病毒种类与感染范围|计算机网络

广义地讲，蠕虫、僵尸及其他种类的病毒都属于计算机病毒，共同的特性是复制和繁殖，有些种类的病毒还能够产生变种。另外它们都是恶意代码，都会对计算机、网络及数据信息产生危害。

1.病毒的特征

（1）寄生性：病毒会寻找宿主并寄生在宿主的特定位置。主要有两类宿主，一类是硬件设备，如计算机的硬盘，病毒会将自身的一部分替代硬盘的主引导扇区内的磁盘引导程序，或者将自己嫁接到磁盘引导程序上。另一类宿主是文件，如可执行文件（Windows系统中的COM或EXE文件）、DOC文件、HTML文件等，病毒将自身嫁接到正常的文件中，如病毒将自身的代码放在可执行文件的尾部，并在正常可执行文件的头部加上跳转指令。用户在执行该文件时，实际上是先执行了病毒的代码，然后才执行正常代码。

（2）非授权执行：病毒的执行是在用户不知情的情况下进行的，其在没有得到用户授权的情况下，窃取用户权限，以用户身份感染其他用户的系统或整个网络系统，获取和破坏用户数据信息等。

（3）传染性：与自然界的病毒类似，计算机病毒能够自我复制，甚至产生新的变异品种，并且能够自动寻找新的宿主，并感染宿主。病毒种类不同，其感染范围和感染速度也有所不同。有的病毒能够跨硬件平台和操作系统进行传染，有些能够在很大范围的网络环境进行传染。

（4）隐蔽性：病毒在感染新的宿主之后，常常不会立即表现出异常行为，而是将自己隐藏起来，等待合适的时机。比如7.1节讲到的美国迪恩公司服务器遭到“分布式拒绝服务攻击”（DDoS）的例子中，病毒在传播的过程中，在被感染的设备（如摄像头）中一直采取潜伏的状态，直到2017年10月21日才一起发动攻击，大量的同时攻击造成服务器无法处理而使得系统瘫痪，因而造成极大的危害。

（5）可触发：隐蔽的病毒在设计者预设的条件成立的情况下，能够被激活而发动攻击。这些预设的条件有以下多种形式。

时间触发：比如有些病毒在所谓“黑色星期五”发动攻击。

计数触发：根据事件发生的次数触发，比如有些DOC宏病毒会记录用户敲击键盘的次数，当达到一定的次数时触发病毒的破坏模块。

感染数量触发：根据感染的宿主的数量或范围触发，比如有些病毒根据在网络中传播时经过的路由器数（即跳数），触发攻击。

还有根据系统启动次数等多种多样的条件触发病毒攻击。

（6）破坏性：几乎所有病毒都具有破坏性，有些种类的破坏非常轻微，比如只是短时间干扰显示器或键盘鼠标的使用，大多数的破坏行为都会造成用户的损失，这些损失包括系统长时间不能使用、用户数据被窃取或破坏、网络系统不能正常工作等，甚至被勒索金钱。

2.病毒的种类

随着计算机网络的普及，网络上的设备越来越多，上网的具有各层次技术能力的人员越来越多，给病毒设计者施展能力的空间也越来越大，因而病毒的种类也变得非常庞杂。

（1）根据攻击的目标，病毒可以分为以下几类。

操作系统病毒：攻击装有特定操作系统的计算机，如Windows病毒、Linux病毒等。

物联网病毒：攻击网络中的智能设备，比如具有网络功能的摄像头等。

网络病毒：以网络上的各类服务器为攻击目标。

手机病毒。

（2）根据宿主的类型，可以分为以下几类。(www.xing528.com)

引导病毒：感染计算机硬盘的主引导扇区。

文件病毒：感染可执行文件、文档文件或HTML文件。其中，感染DOC和XLS文档的病毒，是在Word和Excel软件在编辑文档时，调用了文档中的被感染的“宏”指令实施感染和破坏的；HTML病毒则是在HTML文件中的链接中，嵌入脚本语言写成的病毒代码，通过浏览者的点击进行感染和破坏的。

混合型病毒：综合了系统引导型病毒和文件型病毒的特性，不仅感染系统引导区，也感染文件。

（3）根据病毒体的表现方式，可以分为以下几类。

变异型病毒：在传播和繁殖过程中，使用复杂的算法，使自己每传播一份都具有

不同的内容和长度，以躲避防病毒软件的查杀。

伴随型病毒：这类病毒根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM）。例如，xcopy.exe的伴随体是xcopy．com。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

蠕虫型病毒：主要通过计算机网络进行传播，不改变文件和资料信息，只是利用网络从一台机器的内存传播到其他机器的内存中。

（4）根据病毒的破坏力，可以分为以下几类。

无害型：除了减少磁盘可用空间外，对系统没有其他影响。

无危险型：仅仅会减少内存、显示图像、发出声音等。

危险型：会对计算机或网络系统的运行造成严重的错误。

非常危险型：这类病毒可以删除程序、破坏数据、破坏操作系统文件、阻止网络服务器正常服务。

3.病毒的结构特点

虽然各类型病毒会有所区别，有些种类只针对计算机，有些种类是攻击系统和网络，有些还会长期潜伏，但它们在组成和结构上基本一致。

在组成和结构上，一些寄生在硬件设备的病毒，如寄生在磁盘引导区内的病毒，有引导模块，病毒需要引导模块激活，但这种病毒由于依赖于硬件结构、操作系统的种类和版本，因此适应性差，种类不是很多。目前，大多数计算机病毒都是寄生在文件中，如可执行文件、DOC文件、HTML文件等。这些病毒主要包括三个部分。

（1）传染模块：功能是发现未被感染的正常目标文件，并将文件的结构进行改造，将病毒体寄生在正常文件中。

（2）触发模块：负责测试触发破坏模块执行的条件是否成立，如果条件成立则执行破坏模块。

（3）破坏模块：负责执行预定的破坏功能，如干扰显示、删除信息、设置陷门、破坏系统、控制网络、加密用户数据然后提示勒索等。