電腦病毒

概述

電腦病毒

產生

病毒不是來源於突發或偶然的原因。一次突發的停電和偶然的錯誤，會在計算機的磁碟和記憶體中產生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹的代碼，按照嚴格的秩序組織起來，與所在的系統網路環境相適應和配合起來，病毒不會通過偶然形成，並且需要有一定的長度，這個基本的長度從機率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的，多數病毒可以找到作者和產地信息，從大量的統計分析來看，病毒作者主要情況和目的是：一些天才的程式設計師為了表現自己和證明自己的能力，處於對上司的不滿，為了好奇，為了報復，為了祝賀和求愛，為了得到控制口令，為了軟體拿不到報酬預留的陷阱等．當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構和黑客的測試病毒。

特點

電腦中毒

寄生性

計算機病毒寄生在其他程式之中，當執行這個程式時，病毒就起破壞作用，而在未啟動這個程式之前，它是不易被人發覺的。

傳染性

計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被複製或產生變種，其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下，它可得到大量繁殖，井使被感染的生物體表現出病症甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的電腦程式代碼，這段程式代碼一旦進入計算機井得以執行，它就會搜尋其他符合其傳染條件的程式或存儲介質，確定目標後再將自身代碼插入其中，達到自我繁殖的目的。只要一台計算機染毒，如不及時處理，那么病毒會在這台機子上迅速擴散，其中的大量檔案（一般是執行檔）會被感染。而被感染的檔案又成了新的傳染源，再與其他機器進行數據交換或通過網路接觸，病毒會繼續進行傳染。 正常的電腦程式一般是不會將自身的代碼強行連線到其他程式之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程式之上。計算機病毒可通過各種可能的渠道，如軟碟、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時，往往曾在這台計算機上用過的軟碟已感染上了病毒，而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。 病毒程式通過修改磁碟扇區信息或檔案內容並把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程式叫做宿主程式；

潛伏性

有些病毒像定時炸彈一樣，讓它什麼時間發作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統進行破壞。一個編制精巧的計算機病毒程式，進入系統之後一般不會馬上發作，可以在幾周或者幾個月內甚至幾年內隱藏在合法檔案中，對其他系統進行傳染，而不被人發現，潛伏性愈好，其在系統中的存在時間就會愈長，病毒的傳染範圍就會愈大。 潛伏性的第一種表現是指，病毒程式不用專用檢測程式是檢查不出來的，因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續為害。潛伏性的第二種表現是指，計算機病毒的內部往往有一種觸發機制，不滿足觸發條件時，計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足，有的在螢幕上顯示信息、圖形或特殊標識，有的則執行破壞系統的操作，如格式化磁碟、刪除磁碟檔案、對數據檔案做加密、封鎖鍵盤以及使系統死鎖等；
隱蔽性

計算機病毒具有很強的隱蔽性，有的可以通過病毒軟體檢查出來，有的根本就查不出來，有的時隱時現、變化無常，這類病毒處理起來通常很困難。
破壞性

計算機中毒後，可能會導致正常的程式無法運行，把計算機內的檔案刪除或受到不同程度的損壞 ；

可觸發性

病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件，這些條件可能是時間、日期、檔案類型或某些特定數據等。病毒運行時，觸發機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續潛伏。

分類

開機彈出的電腦病毒

根據多年對計算機病毒的研究，按照科學的、系統的、嚴密的方法，計算機病毒可分類如下：按照計算機病毒屬性的方法進行分類，計算機病毒可以根據下面的屬性進行分類：

1、按照計算機病毒存在的媒體進行分類根據病毒存在的媒體，病毒可以劃分為網路病毒，檔案病毒，引導型病毒。

網路病毒通過計算機網路傳播感染網路中的執行檔，檔案病毒感染計算機中的檔案（如：COM，EXE，DOC等），引導型病毒感染啟動扇區（Boot）和硬碟的系統引導扇區（MBR），還有這三種情況的混合型，例如：多型病毒（檔案和引導型）感染檔案和引導扇區兩種目標，這樣的病毒通常都具有複雜的算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形算法。 按照計算機病毒傳染的方法進行分類根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機後，把自身的記憶體駐留部分放在記憶體（RAM）中，這一部分程式掛接系統調用併合併到作業系統中去,他處於激活狀態,一直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機記憶體,一些病毒在記憶體中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。

根據病毒破壞的能力可劃分為以下幾種：
無害型：除了傳染時減少磁碟的可用空間外，對系統沒有其它影響。
無危險型：這類病毒僅僅是減少記憶體、顯示圖像、發出聲音及同類音響。危險型，這類病毒在計算機系統操作中造成嚴重的錯誤。
非常危險型：這類病毒刪除程式、破壞數據、清除系統記憶體區和作業系統中重要的信息。這些病毒對系統造成的危害，並不是本身的算法中存在危險的調用，而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程式產生的錯誤也會破壞檔案和扇區，這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它作業系統造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁碟上很好的工作，不會造成任何破壞，但是在後來的高密度軟碟上卻能引起大量的數據丟失。

根據病毒特有的算法，病毒可以劃分為：

1、伴隨型病毒，這一類病毒並不改變檔案本身，它們根據算法產生EXE檔案的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM檔案並不改變EXE檔案，當DOS載入檔案時，伴隨體優先被執行到，再由伴隨體載入執行原來的EXE檔案。

2、“蠕蟲”型病毒，通過計算機網路傳播，不改變檔案和資料信息，利用網路從一台機器的記憶體傳播到其它機器的記憶體，計算網路地址，將自身的病毒通過網路傳送。有時它們在系統存在，一般除了記憶體不占用其它資源。

3、寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或檔案中，通過系統的功能進行傳播，按其算法不同可分為：練習型病毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。

4、詭秘型病毒，它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和檔案緩衝區等DOS內部修改，不易看到資源，使用比較高級的技術。利用DOS空閒的數據區進行工作。

5、變型病毒（又稱幽靈病毒），這一類病毒使用一個複雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。

發展

電腦病毒

在病毒的發展史上，病毒的出現是有規律的，一般情況下一種新的病毒技術出現後，病毒迅速發展，接著反病毒技術的發展會抑制其流傳。作業系統升級後，病毒也會調整為新的方式，產生新的病毒技術。它可劃分為：

DOS引導階段

1987年，計算機病毒主要是引導型病毒，具有代表性的是“小球”和“石頭”病毒。當時的計算機硬體較少,功能簡單,一般需要通過軟碟啟動後使用.引導型病毒利用軟碟的啟動原理工作,它們修改系統啟動扇區,在計算機啟動時首先取得控制權,減少系統記憶體,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播；

1989年,引導型病毒發展為可以感染硬碟,典型的代表有“石頭2”；

DOS可執行階段

1989年,執行檔型病毒出現,它們利用DOS系統載入執行檔案的機制工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在系統執行檔案時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在執行檔中,使檔案長度增加。

1990年,發展為複合型病毒,可感染COM和EXE檔案。
伴隨、批次型階段

1992年,伴隨型病毒出現,它們利用DOS載入檔案的優先順序進行工作，具有代表性的是“金蟬”病毒,它感染EXE檔案時生成一個和EXE同名但擴展名為COM的伴隨體；它感染檔案時,改原來的COM檔案為同名的EXE檔案,再產生一個原名的伴隨體,檔案擴展名為COM，這樣,在DOS載入檔案時,病毒就取得控制權.這類病毒的特點是不改變原來的檔案內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS作業系統中,一些伴隨型病毒利用作業系統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。

幽靈、多形階段

1994年,隨著彙編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如“一半”病毒就是產生一段有上億種可能的解碼運算程式,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程式區,多數具有解碼算法,一種病毒往往要兩段以上的子程式方能解除。

生成器,變體機階段

1995年,在彙編語言中,一些數據的運算放在不同的通用暫存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成，當生成器的生成結果為病毒時,就產生了這種複雜的“病毒生成器” ，而變體機就是增加解碼複雜程度的指令生成機制。這一階段的典型代表是“病毒製造機” VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在巨觀上分析指令,解碼後查解病毒。

網路,蠕蟲階段

1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進.在非DOS作業系統中,“蠕蟲”是典型的代表,它不占用除記憶體以外的任何資源,不修改磁碟檔案,利用網路功能搜尋網路地址,將自身向下一地址進行傳播，有時也在網路伺服器和啟動檔案中存在。

視窗階段

1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)檔案,典型的代表是DS.3873,這類病毒的機制更為複雜,它們利用保護模式和API調用接口工作,解除方法也比較複雜。 宏病毒階段1996年,隨著Windows Word功能的增強,使用word宏語言也可以編制病毒,這種病毒使用類Basic語言、編寫容易、感染Word文檔等檔案，在Excel和AmiPro出現的相同工作機制的病毒也歸為此類，由於Word文檔格式沒有公開，這類病毒查解比較困難；

互連網階段

1997年,隨著網際網路的發展,各種病毒也開始利用網際網路進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒；

爪哇(Java),郵件炸彈階段

1997年,隨著全球資訊網（Wold Wide Web）上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒，還有一些利用郵件伺服器進行傳播和破壞的病毒，例如Mail-Bomb病毒，它會嚴重影響網際網路的效率。

破壞行為

病毒也瘋狂

計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒，其破壞行為千奇百怪，不可能窮舉其破壞行為，而且難以做全面的描述，根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下： 攻擊系統數據區，攻擊部位包括：硬碟主引尋扇區、Boot扇區、FAT表、檔案目錄等。一般來說，攻擊系統數據區的病毒是惡性病毒，受損的數據不易恢復。 攻擊檔案，病毒對檔案的攻擊方式很多，可列舉如下：刪除、改名、替換內容、丟失部分程式代碼、內容顛倒、寫入時間空白、變碎片、假冒文件、丟失檔案簇、丟失數據檔案等。攻擊記憶體，記憶體是計算機的重要資源，也是病毒攻擊的主要目標之一，病毒額外地占用和消耗系統的記憶體資源，可以導致一些較大的程式難以運行。病毒攻擊記憶體的方式如下：占用大量記憶體、改變記憶體總量、禁止分配記憶體、蠶食記憶體等。干擾系統運行，此類型病毒會干擾系統的正常運行，以此作為自己的破壞行為，此類行為也是花樣繁多，可以列舉下述諸方式：不執行命令、干擾內部命令的執行、虛假報警、使檔案打不開、使內部棧溢出、占用特殊數據區、時鐘倒轉、重啟動、當機、強制遊戲、擾亂串列口、並行口等。 速度下降，病毒激活時，其內部的時間延遲程式啟動，在時鐘中納入了時間的循環計數，迫使計算機空轉，計算機速度明顯下降。攻擊磁碟，攻擊磁碟數據、不寫盤、寫操作變讀操作、寫盤時丟位元組等。 擾亂螢幕顯示，病毒擾亂螢幕顯示的方式很多，可列舉如下：字元跌落、環繞、倒置、顯示前一屏、游標下跌、滾屏、抖動、亂寫、吃字元等。 鍵盤病毒，干擾鍵盤操作，已發現有下述方式：響鈴、封鎖鍵盤、換字、抹掉快取區字元、重複、輸入紊亂等。 喇叭病毒，許多病毒運行時，會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音，有的病毒作者讓病毒演奏鏇律優美的世界名曲，在高雅的曲調中去殺戮人們的信息財富，已發現的喇叭發聲有以下方式：演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS ， 在機器的CMOS區中，保存著系統的重要數據，例如系統時鐘、磁碟類型、記憶體容量等，並具有校驗和。有的病毒激活時，能夠對CMOS區進行寫入動作，破壞系統CMOS中的數據。 干擾印表機，典型現象為：假報警、間斷性列印、更換字元等。

計算機資源的損失和破壞，不但會造成資源和財富的巨大浪費，而且有可能造成社會性的災難，隨著信息化社會的發展，計算機病毒的威脅日益嚴重，反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒，美國康奈爾大學的計算機科學系研究生，23歲的莫里斯（Morris）將其編寫的蠕蟲程式輸入計算機網路，致使這個擁有數萬台計算機的網路被堵塞。這件事就像是計算機界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對計算機病毒的恐慌，也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年，我國在統計局系統首次發現了“小球”病毒，它對統計系統影響極大，此後由計算機病毒發作而引起的“病毒事件”接連不斷，前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。

1.計算機系統運行速度減慢。
2.計算機系統經常無故發生當機。
3.計算機系統中的檔案長度發生變化。
4.計算機存儲的容量異常減少。
5.系統引導速度減慢。
6.丟失檔案或檔案損壞。
7.計算機螢幕上出現異常顯示。
8.計算機系統的蜂鳴器出現異常聲響。
9.磁碟卷標發生變化。
10.系統不識別硬碟。
11.對存儲系統異常訪問。
12.鍵盤輸入異常。
13.檔案的日期、時間、屬性等發生變化。
14.檔案無法正確讀取、複製或打開。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C糟。
18.時鐘倒轉。有些病毒會命名系統時間倒轉，逆向計時。
19.WINDOWS作業系統無故頻繁出現錯誤。
20.系統異常重新啟動。
21.一些外部設備工作異常。
22.異常要求用戶輸入密碼。
23.WORD或EXCEL提示執行“宏”。
24.是不應駐留記憶體的程式駐留記憶體。

出現

公安信息網路防毒牆部署圖

計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。它產生的背景是：

1、計算機病毒是計算機犯罪的一種新的衍化形式

計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機套用領域的表現；

2、計算機軟硬體產品的脆弱性是根本的技術原因

計算機是電子產品。數據從輸入、存儲、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞；程式易被刪除、改寫；計算機軟體設計的手工方式, 效率低下且生產周期長；人們至今沒有辦法事先了解一個程式有沒有錯誤, 只能在運行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便；

3、微機的普及套用是計算機病毒產生的必要環境。

1983年11月3日美國計算機專家首次提出了計算機病毒的概念並進行了驗證。幾年前計算機病毒就迅速蔓延，到我國才是近年來的事。而這幾年正是我國微型計算機普及套用熱潮。微機的廣泛普及，作業系統簡單明了，軟、硬體透明度高，基本上沒有什麼安全措施, 能夠透徹了解它內部結構的用戶日益增多，對其存在的缺點和易攻擊處也了解的越來越清楚，不同的目的可以做出截然不同的選擇。目前，在IBM PC系統及其兼容機上廣泛流行著各種病毒就很說明這個問題。

命名

電腦病毒

病毒是怎么命名的?

很多時候大家已經用防毒軟體查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數字的病毒名，這時有些人就蒙了，那么長一串的名字，我怎么知道是什麼病毒啊？

其實只要我們掌握一些病毒的命名規則，我們就能通過防毒軟體的報告中出現的病毒名來判斷該病毒的一些共有的特性了：一般格式為：<病毒前綴>.<病毒名>.<病毒後綴>

病毒前綴：是指一個病毒的種類，他是用來區別病毒的種族分類的。不同的種類的病毒，其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ，蠕蟲病毒的前綴是 Worm 等等還有其他的。

病毒名：是指一個病毒的家族特徵，是用來區別和標識病毒家族的，如以前著名的CIH病毒的家族名都是統一的“ CIH ”，振盪波蠕蟲病毒的家族名是“ Sasser ”。

病毒後綴：是指一個病毒的變種特徵，是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示，如 Worm.Sasser.b 就是指 振盪波蠕蟲病毒的變種B，因此一般稱為 “振盪波B變種”或者“振盪波變種B”。如果該病毒變種非常多，可以採用數字與字母混合表示變種標識。

主名稱：病毒的主名稱是由分析員根據病毒體的特徵字元串、特定行為或者所使用的編譯平台來定的，如果無法確定則可以用字元串”Agent”來代替主名稱，小於10k大小的檔案可以命名為“Samll”。
版本信息：版本信息只允許為數字，對於版本信息不明確的不加版本信息。
主名稱變種號：如果病毒的主行為類型、行為類型、宿主檔案類型、主名稱均相同，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位，並且都均為小寫字母a—z，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。
附屬名稱：病毒所使用的有輔助功能的可運行的檔案，通常也作為病毒添加到病毒庫中，這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種：
Client 說明：後門程式的控制端
KEY_HOOK 說明：用於掛接鍵盤的模組
API_HOOK 說明：用於掛接API的模組
Install 說明：用於安裝病毒的模組
Dll 說明：檔案為動態庫，並且包含多種功能
（空） 說明：沒有附屬名稱，這條記錄是病毒主體記錄
附屬名稱變種號：如果病毒的主行為類型、行為類型、宿主檔案類型、主名稱、主名稱變種號、附屬名稱均相同，則認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z，如果一位版本號不夠用則最多可以擴展3位，如：aa、ab、aaa、aab以此類推。由系統自動計算，不需要人工輸入或選擇。
病毒長度：病毒長度欄位只用於主行為類型為感染型（Virus）的病毒，欄位的值為數字。欄位值為0，表示病毒長度可變。
下面附帶一些常見的病毒前綴的解釋（針對我們用得最多的Windows作業系統）：
(1)系統病毒：系統病毒的前綴為：Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows作業系統的 *.exe 和 *.dll 檔案，並通過這些檔案進行傳播。如CIH病毒。
(2)蠕蟲病毒：蠕蟲病毒的前綴是：Worm。這種病毒的共有特性是通過網路或者系統漏洞進行傳播，很大部分的蠕蟲病毒都有向外傳送帶毒郵件，阻塞網路的特性。比如衝擊波（阻塞網路），小郵差（髮帶毒郵件） 等。
(3)木馬病毒、黑客病毒：木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為 Hack 。木馬病毒的共有特性是通過網路或者系統漏洞進入用戶的系統並隱藏，然後向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的，即木馬病毒負責侵入用戶的電腦，而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ訊息尾巴木馬 Trojan.QQ3344 ，還有大家可能遇見比較多的針對網路遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點，病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能（這些字母一般都為“密碼”的英文“password”的縮寫）一些黑客程式如：網路梟雄（Hack.Nether.Client）等。
(4)腳本病毒：腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語言編寫，通過網頁進行的傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.happytime）、十四日（Js.Fortnight.c.s）等。
(5)宏病毒：其實宏病毒是也是腳本病毒的一種，由於它的特殊性，因此在這裡單獨算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97（也許還有別的）其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴，格式是：Macro.Excel97；凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴，格式是：Macro.Excel，以此類推。該類病毒的共有特性是能感染OFFICE系列文檔，然後通過OFFICE通用模板進行傳播，如：著名的美麗莎（Macro.Melissa）。
(6)後門病毒：後門病毒的前綴是：Backdoor。該類病毒的共有特性是通過網路傳播，給系統開後門，給用戶電腦帶來安全隱患。
(7)病毒種植程式病毒：這類病毒的共有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。
(8)破壞性程式病毒：破壞性程式病毒的前綴是：Harm。這類病毒的共有特性是本身具有好看的圖示來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。如：格式化C糟（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。
(9)玩笑病毒：玩笑病毒的前綴是：Joke。也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖示來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒並沒有對用戶電腦進行任何破壞。如：女鬼（Joke.Girl ghost）病毒。
(10)捆綁機病毒：捆綁機病毒的前綴是：Binder。這類病毒的共有特性是病毒作者會使用特定的捆綁程式將病毒與一些應用程式如QQ、IE捆綁起來，表面上看是一個正常的檔案，當用戶運行這些捆綁病毒時，會表面上運行這些應用程式，然後隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統殺手（Binder.killsys）等。

以上為比較常見的病毒前綴，有時候我們還會看到一些其他的，但比較少見，這裡簡單提一下：
DoS：會針對某台主機或者伺服器進行DoS攻擊；
Exploit：會自動通過溢出對方或者自己的系統漏洞來傳播自身，或者他本身就是一個用於Hacking的溢出工具；
HackTool：黑客工具，也許本身並不破壞你的機子，但是會被別人加以利用來用你做替身去破壞別人。
你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況，達到知己知彼的效果。在防毒無法自動查殺，打算採用手工方式的時候這些信息會給你很大的幫助

傳染途徑

惡意病毒

計算機病毒的傳染通過哪些途徑?

計算機病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種：
（1）通過軟碟：通過使用外界被感染的軟碟, 例如, 不同渠道來的系統盤、來歷不明的軟體、遊戲盤等是最普遍的傳染途徑。由於使用帶有病毒的軟碟, 使機器感染病毒發病, 並傳染給未被感染的“乾淨”的軟碟。大量的軟碟交換, 合法或非法的程式拷貝, 不加控制地隨便在機器上使用各種軟體造成了病毒感染、泛濫蔓延的溫床。
（2）通過硬碟：通過硬碟傳染也是重要的渠道, 由於帶有病毒機器移到其它地方使用、維修等, 將乾淨的軟碟傳染並再擴散。
（3）通過光碟：因為光碟容量大，存儲了海量的執行檔，大量的病毒就有可能藏身於光碟，對唯讀式光碟，不能進行寫操作，因此光碟上的病毒不能清除。以謀利為目的非法盜版軟體的製作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光碟的泛濫給病毒的傳播帶來了很大的便利。
（4）通過網路：這種傳染擴散極快, 能在很短時間內傳遍網路上的機器。
隨著Internet的風靡，給病毒的傳播又增加了新的途徑，它的發展使病毒可能成為災難，病毒的傳播更迅速，反病毒的任務更加艱巨。Internet帶來兩種不同的安全威脅，一種威脅來自檔案下載，這些被瀏覽的或是被下載的檔案可能存在病毒。另一種威脅來自電子郵件。大多數Internet郵件系統提供了在網路間傳送附帶格式化文檔郵件的功能，因此，遭受病毒的文檔或檔案就可能通過網關和郵件伺服器湧入企業網路。網路使用的簡易性和開放性使得這種威脅越來越嚴重。

計算機病毒的傳染是否一定要滿足條件才進行?不一定。

計算機病毒的傳染分兩種。一種是在一定條件下方可進行傳染, 即條件傳染。另一種是對一種傳染對象的反覆傳染即無條件傳染。

從目前蔓延傳播病毒來看所謂條件傳染, 是指一些病毒在傳染過程中, 在被傳染的系統中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統時, 發現有自己的標誌則不再進行傳染, 如果是一個新的系統或軟體, 首先讀特定位置的值, 並進行判斷, 如果發現讀出的值與自己標識不一致, 則對這一系統或應用程式, 或數據盤進行傳染, 這是一種情況；另一種情況, 有的病毒通過對檔案的類型來判斷是否進行傳染, 如黑色星期五病毒只感染.COM或.EXE檔案等等；還有一種情況有的病毒是以計算機系統的某些設備為判斷條件來決定是否感染。例如大麻病毒可以感染硬碟, 又可以感染軟碟, 但對B驅動器的軟碟進行讀寫操作時不傳染。但我們也發現有的病毒對傳染對象反覆傳染。例如黑色星期五病毒只要發現.EXE檔案就進行一次傳染, 再運行再進行傳染反覆進行下去。

可見有條件時病毒能傳染, 無條件時病毒也可以進行傳染。

計算機病毒傳染的一般過程是什麼?

在系統運行時, 病毒通過病毒載體即系統的外存儲器進入系統的記憶體儲器, 常駐記憶體。該病毒在系統記憶體中監視系統的運行, 當它發現有攻擊的目標存在並滿足條件時, 便從記憶體中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用系統INT 13H讀寫磁碟的中斷又將其寫入系統的外存儲器軟碟或硬碟中, 再感染其他系統。

執行檔感染病毒後又怎樣感染新的執行檔?

執行檔.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入記憶體的條件是在執行被傳染的檔案時進入記憶體的。一旦進入記憶體, 便開始監視系統的運行。當它發現被傳染的目標時, 進行如下操作：
（1）首先對運行的執行檔特定地址的標識位信息進行判斷是否已感染了病毒；
（2）當條件滿足, 利用INT 13H將病毒連結到執行檔的首部或尾部或中間, 並存大磁碟中；
（3）完成傳染後, 繼續監視系統的運行, 試圖尋找新的攻擊目標。

作業系統型病毒是怎樣進行傳染的?

正常的PC DOS啟動過程是：
（1）加電開機後進入系統的檢測程式並執行該程式對系統的基本設備進行檢測；
（2）檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程式到記憶體的0000: 7C00處；
（3）轉入Boot執行；
（4）Boot判斷是否為系統盤, 如果不是系統盤則提示；
non-system disk or disk error
Replace and strike any key when ready
否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含檔案；
（5）執行IBM BIO.COM和IBM DOS.COM兩個隱含檔案, 將COMMAND.COM裝入記憶體；
（6）系統正常運行, DOS啟動成功。
如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為：
　（1）將Boot區中病毒代碼首先讀入記憶體的0000: 7C00處；
　（2）病毒將自身全部代碼讀入記憶體的某一安全地區、常駐記憶體, 監視系統的運行；
　（3）修改INT 13H中斷服務處理程式的入口地址, 使之指向病毒控制模組並執行之。因為任何一種病毒要感染軟碟或者硬碟, 都離不開對磁碟的讀寫操作, 修改INT 13H中斷服務程式的入口地址是一項少不了的操作；
　（4）病毒程式全部被讀入記憶體後才讀入正常的Boot內容到記憶體的0000: 7C00處, 進行正常的啟動過程；
　（5）病毒程式伺機等待隨時準備感染新的系統盤或非系統盤。

如果發現有可攻擊的對象, 病毒要進行下列的工作：
（1）將目標盤的引導扇區讀入記憶體, 對該盤進行判別是否傳染了病毒；
（2）當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁碟的引導區程式寫入磁碟特寫位置；
（3）返回正常的INT 13H中斷服務處理程式, 完成了對目標盤的傳染。

作業系統型病毒在什麼情況下對軟、硬碟進行感染?

作業系統型病毒只有在系統引導時進入記憶體。如果一個軟碟染有病毒, 但並不從它上面引導系統，則病毒不會進入記憶體, 也就不能活動。例如圓點病毒感染軟碟、硬碟的引導區, 只要用帶病毒的盤啟動系統後, 病毒便駐留記憶體, 對哪個盤進行操作, 就對哪個盤進行感染。

作業系統型病毒對非系統盤感染病毒後最簡單的處理方法是什麼?

因為作業系統型病毒只有在系統引導時才進入記憶體, 開始活動, 對非系統盤感染病毒後, 不從它上面引導系統, 則病毒不會進入記憶體。這時對已感染的非系統盤消毒最簡單的方法是將盤上有用的檔案拷貝出來, 然後將帶毒盤重新格式化即可。

案例1

電腦病毒

Backdoor，危害級別：1

說明： 中文名稱—“後門”， 是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程控制，而且用戶無法通過正常的方法禁止其運行。“後門”其實是木馬的一種特例，它們之間的區別在於“後門”可以對被感染的系統進行遠程控制（如：檔案管理、進程控制等）。

Worm，危害級別：2

說明： 中文名稱—“蠕蟲”，是指利用系統的漏洞、外發郵件、已分享資料夾、可傳輸檔案的軟體（如：MSN、OICQ、IRC等）、可移動存儲介質（如：隨身碟、軟碟），這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用於表示病毒所使用的傳播方式。

Mail，危害級別：1

說明：通過郵件傳播

IM，危害級別：2

說明：通過某個不明確的載體或多個明確的載體傳播自己

MSN，危害級別：3

說明：通過MSN傳播

QQ，危害級別：4

說明：通過OICQ傳播

ICQ危害級別：5

說明：通過ICQ傳播

P2P，危害級別：6

說明：通過P2P軟體傳播

IRC，危害級別：7

說明：通過ICR傳播

其他說明：不依賴其他軟體進行傳播的傳播方式，如：利用系統漏洞、已分享資料夾、可移動存儲介質。

Trojan，危害級別：3

說明： 中文名稱—“木馬”，是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行，而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的，它的利益目的也就是這種病毒的子行為。

Spy，危害級別：1

說明：竊取用戶信息（如檔案等）

PSW，危害級別：2

說明：具有竊取密碼的行為

DL，危害級別：3

說明：下載病毒並運行，判定條款：沒有可調出的任何界面,邏輯功能為:從某網站上下載檔案載入或運行。

案例2

“熊貓燒香”病毒

1．Elk Cloner（1982年）
它被看作攻擊個人計算機的第一款全球病毒，也是所有令人頭痛的安全問題先驅者。它通過蘋果Apple II軟碟進行傳播。這個病毒被放在一個遊戲磁碟上，可以被使用49次。在第50次使用的時候，它並不運行遊戲，取而代之的是打開一個空白螢幕，並顯示一首短詩。

2．Brain（1986年）
Brain是第一款攻擊運行微軟的受歡迎的作業系統DOS的病毒，可以感染感染360K軟碟的病毒，該病毒會填充滿軟碟上未用的空間，而導致它不能再被使用。

3．Morris（1988年）
Morris該病毒程式利用了系統存在的弱點進行入侵，Morris設計的最初的目的並不是搞破壞，而是用來測量網路的大小。但是，由於程式的循環沒有處理好，計算機會不停地執行、複製Morris，最終導致當機。

4．CIH（1998）
CIH病毒是迄今為止破壞性最嚴重的病毒，也是世界上首例破壞硬體的病毒。它發作時不僅破壞硬碟的引導區和分區表，而且破壞計算機系統BIOS，導致主機板損壞。 此病毒是由台灣大學生陳盈豪研製的，據說他研製此病毒的目的是紀念1986年的災難或是讓反病毒軟體難堪。

5．Melissa（1999年）
Melissa是最早通過電子郵件傳播的病毒之一，當用戶打開一封電子郵件的附屬檔案，病毒會自動傳送到用戶通訊簿中的前50個地址，因此這個病毒在數小時之內傳遍全球。

6．love bug（2000年）
Love bug也通過電子郵件附近傳播，它利用了人類的本性，把自己偽裝成一封求愛信來欺騙收件人打開。這個病毒以其傳播速度和範圍讓安全專家吃驚。在數小時之內，這個小小的電腦程式征服了全世界範圍之內的計算機系統。

7．“紅色代碼”（2001年）
被認為是史上最昂貴的計算機病毒之一，這個自我複製的惡意代碼“紅色代碼”利用了微軟IIS伺服器中的一個漏洞。該蠕蟲病毒具有一個更惡毒的版本，被稱作紅色代碼II。這兩個病毒都除了可以對網站進行修改外，被感染的系統性能還會嚴重下降。

8．“衝擊波”（2003年）
衝擊波病毒的英文名稱是Blaster，還被叫做Lovsan或Lovesan，它利用了微軟軟體中的一個缺陷，對系統連線埠進行瘋狂攻擊，可以導致系統崩潰。

9．“震盪波”（2004年）
震盪波是又一個利用Windows缺陷的蠕蟲病毒，震盪波可以導致計算機崩潰並不斷重起。

10．“熊貓燒香”（2007年）
熊貓燒香會使所有程式圖示變成熊貓燒香，並使它們不能套用。

11．“掃蕩波”(2008年)
同衝擊波和震盪波一樣，也是個利用漏洞從網路入侵的程式。而且正好在黑屏事件，大批用戶關閉自動更新以後，這更加劇了這個病毒的蔓延。這個病毒可以導致被攻擊者的機器被完全控制。

12．“母馬下載器”(2009年)
本年度的新病毒,中毒後會產生1000~2000不等的木馬病毒,導致系統崩潰,短短3天變成360安全衛士首殺榜前3名(現在位居榜首)。

預防

網路版防毒軟體部署

1、防毒軟體經常更新,以快速檢測到可能入侵計算機的新病毒或者變種。
2、使用安全監視軟體（和防毒軟體不同比如360安全衛士，瑞星卡卡）主要防止瀏覽器被異常修改，插入鉤子，安裝不安全惡意的外掛程式。
3、使用防火牆或者防毒軟體自帶防火牆。
4、關閉電腦自動播放（網上有）並對電腦和移動儲存工具進行常見病毒免疫。
5、定時全盤病毒木馬掃描。

下面推薦幾款軟體:
推薦防毒軟體：卡巴斯基，NOD32。
推薦隨身碟病毒專殺：AutoGuarder2。
推薦安全軟體：360安全衛士（可以查殺木馬）。
推薦單獨防火牆：天網，comodo，或者防毒軟體自帶防火牆。
推薦區域網路用戶使用Antiarp，防範區域網路ARP欺騙病毒（比如：磁碟機，機械狗）。
推薦使用超級巡警免疫工具。
推薦高手使用 SSM（System Safety Monitor）。

管理預防