1.1.4 计算机病毒的分类

从第一个病毒问世以来，病毒的种类多得已经难以准确统计。时至今日，病毒的数量仍在不断增加。据国外统计，计算机病毒数量正以每周10种的速度递增，另据我国公安部统计，国内以每月4～6种的速度在递增。计算机病毒按照其不同的特点及特性有许多种分类方法。由于同一种病毒可能同时具备多种特征，因此在分类隶属关系上会产生交叉。

1.按照计算机病毒侵入的系统分类

（1）DOS系统下的病毒

这类病毒出现最早，泛滥于20世纪80～90年代。如“小球”病毒、“大麻”病毒、“黑色星期五”病毒等，恐怕有不少40岁左右的人，都对它们记忆犹新。

（2）Windows系统下的病毒

随着20世纪90年代Windows的普及，Windows下的病毒便开始广泛流行。CIH病毒就是经典的Windows病毒之一。

（3）UNIX系统下的病毒

当前，UNIX系统应用非常广泛，许多大型系统均采用UNIX作为其主要的操作系统，所以UNIX下的病毒也就随之产生了。

（4）OS/2系统下的病毒。

OS/2是由微软和IBM公司共同创造，后来由IBM单独开发的一套操作系统。OS/2是“Operating System/2”的缩写，是因为该系统作为IBM第二代个人计算机PS/2系统产品线的理想操作系统引入的。

不过IBM宣布自2005年12月23日开始，不再销售和支持OS/2系统。OS/2的支持者要求IBM将OS/2的源码开放，尽管目前OS/2仍然拥有部分市场，但是IBM声称，从2006年开始，需要进行特殊预约才可以获得进一步的技术支持。OS/2所有产品的销售将于2006年12月23日停止，而多任务操作系统也将于12月31日前停止销售，并开始向Linux系统转移。对于IBM来说，这不是什么坏消息；因这种产品已销售20多年时间，但从OS/2 Presentation Manager到Warp，每一款产品都受到了微软的挤压。

在随后版本的OS/2中也引入了LX（Linear eXecutable，线性可执行文件）文件格式。在这种文件格式上实现的病毒并不是很多，不过仍然有少量这种病毒，例如，一种非常简单的、具有重写功能的OS2/Myname病毒。Myname使用了一些系统调用，如DosFindFirst()、DosFindNext()、DosOpen()、DosRead()和DosWrite()，来确定可执行文件的位置，然后用它自己重写可执行文件。这种病毒在当前目录中寻找具有可执行文件扩展名的文件，在感染之前并不识别OS/2 LX文件，仅仅是将所有的文件用其自身的副本来重写。尽管如此，OS2/Myname病毒仍然对LX文件格式和OS/2环境有着依赖性，因为执行过程证实，这种病毒本身就是LX格式的可执行文件。

2.按照计算机病毒的链接方式分类

（1）源码型病毒

这种病毒主要攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。

（2）嵌入型病毒

这种病毒是将自身嵌入到现有程序中，把病毒的主体程序与其攻击的对象以插入的方式链接。

（3）外壳型病毒

这种病毒将其自身包围在被侵入的程序周围，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可查出。

（4）操作系统型病毒

这种病毒用它自己的程序代码加入或取代部分操作系统代码进行工作，具有很强的破坏力，可以使整个系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。

3.按照计算机病毒的寄生部位或传染对象分类

传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，也就是根据计算机病毒的传染方式进行分类，有以下几种。

（1）磁盘引导型病毒

磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动时）就能获得控制权，其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，因此，如果对磁盘上被移走的正常引导记录不进行保护，在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病毒。

（2）操作系统型病毒

操作系统是计算机应用程序得以运行的支持环境，由.SYS、.EXE和.DLL等许多可执行的程序及程序模块构成。操作系统型病毒就是利用操作系统中的一些程序及程序模块寄生并传染的病毒。通常，这类病毒成为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不完善性给这类病毒出现的可能性与传染性提供了方便。“黑色星期五”就是这类病毒。

（3）感染可执行程序的病毒

通过可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒就会被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件进行传染。

（4）感染带有宏的文档

随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及，病毒家族又出现了一个新成员，这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活并转移到计算机上，且驻留在Normal模板中。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且，如果其他用户打开了已感染病毒的文档，宏病毒又会转移到该用户的计算机中。

对于以上4种病毒的分类，实际上可以归纳为两大类：一类是存在于引导扇区的计算机病毒；另一类是存在于文件的计算机病毒。

4.按照计算机病毒的传播介质来分类

按照计算机病毒传播的介质，可以划分为单机病毒和网络病毒两种。

（1）单机病毒

单机病毒的载体是磁盘，一般情况下，病毒从USB盘、移动硬盘传入硬盘，感染系统，然后再传染其他USB盘和移动硬盘，接着传染其他系统，例如，CIH病毒。

（2）网络病毒

网络病毒的传播介质不再是移动式存储载体，而是网络通道，这种病毒的传染能力更强，破坏力更大，例如，“尼姆达”病毒。

5.按照计算机病毒存在的媒体进行分类

根据计算机病毒存在的媒体，可以划分为网络病毒，文件病毒，引导型病毒和混合型病毒。

（1）网络病毒

通过计算机网络传播感染网络中的可执行文件的病毒。

（2）文件病毒

感染计算机中的文件（如COM，EXE，DOC等）。

（3）引导型病毒

病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。

（4）混合型病毒

同时具备引导型和文件型两类病毒特征的病毒就称为混合型病毒，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法，所以这类病毒清除的难度更大。

6.按照计算机病毒传染的方法进行分类

这种分类方法是按照计算机病毒传播的媒介进行划分的。

（1）邮件病毒

通过邮件传播的病毒。

（2）U盘病毒

通过U盘传播的病毒。

（3）网页病毒

利用网页传播的病毒。

（4）文件病毒

通过文件传播的病毒。

7.根据病毒的破坏情况划分

根据病毒的破坏情况，可划分为良性病毒和恶性病毒两类。

（1）良性病毒

良性病毒是指不包含立即对计算机系统产生直接破坏作用的代码。良性病毒的危害性小，不破坏系统和数据。虽然如此，但它大量占用系统开销，将使机器无法正常工作，陷于瘫痪。良性病毒是相对而言的，通常也会导致整个系统执行效率降低，使系统可用内存资源减少，或者消耗宝贵的磁盘存储空间。如国内出现的圆点病毒就是良性的。因此不能轻视所谓良性病毒对计算机系统造成的危害。

（2）恶性病毒

恶性病毒是指在代码中包含损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。恶性病毒可能会毁坏数据文件，也可能使计算机停止工作。恶性病毒往往封锁、干扰、中断输入/输出，破坏硬盘分区表信息、主引导信息、文件分配表，删除数据文件，甚至格式化硬盘等。这些病毒不仅完全是故意的破坏，而且有些恶性病毒当它们在传染时会引起无法预料的、灾难性的破坏。所以说恶性病毒是非常危险的，应当注意防范。

8.按照计算机病毒功能进行分类

按照计算机病毒功能进行分类，计算机病毒有几十种类型，不同的杀毒厂商，其具体的分类方法也有所不同，而且很多类型下面还有若干子类型，笔者简要介绍一些重要常见的类型。

（1）Virus（感染型）

Virus是指将病毒代码附加到被感染的宿主文件（如PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染的宿主文件运行时取得运行权的病毒。当正常文件被感染后，仍然具有以前的功能，但是在正常文件运行的同时也会执行病毒的功能，所以它的欺骗性非常大。并且，又因为是正常文件，我们不能够删除，只能清除病毒，病毒处理难度大，因此这种病毒的危害级别最高。

（2）Worm（蠕虫）

Worm是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如MSN、OICQ、IRC等）、可移动存储介质（如U盘、软盘）这些方式传播自己的病毒。这种类型的病毒还有子类型，其子类型的行为类型用于表示病毒所使用的传播方式。例如，IM病毒通过IM——Instant Messaging（即时通信，实时传信）这类载体传播自己；Mail病毒通过邮件传播； MSN病毒通过MSN传播；ICQ病毒通过ICQ传播；QQ病毒通过OICQ传播；P2P病毒通过P2P软件传播；IR病毒通过ICR传播。

因为这类病毒的传播性，很容易使更多的计算机中毒，更多的用户受到危害，所以它的危害级别仅次于Virus位居第二。

（3）Backdoor（后门）

Backdoor是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如文件管理、进程控制等）。它的危害级别占第三位。

（4）Trojan（木马）

Trojan是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，而且还具有子类型。它的利益目的也就是这种病毒的子行为。例如：

① TrojanSpy：窃取用户信息；

② PSW：具有窃取密码的行为；

③ DownLoader：下载病毒并运行；

④ Clicker：单击指定的网页；

⑤ Dialer：通过拨号来骗取Money的程序；

⑥ Dropper：释放病毒的程序，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行；

⑦ Rootkit：一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改。最常见的是修改内核枚举进程的API，让它们返回的数据始终“遗漏”Rootkit自身进程的信息，一般的进程工具自然就“看”不到Rootkit了。

（5）VirusTool病毒工具

VirusTool是指可以在本地计算机通过网络攻击其他计算机的工具。

（6）Constructor（黑客工具）病毒生成器

Constructor是指可以生成不同功能的病毒的程序。

（7）Joke（玩笑程序）

Joke是指运行后不会对系统造成破坏，但是会对用户造成心理恐慌的程序。

9.其他分类方式

（1）传统病毒

能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒。

（2）宏病毒（Macro）

利用Word、Excel等的宏脚本功能进行传播的病毒。

（3）恶意脚本（Script）

具有破坏性的脚本程序。包括HTML脚本、批处理脚本、VBScript、JavaScript脚本等。

（4）木马（Trojan）程序

当病毒程序被激活或启动后用户无法终止其运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病毒的标准不好确定，通常的标准是：在用户不知情的情况下安装，隐藏在后台，服务器端一般没有界面无法配置。

（5）黑客（Hack）

利用网络来攻击其他计算机的网络工具，被运行或激活后就像其他正常程序一样有界面。黑客程序是用来攻击/破坏别人的计算机，而对使用者本身的机器没有损害。

（6）蠕虫（Worm）程序

蠕虫病毒是一种可以利用操作系统的漏洞、电子邮件、P2P软件等自动传播自身的病毒。

（7）破坏性程序（Harm）

病毒启动后，破坏用户计算机系统，如删除文件，格式化硬盘等。常见的是bat文件，也有一些是可执行文件，有一部分和恶意网页结合使用。