電腦病毒： 7 種常見種類與 4 招預防方式

電腦病毒是什麼？認識電腦病毒與運作原理

電腦病毒是一種會破壞電腦系統和自我複製的惡意軟體，通常需要依附在宿主程式上才能運作。一旦進入系統，病毒會改寫原本軟體的程式碼，或將惡意程式碼插入其中。再藉由使用者執行宿主程式來觸發惡意行為，引起電腦運作問題，造成軟體和資料嚴重損害。而被寄生的軟體在運行之後，電腦病毒就可以自體複製，並傳播給其他裝置。由於運作機制類似生物學中的病毒，這樣的惡意軟體被稱為「電腦病毒」。

電腦病毒運作原理 

但更具體的來看，程式碼或惡意程式碼是如何影響電腦或資訊系統的呢？基本上程式碼則是指，開發者以 C、C++、JavaScript、Python 等程式語言，所撰寫的指令，用來控制對電腦或其他電子裝置所下的執行特定任務，如當開機鍵被按下時，電腦應啟動作業系統。惡意程式碼寄生在宿主軟體中，利用宿主程式碼規範不清楚、邏輯上有誤的漏洞，趁機執行惡意指令，讓宿主軟體執行駭客指定的行為。

可以把電腦程式想像成一篇用中文寫成的牛肉麵食譜，詳盡列出所需材料以及作法。在這個例子中，電腦就是理解中文的廚師，但必須無條件依照食譜指示做菜。惡意程式碼就像是故意在食譜中放入錯誤指示和資訊，例如要求使用有毒的食材、無限延長烹煮時間，危及廚師本身或影響其作業。 

 電腦病毒的生命週期

如同生物學中的病毒，電腦病毒的生命週期也可以分成四個階段：

1. 潛伏期（Dormant Phase）：電腦病毒進入到資訊系統後，但尚未被觸發前的狀態。這個期間，病毒還不會自我複製或散播，僅暗藏在系統中，可能難以偵測。

2. 散播期（Propagation Phase）：病毒開始複製自己的惡意程式碼，並藏在受感染的電腦硬碟中的其他地方。有些病毒甚至會在散播期變種，自行更改惡意程式碼內容，也增加偵測到病毒的困難度。

3. 觸發期（Triggering Phase）：電腦病毒需要被觸發，才會開始真正的攻擊行為。病毒觸發條件則因設計而異，例如系統時間、使用者行為等等。

4. 執行期（Execution Phase）：病毒觸發後，就會進入執行期；執行惡意程式碼預設的惡意行為，破壞電腦或資訊系統，例如刪除電腦中原有的檔案、展示大量彈出式視窗等。

電腦病毒跟惡意軟體有什麼不一樣？

電腦病毒跟惡意軟體（Malware）都是會威脅資訊系統，那電腦病毒就是惡意軟體嗎？

惡意軟體一詞涵蓋的範圍較廣，任何意圖破壞行動裝置、IoT 裝置、電腦、伺服器、網路連線等 IT 系統的軟體／程式碼都屬於惡意軟體的範疇。而又因為破壞系統的方式、傳播和感染的方式、攻擊目標的種類等不同特性，惡意軟體又可以分為眾多類別。

從定義上來看，電腦病毒是一種惡意軟體，指寄生於宿主軟體，但有自我複製與傳播能力的一段程式碼。至於電腦病毒實際上的攻擊方式與造成的損害，則會因為程式碼的內容，有所不同。

也就是說，電腦病毒是惡意軟體，但惡意軟體不一定是電腦病毒。不過值得注意的是，在電腦病毒也可以和其他惡意軟體結合（例如勒索軟體、木馬程式）形成複合型的網路攻擊工具，使攻擊手法更加多元、難以防範。

電腦病毒簡史

早在 1949 年，就有關於電腦病毒理論的研究出版，只是電腦科學界當時尚未使用「病毒」一詞來形容自我複製的電腦程式。1984 年，美國電腦科學家佛雷德・科恩（Fred Cohen）在其論文《電腦病毒實驗》（Computer Viruses - Theory and Experiments）中首次以「病毒」描述惡意軟體，明確定義電腦病毒，並探討電腦病毒的危害和應對的資安策略。

目前普遍認為，世界上第一個誕生於實驗室以外的電腦病毒是 Elk Cloner。1982 年，由 15 歲的美國高中生里奇・斯克倫塔（Rich Skrenta）針對 Apple II 作業系統寫出，寄生在該作業系統後會自行複製至未受感染的磁片。感染了 Elk Cloner 後，電腦每啟動 50 次，螢幕中即會跳出文字，干擾電腦使用。早期的電腦病毒多以惡作劇為目的，Elk Cloner 也是其中之一。但隨著科技發展，電腦病毒已成為駭客用來竊取資料、造成大規模損害、獲取不當利益的工具。

7 種常見的電腦病毒種類

以攻擊目標和手法來說，感染電腦裝置的病毒，有常見的以下 7 種：

一、開機型病毒（Boot Sector Vriuses）

開機型病毒過去主要以實體媒介傳遞，如磁碟片、CD 或 USB 硬碟，連接上電腦後，再竄改啟動程式碼。電腦下次開機後，病毒便會隨著開機作業運作。而越來越少用到實體媒介的現在，也有駭客利用電子郵件的夾帶檔案散播開機型病毒。

開機型病毒感染磁碟片的開機磁區或是硬碟的第一開機磁區，在電腦開機時，開始執行惡意程式碼，趁作業系統載入前，就散播到未被感染的磁碟片上。過去開機型病毒多透過磁碟作業系統（Disk Operating System，DOS）指令傳播，因此在幾乎沒有用到的 DOS 指令的 Windows 95 問世後，開機型病毒逐漸式微。現今則有惡意程式 Bootkit，同樣在作業系統載入前運作，藉以掩護惡意軟體行為，而非用來感染可攜式裝置，像是 USB 隨身碟和行動硬碟。

二、檔案型病毒（File Infector Viruses）

檔案型病毒是最常見的電腦病毒，寄生於電腦中的執行檔（以 .exe、.com、.App、.run 等副檔名結尾），在被寄生的檔案執行同時運作，有的還會傳播至其他執行檔。依照感染方式，檔案型病毒又可以分為以下兩種：

• 非常駐型病毒（Non-Memory-Resident Viruses ）：寄生於執行檔，受感染的執行檔再去感染其他程式。

• 常駐型病毒（Memory-Resident Viruses）：寄生在電腦記憶體中，只要作業系統在運行中即可執行，感染任何打開的檔案，影響整個電腦系統。即便刪除了感染病毒的檔案，病毒還會繼續存在於電腦中。

三、巨集病毒（Macro Virsus）

巨集病毒針對有巨集功能的程式撰寫，如 Word 與 Excel。巨集功能可以設定並執行一連串的動作和指令，讓程式自動化處理重複性高的動作。比方說，在 Word 文件檔中，設定建立表格的巨集；或是在 Excel 表單中設置計算平均值的巨集，提高文件或數據處理的效率。微軟辦公軟體因其普及度，成為巨集病毒的主要攻擊目標。1990 年代針對 Word、Excel 等軟體的巨集病毒大為流行，微軟電子郵件軟體 Outlook 更是巨集病毒的主要傳播途徑。

四、千面人病毒（Polymorphic/Mutation Viruses）

千面人病毒的程式碼做過加密處理，但每次自我複製後，千面人病毒都會使用不同的金鑰再次加密病毒本身，改變其解碼流程，避免防毒軟體的偵測。就像生物病毒一樣，千面人病毒可以自我編碼、不斷突變，成功感染宿主。

五、覆蓋型病毒（Overwrite Viruses）

覆蓋型病毒一旦找到目標，便會刪除目標檔案本來的程式碼，並以自己的惡意程式碼取而代之。而檔案一旦被感染，就無法找回原本的內容。因此對電腦系統來說，破壞力極強。

六、複合型病毒（Multipartite Viruses）

複合型病毒同時有檔案型病毒和開機型病毒的特性，可以感染開機磁區，也可以寄生在 .exe、.com 等執行檔。因此傳染力高強，也能造成嚴重損害。

七、網路型病毒（Network Viruses）

網路型病毒顧名思義攻擊連接電腦的網路，以網路封包的型態存在，透過網路在電腦之間傳遞。網路型病毒可癱瘓整體電腦網路，危險性不可小看。

【除了利用電腦病毒外，駭客還有哪些攻擊方式呢？想了解更多駭客的攻擊手法，可以參考《什麼是網路攻擊》。】

有機會使電腦中毒的原因

電腦病毒可以自我複製，感染其他裝置，主要傳播途徑有：可攜式裝置（攜帶硬碟、USB 隨身碟等）、網路釣魚電子郵件和訊息、隱藏式下載。平時使用電腦，可能因為操作不當，誤將病毒引入自己的電腦。以下不良電腦與網路使用習慣，都可能導致電腦被置入病毒：

1. 將來路不明的隨身碟／攜帶式硬碟連接至電腦。

2. 安裝盜版或免費軟體：網路上的破解版或是盜版程式和遊戲，常被駭客用來藏匿電腦病毒，藉著使用者想要貪小便宜的心態進行網路犯罪活動。

3. 未經掃描，就下載陌生電子郵件的夾帶檔案。

4. 造訪不安全網頁、點擊彈跳式廣告：電腦病毒可能暗藏其中，利用隱藏式下載的方式，在使用者不知情的情況下被植入電腦。

5. 不更新系統：系統更新通常會修補安全漏洞，不更新系統等於讓自己門戶大開，讓駭客有機可乘。

 有感染電腦病毒嗎？電腦中毒的 5 個症狀

如果不幸電腦中毒會有什麼反應呢？有些電腦病毒所執行的指令相當明顯，使用者一眼就可以發現電腦中毒，例如在螢幕跳出訊息；也有些電腦病毒把自己隱藏得很好，默默在背景執行。那要如何判斷電腦是不是中毒了？無論有沒有出現明顯的不良影響，都可以透過觀察電腦是否有以下跡象，先簡單確認有沒有感染電腦病毒的可能：

中毒徵兆1：電腦反應速度下降

電腦病毒在執行中也需要消耗電腦運算資源，排擠到其他程式運行。作業系統、網路連線、軟體程式速度下降都有可能是電腦中毒的徵兆。

中毒徵兆2：瀏覽器首頁被綁架、出現彈跳視窗

首頁綁架、電腦或網頁平白無故出現不必要的彈跳視窗，都可能是受惡意軟體的影響。

中毒徵兆3：電腦異常／當機／無預警關閉

電腦自行關機、停擺，或是出現異常活動，如檔案自動開啟、程式自動執行、平白無故出現錯誤訊息等等。

中毒徵兆4：電子信箱自動傳送大量信件

有些病毒會操控受感染的電腦寄信，以此方式散播病毒，擴大網路攻擊範圍。

中毒徵兆5：帳戶異常登出

在自己沒有操作的情況下，帳戶被強制登出，也可能是電腦病毒造成的。

總歸來說，電腦中毒的話，通常運行效能會下降，以及出現無法解釋的異常活動。注意到這些情形，就要趕快進一步了解電腦是不是真的中毒了，中什麼毒，並尋求相對應的解決辦法。下面的段落將介紹病毒偵測的原理，以及感染電腦病毒該怎麼處理。

如何偵測電腦病毒？

若發現電腦出現異常症狀，可以進一步使用防毒軟體進行掃描，以確認是否有病毒潛藏其中。許多電腦病毒在潛伏期間不會立即發作，甚至可能變種，導致更難被偵測。防毒軟體（或掃毒工具）通常會運用以下幾種技術來偵測電腦是否中毒：

• 特徵型偵測（Signature-Based Detection）：透過比對電腦中的檔案或行為與已知病毒的特徵碼，來辨識是否遭受感染。此方法的前提是擁有完整且即時更新的病毒特徵資料庫。對於未知或新型變種病毒，此方法的偵測能力會相對有限。

• 檢查碼計算（Checksumming）：透過計算檔案的數學摘要值（如 CRC 或雜湊值），來驗證檔案是否被修改。若檢查碼與原始值不同，可能代表檔案遭到病毒修改，是一種基本的完整性驗證方式。

• 機器學習行為分析（Machine Learning Behavioural Analysis）：利用機器學習和人工智慧模型分析程式行為模式，判斷是否具備惡意特徵。此技術能協助偵測尚未被列入病毒特徵庫的未知病毒，提升對新型攻擊的防禦能力。

電腦中毒怎麼辦？解決中毒的方法

如果掃描電腦後，發現真的有病毒，下一步就是要移除病毒了。惡意軟體防護工具除了掃描、偵測病毒以外，也具備清除病毒的功能。除了要徹底掃描整台電腦，也要掃描使用過的可攜式裝置，以及連至同一網路的其他電腦或裝置，避免病毒移除不完全，之後又重複感染。

如果沒有安裝防護軟體，或是無法自行移除病毒，建議可以先關閉電腦。因為電腦停止運作的同時，病毒也會停止運行，可將病毒造成的損害以及感染範圍縮到最小，再尋求資安專家協助。

電腦中毒解法步驟

而實際上電腦中毒時怎麼辦呢？以下將依步驟說明處理方式：

1. 中斷網路連線：避免病毒持續散播，也可避免駭客遠端控制電腦。

2. 進入安全模式（Safe Mode）：安全模式是 Windows 系統中用來診斷和修復問題的模式，僅載入最基本的程式，以排除問題。安全模式能限制病毒的活動情形，並藉著使用有網路的安全模式（Safe Mode with Networking）來下載清除病毒的工具。下載工具時，也要先確保來源可靠，避免再度感染。

3. 刪除暫存檔案（Temporary Files）：刪除暫存檔案非必要步驟，也不是主要刪除病毒的方式，但有時病毒會藏在暫存檔案之中。可藉刪除暫存檔案，移除部分病毒。

4. 更新防毒軟體：若已經安裝了防毒軟體，建議更新獲得最新的病毒資料庫內容，以協助防毒軟體識別病毒。且在更新後重新掃描，以免錯過新型病毒。

5. 進行完整掃描：使用防毒軟體進行深層掃描，找出受感染的檔案並加以隔離，刪除病毒。

6. 手動刪除病毒：如果防毒軟體沒有自動刪除病毒的話，可以從登錄檔刪除可疑檔案。但手動刪除檔案有一定風險，建議先備份系統或請專家協助。

7. 重新安裝受影響檔案：受病毒影響的檔案如果有安全可靠的備份，可再重新安裝回電腦中。

8. 重新開機：以正常模式重新開啟電腦，並再次掃描，以確保病毒已確實清除。

想更深入了解如何建立良好的備份機制，歡迎閱讀：《異地備援是什麼？》 

電腦病毒可以預防嗎？4 招避免電腦中毒

俗話說，「預防勝於治療」，在資安領域亦是如此。想要有效預防電腦中毒，可以參考以下作法：

設置並開啟防火牆

開啟防火牆可以監控和管理由網際網路傳遞至電腦內的資料，降低不小心從網路上下載電腦病毒的可能性。

使用防毒軟體，並定期更新

防毒軟體可以定期掃描電腦和系統、偵測是否有電腦病毒，並封鎖惡意程式，以免電腦受影響。而定期更新可以確保防毒軟體有最新的電腦病毒資料，可以即時探測到其存在，並且修補防毒軟體本身可能有的資安漏洞。

提高資安意識

養成良好電腦與網路使用習慣：不點擊彈跳式廣告或可疑連結、不下載盜版程式或是影音檔案、下載電子郵件夾帶檔案前先掃毒等等，都可以協助避免感染病毒。

定期更新作業系統和軟體

病毒仰賴系統或軟體程式中的漏洞，植入惡意程式碼運作。定期更新作業系統和使用中的軟體，可以修補開發商所發現的漏洞，減少被利用來置入病毒的機會。

電腦病毒影響電腦運作、破壞系統、損害資料，對任何人來說都是避之唯恐不及的麻煩。即使只是惡作劇性質的電腦病毒都可能永久傷害電腦硬碟，降低其運作效能。因此使用電腦網路時，小心謹慎，並做好資安防護措施，避免電腦受病毒入侵才是上上策。晟崴科技提供 Web 應用程序及 API 保護（WAAP）、MDR 威脅偵測應變服務、資安弱點通報機制（VANS)、弱點掃描、和資安健診服務等多種資安解決辦法。協助您設置 Web 防火牆及 API 防護，並監控網路和電腦系統，掃描病毒、偵測異常活動。