计算机病毒（Computer Virus）指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。

计算机病毒具有传染性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

简介

发展历史

定义

《中华人民共和国计算机信息系统安全保护条例》明确定义，计算机病毒（Computer Virus）是指 “编制的或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是一段特殊的计算机程序，可以在瞬间损坏系统文件，使系统陷入瘫痪，导致数据丢失。病毒程序的目标任务就是破坏计算机信息系统程序、毁坏数据、强占系统资源、影响计算机的正常运行。在通常情况下，病毒程序并不是独立存储于计算机中的，而是依附（寄生）于其他的计算机程序或文件中，通过激活的方式运行病毒程序，对计算机系统产生破坏作用。

计算机病毒是一个程序，一段可执行码 ,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。

除复制能力外，某些计算机病毒还有其它一些共同特性：一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

特点

计算机病毒具有以下几个特点

（1） 寄生性 

计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

（2） 传染性 

 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。

（3） 潜伏性 

有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。

（4） 隐蔽性 

计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

中毒症状

计算机受到病毒感染后，会表现出不同的症状，下边把一些经常碰到的现象列出来，供用户参考。

（1） 机器不能正常启动

加电后机器根本不能启动，或者可以启动，但所需要的时间比原来的启动时间变长了。有时会突然出现黑屏现象。

（2） 运行速度降低

如果发现在运行某个程序时，读取数据的时间比原来长，存文件或调文件的时间都增加了，那就可能是由于病毒造成的。

（3） 磁盘空间迅速变小

由于病毒程序要进驻内存，而且又能繁殖，因此使内存空间变小甚至变为“0”，用户什么信息也进不去。

（4） 文件内容和长度有所改变

一个文件存入磁盘后，本来它的长度和其内容都不会改变，可是由于病毒的干扰，文件长度可能改变，文件内容也可能出现乱码。有时文件内容无法显示或显示后又消失了。

（5） 经常出现“死机”现象

正常的操作是不会造成死机现象的，即使是初学者，命令输入不对也不会死机。如果机器经常死机，那可能是由于系统被病毒感染了。

（6） 外部设备工作异常

因为外部设备受系统的控制，如果机器中有病毒，外部设备在工作时可能会出现一些异常情况，出现一些用理论或经验说不清道不明的现象。 以上仅列出一些比较常见的病毒表现形式，肯定还会遇到一些其他的特殊现象，这就需要由用户自己判断了。

传播方式

 计算机病毒的传播方式主要包括以下几种：

（1） 存储介质。包括软盘、硬盘、磁带、移动U盘和光盘等。在这些存储设备中，尤其以软盘和移动U盘是使用最广泛的移动设备，也是病毒传染的主要途径之一。

（2） 网络。随着Internet技术的迅猛发展，Internet在给人们的工作和生活带来极大方便的同时，也成为病毒滋生与传播的温床，当人们从Internet下载或浏览各种资料的同时，病毒可能也就伴随这些有用的资料侵入用户的计算机系统。

（3） 电子邮件。当电子邮件（email）成为人们日常生活和工作的重要工具后，电子邮件病毒无疑是病毒传播的最佳方式，近几年出现的危害性比较大的病毒几乎全是通过电子邮件方式传播。

类型

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波(阻塞网络)，小邮差(发带毒邮件) 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如：网络枭雄(Hack.Nether.Client)等。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.happytime)、十四日(Js.Fortnight.c.s)等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。

8.破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。

9.玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼(Joke.Girlghost)病毒。

10.捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。

分类

按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。最常见的分类方法是按照寄生方式和传染途径分类。计算机病毒按其寄生方式大致可分为两类，一是引导型病毒， 二是文件型病毒；混合型病毒集两种病毒特性于一体。

引导型病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区（BOOT SECTOR）的内容， 软盘或硬盘都有可能 感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。

文件型病毒主要以感染文件扩展名为 .COM、.EXE和，.OVL等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。

混合型病毒综合系统型和文件型病毒的特性，它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机或执行程序而感染其他的磁盘或文件，此种病毒也是最难杀灭的。

宏病毒：随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及，病毒家族又出现一种新成员， 这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。据美国国家计算机安全协会统计，这位“后起之秀”已占目前全部病毒数量的80％以上。另外，宏病毒还可衍生出各种变形变种病毒，这种“父生子子生孙”的传播方式实在让许多系统防不胜防，这也使宏病毒成为威胁计算机系统的“第一杀手”。

1.按照病毒的破坏情况分类

（1） 良性病毒

良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。

（2） 恶性计算机病毒

恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这类病毒是最多的。

2.按照计算机病毒攻击的系统分类 

（1）攻击DOS系统的病毒。这类病毒出现最早。

（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务操作系统深受用户的欢迎，因此是病毒最多的一种。

（3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。

（4）攻击OS/2系统的病毒。

3.按照病毒的攻击机型分类 

（1）攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。

（2）攻击小型机的计算机病毒。

（3）攻击工作站的计算机病毒。

4.按照计算机病毒的链接方式分类

由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的主要对象是计算机系统的可执行程序。

（1） 源码型病毒。这种病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为可执行程序的一部分。

（2） 嵌入型病毒。这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。

（3） 外壳型病毒。外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，只要测试文件的大小即可发现。

（4） 操作系统型病毒。这种病毒用它自已的程序加入或取代操作系统的部分模块进行工作。它们在运行时，用自己的处理逻辑取代操作系统的部分原程序模块，当被取代的操作系统模块被调用时，病毒程序得以运行。操作系统型病毒具有很强的破坏力，可以导致整个系统的瘫痪。

5.按照计算机病毒的寄生部位或传染对象分类

根据寄生部位或传染对象分类，可以分为以下几种。

（1）磁盘引导区传染的计算机病毒

磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。

（2）操作系统传染的计算机病毒

操作系统是一个计算机系统得以运行的支持环境，它包括.com、.exe等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前广泛存在，“黑色星期五”即为此类病毒。

（3）可执行程序传染的计算机病毒

可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。

6.按照传播媒介分类

按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。

（1） 单机病毒

单机病毒的载体是磁盘，常见的是病毒从软盘或U盘传入硬盘，感染系统，然后再传染其他软盘或U盘，再传染其他系统。

（2） 网络病毒

网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

防治原则

“常在河边走，哪能不湿脚”，交换文件，上网冲浪，收发邮件都有可能感染病毒。遵循以下原则，防患于未然。

一是建立正确的防毒观念，学习有关病毒与反病毒知识。

二是不是随便下载网上的软件。尤其是不要下载那些来自无名网站的免费软件，因为这些软件无法保证没有被病毒感染。

三是不要使用盗版软件。

四是不要随便使用别人的软盘或光盘。尽量做到专机专盘专用。

五是使用新设备和新软件之前要检查。

六是使用反病毒软件。及时升级反病毒软件的病毒库，开启病毒实时监控。

七是有规律地制作备份。要养成备份重要文件的习惯。

八是制作一张无毒的系统软盘。制作一张无毒的系统盘，将其写保护，妥善保管，以便应急。

九是制作应急盘/急救盘/恢复盘。按照反病毒软件的要求制作应急盘/急救盘/恢复盘，以便恢复系统急用。在应急盘/急救盘/恢复盘上存储有关系统的重要信息数据，如硬盘主引导区信息、引导区信息、CMOS的设备信息等以及DOS系统的COMMAND.COM和两个隐含文件。

十是一般不要用软盘启动。如果计算机能从硬盘启动，就不要用软盘启动，因为这是造成硬盘引导区感染病毒的主要原因。

十一是注意计算机有没有异常症状。

十二是发现可疑情况及时通报以获取帮助。

十三是重建硬盘分区，减少损失。若硬盘资料已经遭到破坏，不必急着格式化，因病毒不可能在短时间内将全部硬盘资料破坏，故可利用“灾后重建”程序加以分析和重建。

防治技术

 1.病毒防治策略

要采用预防为主，管理为主，清杀为辅的防治策略。

（1） 不使用来历不明的移动存储设备（如软盘、光盘、优盘等），不浏览一些格调不高的网站、不阅读来历不明的邮件。

（2） 系统备份。要经常备份系统，防止万一被病毒侵害后导致系统崩溃。

（3） 安装防病毒软件。

（4） 经常查毒、杀毒。

2.杀毒软件

如国外的有Norton系列等，国内有瑞星、公安部的KILL、超级巡警KV3000、金山毒霸等等，其技术在不断更新，版本在不断升级。

杀毒软件一般由查毒、杀毒及病毒防火墙三部分组成。

（1）查毒过程。反病毒软件对计算机中的所有存储介质进行扫描，若遇某文件中某一部分代码与查毒软件中的某个病毒特征值相同时，就向用户报告发现了某病毒。

由于新的病毒还在不断出现，为保证反病毒程序能不断认识这些新的病毒程序，反病毒软件供应商会及时收集世界上出现的各种病毒，并建立新的病毒特征库向用户发布，用户下载这种病毒特征库才有可能抵御网络上层出不穷的病毒的侵袭。

（2）杀毒过程。在设计杀毒软件时，按病毒感染文件的相反顺序写一个程序，以清除感染病毒，恢复文件原样。

（3）病毒防火墙。当外部进程企图访问防火墙所防护的计算机时，或者直接阻止这样的操作，或者询问用户并等待用户命令。

当然，杀毒软件具有被动性，一般需要先有病毒及其样品才能研制查杀该病毒的程序，不能查杀未知病毒，有些软件声称可以查杀新的病毒，其实也只能查杀一些已知病毒的变种，而不能查杀一种全新的病毒。迄今为止还没有哪种反病毒软件能查杀现存的所有病毒，更无须说新的病毒。

3.网络病毒的防治

（１）基于工作站的防治技术。工作站就像是计算机网络的大门，只有把好这道大门，才能有效防止病毒的侵入。工作站防治病毒的方法有三种：一是软件防治，即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一，可以更加实时有效地保护工作站及通向服务器的桥梁。实际应用中应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。

（２）基于服务器的防治技术。网络服务器是计算机网络的中心，是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块，以提供实时扫描病毒的能力。有时也结合在服务器上安装防毒卡的技术，目的在于保护服务器不受病毒的攻击，从而切断病毒进一步传播的途径。

（３）加强计算机网络的管理。计算机网络病毒的防治，单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的，只有把技术手段和管理机制紧密结合起来，提高人们的防范意识，才有可能从根本上保护网络系统的安全运行。首先应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度，对网络系统的管理员及用户加强法制教育和职业道德教育，规范工作程序和操作规程，严惩从事非法活动的集体和个人。其次，应有专人负责具体事务，及时检查系统中出现病毒的症状，在网络工作站上经常做好病毒检测的工作。

网络病毒防治最重要的是：应制定严格的管理制度和网络使用制度，提高自身的防毒意识；应跟踪网络病毒防治技术的发展，尽可能采用行之有效的新技术、新手段，建立“防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳网络病毒安全模式。