English English Blog Blog Pomoc Pomoc Aktualności Aktualności Visit Us On Facebook Visit Us On Linkedin Visit Us On Linkedin
ITCenter Warszawa
  • Bezpłatna konsultacja
    • CTA

    Rodzaje wirusów komputerowych

    dodane: 01 grudzień 2023 przez: Daniel Filipek
    aktualizacja: 20 kwiecień 2026
    Rodzaje wirusów komputerowych

    Rodzaje wirusów komputerowych dzielą się na klasyczne wirusy (plikowe, skryptowe, makrowirusy, boot sektorowe, rezydentne, nierezydentne, polimorficzne, metamorficzne, hybrydowe) oraz szerszą rodzinę malware (ransomware, spyware, keyloggery, adware, rootkity, bomba logiczna, robaki, trojany, botnety). Skuteczna ochrona opiera się na warstwach: antywirus, firewall UTM, backup poza infrastrukturą firmy, edukacja zespołu i monitoring zachowań w sieci.

    Co to jest wirus komputerowy?

    Wirus komputerowy to złośliwe oprogramowanie, które wykonuje niepożądane działania na zainfekowanym urządzeniu i replikuje swój kod, dołączając go do innych plików lub obszarów systemu. Typowe skutki to szyfrowanie i kradzież danych, rejestrowanie wciśnięć klawiatury oraz budowanie sieci przejętych komputerów (botnetów). Wirus w ścisłym znaczeniu wymaga pliku-gospodarza i akcji użytkownika. Malware to szersza kategoria, obejmująca też zagrożenia rozprzestrzeniające się samodzielnie (robaki) oraz programy wyrządzające szkody bez replikacji (trojany, ransomware, spyware). W rozmowie biznesowej granica między tymi pojęciami się zaciera, dlatego opisujemy pełen krajobraz zagrożeń.

    Jak działają różne rodzaje wirusów komputerowych?

    Do infekcji dochodzi najczęściej przez załączniki e-mail, pliki z niepewnych stron, aplikacje spoza oficjalnych sklepów i podatne punkty w sieci firmowej (niezałatane serwery, publicznie dostępny RDP). Zagrożenia przenoszą się też przez nośniki USB i udostępnione katalogi sieciowe. Po uruchomieniu kodu aktywuje się ładunek (payload) – szyfruje lub kasuje dane, wykrada poświadczenia, przenosi się dalej w sieci albo podszywa się pod użytkownika.

    Poznaj najważniejsze rodzaje wirusów komputerowych

    Klasyfikacja opiera się na dwóch kryteriach: miejscu infekcji i sposobie działania. Obok klasycznych wirusów istnieje też szeroka rodzina pozostałego malware, technicznie niebędąca wirusami, ale w praktyce zaliczana do tej kategorii.

    Wirusy plikowe

    Infekują pliki wykonywalne (.exe, .com, .dll) przez nadpisanie zawartości, dopisanie kodu na początku lub końcu pliku albo wstrzyknięcie go w nieużywane obszary. Po uruchomieniu zainfekowanego programu kod wirusa wykonuje się równolegle z oryginalną aplikacją. Do tej grupy zaliczają się makrowirusy (omówione dalej) i wirusy wieloczęściowe. Podstawą ochrony jest skanowanie plików wykonywalnych i makropoleceń w czasie rzeczywistym oraz lista dozwolonych programów.

    Wirusy skryptowe

    Pisane w językach interpretowanych: VBScript, JavaScript, PowerShell, Bash, w makrach arkuszy i plikach wsadowych. Atakujący coraz częściej wykorzystują PowerShell do ataków bezplikowych, w których kod wykonuje się w pamięci bez śladów na dysku. Ochrona opiera się na restrykcyjnej polityce wykonywania skryptów, blokadzie uruchamiania kodu z katalogów tymczasowych, domyślnym wyłączeniu makr z internetu i monitorowaniu zachowania interpreterów.

    Wirusy dyskowe

    Zarażają pliki na dysku i replikują się w jego obrębie. Ich szczególnym typem są wirusy boot sektorowe (opisane poniżej). Ochrona: skanowanie plików w czasie rzeczywistym, weryfikacja integralności systemu plików, ograniczenia zapisu z nośników zewnętrznych.

    Wirusy rezydentne

    Instalują się w pamięci RAM i pozostają aktywne do wyłączenia komputera, infekując pliki „w locie”, czyli w momencie otwierania lub kopiowania. Ukrywają kod przed programami zarządzającymi pamięcią, co utrudnia wykrycie metodami sygnaturowymi. Szczególnie niebezpieczne są tu wirusy polimorficzne i metamorficzne. Ochrona to heurystyczna analiza pamięci i monitorowanie zachowania procesów przez systemy klasy EDR.

    Wirusy nierezydentne

    Po uruchomieniu zainfekowanego pliku szukają pierwszego celu do infekcji, a potem sterowanie wraca do oryginalnego programu. Nie pozostają w pamięci. Mieszczą się tu wirusy hybrydowe i wieloczęściowe. Ochrona: blokowanie wykonania zainfekowanych plików, regularne skanowanie, zasada najmniejszych uprawnień.

    Inne rodzaje złośliwego oprogramowania

    Poza klasycznymi wirusami firmy mierzą się z zagrożeniami potocznie nazywanymi „wirusami”. Ransomware szyfruje dane i żąda okupu. Spyware zbiera informacje o aktywności użytkownika, keyloggery rejestrują wciśnięcia klawiatury. Adware wyświetla natrętne reklamy, rootkity ukrywają obecność innego malware, scareware wyłudza płatności groźbą fałszywej infekcji. Bomba logiczna aktywuje kod po spełnieniu warunku, robaki rozprzestrzeniają się bez pliku-gospodarza, trojany podszywają się pod legalne oprogramowanie, a botnety to sieci przejętych komputerów używane do ataków DDoS i rozsyłania spamu.

    Jakie są cechy i działanie makrowirusów?

    Makrowirusy infekują dokumenty biurowe z obsługą makr (Word, Excel, Outlook) przez kod w języku Visual Basic for Applications (VBA). Aktywują się automatycznie po otwarciu dokumentu i włączeniu makr. Schemat ataku: napastnik wysyła podrobioną wiadomość (fakturę, CV, zamówienie), ofiara otwiera załącznik, klika „Włącz zawartość” i kod VBA pobiera właściwy ładunek.

    Klasyczne przykłady to Concept z 1995 roku (pierwszy makrowirus w Wordzie), Melissa z 1999 roku (rozsyłał się do pierwszych 50 kontaktów w książce adresowej Outlooka, globalne straty oszacowano na 80 mln dolarów) i Emotet od 2014 roku. Od kwietnia 2022 roku Microsoft domyślnie blokuje makra w plikach pobranych z internetu. Wykrywanie opiera się na analizie kodu VBA, uruchamianiu załączników w odizolowanym środowisku (sandbox) i polityce grup (GPO) blokującej makra w organizacji.

    W jaki sposób działają wirusy boot sektorowe?

    Wirusy boot sektorowe wstrzykują swój kod do sektora rozruchowego dysku lub głównego rekordu rozruchowego (MBR) i uruchamiają się zanim system operacyjny załaduje własne mechanizmy ochronne. Przejmują kontrolę nad startem komputera, mogą ukrywać swoje pliki przed antywirusem i utrzymują się po reinstalacji systemu, jeśli MBR nie zostanie wyczyszczony. Typowe objawy to problemy z uruchamianiem komputera, spadek wydajności dysku i komunikaty o braku systemu operacyjnego. Ochrona obejmuje Secure Boot w UEFI (weryfikacja podpisu programu rozruchowego), skanowanie sektora startowego przy starcie oraz dyscyplinę fizyczną: brak startu z nieznanych nośników USB i ochronę zapisu na dyskach przenośnych.

    Co charakteryzuje wirusy polimorficzne i jak unikają wykrycia?

    Wirusy polimorficzne zmieniają swój kod przy każdej infekcji, zachowując funkcjonalność. Główny ładunek jest szyfrowany kluczem losowym, a rozszyfrowujący dekoder dodatkowo przekształcany (permutacja instrukcji, operacje puste, zamiana rejestrów). Dwie kopie mają różną sygnaturę bajtową, choć robią to samo. Antywirusy oparte wyłącznie na sygnaturach są wobec nich bezradne. Wykrycie wymaga emulacji kodu (uruchomienia w kontrolowanym środowisku, aż wirus się rozszyfruje), analizy heurystycznej i rozpoznawania zachowań klasy EDR. Znane przykłady: Storm Worm, Virlock.

    Jak wirusy metamorficzne zmieniają swój kod i jak to wpływa na bezpieczeństwo?

    Wirusy metamorficzne idą krok dalej niż polimorficzne – nie szyfrują kodu, tylko przepisują jego strukturę. Silnik metamorfizmu dzieli kod na bloki, zmienia kolejność instrukcji, podmienia operacje na równoważne (np. mov eax, 0 na xor eax, eax) i buduje nowy wariant binarny. Dwie próbki tego samego wirusa mogą nie mieć ani jednego wspólnego bloku bajtów. Dla wykrywania sygnaturowego to sytuacja bez wyjścia – potrzebna jest analiza zachowania programu, rozpoznawanie anomalii i uczenie maszynowe. Znane przykłady: Win32/Simile, Zmist, MetaPHOR.

    Jakie są właściwości i przykłady wirusów hybrydowych?

    Wirusy hybrydowe, nazywane też wieloczęściowymi (multipartite), łączą cechy różnych klas zagrożeń, najczęściej plikowych i boot sektorowych. Infekują jednocześnie pliki wykonywalne i sektor rozruchowy dysku, podwajając szansę przetrwania – wyczyszczenie zainfekowanych plików nie usuwa infekcji z sektora rozruchowego i odwrotnie. Klasyczne przykłady to rodziny Tequila i Invader z lat 90., a ten sam schemat wrócił w zagrożeniach atakujących oprogramowanie układowe UEFI. Ochrona wymaga skanowania obu warstw jednocześnie, aktywnego Secure Boot i narzędzi weryfikujących integralność firmware.

    Co to jest ransomware i jak wpływa na zainfekowane systemy?

    Ransomware szyfruje pliki ofiary (dokumenty, bazy danych, kopie zapasowe dostępne online) algorytmem AES z kluczem zabezpieczonym kluczem publicznym atakującego, a następnie żąda okupu w kryptowalucie. Nowoczesne warianty (LockBit, BlackCat, Akira) stosują podwójny szantaż – przed zaszyfrowaniem wykradają dane i grożą ich publikacją. Skutki biznesowe bywają dotkliwe: przestój od kilku dni do kilku tygodni, zatrzymanie procesów produkcyjnych, ryzyko naruszenia RODO, koszty odtworzenia środowiska. W praktyce sprawdza się kombinacja pięciu elementów: backup 3-2-1 (trzy kopie, dwa nośniki, jedna odłączona od sieci) z testami przywracania, segmentacja sieci, MFA na dostępach administracyjnych i VPN, EDR z funkcją cofania szyfrowania oraz przećwiczona procedura reagowania na incydent.

    Jak działają programy adware i jakie zagrożenia niosą dla użytkowników?

    Adware wyświetla niechciane reklamy, przekierowuje ruch przeglądarki i modyfikuje ustawienia domyślnej wyszukiwarki. Wersje agresywne profilują użytkownika, zbierają dane z formularzy i odsprzedają informacje o zachowaniu brokerom danych, a nierzadko stanowią furtkę dla poważniejszych zagrożeń. Typowe drogi infekcji to darmowe oprogramowanie z dołączonymi instalatorami, spreparowane rozszerzenia przeglądarek i reklamy na stronach z pirackimi treściami. Ochrona polega na kontroli procesu instalacji, skanerach wykrywających adware, dyscyplinie w dodawaniu rozszerzeń i monitorowaniu ruchu DNS.

    Na czym polega działanie spyware i keyloggerów?

    Spyware w ukryciu zbiera informacje o aktywności użytkownika: odwiedzane strony, wpisywane dane, zawartość schowka, pliki z wybranych lokalizacji. Keyloggery to jego wyspecjalizowana odmiana – rejestrują każde wciśnięcie klawiatury, przekazując atakującemu hasła, numery kart i treść korespondencji. Występują w wariantach programowych (instalowane przez trojany) i sprzętowych (niewielkie urządzenia między klawiaturą a komputerem, niewykrywalne programowo). Ochrona łączy EDR z analizą zachowań, menedżery haseł z autouzupełnianiem, MFA na tokenach sprzętowych, audyt portów USB i skanery antyspyware.

    Jak działa i jakie skutki ma bomba logiczna w systemach komputerowych?

    Bomba logiczna to fragment złośliwego kodu uśpiony do momentu spełnienia zdefiniowanego warunku – konkretnej daty, liczby logowań, uruchomienia procesu albo braku wpisu pracownika w systemie kadrowym. Po aktywacji kasuje pliki, blokuje bazę danych, modyfikuje rekordy finansowe albo zatrzymuje procesy produkcyjne. Największe znane przypadki związane były z działaniami niezadowolonych administratorów z wysokimi uprawnieniami – to zagrożenie jest bardziej wewnętrzne niż zewnętrzne. Przeciwdziałanie wymaga rozdzielenia obowiązków, weryfikacji kodu z wersjonowaniem, monitorowania zmian w harmonogramie zadań, natychmiastowego odbierania dostępów po rozstaniu z pracownikiem oraz dzienników audytowych poza kontrolą zespołu IT.

    Jak skutecznie ochronić firmę przed wirusami komputerowymi?

    Skuteczna ochrona opiera się na warstwach, nie na pojedynczym narzędziu. Sam antywirus to minimum. W firmach sprawdza się model ochrony wielowarstwowej zbudowany z pięciu obszarów.

    1. Warstwa brzegowa – firewall UTM z filtracją treści, IPS i IDS, antywirus na bramie, kontrola ruchu szyfrowanego, blokowanie znanych serwerów atakującego.
    2. Warstwa stacji roboczej – EDR z analizą zachowania, lista dozwolonych aplikacji, szyfrowanie dysków, polityki GPO blokujące makra z internetu i ograniczające PowerShell.
    3. Warstwa tożsamości – MFA na wszystkich kontach, zasada najmniejszych uprawnień, oddzielne konta administracyjne, regularny przegląd uprawnień.
    4. Warstwa danych – backup 3-2-1 z kopią niemodyfikowalną, testy przywracania, plan DRP z RTO i RPO uzgodnionymi z biznesem.
    5. Warstwa ludzka – szkolenia antyphishingowe, zrozumiała ścieżka zgłaszania incydentów, testy socjotechniczne.

    Do tego warto dołożyć całodobowe monitorowanie przez Security Operations Center z korelacją zdarzeń w systemie SIEM. Poważne ataki rozwijają się etapami, a wcześnie zauważone nietypowe skanowanie sieci lub podejrzane logowanie daje szansę zatrzymać je, zanim dojdzie do szyfrowania danych.

    ITCenter od 1997 roku wspiera średnie przedsiębiorstwa we wdrażaniu takich warstw ochrony. W ofercie znajdziesz Security Operations Center w trybie 24/7, audyty bezpieczeństwa, rozwiązania UTM, systemy ciągłości operacyjnej i backupu danych oraz outsourcing IT z polityką bezpieczeństwa. Jeżeli chcesz porozmawiać o bezpieczeństwie swojej firmy, umów się na bezpłatną konsultację lub napisz do nas bezpośrednio.

     

    Skontaktuj się z nami aby wiedzieć więcej!

    Ostatnie artykuły:

  • Opieka IT czy stała obsługa? Przewodnik po formach wsparcia informatycznego dla firm.
  • Najpopularniejsze usterki IT w firmach i jak reaguje profesjonalna obsługa informatyczna?
  • Jakie są kroki do optymalizacji Twojego IT?
  • Jak rozpocząć współpracę z firmą informatyczną?
  • Co zrobić, żeby firmowa logistyka nie była koszmarem? Proste sposoby na lepszą organizację!
  • Integracja systemów – dlaczego Twój sklep, magazyn i księgowość powinny mówić jednym językiem?
  • 5 błędów przy zarządzaniu firmowym magazynem, które rozwiąże dobry system WMS
  • Co robić, gdy Twoje firmowe dane mogły wyciec? Szybki plan działania!
  • Uwierzytelnianie wieloskładnikowe – dlaczego jedno hasło to za mało?
  • Jak dobrze zabezpieczyć dane klientów w firmie – proste kroki dla każdego przedsiębiorcy
  • Czym jest kwalifikowana pieczęć elektroniczna?
  • Co to są doręczenia elektroniczne – e-Doręczenia?
  • Co to jest podpis elektroniczny?
  • Jak oprogramowanie dla firm usługowych może zwiększyć efektywność i zyski?
  • Kiedy Twoja firma powinna rozważyć zatrudnienie zewnętrznego CIO?
    • Zadzwoń
    22 888 50 00
    Napisz
    [email protected]

    Krótko o nas

    Spółka informatyczna. Na rynku od 1997 roku. Specjalizacja w IT dla biznesu.

    Stały rozwój kompetencji i przekrojowe doświadczenie w produkcji, integracji, wdrażaniu oraz utrzymaniu w ruchu rozwiązań informatycznych dla Średnich Przedsiębiorstw.

    Jesteśmy ekspertami w Transformacji Cyfrowej.

    Kompetentni, operatywni, skuteczni.

    Rozumiemy Twój biznes - sprawdź nas.


    Rozwiązania dla Twojego sukcesu.

    Oferujemy

    Jak nas znaleźć

    ITCenter Spółka z ograniczoną odpowiedzialnością Sp. k.
    ul. L. Kondratowicza 37
    03-285 Warszawa
    Zobacz na mapie

    KRS: 0000779010
    NIP: 9512481556

    Polityka prywatności
    Nota prawna
    © ITCenter 2021      Projekt i wykonanie ITCenter