1.1.4 計算機病毒的分類

從第一個病毒問世以來，病毒的種類多得已經難以準確統計。時至今日，病毒的數量仍在不斷增加。據國外統計，計算機病毒數量正以每周10種的速度遞增，另據我國公安部統計，國內以每月4～6種的速度在遞增。計算機病毒按照其不同的特點及特性有許多種分類方法。由于同一種病毒可能同時具備多種特征，因此在分類隸屬關系上會產生交叉。

1.按照計算機病毒侵入的系統分類

（1）DOS系統下的病毒

這類病毒出現最早，泛濫于20世紀80～90年代。如“小球”病毒、“大麻”病毒、“黑色星期五”病毒等，恐怕有不少40歲左右的人，都對它們記憶猶新。

（2）Windows系統下的病毒

隨著20世紀90年代Windows的普及，Windows下的病毒便開始廣泛流行。CIH病毒就是經典的Windows病毒之一。

（3）UNIX系統下的病毒

當前，UNIX系統應用非常廣泛，許多大型系統均采用UNIX作為其主要的操作系統，所以UNIX下的病毒也就隨之產生了。

（4）OS/2系統下的病毒。

OS/2是由微軟和IBM公司共同創造，后來由IBM單獨開發的一套操作系統。OS/2是“Operating System/2”的縮寫，是因為該系統作為IBM第二代個人計算機PS/2系統產品線的理想操作系統引入的。

不過IBM宣布自2005年12月23日開始，不再銷售和支持OS/2系統。OS/2的支持者要求IBM將OS/2的源碼開放，盡管目前OS/2仍然擁有部分市場，但是IBM聲稱，從2006年開始，需要進行特殊預約才可以獲得進一步的技術支持。OS/2所有產品的銷售將于2006年12月23日停止，而多任務操作系統也將于12月31日前停止銷售，并開始向Linux系統轉移。對于IBM來說，這不是什么壞消息；因這種產品已銷售20多年時間，但從OS/2 Presentation Manager到Warp，每一款產品都受到了微軟的擠壓。

在隨后版本的OS/2中也引入了LX（Linear eXecutable，線性可執行文件）文件格式。在這種文件格式上實現的病毒并不是很多，不過仍然有少量這種病毒，例如，一種非常簡單的、具有重寫功能的OS2/Myname病毒。Myname使用了一些系統調用，如DosFindFirst()、DosFindNext()、DosOpen()、DosRead()和DosWrite()，來確定可執行文件的位置，然后用它自己重寫可執行文件。這種病毒在當前目錄中尋找具有可執行文件擴展名的文件，在感染之前并不識別OS/2 LX文件，僅僅是將所有的文件用其自身的副本來重寫。盡管如此，OS2/Myname病毒仍然對LX文件格式和OS/2環境有著依賴性，因為執行過程證實，這種病毒本身就是LX格式的可執行文件。

2.按照計算機病毒的鏈接方式分類

（1）源碼型病毒

這種病毒主要攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到源程序中，經編譯成為合法程序的一部分。

（2）嵌入型病毒

這種病毒是將自身嵌入到現有程序中，把病毒的主體程序與其攻擊的對象以插入的方式鏈接。

（3）外殼型病毒

這種病毒將其自身包圍在被侵入的程序周圍，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發現，一般測試文件的大小即可查出。

（4）操作系統型病毒

這種病毒用它自己的程序代碼加入或取代部分操作系統代碼進行工作，具有很強的破壞力，可以使整個系統癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。

3.按照計算機病毒的寄生部位或傳染對象分類

傳染性是計算機病毒的本質屬性，根據寄生部位或傳染對象分類，也就是根據計算機病毒的傳染方式進行分類，有以下幾種。

（1）磁盤引導型病毒

磁盤引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄，而將正常的引導記錄隱藏在磁盤的其他地方。由于引導區是磁盤能正常使用的先決條件，因此，這種病毒在運行的一開始（如系統啟動時）就能獲得控制權，其傳染性較大。由于在磁盤的引導區內存儲著需要使用的重要信息，因此，如果對磁盤上被移走的正常引導記錄不進行保護，在運行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多，例如，“大麻”和“小球”病毒就是這類病毒。

（2）操作系統型病毒

操作系統是計算機應用程序得以運行的支持環境，由.SYS、.EXE和.DLL等許多可執行的程序及程序模塊構成。操作系統型病毒就是利用操作系統中的一些程序及程序模塊寄生并傳染的病毒。通常，這類病毒成為操作系統的一部分，只要計算機開始工作，病毒就處在隨時被觸發的狀態。而操作系統的開放性和不完善性給這類病毒出現的可能性與傳染性提供了方便。“黑色星期五”就是這類病毒。

（3）感染可執行程序的病毒

通過可執行程序傳染的病毒通常寄生在可執行程序中，一旦程序被執行，病毒就會被激活，病毒程序首先被執行，并將自身駐留內存，然后設置觸發條件進行傳染。

（4）感染帶有宏的文檔

隨著微軟公司Word字處理軟件的廣泛使用和計算機網絡尤其是Internet的推廣普及，病毒家族又出現了一個新成員，這就是宏病毒。宏病毒是一種寄存于文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，宏病毒就會被激活并轉移到計算機上，且駐留在Normal模板中。從此以后，所有自動保存的文檔都會感染上這種宏病毒，而且，如果其他用戶打開了已感染病毒的文檔，宏病毒又會轉移到該用戶的計算機中。

對于以上4種病毒的分類，實際上可以歸納為兩大類：一類是存在于引導扇區的計算機病毒；另一類是存在于文件的計算機病毒。

4.按照計算機病毒的傳播介質來分類

按照計算機病毒傳播的介質，可以劃分為單機病毒和網絡病毒兩種。

（1）單機病毒

單機病毒的載體是磁盤，一般情況下，病毒從USB盤、移動硬盤傳入硬盤，感染系統，然后再傳染其他USB盤和移動硬盤，接著傳染其他系統，例如，CIH病毒。

（2）網絡病毒

網絡病毒的傳播介質不再是移動式存儲載體，而是網絡通道，這種病毒的傳染能力更強，破壞力更大，例如，“尼姆達”病毒。

5.按照計算機病毒存在的媒體進行分類

根據計算機病毒存在的媒體，可以劃分為網絡病毒，文件病毒，引導型病毒和混合型病毒。

（1）網絡病毒

通過計算機網絡傳播感染網絡中的可執行文件的病毒。

（2）文件病毒

感染計算機中的文件（如COM，EXE，DOC等）。

（3）引導型病毒

病毒感染啟動扇區（Boot）和硬盤的系統引導扇區（MBR）。

（4）混合型病毒

同時具備引導型和文件型兩類病毒特征的病毒就稱為混合型病毒，例如：多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形算法，所以這類病毒清除的難度更大。

6.按照計算機病毒傳染的方法進行分類

這種分類方法是按照計算機病毒傳播的媒介進行劃分的。

（1）郵件病毒

通過郵件傳播的病毒。

（2）U盤病毒

通過U盤傳播的病毒。

（3）網頁病毒

利用網頁傳播的病毒。

（4）文件病毒

通過文件傳播的病毒。

7.根據病毒的破壞情況劃分

根據病毒的破壞情況，可劃分為良性病毒和惡性病毒兩類。

（1）良性病毒

良性病毒是指不包含立即對計算機系統產生直接破壞作用的代碼。良性病毒的危害性小，不破壞系統和數據。雖然如此，但它大量占用系統開銷，將使機器無法正常工作，陷于癱瘓。良性病毒是相對而言的，通常也會導致整個系統執行效率降低，使系統可用內存資源減少，或者消耗寶貴的磁盤存儲空間。如國內出現的圓點病毒就是良性的。因此不能輕視所謂良性病毒對計算機系統造成的危害。

（2）惡性病毒

惡性病毒是指在代碼中包含損傷和破壞計算機系統的操作，在其傳染或發作時會對系統產生直接的破壞作用。惡性病毒可能會毀壞數據文件，也可能使計算機停止工作。惡性病毒往往封鎖、干擾、中斷輸入/輸出，破壞硬盤分區表信息、主引導信息、文件分配表，刪除數據文件，甚至格式化硬盤等。這些病毒不僅完全是故意的破壞，而且有些惡性病毒當它們在傳染時會引起無法預料的、災難性的破壞。所以說惡性病毒是非常危險的，應當注意防范。

8.按照計算機病毒功能進行分類

按照計算機病毒功能進行分類，計算機病毒有幾十種類型，不同的殺毒廠商，其具體的分類方法也有所不同，而且很多類型下面還有若干子類型，筆者簡要介紹一些重要常見的類型。

（1）Virus（感染型）

Virus是指將病毒代碼附加到被感染的宿主文件（如PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件）中，使病毒代碼在被感染的宿主文件運行時取得運行權的病毒。當正常文件被感染后，仍然具有以前的功能，但是在正常文件運行的同時也會執行病毒的功能，所以它的欺騙性非常大。并且，又因為是正常文件，我們不能夠刪除，只能清除病毒，病毒處理難度大，因此這種病毒的危害級別最高。

（2）Worm（蠕蟲）

Worm是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件（如MSN、OICQ、IRC等）、可移動存儲介質（如U盤、軟盤）這些方式傳播自己的病毒。這種類型的病毒還有子類型，其子類型的行為類型用于表示病毒所使用的傳播方式。例如，IM病毒通過IM——Instant Messaging（即時通信，實時傳信）這類載體傳播自己；Mail病毒通過郵件傳播； MSN病毒通過MSN傳播；ICQ病毒通過ICQ傳播；QQ病毒通過OICQ傳播；P2P病毒通過P2P軟件傳播；IR病毒通過ICR傳播。

因為這類病毒的傳播性，很容易使更多的計算機中毒，更多的用戶受到危害，所以它的危害級別僅次于Virus位居第二。

（3）Backdoor（后門）

Backdoor是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行，可以對被感染的系統進行遠程控制，而且用戶無法通過正常的方法禁止其運行。“后門”其實是木馬的一種特例，它們之間的區別在于“后門”可以對被感染的系統進行遠程控制（如文件管理、進程控制等）。它的危害級別占第三位。

（4）Trojan（木馬）

Trojan是指在用戶不知道也不允許的情況下，在被感染的系統上以隱蔽的方式運行，而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的，而且還具有子類型。它的利益目的也就是這種病毒的子行為。例如：

① TrojanSpy：竊取用戶信息；

② PSW：具有竊取密碼的行為；

③ DownLoader：下載病毒并運行；

④ Clicker：單擊指定的網頁；

⑤ Dialer：通過撥號來騙取Money的程序；

⑥ Dropper：釋放病毒的程序，是指不屬于正常的安裝或自解壓程序，并且運行后釋放病毒并將它們運行；

⑦ Rootkit：一種“越權執行”的應用程序，它設法讓自己達到和內核一樣的運行級別，甚至進入內核空間，這樣它就擁有了和內核一樣的訪問權限，因而可以對內核指令進行修改。最常見的是修改內核枚舉進程的API，讓它們返回的數據始終“遺漏”Rootkit自身進程的信息，一般的進程工具自然就“看”不到Rootkit了。

（5）VirusTool病毒工具

VirusTool是指可以在本地計算機通過網絡攻擊其他計算機的工具。

（6）Constructor（黑客工具）病毒生成器

Constructor是指可以生成不同功能的病毒的程序。

（7）Joke（玩笑程序）

Joke是指運行后不會對系統造成破壞，但是會對用戶造成心理恐慌的程序。

9.其他分類方式

（1）傳統病毒

能夠感染的程序。通過改變文件或者其他東西進行傳播，通常有感染可執行文件的文件型病毒和感染引導扇區的引導型病毒。

（2）宏病毒（Macro）

利用Word、Excel等的宏腳本功能進行傳播的病毒。

（3）惡意腳本（Script）

具有破壞性的腳本程序。包括HTML腳本、批處理腳本、VBScript、JavaScript腳本等。

（4）木馬（Trojan）程序

當病毒程序被激活或啟動后用戶無法終止其運行。廣義上說，所有的網絡服務程序都是木馬，判定是否是木馬病毒的標準不好確定，通常的標準是：在用戶不知情的情況下安裝，隱藏在后臺，服務器端一般沒有界面無法配置。

（5）黑客（Hack）

利用網絡來攻擊其他計算機的網絡工具，被運行或激活后就像其他正常程序一樣有界面。黑客程序是用來攻擊/破壞別人的計算機，而對使用者本身的機器沒有損害。

（6）蠕蟲（Worm）程序

蠕蟲病毒是一種可以利用操作系統的漏洞、電子郵件、P2P軟件等自動傳播自身的病毒。

（7）破壞性程序（Harm）

病毒啟動后，破壞用戶計算機系統，如刪除文件，格式化硬盤等。常見的是bat文件，也有一些是可執行文件，有一部分和惡意網頁結合使用。