电脑病毒如何运作

电脑病毒之所以被称为病毒，是因为它们与生物病毒具有一些共同的特征。电脑病毒像生物病毒在人与人之间传播一样，在电脑之间传播。

与细胞不同，病毒无法自行繁殖。相反，生物病毒必须将其DNA注入细胞。然后，病毒DNA利用细胞现有机制进行自我复制。在某些情况下，细胞会充满新的病毒颗粒直到破裂，释放病毒。在其他情况下，新的病毒颗粒会一次一个地从细胞中萌芽，而细胞仍保持存活。

类似于生物病毒必须搭乘细胞才能传播一样，电脑病毒必须依附于其他程序或文档才能启动。一旦电脑病毒运行起来，它就可以感染其他程序或文档。显然，电脑病毒和生物病毒之间的类比有些牵强，但它们有足够的相似之处，所以这个名字就沿用了下来。

电脑病毒是由人编写的。一个人必须编写代码，测试以确保其正确传播，然后发布它。一个人还会设计病毒的攻击阶段，无论是显示一条无聊的消息还是破坏硬盘。他们为什么要这样做？

至少有四个原因。第一个原因与驱使破坏者和纵火犯的心理相同。为什么会有人想打破别人的车窗，在建筑物上涂鸦，或者烧毁一片美丽的森林？对某些人来说，这似乎是一种刺激。如果这类人懂得计算机编程，那么他或她可能会将精力投入到破坏性病毒的创建中。

第二个原因与观看事物爆炸的刺激有关。有些人对爆炸和车祸等事物着迷。你小时候，邻里可能有个孩子学会了制作火药。那个孩子可能会制造越来越大的炸弹，直到他感到厌倦或给自己造成严重伤害。创建病毒有点像这样——它在电脑内部制造了一个虚拟炸弹，感染的电脑越多，“爆炸”就越“有趣”。

第三个原因是为了炫耀。有点像珠穆朗玛峰——山就在那里，所以有人被迫去攀登。如果你是那种发现可能被利用的安全漏洞的程序员，你可能只是被迫在别人抢先一步之前自己去利用这个漏洞。

然后就是赤裸裸的金钱。病毒可以诱骗你购买假冒软件，窃取你的个人信息并用它来获取你的钱财，或者在数字黑市上出售。强大的病毒是有价值的——而且可能是有利可图的——工具。

当然，大多数病毒制造者似乎都忽略了他们所创造的东西对真实的人造成了真实的损害。销毁一个人硬盘上的所有数据是真实的损害。迫使一家大公司在病毒攻击后浪费数千小时进行清理是真实的损害。即使是一条无聊的消息也是真实的损害，因为有人必须浪费时间去清除它。因此，法律系统持续为制造病毒的人制定更严厉的惩罚。

传统的电脑病毒在20世纪80年代末首次广泛出现，这有几个原因。第一个原因是个人电脑（PC）的普及。在20世纪80年代之前，家用电脑几乎不存在。真正的电脑很少见，并且被“专家”锁起来使用。在80年代，由于IBM PC（1982年发布）和Apple Macintosh（1984年发布）的普及，真正的电脑开始进入企业和家庭。到20世纪80年代末，PC已经遍布企业、家庭和大学校园。

第二个因素是计算机公告板的使用。人们可以使用调制解调器拨号连接公告板，下载各种程序。游戏非常受欢迎，简单的文字处理器、电子表格和其他生产力软件也是如此。公告板导致了病毒的前身——特洛伊木马的出现。特洛伊木马伪装成一个名字和描述听起来很酷的程序，诱使你下载它。但是，当你运行该程序时，它会做一些不好的事情，比如擦除你的硬盘。你以为你得到了一个很棒的游戏，但实际上却得到了一个被擦除的系统。特洛伊木马只会影响少数人，因为它们很快被发现，并且危险的消息会在用户之间传播。

导致病毒产生的第三个因素是软盘。在20世纪80年代，程序很小，你可以把整个操作系统、一些程序和一些文档装到一两张软盘上。许多电脑没有硬盘，所以当你打开机器时，它会从软盘加载操作系统和所有其他东西。病毒作者利用这一点来创建了第一个自我复制的程序。

早期的病毒是嵌入在更大的、合法的程序（例如游戏或文字处理器）中的代码片段。当用户下载并运行合法程序时，病毒会将自己加载到内存中——然后四处寻找磁盘上是否有其他程序。如果它能找到，它就会修改该程序，将病毒代码添加到其中。然后病毒会启动“真实程序”。用户实际上无法知道病毒曾经运行过。不幸的是，病毒现在已经自我复制，因此有两个程序被感染。下次用户启动其中任何一个程序时，它们会感染其他程序，循环继续。

如果其中一个受感染的程序通过软盘交给另一个人，或者被上传供其他人下载，那么其他程序就会被感染。这就是病毒传播的方式——类似于生物病毒的感染阶段。但是，如果病毒只是自我复制，它们就不会如此强烈地受到厌恶。大多数病毒还有一个破坏性的攻击阶段，它们会造成实际损害。某种触发器会激活攻击阶段，然后病毒会做一些事情——从在屏幕上显示一条无聊的消息到擦除你的所有数据。触发器可能是一个特定的日期、病毒复制的次数或类似的东西。

在下一节中，我们将探讨病毒多年来的演变。

多年来，病毒制造者不断为他们的工具箱添加新技巧。其中一个技巧是能够将病毒加载到内存中，这样只要电脑开着，它们就能在后台持续运行。这为病毒提供了更有效的自我复制方式。另一个技巧是能够感染软盘和硬盘的引导扇区。引导扇区是操作系统中电脑加载的第一个小程序。它包含一个微型程序，告诉电脑如何加载操作系统的其余部分。通过将代码放入引导扇区，病毒可以保证它会被执行。它可以立即将自己加载到内存中，并在电脑开着时随时运行。引导扇区病毒可以感染插入机器的任何软盘的引导扇区，在大学校园这样许多人共享机器的地方，它们可以像野火一样传播。

总的来说，如今无论是可执行文件病毒还是引导扇区病毒都已不构成很大威胁。它们衰落的第一个原因是当今程序体积庞大。您今天购买的大多数程序都存储在光盘上。商业发行的光盘（CD）无法修改，这使得CD的病毒感染变得不太可能，除非制造商允许在生产过程中将病毒刻录到CD上。人们当然不能像20世纪80年代那样将应用程序随身携带在软盘上，那时装满程序的软盘就像棒球卡一样被交换。引导扇区病毒也已减少，因为操作系统现在通常会保护引导扇区。

来自引导扇区病毒和可执行文件病毒的感染仍然可能发生。即便如此，与以前相比，可能性要小得多。如果你想用生物学类比，可以称之为“栖息地萎缩”。软盘、小型程序和薄弱操作系统的环境使得这些病毒在20世纪80年代得以存在，但这种环境利基已在很大程度上被庞大的可执行文件、不可更改的CD和更完善的操作系统安全措施所消除。

电子邮件病毒对你来说可能最熟悉。我们将在下一节中探讨它们。

病毒作者通过创建电子邮件病毒来适应不断变化的计算环境。例如，1999年3月的Melissa病毒在其攻击方式上表现出色。Melissa通过电子邮件传播的Microsoft Word文档传播，其工作方式如下：

有人将该病毒制作成Word文档并上传到一个互联网新闻组。任何下载并打开该文档的人都会触发病毒。然后病毒会将该文档（及自身）通过电子邮件发送给此人地址簿中的前50个人。邮件包含一条友好的便条，其中包含发件人的姓名，因此收件人会打开文档，以为它无害。病毒随后会从收件人的机器上创建50封新邮件。以这种速度，Melissa病毒迅速成为当时传播最快的病毒。如前所述，它迫使许多大型公司关闭其电子邮件系统以控制传播。

ILOVEYOU 病毒于2000年5月4日出现，甚至更简单。它包含一段代码作为附件。双击附件的人会启动该代码。然后它会将自身副本发送给受害者地址簿中的所有人，并开始破坏受害者机器上的文件。这可以说是病毒最简单的形式了。它与其说是病毒，不如说更像一个通过电子邮件传播的特洛伊木马。

Melissa病毒利用了内置于Microsoft Word中的编程语言VBA（或称Visual Basic for Applications）。它是一种完整的编程语言，可用于编写修改文件和发送电子邮件等功能的程序。它还有一个有用但危险的自动执行功能。程序员可以在文档中插入一个程序，该程序在文档打开时会立即运行。这就是Melissa病毒的编程方式。任何打开感染了Melissa的文档的人都会立即激活病毒。它会发送50封电子邮件，然后感染一个名为NORMAL.DOT的中心文件，以便之后保存的任何文件也会包含该病毒。它制造了巨大的混乱。

Microsoft应用程序内置了名为“宏病毒保护”的功能，以防止此类病毒。开启宏病毒保护（默认选项为开启）后，自动执行功能会被禁用。因此，当文档试图自动执行病毒代码时，会弹出一个对话框警告用户。不幸的是，许多人不知道什么是宏或宏病毒，当他们看到对话框时会忽略它，因此病毒无论如何都会运行。还有许多人会关闭保护机制。正因为如此，尽管有防护措施，Melissa病毒仍然传播开来。

在ILOVEYOU病毒的案例中，整个传播过程都是人为驱动的。如果一个人双击了作为附件的程序，那么程序就会运行并执行其任务。助长这种病毒传播的是人们愿意双击可执行文件。同样的漏洞利用也通过AIM和Windows Live Messenger等即时消息网络传播。被劫持的账户会在即时消息中发送病毒链接；任何点击链接并安装木马应用程序的人，其账户都将被劫持，并在不知不觉中用含有风险的链接向自己的朋友发送垃圾信息。

既然我们已经讨论了电子邮件病毒，接下来我们来看看蠕虫。

蠕虫是一种能够从一台机器复制到另一台机器的计算机程序。蠕虫在复制时会占用计算机处理时间和网络带宽，并且通常携带有造成相当大损害的有效载荷。2001年，一种名为“红色代码”（Code Red）的蠕虫制造了巨大的头条新闻。专家预测这种蠕虫可能会有效地堵塞互联网，以至于一切都会完全停滞。

蠕虫通常会利用软件或操作系统中的某种安全漏洞。例如，Slammer 蠕虫（在2003年1月造成混乱）利用了微软SQL服务器中的一个漏洞。《连线》杂志对Slammer微小（376字节）的程序进行了引人入胜的剖析。

蠕虫通常通过计算机网络传播并感染其他机器。利用网络，蠕虫可以从一个副本以惊人的速度扩展。红色代码蠕虫在2001年7月19日的大约九小时内复制了超过25万次[来源：Rhodes]。

红色代码蠕虫在开始自我复制时确实减缓了互联网流量，但远没有预测的那么糟糕。蠕虫的每个副本都会扫描互联网，寻找未安装微软安全补丁的Windows NT或Windows 2000服务器。每当它找到一个不安全的服务器，蠕虫就会将自己复制到该服务器上。新的副本然后扫描其他服务器进行感染。根据不安全服务器的数量，蠕虫理论上可以创建数十万个副本。

红色代码蠕虫有三个指令：

成功感染后，红色代码会等待指定时间并连接到 www.whitehouse.gov 域。这次攻击将由受感染系统同时向 www.whitehouse.gov (198.137.240.91) 的80端口发送100个连接组成。

美国政府更改了 www.whitehouse.gov 的IP地址，以规避该蠕虫带来的特定威胁，并发布了关于该蠕虫的普遍警告，建议Windows NT或Windows 2000 网络服务器的用户确保安装安全补丁。

2007年出现的一种名为 Storm 的蠕虫，立即声名鹊起。Storm 利用社会工程技术诱骗用户将蠕虫加载到他们的电脑上。而且，它的确非常有效——专家认为，有100万到5000万台电脑被感染[来源：Schneier]。尽管Storm经历多种变体，杀毒软件厂商仍能适应并学会检测这种病毒，但它无疑是互联网历史上最成功的病毒之一，并且有朝一日可能再次出现。一度，Storm 蠕虫被认为是互联网上20%垃圾邮件的来源[来源：Kaplan]。

当蠕虫启动时，它会在电脑中打开一个后门，将受感染的机器添加到僵尸网络中，并安装隐藏自身的代码。僵尸网络是小型的点对点群组，而不是更大、更容易识别的网络。专家认为控制 Storm 的人会出租他们的微型僵尸网络来发送垃圾邮件或广告软件，或用于对网站发起拒绝服务攻击。

在互联网发展的早期，各种病毒都是一个主要威胁。它们现在仍然存在，但自2000年代中期以来，杀毒软件已变得更好，网页浏览器和操作系统也变得更加安全。2010年代的主要威胁会是针对智能手机而不是PC吗？

新病毒层出不穷，但蠕虫或其他漏洞利用很少能像Storm那样产生巨大影响。史上最严重的十大电脑病毒在世纪之交和21世纪初爆发。当时的电脑是理想的攻击目标：杀毒软件昂贵且并非总是可靠，微软的Internet Explorer存在大量漏洞，PC用户也并未意识到病毒在互联网上能如此轻易地传播。近年来，病毒之所以没有造成同样的影响，原因有几点。

人们对病毒有了更好的了解。免费杀毒软件很容易下载。微软推荐其自家的Security Essentials，而像AVG和Avast这样的公司也提供免费替代品。总的来说，计算机软件在设计时就考虑到了互联网因素，因此对病毒的抵抗力更强。只需比较今天的Chrome和Firefox浏览器与臭名昭著的Internet Explorer 6，后者在2001年发布后被修补了十多年。当然，病毒仍然存在——2009年，一种名为Downadup的蠕虫在几天内感染了数百万台电脑。我们只是越来越擅长处理它们了。

杀毒软件需要追踪的病毒比以往任何时候都多。这些程序会定期自动更新——通常甚至每天更新——以防范互联网上最新的病毒变种。只需查看Avast的病毒更新历史，就能看到每天有多少特洛伊木马、蠕虫和其他恶意代码被添加到数据库中。

在智能手机和平板电脑的现代时代，浏览互联网而不感染病毒实际上比以往任何时候都容易。为什么？因为病毒是为特定平台编写的。旨在利用Windows漏洞的病毒在苹果的Mac操作系统上将不起作用——构成这两个系统的代码完全不同。同样，构成Android和iOS等移动操作系统的代码与PC上的代码也不同。会使您的电脑瘫痪的病毒不会在移动设备上运行。

但移动设备本身并非完全安全。有些病毒可以从安卓手机中提取个人信息。由于苹果的iOS是闭源平台，与开源安卓不同，因此更难成为病毒的目标。此外，Windows仍然是一个更有吸引力的目标。尽管随着智能手机销量的增长，移动病毒肯定会变得更流行，但截至2011年，它们仍然是一个非常次要的担忧。

在下一节中，我们将介绍您的电脑打补丁以及您可以采取的其他保护电脑的措施。

您可以采取以下简单步骤来保护自己免受病毒侵害：

如果您确实担心传统病毒（而非电子邮件病毒），您应该运行更安全的操作系统，例如Linux，以及在较小程度上，苹果的Mac OS X。您很少听说这些操作系统上出现病毒，因为它们在市场中所占份额很小，受到的病毒攻击远少于Windows操作系统。苹果的OS X也曾遭受病毒攻击，但病毒问题仍主要集中在Windows上。

如果您使用的是不安全的操作系统，那么安装病毒防护软件是一个很好的保障。许多杀毒软件选项都可以在线免费获取。

如果您只避免来自未知来源（如互联网）的程序，而坚持使用从光盘购买的商业软件，那么您几乎可以消除所有传统病毒的风险。

您应该确保在所有Microsoft应用程序中启用宏病毒保护，并且除非您知道宏的作用，否则绝不要在文档中运行宏。通常没有充分的理由向文档添加宏，因此避免所有宏是一个很好的策略。

您绝不应该双击包含可执行文件的电子邮件附件。以Word文件（.DOC）、电子表格（.XLS）、图片（.GIF）等形式出现的附件是数据文件，它们不会造成损害（请注意上面提到的Word和Excel文档中的宏病毒问题）。然而，现在有些病毒可以通过.JPG图形文件附件传播。扩展名为EXE、COM或VBS的文件是可执行文件，可执行文件可以做任何它想做的破坏。一旦您运行它，您就赋予了它在您机器上执行任何操作的权限。唯一的防御措施：绝不运行通过电子邮件发送的可执行文件。

通过遵循这些简单的步骤，您可以保持电脑免受病毒侵害。

有关电脑病毒和相关主题的更多信息，请参阅下一页的链接。