恶意软件变化多端

　　在过去，恶意软件的生死好比一部二流科幻电影中的情节：头目被杀死后，入侵随之消停。而如今，即使运行僵尸网络的负责指挥与控制的那台计算机（有些人称之为"母舰"）没有联网，大多数恶意软件也能存活下来。就拿SpamThru来说吧，这种基于图片的垃圾邮件通过预定的IRC频道来接收指令。不过，SpamThru也与僵尸网络中的其他计算机保持联系；必要时可以接收来自这些计算机的指令，包括换用新IRC频道的指令。

　　另外，最新的恶意软件变得更难检测出来、危害性更大、也更难清除。就拿Rustok（这是一种垃圾邮件机器人）来说。这种恶意软件利用高级的rootkit技术，即使在生成大量的垃圾邮件时也能保持相对隐蔽的状态。Cole指出："设计它的人基本上对反病毒软件和反间谍软件公司如何进行工作有一深入了解；因而，检测rootkit的大多数技术奈何不了这种恶意软件。"

　　这表明，攻击者在推迟自己的行踪被安全研究人员发现方面变得更聪明了。举例说，许多研究人员利用虚拟机来分析可疑代码。于是，攻击者在越来越多地设计这样的恶意软件：在虚拟机环境下运行或者被调试程序扫描时，表现得"循规蹈矩"。稍加变动，某种恶意软件甚至还能利用虚拟机的已知漏洞，居然感染研究人员的PC。对此，反病毒公司正在设计自己的虚拟机沙箱用来分析可疑代码，竭力保护源代码，那样恶意软件编写者就无法研究源代码了。

　　攻击者还越来越多地使用能够压缩（"包装"）恶意代码的"变形释放器"（polymorphic dropper）来分发恶意软件，每次分发都使用稍有不同的算法。Cole说："包装原理类似邪恶版的WinZip。"包装后的每份恶意软件都很独特，也不符合已知恶意代码的现有特征。虽然研究人士终究会打开包并发现这是恶意软件，但这需要时间和计算资源。

　　在研究人员发现新的恶意软件到更新扫描器的这个间歇，有些对付恶意软件的软件也会监视PC的行为。某个未知程序是否企图篡改注册表、装入自己的内核，或者把什么东西植入到用户的开始文件夹上？如果是这样，对付恶意软件的软件可能会阻止可疑活动，认为该程序是rootkit。