第一篇 認識計算機病毒

第1章 什么是計算機病毒

1.1 計算機病毒的定義

我們知道，生物界的“病毒”（Virus）是一種沒有細胞結構、只有由蛋白質的外殼和被包裹著的一小段遺傳物質兩部分組成的比細菌還要小的病原體生物。如H5N1、O-157大腸桿菌、HIV（艾滋病毒）、口蹄疫病毒、狂犬病毒、天花病毒、肺結核病毒、禽流感病毒、埃博拉病毒等。絕大多數病毒只有在電子顯微鏡下才能看得到，而且不能獨立生存，必須寄生在其他生物的活細胞里才能生存。由于病毒利用寄主細胞的營養生長和繁殖后代，因此給寄主生物造成極大的危害。在人類或動物的傳染性疾病中，有許多是由病毒感染引起的，如人類所患的病毒性肝炎、流行性感冒、艾滋病、脊髓灰質炎、SARS等疾病，動物中的豬瘟、雞瘟、牛瘟等瘟疫。

我們通常所說的“計算機病毒”（Computer Virus），實際上應該被稱做“為達到特殊目的而制作和傳播的計算機代碼或程序”，或者被稱為“惡意代碼”。這些程序之所以被稱做病毒，主要是由于它們與生物醫學上的病毒有著很多的相同點（如圖1-1所示）。例如，它們都具有寄生性、傳染性和破壞性。有些惡意代碼會像生物病毒隱藏和寄生在其他生物細胞中那樣寄生在計算機用戶的正常文件中，而且會伺機發作，并大量地復制病毒體，感染本機的其他文件和網絡中的計算機。而且絕大多數的惡意代碼都會對人類社會生活造成不利的影響，造成的經濟損失數以億計。由此可見，“計算機病毒”這一名詞是由生物醫學上的病毒概念引申而來的。與生物病毒不同的是，計算機病毒并不是天然存在的，它們是別有用心的人利用計算機軟、硬件所固有的安全上的缺陷有目的地編制而成的。

從廣義上講，凡是人為編制的，干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞計算機數據的可自我復制的計算機程序或指令集合都是計算機病毒。依據此定義，諸如邏輯炸彈、蠕蟲、木馬程序等均可稱為計算機病毒。按照目前信息安全領域的普遍觀點，我們可以總結出計算機病毒的十大特征，即非法性、隱藏性、潛伏性、可觸發性、表現性、破壞性、傳染性、針對性、變異性及不可預見性。為了使讀者進一步了解計算機病毒，我們將在下一節對計算機病毒的十大特征進行詳細論述。

需要指出的是，單獨根據以上某一個特征是不能判斷某個程序是否是病毒的。拿“破壞性”來講，例如DOS操作系統中的“Format”程序，雖然能消除磁盤上數據，造成對數據的破壞，但它顯然不是病毒，因為它除了不具備病毒的傳染性這個根本特征以外，也不具有其他大部分特征。

在1994年中華人民共和國國務院頒布的《中華人民共和國計算機信息系統安全保護條例》中，計算機病毒被明確定義為：“指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。

1.2 計算機病毒的特征

1.非法性

正常情況下，計算機用戶調用執行一個合法程序時，把系統控制權交給這個程序，并給其分配相應的系統資源，如內存，從而使之能夠運行以達到用戶的目的，程序執行的過程對用戶是透明和可知的，因此，這種程序是“合法”的。

而計算機病毒是非法程序，計算機用戶不會明知是病毒程序而故意去執行它。但由于計算機病毒具有正常程序的一切特性，它會將自己隱藏在合法的程序或數據中，當用戶運行正常合法程序時，病毒伺機竊取到系統的控制權，得以搶先運行，然而此時用戶還認為在執行正常程序。由此可見，病毒的行為都是在未獲得計算機用戶的允許下“悄悄地”進行的，而病毒所進行的操作，絕大多數都是違背用戶意愿和利益的。從這種意義上來講，計算機病毒具有“非法性”。

例如我們將在第6章講到的木馬病毒，有些木馬病毒會將自己加載到啟動項中，用戶每一次啟動計算機或運行某些常用程序時都會“順便”激活病毒，一般的計算機使用者很難察覺。

2.隱藏性

隱藏性是計算機病毒最基本的特征，正像我們上面講到的，計算機病毒是“非法”的程序，不可能正大光明地運行。換句話說，如果計算機病毒不具備隱藏性，也就失去了“生命力”，從而也就不能達到其傳播和破壞的目的。另一方面，經過偽裝的病毒還可能被用戶當做正常的程序而運行，這也是病毒觸發的一種手段。

從病毒程序本身來講，計算機病毒是一種具有很高編程技巧、短小精悍的可執行程序。一般只有幾百字節或幾千字節，而PC機對DOS文件的存取速度可達每秒幾百千字節以上，所以病毒轉瞬之間便可將這短短的幾百字節附著到正常程序之中，使之非常不易被察覺，從而更好地隱藏自己。

從病毒隱藏的位置來看，有些病毒將自己隱藏在磁盤上標為“壞簇”的扇區中，以及一些空閑概率較大的扇區中；也有個別的病毒以隱含文件的形式出現；還有一種比較常見的隱藏方式是將病毒文件放在Windows等系統目錄下，并將文件命名為類似Windows系統文件的名稱，使對計算機操作系統不熟悉的人不敢輕易刪除它。

不同類型的病毒的隱藏方式也是多種多樣的。引導型病毒通常將自己隱藏在引導扇區中，在系統啟動前就發作。一些蠕蟲病毒非常注重隱藏和偽裝自己，它們不但偽造郵件的主題和正文，利用社會工程學引誘用戶打開郵件，并且可以使用雙擴展名的病毒文件作為附件，例如將病毒體命名為ABC.jpg.exe，使用戶以為是一個圖片文件，從而喪失警惕。還有些借助系統漏洞傳播的病毒利用漏洞來隱藏和傳播病毒體，如果用戶沒有對操作系統添加或安裝相應的補丁程序，病毒便無法被徹底清除。

另一種隱藏方式比較特別的病毒是“兄弟病毒”。這種病毒的隱藏方式只在早期的DOS類病毒中出現過。它將病毒體放在一個已有的文件夾中，并且把病毒的名稱命名為和可執行文件同名的.com文件，它利用.com文件的執行優先級高于.exe文件的特性來運行病毒文件。比如，某個游戲程序的運行文件是play.exe，那么病毒便會把自己命名為play.com，而大多數人在DOS下不會輸入文件的全名，而僅僅輸入play，用戶自以為執行的是play.exe，其實真正運行的是paly.com這個病毒體文件，從而使病毒得以觸發。

如果不經過代碼分析，病毒程序與正常程序是不容易區別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統控制權后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統通常仍能正常運行，使用戶不會感到任何異常。總之，病毒會使用更巧妙的方法隱藏自己，使之不容易被發現。正是由于具有隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散到上百萬臺計算機中。計算機用戶如果掌握了這些病毒的隱藏方式，加強對日常文件的管理，計算機病毒便無處藏身了。

3.潛伏性

計算機病毒具有依附于其他媒體而寄生的能力，我們把這種媒體稱為計算機病毒的宿主。依靠病毒的寄生能力，病毒傳染合法的程序和系統后，不立即發作，而是悄悄隱藏起來，然后在用戶不察覺的情況下進行傳染。這樣，病毒的潛伏性越好，它在系統中存在的時間也就越長，病毒傳染的范圍也越廣，其危害性也越大。

計算機病毒在傳染計算機系統后，其觸發是由發作條件來確定的。在發作條件滿足前，病毒可能在系統中沒有表現癥狀，從而不影響系統的正常運行。

大部分病毒感染系統之后一般不會馬上發作，它可長期隱藏在系統中，只有在滿足其特定條件時才啟動其表現（破壞）模塊。只有這樣它才可進行廣泛傳播。如“PETER-2”在每年2月27日會提三個問題，答錯后會將硬盤加密。著名的“黑色星期五”在逢13號的星期五發作。中國的“上海一號”會在每年三月、六月及九月的13日發作。當然，最令人難忘的便是26日發作的CIH。這些病毒在平時會隱藏得很好，只有在發作日才會露出本來面目。

4.可觸發性

計算機病毒一般都有一個或者幾個觸發條件。滿足其觸發條件或者激活病毒的傳染機制就會使之進行傳染或者激活病毒的表現部分或破壞部分。觸發的實質是一種條件的控制，病毒程序可以依據設計者的要求，在一定條件下實施攻擊。這個條件可以是鍵入特定字符，使用特定文件、某個特定日期或特定時刻，或者病毒內置的計數器達到一定次數等。

在一定的條件之下，通過外界刺激可以使計算機病毒程序活躍起來。激發的本質是一種條件控制。根據病毒炮制者的設定，使病毒體激活并發起攻擊。病毒被激發的條件可以與多種情況聯系起來，如滿足特定的時間或日期，期待特定用戶識別符出現，特定文件的出現或使用，一個文件使用的次數超過設定數等。

按照時間來觸發的病毒很多，比如CIH病毒。它的v1.2版本的發作日期是每年的4月26日，這個時間指的是計算機的系統時間；而CIH病毒的v1.3版本的發作日期是每年的6月26日；v1.4版本的發作日期是每月的26日。很多人都有一個錯誤的想法，以為只要將系統時間調整到其他的日期，就可以避免病毒的發作。其實按照時間發作只是病毒觸發的條件之一，而且系統時間沒有及時調整回來，或者滿足病毒的其他觸發條件時，病毒還是會被觸發的。調整時間只是應急的辦法，根本的解決辦法還是徹底清除病毒體。

按照一定條件觸發的病毒也很多，比如，當你試圖更改或運行某些文件時病毒就發作等。而“Happy time”（歡樂時光）病毒發作的條件是：“月份+日期=13”，這是按照一定的邏輯條件來發作的病毒。另外，“求職信”病毒在單月的6日和13日發作等。但絕大多數病毒是隨機發作或者運行后發作的。

要注意的是，病毒的傳播和發作是兩個完全不同的問題，我們在平時所遇到的大多數問題是由病毒發作引起的，因為病毒發作的現象比較明顯，比如文件被刪除或計算機無法使用。而病毒傳播時由于其所具有的隱蔽性和潛伏性，通常不被人們注意，但其一旦發作就會造成重大的損失。所以我們要盡可能在病毒傳播時及時清除病毒，等到病毒發作時才意識到，可能為時已晚了。

5.表現性

無論何種病毒程序一旦侵入系統都會對操作系統的運行造成不同程度的影響。即使不直接產生破壞作用的病毒程序也要占用系統資源（如占用內存空間，占用磁盤存儲空間和系統運行時間等）。而絕大多數病毒程序要顯示一些文字或圖像，影響系統的正常運行；還有一些病毒程序刪除文件，加密磁盤中的數據，甚至摧毀整個系統和數據，使之無法恢復，從而造成無可挽回的損失。因此，病毒程序的副作用輕則降低系統工作效率，重則導致系統崩潰、數據丟失。病毒程序的表現性或破壞性體現了病毒設計者的真正意圖。

一般來講，帶有個人情緒或者政治目的的病毒往往表現力比較強，例如比較著名的“中國黑客”病毒，病毒會利用聊天工具OICQ發送即時信息，循環發送以下信息中的一條：“反對邪教，崇尚科學！”、“打倒本·拉登！”、“向英雄王偉致意！”、“反對霸權主義！”、“世界需要和平！”、“社會主義好！”等，如圖1-2所示。

6.破壞性

計算機病毒造成的最顯著的后果是破壞計算機系統，并使之無法正常工作或刪除用戶保存的數據。無論是占用大量系統資源導致計算機無法正常使用，還是破壞文件，甚至毀壞計算機硬件，都會影響用戶正常使用計算機。

病毒根據其破壞性可分為良性病毒和惡性病毒。

絕大多數被認定為病毒的程序都具有惡意破壞性的特征，但也有一些病毒程序并不具有惡意破壞性。我們把沒有惡意破壞性的程序稱之為良性病毒。良性病毒是指不會直接對計算機系統進行破壞的病毒。比如，某些良性病毒運行后會在屏幕上出現一些可愛的卡通形象，或演奏一段音樂。編寫這類小程序也許僅僅是因為好玩，或開個玩笑，甚至可以和某些小游戲看做是一類。但是，這并不代表其沒有危害性。這類病毒有可能占用大量的系統資源，導致系統無法正常使用。

除了良性病毒以外，絕大多數病毒是惡性病毒。這類惡性病毒對計算機系統來說是很危險的。比如WYX病毒，該病毒是典型的引導區病毒，其發作時會改寫計算機硬盤引導扇區的信息，使系統無法找到硬盤上的分區。由于硬盤上的所有數據都是通過硬盤分區表和文件分配表來確定的，所以如果計算機硬盤上的這些重要信息丟失或發生錯誤，不但用戶會無法正常訪問硬盤上的所有數據，甚至在開機時，計算機會顯示找不到引導信息，出現硬盤沒有分區等錯誤信息提示，給我們的工作、生活造成很大的損失。

病毒的破壞方式是多種多樣的。例如，“Happy Time”（歡樂時光）病毒在發作時會刪除文件，并啟動大量的病毒進程，導致計算機系統資源的嚴重缺乏直至計算機無法工作。還有破壞并且覆蓋文件的CIH和“求職信”病毒，發作時會用垃圾代碼來覆蓋用戶的文件，這種破壞造成的危害比簡單的刪除或格式化硬盤更為嚴重，往往可以造成不可修復的破壞。這也反映出病毒編制者的險惡用心。還有的病毒以惡作劇的形式破壞系統，如“旋轉”病毒（如圖1-3所示），病毒在發作時會高速的橫向或縱向旋轉用戶的電腦桌面，使計算機使用者無法進行任何操作。

7.傳染性

傳染性是計算機病毒最重要的特征，是判斷一段程序代碼是否為計算機病毒的依據。病毒程序一旦侵入計算機系統就開始搜索可以傳染的程序或者磁介質，然后通過自我復制迅速傳播。由于目前計算機網絡日益發達，計算機病毒可以在極短的時間內通過像Internet這樣的網絡傳遍世界。

計算機病毒可以從一個程序傳染到另一個程序，從一臺計算機傳染到另一臺計算機，從一個計算機網絡傳染到另一個計算機網絡，從而在各個系統上傳染、蔓延，同時使被傳染的計算機程序、計算機、計算機網絡成為計算機病毒的生存環境及新的傳染源。

在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下，它可得到大量繁殖，并使被感染的生物體表現出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執行，就會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺計算機上迅速擴散，其中的大量文件（一般是可執行文件）會被感染。而被感染的文件又成了新的傳染源，再與其他機器進行數據交換或通過網絡接觸，病毒會繼續進行傳染。

正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的，而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道，如軟盤、計算機網絡去傳染其他的計算機。當你在一臺機器上發現了病毒時，曾在這臺計算機上用過的軟盤往往已經感染上了病毒，而與這臺機器聯網的其他計算機也許也被感染上了該病毒。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。

一般來說，正常的程序是由用戶調用，再由系統分配資源，從而完成用戶交給的任務。其目的對用戶來說是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏在正常程序中，當用戶調用正常程序時竊取到系統的控制權，先于正常程序執行，病毒的動作、目的對用戶來說是未知的，是未經用戶允許的。

近一段時期，蠕蟲類病毒可以說是傳播速度最快、傳播范圍最廣的病毒了。近年來隨著互聯網的迅速發展，人們在工作和生活中也越來越依賴網絡，E-mail這種聯系方式也因其方便快捷的優點被人們廣泛采用。不僅是個人用戶使用，很多正式的商業聯系和各類組織、政府機構的信息傳遞也是通過E-mail完成的。因此病毒的編制者就利用了電子郵件的這個特點，使所編制的病毒通過E-mail的方式來傳播，這種傳播方式不僅傳播范圍廣，而且傳播的速度也非常快。而且此類病毒通常會盜取計算機中所保存的郵件地址信息，通過這些信息大量復制自身并向這些地址發送帶毒郵件。所以，蠕蟲病毒有時也被稱為“E-mail”病毒。

“美麗莎”、“SirCam”、“Nimda”、“求職信”等病毒就是通過這種方式傳播的，它們的傳播速度和范圍是非常驚人的，24小時之內便可通過E-mail傳遍全世界。而且“Nimda”和“求職信”病毒不僅通過郵件傳播，還可以通過局域網文件共享和操作系統的漏洞等多種方式進行傳播，傳播能力更強。

8.針對性

一種計算機病毒（版本）并不能感染所有的計算機系統或計算機程序。有的病毒是感染Apple公司的Macintosh機的，有的病毒是感染IBM PC機的，有的病毒感染磁盤引導區，有的病毒感染可執行文件，等等。

9.變異性

計算機病毒在發展、演化過程中可以產生變種。有些病毒能夠產生幾十種甚至上百種變種。

10 .不可預見性

從對病毒的檢測方面來看，病毒還有不可預見性。不同種類病毒的代碼千差萬別，但有些操作是共有的（如駐留內存，修改中斷）。有些人利用病毒的這種共性，制作了聲稱可檢查所有病毒的程序。這種程序的確可以查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術。使用這種方法對病毒進行檢測勢必會造成較多的誤報情況。而且病毒的制作技術也在不斷提高，病毒對反病毒軟件來說永遠是超前的。

1.3 計算機病毒的結構

1.3.1 計算機病毒的程序結構

前面已經談到了計算機病毒的特征，一般來講，事物的特征往往是由事物自身的結構決定的。計算機病毒也是這樣，病毒本身的特征也是由其結構決定的。計算機病毒的種類雖多，但對病毒代碼進行分析和比較可以看出，它們的主要結構是類似的，有其共同特點。計算機病毒程序雖然長短不同、大小各異，但一般來講都包含三個部分：引導部分、傳染部分、表現或破壞部分。

引導部分的作用是將病毒主體加載到內存，為傳染部分做準備（如駐留內存、修改中斷、修改高端內存、保存原中斷向量、修改注冊表等操作）。

傳染部分的作用是將病毒代碼復制到傳染目標上去。不同類型的病毒在傳染方式、傳染條件以及傳播所借助的媒體上各有不同。

表現部分是病毒間差異最大的部分，前兩個部分也是為這部分服務的。大部分的病毒都要滿足一定條件才會觸發其表現部分，如以計算機時鐘、計數器作為觸發條件或用鍵盤輸入特定字符來觸發。這一部分也是最為靈活的部分，這部分根據編制者的不同目的而千差萬別，或者根本沒有這部分。

后兩個部分各包含一段觸發條件驗證代碼，當各段驗證代碼分別驗證出傳染和表現或破壞的觸發條件滿足時，病毒就會進行傳染和表現或破壞。必須指出的是，不是任何病毒都包含這三個部分。

1.3.2 計算機病毒的存儲結構

計算機病毒大部分都是存儲在磁盤中的，我們現在先來介紹一下磁盤的存儲結構。

1.磁盤空間的總體劃分

經過格式化后的磁盤包括：主引導記錄區（只有硬盤有）、引導記錄區、文件分配表（FAT）、目錄區和數據區。主引導記錄區和引導記錄區中存有操作系統啟動時所用的信息。FAT是反映當前磁盤扇區使用狀況的表，它與目錄一起對磁盤數據區進行管理。目錄區存放磁盤上現有的文件目錄及其大小、存放時間等信息。數據區存儲和文件名相對應的文件內容數據。

（1）軟盤空間的總體劃分

當格式化一張軟盤后，不僅把磁盤劃分為若干磁道，每一磁道劃分為若干扇區，而且同時把劃分的扇區分為五大區域，它們分別是引導記錄區、文件分配表1、文件分配表2、根目錄區以及數據區。

對于軟盤只有一個引導區，引導區在磁盤的0面0道1扇區，它的作用是在系統啟動時負責把系統的兩個隱含文件IO.SYS和MSDOS.SYS裝入內存，并給DOS提供進行磁盤讀寫所必需的磁盤I/O參數表。FAT是反映磁盤上所有文件各自占用的扇區的一個登記表，此表非常重要，一旦被破壞，將無法查找文件的內容。即使對精通DOS的人來說，要修復FAT表損壞的磁盤文件亦非易事。為此系統在劃分磁盤區域時，保留了兩份完全相同的文件分配表。根目錄區是記載磁盤上所有文件的一張目錄登記表。主要記載每個文件的文件名、擴展名、文件屬性、文件長度、文件建立日期、文件建立時間以及其他一些重要信息。

（2）硬盤空間的總體劃分

對于不同類型、不同介質的磁盤，DOS劃分磁盤的格式是不同的。對于硬盤來說，由于其存儲空間比較大，為了允許多個操作系統分享硬盤空間，并希望能從磁盤啟動系統，DOS在格式化硬盤時，把硬盤劃分為主引導記錄區和多個系統分區。

對于硬盤空間的分配由兩個部分組成：第一部分就是整個硬盤的第一扇區，這一扇區稱之為硬盤的主引導程序扇區，它由兩部分內容組成：一是主引導程序，二是分區信息表。主引導程序是硬盤啟動時首先執行的程序，由它裝入執行活動分區（活動分區）引導程序，從而進一步引導系統。分區信息表登記各個分區引導指示符、操作系統指示符以及該分區占用硬盤空間的位置及其長度；第二部分是各個系統分區。各個系統分區是提供給各操作系統使用的區域，每一區域只能存放一種操作系統，在該區域中的系統具有自己的引導記錄、文件分配表區、文件目錄區以及數據區。若整個硬盤歸DOS使用，硬盤上的信息包括5個部分，即第1扇區的主引導程序和分區信息表、分區引導程序、文件分配表區、文件根目錄區、文件數據區。

硬盤主引導扇區很特殊，它不在DOS的管轄范圍內，所以用DOS的非常駐命令FORMAT、FDISK、DEBUG都不能觸及它。當該扇區損壞時，硬盤不能啟動。用FORMAT、FDISK都不能修復它。DEBUG的L命令和W命令都不能用于主引導扇區。只有 在DEBUG下借用INT 13H或低級格式化方法才能修復。

2.系統型病毒的磁盤存儲結構

系統型病毒是指專門傳染操作系統的啟動扇區，主要指傳染硬盤主引導扇區和DOS引導扇區的病毒。下面簡單介紹一下系統型病毒在磁盤上的存儲結構。

病毒程序被劃分為兩部分，第一部分存放在磁盤引導扇區中，第二部分則存放在磁盤的其他扇區中。病毒程序在感染一塊磁盤時，首先根據FAT表在磁盤上找到一個空白簇（如果病毒程序的第二部分占用若干個簇，則需要找到一個連續的空白簇），然后將病毒程序的第二部分以及磁盤原引導扇區的內容寫入該空白簇，接著將病毒程序的第一部分寫入磁盤引導扇區。

但是，由于磁盤的型號不同，病毒程序第二部分所占用的空白簇的位置就不同，而病毒程序在侵入系統時，又必須將其全部程序裝入內存，在系統啟動時裝入的是磁盤引導扇區中的病毒程序，該段程序在執行時要將其第二部分裝入內存，這樣第一部分必須知道其第二部分所在簇的簇號或邏輯扇區號。為此，在病毒程序感染一個磁盤時，不僅要將其第一部分寫入磁盤引導扇區，而且必須將病毒程序第二部分所在簇的簇號（或該簇第一扇區的邏輯扇區號）記錄在磁盤的偏移地址01F9處，存放其第二部分所在簇的第一扇區的邏輯扇區號。

另外，由于DOS分配磁盤空間時必須將分配的每一個簇與一個文件相聯系，但是系統型病毒程序第二部分所占用的簇沒有對應的文件名，它們是以直接磁盤讀寫的方式被存取的，這樣它們所占用的簇就有可能被DOS分配給新建立的磁盤文件，從而被覆蓋。為了避免這樣的情況發生，病毒程序在將其第二部分寫入空白簇后，立即將這些簇在FAT中登記項的內容強制地標記為壞簇（FF7H），經過這樣的處理后，DOS就不會將這些簇分配給其他新建立的文件了。

3.文件型病毒的磁盤存儲結構

文件型病毒是指專門感染系統中的可執行文件，即擴展名為.COM、.EXE的文件或依賴于文件而發作的病毒。對于文件型病毒來說，病毒程序附著在被感染文件的首部、尾部、中部或“空閑”部位，病毒程序沒有獨立占用磁盤上的空白簇。也就是說，病毒程序所占用的磁盤空間依賴于其宿主程序所占用的磁盤空間。但是，病毒入侵后一定會使宿主程序占用的磁盤空間增加。

絕大多數文件型病毒屬于所謂的外殼病毒。什么是文件外殼呢？簡單地說是計算機軟件的一種層次結構。比方說計算機軟件公司編制了一種教育軟件，經過設計調試，軟件本身的功能已經很完善，可以作為獨立的磁盤文件提供給用戶。但為了提高產品的商品化程序，公司決定為軟件加一個漂亮的封面，為此設計人員可以在已經完成的軟件的基礎上附加一段顯示封面的程序。通常我們稱軟件本身為內核，而附加的顯示封面的程序稱為外殼。

盡管在結構上外殼接在內核后面，但運行的順序仍然是先顯示封面然后再跳轉去執行內核?？蓤绦形募耐鈿ひ话憔哂邢鄬Κ毩⒌墓δ芎徒Y構，去掉外殼將不會影響內核部分的運行。如果我們用“病毒外殼”去替換“封面外殼”，那么就已經說明了文件型病毒的基本機理。計算機病毒一般不傳染數據文件，這是由于數據文件是不能執行的，如果病毒傳染了數據文件以后，病毒自身得不到執行權，也就不能進行進一步的傳播，所以計算機病毒不可能存在于數據文件中，但可能修改和破壞數據文件。

1.4 計算機病毒的分類及命名

從第一個病毒問世以來，病毒的數量在不斷增加。根據每年從計算機用戶反饋的有關病毒的信息分析，計算機病毒數量的增長，已經從20世紀90年代初的每月幾種達到了現在的每天200種以上。

從已經發現的計算機病毒來看，小的病毒程序只有幾十條指令，不到上百個字節，而大的病毒程序簡直像個操作系統，由上萬條指令組成。有些病毒傳播速度很快，并且一旦侵入計算機就會立即摧毀系統；而另外一些病毒則有較長的潛伏期，感染后需要經過二至三年甚至更長時間才發作；有些病毒感染系統內所有的程序和數據；有些病毒只對某些特定的程序或數據感興趣；而有的病毒則對程序或數據毫無興趣，只是不斷自身繁衍，搶占磁盤空間，其他什么都不干。

由于計算機病毒及其所處環境的復雜性，以某種方式遵循單一標準為病毒分類無法達到對病毒的準確認識，也不利于對病毒的分析與防治。因此在本節中，我們將從多個角度對計算機病毒進行詳細分類。

需要說明的是，按照計算機病毒的特點及特性，其分類方法有許多種。由于同一種病毒可能同時具備多種特征，因此在分類隸屬關系上會產生交叉。

1.4.1 根據寄生的數據存儲方式劃分

根據寄生的數據存儲方式可劃分為三種類型：引導區型、文件型和混合型。

1.引導型病毒

直到20世紀90年代中期，引導型病毒一直是最流行的病毒類型，主要通過軟盤在DOS操作系統里傳播。引導型病毒感染軟盤中的引導區，蔓延到用戶硬盤，并能感染到用戶盤中的“主引導記錄”。一旦硬盤中的引導區被病毒感染，病毒就試圖感染每一個插入計算機的軟盤的引導區。

引導型病毒是這樣工作的：磁盤引導區傳染的病毒主要用病毒的全部或部分邏輯取代正常的引導記錄，而將正常的引導記錄隱藏在磁盤的其他地方。由于引導區是磁盤能夠正常使用的先決條件，因此，這種病毒在運行的一開始（如系統啟動）就能獲得控制權，其傳染性較大。由于病毒隱藏在磁盤的第一扇區，使它可以在系統文件裝入內存之前先進入內存，從而使它獲得對DOS的完全控制，這就使它可以傳播并造成危害。由于在磁盤的引導區內存儲著許多重要信息，如果對磁盤上被移走的正常引導記錄不進行保護，則在運行過程中就會導致引導記錄的破壞。引導區傳染的計算機病毒較多，例如，“大麻”和“小球”病毒就是這類病毒。

引導型病毒會改寫（即一般所說的“感染”）磁盤上的引導扇區（Boot Sector）的內容，軟盤或硬盤都有可能感染病毒，再不然就是改寫硬盤上的分區表（FAT）。如果用已感染病毒的軟盤來啟動的話，則會感染硬盤。

引導型病毒是一種在ROM BIOS之后，系統引導時出現的病毒，它先于操作系統的運行，依托的環境是BIOS中斷服務程序。

引導型病毒利用操作系統的引導模塊被放在某個固定的位置，并且其控制權的轉交方式以物理地址為依據，而不是以操作系統引導區的內容為依據，因而病毒占據該物理位置即可獲得控制權，而將真正的引導區內容搬家轉移或替換，待病毒程序被執行后，將控制權交給真正的引導區內容，使得這個帶病毒的系統看似正常運轉，而實際上病毒已隱藏在系統中伺機傳染和發作。

引導型病毒按其寄生對象的不同又可分為兩類，即MBR（主引導區）病毒和BR（引導區）病毒。MBR病毒也稱為分區病毒，將病毒寄生在硬盤分區主引導程序所占據的硬盤0頭0柱面第1個扇區中。典型的病毒有大麻（Stoned）、2708等。BR病毒是將病毒寄生在硬盤邏輯0扇區或軟盤邏輯0扇區（即0面0道第1個扇區）。典型的病毒有“Brain”、“小球”病毒等。

顧名思義，文件型病毒主要以感染文件擴展名為 .COM、.EXE及.OVL等可執行程序為主。它的安裝必須借助于病毒的載體程序，即要運行病毒的載體程序，方能把文件型病毒引入內存。已感染病毒的文件執行速度會減緩，甚至完全無法執行。有些文件遭感染后，一執行就會被刪除。大多數文件型病毒都會把它們自己的程序碼復制到其宿主的開頭或結尾處。這會使已感染病毒文件長度變長，但用戶不一定能用DIR命令列出其感染病毒前的長度。也有部分病毒是直接改寫“受害文件”的程序碼，因此感染病毒后文件的長度仍然維持不變。

2.文件型病毒

文件型病毒是文件感染者，它運行在計算機存儲器里，通常感染擴展名為COM、EXE、DRV、DLL、BIN、OVL、SYS、DOC、DOT、EXL的文件。每一次激活時，感染文件把自身復制到其他文件中，并能在存儲器里保存很長時間，并在特定條件下進行表現或破壞。

與引導型病毒不同的是，文件病毒不但可以感染DOS系統文件，還可以感染Windows系統、IBM OS/2系統和Macintosh系統的文件。

隨著計算機操作系統的不斷更新換代和互聯網在社會生活中的不斷普及，文件型病毒有了更多的生存空間。即使在當前的計算機病毒多樣性傳播的大環境下，文件感染仍然是很多主流病毒所保留的“必要手段”。

文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。源碼型病毒是用高級語言編寫的，若不進行匯編、鏈接則無法傳染擴散。嵌入型病毒是嵌入在程序中的，它只針對某個具體程序起作用，如dBASE病毒。由于受環境限制，這兩類病毒尚不多見。目前流行的文件型病毒幾乎都是外殼型病毒，這類病毒寄生在宿主程序的前面或后面，并修改程序的第一個執行指令，使病毒先于宿主程序執行，從而隨著宿主程序的使用而傳染擴散。

3.混合型病毒

混合型病毒同時具備引導型和文件型兩類病毒特征，又稱綜合型或復合型病毒。這類病毒既感染磁盤引導區，又感染可執行文件。這類病毒有極強的傳染性，清除難度更大，并且常常因為殺毒不徹底而造成“病毒殺不死”的假象，令普通計算機用戶談毒色變。

對染有混合型病毒的計算機，如果只清除了文件上的病毒而沒有清除硬盤引導區的病毒，系統引導時還會將病毒調入內存，從而重新感染文件；如果只清除了引導區的病毒，而沒有清除可執行文件上的病毒，那么當執行帶毒文件時，就又會感染硬盤引導區。

1.4.2 根據感染文件類型劃分

保守地講，計算機系統文件類型在300種以上。若按擴展名來說，截止目前能被病毒感染的文件包括EXE、COM、DLL、SYS、VXD、DRV、BIN、OVL、386、HTM、FON、DOC、DOT、XLS、XLT、VBS、VBE、JS、JSE、CSS、WSH、SCT、HTA、HTT、ASP、ZIP、ARJ、CAB、RAR、ZOO、ARC、LZH、PKZIP、GZIP、PKPAK、ACE等文件。雖然被感染的對象文件的表現形式不一樣，但從本質上講，病毒都是感染文件的程序指令代碼部分的。

1.4.3 根據傳播途徑分類

1.單機病毒

單機病毒的載體是磁盤、光盤和U盤等可移動存儲介質，常見的是病毒從軟盤、光盤等傳入硬盤，感染操作系統及已安裝的軟件或程序，然后再通過存儲介質的轉移又傳染其他系統。

2.網絡病毒

網絡病毒的傳播媒介不再是移動式載體，而是網絡數據通道。這種病毒的傳染能力更強，破壞力更大。

1.4.4 列舉幾種具有代表性的病毒類型

1.宏病毒

隨著微軟公司Office軟件應用的不斷普及，1996年出現了感染Word、Excel文件的病毒。直到20世紀90年代中期，文件型病毒還是最流行的病毒。但隨后幾年情形有所變化，宏病毒變得越來越流行。與當時已經流行十幾年的病毒類型相比，宏病毒作為“后起之秀”，在短短兩年左右就占了全部病毒數量的80%以上。另外，宏病毒還可衍生出各種變形變種病毒，這種“父生子，子生孫”的傳播方式令許多系統防不勝防，這也使宏病毒成為威脅計算機系統的又一“殺手”。

宏病毒是一種寄存于文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，宏病毒就會被激活并轉移到計算機上，然后駐留在Normal模板上。此后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染了病毒的文檔，宏病毒也會轉移到他的計算機上。

宏病毒一般指的是用BASIC編寫的病毒程序，是寄存在Microsoft Office文檔上的宏代碼。它影響對文檔的各種操作，如打開、存儲、關閉或清除等。當打開Office文檔時，宏病毒程序就會被執行，即宏病毒處于活動狀態，當觸發條件滿足時，宏病毒就會開始傳染、表現和破壞。

2.蠕蟲病毒

提起蠕蟲病毒，讀者可能不大能說清楚它到底是一個什么樣的病毒，但是一提起“紅色代碼”、“尼姆達”、“愛情后門”、“2003蠕蟲王”、“沖擊波”、“震蕩波”等臭名昭著的病毒，我想大家一定記憶猶新，這些病毒一旦暴發，便會在全球泛濫，引起整個網絡的動蕩。如果你經常上網的話，很可能遭遇過它們的侵害。

作為對互聯網危害嚴重的一種計算機程序，網絡中的蠕蟲病毒的破壞力和傳染性不容忽視。與傳統病毒不同，蠕蟲病毒以計算機為載體，以網絡為攻擊對象，而且具有自身復制的功能。蠕蟲的傳播無需用戶操作，也不必通過“宿主”程序或文件，因此可潛入用戶的系統并允許其他人遠程控制用戶的計算機。蠕蟲病毒可自動向電子郵件地址簿中的所有聯系人發送自己的副本，那些聯系人的計算機也將執行同樣的操作，結果會造成多米諾效應，消耗內存或網絡帶寬，導致用戶計算機系統崩潰，使商業網絡和整個Internet的速度減慢。

計算機病毒自出現之日起，就成為計算機的一個巨大威脅。而當網絡迅速發展的時候，蠕蟲病毒引起的危害開始顯現。蠕蟲病毒和一般的病毒有著很大區別。對于蠕蟲病毒，現在還沒有一個完整的理論體系。一般認為，蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性及破壞性等。與此同時，它還具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及和黑客技術相結合等。在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，特別是網絡的發展使得蠕蟲病毒可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。

蠕蟲病毒的傳播方式是多種多樣的。有一些蠕蟲病毒（如“紅色代碼”和“尼姆達”等）利用操作系統的漏洞主動進行攻擊。有一些蠕蟲病毒通過電子郵件、惡意網頁的形式迅速傳播，如“愛蟲”病毒和“求職信”病毒等。這類病毒自從2001年大規模出現并迅速充斥人們的視野后就已經被所有反病毒產品生產廠商所重視，但直到2011年，對于我們的計算機系統和網絡而言，蠕蟲病毒仍然是僅次于木馬病毒的第二大威脅因素。

3.特洛伊木馬病毒

在神話傳說中，特洛伊木馬表面上是“禮物”，但實際上藏匿了襲擊特洛伊城的希臘士兵。現在，特洛伊木馬是指表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。最近的特洛伊木馬以電子郵件的形式出現，電子郵件包含的附件聲稱是微軟的安全更新程序，但實際上是一些試圖禁用防病毒軟件和防火墻軟件的病毒。

一旦用戶經不起誘惑從而打開了以為來自合法來源的程序，特洛伊木馬便趁機傳播。為了更好地保護用戶，微軟公司常通過電子郵件發出安全公告，但這些郵件從不包含附件。在用電子郵件將安全警報發送給客戶之前，他們也會在安全網站上公布所有安全警報。

特洛伊木馬也可能包含在免費下載軟件中，因此切勿從不信任的來源下載軟件。

1.5 計算機病毒的命名規則

通常病毒名是由以下6字段組成的：主行為類型.子行為類型.宿主文件類型.主名稱.版本信息.主名稱變種號，其中字段之間使用“.”分隔。

1.主行為類型與病毒子行為類型

主行為類型：主行為類型標識某種病毒的最顯著的行為特征，病毒可能包含多個主行為類型特征，這種情況可以根據每種主行為類型的危害級別，確定危害級別最高的作為病毒的主行為類型。其中危害級別是指對病毒所在計算機的危害程度。

下面列舉了幾種常見的病毒主行為類型。

（1）Backdoor危害級別：1

說明：中文名稱——“后門”，是指在用戶不知道、不允許的情況下，在被感染的系統上以隱蔽的方式運行，可以對被感染的系統進行遠程控制，而且用戶無法通過正常的方法禁止其運行?！昂箝T”其實是木馬的一種特例，它與木馬之間的區別在于“后門”可以對被感染的系統進行遠程控制（如：文件管理、進程控制等）。

（2）Worm危害級別：2

說明：中文名稱——“蠕蟲”，是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件（如：MSN、QQ、Fetion等）、可移動存儲介質（如：U盤、移動硬盤）等方式傳播自己的病毒。

（3）Trojan危害級別：3

說明：中文名稱——“木馬”，是指在用戶不知道、不允許的情況下，在被感染的系統上以隱蔽的方式運行，而且用戶無法通過正常的方法禁止其運行，這種病毒通常都含有利益目的。

（4）Virus危害級別：4

說明：中文名稱——“感染型病毒”，是指將病毒代碼附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件）中，使病毒代碼在被感染宿主文件運行時取得運行權的病毒。

（5）Harm危害級別：5

說明：中文名稱——“破壞性程序”，是指那些既不會傳播也不感染，但運行后直接破壞本地計算機，（如：格式化硬盤、大量刪除文件等）導致本地計算機無法正常使用的程序。

（6）Dropper危害級別：6

說明：中文名稱——“釋放病毒的程序”，是指不屬于正常的安裝或自解壓程序，其運行后會釋放病毒并將它們運行。

（7）Hack危害級別：無定義

說明：中文名稱——“黑客工具”，是指可以在本地計算機通過網絡攻擊其他計算機的工具。

（8）Binder危害級別：無定義

說明：捆綁病毒的工具。

子行為類型：同樣的，病毒也可能包含多個子行為類型，這種情況可以根據每種主行為類型的危害級別確定危害級別最高的作為病毒的子行為類型。

標識病毒傳播途徑的子行為類型字段，例如：

（1）Mail危害級別：1

說明：通過郵件傳播。

（2）MSN危害級別：3

說明：通過MSN傳播。

（3）QQ危害級別：4

說明：通過OICQ傳播。

（4）DL危害級別：3

說明：下載病毒并將其運行。

● 判定條款：

沒有可調出的任何界面，邏輯功能為：從某網站上下載文件，然后加載或運行。

● 邏輯條件引發的事件：

事件1：不能正常下載或下載失敗的文件不能判定為病毒。

操作準則：不符合正常軟件功能組件標識條款的文件，確定為：Trojan.DL

事件2：下載的文件是病毒

操作準則：下載的文件是病毒，確定為：Trojan.DL

標識病毒行為目的的子行為類型字段，例如：

（5）Spy危害級別：1

說明：竊取用戶信息（如：文件等）。

（6）PSW危害級別：2

說明：具有竊取密碼的行為。

（7）Proxy危害級別：9

說明：將被感染的計算機作為代理服務器。

（8）Clicker危害級別：10

說明：點擊指定的網頁。

● 判定條款：

沒有可調出的任何界面，邏輯功能為：點擊某網頁。

操作準則：該文件不符合正常軟件功能組件標識條款的，確定為：Trojan.Clicker。（若該文件符合正常軟件功能組件標識條款，就參考流氓軟件判定規則進行判定）

（9）Dialer危害級別：12

說明：通過撥號來騙取Money的程序。

（10）Exploit

說明：漏洞探測攻擊工具。

（11）Ddoser

說明：拒絕服務攻擊工具。

（12）Flooder

說明：洪水攻擊工具。

（13）Spam

說明：垃圾郵件。

（14）Anti

說明：免殺的黑客工具。

2.宿主文件字段

宿主文件是指病毒所使用的文件類型，是否有顯示的屬性。目前的宿主文件有以下幾種。

（1）JS

說明：JavaScript腳本文件。

（2）VBS

說明：VBScript腳本文件。

（3）HTML

說明：HTML文件。

（4）Java

說明：Java的Class文件。

（5）COM

說明：Dos下的COM文件。

（6）EXE

說明：Dos下的EXE文件。

（7）Boot

說明：硬盤或軟盤引導區。

（8）Word

說明：MS公司的Word文件。

（9）Excel

說明：MS公司的Excel文件。

（10）PE

說明：PE文件。

（11）Winreg

說明：注冊表文件。

（12）Ruby

說明：一種腳本。

（13）Python

說明：一種腳本。

（14）BAT

說明：BAT腳本文件。

（15）IRC

說明：IRC腳本。

3.主名稱

病毒的主名稱是由分析員根據病毒體的特征字符串、特定行為或者所使用的編譯平臺來定的，如果無法確定則可以用字符串“Agent”來代替主名稱，小于10k大小的文件可以命名為“Small”。

4.版本信息

版本信息只允許為數字，對于版本信息不明確的可不加版本信息。

5.主名稱變種號

如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同，則可認為是同一家族的病毒，這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位，并且均為小寫字母a～z，如：aa、ab、aaa、aab以此類推，由系統自動計算，不需要人工輸入或選擇。

1.6 計算機病毒的入侵方式

由于病毒是由很多無聯系的個人或組織分別編寫的，他們采用的技術各不相同，因此入侵方式也多種多樣。

1.源代碼嵌入攻擊

病毒在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執行文件，因此剛生成的文件就是帶毒文件。這類軟件并不多，因為這些病毒開發者不可能輕易得到那些軟件開發公司編譯前的源程序，況且這種入侵方式的難度較大，病毒制造者需要具備非常專業的編程水平。

2.代碼取代攻擊

這類病毒主要用自身的病毒代碼取代宿主程序的整個或部分模塊，這類病毒在早期的DOS時代非常普遍，清除起來也比較困難。

3.外殼寄生入侵

這類病毒通常將病毒代碼附加在正常程序的頭部或尾部，即相當于給程序添加了一個外殼。在被感染的程序執行時，病毒代碼先被執行，然后才將正常程序調入內存。有很多病毒采用此類入侵方式。

4.系統修改入侵

這類病毒主要用自身程序覆蓋或修改系統中的某些文件來達到調用或替代操作系統中部分功能的目的。由于是直接感染系統，因此危害較大，這是病毒目前的主流入侵方式。

1.7 計算機病毒的生命周期

計算機病毒的產生過程包括：設計—編寫—傳播—潛伏—觸發—攻擊。計算機病毒有一個生命周期，即從生成到完全根除。下面我們將介紹病毒生命周期的各個時期。

1.開發期

在幾年前，制造一個病毒需要計算機編程語言的知識。但是今天有一點計算機編程知識的人都可以制造一個病毒。通常，計算機病毒是一些試圖傳播計算機病毒和破壞計算機的個人或組織制造的。

2.傳染期

在一個病毒制造出來后，病毒的編寫者將其復制并確認其已被傳播出去。通常的辦法是感染一個流行的程序，然后再將其放到BBS站點、校園網和其他大型組織當中以達到分發其復制物的目的。

3.潛伏期

病毒是自然復制的。一個設計良好的病毒可以在活化前的很長一個時期里被復制。這就給了它充裕的傳播時間。這時病毒的危害在于暗中占據存儲空間。

4.發作期

帶有破壞機制的病毒會在滿足某一特定條件時發作。一旦遇上某種條件，比如遇到某個日期或用戶采取的某種特定行為，病毒就被活化了。沒有感染程序的病毒處于沒有活化的狀態，這時病毒的危害在于暗中占據存儲空間。

5.發現期

通常情況下，當一個病毒被檢測到并被隔離出來后，它會被送到計算機安全協會或反病毒廠家，在那里病毒被通報和描述給反病毒研究工作者。通常，發現病毒是在病毒成為計算機界的災難之前完成的。

6.分析期

在這一階段，反病毒開發人員修改他們的軟件以使其可以檢測到新發現的病毒。這個階段的長短取決于開發人員的素質和病毒的類型。

7.消亡期

若是所有用戶安裝了最新版的殺毒軟件，那么任何病毒都將被掃除，因此沒有什么病毒可以廣泛地傳播。但有一些病毒在消失之前有一個很長的消亡期。至今，還沒有哪種病毒已經完全消失，但是某些病毒已經在很長時間里不再是一個重要的威脅了。

1.8 計算機病毒的傳播

計算機病毒的傳播主要是通過復制文件、傳送文件、運行程序等方式進行的。而主要的傳播途徑有以下幾種。

1.移動存儲介質

通過使用被感染的軟盤、光盤、U盤、存儲卡等使計算機感染病毒。軟盤和U盤主要是攜帶方便，在網絡還不普及時，為了計算機之間互相傳遞文件，經常使用軟盤，這樣，通過軟盤也會將一臺計算機的病毒傳播到另一臺計算機。隨著數碼消費產品市場的成熟，U盤、CF、SD等各類存儲卡成為了病毒傳播的移動存儲介質。

2.硬盤

在人們互相借用或維修硬盤時可將病毒傳播到其他的硬盤或軟盤上。

3.光盤

光盤的存儲容量大，所以大多數軟件都刻錄在光盤上，以便于保存或互相傳遞。盜版軟件主要是刻錄在光盤上的，因其是只讀的，所以一旦把帶毒的軟件刻錄在光盤上，則不能清除，從而使得病毒無法永遠去除。

4.網絡

在計算機和網絡日益普及的今天，人們通過計算機局域網、互聯網以電子郵件、即時通信工具互相傳遞文件和信件，從而使病毒的傳播速度更快了。因為資源共享，人們經常在網上下載免費及共享軟件，病毒也難免會夾雜在其中。

5.點對點通信系統和無線通道

目前，這種傳播途徑還不是十分廣泛，但預計在未來的信息時代，這種途徑很可能與網絡傳播途徑一起成為病毒擴散的兩大“時尚渠道”。