malicious software is software that is designed to perform damaging actions without the user’s
knowledge. Malicious software includes viruses, worms, Trojan horses, and blended threats.  It
also includes programs known as security risks.

 

 

病毒不一定会破坏系统，但是病毒一定能够自身复制，目前己知的病毒约有7万种，病毒不一定很大，最小的病毒Tiny.12只有12字节。

 

 

Common payloads include: 常见的负荷包括：
• Data corruption 数据破坏
• System hijacking  系统劫持
• Destruction of data 摧毁数据
• Dropping files 删除文件
• Denial of Service attacks (DoS) 拒绝服务攻击
• Network degradation 网络破坏
• Data export 数据输出
• Keystroke logging 键击记录
• Password stealing 口令偷窃

 

 

从感染方式可以分为寄生型和覆盖型。寄生型附着在正常文件之上，被感染文件仍可执行。覆盖型则会破坏一部分或全部原始文件，被感染文件不能继续执行。

 

根据是否驻留内存可分为常驻型和非常驻型。非常驻型容易清除，常驻型驻留在内存中，监视文件系统的活动，随时感染文件。常驻型不容易发现和清除，它们可以发现防病毒软件的扫描行为并加以躲避。对于Windows下的常驻型病毒，要清除它最好先把操作系统启动到安全模式，如果不能有效地清除内存中的病毒，也就不能够清除文件系统中感染的病毒。

 

多态病毒在复制的过程中会使用不同的方法对病毒体进行加密，改变fingerprint。

变形病毒在复制的过程中会改变自己的代码。

这两种病毒比较不容易查杀。

 

陪伴病毒：备份原始文件，用病毒文件替换原始文件。

隐形病毒：在执行后将自身加以隐藏。

Retro病毒：攻击防病毒软件。

多体病毒：病毒包括多个部分，如同时是引导型病毒和文件型病毒。

交叉感染和多种类型感染：感染不只一种对象，使用不只一种方法。如梅莉莎（感染脚本文件和可执行文件）和爱虫病毒(即是脚本病毒又是脚本蠕虫)。

 

 

ƒ Windows viruses 目前最常见的病毒，通常感染EXE, DLL, SYS, BIN和SCR文件。病毒通常只能活动在16位，32位或64位某一种类型的系统中。
ƒ Boot record viruses 引导记录病毒在DOS时代流行，不能感染使用NTFS文件系统的WinNT系统，目前很少见了。
ƒ Macro viruses 采用Office脚本语言编写，主要感染Word,Excel和PowerPoint文档，己知的宏病毒大约有7000多种，现在越来越少见了，可能存在的位置：Office Program Directory\Templates\NORMAL.DOT，Office Program Directory\Startup，Office Program Directory\XLSTART，Blank Presentation.ppt。
ƒ Script viruses 通过JS或VBS编写，感染其它的脚本文件，包括HTML, VBS, BAT, JS和CHM，VBS.LoveLetter就是一种脚本病毒。脚本通常可以不受限制地访问系统资源，脚本病毒破坏力可能很强，且变种可能很多，很多蠕虫用脚本编写。
ƒ Other virus classes 包括DOS（种类非常多，但是不能运行于当今的Windows系统），Macintosh（少于100种），UNIX/Linux（少于100种），Java（30种左右），ActiveX，Palm，Windows CE，Symbian（三种移动设备上的病毒很少，没有流行。）等系统上流行的病毒。