网络安全等级保护：各种病毒类型简介

病毒类型

有许多不同类型的病毒。在这里无法穷举所有的类型，仅仅作简要介绍一些主要的病毒类型。病毒可以根据其传播方法或其在目标计算机上的活动进行分类。

·宏病毒：宏病毒会感染Office文档中的宏。许多办公产品（包括Microsoft Office）允许用户编写称为宏的小程序。这些宏也可以被编写为病毒。宏病毒在某些商业应用程序中被写入宏中。例如，Microsoft Office允许用户编写宏来自动执行某些任务。Microsoft Outlook的设计使程序员可以使用Visual Basic编程语言的子集（称为Visual Basic for Applications (VBA)）编写脚本。事实上，这种脚本语言已内置于所有Microsoft Office产品中。程序员还可以使用密切相关的VBScript语言。两种语言都很容易学习。如果这样的脚本附加到电子邮件并且收件人正在使用Outlook，则可以执行该脚本。该执行可以执行许多操作，包括扫描地址簿、查找地址、发送电子邮件、删除电子邮件等等。

·引导扇区病毒：顾名思义，引导扇区病毒感染驱动器的引导扇区，而不是操作系统。这使得根除病毒变得更加困难，因为大多数防病毒软件都在操作系统内运行。

·文件感染病毒：这种类型的病毒将自身附加到现有文件（通常是可执行文件）。这有时也称为寄生病毒。

·多部分：多部分病毒以多种方式攻击计算机，例如感染硬盘的引导扇区和一个或多个文件。

·内存驻留：内存驻留病毒会自行安装，然后从计算机启动到关闭期间一直保留在RAM中。

·装甲：装甲病毒使用难以分析的技术。代码混淆就是这样的一种方法。代码的编写方式是，如果病毒被反汇编，代码将不会轻易被跟踪。压缩代码是另一种防护病毒的方法。

·多歧病毒：是一种具有特殊繁殖特性的计算机病毒，其不同于传统的单一病毒，它能够分裂成多个不同的组件，甚至每个组件都可以独立地进行感染和复制，从而形成多个独立但相互合作的恶意程序。多歧病毒的主要目的是增加感染的难度和恶意行为的复杂性，从而提高其对目标系统的潜在威胁。

·混合病毒：是一种恶意软件，它结合了多种不同类型的病毒功能，具有更强大的攻击能力和更广泛的传播范围。正如其名称所暗示的，混合病毒是由不同类型的病毒（如宿主病毒和附加病毒等）合并而成，从而产生了新的变种。与传统的病毒相比，混合病毒更加复杂和隐蔽，给计算机系统造成更大的威胁。混合病毒可以使用各种技术和手段来进行传播。例如，它可以通过电子邮件附件、共享文件夹、移动存储设备以及网络下载等途径来感染目标计算机系统。此外，混合病毒还可能利用操作系统和应用程序的漏洞或弱点，来实现自动传播和潜伏在受害系统中。

·多态病毒：是一种恶意软件，其特点是具有能够改变自身代码形式以避免被检测和分析的能力。它利用多态性技术使每个感染的文件都具有与其他病毒文件不同的变种，这使得其识别和清除变得非常困难。多态病毒的主要目的是感染计算机系统并传播自身。其感染方式可以是通过电子邮件附件、下载恶意软件、可移动存储介质等途径。一旦感染成功，病毒会开始寻找其他文件和程序，对其进行感染并复制自身。由于每个感染文件都是不同的变体，使得病毒的传播性增强，隐蔽性增加，更难以被发现和处理。

·加密病毒：是一种恶意软件程序，它采用加密技术对计算机上的文件和数据进行加密，使其无法被正常访问和使用。加密病毒的目的通常是勒索受害者，通过要求支付赎金来解密文件或恢复数据。加密病毒通过网络传播，利用安全漏洞、恶意链接、下载的文件或邮件附件等方式侵入计算机系统。一旦感染，加密病毒会开始搜索目标文件，例如文档、图像、视频、音频等，并使用加密算法对其进行加密，创建相应的密钥。一旦文件被加密，它们将变得无法打开或编写，受害者将无法访问或使用自己的数据。此时，加密病毒通常会显示勒索消息，要求受害者支付特定数量的加密货币（如比特币）作为赎金，以获得解密密钥。解密密钥通常存储在控制节点上，只有支付了赎金，受害者才能获得密钥来恢复其文件。

·隐形病毒：隐形病毒有多种类型。隐形病毒试图隐藏自己以躲避防病毒软件的攻击。这里显示了一些常见的隐身方法：

o稀疏感染者：稀疏感染者病毒试图通过偶尔执行恶意活动来逃避检测。对于稀疏感染病毒，用户会在短时间内看到症状，然后一段时间不会出现任何症状。在某些情况下，稀疏感染程序以特定程序为目标，但病毒仅在目标程序每执行10次或20次时执行一次。或者，稀疏的感染者可能会突然活跃起来，然后休眠一段时间。该主题有多种变体，但基本原理是相同的：减少攻击频率，从而减少被发现的机会。

o加密：有时病毒会被加密，即使加密程度较弱，也足以防止防病毒程序识别该病毒。然后，当需要发起攻击时，病毒就会被解密。

o多态性：多态性病毒实际上会不时地改变其形式，以避免被防病毒软件检测到。其更高级的形式称为变态病毒。它可以彻底改变自己。

更复杂、更高级的病毒是在模块中开发的。一个模块除了将其自身安装到目标上之外，可能做的很少。由于它没有真正的恶意活动，因此防病毒软件可能无法检测到它。然后下载器模块将下载实际的恶意负载。如果该有效负载已加密，则下载者也可能负责解密。启动器模块负责激活或启动下载的恶意负载。

参考：