编制者在中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组或者程序代码被称为计算机病毒（Computer
Virus）。具有破坏性，复制性和传染性。
作为一名医学工作者再次声明　“病毒”与计算机病毒不是同义词，“计算机病毒”只是用生物“病毒”作比喻，请在百科中完善病毒词条的相关内容分布，并让使用者在搜索时能获得全面信息！！
（Computer Virus）在《》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自
熊猫烧香病毒（尼姆亚病毒变种）
我复制的一组计算机指令或者程序代码”。与医学上的“”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组集或程序代码。它能通过某种途径潜伏在计算机的（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确或者可能演化的形式放入其他程序中。从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大。
病毒不是来源于突发的原因。电脑病毒的制造却来自于一次偶然的事件，那时的研究人员为了计算出当时互
计算机病毒矢量图(17张)
联网的在线人数，然而它却自己“繁殖”了起来导致了整个的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的和内存中产生一些乱码和随机指令，但这些是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和的测试病毒．
计算机病毒
提高系统的安全性是的一个重要方面，但完美的系统是不存在地，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，保密的要求让人们在泄密和抓住病毒之间无法选择。
加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问，这是进程中，最容易和最经济的方法之一。另外，安装杀软并定期更新也是预防病毒的重中之重。
行政法规及规章对病毒的定义能否适用于刑法
国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，以及公安部出台的《计算机病毒防治管理办法》将均定义如下：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这是目前官方最权威的关于计算机病毒的定义，此定义也被通行的《计算机病毒防治产品评级准则》的国家标准所采纳。
计算机病毒可以像生物一样进行繁殖，当程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。
计算机中毒后，可能会导致的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。
计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至。与不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台电脑上迅速扩散，计算机病毒可通过各种可能的渠道，如、、、去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的已感染上了病毒，而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处、扩散，继续危害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示、图形或特殊标识，有的则执行破坏系统的操作，如磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。
计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。
病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。
根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：
病毒存在媒体
根据病毒存在的媒体，病毒可以划分为，文件病毒，。通过传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：，，等），感染扇区（Boot）和的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。
病毒传染渠道
根据病毒传染的方法可分为和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新.非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。
病毒破坏能力
无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。
无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型：这类病毒在操作中造成严重的错误。
非常危险型：这类病毒删除程序、破坏数据、清除区和操作系统中重要的。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和，这些病毒也按照他们引起的破坏能力划分。
病毒的算法
伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。
“”型病毒，通过传播，不改变文件和资料，利用网络从一台机器的内存传播到其它机器的内存，计算，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。
寄生型病毒除了伴随和“”型，其它病毒均可称为寄生型病毒，它们依附在系统的或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。
诡秘型病毒它们一般不直接修改DOS中断和数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：
DOS引导阶段
1987年，计算机病毒主要是，具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少，功能简单，一般需要通过后使用.利用软盘的启动原理工作，它们修改系统启动，在计算机启动时首先取得控制权，减少系统内存，修改读写中断，影响系统工作效率，在系统存取磁盘时进行传播。
1989年，发展为可以感染，典型的代表有“石头2”。
DOS可执行阶段
1989年，型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表为“耶路撒冷”、“星期天”病毒。病毒代码在系统执行文件时取得控制权，修改DOS中断，在时进行传染，并将自己附加在可执行文件中，使文件长度增加。
1990年，发展为，可感染COM和EXE文件。
伴随批次阶段
1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件时,改原来的COM文件为同名的EXE文件，再产生一个原名的伴随体，为COM，这样，在DOS加载文件时，病毒就取得控制权.这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，具有典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错，将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。
幽灵、多形阶段
1994年，随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了的难度。多形型病毒是一种综合性病毒，它既能感染又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的方能解除。
生成变体阶段
1995年，在汇编语言中，一些数据的运算放在不同的中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样，一段解码算法就可以由生成器生成，当生成器的生成结果为病毒时，就产生了这种复杂的“病毒生成器”
，而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机”
VCL,它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。
网络蠕虫阶段
1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。非DOS操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索，将自身向下一地址进行传播，有时也在和文件中存在。
1996年，随着和的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE,PE）文件，典型的代表是DS.3873，这类病毒的机制更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。
宏病毒阶段
1996年，随着Windows
Word功能的增强，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言、编写容易、感染Word文档等文件，在Excel和AmiPro出现的相同工作机制的病毒也归为此类，由于Word文档格式没有公开，这类病毒查解比较困难。
互联网阶段
1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒；
邮件炸弹阶段
1997年，随着（World Wide Web）上Java的普及，利用进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒，还有一些利用进行传播和破坏的病毒，例如Mail-Bomb病毒，它会严重影响因特网的效率。
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，而且难以做全面的描述，根据现有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下：
攻击系统数据区，攻击部位包括：主引寻、Boot扇区、FAT表、等。迫使计算机空转，计算机速度明显下降。
攻击磁盘，攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。
扰乱屏幕显示，病毒扰乱屏幕显示的方式很多，可列举如下：字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符等。
键盘病毒，干扰键盘操作，已发现有下述方式：响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱等。喇叭病毒，许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者通过喇叭发出种种声音，有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的财富，已发现的喇叭发声有以下方式：演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声等。
攻击， 在机器的CMOS区中，保存着系统的重要数据，例如、磁盘类型、等。有的病毒激活时，能够对CMOS区进行写入动作，破坏系统CMOS中的数据。
干扰打印机，典型现象为：假报警、间断性打印、更换字符等。
会造成计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（Morris）将其编写的输入，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，中国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，前一段时间发现的CIH、美丽莎等病毒更是给社会造成了很大损失。
1.计算机系统运行速度减慢。
2.计算机系统经常无故发生。
3.计算机系统中的文件长度发生变化。
4.计算机存储的容量异常减少。
5.系统引导速度减慢。
6.丢失文件或文件损坏。
7.计算机屏幕上出现异常显示。
8.计算机系统的蜂鸣器出现异常声响。
9.发生变化。
10.系统不识别。
11.对异常访问。
12.键盘输入异常。
13.文件的日期、时间、属性等发生变化。
14.文件无法正确读取、复制或打开。
15.命令执行出现错误。
16.虚假报警。
17.换当前盘。有些病毒会将当前盘切换到C盘。
18.时钟倒转。有些病毒会命名系统时间倒转，逆向计时。
19.WINDOWS操作系统无故频繁出现错误。
20.系统异常重新。
21.一些工作异常。
22.异常要求用户输入密码。
23.WORD或EXCEL提示执行“宏”。
24.使不应驻留内存的程序驻留内存。
计算机病毒的产生是计算机技术和以计算机为核心的社会化进程发展到一定阶段的必然产物。它产生的背景是：
（1）计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大，从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现；
（2）计算机软硬件产品的脆弱性是根本的技术原因
计算机是电子产品。数据从输入、、处理、输出等环节，易误入、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式，效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误，只能在运行中发现、修改错误，并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
如何检查笔记本是否中了病毒？以下就是检查步骤：
首先排查的就是进程了，方法简单，开机后，什么都不要！
第一步：直接打开，查看有没有可疑的进程，不认识的进程可以从互联网上搜索一下。
第二步：打开，先查看有没有隐藏进程，然后查看的路径是否正确。
第三步：如果进程全部，则利用等工具，查看是否有可疑的注入到正常进程中。
自启动项目
进程排查完毕，如果没有发现异常，则开始排查项。
第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有Microsoft服务”，然后逐一确认剩下的服务是否（可以凭经验识别，也可以利用搜）。
第二步：用msconfig察看是否有可疑的自项，切换到“启动”选项卡，逐一排查就可以了。
第三步，用Autoruns等，查看更详细的启动项（包括服务、驱动和自启动项、IEBHO等信息）。
ADSL用户，在这个时候可以进行虚拟拨号，连接到了。然后直接用的网络连接查看，是否有可疑的连接，对于如果发现异常，不要着急，关掉系统中可能使用网络的程序（如等、的自动更新程序、IE等），再次查看网络连接。
重启，直接进入安全模式，如果无法进入，并且出现等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除！
打开，定位：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOpti，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。
如果开机以后，系统运行缓慢，还可以用时间做参考，找到可疑，方法如下：
打开，切换到进程选项卡，在中点“查看”，“选择列”，勾选“CPU时间”，然后确定，单击CPU时间的标题，进行排序，寻找除了SystemIdleProcess和以外，CPU时间较大的进程，这个进程需要引起一定的警惕。
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12
、Trojan.Win32.SendIP.15
等等这些一串英文还带数字的病毒名，这时有些人就蒙了，那么长一串的名字，我怎么知道是什么病毒啊？
其实只要我们掌握一些病毒的命名规则，我们就能通过的报告中出现的病毒名来判断该病毒的一些共有的特性了：一般格式为：&；病毒前缀&.&；病毒名&.&；病毒后缀&
病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的的前缀
Trojan ，的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的的家族名都是统一的“ CIH ”，振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如就是指 振荡波蠕虫病毒的B，因此一般称为 “振
荡波B变种”或者“振荡波变种B”。如果该病毒非常多，可以采用数字与字母混合表示变种标识。
病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Small”。
版本只允许为数字，对于版本信息不明确的不加版本信息。
主名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要号来区分不同的病毒记录。如果一位版本号不够用则最多可以扩展3位，并且都均为小写字母a—z，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。
病毒所使用的有辅助功能的可运行的文件，通常也作为病毒添加到中，这种类型的病毒记录需要附属名称来与病毒主体的病毒记录进行区分。附属名称目前有以下几种：
Client 说明：后门程序的控制端
KEY_HOOK 说明：用于挂接键盘的模块
API_HOOK 说明：用于挂接API的模块
Install 说明：用于安装病毒的模块
Dll 说明：文件为动态库，并且包含多种功能
（空） 说明：没有附属名称，这条记录是病毒主体记录
附属名称变种号
如果病毒的主行为类型、行为类型、宿主文件类型、主名称、主名称号、附属名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位。
病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。字段值为0，表示病毒长度可变。
计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：
通过使用外界被感染的，例如，不同渠道来的、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的，使机器感染病毒发病，并传染给未被感染的“干净”的软盘。大量的交换，合法或非法的程序拷贝，不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
通过传染也是重要的渠道，由于带有病毒机器移到其它地方使用、维修等，将干净的传染并再扩散。
因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。
这种传染扩散极快，能在很短时间内传遍网络上的机器。
随着的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过和涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
(5）通过U盘
计算机病毒的传染分两种：一种是在一定条件下方可进行传染,即条件传染；另一种是对一种传染对象的反复传染即无条件传染。
从蔓延传播病毒来看所谓条件传染，是指一些病毒在传染过程中，在被传染的系统中的特定位置上打上自己特有的标志。这一病毒在再次攻击这一系统时，发现有自己的标志则不再进行传染，如果是一个新的系统或软件，首先读特定位置的值，并进行判断，如果发现读出的值与自己标识不一致，则对这一系统或应用程序，或数据盘进行传染，这是一种情况；另一种情况，有的病毒通过对文件的类型来判断是否进行传染，如只感染.COM或.EXE文件等等；还有一种情况有的病毒是以的某些设备为判断条件来决定是否感染。例如可以感染，又可以感染，但对B的软盘进行读写操作时不传染。但我们也发现有的病毒对传染对象反复传染。例如只要发现.EXE文件就进行一次传染，再运行再进行传染反复进行下去。
可见有条件时病毒能传染，无条件时病毒也可以进行传染。
在系统运行时，病毒通过病毒载体即系统的进入系统的，。该病毒在中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。而病毒利用系统INT
13H读写的中断又将其写入系统的或中，再感染其他系统。
感染病毒后又怎样感染新的可执行文件?
.COM或.EXE感染上了病毒，例如，它驻入内存的条件是在执行被传染的文件时进入内存的。一旦进入内存，便开始监视系统的运行。当它发现被传染的目标时，进行如下操作：
（1）首先对运行的特定地址的标识位进行判断是否已感染了病毒；
（2）当条件满足，利用INT 13H将病毒链接到的首部或尾部或中间，并存大磁盘中；
（3）完成传染后，继续监视系统的运行，试图寻找新的攻击目标。
是怎样进行传染的?
的PC DOS过程是：
（1）加电开机后进入系统的检测程序并执行该程序对系统的基本设备进行检测；
（2）检测后从0面0道1即逻辑0扇区读入Boot引导程序到内存的处；
（3）转入Boot执行；
（4）Boot判断是否为，如果不是则提示；
non-system disk or disk error
Replace and strike any key when ready
否则,读入IBM BIO-COM和IBM DOS-COM两个隐含文件；
（5）执行IBM BIOCOM和IBM
DOS-COM两个隐含文件，将COMMAND-COM装入内存；
（6）系统运行，DOS成功。
如果已感染了病毒，PC DOS的将是另一番景象，其过程为：
（1）将Boot区中病毒代码首先读入内存的处；
（2）病毒将自身全部代码读入内存的某一安全地区、，监视系统的运行；
（3）修改INT
13H中断服务处理程序的入口地址，使之指向病毒控制模块并执行之。因为任何一种病毒要感染或者，都离不开对的读写操作，修改INT 13H的入口地址是一项少不了的操作；
（4）病毒程序全部被读入内存后才读入的Boot内容到内存的处，进行正常的过程；
（5）病毒程序伺机等待随时准备感染新的系统盘或非系统盘。
如果发现有可攻击的对象，病毒要进行下列的工作：
（1）将目标盘的读入内存，对该盘进行判别是否传染了病毒；
（2）当满足传染条件时，则将病毒的全部或者一部分写入Boot区，把的磁盘的程序写入磁盘特写位置；
（3）返回的INT
13H中断服务处理程序，完成了对目标盘的传染。
对非系统盘感染病毒后最简单的处理方法是什么?
因为操作系统型病毒只有在系统引导时才进入内存，开始活动，对非系统盘感染病毒后，不从它上面引导系统，则病毒不会进入内存。这时对已感染的非系统盘消毒最简单的方法是将盘上有用的文件拷贝出来，然后将带毒盘重新格式化即可。
系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的
*.和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。
蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）
木马、黑客病毒
其前缀是：Trojan，黑客病毒前缀名一般为 Hack。的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的。而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马
Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的如
Trojan.LMir.PSW.60。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。
脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。
其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97作为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，以此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎（Macro.Melissa）。
后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。
种植程序病毒
这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。
破坏性程序病毒
破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（mand.Killer）等。
玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girl
ghost）病毒。
捆绑机病毒
捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。
以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：
DoS：会针对某台或者服务器进行DoS攻击；
Exploit：会自动通过溢出对方或者自己的来传播自身，或者他本身就是一个用于Hacking的溢出工具；
HackTool：，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些会给你很大的帮助。
危害级别：1
说明：中文名称—“”，
是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行，而且用户无法通过的方法禁止其运行。“”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行（如：、进程控制等）。
危害级别：1
说明：通过邮件传播
危害级别：2
说明：中文名称—“”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。
危害级别：1
说明：窃取用户（如文件等）
危害级别：2
说明：通过某个不明确的载体或多个明确的载体传播自己
危害级别：2
说明：具有窃取密码的行为
危害级别：3
说明：下载病毒并运行，判定条款：没有可调出的任何界面，逻辑功能为：从某网站上下载文件加载或运行.
逻辑条件引发的事件：
事件1 .不能下载或下载的文件不能判定为病毒 ，操作准则：该文件不能符合软件功能组件标识条款的，确定为：
事件2 下载的文件是病毒，操作准则： 下载的文件是病毒，确定为： Trojan.DL
危害级别：3
说明：通过MSN传播
危害级别：3
说明：中文名称—“”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。
危害级别：4
说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）
危害级别：4
说明：通过传播
危害级别：4
说明：中文名称—“”，是指将病毒代码附加到被感染的宿主文件（如：、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。
危害级别：5，说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化、大量等）导致本地计算机无法使用的程序。
危害级别：5，说明：通过ICQ传播
危害级别：5
说明：通过MSN传播即时消息
危害级别：6
说明：通过OICQ传播即时消息
危害级别：6
说明：通过P2P软件传播
危害级别：6
说明：中文名称—“释放病毒的程序”，是指不属于的安装或自解压程序，并且运行后释放病毒并将它们运行。
判定条款：没有可调出的任何界面，逻辑功能为：自释放文件加载或运行。
逻辑条件引发的事件：
事件1：.释放的文件不是病毒。操作准则： 释放的文件和释放者本身没关系并该文件不符合正常软件功能组件标识条款的，确定为：Droper
事件2：释放的文件是病毒。操作准则： 释放的文件是病毒，确定该文件为：Droper
危害级别：7
说明：通过IRC传播
危害级别：7
说明：通过ICQ传播即时消息
危害级别：8，说明：通过UC传播即时消息
危害级别：9，说明：将被感染的计算机作为代理服务器
危害级别：10
说明：点击指定的网页 ，判定条款：没有可调出的任何界面，逻辑功能为：点击某网页。
操作准则：该文件不符合软件功能组件标识条款的，确定为：Trojan.Clicker。
（该文件符合软件功能组件标识条款，就参考判定规则进行流氓软件判定）
危害级别：12，说明：通过拨号来骗取Money的程序
，注意：无法描述其利益目的但又符合的基本特征，则不用具体的子行为进行描述。
AOL、Notifier，
按照原来病毒名命名保留。
说明：不依赖其他软件进行传播的传播方式。如：利用系统漏洞、共享目录、可移动存储介质。
危害级别：无 ，说明：中文名称—“”，是指可以在本地计算机通过其他计算机的工具。
漏洞探测攻击工具
，注意：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述
Nuker、Sniffer、Spoofer、Anti
危害级别：无
说明：捆绑病毒的工具
正常软件功能组件标识条款：被检查的文件体内有以下能标识出该文件是正常软件的功能组件：信息，软件信息（、）等。
宿主文件是指病毒所使用的文件类型，有是否显示的属性。宿主文件有以下几种。
说明：JavaScript
说明：VBScript脚本文件
说明：HTML文件
说明：Java的Class文件
说明：Dos下的Com文件
说明：Dos下的Exe文件
说明：MS公司的Word文件
说明：MS公司的Excel文件
说明：PE文件
WinREG说明：
说明：一种
说明：一种脚本
说明：IRC脚本 事件
1982年，它被看作攻击个人计算机的第一款全球病毒，也是所有令人头痛的安全问题先驱者。它通过苹果Apple II进行传播。这个病毒被放在一个游戏磁盘上，可以被使用49次。在第50次使用的时候，它并不运行游戏，取而代之的是打开一个空白屏幕，并显示一首短诗。
1986年，Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染360K的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。
1988年，Morris该病毒程序利用了系统存在的弱点进行入侵，Morris设计的最初的目的并不是搞破坏，而是用来测量网络的大小。但是，由于程序的循环没有处理好，计算机会不停地执行、复制Morris，最终导致死机。
1998年，CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。此病毒是由台湾大学生陈盈豪研制的，据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。
1999年，Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。
2000年，Love
bug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。
“红色代码”
2001年，被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。
2001年尼姆达（Nimda）是历史上传播速度最快的病毒之一，在上线之后的22分钟之后就成为传播最广的病毒。
“冲击波”
2003年，冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。
2004年，震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重启。
“熊猫烧香”
2007年，由李俊制造的会使所有程序图标变成熊猫烧香，并使它们不能应用，变种还会让计算机频繁重启，蓝屏。
2008年，同冲击波和震荡波一样，也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件，大批用户关闭自动更新以后，这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。
“Conficker”
2008年，Conficker.C病毒原来要在2009年3月进行大量传播，然后在4月1日实施全球性攻击，引起全球性灾难。不过，这种病毒实际上没有造成什么破坏。
“木马下载器”
2009年，本年度的新病毒，中毒后会产生不等的，导致系统崩溃短短3天变成360安全卫士首杀榜前3名。
2010年，该病毒成功运行后，在进程中、系统加载项里找不到任何异常，病毒代码写入MBR寄存，即使格式化重装系统，也无法将彻底清除该病毒。犹如“”一般“阴魂不散”，所以称为“”病毒。有上次，分别为、、。都具有很强的隐蔽性和破坏性。
2010年，该病毒类似qvod播放器的图标。感染之后可能会遭遇的情况：计算机中莫名其妙的有ping.和rar.exe进程，并且占用很高，风扇转的很响很频繁（手提电脑），并且这两个进程无法结束。某些文件会出现usp10.dll、lpk.dll文件，，和安全类软件会被自动关闭如、等如果没有及时升级到最新版本都有可能被停掉。破坏，，感染系统文件，让杀毒软件无从下手。最大的危害是造成被篡改，无法使用进行清理，一旦清理，系统将无法打开和运行，同时基于计算机和网络的帐户可能会被盗，如网络游戏帐户、银行帐户、支付帐户以及重要的电子邮件帐户等。
17.宝马病毒
安全卫士电脑病毒之首。破坏电脑软件，和安全类软件会被自动关闭。
1. 建立良好的安全习惯
例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet
下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务
默认情况下，许多操作系统会安装一些辅助服务，如 FTP、Telnet 和 Web
服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。
3. 经常升级安全补丁
据统计，有80%的是通过进行传播的，象、冲击波、等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。
4. 使用复杂的密码
有许多就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机
当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
6. 了解一些病毒知识
这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。
7. 最好安装专业的进行全面监控
在病毒日益增多的今天，使用进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等、遇到问题要上报，
这样才能真正保障计算机的安全。
8. 用户还应该安装软件进行防黑
由于网络的发展，用户电脑面临的问题也越来越严重，许多都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。
一般大范围传播的病毒都会让用户在重新电脑的时候能够自动运行病毒，来达到长时间感染计算机并扩大病毒的感染能力。
通常病毒感染计算机第一件事情就是杀掉他们的天敌--，
比如，360安全卫士，NOD32 等等。这样我们就不能通过使用的方法来处理已经感染病毒的电脑。那么我说一下手动杀毒方法。
我们要解决病毒可以首先解决在计算机重启以后自我。
通常病毒会这样进行自我
直接自：1.2.驱动 3.服务4.注册表。
间接自：，autorun.inf文件，HOOK，感染文件；放置一个诱惑图标让用户点击。
知道上面病毒的原理，不难得出清理方式：首先删掉中病毒的项。最常见的启动位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
，删除所有该子项内的字符串等，只留下cftmon.。立即按机箱上的重启键，不让病毒回写注册表（关机可能会激活病毒回写进项目，比如“”）。如果病毒仍然，就要怀疑有服务，或者驱动。那么这个时候就需要有一定计算机能力的人，用批处理或者其他的程序同时找到并关闭病毒的服务和删除注册表，然后快速关机。驱动一般在系统下很难删除，所以可以用上面介绍的Xdelete
或者icesword，或者进入DOS，等其他系统进行删除。
通过不让病毒在重启电脑以后的
方法删除病毒，下面我来说一下通过直接删除病毒文件方法。
在病毒正在运行的系统里，直接删除病毒文件会很难。如果在网上找到该病毒机理，进入，找到所有病毒文件路径，可以很轻松的删除病毒文件（除了）。推荐最好用PE（不懂PE的上百科看），用有一个可以电脑的装PE 的U盘，或者光盘启动电脑，进入可以进入完全无毒的系统，然后使用的（网上有，我试过绿色卡巴和nod32，很好，可以在PE
运行）全盘查杀。杀毒完以后，我们先不要重新电脑，看看到底删除了什么，如果有被感染的删掉了，注意从相同系统拷贝一个，否则可能不能开机。然后重启，进系统用其他修复系统。
真正我们电脑感染上棘手的病毒，最简单有效的方法就是重装系统。如果C盘（）有重要资料先备份。不能开机，可以进入备份。
问：为什么我重装了几次还是有病毒，是不是这个病毒很厉害？
答：首先要说明几点，一、重装以后的系统是干净的。二、遇到引导性病毒，感染病毒可能非常小，就像中彩票。
这种情况是由于其他盘仍然有病毒残留，比如有如果有autorun.inf
类型的病毒，双击打开DEF等盘的时候就会病毒，或者病毒感染了其他盘上的文件，你重装系统以后，运行这个文件的时候，就又启动病毒。正确的方法是，找一个高手，或者不要打开除C：（）以外的任何盘，然后上网或者U盘下载一个，升级更新以后，全盘杀毒。
1.经常更新，以快速检测到可能入侵计算机的新病毒或者。
2.使用安全监视软件（和不同比如360安全卫士，）主要防止浏览器被异常修改，插入钩子，安装不安全恶意的插件。
3.使用或者自带防火墙。
4,关闭电脑自动播放（网上有）并对电脑和移动储存工具进行常见病毒免疫。
5.定时全盘病毒木马扫描。
6. 注意网址正确性，避免进入山寨网站。
7.不随意接受、打开陌生人发来的电子邮件或通过QQ传递的文件或网址。
8.使用正版软件。
9.使用移动存储器前，最好要先查杀病毒，然后再使用。
下面推荐几款软件：
推荐：，金山毒霸，卡巴斯基，NOD32，avast5.0 ，,Mcafee(个人版，企业版都不错，不过企业版比较稳定，不过用企业版的一般都是高手，或者去卡饭网下载）
U盘病毒专杀：AutoGuarder2
安全软件：360安全卫士（可以查杀木马）
单独防火墙：天网（已经没有的卖了），odo，或者杀毒软件自带防火墙。
内网用户使用antiARP，防范内网ARP欺骗病毒（比如：磁碟机，机械狗）
使用超级巡警免疫工具。
高手使用 SSM（system safety monitor）
Windows病毒的九大藏身地点
1.点击 开始-- 程序--，看一看里面有没有坏家伙
打开注册表（开始-- 运行
输入：regedit，回车），按以下路径展开注册表左边树状表
2.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load，观察一下有没有可疑程序安装
3.HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit，找找有没有病毒在这里申请运行
4.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
6.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
8.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
在XP中还有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX
9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
p.s 这是的还是微软故意留下的，不得而知。
打开实用程序（开始-- 运行
输入：msconfig，回车）还能检查System.ini与Win.ini
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}