Malware můžeme třídit různými způsoby podle různých kritérií, kterými jsou například způsob šíření, metoda instalace do systému, způsob ovládání na dálku atd. V současné době mívají jednotlivé druhy malwaru mnoho funkcí, takže jsou obvykle klasifikovány podle funkce hlavní. Můžeme mít například, trojského koně s funkcemi rootkitu, takže může zůstat skrytý před zkušenými uživateli i bezpečnostními mechanismy. Může jít také o zaváděcí program v síti infikovaných počítačů, které jsou dálkově ovládány. Zároveň může zobrazovat reklamy a zaznamenávat stisky kláves, takže by patřil i do rodin adwaru a keyloggerů. Byl by to tedy trojský kůň-rootkit-bot-adware-keylogger ... Vše v jednom! V praxi jsou takové případy docela běžné.
První klasifikace malwaru je založena na nezbytnosti hostitelského souboru pro šíření.
Následující čtyři druhy škodlivého softwaru potřebují pro své šíření hostitelské soubory:
Obrázek 4 ukazuje rozdělení malwaru podle kategorií (zdroj: Panda Security)
Další dva typy škodlivého softwaru hostitelský soubor k šíření nepotřebují. Jsou to:
Zadní vrátka jsou tajné vstupy do programu, které umožňují přístup k systému bez nutnosti projít bezpečnostními mechanismy. Tyto přístupy jsou používány programátory během ladění programu, kdy má programátor zvláštní oprávnění. Tyto padací dveře jsou vyhledávány škodlivým softwarem a mohou být použity pro obcházení bezpečnostních mechanismů. Důsledkem pak je závažná softwarová hrozba pro počítačový systém.
Logické bomby jsou nejstarší druh malwaru, který představuje softwarovou hrozbu. Jedná se o software, který je zakomponován do běžného programu a aktivuje se při splnění určitých podmínek. Jedním z příkladů těchto podmínek může být přítomnost nebo nepřítomnost určitého souboru v okamžiku, kdy nastane určený den, týden nebo datum. Logická bomba může způsobit ztrátu nebo poškození dat v informačním systému – tedy vymazat určité soubory, zastavit běžící výpočetní aplikace atd.
Trojské koně jsou programy nebo příkazy, které vykonávají užitečné postupy nebo procesy, ale zároveň provádějí škodlivé aktivity na pozadí – například mazání dat. Zvláštním případem tohoto druhu škodlivého softwaru je spyware, který shromažďuje hesla zadaná z klávesnice, informace o navštívených webových stránkách, druh softwaru, který je používán na daném počítači, či informace zasílané přes Internet.
Viry jsou programy, které se připojují k jiným programům nebo souborům a mohou provádět nepovolené činnosti. Pro své šíření potřebují hostitelský soubor, který je virem pozměněn. Viry mohou napadnout další soubory, šířit se dále a poškodit informační systém.
Červ se může šířit z jednoho počítačového systému do druhého, pokud jsou tyto systémy propojeny sítí. Šíří se převážně s využitím e-mailových klientů nebo prostřednictvím služeb těmito klienty nabízených.
Zombie je škodlivý software, který se šíří prostřednictvím sítě. Po jeho úspěšném průniku do počítačového systému je možno infikovaný počítač dálkově ovládat a spravovat. Případ, kdy je několik počítačů infikováno stejným druhem škodlivého softwaru se schopností dálkového ovládání označujeme jako botnet. Botnet tak může být ovládán z jednoho vzdáleného počítače a dokáže využívat jednotlivé infikované počítače (zombie) k provádění stejných příkazů. To pak umožňuje realizovat útoky označované jako Distribuované odepření služby (DDoS).