计算机病毒种类及特征

（一）病毒种类

      从第一个病毒问世以来，病毒的种类多得已经难以准确统计。时至今日，病毒的数量仍在不断增加。据国外统计，计算机病毒数量正以10种每周的速度递增，另据我国公安部统计，国内以4~6种每月的速度在递增。计算机病毒的分类方法有很多种。因此，同一种病毒可能有多种不同的分法。

      1、按照计算机病毒侵入的系统分类

      (1) DOS系统下的病毒。这类病毒出现最早，泛滥于上世纪八、九十年代。如“小球”病毒、“大麻”病毒、“黑色星期五”病毒等，恐怕有不少40岁左右的人，都对它们记忆犹新。
      (2) Windows系统下的病毒。随着上世纪九十年代Windows的普及，Windows下的病毒便开始广泛流行。CIH病毒就是一个经典的Windows病毒之一。
      (3) UNIX系统下的病毒。当前，UNIX系统应用非常广泛，许多大型系统均采用 UNIX作为其主要的操作系统，所以UNIX下的病毒也就随之产生了。
      (4) OS/2系统下的病毒。世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不详之兆。

      2、按照病毒的攻击机型分类

      （1）攻击微型计算机的病毒。

      （2）攻击小型计算机的病毒。

      （3）攻击工作站的计算机病毒。

      3、按照计算机病毒的链接方式分类

      由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执行的部分。

      (1) 源码型病毒。这种病毒主要攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。
      (2) 嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把病毒的主体程序与其攻击的对象以插入的方式链接。
      (3) 外壳型病毒。这种病毒将其自身包围在被侵入的程序周围，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可查出。
      (4) 操作系统型病毒。这种病毒用它自己的程序代码加入或取代部分操作系统代码进行工作，具有很强的破坏力，可以使整个系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。

      4、按照计算机病毒的破坏情况分类

      按照计算机病毒对计算机破坏的严重性分可分为两类。
      (1) 良性计算机病毒。

      良性病毒是指其不包含对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些只是表现为恶作剧。这类病毒取得系统控制权后，会导致整个系统的运行效率降低，系统可用内存总数减少，使某些应用程序暂时无法执行。
      (2) 恶性计算机病毒。

      恶性病毒是指在其代码中包含损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒有很多，如米开朗基罗病毒。当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无法被恢复，造成的损失是无法挽回的。有的病毒甚至还会对硬盘做格式化等破坏操作。

      5、按照计算机病毒的寄生部位或传染对象分类

      传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，也就是根据计算机病毒的传染方式进行分类，有以下几种。

      (1) 磁盘引导型病毒。磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始(如系统启动时)就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，因此，如果对磁盘上被移走的正常引导记录不进行保护，在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。
      (2) 操作系统型病毒。操作系统是计算机应用程序得以运行的支持环境，由.SYS、.EXE和.DLL等许多可执行的程序及程序模块构成。操作系统型病毒就是利用操作系统中的一些程序及程序模块寄生并传染的病毒。通常，这类病毒成为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不完善性给这类病毒出现的可能性与传染性提供了方便。“黑色星期五”就是类病毒。
      (3) 感染可执行程序的病毒。通过可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行病毒就会被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件进行传染。
      (4) 感染带有宏的文档。随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及，病毒家族又出现了一个新成员，这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活并转移到计算机上，且驻留在Normal模板中。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且，如果其他用户打开了已感染病毒的文档，宏病毒又会转移到该用户的计算机中。

      对于以上3种病毒的分类，实际上可以归纳为两大类：一类是存在于引导扇区的计算机病毒；另一类是存在于文件的计算机病毒。

      6、按照计算机病毒激活的时间分类

      按照计算机病毒激活的时间可以分为定时的和随机的。定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

      7、按照传播介质分类

      按照计算机病毒的传播介质来分类，可分为单机病毒和网络病毒。
      (1) 单机病毒
      单机病毒的载体是磁盘，一般情况下，病毒从USB盘、移动硬盘传入硬盘，感染系统，然后再传染其他USB盘和移动硬盘，接着传染其他系统，例如，CIH病毒。
      (2) 网络病毒
      网络病毒的传播介质不再是移动式存储载体，而是网络通道，这种病毒的传染能力更强，破坏力更大，例如，“尼姆达”病毒。网络病毒危害性非常大，感染病毒的电脑有两种表现形式：一个是电脑系统出问题；二是上网时电脑出问题，使得用户的主页固定在那个病毒的网页上，用户每开一次IE，就自动链接到病毒的网站上，继续感染病毒，而且用户自己没有办法将主页恢复成自己原来的主页。