移动代码，指那些不加修改就能够在不同系统平台上运行并且能够实现相同功能的程序（如脚本、宏或其他可移植指令）。移动代码能够从远程系统传送到本地系统，然后在没有得到用户明确许可的情况下在本地系统中运行。移动代码经常用于传播病毒、蠕虫和木马。某些移动代码能够利用漏洞实现某些功能，如非授权的数据访问或特权攻击。常用的移动代码载体包括Java applet、ActiveX、JavaScript和VBScript。使用移动代码在本地系统上进行恶意操作的最常见方法有跨站点脚本、交互式动态Web站点、电子邮件附件、从不可信网站上下载不可信的软件。

随着2004年Cabir蠕虫的发现，第一个手机蠕虫出现了。随后在2005年又出现了Lasco和CommWarrior手机蠕虫。这些蠕虫通过蓝牙或彩信（MMS）进行传播。手机蠕虫的感染目标是那些允许用户从非蜂窝网络运行商那里安装软件的智能手机。所有这些早期的手机蠕虫以使用塞班系统的手机为目标，而近期的恶意软件则以安卓系统或苹果的iOS系统为目标。这些恶意软件可以使手机完全无用，删除手机数据，或者向收取额外费用的号码发送信息。虽然上述实例表明手机蠕虫是可能的，但是目前已知的大多数手机恶意软件是通过含有木马的软件安装包植入手机的。

另外一种利用软件漏洞的途径涉及利用用户应用程序中的缺陷（Bug）来安装恶意软件。其中一种常见的技术是利用浏览器漏洞，使得当用户浏览一个被攻击者控制的Web页面时，该页面包含的代码会利用浏览器的缺陷，在用户不知情或未允许的情况下，下载并安装恶意软件。这种攻击叫作夹带式下载。在多数情况下，这类恶意软件不像传统蠕虫那样传播，而是等待那些无防备的用户浏览恶意的Web页面来传播。(www.daowen.com)

点击劫持，也称为用户界面伪装攻击，是一种攻击者收集被感染用户鼠标点击信息的攻击。攻击者可以强迫用户做一系列事情，从调整计算机的设置到在用户不知情的情况下让用户访问可能含有恶意代码的网站。同时，利用Adobe Flash和JavaScript，攻击者甚至可能在一个合法按钮上面或下面部署一个按钮，让用户难以觉察到它。这种攻击的典型例子是利用多重透明层或不透明层来欺骗用户在试图点击最上面的页面时，却实际上点击了另一个按钮或链接到另一个页面。这样，攻击者劫持了指向某个页面的点击，把它们重定向到另一个页面。后一个页面极有可能属于另一个应用或域。

使用类似的技术，键盘输入也可以被劫持。通过精心组合样式表、iframe和文本框，可以让用户误以为他们是在为他们的电子邮件或银行账户输入口令，而实际上他们的口令被输入到一个由攻击者控制的框架里。