电脑病毒： 7 种常见种类与 4 招预防方式

电脑病毒是什么？认识电脑病毒与运作原理

电脑病毒是一种会破坏电脑系统和自我复制的恶意软体，通常需要依附在宿主程式上才能运作。一旦进入系统，病毒会改写原本软体的程式码，或将恶意程式码插入其中。再藉由使用者执行宿主程式来触发恶意行为，引起电脑运作问题，造成软体和资料严重损害。而被寄生的软体在运行之后，电脑病毒就可以自体复制，并传播给其他装置。由于运作机制类似生物学中的病毒，这样的恶意软体被称为「电脑病毒」。

电脑病毒运作原理 

但更具体的来看，程式码或恶意程式码是如何影响电脑或资讯系统的呢？基本上程式码则是指，开发者以 C、C++、JavaScript、Python 等程式语言，所撰写的指令，用来控制对电脑或其他电子装置所下的执行特定任务，如当开机键被按下时，电脑应启动作业系统。恶意程式码寄生在宿主软体中，利用宿主程式码规范不清楚、逻辑上有误的漏洞，趁机执行恶意指令，让宿主软体执行骇客指定的行为。

可以把电脑程式想像成一篇用中文写成的牛肉面食谱，详尽列出所需材料以及作法。在这个例子中，电脑就是理解中文的厨师，但必须无条件依照食谱指示做菜。恶意程式码就像是故意在食谱中放入错误指示和资讯，例如要求使用有毒的食材、无限延长烹煮时间，危及厨师本身或影响其作业。

 电脑病毒的生命周期

如同生物学中的病毒，电脑病毒的生命周期也可以分成四个阶段：

1. 潜伏期（Dormant Phase）：电脑病毒进入到资讯系统后，但尚未被触发前的状态。这个期间，病毒还不会自我复制或散播，仅暗藏在系统中，可能难以侦测。

2. 散播期（Propagation Phase）：病毒开始复制自己的恶意程式码，并藏在受感染的电脑硬碟中的其他地方。有些病毒甚至会在散播期变种，自行更改恶意程式码内容，也增加侦测到病毒的困难度。

3. 触发期（Triggering Phase）：电脑病毒需要被触发，才会开始真正的攻击行为。病毒触发条件则因设计而异，例如系统时间、使用者行为等等。

4. 执行期（Execution Phase）：病毒触发后，就会进入执行期；执行恶意程式码预设的恶意行为，破坏电脑或资讯系统，例如删除电脑中原有的档案、展示大量弹出式视窗等。

电脑病毒跟恶意软体有什么不一样？

电脑病毒跟恶意软体（Malware）都是会威胁资讯系统，那电脑病毒就是恶意软体吗？

恶意软体一词涵盖的范围较广，任何意图破坏行动装置、IoT 装置、电脑、伺服器、网路连线等 IT 系统的软体／程式码都属于恶意软体的范畴。而又因为破坏系统的方式、传播和感染的方式、攻击目标的种类等不同特性，恶意软体又可以分为众多类别。

从定义上来看，电脑病毒是一种恶意软体，指寄生于宿主软体，但有自我复制与传播能力的一段程式码。至于电脑病毒实际上的攻击方式与造成的损害，则会因为程式码的内容，有所不同。

也就是说，电脑病毒是恶意软体，但恶意软体不一定是电脑病毒。不过值得注意的是，在电脑病毒也可以和其他恶意软体结合（例如勒索软体、木马程式）形成复合型的网路攻击工具，使攻击手法更加多元、难以防范。

电脑病毒简史

早在 1949 年，就有关于电脑病毒理论的研究出版，只是电脑科学界当时尚未使用「病毒」一词来形容自我复制的电脑程式。 1984 年，美国电脑科学家佛雷德・科恩（Fred Cohen）在其论文《电脑病毒实验》（Computer Viruses - Theory and Experiments）中首次以「病毒」描述恶意软体，明确定义电脑病毒，并探讨电脑病毒的危害和应对的资安策略。

目前普遍认为，世界上第一个诞生于实验室以外的电脑病毒是 Elk Cloner。 1982 年，由 15 岁的美国高中生里奇・斯克伦塔（Rich Skrenta）针对 Apple II 作业系统写出，寄生在该作业系统后会自行复制至未受感染的磁片。感染了 Elk Cloner 后，电脑每启动 50 次，萤幕中即会跳出文字，干扰电脑使用。早期的电脑病毒多以恶作剧为目的，Elk Cloner 也是其中之一。但随着科技发展，电脑病毒已成为骇客用来窃取资料、造成大规模损害、获取不当利益的工具。

7 种常见的电脑病毒种类

以攻击目标和手法来说，感染电脑装置的病毒，有常见的以下 7 种：

一、开机型病毒（Boot Sector Vriuses）

开机型病毒过去主要以实体媒介传递，如磁碟片、CD 或 USB 硬碟，连接上电脑后，再窜改启动程式码。电脑下次开机后，病毒便会随着开机作业运作。而越来越少用到实体媒介的现在，也有骇客利用电子邮件的夹带档案散播开机型病毒。

开机型病毒感染磁碟片的开机磁区或是硬碟的第一开机磁区，在电脑开机时，开始执行恶意程式码，趁作业系统载入前，就散播到未被感染的磁碟片上。过去开机型病毒多透过磁碟作业系统（Disk Operating System，DOS）指令传播，因此在几乎没有用到的 DOS 指令的 Windows 95 问世后，开机型病毒逐渐式微。现今则有恶意程式 Bootkit，同样在作业系统载入前运作，借以掩护恶意软体行为，而非用来感染可携式装置，像是 USB 随身碟和行动硬碟。

二、档案型病毒（File Infector Viruses）

档案型病毒是最常见的电脑病毒，寄生于电脑中的执行档（以 .exe、.com、.App、.run 等副档名结尾），在被寄生的档案执行同时运作，有的还会传播至其他执行档。依照感染方式，档案型病毒又可以分为以下两种：

• 非常驻型病毒（Non-Memory-Resident Viruses ）：寄生于执行档，受感染的执行档再去感染其他程式。

• 常驻型病毒（Memory-Resident Viruses）：寄生在电脑记忆体中，只要作业系统在运行中即可执行，感染任何打开的档案，影响整个电脑系统。即便删除了感染病毒的档案，病毒还会继续存在于电脑中。

三、巨集病毒（Macro Virsus）

巨集病毒针对有巨集功能的程式撰写，如 Word 与 Excel。巨集功能可以设定并执行一连串的动作和指令，让程式自动化处理重复性高的动作。比方说，在 Word 文件档中，设定建立表格的巨集；或是在 Excel 表单中设置计算平均值的巨集，提高文件或数据处理的效率。微软办公软体因其普及度，成为巨集病毒的主要攻击目标。 1990 年代针对 Word、Excel 等软体的巨集病毒大为流行，微软电子邮件软体 Outlook 更是巨集病毒的主要传播途径。

四、千面人病毒（Polymorphic/Mutation Viruses）

千面人病毒的程式码做过加密处理，但每次自我复制后，千面人病毒都会使用不同的金钥再次加密病毒本身，改变其解码流程，避免防毒软体的侦测。就像生物病毒一样，千面人病毒可以自我编码、不断突变，成功感染宿主。

五、覆盖型病毒（Overwrite Viruses）

覆盖型病毒一旦找到目标，便会删除目标档案本来的程式码，并以自己的恶意程式码取而代之。而档案一旦被感染，就无法找回原本的内容。因此对电脑系统来说，破坏力极强。

六、复合型病毒（Multipartite Viruses）

复合型病毒同时有档案型病毒和开机型病毒的特性，可以感染开机磁区，也可以寄生在 .exe、.com 等执行档。因此传染力高强，也能造成严重损害。

七、网路型病毒（Network Viruses）

网路型病毒顾名思义攻击连接电脑的网路，以网路封包的型态存在，透过网路在电脑之间传递。网路型病毒可瘫痪整体电脑网路，危险性不可小看。

【除了利用电脑病毒外，骇客还有哪些攻击方式呢？想了解更多骇客的攻击手法，可以参考《什么是网路攻击》。】

有机会使电脑中毒的原因

电脑病毒可以自我复制，感染其他装置，主要传播途径有：可携式装置（携带硬碟、USB 随身碟等）、网路钓鱼电子邮件和讯息、隐藏式下载。平时使用电脑，可能因为操作不当，误将病毒引入自己的电脑。以下不良电脑与网路使用习惯，都可能导致电脑被置入病毒：

1. 将来路不明的随身碟／携带式硬碟连接至电脑。

2. 安装盗版或免费软体：网路上的破解版或是盗版程式和游戏，常被骇客用来藏匿电脑病毒，借着使用者想要贪小便宜的心态进行网路犯罪活动。

3. 未经扫描，就下载陌生电子邮件的夹带档案。

4. 造访不安全网页、点击弹跳式广告：电脑病毒可能暗藏其中，利用隐藏式下载的方式，在使用者不知情的情况下被植入电脑。

5. 不更新系统：系统更新通常会修补安全漏洞，不更新系统等于让自己门户大开，让骇客有机可乘。

 有感染电脑病毒吗？电脑中毒的 5 个症状

如果不幸电脑中毒会有什么反应呢？有些电脑病毒所执行的指令相当明显，使用者一眼就可以发现电脑中毒，例如在萤幕跳出讯息；也有些电脑病毒把自己隐藏得很好，默默在背景执行。那要如何判断电脑是不是中毒了？无论有没有出现明显的不良影响，都可以透过观察电脑是否有以下迹象，先简单确认有没有感染电脑病毒的可能：

中毒征兆1：电脑反应速度下降

电脑病毒在执行中也需要消耗电脑运算资源，排挤到其他程式运行。作业系统、网路连线、软体程式速度下降都有可能是电脑中毒的征兆。

中毒征兆2：浏览器首页被绑架、出现弹跳视窗

首页绑架、电脑或网页平白无故出现不必要的弹跳视窗，都可能是受恶意软体的影响。

中毒征兆3：电脑异常／当机／无预警关闭

电脑自行关机、停摆，或是出现异常活动，如档案自动开启、程式自动执行、平白无故出现错误讯息等等。

中毒征兆4：电子信箱自动传送大量信件

有些病毒会操控受感染的电脑寄信，以此方式散播病毒，扩大网路攻击范围。

中毒征兆5：帐户异常登出

在自己没有操作的情况下，帐户被强制登出，也可能是电脑病毒造成的。

总归来说，电脑中毒的话，通常运行效能会下降，以及出现无法解释的异常活动。注意到这些情形，就要赶快进一步了解电脑是不是真的中毒了，中什么毒，并寻求相对应的解决办法。下面的段落将介绍病毒侦测的原理，以及感染电脑病毒该怎么处理。

如何侦测电脑病毒？

若发现电脑出现异常症状，可以进一步使用防毒软体进行扫描，以确认是否有病毒潜藏其中。许多电脑病毒在潜伏期间不会立即发作，甚至可能变种，导致更难被侦测。防毒软体（或扫毒工具）通常会运用以下几种技术来侦测电脑是否中毒：

• 特征型侦测（Signature-Based Detection）：透过比对电脑中的档案或行为与已知病毒的特征码，来辨识是否遭受感染。此方法的前提是拥有完整且即时更新的病毒特征资料库。对于未知或新型变种病毒，此方法的侦测能力会相对有限。

• 检查码计算（Checksumming）：透过计算档案的数学摘要值（如 CRC 或杂凑值），来验证档案是否被修改。若检查码与原始值不同，可能代表档案遭到病毒修改，是一种基本的完整性验证方式。

• 机器学习行为分析（Machine Learning Behavioural Analysis）：利用机器学习和人工智慧模型分析程式行为模式，判断是否具备恶意特征。此技术能协助侦测尚未被列入病毒特征库的未知病毒，提升对新型攻击的防御能力。

电脑中毒怎么办？解决中毒的方法

如果扫描电脑后，发现真的有病毒，下一步就是要移除病毒了。恶意软体防护工具除了扫描、侦测病毒以外，也具备清除病毒的功能。除了要彻底扫描整台电脑，也要扫描使用过的可携式装置，以及连至同一网路的其他电脑或装置，避免病毒移除不完全，之后又重复感染。

如果没有安装防护软体，或是无法自行移除病毒，建议可以先关闭电脑。因为电脑停止运作的同时，病毒也会停止运行，可将病毒造成的损害以及感染范围缩到最小，再寻求资安专家协助。

电脑中毒解法步骤

而实际上电脑中毒时怎么办呢？以下将依步骤说明处理方式：

1. 中断网路连线：避免病毒持续散播，也可避免骇客远端控制电脑。

2. 进入安全模式（Safe Mode）：安全模式是 Windows 系统中用来诊断和修复问题的模式，仅载入最基本的程式，以排除问题。安全模式能限制病毒的活动情形，并借着使用有网路的安全模式（Safe Mode with Networking）来下载清除病毒的工具。下载工具时，也要先确保来源可靠，避免再度感染。

3. 删除暂存档案（Temporary Files）：删除暂存档案非必要步骤，也不是主要删除病毒的方式，但有时病毒会藏在暂存档案之中。可借删除暂存档案，移除部分病毒。

4. 更新防毒软体：若已经安装了防毒软体，建议更新获得最新的病毒资料库内容，以协助防毒软体识别病毒。且在更新后重新扫描，以免错过新型病毒。

5. 进行完整扫描：使用防毒软体进行深层扫描，找出受感染的档案并加以隔离，删除病毒。

6. 手动删除病毒：如果防毒软体没有自动删除病毒的话，可以从登录档删除可疑档案。但手动删除档案有一定风险，建议先备份系统或请专家协助。

7. 重新安装受影响档案：受病毒影响的档案如果有安全可靠的备份，可再重新安装回电脑中。

8. 重新开机：以正常模式重新开启电脑，并再次扫描，以确保病毒已确实清除。

想更深入了解如何建立良好的备份机制，欢迎阅读：《异地备援是什么？》 

电脑病毒可以预防吗？ 4 招避免电脑中毒

俗话说，「预防胜于治疗」，在资安领域亦是如此。想要有效预防电脑中毒，可以参考以下作法：

设置并开启防火墙

開啟防火牆可以監控和管理由網際網路傳遞至電腦內的資料，降低不小心從網路上下載電腦病毒的可能性。开启防火墙可以监控和管理由网际网路传递至电脑内的资料，降低不小心从网路上下载电脑病毒的可能性。

使用防毒软体，并定期更新

防毒软体可以定期扫描电脑和系统、侦测是否有电脑病毒，并封锁恶意程式，以免电脑受影响。而定期更新可以确保防毒软体有最新的电脑病毒资料，可以即时探测到其存在，并且修补防毒软体本身可能有的资安漏洞。

提高资安意识

养成良好电脑与网路使用习惯：不点击弹跳式广告或可疑连结、不下载盗版程式或是影音档案、下载电子邮件夹带档案前先扫毒等等，都可以协助避免感染病毒。

定期更新作业系统和软体

病毒仰赖系统或软体程式中的漏洞，植入恶意程式码运作。定期更新作业系统和使用中的软体，可以修补开发商所发现的漏洞，减少被利用来置入病毒的机会。

电脑病毒影响电脑运作、破坏系统、损害资料，对任何人来说都是避之唯恐不及的麻烦。即使只是恶作剧性质的电脑病毒都可能永久伤害电脑硬碟，降低其运作效能。因此使用电脑网路时，小心谨慎，并做好资安防护措施，避免电脑受病毒入侵才是上上策。晟崴科技提供Web 应用程序及 API 保护（WAAP）、MDR 威胁侦测应变服务、资安弱点通报机制（VANS)、弱点扫描、和資安健診服務等多种资安解决办法。协助您设置 Web 防火墙及 API 防护，并监控网路和电脑系统，扫描病毒、侦测异常活动。