3.伴随、批次型阶段
伴随型病毒开始出现于1992年,伴随型病毒的工作方式是:通过运用DOS调用可执行文件,并根据加载的先后顺序运转工作。
被称为“金蝉”的计算机病毒是当时最具代表性的病毒,它的特点就是在感染EXE文件的同时,它还可以生成一个与EXE同名、扩展名为COM的伴随体。当它对EXE文件进行感染时,病毒就会在电脑程序执行前取得控制权,并且保留原文件的日期,且其内容和属性不会被修改,这也是该类病毒的特点;解除此类计算机病毒是非常简单的,我们只需要将其 “伴随体”删除就可以了。
当伴随型病毒在非DOS的操作系统中,它的工作原理是:通过电脑操作系统,利用其描述语言实施运转。在众多病毒中,当时作为典型代表是 “海盗旗”,它在运行时,会询问客户的部分信息内容比如:名称、口令,之后返回一个出错的消息并把自身删除;批次型计算机病毒与“海盗旗”病毒相似。
4.幽灵、多形阶段
1994年,计算机的普及使汇编语言的成长和发展进入一定的阶段,它能够运用不同的方式,但最终来都能实现同一功能;它们都是由一段段看似非常随机的代码拼凑起来的,但经过一系列的运算后所产生结果是一样的,其中 “幽灵”病毒就是利用此功能,没感染一次就可产生不同的代码;譬如“一半”病毒,它就能生成有着无数种可能的解码程序。很多数据在解码前就已经有病毒体“隐居”在此了,所以要想查解此类病毒,必须得解码这段数据,这样查毒的难度就比较大;还有的综合型计算机病毒像多行型病毒,它能够感染引导区,又可以感染程序区,对解码此类病毒时一般要用到子程序,而且用到至少三段。
5.生成器、变体机阶段
1995年,在汇编语言中,很多在不同的通用寄存器中的操作数据能够产生相同的运算结果,而且在该段数据中随机地插入一段指令都不会影响到最后的运算结果,根据以上理论,一段有解码作用的算法程序,就可以由生成器制造出来了。当代码产生出来是计算机病毒时,计算机病毒制造机就问世了。
具有典型代表的是“计算机病毒制造机”VCL,它可以在短暂时间内快速地建立成千上万个计算机病毒,想清除此类病毒,必须先对指令进行析然后进行解码。
6.网络、蠕虫阶段
1995年,网络的普及使计算机病毒开始使用互联网进行流传传播,此时的病毒只是由之前的计算机病毒“进化”而来的。
在非DOS操作系统中,最具典型的代表当为“蠕虫”了,该病毒只侵占内存空间,不损耗其余资源、不改写磁盘里的文档内容;它通过运用互联网的相关功能对网络地址进行搜索,从而实现将自身向下一地址传播的目标,来完成自身的传染,有时它也存在和生存于启动文件中或网络服务器里。
7.视窗阶段
在1996年,Windows、Windows95得到了普遍的使用,以此同时计算机病毒开始利用Windows运作传染,这类计算机病毒在执行时能够修改(PE,NE)文件,其中DS.3873是当时的典型代表,它们的运作方式(利用保护模式和API调用接口)比较繁琐,所以消除它们也相应地比较困难。
8.宏计算机病毒阶段
1996年,随着WindowsWord功能的逐步完善,人们对Word宏语言的运用已经变得相当成熟,并且当时的很多计算机病毒都是利用这种语言进行编制的,最简单的例子就是利用“类Basic语言”,编写简单没有难度,编写出来的病毒程序能够感染的是Word文档文件;在查解这类计算机病毒时相对比较困难,因为Word文档格式没有对外开放,同台出现的Excel和AmlPro里的病毒都是一样的工作原理。