิทธิเกินเพราะได้รับสถานะแอดมินหรือสถานะคล้ายกันอื่น ๆ อย่างไม่สมควร^[86] เพราะผู้ใช้มักจะเรียกร้องสิทธิเกินกว่าที่จำเป็น^[87]

ระบบบางอย่างอนุญาตให้ซอฟต์แวร์ที่ผู้ใช้สั่งการเข้าถึงสิทธิของผู้ใช้ได้ทุกอย่าง นี้เรียกว่าซอฟต์แวร์ที่มีสิทธิเกิน นี่เป็นปกติสำหรับไมโครคอมพิวเตอร์และคอมพิวเตอร์ประจำบ้านในยุคต้น ๆ เช่นกัน ดังนั้น มัลแวร์ซึ่งผู้ใช้เป็นผู้สั่งการจึงสามารถใช้สิทธิเหล่านี้เพื่อบั่นทอนระบบ

รหัสผ่านที่อ่อนแอ

มีการโจมตีบัญชีแอดมินแล้วใช้เพื่อแจกสิทธิแก่มัลแวร์^[88] ปกติจะทำอย่างนี้ได้ก็เพราะป้องกันบัญชีไม่ดีพอ ซึ่งโดยทั่วไปก็คือการใช้รหัสผ่านสั้น ๆ ที่เจาะได้ด้วยพจนานุกรมหรือเจาะได้ด้วยกำลัง การใช้รหัสผ่านที่เข้มแข็งหรือใช้การพิสูจน์ตัวจริงด้วยปัจจัยหลายอย่างจึงสามารถลดความเสี่ยงนี้ได้ เมื่อใช้อย่างหลัง แม้ถ้าผู้โจมตีสามารถเจาะรหัสผ่านได้แต่ก็ยังใช้บัญชีไม่ได้จนกว่าจะได้ข้อมูลจากปัจจัยพิสูจน์ตัวจริงอื่น ๆ

การใช้ระบบปฏิบัติการเดียวกัน

ความเป็นแบบเดียวกันอาจเป็นจุดอ่อนอย่างหนึ่ง ตัวอย่างเช่นถ้าคอมพิวเตอร์ทั้งหมดในเครือข่ายใช้ระบบปฏิบัติการเดียวกัน เมื่อหนอนคอมพิวเตอร์เจาะระบบหนึ่งได้ ก็จะเจาะที่เหลือทั้งหมดได้^[89] ปัญหาโดยเฉพาะก็คือไมโครซอฟท์วินโดวส์และแมคโอเอสครองตลาดในอัตราสูงจนกระทั่งว่าการเจาะจุดอ่อนของระบบได้ก็จะทำให้บั่นทอนระบบเป็นจำนวนมากได้ ประเมินว่าในระหว่างเดือนมกราคม–มีนาคม 2020 มัลแวร์ร้อยละ 83 กระจายผ่านวินโดวส์ 10^[90] แต่ก็สามารถลดความเสี่ยงได้โดยแบ่งเครือข่ายออกเป็นส่วน ๆ แล้วติดตั้งไฟล์วอลล์เพื่อไม่ให้คอมพิวเตอร์ในส่วนต่าง ๆ ติดต่อกันได้^[91][92]

การบรรเทาปัญหา

โปรแกรมต่อต้านไวรัสและต่อต้านมัลแวร์

โปรแกรมต่อต้านไวรัสและต่อต้านมัลแวร์จะช่วยป้องกันและกำจัดมัลแวร์บางอย่างได้ ยกตัวอย่างเช่น ไมโครซอฟท์ ซีเคียวริตี เอสเซนเชียล (สำหรับวินโดวส์เอ็กซ์พี วิสตา และวินโดวส์ 7) และวินโดวส์ดีเฟนเดอร์ (สำหรับวินโดวส์ 8, 10 และ 11) สามารถป้องกันคอมพิวเตอร์ในเวลาจริงได้ ส่วนโปรแกรมอีกอย่างของไมโครซอฟท์ คือ Windows Malicious Software Removal Tool จะกำจัดซอฟต์แวร์มุ่งร้ายจากระบบได้โดยอัตโนมัติเป็นประจำทุกเดือน^[93]

อนึ่ง ยังมีโปรแกรมต่อต้านไวรัสที่ใช้ได้ดีหลายอย่างที่สามารถดาวน์โหลดได้ฟรีจากอินเทอร์เน็ต โดยปกติจะจำกัดให้ใช้ฟรีนอกเชิงพาณิชย์เท่านั้น^[94] การทดสอบพบว่าโปรแกรมฟรีบางอย่างดีพอ ๆ กับโปรแกรมที่ต้องจ่ายเงิน^[94][95][96]

ทั่วไปแล้ว ซอฟต์แวร์ต่อต้านไวรัสจะสู้กับมัลแวร์ด้วยวิธีต่าง ๆ ดังนี้

1. การป้องกันในเวลาจริง - คือป้องกันไม่ให้ติดตั้งมัลแวร์ในระบบได้ในเวลาจริง ด้วยการสแกนข้อมูลทั้งหมดที่เข้ามาทางเครือข่าย หรือข้อมูลที่เก็บลงบนดิสก์ แล้วระงับมัลแวร์ที่พบทั้งหมดเหมือนกับโปรแกรมต่อต้านไวรัส
2. การกำจัด - คือตรวจจับและกำจัดมัลแวร์ที่ได้ติดตั้งบนคอมพิวเตอร์แล้ว วิธีนี้จะสแกนข้อมูลในวินโดวส์เรจิสตรี ไฟล์ระบบปฏิบัติการและโปรแกรมที่ติดตั้งบนคอม แล้วแสดงรายการไฟล์อันตรายที่ได้พบ แล้วให้ผู้ใช้เลือกว่าจะลบหรือจะเก็บ หรือเปรียบเทียบกับรายการมัลแวร์ที่รู้แล้วลบไฟล์ที่มีในรายการ
3. แซนด์บ็อกซ์ - เป็นเทคนิคจำกัดโปรแกรมให้อยู่ในสิ่งแวดล้อมที่ควบคุมไว้ โดยโปรแกรมจะดำเนินการได้อย่างจำกัดเพื่อไม่ให้มีปฏิสัมพันธ์กับแอปอื่น ๆ และจำกัดการเข้าถึงทรัพยากรต่าง ๆ ของระบบอีกด้วย^[97]ส่วนบราวเซอร์แซนด์บ็อกซ์ จะมีกระบวนการเว็บแยกออกต่างหากเพื่อป้องกันมัลแวร์และการถือโอกาส เป็นการเพิ่มความมั่นคง^[98]

การป้องกันในเวลาจริง

องค์ประกอบโดยเฉพาะของซอฟต์แวร์ต่อต้านมัลแวร์ที่เรียกว่า สแกนเนอร์เมื่อเข้าถึง (on-access) หรือสแกนเนอร์ในเวลาจริง (real-time) จะมีฮุ๊กในแกนหรือในเคอร์เนลของระบบปฏิบัติการ จะทำงานคล้ายกับมัลแวร์บางอย่างเอง ต่างตรงที่ได้อนุญาตจากผู้ใช้เพื่อป้องกันระบบ ทุกครั้งที่ระบบปฏิบัติการเปิดไฟล์ สแกนเนอร์ก็จะเช็คว่าไฟล์ติดเชื้อหรือเปล่า ปกติเมื่อพบไฟล์ที่ติดเชื้อก็จะหยุดดำเนินการ แล้วกักตัวไฟล์เพื่อป้องกันไม่ให้ทำอันตรายอย่างอื่น ๆ โปรแกรมต่อต้านไวรัสโดยมากจะให้ผู้ใช้เลือกเปลี่ยนพฤติกรรมนี้ได้ วิธีป้องกันนี้อาจทำให้ระบบช้าลง มากเท่าไรจะขึ้นอยู่กับหน้าสลับที่สร้างในความจำเสมือน^[99]

แซนด์บ็อกซ์

แซนด์บ็อกซ์เป็นโมเดลความมั่นคงคอมพิวเตอร์ที่จำกัดแอปให้อยู่ในสิ่งแวดล้อมที่ควบคุมไว้ จำกัดให้ทำแต่สิ่งที่พิจารณาว่าปลอดภัย แยกออกจากแอปอื่น ๆ บนคอม และจำกัดการเข้าถึงทรัพยากรของระบบเช่นความจำและระบบไฟล์^[97]

ส่วนแซนด์บ็อกซ์ของบราวเซอร์เป็นเทคนิคทางความมั่นคงที่แยกกระบวนการเว็บบราวเซอร์และแท็บออกจากระบบปฏิบัติการ ช่วยป้องกันมัลแวร์, การฉวยโอกาสกับช่องโหว่ที่ยังไม่ได้อุด (ซีโรเดย์) และข้อมูลรั่วไหลที่ไม่ได้ตั้งใจ โดยกักกันคำสั่งการที่อาจเป็นอันตรายไว้ในแซนด์บ็อกซ์ ซึ่งทำโดยการสร้างกระบวนการต่างหาก ๆ, การจำกัดการเข้าถึงทรัพยากรของระบบ, การดำเนินการเนื้อหาเว็บในกระบวนการต่างหาก ๆ, การเฝ้าสังเกตการเรียกระบบ และการจำกัดใช้ความจำ การสื่อสารที่มั่นคงระหว่างกระบวนการจะทำผ่าน Inter-process communication (IPC) มัล์แวร์จะหนีออกจากแซนด์บ็อกซ์ได้ก็ต่อเมื่อใช้ช่องโหว่ในกลไกแซนด์บ็อกซ์ หรือในระบบปฏิบัติการ^[98][100]

แม้แซนด์บ็อกซ์จะกันอันตรายไม่ได้ร้อยเปอร์เซ็นต์ แต่ก็จะลดช่องทางที่มัลแวร์ทั่วไปสามารถเจาะระบบได้ ดังนั้น การอัปเดตบราว์เซอร์และระบบปฏิบัติการอย่างสม่ำเสมอจึงเป็นเรื่องสำคัญมากเพื่อลดความเสี่ยง^[98][100]

การสแกนความมั่นคงของเว็บไซต์

ซอฟต์แวร์สแกนช่องโหว่สามารถเช็คเว็บไซต์ ตรวจจับมัลแวร์ ตรวจดูซอฟต์แวร์ที่หมดอายุแล้ว และรายงานปัญหาทางความมั่นคงที่ปรากฏ จึงอาจลดความเสี่ยงเว็บไซต์ไม่ให้ถูกแฮ็กได้

การแยกเครือข่ายคอมพิวเตอร์ออกเป็นส่วน ๆ

การตั้งเครือข่ายคอมพิวเตอร์ให้เป็นเครือข่ายย่อย ๆ แล้วจำกัดการติดต่อให้แต่ที่รู้ว่าสมควร อาจช่วยระงับการกระจายมัลแวร์ไปตามเครือข่าย

การตัดระบบจากเครือข่าย (แอร์แก็ป)

มีไม้ตายที่ใช้สำหรับป้องกันคอมพิวเตอร์ไม่ให้ติดมัลแวร์ และการแพร่เชื้อต่อ ๆ ไป คือการตัดระบบออกจากเครือข่าย (air gap, แอร์แก็ป) แล้วเพิ่มการควบคุมการนำข้อมูลหรือซอฟต์แวร์เข้า/ออกจากคอมพิวเตอร์ อย่างไรก็ดีมัลแวร์ก็ยังสามารถข้ามอุปสรรคเช่นนี้ได้ อย่างน้อยที่สุดก็เพราะต้องใส่ซอฟต์แวร์ใหม่ ๆ เข้าในระบบแอร์แก็ป มีตัวอย่างคือ Stuxnet ซึ่งเป็นปฏิบัติการที่เชื่อว่าเป็นฝีมือของสหรัฐและอิสราเอล เป็นการลอบส่งมัลแวร์เข้าในโครงการอาวุธนิวเคลียร์ของอิหร่านด้วยยูเอสบีแฟลชไดรฟ์ ซึ่งสร้างความเสียหายกับเครื่องมือในระบบโดยไม่ได้ลอบขโมยเอาข้อมูลออก

AirHopper^[101] BitWhisper^[102] GSMem^[103] และ Fansmitter^[104] เป็นเทคนิค 4 อย่างที่นักวิจัยได้สร้างขึ้นเพื่อลอบเก็บข้อมูลจากคอมพิวเตอร์แอร์แก๊ป โดยใช้สัญญาณรั่วทางแม่เหล็กไฟฟ้า ทางความร้อน และเสียง

งานวิจัย

งานวิเคราะห์ดัชนีวรรณกรรมที่ศึกษาทิศทางของมัลแวร์ระหว่างปี 2005-2015 โดยใช้เกณฑ์ต่าง ๆ รวมทั้งการตีพิมพ์ในวารสารที่มีอิทธิพล จำนวนการอ้างอิง ประเด็นการศึกษา จำนวนการตีพิมพ์ จำนวนคำหลัก สถาบันของผู้ตีพิมพ์ และผู้เขียน พบว่างานเพิ่มขึ้นปีต่อปีในอัตราร้อยละ 34.1 ทวีปชั้นนำคืออเมริกาเหนือโดยตามด้วยเอเชียและยุโรป ประเทศจีนและอินเดียพบว่ากำลังเพิ่มผลงานขึ้นเรื่อย ๆ อย่างสำคัญ^[105]

ดูเพิ่ม

• วิศวกรรมสังคม
• จารกรรมทางอุตสาหกรรม
• ฟิชชิง
• ความมั่นคงคอมพิวเตอร์
• อาชญากรรมคอมพิวเตอร์
• การสอดแนมไซเบอร์