计算机病毒有哪些种类？

这里介绍的分类法很通用，这是我多年来自创的一种分类方式，我发现这种分类法非常有用。

1.宏病毒

宏病毒感染Office文档中的宏（macro）。许多Office产品，包括微软的Office，都允许用户编写称为宏的微程序，这些宏也可以写成病毒。在某些业务应用程序中，宏病毒被写入宏中。比如，Microsoft Office允许用户编写宏来自动化完成某些任务。Microsoft Outlook设计成能让程序员使用Visual Basic编程语言的一个子集，即Visual Basic for Applications（VBA）来编写脚本。实际上，所有Microsoft Office产品都内置了这种脚本语言。程序员也可以使用与VBA 相关的VBScript语言。这两种语言都很易学。如果这样的脚本附加到电子邮件中，并且收件人正在使用Outlook，则脚本可以执行。这个执行可以做很多事情，包括扫描地址簿、查找地址、发送电子邮件、删除电子邮件等。

2.引导扇区病毒

引导扇区（boot sector）病毒不会感染目标计算机的操作系统，而是攻击驱动器的引导扇区。这使得传统杀毒软件更难检测和删除它们。这种杀毒软件安装在操作系统中，并且在某种程度上只在操作系统的上下文中运行。通过在操作系统之外操作，引导扇区病毒更难检测和删除。混合型病毒（multipartite virus）以多种方式攻击计算机—例如，感染硬盘的引导扇区和操作系统中的一个或多个文件。

3.隐形病毒

隐形（stealth）病毒是最大的病毒群体之一。这类病毒包括使用一种或多种技术隐藏自身的任何病毒。换句话说，这是试图避开杀毒软件的病毒。 特洛伊木马是隐藏病毒的一种绝好方法。通过将其绑定到一个合法的程序，病毒不仅会欺骗用户安装它，而且还可能逃避防病毒软件。

多态型病毒会不时地改变其形式，以避免被防病毒软件发现。一种更高级的形式叫作变态（metamorphic）病毒，它可以完全改变自己，不过这需要一个辅助模块来执行改写。

稀疏感染（sparse infector）病毒试图通过偶尔的恶意行为来逃避检测。使用稀疏感染病毒，用户会在短时间内看到症状，然后一段时间内没有症状。在某些情况下，稀疏感染的目标是特定的程序，但病毒只在目标程序执行的第10次或第20次时才执行。或者，一个稀疏感染病毒可能会突然活跃起来，然后休眠一段时间。这类病毒有很多变种，但基本原则是相同的：减少攻击频率，从而降低被发现的概率。

载荷分段（fragmented payload）是一种相当复杂的隐藏病毒的方法。病毒被分成多个模块。其中，加载器模块无害，不太可能触发任何杀毒软件，但是它会分别下载其他片段。当所有片段都准备好时，加载程序将组装它们并释放病毒。

4.勒索软件

现如今，在讨论恶意软件时不可能不探讨勒索软件（ransomware）。事实上，就在我写这本书的时候，世界刚遭受了一次大规模的勒索软件袭击。它刚开始攻击英格兰和苏格兰的医疗保健系统，后来传播到了更多地方。这个病毒就是臭名昭著的WannaCry病毒。尽管许多人第一次开始探讨勒索软件是在2013年CryptoLocker出现时，但勒索软件出现的时间实际上比这早得多。第一个已知的勒索软件是1989年的PC Cyborg Trojan，它只使用一个弱的对称密码加密文件名。

一般来说，勒索软件像蠕虫一样工作，然后或者禁用系统服务，或者加密用户文件。最后索要赎金来释放这些文件或服务。

资料来源:《网络防御与安全对策：原理与实践（原书第3版）》，文章链接：https://developer.aliyun.com/article/726100