计算机病毒的特点：计算机病毒是人为编写的特製程式，具有自我複製能力、很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。

病毒存在的必然性：计算机的信息需要存取、複製、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒取得控制权之后，他们会主动寻找感染目标，使自身广为流传。

计算机病毒的长期性：病毒往往会利用计算机作业系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面。完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

网路病毒产业链

计算机病毒的产生：病毒不是来源于突发或偶然的．一次突发的停电和偶然的错误，会在计算机的磁碟和记忆体中产生一些无序和混乱的代码，病毒则是一种比较完美精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网路环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从机率上来讲是不可能通过随机代码产生的。

病毒是人为的特製程式现在流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要情况和目的：一些天才的程式设计师为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软体拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒．

网路天空病毒

计算机病毒的分类：根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：病毒可以划分为网路病毒，档案病毒，引导型病毒。网路病毒通过计算机网路传播感染网路中的执行档，档案病毒感染计算机中的档案（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬碟的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（档案和引导型）感染档案和引导扇区两种目标，这样的病毒通常都具有複杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

驻留型病毒感染计算机后，把自身的记忆体驻留部分放在记忆体（RAM）中，这一部分程式挂接系统调用併合併到作业系统中去，他处于激活状态，一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机记忆体，一些病毒在记忆体中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。

除了传染时减少磁碟的可用空间外，对系统没有其它影响。无危险型这类病毒仅仅是减少记忆体、显示图像、发出声音及同类音响。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型这类病毒删除程式、破坏数据、清除系统记忆体区和作业系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程式产生的错误也会破坏档案和扇区，这些病毒也按照他们引起的破坏能力划分。一些无害型病毒也可能会对新版的DOS、Windows和其它作业系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁碟上很好的工作，不会造成任何破坏，但是在后来的高密度软碟上却能引起大量的数据丢失。

这一类病毒并不改变档案本身，它们根据算法产生EXE档案的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是。病毒把自身写入COM档案并不改变EXE档案，当DOS载入档案时，伴随体优先被执行到，再由伴随体载入执行原来的EXE档案。“蠕虫”型病毒通过计算机网路传播，不改变档案和资料信息，利用网路从一台机器的记忆体传播到其它机器的记忆体，计算网路地址，将自身的病毒通过网路传送。有时它们在系统存在，一般除了记忆体不占用其它资源。寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或档案中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和档案缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒（又称幽灵病毒）这一类病毒使用一个複杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

（1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病毒，此类病毒占病毒总数的99%。

2007年病毒分类比例

（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务作业系统深受用户的欢迎， Windows 正逐渐取代DOS，从而成为病毒攻击的主要对象。发现的首例破坏计算机硬体的CIH病毒就是一个Windows95/98病毒。

（3）攻击UNIX系统的病毒。当前，UNIX系统套用非常广泛，并且许多大型的作业系统均採用 UNIX作为其主要的操 作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。

（4）攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。

（1）攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。

（2）攻击小型机的计算机病毒。小型机的套用範围是极为广泛的，它既可以作为网路的一个节点机， 也可以作为小的计算机网路的主机。起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但自1988年11月份Internet网路受到worm程式的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。

（3）攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且套用範围也有了较大的发展， 所以我们不难想像，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。

由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执 行的部分。

（1）源码型病毒 该病毒攻击高级语言编写的程式，该病毒在高级语言所编写的程式编译前插入到原程式中，经编译成为合法程式的 一部分。

（2）嵌入型病毒 这种病毒是将自身嵌入到现有程式中，把计算机病毒的主体程式与其攻击的对象以插入的方式连结。这种计算机病 毒是难以编写的）一旦侵入程式体后也较难消除。如果同时採用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将 给当前的反病毒技术带来严峻的挑战。

新增病毒种类

（3）外壳型病毒 外壳型病毒将其自身包围在主程式的四周，对原来的程式不作修改。这种病毒最为常见，易于编写，也易于发现， 一般测试档案的大小即可知。

（4）作业系统型病毒 这种病毒用它自己的程式意图加入或取代部分作业系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。 圆点病毒和大麻病毒就是典型的作业系统型病毒。这种病毒在运行时，用自己的逻辑部分取代作业系统的合法程式模组，根据病毒自身的特点和被替代的作业系统中合法程式模组在作业系统中运行的地位与作用以及病毒取代作业系统的取代方式等，对作业系统进行破坏。

（1）良性计算机病毒 良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然，认为这只是恶作剧，没什幺关係。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低， 系统可用记忆体总数减少，使某些应用程式不能运行。它还与作业系统和应用程式争抢CPU的控制权， 时时导致整个系统死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个档案不停地反覆被几种病毒所感染。 例如原来只有10KB的档案变成约90KB，就是被几种病毒反覆感染了数十次。这不仅消耗掉大量宝贵的磁碟存储空间，而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。

（2）恶性计算机病毒 恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。 这类病毒是很多的，如米开朗基罗病毒。当米氏病毒发作时，硬碟的前17个扇区将被彻底破坏，使整个硬碟上的数据无法被恢复，造成的损失是无法挽回的。有的病毒还会对硬碟做格式化等破坏。这些操作代码都是刻意编写进病毒的，这是其本性之一。因此这类恶性病毒是很危险的，应当注意防範。所幸防病毒系统可以通过监控系统内的这类异常动作识 别出计算机病毒的存在与否，或至少发出警报提醒用户注意。

Trojan/PSW.GamePass“网游大盗”是一个盗取网路游戏帐号的木马程式，会在被感染计算机系统的后台秘密监视用户运行的所有应用程式视窗标题，然后利用键盘钩子、记忆体截取或封包截取等技术盗取网路游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料传送到骇客指定的远程伺服器站点上。致使网路游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。“网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。

计算机病毒可以像生物病毒一样进行繁殖，当正常程式运行的时候，它也进行运行自身複製，是否具有繁殖、感染的特徵是判断某段程式为计算机病毒的首要条件。

计算机中毒后，可能会导致正常的程式无法运行，把计算机内的档案删除或受到不同程度的损坏。通常表现为：增、删、改、移。

计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被複製或产生变种，其速度之快令人难以预防。传染性是病毒的基本特徵。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的电脑程式代码，这段程式代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程式或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那幺病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如软碟、硬碟、移动硬碟、计算机网路去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软碟已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程式是否为计算机病毒的最重要条件。

有些病毒像定时炸弹一样，让它什幺时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程式，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁碟或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什幺破坏。触发条件一旦得到满足，有的在萤幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁碟、删除磁碟档案、对数据档案做加密、封锁键盘以及使系统死锁等。

计算机病毒具有很强的隐蔽性，有的可以通过病毒软体检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、档案类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

1、不可移动的计算机硬体设备，如即利用专用积体电路晶片（ASIC）进行传播。这种计算机病毒虽然极少，但破坏力却极强，尚没有较好的检测手段对付。

2、移动存储设备（包括软碟、磁带等），如可移动式磁碟包括软碟、CD-ROMs、ZIP和JAZ磁碟，后两者仅仅是存储容量比较大的特殊磁碟。其中软碟是使用广泛、移动频繁的存储介质，因此也成了计算机病毒寄生的“温床”。盗版光碟上的软体和游戏及非法拷贝也是传播计算机病毒主要途径。随着大容量可移动存储设备如Zip盘、可擦写光碟、磁光碟（MO）等的普遍使用，这些存储介质也将成为计算机病毒寄生的场所。

硬碟是数据的主要存储介质，因此也是计算机病毒感染的重灾区。硬碟传播计算机病毒的途径体现在：硬碟向软碟上複製带毒档案，带毒情况下格式化软碟，向光碟上刻录带毒档案，硬碟之间的数据複製，以及将带毒档案传送至其他地方等。

3、网路，如网路是由相互连线的一组计算机组成的，这是数据共享和相互协作的需要。组成网路的每一台计算机都能连线到其他计算机，数据也能从一台计算机传送到其他计算机上。如果传送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网路中的计算机。

与传统单机防毒不同的是，网路防毒体系需要统一管理、统一规划，管理者应对企业网结构了如指掌，细到了解内部伺服器和客户机个数，进而能够通过可控的中央管理平台，统一安装客户端的防毒产品，掌握病毒发作情况、防毒产品狙击病毒的运行情况，管理各设备代码库更新工作等等。具体来讲，网路防毒的管理模式有以下几种：

（一）分散式管理模式

即每一系列产品都有一个自己的管理平台，与其他系列的产品管理平台互不联繫，只能一个管理平台管理一个系列的产品，管理平台是嵌入到产品内部的。这种管理模式适用于伺服器较少的小型区域网路，目前很多国内外厂商的防毒产品都採取这种模式。

（二）直接集中控制管理模式

即把所有系列的产品集中在一个单独设立的防毒伺服器上进行分发和管理，这里典型的代表是Symantec控制中心（Symantec System Center，SSC）。Symantec对于网路各层次的防毒产品是通过该控制中心为企业网路防毒的安装、维护、更新及报表等提供集中管理工具，其中防火墙、网关、Lotus Notes以及Microsoft Exchange防毒产品均採用基于Web的管理方式，因此可以实现远程管理。这种管理模式比较适合于伺服器较多的中型区域网路。

（三）既可分散又可集中控管的管理模式

最具代表性的是趋势科技，它的各系列防毒产品都各有一个内嵌式管理平台，而且都有适合远程管理的Web方式，而这一系列管理平台又交给另外一个独立的网路防毒管理平台Trend Virus Control System (TVCS)来进行统一全面的管理。TVCS让管理人员可以透过单一的主控台设定、监控以及管理网路上所有的防毒软体，超越了平台与地理上的限制。此外，它还能管理一些其他防毒厂商的产品，如NAI的 NetShield for NT和GroupShield for NT 、Symantec的Norton AntiVirusfor NT、Dr Solomon 的 Anti-Virus for NT、CA的InocuLAN for NT（它包括AntiVirus Agents for Exchange与Notes）、Intel的LANDesk Virus Protect for NT以及Command Software/Data Fellows的Net-Prot for NT。趋势科技防毒集中管理模式具有专业的管理功能，既适合于小型网路的分散式管理模式（不需要TVCS），又适合于大型跨网段跨平台网路的集中管理。

网路用户需要採取的措施有：

1、不要随便下载档案，如必要，下载后应立即进行病毒检测。对接收的包含Word文档的电子邮件，应立即用能清除“宏病毒”的软体予以检测，或者是用Word打开文档，选择“取消宏”或“不打开”按钮。
2、安装防毒软体，并注意及时升级病毒库，定期对你的计算机进行查毒防毒，每次使用外来磁碟前也应对磁碟进行查防毒。
3、安装个人防火墙，软体产品有：瑞星、天网等个人防火墙。
4、定期进行Windows更新，Windows Update是 Windows 的在线上扩展，使您的计算机保持最新。用 Windows Update 选择适用于您的计算机作业系统，软体和硬体驱动程式的更新。新的内容将定期添加到站点，这样您总能够得到最新的更新和补丁程式，来保护您的计算机并使它平稳运行。其操作步骤如下：
①单击“开始”按钮→单击“Windows Update”，萤幕显示如下：

②单击“扫描以寻找更新”，萤幕显示如下：

③单击“複查并安装更新”，萤幕显示如下：

④单击“立即安装”按钮。（如果你是初次进行Windows更新，则应将Internet Explorer的更新程式与其它更新程式分开安装（萤幕上有提示），你可以先将Internet Explorer的更新程式删除，然后单击“立即安装”按钮，再重複步骤②至④。）此时萤幕显示如下：

⑤单击“接受”按钮，系统开始进行更新，更新完成后，重新启动计算机即可。