Malware to zbiorcze określenie złośliwego oprogramowania, które ma cię okraść, zaszyfrować dane, podsłuchać albo wciągnąć komputer do botnetu. Jeden parasol nazwy zawiera wirusy, trojany, ransomware, spyware, adware, robaki, rootkity i ataki bezplikowe (fileless). Każdy rodzaj zachowuje się inaczej, ale wszystkie łączy intencja: właściciel sprzętu nie wie co się na nim dzieje, a ktoś z tego korzysta. Zrozumienie kategorii pomaga ci wybrać właściwą obronę, bo firewall ratuje przed czymś innym niż antywirus na telefonie.
Wirusy: kod doczepiony do plików
Wirus komputerowy to fragment kodu, który dołącza się do innego programu lub dokumentu i uruchamia się dopiero wtedy, gdy uruchamiasz hosta. Otwierasz exe, makro w Wordzie, skrypt PowerShell. Wirus aktywuje się i kopiuje do kolejnych plików na dysku. To najstarsza kategoria malware, znana od lat 80, dziś rzadziej spotykana w czystej formie. Klasyczne wirusy zostały zastąpione przez bardziej wyrafinowane narzędzia, ale technika „doklej kod do pliku” wciąż żyje, na przykład w infekcjach makr w plikach Office wysyłanych w mailach.
Sygnatury wirusów są dobrze znane skanerom antywirusowym. Klasyczny silnik antywirusa porównuje hash pliku z bazą znanych wirusów i blokuje go, jeśli pasuje. To dlatego wirusy zaprojektowane na masową dystrybucję żyją krótko: po kilku godzinach od pierwszej infekcji ich sygnatura ląduje w bazach Microsoftu, Kaspersky’ego czy ESETa.
Trojany: udają coś użytecznego
Trojan (od konia trojańskiego) udaje legalne narzędzie. Pobierasz „darmowego konwertera PDF na Word”, instalujesz, działa. W tle jednak instaluje też tylne drzwi (backdoor), keylogger albo moduł zdalnego dostępu, który atakujący wykorzysta później. W odróżnieniu od wirusa trojan się nie kopiuje samodzielnie. Mnoży się przez to, że ludzie chętnie pobierają i uruchamiają darmowe oprogramowanie z niezaufanych źródeł.
Najgorsza odmiana to trojan bankowy. Po cichu siedzi w systemie, czeka aż otworzysz stronę swojego banku, podmienia formularz logowania na własny i wysyła twoje dane atakującemu. Niektóre potrafią nawet podstawić numer rachunku w przelewie, gdy go kopiujesz przez schowek. Klasyczna ochrona to 2FA i nieinstalowanie aplikacji spoza oficjalnych sklepów.
Ransomware: szyfruje dane i żąda okupu
Ransomware to dziś najbardziej dochodowy typ malware. Po infekcji szyfruje wszystkie pliki na dysku (dokumenty, zdjęcia, bazy danych) i wyświetla okno z żądaniem okupu, najczęściej w bitcoinie. Sumy idą od kilkuset dolarów dla użytkowników domowych do milionów dla firm. Płacenie nie gwarantuje odzyskania danych: według raportów Sophos i Coveware tylko około 60-70 procent ofiar dostaje działający klucz po zapłacie.
Najlepsza obrona to regularna kopia zapasowa trzymana offline, w schemacie 3-2-1 (trzy kopie, dwa różne nośniki, jedna poza miejscem). Jeśli ransomware zaszyfruje ci dysk, formatujesz, instalujesz Windows od nowa i przywracasz pliki z backupu sprzed infekcji. Bez backupu zostaje ci tylko dwa wybory: zapłacić (ryzyko) albo stracić dane.
Spyware i keyloggery: cichy podsłuch
Spyware śledzi co robisz na komputerze. Loguje wpisywane hasła (keylogger), zrzuca ekran co kilka sekund, podsłuchuje mikrofon, czyta historię przeglądarki, eksfiltruje dane z menedżerów haseł. Komercyjna odmiana to „stalkerware”, instalowane przez zazdrosnych partnerów na czyimś telefonie. Państwowa odmiana (Pegasus, Predator) atakuje dziennikarzy i aktywistów przez zero-day w iOS i Androidzie.
Klasyczny keylogger ma sygnaturę i większość antywirusów go wykryje. Pegasus i podobne nie mają sygnatury, bo każda infekcja jest unikatowa, a kod żyje tylko w pamięci RAM. Ochrona przed wyrafinowanym spyware to inna liga niż domowy antywirus: hardening urządzenia, aktualizacje w dniu wydania, niedołączanie do podejrzanych WiFi i akceptacja, że pełna ochrona nie istnieje.
Adware i potencjalnie niechciane programy (PUP)
Adware bombarduje cię reklamami. Dorzucony do „darmowych” instalatorów (klasyczne źródło to instalatory pirackich gier i cracków), zmienia stronę startową przeglądarki, instaluje paski narzędzi, podmienia wyniki Google na własne reklamy, wstawia banery na stronach które nie powinny ich mieć. Technicznie nie kradnie danych, ale zaśmieca system, spowalnia komputer i jest wektorem dla cięższego malware.
Większość antywirusów oznacza adware jako PUP (Potentially Unwanted Program) z niższym priorytetem niż wirus. Usunięcie wymaga dedykowanych narzędzi (Malwarebytes, AdwCleaner), bo klasyczny antywirus nie zawsze widzi PUP-y. Najlepsza prewencja to nie instalować „free converter PDF”, tylko korzystać z oficjalnych źródeł i zwracać uwagę na ekrany „advanced installation” gdzie odznacza się dorzucone śmieci.
Robaki: rozprzestrzeniają się same
Robak (worm) różni się od wirusa tym, że nie potrzebuje hosta. Po infekcji jednego komputera samodzielnie skanuje sieć w poszukiwaniu innych podatnych maszyn i się tam wkleja. Najsłynniejszy przykład to WannaCry (2017), który w 4 dni zainfekował 230 tysięcy komputerów w 150 krajach przez podatność w protokole SMB w Windowsie. Microsoft wydał łatkę dwa miesiące przed atakiem, ale wiele firm jej nie zainstalowało.
Robak to powód, dla którego aktualizacje systemu i oprogramowania są krytyczne. Każda niezałatana podatność typu RCE (remote code execution) to potencjalna brama dla robaka. Dlatego zarządzanie aktualizacjami w firmie to osobna dyscyplina, a domowy użytkownik powinien po prostu trzymać Windows Update i auto-aktualizacje aplikacji włączone.
Rootkity i malware bezplikowe (fileless)
Rootkit zagnieżdża się w systemie tak głęboko, że klasyczny antywirus go nie widzi. Modyfikuje jądro systemu (kernel mode rootkit) albo bootloader, ładuje się przed antywirusem i ukrywa swoją obecność. Niektóre rootkity siedzą w firmware UEFI i przeżywają reinstalację systemu. Wykrycie wymaga skanowania z zewnątrz (offline boot, druga maszyna) albo specjalistycznych narzędzi typu GMER, chkrootkit, rkhunter.
Malware bezplikowe (fileless) to kategoria, która zyskała na znaczeniu w ostatnich pięciu latach. Nie zapisuje plików na dysku, tylko żyje w pamięci RAM, korzystając z legalnych narzędzi systemowych (PowerShell, WMI, makra Office). Klasyczny skaner sygnaturowy nic nie znajduje, bo nie ma czego skanować. Wykrywanie wymaga monitorowania zachowania (EDR, behavioral analysis), nie samych plików.
Jak się chronić: warstwy ochrony
Pojedyncza tarcza nie wystarcza. Współczesna ochrona to model warstwowy (defense in depth) gdzie kilka mechanizmów łapie różne wektory ataku. Pierwsza warstwa: aktualizacje. Windows Update, aplikacje, przeglądarka, wtyczki. 80 procent infekcji wykorzystuje znane podatności, na które łatka istnieje od miesięcy.
Druga warstwa: antywirus i firewall. Wbudowany Windows Defender wystarcza dla większości użytkowników domowych w 2026 roku. Płatne pakiety (Bitdefender, Kaspersky, ESET) dorzucają lepszą ochronę przed ransomware, kontrolę rodzicielską, VPN. Firewall blokuje niechciane połączenia przychodzące i wychodzące. Trzecia warstwa: backup. 3-2-1 jest standardem, ratuje przed ransomware lepiej niż jakakolwiek inna technika.
Czwarta warstwa: higiena. Nie klikaj w nieoczekiwane załączniki, nie pobieraj cracków, używaj menedżera haseł, włącz 2FA wszędzie gdzie się da, sprawdzaj URL przed zalogowaniem (typowy phishing robi literówkę w nazwie domeny). Większość udanych ataków na domowych użytkowników to nie supersprytna technologia, tylko klikanie w to, w co nie powinno się klikać.
Najczęściej zadawane pytania
Czy darmowy antywirus wystarczy?
Dla domowego użytkownika, który nie ma na komputerze danych firmy, Windows Defender w 2026 jest wystarczający. Niezależne testy AV-Comparatives i AV-Test pokazują wykrywalność na poziomie 98-99 procent, czyli porównywalnie z płatnymi pakietami. Płatny antywirus opłaca się jeśli chcesz dodatkowych funkcji (VPN, ochrona ransomware na konkretnych folderach, kontrola rodzicielska, ochrona transakcji bankowych) albo gdy obsługujesz wiele urządzeń.
Czy Mac i Linux nie potrzebują antywirusa?
Mit. Mac jest mniej atakowany ze względu na mniejszy udział rynkowy, ale macOS malware istnieje (Silver Sparrow, XCSSET, MacStealer). Linux dominuje na serwerach i jest stałym celem botnetów (Mirai, XorDDoS). Wbudowane mechanizmy macOS (Gatekeeper, XProtect, MRT) i Linuxa (SELinux, AppArmor) dają solidną bazę, ale przy intensywnym pobieraniu z różnych źródeł albo prowadzeniu serwera warto dorzucić skaner (Malwarebytes na Mac, ClamAV na Linux).
Skąd wiem, że mam malware?
Sygnały: komputer drastycznie zwolnił, dysk pracuje cały czas mimo bezczynności, pojawiają się nieznane procesy w Menadżerze zadań, przeglądarka otwiera nieproszone strony, zmieniła się strona startowa, znajomi dostają od ciebie maile których nie wysyłałeś, antywirus został wyłączony „samowolnie”, aktualizacje Windows nie chcą się instalować. Pierwszy krok przy podejrzeniu: skan offline (Windows Defender Offline z USB albo Kaspersky Rescue Disk).
Czy malware na telefon to realne zagrożenie?
Tak, szczególnie na Androidzie. Sklep Google Play jest filtrowany, ale sideloading (instalacja APK spoza sklepu) i sklepy zewnętrzne (Aptoide, APKMirror) są częstym wektorem. iOS jest bezpieczniejszy ze względu na zamknięty ekosystem, ale ataki typu zero-day przez wiadomości iMessage istnieją. Najlepsza praktyka: instaluj tylko z oficjalnych sklepów, sprawdzaj uprawnienia aplikacji, trzymaj system aktualny.
