(1)非授權可執行性
計算機病毒具有正常程序的壹切特性,它隱蔽在合法的程序或數據中,當用戶運行正常程序時,病毒伺機竊取得到系統控制權,先於正常程序執行。
(2)廣泛傳染性
計算機病毒通過各種渠道從已經被感染的文件擴散到其他文件,從已經被感染的計算機擴散到其他計算機,這就是病毒的傳染性。傳染性是衡量壹種程序是否為病毒的首要條件。
(3)潛伏性
計算機病毒的潛伏性是指病毒隱蔽在合法的文件中寄生的能力。
(4)可觸發性
指病毒的發作壹般都有壹個激發條件,即壹個條件控制。壹個病毒程序可以按照設計者的要求在某個點上激活並對系統發起攻擊。
(5)破壞性
病毒最根本目的還是達到其破壞目的,在某些特定條件被滿足的前提下,病毒就會發作,對計算機系統運行進行幹擾或對數據進行惡意的修改。
(6)衍生性
計算機病毒可以被攻擊者所模仿,對計算機病毒的幾個模塊進行修改,使之成為壹種不同於原病毒的計算機病毒。
(7)攻擊的主動性
計算機病毒為了表明自己的存在和達到某種目的,遲早要發作。
(8)隱蔽性
指病毒的存在、傳染和對數據的破壞過程不易為計算機操作人員發現,同時又是難以預料的。大部分的病毒的代碼之所以設計得非常短小,也是為了隱藏。病毒壹般只有幾百或1k字節,病毒轉瞬之間便可附著到正常程序之中,使人非常不易被察覺。
(9)寄生性
計算機病毒是壹種可直接或間接執行的文件,是沒有文件名的秘密程序,但它的存在卻不能以獨立文件的形式存在,它必須是以附著在現有的硬軟件資源上的形式而存在的。
計算機病毒的種類繁多,主要有以下分類方式:
(1)按傳染方式
分為:引導型病毒、文件型病毒和混合型病毒。
引導型病毒嵌入磁盤的主引導記錄(主引導區病毒)或DOS引導記錄(引導區病毒)中,當系統引導時就進入內存,從而控制系統,進行傳播和破壞活動。
文件型病毒是指病毒將自身附著在壹般可執行文件上的病毒,以文件為感染。目前絕大多數的病毒都屬於文件型病毒。
混合型病毒是壹種既可以嵌入到磁盤引導鞠中又可以嵌入到可執行程序中的病毒。
(2)按連接方式
分為:源碼型病毒、入侵型病毒、操作系統型病毒、外殼型病毒。
源碼病毒:較為少見,亦難以編寫。因為它要攻擊高級語言編寫的源程序,在源程序編譯之前插入其中,並隨源程序壹起編譯、連接成可執行文件。此時剛剛生成的可執行文件便已經帶毒了。
入侵型病毒:可用自身代替正常程序種的部分模塊或堆棧區。因此這類病毒只攻擊某些特定程序,針對性強。壹般情況下也難以被發現,清除起來也較困難。
操作系統病毒:可用其自身部分加入或替代操作系統的部分功能。因其直接感染操作系統,這類病毒的危害性也較大。
外殼病毒:將自身附在正常程序的開頭或結尾,相當於給正常程序加了個外殼。大部份的文件型病毒都屬於這壹類。
(3)根據病毒特有的算法
分為:伴隨型病毒 “蠕蟲”型病毒、寄生型病毒、練習型病毒、詭秘型病毒、變型病毒(又稱幽靈病毒)。
伴隨型病毒:這壹類病毒並不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
“蠕蟲”型病毒:通過計算機網絡傳播,不改變文件和資料信息,利用網絡從壹臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在系統存在,壹般除了內存不占用其它資源。
寄生型病毒:除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播。
練習型病毒:病毒自身包含錯誤,不能進行很好的傳播,例如壹些病毒在調試階段。
詭秘型病毒:它們壹般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩沖區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。
變型病毒(又稱幽靈病毒):這壹類病毒使用壹個復雜的算法,使自己每傳播壹份都具有不同的內容和長度。它們壹般的作法是壹段混有無關指令的解碼算法和被變化過的病毒體組成。