计算机病毒有哪些？

　　此篇农资文章内容会给农资从业者们剖析“计算机病毒有哪些？”的内容进行详尽详细，期望对农友们有所帮助，欢迎大家收藏本站！

　　传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：。

　　米开朗基罗病毒，潜伏一年，“硬”是要得（这个没看懂）。

　　DatacrimeII资料**-低阶格式化硬盘，高度破坏资料。

　　Friday13th黑色（13号）星期五-“亮”出底细。

　　Flip翻转-下午4：00屏幕倒立表演准时开始。

　　FRODOVIRUS(福禄多病毒)-“毒”钟文件配置表。

　　PE_MARBURG-掀起全球“战争游戏”。

　　TaiwanNO1文件宏病毒-数学能力大考验。

　　·特洛伊木马病毒VS计算机蠕虫。

　　“Explorezip探险虫”具有「开机后再生」、「即刻连锁破坏」能力。

　　Nimda走后门、发黑色信件、瘫痪网络。

　　21开机型病毒(BootStrapSectorVirus)：。

　　开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计，使得病毒可以在每次开机时，在操作系统还没被加载之前就被加载到内存中，这个特性使得病毒可以针对DOS的各类中断(Interrupt)得到完全的控制，并且拥有更大的能力进行传染与破坏。

　　Michelangelo米开朗基罗病毒-潜伏一年，“硬”是要得。

　　病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区（PartitionTable）和开机区（BootSector），以及软盘的开机区（BootSector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机，如果该磁盘正好感染了米开朗基罗，于是，不管是不是成功的开机，可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到3月6日使用者一开机若出现黑画面，那表示硬盘资料已经跟你说ByeBye了。

　　历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座。

　　22文件型病毒(FileInfectorVirus)：。

　　文件型病毒通常寄生在可执行文件(如，EXE等)中。当这些文件被执行时，病毒的程序就跟着被执行。

　　文件型的病毒依传染方式的不同，又分成非常驻型以及常驻型两种：。

　　(1)非常驻型病毒(Non-memoryResidentVirus)：。

　　非常驻型病毒将自己寄生在，EXE或是SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

　　DatacrimeII资料**-低阶格式化硬盘，高度破坏资料。

　　发病日：10月12日起至12月31日。

　　病征：每年10月12日到12月31号之间，除了星期一之外DATACRIMEII会在屏幕上显示：DATACRIMEIIVIRUS。

　　然后低阶格式化硬盘第0号磁柱(CYLINDER0从HEAD0~HEAD8)FORMAT后，会听到BEEP一声当机，从此一蹶不振。

　　历史意义：虽然声称为**，但它已经快绝迹了。

　　(2)常驻型病毒(MemoryResidentVirus)：。

　　常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如Interrupts)，由于这个原因，常驻型病毒往往对磁盘造成更大的伤害。

　　一旦常驻型病毒进入了内存中，只要执行文件被执行，它就对其进行感染的动作，其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

　　Friday13th黑色（13号）星期五-“亮”出底细。

　　病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快，其发病的唯一征兆是A：磁盘驱动器的灯会一直亮着。

　　十三号星期五病毒登记有案的变种病毒，如：Edge、Friday13th-540C、Friday13th-978、Friday13th-B、Friday13th-C、Friday13th-D、Friday13th-NZ、QFresh、Virus-B等。其感染的本质几乎大同小异，其中Friday13th-C病毒，当它进行感染文件时，屏幕上会显示一行客套语：“Wehopewehaven''tinconvenienc**you”。

　　历史意义：为13号星期五的传说添加更多黑色成分。

　　23复合型病毒(Multi-PartiteVirus)：。

　　复合型病毒兼具开机型病毒以及文件型病毒的特性。

　　它们可以传染，EXE文件，也可以传染磁盘的开机系统区(BootSector)。由于这个特性，使得这种病毒具有相当程度的传染力。

　　一旦发病，其破坏的程度将会非常可观。

　　Flip翻转-下午4：00屏幕倒立表演准时开始。

　　病征：每个月2号，如果使用被寄生的磁盘或硬盘开机时，则在16时至16时59分之间，屏幕会呈水平翻动。

　　历史意义：第一只使具有特异功能的病毒。

　　24隐型飞机式病毒(StealthVirus)：。

　　隐型飞机式病毒又称作中断截取者(InterruptInterceptors)。

　　顾名思义，它通过控制DOS的中断向量，把所有受其感染的文件“假还原”，再把“看似跟原来一模一样”的文件丢回给DOS。

　　FRODO福禄多-“毒”钟文件配置表。

　　发病日：9月22日-12月31日。

　　病征：4096病毒最喜欢感染，EXE和OVL文件，顾名思义被感染的文件长度都会增加4，096bytes。

　　它会感染资料文件和执行文件(包括：、EXE)和OVL等覆盖文件。当执行被感染的文件时，会发现速度慢很多，因为FAT(文件配置表)已经被破坏了。

　　9月22日-12月31日会导致系统当机。

　　历史意义：即使你用DIR指令检查感染文件，其长度、日期都没有改变，果真是伪装秀的始祖。

　　25千面人病毒(Polymorphic/MutationVirus)：。

　　千面人病毒可怕的地方，在于每当它们繁殖一次，就会以不同的病毒码传染到别的地方去。每一个中毒的文件中，所含的病毒码都不一样，对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验。有些高竿的千面人病毒，几乎无法找到相同的病毒码。

　　PE_MARBURG-掀起全球“战争游戏”。

　　发病日：不一定（中毒后的3个月）。

　　病征：Marburg病毒在被感染三个月后才会发作，若感染Marburg病毒的应用软件执行的时间刚好和最初感染的时间一样(例如，中毒时间是9月15日上午11点，若该应用程序在12月15日上午11点再次被执行)，则Marburg病毒就会在屏幕上显示一堆的“X”。如附图。

　　历史意义：专挑盛行的计算机光盘游戏下毒，1998年最受欢迎的MGM/EA「战争游戏」，因其中有一个文件意外地感染Marburg病毒，而在8月迅速扩散。

　　感染PE_Marburg病毒后的3个月，即会在桌面上出现一堆任意排序的“X”符号。

　　26宏病毒(MacroVirus)：。

　　宏病毒主要是利用软件本身所提供的宏能力来设计病毒，所以凡是具有写宏能力的软件都有宏病毒存在的可能，如Word、Excel、AmiPro等等。

　　TaiwanNO1文件宏病毒-数学能力大考验。

　　病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案，一旦答错，则立即自动开启20个文件文件，并继续出下一道题目。一直到耗尽系统资源为止。

　　历史意义：1台湾本土地一只文件宏病毒。21996年年度**，1997年三月踢下米开朗基罗，登上毒王宝座。

　　3被列入ICSA（国际计算机安全协会）「InTheWild」病毒数据库。（凡难以驯服、恶性重大者皆会列入此黑名单）。

　　27特洛伊木马病毒VS计算机蠕虫。

　　特洛依木马（Trojan）和计算机蠕虫（Worm）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

　　特洛依木马（Trojan）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段「木马屠城记」的小**：。

　　话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国，此举竟引发了为期十年的特洛依大战。这场历经九年的大战，为何在最后一年会竟终结在一只木马上呢原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马，打算来个“木马屠城计”。希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退，以便诱敌上勾。

　　果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中，打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之际，木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻。

　　顿时之间，一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。

　　后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

　　特洛伊木马程序不像传统的计算机病毒一样会感染其它文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化碟、删除文件、窃取密码等。

　　计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机，方法有很多种例如透过局域网络或是E-mail最著名的计算机蠕虫案例就是“ILOVEYOU-爱情虫”。

　　例如：“MELISSA-梅莉莎”便是结合“计算机病毒”及“计算机蠕虫”的两项特性。该恶性程序不但会感染Word的Normaldot（此为计算机病毒特性），而且会通过OutlookE-mail大量散播（此为计算机蠕虫特性）。

　　事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了“特洛伊木马程序”、“计算机蠕虫”型态来造成更大的影响力。一个耳熟能详的案例是“探险虫”（ExploreZip）。

　　探险虫会覆盖掉在局域网络上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域网络将自己安装到远程计算机上（此为计算机蠕虫特性）。

　　“Explorezip探险虫”具有「开机后再生」、「即刻连锁破坏」能力。

　　病征：通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。

　　计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒“zipp**_file**e”以电子邮件的附件的方式寄给送信给这部计算机的用户。

　　对方收到的信件内容如下：Hi。Ireceiv**youremailandIshallsendyouareplyASAPTillthen，takealookattheattach**zipp**docs问候语也有可能是Bye，Sincerely，All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时，这只病毒会出现如下的假信息“Cannotopenfile：itdoesnotappeartobeavalidarchiveIfthisfileispartofaZIPformatbackupset，insertthelastdiskofthebackupsetandtryagainPleasepressF1forhelp”一旦使用者执行了这个病毒，它会存取使用者的C：到Z：磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。

　　造成使用者资料的损失。c(csourcecodefiles)cpp(c++sourcecodefiles)h(programheaderfiles)a**(assemblysourcecode)doc(MicrosoftWord)xls(MicrosoftExcel)ppt(MicrosoftPowerPoint)。

　　--传统病毒：立刻关机，重新开机，停止它正进行的破坏行动--探险虫：不似传统病毒，一旦重新开机，即寻找网络上的下个受害者。

　　-走后门、发黑色信件、瘫痪网络。

　　自从2023七月CodeR**红色警戒利用IIS漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeR**在病毒史上的地位，就如同第一只病毒Brain一样，具有难以抹灭的历史意义。

　　如同网络安全专家预料的，CodeR**将会成为计算机病毒、计算机蠕虫和黑客“三管齐下”的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为。果不其然，在造成全球262亿美金的损失后，不到2个月同样攻击IIS漏洞的Nimda病毒，其破坏指数却远高于CodeR**。

　　Nimda反传统的攻击模式，不仅考验着MIS人员的应变能力，更使得传统的防毒软件面临更高的挑战。

　　继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在网络上大量散播，包含：电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。

　　由于Nimda的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

　　每一台中了Nimda的计算机，都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据，形成无限循环的DoS阻断式攻击。另外，若该台计算机先前曾遭受CodeR**植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

　　类似Nimda威胁网络安全的新型态病毒，将会是MIS人员最大的挑战。“。

　　病征：通过eMail、网络芳邻、程序安全漏洞，以每15秒一次的攻击频率，袭击数以万计的计算机，在24小时内窜升为全球感染率第一的病毒。

　　计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让网络上的计算机几乎零时差地被病毒攻击。

　　防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙」(Firewall)，这是一套专门放在Inter大门口(Gateway)的身份认证系统，其目的是用来隔离Inter外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。

　　有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让**进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

　　一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而CodeR**、Nimda即是利用微软公司的IIS网页服务器操作系统漏洞，大肆为所欲为。

　　CodeR**能在短时间内造成亚洲、美国等地36万计算机主机受害的事件，其中之一的关键因素是宽带网络（Broadband）的”always-on“(固接，即二十四小时联机)特性特性所打开的方便之门。

　　宽带上网，主要是指Cablemodem与xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的拨接为大，同时也让二十四小时固接上网变得更加便宜。

　　事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

　　当CodeR**在Inter寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，”雀屏中选"的机率便大幅提升了。

　　当我们期望Broadband（宽带网络）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。

　　唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界。

　　计算机及网络家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。

　　在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上网络，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。

　　过去我们认为计算机防毒与防止黑客是两回事（见表一），然而CodeR**却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeR**却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题。

　　封装出了用到工具，对于一些隐蔽性高的一般是编程封装。

　　1、用软件包制作工具进行封装（如用FilePacker），把后门也封装进去，在封装好的文件释放到硬盘的时候，悄悄的自动运行了封装的后门。

　　这个想必很多人都吃过这个、的苦头，例如去某个站上下载东西安装的时候就不幸中招了。这种可能被很多软件**，在安装时就会出现重复的现象，NIC中文邮件网址、上网助手、划词搜索、网络猪、小蜜蜂、百度搜索工具条、青娱乐等软件就出现在多种软件里被集成使用。

　　如果是装了弹窗广告软件更可怕。不但影响心情，更占用大量系统资源使计算机无法工作。

　　简单的方式：有编程基础的人，写一段代码将程序A和后门B都封装到可执行程序C中，在执行C的时候，先执行A在通过一段代码跳到B，把A的属性信息图标都换成A的，这样在执行C程序的时候，A与B都执行了。

　　可以加上自己想要的更多的功能，STUB就是后门，或者STUB不是后门，把宿主附加到后面再把后门附加到后面也可以。

　　甚至带个图标，熊猫烧香的原理里面有点类似这个原理。

　　3、用WINRAR进行封装。

　　这里不做详细介绍了，您可以在BAIDU里面搜索：自解压缩木马制作，会有大量的文章。

　　木马工具里面有一种工具叫**机。

　　**工具将后门加入软件简单化了，但是它的技术是发展的，且也是随着发展由潜入深的。

　　所谓**机是将两个或两个以上可执行文件或文本文件格式的文件或其他格式的文件**在一起，成为一个可执行文件，在执行这个文件的时候，**在里面的文件都被执行。

　　**工具的原理也不尽相同，简单介绍下面三种。

　　这个里面很容易发现资源项很少，两个或者三个，导出后就是两个独立的可执行文件，后门也原形毕露了。这种**机是传统的**机。

　　当然现在借助于加壳工具加一次压缩壳壳或加多重或加加密壳也是很难发现的。

　　2、融合式**，这种结合了X-CODE的技术。

　　学过编程或者了解PE结构的人都知道资源是EXE中的一个特殊的区段。可以用来包含EXE需要或需要用到的其他东西。

　　而**器用的时候先将头文件释放出来，然后用上面说的三个API函数将待**的文件更新到这个头文件中即完成了**。

　　3、编译**技术实现。

　　是将要**的文件转换成16进制保存到一个数组中。像这样muma：array[]ofByte=($4D，$5A，$50$00)。然后用时再用API函数CreateFile和WriteFile便可将文件还原到硬盘。

　　这里稍稍学过编程的都知道。代码中的数组经过编译器、连接器这么一弄。

　　就这种方法而言，目前还没有可以查杀的方法。这种方法可以利用编程辅助工具jingtao的DcuAnyWhere或Anskya的AnyWhereFileToPas来实现。

　　至于编程的细节部分用到各种手段，本人也不是编程高手，甚至说不会编程。也不能多说什么，本文也不过作为认识性的文章。

　　先来介绍下什么是X-CODE。X-CODE是一段代码可以具有独立功能或不具有独立功能的调用的代码。

　　可以编程实现和反汇编实现。这个名词来自于一本国外翻译的书中。

　　对于本文的介绍谈不上技术，只能作为认识吧。

　　X-CODE的实现需要做三个方面的工作：1、将其植入宿主（本文把要后门的文件叫做宿主），2、在程序启动之前或者执行过程中钩住控制。

　　3、必须确定在宿主文件中对其有重要作用的API函数地址从而保证X-CODE能够被顺利执行。PE的结构有点象DNA的结构，存在空白地带和功能地带，正因为PE文件中区段中存在空隙，这个就是X-CODE能够实现的关键所在。

　　例如上面的一串，数字代表PE的空白地带，我们可以把XCODE查在1，2，3，4，的任何一处，只要空白足够大。或者将一段X-CODE支解，插在1那里一部分，2那里一部分，3那里一部分，最后通过代码在连接起来。

　　当然在实现的过程中一定没我说的这么容易，要保证原来程序不遭到破坏。一般这种X-CODE是具有独立功能的。

　　例如可以是个下载者或者CMDSHELL后门。这个方面的工具也有，以前有个叫见缝插针的工具。

　　这个工具可以将一个很小的可执行文件插到另一个比较大的可执行文件中去。

　　再介绍一种调用的方式的。

　　例如某些大型软件不是一个单独的可执行程序，由若干个程序组成的，其中有个独立的主程序，可以在主程序中添加导入函数，添加一个导入函数，宿主会主动加载你的放在程序目录中的dll，因为程序执行过程中，先搜索程序本身的目录，然后再搜索系统目录。

　　比较隐蔽，宿主体积和入口可以不变，但宿主是不完整的，没你的dll跑不起来这种方式比较隐蔽，但是如果没有你放在文件夹内的DLL，主程序运行不起来的。