計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。

　　計算機病毒的產(chǎn)生通常是出于以下幾種目的：

　　(1)惡作劇者或自以為有才能的制造者。

　　(2)心懷不滿的報復者。

　　(3)軟件開發(fā)者為了追蹤非法拷貝軟件的行為，故意在軟件中加入病毒，只要他人非法拷貝，便會帶上病毒。

　　計算機病毒一般具有如下特點，

　　1．傳染性

　　傳染性是病毒的最基本特征，是判斷一段程序代碼是否為計算機病毒的依據(jù)。計算機病毒可以通過各種渠道從已經(jīng)被感染的計算機擴散到未被傳染的計算機，使被傳染的計算機工作失常甚至癱瘓，病毒程序一旦侵入計算機系統(tǒng)就開始尋找可以傳染的程序或者磁介質(zhì)，然后通過自我復制迅速傳播。由于目前計算機網(wǎng)絡日益發(fā)達，計算機病毒的傳播更為迅速，破壞性更大。

　　2．破壞性

　　計算機病毒不僅占用系統(tǒng)資源，還可以刪除或者修改文件或數(shù)據(jù)，加密磁盤中的一些數(shù)據(jù)、格式化磁盤、降低運行效率或者中斷系統(tǒng)運行，甚至使整個計算機網(wǎng)絡癱瘓，造成災難性的后果。計算機病毒的破壞性直接體現(xiàn)了病毒設計者的真正的意圖。

　　3．潛伏性

　　一個編制精巧的計算機病毒程序進入系統(tǒng)之后不會立即發(fā)作，可以在幾周甚至幾年內(nèi)隱藏在合法文件中，對其他文件進行傳染，而不被人發(fā)現(xiàn)，只有條件滿足時才被激活，開始進行破壞性活動。潛伏性越好，它在系統(tǒng)中的時間就會越長，病毒的傳染范圍就會越大，它的危害也就越大。

　　4．可觸發(fā)性

　　病毒因某個事件或者數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。病毒的觸發(fā)機制用來控制感染和破壞動作的頻率。病毒具有預定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或者某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機制檢查預定條件是否滿足，如果滿足，啟動感染或破壞動作；如果不滿足，病毒則繼續(xù)潛伏。

　　5．衍生性

　　病毒的傳染性和破壞性是病毒設計者的目的和意圖。但是，如果被其他一些惡作劇者或者惡意攻擊者所模仿，從而衍生出不同于原版本的新的計算機病毒(又稱為變種)，這就是計算機病毒的衍生性。這種變種病毒造成的后果可能要比原版病毒要嚴重很多。

　　除了以上這些特點外，計算機病毒還有其他的一些特點，比如攻擊的主動性、病毒執(zhí)行的非授權(quán)性、病毒的欺騙性、病毒的持久性、病毒檢測的不可預見性、病毒對不同操作系統(tǒng)的針對性等。計算機病毒的這些特點，決定了病毒難以被發(fā)現(xiàn)，難以被清除，危害持久。

　　根據(jù)計算機病毒的特點，計算機病毒的分類方法有許多種。

　　1．按照病毒的破壞能力分類

　　(1)無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其他影響。

　　(2)無危險型：這類病毒僅僅會減少內(nèi)存、顯示圖像、發(fā)出聲音等。

　　(3)危險型：這類病毒計算機在系統(tǒng)操作中造成嚴重的錯誤。

　　(4)非常危險型：這類病毒可以刪除程序、破壞數(shù)據(jù)、消除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中一些重要的信息。

　　這些病毒對系統(tǒng)造成的危害，并不完全是本身的算法中存在危險的調(diào)用，而是當它們傳染時會引起無法預料的破壞。由病毒引起其他的程序產(chǎn)生的錯誤也會破壞文件。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其他操作系統(tǒng)造成破壞。例如，在早期的病毒中，有一個“Denzuk”病毒在360KB磁盤上不會造成任何破壞，但在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。

　　2．根據(jù)病毒特有的算法分類

　　(1)伴隨型病毒：這一類病毒并沒有改變本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名(COM)，例如，xcopy．exe的伴隨體是xcopy．com。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。

　　(2)蠕蟲型病毒：主要通過計算機網(wǎng)絡進行傳播，不改變文件和資料信息，利用網(wǎng)路從一臺機器的內(nèi)存?zhèn)鞑サ狡渌麢C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。這種病毒一般除了內(nèi)存外不占用其他的資源。

　　(3)變型病毒：又被稱為幽靈病毒。這類病毒使用了一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的做法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。

　　3．根據(jù)病毒的傳染方式分類

　　(1)文件型病毒：文件型病毒是指能夠感染文件、并能通過被感染的文件進行傳染擴散的計算機病毒。這種病毒主要感染文件為可執(zhí)行性文件(擴展名為c0M、ExE等)和文本文件(擴展名為DOC、XLS等)。前者通過實施傳染，后者則通過wbrd或Excel等軟件在調(diào)用文檔中的“宏”病毒指令實施感染和破壞。已感染病毒文件執(zhí)行速度會減慢，甚至完全無法執(zhí)行。有些文件被感染后，一旦執(zhí)行就會遭到刪除。感染病毒的文件被執(zhí)行后，病毒通常會趁機對下一個文件進行感染。

　　(2)系統(tǒng)引導型病毒：這類病毒隱藏在硬盤或軟盤的引導區(qū)，當計算機從感染了引導區(qū)病毒的硬盤或者軟盤啟動，或者當計算機從受感染的磁盤中讀取數(shù)據(jù)時，引導區(qū)病毒就會開始發(fā)作。一旦加載系統(tǒng)，啟動時病毒會將自己加載在內(nèi)存中，然后就開始感染其他被執(zhí)行的文件。早期出現(xiàn)的大麻病毒、小球病毒就屬于此類。

　　(3)混合型病毒：混合型病毒綜合了系統(tǒng)引導型和文件型病毒的特性，它的危害比系統(tǒng)引導型和文件型病毒更為嚴重。這種病毒不僅感染系統(tǒng)引導區(qū)，也感染文件，通過這兩種方式來感染，更增加了病毒的傳染性以及存活率。不管以哪種方式傳染，都會在開機或執(zhí)行程序時感染其他的磁盤或文件。所以，這種病毒也是最難殺滅的。

　　(4)宏病毒：宏病毒是一種寄存于文檔或模板的宏中的計算機病毒，主要利用MicrosoR word提供的宏功能來將病毒帶進到帶有宏的Doc文檔中一一旦打開這樣的文檔，宏病毒就會被激活，進人計算機內(nèi)存中，并駐留在Nonnal模板上。從此以后，所有自動保存的文檔都會感染上這種宏病毒。如果網(wǎng)上其他用戶打開了感染病毒的文檔，宏病毒就會被傳染到其他計算機上。病毒的傳播速度很快，對系統(tǒng)和文件都可以造成破壞。

　　計算機病毒的傳染性是計算病毒最基本的特點。病毒的傳染性是病毒賴以生存繁殖的條件，如果計算機病毒沒有傳播渠道，則其破壞性小，擴散而窄，難以造成大面積的流行。計算機病毒必須要“搭載”到計算機上才能感染系統(tǒng)，通常它們是附加到某個文件上，

　　計算機病毒的傳播主要通過文件復制、文件傳送、文件執(zhí)行等方式進行，文件復制與文件傳送需要傳輸媒介，文件執(zhí)行則是病毒感染的必然途徑(Word、Excel等宏病毒通過Word、Excel調(diào)用間接地執(zhí)行)，因此，病毒傳播與文件傳輸媒體的變化有著直接的關(guān)系、據(jù)有關(guān)資料報道，計算機病毒出現(xiàn)在20世紀70年代，那是由于計算機還未普及，所以，病毒造成的破壞和對社會公眾造成的影響還不是十分大。1986年巴基斯坦智囊病毒的廣泛傳播，則把病毒對PC的威脅實實在在地擺在了人們的面前。1987年黑色星期五大規(guī)模肆虐于全世界各國的IBMPC及其兼容機之中，造成了相當大的病毒恐慌。這些計算機病毒如同其他計算機病毒一樣，最基本的特性就是它的傳染性。通過認真研究各種計算機病毒的傳染途徑，有的放矢地采取有效措施，必定能在對抗計算機病毒的斗爭中占據(jù)有利地位，更好地防止病毒對計算機系統(tǒng)地侵襲。計算機病毒的傳播途徑主要有以下幾種。

　　(1)軟盤傳播：通過移動存儲沒備來傳播，這些設備主要包括軟盤、光盤、u盤等在移動存儲設備中，軟盤是使用最廣泛、移動最頻繁的存儲介質(zhì)，因此也成了計算機病毒寄生的“溫床”。以前，大多數(shù)計算機都是從這類途徑感染病毒的。

　　(2)硬件設備傳播：通過不可移動的計算機硬件設備進行傳播，這些設備通常有計算機的專用的ASIC芯片和硬盤等。由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的硬盤感染并再擴散。這種病毒雖然極少，但破壞力卻極強，目前尚沒有較好的檢測手段來預防。

　　(3)網(wǎng)絡傳播：目前通過網(wǎng)絡應用(如電子郵件、文件下載、網(wǎng)頁瀏覽)進行傳播已經(jīng)成為計算機病毒傳播的主要方式。最近幾個傳播很廣的病毒如“愛蟲”、“紅色代碼”、“尼姆達”無一例外都選擇了網(wǎng)絡作為主要傳播途徑。國際計算機安全協(xié)會(International Computer Security Association，ICSA)所公布的《2000年度病毒傳播趨勢報告》顯示，電子郵件已躍升為計算機病毒最主要的傳播媒介，感染率由1998年的32％、1999年的56％，大幅度增長至2000年的87％。

　　(4)BBs電子布告欄(BBs)：因為上站容易、投資少，因此深受大眾用戶的喜愛。BBs是由計算機愛好者自發(fā)組織的通信站點，用戶可以在BBs上進行交換(包括自由軟件、游戲、自編程序)。南于BBs站一般沒有嚴格的安全管理，也無任何限制，這樣就給一些病毒程序編寫者提供了傳播病毒的場所。各城市BBs站問通過中心站間進行傳送，傳播面較廣。隨著BBs在國內(nèi)的普及，給病毒的傳播又增加了新的介質(zhì)。

　　計算機病毒的危害可以分為對計算機網(wǎng)絡系統(tǒng)的危害和對微型計算機系統(tǒng)的危害兩方面。下面根據(jù)當前掌握的情況介紹如下。

　　1．計算機病毒對網(wǎng)絡系統(tǒng)的危害

　　(1)病毒程序通過“自我復制”傳染正在行動其它程序的系統(tǒng)，并與正常運行的程序爭奪系統(tǒng)的資源，使系統(tǒng)癱瘓。

　　(2)病毒程序可在發(fā)作時沖毀系統(tǒng)存儲器中的大量數(shù)據(jù)，致使計算機及其用戶的數(shù)據(jù)丟失，蒙受巨大損失。

　　(3)病毒程序不僅侵害使用的計算機系統(tǒng)，而且通過網(wǎng)絡侵害與之聯(lián)網(wǎng)的其它計算機系統(tǒng)。

　　(4)病毒程序可導致計算機控制的空中交通指揮系統(tǒng)失靈，使衛(wèi)星、導彈失控．使銀行金融系統(tǒng)癱瘓，使自動生產(chǎn)線控制紊亂等。

　　2．計算機病毒對微型機系統(tǒng)的危害

　　(1)破壞磁盤的文件分配表或目錄區(qū)，使用戶磁盤上的信息丟失。

　　(2)刪除軟、硬盤上可執(zhí)行文件或覆蓋文件。

　　(3)將非法數(shù)據(jù)寫DOS內(nèi)存參數(shù)區(qū)，引起系統(tǒng)崩潰。

　　(4)修改或破壞文件和數(shù)據(jù)。

　　(5)影響內(nèi)存常駐程序的正常執(zhí)行。

　　(6)在磁盤上標記虛假的壞簇，從而破壞有關(guān)的程序或數(shù)據(jù)。

　　(7)更改或重新寫入磁盤的卷標號。

　　(8)對可執(zhí)行文件反復傳染拷貝，造成磁盤存貯空間減少，并影響系統(tǒng)運行效率。

　　(9)對整個磁盤進行特定的格式化，破壞全盤的數(shù)據(jù)。

　　(10)使系統(tǒng)空掛，造成顯示器鍵盤被封鎖的狀態(tài)。

　　從本質(zhì)上來說，計算機病毒是一段程序代碼，雖然它可以隱藏得很好，但也會留下很多得蛛絲馬跡通過對這些蛛絲馬跡的分析和判別，我們就可以發(fā)現(xiàn)這些病毒的存在了。根據(jù)計算機病毒感染和發(fā)作的階段，可以將計算機的表現(xiàn)分為j大類，即計算機病毒發(fā)作前、發(fā)作時和發(fā)作后的表現(xiàn)。

　　1．計算機病毒發(fā)作前的表現(xiàn)

　　計算機病毒發(fā)作前，是指從計算機感染計算機系統(tǒng)、潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足，計算機病毒發(fā)作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法隱藏自己，在不被發(fā)現(xiàn)的同時，又自我復制，以各種手段進行傳播。以下是一些計算機病毒發(fā)作前常見的表現(xiàn)。

　　(1)平時運行正常的計算機突然經(jīng)常性無緣無故地死機。病毒感染了計算機系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷程序，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生。

　　(2)操作系統(tǒng)無法正常啟動。關(guān)機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導所致。

　　(3)以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤。某個以前能夠正常運行的程序，在系統(tǒng)啟動的時候報告系統(tǒng)內(nèi)存不足，或者使用應用程序中的某個功能時報告內(nèi)存不足。這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減少。

　　(4)以前正常運行的應用程序經(jīng)常發(fā)生死機或者非法錯誤。在硬件和操作系統(tǒng)沒有做任何改動的情況下，以前能夠正常運行的應用程序發(fā)生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應用程序后破壞了應用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的。

　　(5)系統(tǒng)文件的時間、日期、大小發(fā)生變化，這是最明顯的計算機病毒感染跡象。計算機病毒感染應用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問、修改日期和時間也會被改成感染時的時間。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會修改它們的，除非是進行系統(tǒng)升級或打補丁。對應用程序使用到的數(shù)據(jù)文件，文件大小和修改日期、時間可能會改變，并不一定是計算機病毒在作怪。

　　(6)磁盤空間迅速減少。沒有安裝新的應用程序，而系統(tǒng)可用的磁盤空間減少得很快。這可能是計算機病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁、回收站中的文件過多、臨時文件夾下的文件數(shù)量過多過大、計算機系統(tǒng)有過意外斷電等情況，也可能會造成可用的磁盤空間迅速減少。

　　除了上述幾點表現(xiàn)外，打印和通信發(fā)生異常、無意中要求對軟盤進行寫操作和陌生人發(fā)來的電子郵件等，也可能是計算機病毒發(fā)作前的表現(xiàn)?？梢愿鶕?jù)以上幾點來初步判斷計算機是否感染上了計算機病毒。

　　2．計算機病毒發(fā)作時的表現(xiàn)

　　計算機病毒發(fā)作時是指滿足計算機病毒發(fā)作的條件后，計算機病毒程序開始進行破壞行為的階段。計算機病毒發(fā)作時的表現(xiàn)大多各不相同，這與編寫計算機病毒者的目的、所采用的技術(shù)手段等有著密切的關(guān)系。以下是一些計算機病毒發(fā)作時常見的表現(xiàn)。

　　(1)系統(tǒng)運行速度明顯變慢一在硬件設備沒有損壞或者更換的情況下，本來運行速度很快的計算機，在運行同樣應用程序時，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒發(fā)作時占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。

　　(2)硬盤瀆寫指示燈不斷閃爍。硬盤讀寫指示燈閃爍說明有硬盤讀寫操作。當對硬盤有持續(xù)大量的操作時，硬盤的讀寫指示燈就會不斷的閃爍，比如格式化硬盤或者寫入很大的文件。有的計算機病毒會在發(fā)作的時候反復讀取某個文件或者不斷地進行自身病毒文件的復制并寫入硬盤。

　　(3)自動鏈接到一些陌生的網(wǎng)站。有些病毒在運行時，會自動打開瀏覽器并訪問Intemet上某個或多個陌生的網(wǎng)站或者建立隱藏的網(wǎng)絡鏈接，占用大量的網(wǎng)絡帶寬，致使計算機用戶在訪問網(wǎng)絡時速度變慢。

　　(4)自動發(fā)送電子郵件。大多數(shù)電子郵件計算機病毒都采用自動發(fā)送電子郵件的方法作為傳播手段，也有的電子郵件計算機病毒在某一特定的時刻向同一個郵件服務器發(fā)送大量無用的信件，以阻塞該郵件服務器的正常服務功能。

　　(5)計算機突然死機或重啟。有些計算機病毒程序因為具有程序兼容性的問題，在病毒運行時會要求系統(tǒng)重新啟動以加載其所需要的系統(tǒng)組件，從而對計算機系統(tǒng)進行更深層次的破壞。

　　(6)彈出一些毫不相干的信息。有些惡作劇式的計算機病毒發(fā)作時，會自動彈出一些無用的信息、播放一段音樂、產(chǎn)生特定的圖像、提一些智力問答題等。這類病毒一般都是良性的，不會有破壞操作。

　　3．計算機病毒發(fā)作后的表現(xiàn)

　　通常情況下，計算機病毒發(fā)作都會給計算機系統(tǒng)帶來破壞性的后果，那種只有惡作劇式的良性計算機病毒只是計算機病毒家族中很小的一部分。大多計算機病毒都是屬于惡性計算機病毒。惡性計算機病毒發(fā)作后往往會帶來很大的損失，以下是一些惡性計算機病毒發(fā)作后所造成的后果。

　　(1)系統(tǒng)無法啟動，數(shù)據(jù)丟失。計算機病毒破壞了硬盤的引導扇區(qū)后，就無法從硬盤啟動計算機系統(tǒng)了。有些計算機病毒篡改了硬盤的關(guān)鍵內(nèi)容(如硬盤分配表、根目錄區(qū)等)，使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。

　　(2)部分文檔丟失或者破壞。類似系統(tǒng)文件的丟失或者被破壞，有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔，造成數(shù)據(jù)的丟失。

　　(3)部分文檔自動加密碼。還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件將被加密。如果內(nèi)存中駐留由這種計算機病毒，那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密，使用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復了。

　　(4)網(wǎng)絡癱瘓，無法提供正常的服務。

　　由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統(tǒng)時要立即報警并清除，才能確保系統(tǒng)安全，待計算機病毒發(fā)作后再去殺毒，實際上已經(jīng)為時已晚。