病毒是一段计算机程序，故意设计成能够用某种方法把自身附着在其它计算机程序上。当原来的程序运行时，病毒程序也运行，通过附着在其它程序上，病毒实现自身的复制。”病毒把自身附着在原来程序上的方法是：把自己附加在原来程序上，甚至直接替代原程序；而且许多时候，病毒感染时都会改头换面。
  被感染的程序可能是一个宏，可以是磁盘的引导扇区，或者正好是从引导盘上装载的第一个程序。 
请注意定义里的这一段：“故意设计成”。病毒不是事故这么简单。具有相当技术水平的程序员设计开发病毒，然后设法让病毒进入不设防的计算机。防病毒程序越强大，病毒作者绕过防毒程序越费力。
  对许多病毒作者来说，这就是一种挑战；而对另外一些人来说，因为计算生活不稳定或者很惨，他们就可以过得很快活。这真是可恶，他们完全可以不靠病毒，而靠解决千年虫危机大把赚钱。 
病毒已经赢得了有害的恶名，但实际上，许多病毒没有那么大的危害。的确，某些病毒会破坏文件或者进行其它形式的破坏活动，但是还有许多病毒只做些无伤大雅的骚扰，多数用户甚至根本看不到它们。
  要成为病毒，程序只需能够复制自身即可，至于其它的行为都是额外的。 
但是，这些相对来说无关痛痒的病毒，当然也不是完全无害的。它们消耗磁盘空间、内存、CPU资源，所以会影响机器运行的速度和效率。而且，清查它们的防病毒程序也要消耗内存和CPU资源；实际上，许多用户认为，防病毒程序比病毒让计算机速度降得更厉害、更烦人。
  换句话说，即使病毒什么坏事也不做，它也影响计算机的正常使用。 
  
  病毒和与病毒类似的程序 
比起我们要使用的病毒这个术语来说，上面对病毒的解释，实际是相当具体而有限的 
。还有其它类型的一些程序，它们只符合前面的定义的一部分。
  它们和病毒的共同之处在于，都是在用户不知道的情况下活动，并且在计算机内部进行故意设计的一些动作。这些程序类型包括蠕虫、特洛伊木马以及滴管。所有这些程序，包括病毒，都是称为恶件（malware）或恶意软件（malicious-logic software）的这类程序的组成部分。
   
蠕虫是一个程序，它不断地复制自身，但并不感染其它程序。它把自己拷贝到软盘或从软盘拷贝出来，或者通过网络拷贝；有时它利用网络运行。有一种类型的蠕虫—主机蠕虫—只利用网络把自身拷贝到其它主机上；而另一种类型的蠕虫—网络蠕虫—则把自身的各个部分在网络上散布，然后通过网络运行各个不同部分。
  蠕虫还能存在于没有连网的计算机上，这时它能在硬盘上四处复制自己。 
特洛伊木马的名称来自著名的希腊神话—奥德赛。在故事里，希腊军队在特洛伊城前留下一具木马，木马的肚子里埋伏了小支军队。当特洛伊人把木马拉进城时，马腹中的军队也一起进了城。希腊人从马腹中跳出来，占领了特洛伊城，结束了对特洛伊城旷日持久的围攻。
  在计算机领域借用特洛伊木马这个典故，意义是一样的。特洛伊木马是一个程序，它隐藏在看起来无害的程序里。当它隐身其中的程序运行时，特洛伊木马就启动，执行一些用户不希望进行的动作。特洛伊木马不复制自身。 
滴管也是程序，是专门为了对抗防病毒检测而设计的，通常使用了加密手段，以阻止防病毒程序发现它们。
  滴管的典型作用是传送、安装病毒。它们守护在系统上，等待特定事件发生。当特定事件出现时，滴管程序就启动，然后用自身包含的病毒感染系统。 
与这些程序有关的另一个概念是炸弹。炸弹通常植入恶件，以恶件作为激活炸弹的手段。炸弹程序被设计成在特定事件发生时才激活。
  某些炸弹在特定时间激活，通常使用系统时间。炸弹可以设计成在除夕夜删除硬盘上的全部DOC文档文件，或者在某位名人生日的时候弹出一条消息。炸弹还可以设计成被其它事件或条件触发：比如，炸弹可以等待程序启动20次，然后删除程序的模板文件。要是从这个角度来看，炸弹只是恶意的脚本或者调度程序。
   
病毒可以看作是包括一个或多个恶件程序的特殊例子。它们能够通过滴管传播（虽然本身不必是滴管），它们使用蠕虫的技术来复制自身。虽然从技术上说，病毒不是特洛伊木马，但是它在两种方式上很象特洛伊木马：首先，它们做的是用户不想做的；其次，通过把自身附着在现有的程序上，它们有效地把原来的程序变成特洛伊木马（它们隐藏在原来的程序里，在原程序启动时，病毒也启动，并进行用户不希望进行的活动。
  ） 
  病毒是如何工作的 
病毒以不同的方式工作，不过有一些基本的步骤： 
首先，病毒要感染系统 
。它通常成为被感染程序文件（COM，EXE或引导扇区）的一部分。以前，程序几乎毫无例外地都是通过受感染软盘的流传而传播的。
  而现在，病毒则经常是由网络下载而来，比如作为试用程序安装文件的一部分、某个程序使用的宏、或者电子邮件附件。 
需要注意的是：电子邮件内容本身不可能是病毒。病毒是程序，它必须被执行才能激活。病毒当作电子邮件的附件进行传播，但是，如果不运行它，它就什么也做不了。
  只有启动附件（通常是双击附件）时，才会使这种病毒得到执行。有一种简单的方法，有助于保护你免受这种病毒危害：从不打开可执行文件附件（EXE或COM文件）或者程序文件使用的数据文件（如OFFICE文件，里面可能包含有宏）附件。至于图片、声音和其它类型的文件，则是安全的。
   
带毒程序到达系统之后，病毒也就驻留在PC上，就象特洛伊木马程序一样。它隐藏在其它程序或文件里，和宿主程序一起启动。在被感染的可执行文件里，病毒对原来的程序做了实质的修改，使得原来的代码指向病毒代码，在启动程序代码的同时也启动病毒代码。典型的情况是：程序跳转到病毒代码，执行病毒代码，然后再跳转回原来的代码。
  这样，病毒被激活，系统也就被感染了。 
一旦被激活，病毒或者立即进行破坏－如果它是直接行动型的病毒；或者驻留在后台，使用操作系统允许的TSR（终止驻留）过程，作为常驻内存程序。多数病毒是第二种类型，叫做常驻型病毒。因为TSR程序可以进行的活动范围很广，从启动程序、备份文件一直到监视键盘或鼠标活动（甚至更多）。
  所以一个常驻型病毒，可以设计成去做许多操作系统能做的事。使用炸弹，它可以等待触发它的事件，然后在系统上活动。有一件它能做的事是扫描磁盘或者网络磁盘，查找其它正在运行的（或者可执行的）程序，然后把自身拷贝到这些程序上，把它们也全都感染。 
  
 病毒类型 
病毒的设计者不断地尝试新的方法来感染系统 
。
  但是病毒的实际类型还是很少的几种。它们是：引导型病毒，文件型病毒，宏病毒。这些类型有不同的名字，还有一些子类型，但是意思是一样的。 
引导型病毒，或称引导扇区病毒，驻留在PC机硬盘上的特定区域，这个区域只在启动时被计算机读取、执行。真正的引导扇区病毒只感染DOS引导扇区，而一种叫做MBR病毒的子类型则感染主引导记录。
  硬盘的这两个区域都是在引导时被读取，所以病毒也就在这时装入内存。病毒能够感染软盘的引导扇区，但是没有病毒的、写保护的引导软盘一直是启动系统的安全方法。当然，问题在于要保证软盘本身没被感染，这就是防病毒程序该干的事了。 
文件型病毒，又叫做寄生型病毒，这类病毒把自身附着在可执行文件上，是一类最常见，也是讨论得最多的病毒。
  这样的病毒通常驻留在内存里，等待用户运行其它程序，把这当作触发它的事件，触发后感染新打开的程序。所以，它们的复制很简单，只需要通过计算机的正常使用就可进行。有不同类型的文件型病毒，但它们的概念都类似。 
宏病毒，是一种相对较新的类型，它的产生是因为许多程序里面都内置了编程语言。
  程序内置的编程语言的设计目的，是用来建立叫做宏的小程序，帮助用户使工作自动化。比如，微软的Oiffice，就带有这样的内置语言，实际上Office自己也提供了许多内置的宏。所谓宏病毒，也是这些程序可以使用的一个宏，实际上这种类型的病毒最初为人所知，就是因为它感染微软的Word文件。
  在目标程序里打开包含文档或模板时，如果里面包含病毒宏，病毒就会运行并且进行破坏。另外，宏被设计成能够把自身拷贝到其它文档里，这样继续使用软件，就会造成病毒的不断传播。 
第四种类型的部分，叫做多体病毒。这种病毒组合了引导扇区病毒和文件型病毒的特点。
   
如果想得到大量病毒的列表以及它们危害的说明，请参阅Symantec防病毒研究中心 的病毒大百科一节。 
  越来越聪明 
宏病毒的概念产生，是因为内置的编程语言能够访问内存和硬盘 
。而且，实际上其它一些最新的技术，包括ActiveX 控件和Java applets，也都有这种能力。
  它们在设计时，确实是想设计成对硬盘提供保护，防止病毒侵害（Java 要比ActiveX强），但是实际的情况是，仅仅是因为访问某个Web站点，这些程序就能把自己安装在用户的计算机上。很明显，随着网络化的程度的提高，通过互联网进行操作系统升级很方便 (Windows 98 和 NT 5 都可以通过互联网升级)，所以我们在享受这样的方便性的同时，也把自己置身在受病毒和其它恶件攻击的更大风险之中。
   
。