计算机病毒的类型

9.1.3　计算机病毒的类型

对计算机病毒的命名，各个组织或公司不尽相同。有时对同一种病毒，不同的软件会报出不同的名称。如“SPY”病毒，KILL起名为SPY，KV3000则叫“TPVO-3783”。给病毒起名的方法不外乎以下几种：按病毒出现的地点，如“ZHENJIANG＿JES”，其样本最先来自镇江某用户；按病毒中出现的人名或特征字符，如“ZHANGFANG-1535”，“DISK KILLER”，“上海一号”；按病毒发作时的症状命名，如“火炬”、“蠕虫”；按病毒的发作时间，如“黑色星期五”病毒，在星期五同时又是13日的那天就发作；有些名称包含病毒代码的长度，如“PIXEL.xxx”系列，“KO.xxx”等。

1.按传染方式分为引导型、文件型和混合型病毒

引导型病毒利用软盘或硬盘的启动原理工作，它们修改系统的引导扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，在系统存取操作磁盘时进行传播，影响系统工作效率。

文件型病毒一般只传染磁盘上的可执行文件.COM，.EXE等。在用户调用染毒的执行文件时，病毒首先运行，然后病毒驻留内存，伺机传染给其他文件或直接传染其他文件。其特点是附着在正常程序文件中，成为程序文件的一个外壳或部件。这是较为常见的传染方式。

宏病毒是近几年才出现的，按方式分类属于文件型病毒。

混合型病毒兼有上两种病毒特点，既感染引导区又感染文件，因此这种病毒更易传染（如1997年国内流行较广的“TPVO-3783（SPY）”）。

2.按连接方式分为源码型、入侵型、操作系统型和外壳型病毒

源码型病毒较为少见，亦难编写、传播。因为它要攻击高级语言编写的源程序，就需在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。这样刚刚生成的可执行文件便已经带毒了。

入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以发现和清除。

操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。

外壳型病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部分的文件型病毒都属于这一类。

3.按破坏性可分为良性病毒和恶性病毒

良性病毒只是为了表现其存在，如只显示某项信息或播放一段音乐，对源程序不作修改，也不直接破坏计算机的软硬件，对系统的危害较小。但是这类病毒的潜在破坏还是有的，它使内存空间减少，占用磁盘空间，与操作系统和应用程序争抢CPU的控制权，降低系统运行效率等。

而恶性病毒则会对计算机的软件和硬件进行恶意的攻击，使系统遭到不同程度的破坏，如封锁、干扰、中断输入输出、使用户无法打印等正常工作，甚至能使电脑中止运行、破坏数据、删除文件、格式化磁盘、破坏主板、导致系统死机、网络瘫痪等。因此恶性病毒非常危险。其中还可细分出极恶性病毒：死机、系统崩溃、删除普通程序或系统文件，破坏系统配置导致系统无法重启等。灾难性病毒：破坏分区表信息、主引导信息、FAT，删除数据文件，甚至格式化硬盘等。

4.网络病毒

指基于在网上运行和传播，影响和破坏网络系统的病毒。

应该指出，上面这些分类是相对的，同一种病毒按不同分类可属于不同类型。