ไวรัสคอมพิวเตอร์ [ ^{1 ] เป็น}มัลแวร์ประเภทหนึ่งที่เมื่อถูกเรียกใช้งาน จะทำการจำลองตัวเองโดยการแก้ไขโปรแกรมคอมพิวเตอร์ อื่นๆ และแทรกโค้ดของตัวเองเข้าไปในโปรแกรมเหล่านั้น^{[ 2 ] [ 3 ]} หากการจำลองนี้สำเร็จ พื้นที่ที่ได้รับผลกระทบจะถูกเรียกว่า "ติดเชื้อ" ไวรัสคอมพิวเตอร์ ซึ่ง เป็นคำอุปมาที่มาจาก ไวรัสทางชีววิทยา^{[ 4 ]}

โดยทั่วไปไวรัส คอมพิวเตอร์ต้องการโปรแกรมโฮสต์^{[ 5 ]}ไวรัสจะเขียนโค้ดของตัวเองลงในโปรแกรมโฮสต์ เมื่อโปรแกรมทำงาน โปรแกรมไวรัสที่เขียนไว้จะถูกเรียกใช้ก่อน ทำให้เกิดการติดเชื้อและความเสียหาย ในทางตรงกันข้ามเวิร์มคอมพิวเตอร์ไม่ต้องการโปรแกรมโฮสต์ เนื่องจากเป็นโปรแกรมหรือส่วนของโค้ดที่เป็นอิสระ ดังนั้นจึงไม่ถูกจำกัดโดยโปรแกรมโฮสต์แต่สามารถทำงานได้อย่างอิสระและดำเนินการโจมตีได้^{[ 6 ] [ 7 ]}

ผู้เขียนไวรัสใช้กลอุบายทางสังคม และใช้ประโยชน์จากความรู้โดยละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยเพื่อแพร่เชื้อไปยังระบบในขั้นต้นและแพร่กระจายไวรัส ไวรัสใช้กลยุทธ์ต่อต้านการตรวจจับ/การซ่อนตัวที่ซับซ้อนเพื่อหลีกเลี่ยงซอฟต์แวร์ป้องกันไวรัส^{[ 8 ]}แรงจูงใจในการสร้างไวรัสอาจรวมถึงการแสวงหาผลกำไร (เช่นแรนซัมแวร์ ) ความปรารถนาที่จะส่งข้อความทางการเมือง ความบันเทิงส่วนตัว เพื่อแสดงให้เห็นว่ามีช่องโหว่ในซอฟต์แวร์ เพื่อการก่อวินาศกรรมและการปฏิเสธการให้บริการหรือเพียงเพราะพวกเขาต้องการสำรวจประเด็นด้านความปลอดภัยทางไซเบอร์ ปัญญาประดิษฐ์และอัลกอริธึมวิวัฒนาการ^{[ 9 ]}

เพื่อตอบสนองต่อสถานการณ์ดังกล่าว อุตสาหกรรมซอฟต์แวร์ป้องกันไวรัสจึงเกิดขึ้น โดยมีการขายหรือแจกจ่ายโปรแกรมป้องกันไวรัสให้กับผู้ใช้ระบบปฏิบัติการต่างๆ อย่างฟรีๆ^{[ 10 ]}

งานวิชาการชิ้นแรกเกี่ยวกับทฤษฎีของโปรแกรมคอมพิวเตอร์ที่จำลองตัวเองได้นั้น เกิดขึ้นในปี พ.ศ. 2492 โดยJohn von Neumannซึ่งบรรยายที่มหาวิทยาลัยอิลลินอยส์เกี่ยวกับ "ทฤษฎีและการจัดระเบียบของออโตมาตา ที่ซับซ้อน " งานของ von Neumann ได้รับการตีพิมพ์ในภายหลังในชื่อ "ทฤษฎีของออโตมาตาที่จำลองตัวเองได้" ในบทความของเขา von Neumann ได้อธิบายว่าโปรแกรมคอมพิวเตอร์สามารถออกแบบให้จำลองตัวเองได้อย่างไร^{[ 11 ]}การออกแบบโปรแกรมคอมพิวเตอร์ที่จำลองตัวเองได้ของ von Neumann ถือเป็นไวรัสคอมพิวเตอร์ตัวแรกของโลก และเขาได้รับการยกย่องว่าเป็น "บิดา" ทางทฤษฎีของวิทยาไวรัสคอมพิวเตอร์^{[ 12 ]}

ในปี พ.ศ. 2515 Veith Risak ได้ต่อยอดจากงานของ von Neumann เกี่ยวกับการจำลองตัวเองและตีพิมพ์บทความเรื่อง "Selbstreproduzierende Automaten mit minimaler Informationsübertragung" (ออโตมาตาที่จำลองตัวเองได้โดยมีการแลกเปลี่ยนข้อมูลน้อยที่สุด) ^{[ 13 ]}บทความนี้อธิบายถึงไวรัสที่ทำงานได้อย่างสมบูรณ์ซึ่งเขียนด้วย ภาษาโปรแกรม แอสเซมเบลอร์สำหรับระบบคอมพิวเตอร์ SIEMENS 4004/35 ในปี พ.ศ. 2523 Jürgen Kraus ได้เขียน วิทยานิพนธ์ ระดับปริญญาโทเรื่อง "Selbstreproduktion bei Programmen" (การจำลองตัวเองของโปรแกรม) ที่มหาวิทยาลัยดอร์ทมุนด์ [ ^{14 ] ใน}งานของเขา Kraus ตั้งสมมติฐานว่าโปรแกรมคอมพิวเตอร์สามารถมีพฤติกรรมคล้ายกับไวรัสทางชีววิทยาได้

ไวรัสCreeperถูกตรวจพบครั้งแรกบนARPANETซึ่งเป็นเครือข่ายต้นกำเนิดของอินเทอร์เน็ตในช่วงต้นทศวรรษ 1970 ^{[ 15 ]} Creeper เป็นโปรแกรมจำลองตัวเองแบบทดลองที่เขียนโดย Bob Thomas ที่BBN Technologiesในปี 1971 ^{[ 16 ]} Creeper ใช้ ARPANET ในการแพร่เชื้อไปยังคอมพิวเตอร์DEC PDP-10 ที่ใช้ ระบบปฏิบัติการTENEX ^{[ 17 ]} Creeper เข้าถึงระบบผ่านทาง ARPANET และคัดลอกตัวเองไปยังระบบระยะไกล โดยแสดงข้อความว่า "ฉันคือ Creeper จับฉันให้ได้สิ!" ^{[ 18 ]}โปรแกรมReaperถูกสร้างขึ้นเพื่อลบ Creeper ^{[ 19 ]}

ในปี พ.ศ. 2525 โปรแกรมที่ชื่อว่า " Elk Cloner " เป็นไวรัสคอมพิวเตอร์ส่วนบุคคลตัวแรกที่ปรากฏ "ในธรรมชาติ" กล่าวคือ นอกเหนือจากคอมพิวเตอร์เครื่องเดียวหรือห้องปฏิบัติการคอมพิวเตอร์ที่มันถูกสร้างขึ้น^{[ 20 ]} โปรแกรมนี้ เขียนขึ้นในปี พ.ศ. 2524 โดยRichard Skrentaนักเรียนชั้นมัธยมศึกษาปีที่ 9 ที่โรงเรียนMt. Lebanon High Schoolใกล้เมืองพิตต์สเบิร์กมันแทรกซึมเข้าไปใน ระบบปฏิบัติการ Apple DOS 3.3 และแพร่กระจายผ่านฟลอปปี้ดิสก์^{[ 20 ]}ในการใช้งานครั้งที่ 50 ไวรัส Elk Clonerจะถูกเปิดใช้งาน ติดเชื้อคอมพิวเตอร์ส่วนบุคคล และแสดงบทกวีสั้นๆ ที่ขึ้นต้นว่า "Elk Cloner: โปรแกรมที่มีบุคลิก"

ในปี 1984 เฟรด โคเฮนจากมหาวิทยาลัยเซาท์เทิร์นแคลิฟอร์เนียได้เขียนบทความเรื่อง "ไวรัสคอมพิวเตอร์ – ทฤษฎีและการทดลอง" ^{[ 21 ]}นับเป็นบทความแรกที่เรียกโปรแกรมที่แพร่พันธุ์ได้เองว่า "ไวรัส" อย่างชัดเจน ซึ่งเป็นคำที่เลียวนาร์ด แอดเลแมน อาจารย์ของโคเฮน เป็น ผู้แนะนำ ^{[ 22 ]}ในปี 1987 โคเฮนได้ตีพิมพ์การสาธิตว่าไม่มีอัลกอริทึมใดที่สามารถตรวจจับไวรัสที่เป็นไปได้ทั้งหมดได้อย่างสมบูรณ์แบบ^{[ 23 ]}ไวรัสบีบอัดเชิงทฤษฎีของโคเฮน^{[ 24 ]}เป็นตัวอย่างของไวรัสที่ไม่ใช่ซอฟต์แวร์ที่เป็นอันตราย ( มัลแวร์ ) แต่คาดว่าจะเป็นไวรัสที่มีเจตนาดี (มีความตั้งใจดี) อย่างไรก็ตาม ผู้เชี่ยวชาญด้าน โปรแกรมป้องกันไวรัสไม่ยอมรับแนวคิดของ "ไวรัสที่มีเจตนาดี" เนื่องจากฟังก์ชันที่ต้องการใดๆ ก็สามารถนำไปใช้ได้โดยไม่ต้องใช้ไวรัส (เช่น การบีบอัดอัตโนมัติมีให้ใช้งานในWindowsตามที่ผู้ใช้เลือก) โดยนิยามแล้ว ไวรัสใดๆ ก็ตามจะทำการเปลี่ยนแปลงคอมพิวเตอร์โดยไม่ได้รับอนุญาต ซึ่งเป็นสิ่งที่ไม่พึงประสงค์แม้ว่าจะไม่มีความเสียหายเกิดขึ้นหรือไม่ได้ตั้งใจก็ตาม หน้าแรกของสารานุกรมไวรัสของดร.โซโลมอนอธิบายถึงความไม่พึงประสงค์ของไวรัส แม้แต่ไวรัสที่ไม่ได้ทำอะไรเลยนอกจากแพร่พันธุ์^{[ 25 ] [ 26 ]}

บทความที่อธิบาย "ฟังก์ชันการทำงานของไวรัสที่มีประโยชน์" ได้รับการตีพิมพ์โดยJB Gunnภายใต้ชื่อ "การใช้ฟังก์ชันของไวรัสเพื่อจัดหา ตัวแปล APL เสมือน ภายใต้การควบคุมของผู้ใช้" ในปี 1984 ^{[ 27 ]} ไวรัส ตัวแรกที่เข้ากันได้กับ IBM PCใน "โลก" คือไวรัสบูตเซกเตอร์ ที่เรียกว่า (c)Brain [ ^{28 ] สร้าง}ขึ้นในปี 1986 และเผยแพร่ในปี 1987 โดย Amjad Farooq Alvi และ Basit Farooq Alvi ในเมืองลาฮอร์ ประเทศปากีสถานโดยมีรายงานว่าเพื่อป้องกันการคัดลอกซอฟต์แวร์ที่พวกเขาเขียนโดยไม่ได้รับอนุญาต^{[ 29 ]}

ไวรัสตัวแรกที่มุ่งเป้าไปที่Microsoft Windows โดยเฉพาะ คือWinVirซึ่งถูกค้นพบในเดือนเมษายน พ.ศ. 2535 สองปีหลังจากที่Windows 3.0ออก วางจำหน่าย ^{[ 30 ]}ไวรัสนี้ไม่มีการเรียกใช้ API ของ Windows แต่ใช้การขัดจังหวะของ DOS แทน ไม่กี่ปีต่อมา ในเดือนกุมภาพันธ์ พ.ศ. 2539 แฮกเกอร์ชาวออสเตรเลียจากกลุ่มเขียนไวรัส VLAD ได้สร้าง ไวรัส Bizatch (หรือที่รู้จักกันในชื่อไวรัส "Boza") ซึ่งเป็นไวรัสตัวแรกที่มุ่งเป้าไปที่Windows 95โดย เฉพาะ ^{[ 31 ]}ไวรัสนี้โจมตีไฟล์ปฏิบัติการแบบพกพา (PE) ใหม่ที่แนะนำใน Windows 95 ^{[ 32 ]} ในช่วงปลายปี พ.ศ. 2540 ไวรัส Win32.Cabanasที่เข้ารหัสและซ่อนตัวอยู่ในหน่วยความจำถูกปล่อยออกมา ซึ่งเป็นไวรัสตัวแรกที่มุ่งเป้าไปที่Windows NT (นอกจากนี้ยังสามารถติดเชื้อโฮสต์ Windows 3.0 และ Windows 9x ได้ด้วย) ^{[ 33 ]}

แม้แต่คอมพิวเตอร์ที่บ้าน ก็ได้ รับผลกระทบจากไวรัส ไวรัสตัวแรกที่ปรากฏบนAmigaคือไวรัสบูตเซกเตอร์ที่เรียกว่าไวรัส SCAซึ่งตรวจพบในเดือนพฤศจิกายน พ.ศ. 2530 ^{[ 34 ]}ภายในปี พ.ศ. 2531 มีรายงานว่า ผู้ดูแลระบบ รายหนึ่ง พบว่าไวรัสแพร่ระบาดในซอฟต์แวร์ที่มีให้ดาวน์โหลดบน BBS ของเขาถึง 15% ^{[ 35 ]}

โดยทั่วไปไวรัสคอมพิวเตอร์ประกอบด้วยสามส่วน ได้แก่ กลไกการติดเชื้อ ซึ่งค้นหาและติดเชื้อไฟล์ใหม่ เพย์โหลด ซึ่งเป็นโค้ดที่เป็นอันตรายที่จะดำเนินการ และทริกเกอร์ ซึ่งกำหนดว่าจะเปิดใช้งานเพย์โหลดเมื่อใด^{[ 36 ]}

กลไกการติดเชื้อ

เรียกอีกอย่างว่าเวกเตอร์การติดเชื้อ นี่คือวิธีที่ไวรัสแพร่กระจาย ไวรัสบางตัวมีรูทีนการค้นหาซึ่งจะค้นหาและติดเชื้อไฟล์บนดิสก์^{[ 37 ]} ไวรัสอื่นๆ ติดเชื้อ ไฟล์ขณะที่กำลังรัน เช่นไวรัส Jerusalem DOS

สิ่งกระตุ้น

เรียกอีกอย่างว่าระเบิดตรรกะนี่คือส่วนหนึ่งของไวรัสที่กำหนดเงื่อนไขสำหรับการเปิดใช้งานเพย์โหลด^{[ 38 ]}เงื่อนไขนี้อาจเป็นวันที่ เวลา การมีโปรแกรมอื่นอยู่ ขนาดบนดิสก์เกินเกณฑ์^{[ 39 ]}หรือการเปิดไฟล์เฉพาะ^{[ 40 ]}

เพย์โหลด

เพย์โหลดคือส่วนหลักของไวรัสที่ดำเนินการกิจกรรมที่เป็นอันตราย ตัวอย่างของกิจกรรมที่เป็นอันตราย ได้แก่ การทำลายไฟล์ การขโมยข้อมูลที่เป็นความลับ หรือการสอดแนมระบบที่ติดเชื้อ^{[ 41 ] [ 42 ]}บางครั้งกิจกรรมของเพย์โหลดก็สังเกตได้ชัดเจน เนื่องจากอาจทำให้ระบบทำงานช้าลงหรือ "หยุดทำงาน" ^{[ 37 ]}บางครั้งเพย์โหลดก็ไม่ก่อให้เกิดความเสียหาย และจุดประสงค์หลักคือการเผยแพร่ข้อความไปยังผู้คนให้มากที่สุดเท่าที่จะเป็นไปได้ ซึ่งเรียกว่าไวรัสหลอกลวง^{[ 43 ]}

ระยะของไวรัส คือวงจรชีวิตของไวรัสคอมพิวเตอร์ ซึ่งอธิบายโดยใช้การเปรียบเทียบกับชีววิทยาวงจรชีวิตนี้สามารถแบ่งออกเป็นสี่ระยะ:

ระยะพักตัว

โปรแกรมไวรัสจะอยู่เฉยๆ ในขั้นตอนนี้ โปรแกรมไวรัสสามารถเข้าถึงคอมพิวเตอร์หรือซอฟต์แวร์ของผู้ใช้เป้าหมายได้ แต่ในขั้นตอนนี้ ไวรัสจะไม่ดำเนินการใดๆ ไวรัสจะถูกเปิดใช้งานในที่สุดโดย "ทริกเกอร์" ซึ่งระบุว่าเหตุการณ์ใดจะทำให้ไวรัสทำงาน ไม่ใช่ไวรัสทุกตัวจะมีขั้นตอนนี้^{[ 37 ]}

ระยะการแพร่กระจาย

ไวรัสเริ่มแพร่กระจาย ซึ่งเป็นการเพิ่มจำนวนและจำลองตัวเอง ไวรัสจะวางสำเนาของตัวเองลงในโปรแกรมอื่นหรือในพื้นที่ระบบบางส่วนบนดิสก์ สำเนาอาจไม่เหมือนกับเวอร์ชันที่แพร่กระจาย ไวรัสมักจะ "แปลงร่าง" หรือเปลี่ยนแปลงเพื่อหลีกเลี่ยงการตรวจจับโดยผู้เชี่ยวชาญด้านไอทีและซอฟต์แวร์ป้องกันไวรัส โปรแกรมที่ติดเชื้อแต่ละโปรแกรมจะมีโคลนของไวรัส ซึ่งจะเข้าสู่ขั้นตอนการแพร่กระจายต่อไป^{[ 37 ]}

ขั้นตอนการกระตุ้น

ไวรัสที่อยู่ในสภาวะพักตัวจะเข้าสู่ระยะนี้เมื่อถูกกระตุ้น และจะทำหน้าที่ตามที่ตั้งใจไว้ ระยะการกระตุ้นอาจเกิดจากเหตุการณ์ต่างๆ ของระบบ รวมถึงการนับจำนวนครั้งที่ไวรัสตัวนี้สร้างสำเนาของตัวเอง^{[ 37 ]}การกระตุ้นอาจเกิดขึ้นเมื่อพนักงานถูกเลิกจ้าง หรือหลังจากผ่านไประยะเวลาหนึ่ง เพื่อลดความสงสัย

ขั้นตอนการดำเนินการ

นี่คือการทำงานจริงของไวรัส ซึ่ง "เพย์โหลด" จะถูกปล่อยออกมา ซึ่งอาจเป็นอันตราย เช่น การลบไฟล์บนดิสก์ การทำให้ระบบล่ม หรือการทำให้ไฟล์เสียหาย หรืออาจไม่เป็นอันตรายมากนัก เช่น การแสดงข้อความตลกหรือข้อความทางการเมืองบนหน้าจอ^{[ 37 ]}

ไวรัสคอมพิวเตอร์จะแพร่เชื้อไปยังระบบย่อยต่างๆ บนคอมพิวเตอร์โฮสต์และซอฟต์แวร์^{[ 44 ]}วิธีหนึ่งในการจำแนกไวรัสคือการวิเคราะห์ว่าไวรัสเหล่านั้นอยู่ในไฟล์ปฏิบัติการไบนารี (เช่นไฟล์.EXEหรือ .COM ) ไฟล์ข้อมูล (เช่น เอกสาร Microsoft Wordหรือไฟล์ PDF ) หรืออยู่ในเซกเตอร์บูตของฮาร์ดไดรฟ์ โฮสต์ (หรือการรวมกันของทั้งหมดนี้) ^{[ 45 ] [ 46 ]}

เอไวรัสที่อาศัยอยู่ในหน่วยความจำ (หรือเรียกสั้นๆ ว่า "ไวรัสที่อาศัยอยู่ในหน่วยความจำ") จะติดตั้งตัวเองเป็นส่วนหนึ่งของระบบปฏิบัติการเมื่อถูกเรียกใช้งาน หลังจากนั้นมันจะยังคงอยู่ในRAMตั้งแต่เวลาที่คอมพิวเตอร์บูตเครื่องจนถึงเวลาที่ปิดเครื่อง ไวรัสที่อาศัยอยู่ในหน่วยความจำจะเขียนทับโค้ดการจัดการการขัดจังหวะฟังก์ชันและเมื่อระบบปฏิบัติการพยายามเข้าถึงไฟล์เป้าหมายหรือเซกเตอร์ดิสก์ โค้ดของไวรัสจะดักจับคำขอและเปลี่ยนเส้นทางการควบคุมไปยังโมดูลการจำลองแบบ ทำให้เป้าหมายติดไวรัส ในทางตรงกันข้ามไวรัสที่ไม่อาศัยอยู่ในหน่วยความจำ(หรือเรียกสั้นๆ ว่า "ไวรัสที่ไม่อาศัยอยู่ในหน่วยความจำ") เมื่อถูกเรียกใช้งาน จะสแกนดิสก์เพื่อหาเป้าหมาย ติดไวรัส และจากนั้นก็ออกจากระบบ (กล่าวคือ มันจะไม่คงอยู่ในหน่วยความจำหลังจากที่เรียกใช้งานเสร็จแล้ว) ^{[ 47 ]}

แอปพลิเคชันทั่วไปหลายตัว เช่นMicrosoft OutlookและMicrosoft Wordอนุญาตให้ ฝังโปรแกรม มาโครลงในเอกสารหรืออีเมลได้ เพื่อให้โปรแกรมสามารถทำงานได้โดยอัตโนมัติเมื่อเปิดเอกสารไวรัสมาโคร (หรือ "ไวรัสเอกสาร") คือไวรัสที่เขียนด้วยภาษามาโครและฝังอยู่ในเอกสารเหล่านี้ เมื่อผู้ใช้เปิดไฟล์ รหัสไวรัสจะถูกเรียกใช้งานและสามารถแพร่เชื้อไปยังคอมพิวเตอร์ของผู้ใช้ได้ นี่เป็นหนึ่งในเหตุผลที่การเปิดไฟล์แนบ ที่ไม่คาดคิดหรือน่า สงสัยในอีเมล เป็นอันตราย ^{[ 48 ] [ 49 ]}แม้ว่าการไม่เปิดไฟล์แนบในอีเมลจากบุคคลหรือองค์กรที่ไม่รู้จักจะช่วยลดโอกาสในการติดไวรัสได้ แต่ในบางกรณี ไวรัสถูกออกแบบมาเพื่อให้ดูเหมือนว่าอีเมลนั้นมาจากองค์กรที่มีชื่อเสียง (เช่น ธนาคารขนาดใหญ่หรือบริษัทบัตรเครดิต)

เอไวรัสบูตเซกเตอร์มุ่งเป้าไปที่บูตเซกเตอร์และ/หรือมาสเตอร์บูตเรคคอร์ด ^{[ 50 ]} (MBR) ของฮาร์ดดิสก์ ไดรฟ์โซลิดสเตทไดรฟ์หรือสื่อจัดเก็บข้อมูลแบบถอดได้ (แฟลชไดรฟ์ ฟลอปปี้ดิสก์ฯลฯ)ของโฮสต์ ^{โดยเฉพาะ [ 51 ]}

วิธีการแพร่กระจายไวรัสคอมพิวเตอร์ในบูตเซกเตอร์ที่พบบ่อยที่สุดคือผ่านสื่อทางกายภาพ เมื่ออ่านVBRของไดรฟ์ ฟลอปปี้ดิสก์หรือแฟลชไดรฟ์ USB ที่ติด ไวรัสซึ่งเชื่อมต่อกับคอมพิวเตอร์จะถ่ายโอนข้อมูล จากนั้นจะแก้ไขหรือแทนที่โค้ดบูตที่มีอยู่ ครั้งต่อไปที่ผู้ใช้พยายามเริ่มเดสก์ท็อป ไวรัสจะโหลดและทำงานทันทีในฐานะส่วนหนึ่งของมาสเตอร์บูตเรคคอร์ด^{[ 52 ]}

ไวรัสอีเมลคือไวรัสที่ตั้งใจใช้ระบบอีเมลในการแพร่กระจาย ไม่ใช่โดยบังเอิญ ในขณะที่ไฟล์ที่ติดไวรัสอาจถูกส่งเป็นไฟล์แนบในอีเมล โดยไม่ได้ตั้งใจ แต่ไวรัสอีเมลนั้นรู้จักฟังก์ชันของระบบอีเมล โดยทั่วไปแล้วไวรัสจะกำหนดเป้าหมายไปที่ระบบอีเมลประเภทใดประเภทหนึ่งโดยเฉพาะ ( Microsoft Outlookเป็นระบบที่ใช้กันมากที่สุด) รวบรวมที่อยู่อีเมลจากแหล่งต่างๆ และอาจแนบสำเนาของตัวเองไปกับอีเมลทั้งหมดที่ส่ง หรืออาจสร้างข้อความอีเมลที่มีสำเนาของตัวเองเป็นไฟล์แนบ^{[ 53 ]}

เพื่อหลีกเลี่ยงการตรวจจับโดยผู้ใช้ ไวรัสบางชนิดใช้กลอุบายหลอกลวง หลายประเภท ไวรัสเก่าบางชนิด โดยเฉพาะบน แพลตฟอร์ม DOSจะทำให้แน่ใจว่าวันที่ "แก้ไขล่าสุด" ของไฟล์โฮสต์ยังคงเหมือนเดิมเมื่อไฟล์ติดไวรัส อย่างไรก็ตาม วิธีนี้ไม่สามารถหลอกซอฟต์แวร์ ป้องกันไวรัส ได้ โดยเฉพาะซอฟต์แวร์ที่ตรวจสอบความซ้ำซ้อนแบบวนรอบของการเปลี่ยนแปลงไฟล์^{[ 54 ]}ไวรัสบางชนิดสามารถติดไฟล์ได้โดยไม่เพิ่มขนาดหรือทำให้ไฟล์เสียหาย พวกมันทำได้โดยการเขียนทับพื้นที่ที่ไม่ได้ใช้งานของไฟล์ปฏิบัติการ ไวรัสเหล่านี้เรียกว่าไวรัสโพรงตัวอย่างเช่นไวรัส CIHหรือไวรัสเชอร์โนบิล ติด ไฟล์ Portable Executableเนื่องจากไฟล์เหล่านั้นมีช่องว่างจำนวนมาก ไวรัสซึ่งมีความยาว 1 KBจึงไม่เพิ่มขนาดของไฟล์^{[ 55 ]}ไวรัสบางชนิดพยายามหลีกเลี่ยงการตรวจจับโดยการฆ่างานที่เกี่ยวข้องกับซอฟต์แวร์ป้องกันไวรัสก่อนที่มันจะตรวจพบ (ตัวอย่างเช่นConficker ) ไวรัสอาจซ่อนตัวตนโดยใช้รูทคิตโดยไม่แสดงตัวเองในรายการกระบวนการ ของระบบ หรือปลอมตัวอยู่ในกระบวนการที่เชื่อถือได้^{[ 56 ]}ในช่วงทศวรรษ 2010 เมื่อคอมพิวเตอร์และระบบปฏิบัติการมีขนาดใหญ่ขึ้นและซับซ้อนมากขึ้น เทคนิคการซ่อนตัวแบบเก่าจึงจำเป็นต้องได้รับการอัปเดตหรือแทนที่ การป้องกันคอมพิวเตอร์จากไวรัสอาจต้องการให้ระบบไฟล์เปลี่ยนไปใช้การอนุญาตโดยละเอียดและชัดเจนสำหรับการเข้าถึงไฟล์ทุกประเภท นอกจากนี้ มีเพียงส่วนน้อยของไวรัสที่รู้จักเท่านั้นที่ก่อให้เกิดเหตุการณ์จริง ส่วนใหญ่เป็นเพราะไวรัสจำนวนมากยังคงอยู่ต่ำกว่าเกณฑ์การระบาดตามทฤษฎี^{[ 57 ]}

แม้ว่าซอฟต์แวร์ป้องกันไวรัสบางชนิดจะใช้เทคนิคต่างๆ เพื่อต่อต้านกลไกการซ่อนตัว แต่เมื่อเกิดการติดเชื้อแล้ว การ "ทำความสะอาด" ระบบก็ไม่น่าเชื่อถือ ในระบบปฏิบัติการ Microsoft Windows ระบบไฟล์ NTFSเป็นกรรมสิทธิ์ ทำให้ซอฟต์แวร์ป้องกันไวรัสมีทางเลือกน้อยมาก นอกจากการส่งคำขอ "อ่าน" ไปยังไฟล์ Windows ที่จัดการคำขอดังกล่าว ไวรัสบางตัวหลอกซอฟต์แวร์ป้องกันไวรัสโดยการดักจับคำขอไปยังระบบปฏิบัติการ ไวรัสสามารถซ่อนตัวได้โดยการดักจับคำขออ่านไฟล์ที่ติดเชื้อ จัดการคำขอเอง และส่งไฟล์เวอร์ชันที่ไม่ติดเชื้อกลับไปยังซอฟต์แวร์ป้องกันไวรัส การดักจับสามารถเกิดขึ้นได้โดยการแทรกโค้ดลงในไฟล์ระบบปฏิบัติการจริงที่จะจัดการคำขออ่าน ดังนั้น ซอฟต์แวร์ป้องกันไวรัสที่พยายามตรวจจับไวรัสจะไม่ได้รับอนุญาตให้อ่านไฟล์ที่ติดเชื้อ หรือคำขอ "อ่าน" จะได้รับไฟล์เวอร์ชันที่ไม่ติดเชื้อแทน^{[ 58 ]}

วิธีเดียวที่เชื่อถือได้ในการหลีกเลี่ยงไวรัส "แฝงตัว" คือการบูตจากสื่อที่ทราบว่า "สะอาด" จากนั้นสามารถใช้ซอฟต์แวร์รักษาความปลอดภัยเพื่อตรวจสอบไฟล์ระบบปฏิบัติการที่ไม่ได้ใช้งาน ซอฟต์แวร์รักษาความปลอดภัยส่วนใหญ่จะอาศัยลายเซ็นไวรัส หรือใช้ฮิวริสติกส์ [ ^{59 ] [ 60 ] ซอฟต์แวร์}รักษาความปลอดภัยอาจใช้ฐานข้อมูล " แฮช " ของไฟล์ระบบปฏิบัติการ Windows เพื่อให้ซอฟต์แวร์รักษาความปลอดภัยสามารถระบุไฟล์ที่เปลี่ยนแปลง และขอให้สื่อการติดตั้ง Windows แทนที่ไฟล์เหล่านั้นด้วยเวอร์ชันที่ถูกต้อง ใน Windows เวอร์ชันเก่าฟังก์ชันแฮชเข้ารหัสของไฟล์ระบบปฏิบัติการ Windows ที่จัดเก็บไว้ใน Windows ซึ่งอนุญาตให้ตรวจสอบความสมบูรณ์/ความถูกต้องของไฟล์ อาจถูกเขียนทับ ทำให้System File Checkerรายงานว่าไฟล์ระบบที่เปลี่ยนแปลงนั้นเป็นของแท้ ดังนั้นการใช้แฮชไฟล์เพื่อสแกนหาไฟล์ที่เปลี่ยนแปลงจึงไม่รับประกันว่าจะพบการติดเชื้อเสมอไป^{[ 61 ]}

โปรแกรมป้องกันไวรัสสมัยใหม่ส่วนใหญ่พยายามค้นหารูปแบบไวรัสภายในโปรแกรมทั่วไปโดยการสแกนหาสิ่งที่เรียกว่า ลาย เซ็นไวรัส^{[ 62 ]}โปรแกรมป้องกันไวรัสแต่ละโปรแกรมจะใช้วิธีการค้นหาที่แตกต่างกันในการระบุไวรัส หากโปรแกรมสแกนไวรัสพบรูปแบบดังกล่าวในไฟล์ มันจะทำการตรวจสอบอื่นๆ เพื่อให้แน่ใจว่าได้พบไวรัสแล้ว ไม่ใช่เพียงแค่ลำดับที่บังเอิญในไฟล์ที่ไม่เป็นอันตราย ก่อนที่จะแจ้งให้ผู้ใช้ทราบว่าไฟล์นั้นติดไวรัส จากนั้นผู้ใช้สามารถลบ หรือ (ในบางกรณี) "ทำความสะอาด" หรือ "รักษา" ไฟล์ที่ติดไวรัสได้ ไวรัสบางชนิดใช้เทคนิคที่ทำให้การตรวจจับโดยใช้ลายเซ็นทำได้ยาก แต่ก็อาจจะไม่เป็นไปไม่ได้ ไวรัสเหล่านี้จะแก้ไขโค้ดของมันในแต่ละครั้งที่ติดเชื้อ กล่าวคือ ไฟล์ที่ติดไวรัสแต่ละไฟล์จะมีไวรัสเวอร์ชันที่แตกต่างกัน

วิธีหนึ่งในการหลีกเลี่ยงการตรวจจับลายเซ็นคือการใช้การเข้ารหัส แบบง่าย เพื่อเข้ารหัส (เข้ารหัส) เนื้อหาของไวรัส โดยเหลือเพียงโมดูลการเข้ารหัสและคีย์การเข้ารหัส แบบคงที่ ในรูปแบบข้อความธรรมดาซึ่งไม่เปลี่ยนแปลงจากการติดเชื้อครั้งหนึ่งไปยังอีกครั้งหนึ่ง^{[ 63 ]}ในกรณีนี้ ไวรัสประกอบด้วยโมดูลการถอดรหัสขนาดเล็กและสำเนารหัสไวรัสที่เข้ารหัส หากไวรัสถูกเข้ารหัสด้วยคีย์ที่แตกต่างกันสำหรับแต่ละไฟล์ที่ติดเชื้อ ส่วนเดียวของไวรัสที่ยังคงคงที่คือโมดูลการถอดรหัส ซึ่งจะถูกเพิ่มเข้าไปที่ส่วนท้าย (เช่น) ในกรณีนี้ โปรแกรมสแกนไวรัสไม่สามารถตรวจจับไวรัสโดยตรงโดยใช้ลายเซ็นได้ แต่ยังคงสามารถตรวจจับโมดูลการถอดรหัสได้ ซึ่งยังคงทำให้การตรวจจับไวรัสทางอ้อมเป็นไปได้ เนื่องจากคีย์เหล่านี้เป็นคีย์สมมาตรที่จัดเก็บไว้ในโฮสต์ที่ติดเชื้อ จึงเป็นไปได้ที่จะถอดรหัสไวรัสขั้นสุดท้าย แต่สิ่งนี้อาจไม่จำเป็น เนื่องจากรหัสที่แก้ไขตัวเองได้นั้นหายากมาก การค้นพบรหัสดังกล่าวอาจเป็นเหตุผลเพียงพอสำหรับโปรแกรมสแกนไวรัสที่จะ "ทำเครื่องหมาย" ไฟล์นั้นว่าเป็นไฟล์ที่น่าสงสัยอย่างน้อยที่สุด วิธีการเก่าแต่กระชับคือการใช้การดำเนินการทางคณิตศาสตร์ เช่น การบวกหรือการลบ และการใช้เงื่อนไขเชิงตรรกะ เช่นการ XOR [ ^{64 ] โดยที่แต่ละไบต์ในไวรัสจะมีค่าคงที่ ดังนั้นการดำเนินการ XOR จึงต้อง ทำ}ซ้ำเพื่อการถอดรหัสเท่านั้น การที่โค้ดแก้ไขตัวเองนั้นเป็นเรื่องน่าสงสัย ดังนั้นโค้ดสำหรับการเข้ารหัส/ถอดรหัสอาจเป็นส่วนหนึ่งของลายเซ็นในคำจำกัดความของไวรัสหลายๆ ตัว วิธีการเก่าที่ง่ายกว่านั้นไม่ได้ใช้คีย์ โดยการเข้ารหัสประกอบด้วยการดำเนินการที่ไม่มีพารามิเตอร์ เช่น การเพิ่มและการลด การหมุนบิต การปฏิเสธทางคณิตศาสตร์ และ NOT เชิงตรรกะ^{[ 64 ]}ไวรัสบางชนิดที่เรียกว่าไวรัสโพลีมอร์ฟิก จะใช้วิธีการเข้ารหัสภายในไฟล์ปฏิบัติการ ซึ่งไวรัสจะถูกเข้ารหัสภายใต้เหตุการณ์บางอย่าง เช่น การปิดใช้งานโปรแกรมสแกนไวรัสเพื่ออัปเดต หรือการรีบูตคอมพิวเตอร์^{[ 65 ]}นี่เรียกว่าคริปโตไวโรโลยี

รหัสโพลีมอร์ฟิกเป็นเทคนิคแรกที่ก่อให้เกิดภัยคุกคาม ร้ายแรง ต่อโปรแกรมสแกนไวรัส เช่นเดียวกับไวรัสเข้ารหัสทั่วไป ไวรัสโพลีมอร์ฟิกจะแพร่เชื้อไปยังไฟล์ด้วยสำเนาที่เข้ารหัสของตัวเอง ซึ่งจะถูกถอดรหัสโดย โมดูล ถอดรหัสอย่างไรก็ตาม ในกรณีของไวรัสโพลีมอร์ฟิก โมดูลถอดรหัสนี้จะถูกแก้ไขในแต่ละการติดเชื้อด้วย ดังนั้นไวรัสโพลีมอร์ฟิกที่เขียนอย่างดีจึงไม่มีส่วนใดที่เหมือนกันระหว่างการติดเชื้อ ทำให้ตรวจจับได้ยากมากโดยตรงโดยใช้ "ลายเซ็น" ^{[ 66 ] [ 67 ]}ซอฟต์แวร์ป้องกันไวรัสสามารถตรวจจับได้โดยการถอดรหัสไวรัสโดยใช้โปรแกรมจำลองหรือโดยการวิเคราะห์รูปแบบทางสถิติของตัวไวรัสที่เข้ารหัส เพื่อให้สามารถใช้งานรหัสโพลีมอร์ฟิกได้ ไวรัสจะต้องมีกลไกโพลีมอร์ฟิก (เรียกอีกอย่างว่า "กลไกการกลายพันธุ์" หรือ " กลไก การกลายพันธุ์ ") อยู่ในตัวไวรัสที่เข้ารหัส ดูรหัสโพลีมอร์ฟิกสำหรับรายละเอียดทางเทคนิคเกี่ยวกับวิธีการทำงานของกลไกดังกล่าว^{[ 68 ]}

ไวรัสบางชนิดใช้โค้ดแบบโพลีมอร์ฟิกในลักษณะที่จำกัดอัตราการกลายพันธุ์ของไวรัสได้อย่างมาก ตัวอย่างเช่น ไวรัสสามารถถูกตั้งโปรแกรมให้กลายพันธุ์เพียงเล็กน้อยเมื่อเวลาผ่านไป หรือสามารถถูกตั้งโปรแกรมให้หยุดการกลายพันธุ์เมื่อมันติดเชื้อไฟล์ในคอมพิวเตอร์ที่มีสำเนาของไวรัสอยู่แล้ว ข้อดีของการใช้โค้ดแบบโพลีมอร์ฟิกที่ช้าเช่นนี้คือ ทำให้ผู้เชี่ยวชาญด้านโปรแกรมป้องกันไวรัสและนักสืบยากที่จะได้ตัวอย่างไวรัสที่เป็นตัวแทน เนื่องจากไฟล์ "ล่อ" ที่ติดเชื้อในแต่ละครั้งมักจะมีตัวอย่างไวรัสที่เหมือนกันหรือคล้ายกัน ซึ่งจะทำให้การตรวจจับโดยโปรแกรมสแกนไวรัสไม่น่าเชื่อถือ และไวรัสบางตัวอาจสามารถหลบเลี่ยงการตรวจจับได้

เพื่อหลีกเลี่ยงการตรวจจับโดยการจำลอง ไวรัสบางตัวจะเขียนตัวเองใหม่ทั้งหมดทุกครั้งที่ต้องการติดเชื้อไฟล์ปฏิบัติการใหม่ ไวรัสที่ใช้วิธีการนี้เรียกว่ามีโค้ดแบบเมตาโมฟิกเพื่อให้สามารถเกิดเมตาโมฟิกได้ จำเป็นต้องมี "เอนจินเมตาโมฟิก" ไวรัสเมตาโมฟิกมักจะมีขนาดใหญ่และซับซ้อนมาก ตัวอย่างเช่นW32/Simileประกอบด้วย โค้ด ภาษาแอสเซมบลี มากกว่า 14,000 บรรทัด ซึ่ง 90% เป็นส่วนหนึ่งของเอนจินเมตาโมฟิก^{[ 69 ] [ 70 ]}

ความเสียหายเกิดจากการทำให้ระบบล้มเหลว ทำลายข้อมูล สิ้นเปลืองทรัพยากรคอมพิวเตอร์ เพิ่มต้นทุนการบำรุงรักษา หรือขโมยข้อมูลส่วนบุคคล แม้ว่าซอฟต์แวร์ป้องกันไวรัสจะไม่สามารถตรวจจับไวรัสคอมพิวเตอร์ได้ทั้งหมด (โดยเฉพาะไวรัสตัวใหม่) นักวิจัยด้านความปลอดภัยคอมพิวเตอร์ก็กำลังค้นหาวิธีการใหม่ๆ อย่างต่อเนื่องเพื่อให้โซลูชันป้องกันไวรัสสามารถตรวจจับไวรัสที่เกิดขึ้นใหม่ได้อย่างมีประสิทธิภาพมากขึ้น ก่อนที่ไวรัสเหล่านั้นจะแพร่กระจายอย่างกว้างขวาง^{[ 71 ]}

ไวรัสพลังงาน คือโปรแกรมคอมพิวเตอร์ที่เรียกใช้รหัสเครื่องเฉพาะเพื่อให้ได้ การกระจายพลังงาน CPUสูงสุด( พลังงานความร้อนที่ส่งออกสำหรับหน่วยประมวลผลกลาง ) ^{[ 72 ]}อุปกรณ์ระบายความร้อนของคอมพิวเตอร์ได้รับการออกแบบมาเพื่อกระจายพลังงานจนถึงพลังงานที่ออกแบบทางความร้อนไม่ใช่พลังงานสูงสุด และไวรัสพลังงานอาจทำให้ระบบร้อนเกินไปหากไม่มีตรรกะในการหยุดโปรเซสเซอร์ ซึ่งอาจทำให้เกิดความเสียหายทางกายภาพอย่างถาวร ไวรัสพลังงานอาจเป็นอันตราย แต่ส่วนใหญ่มักเป็นชุดซอฟต์แวร์ทดสอบที่ใช้สำหรับการทดสอบการรวมระบบและการทดสอบความร้อนของส่วนประกอบคอมพิวเตอร์ในระหว่างขั้นตอนการออกแบบผลิตภัณฑ์ หรือสำหรับการเปรียบเทียบประสิทธิภาพของผลิตภัณฑ์^{[ 73 ]}

โปรแกรม ทดสอบความเสถียรเป็นโปรแกรมที่มีลักษณะคล้ายกับไวรัสที่ใช้พลังงานสูง (ใช้งาน CPU สูง) แต่ยังคงอยู่ภายใต้การควบคุมของผู้ใช้ โดยทั่วไปจะใช้สำหรับการทดสอบ CPU เช่น เมื่อทำการโอเวอร์คล็อกอาการSpinlockในโปรแกรมที่เขียนไม่ดี อาจทำให้เกิดอาการคล้ายกันหากเกิดขึ้นเป็นเวลานาน

โดยทั่วไปแล้ว สถาปัตยกรรมไมโครที่แตกต่างกันจะต้องใช้รหัสเครื่องที่แตกต่างกันเพื่อให้ได้ประสิทธิภาพสูงสุด ตัวอย่างของรหัสเครื่องดังกล่าวดูเหมือนจะไม่มีการเผยแพร่ในเอกสารอ้างอิง CPU ^{[ 74 ]}

เนื่องจากซอฟต์แวร์มักถูกออกแบบมาพร้อมคุณสมบัติด้านความปลอดภัยเพื่อป้องกันการใช้งานทรัพยากรระบบโดยไม่ได้รับอนุญาต ไวรัสจำนวนมากจึงต้องใช้ประโยชน์และดัดแปลงช่องโหว่ด้านความปลอดภัยซึ่งเป็นข้อบกพร่องของซอฟต์แวร์ในระบบหรือแอปพลิเคชัน เพื่อแพร่กระจายและติดเชื้อคอมพิวเตอร์เครื่องอื่น กลยุทธ์ การพัฒนาซอฟต์แวร์ที่ก่อให้เกิด "ข้อบกพร่อง" จำนวนมาก มักจะก่อให้เกิด"ช่องโหว่" หรือ "ทางเข้า" ที่ไวรัส สามารถ ใช้ประโยชน์ได้ เช่นกัน

ในการจำลองตัวเอง ไวรัสจะต้องได้รับอนุญาตให้เรียกใช้โค้ดและเขียนลงในหน่วยความจำ ด้วยเหตุนี้ ไวรัสจำนวนมากจึงแนบตัวเองกับไฟล์ปฏิบัติการที่อาจเป็นส่วนหนึ่งของโปรแกรมที่ถูกต้องตามกฎหมาย (ดูการแทรกโค้ด ) หากผู้ใช้พยายามเรียกใช้โปรแกรมที่ติดไวรัส โค้ดของไวรัสอาจถูกเรียกใช้พร้อมกัน^{[ 75 ]}ในระบบปฏิบัติการที่ใช้ส่วนขยายไฟล์เพื่อกำหนดความสัมพันธ์ของโปรแกรม (เช่น Microsoft Windows) ส่วนขยายอาจถูกซ่อนจากผู้ใช้โดยค่าเริ่มต้น ทำให้สามารถสร้างไฟล์ที่มีประเภทแตกต่างจากที่ผู้ใช้เห็นได้ ตัวอย่างเช่น อาจมีการสร้างไฟล์ปฏิบัติการและตั้งชื่อว่า "picture.png.exe" ซึ่งผู้ใช้เห็นเพียง "picture.png" และจึงสันนิษฐานว่าไฟล์นี้เป็นภาพดิจิทัลและน่าจะปลอดภัย แต่เมื่อเปิดแล้ว มันจะเรียกใช้ไฟล์ปฏิบัติการบนเครื่องไคลเอ็นต์^{[ 76 ]}ไวรัสอาจถูกติดตั้งบนสื่อแบบถอดได้ เช่นแฟลชไดรฟ์ ไดรฟ์อาจถูกทิ้งไว้ในลานจอดรถของอาคารรัฐบาลหรือสถานที่เป้าหมายอื่น ๆ โดยหวังว่าผู้ใช้ที่อยากรู้อยากเห็นจะเสียบไดรฟ์เข้ากับคอมพิวเตอร์ ในการทดลองเมื่อปี 2558 นักวิจัยที่มหาวิทยาลัยมิชิแกนพบว่าผู้ใช้ 45–98 เปอร์เซ็นต์จะเสียบแฟลชไดรฟ์ที่ไม่ทราบที่มา^{[ 77 ]}

ไวรัสส่วนใหญ่มุ่งเป้าไปที่ระบบที่ใช้Microsoft Windowsเนื่องจาก Microsoft มีส่วนแบ่งการตลาดขนาดใหญ่ในกลุ่มผู้ใช้คอมพิวเตอร์เดสก์ท็อป^{[ 78 ]}ความหลากหลายของระบบซอฟต์แวร์บนเครือข่ายจำกัดศักยภาพในการทำลายล้างของไวรัสและมัลแวร์^{[ a ]} ​​ระบบปฏิบัติการ โอเพนซอร์สเช่นLinux อนุญาตให้ผู้ใช้เลือกจาก สภาพแวดล้อมเดสก์ท็อป เครื่องมือบรรจุภัณฑ์ ฯลฯ ที่หลากหลายซึ่งหมายความว่าโค้ดที่เป็นอันตรายที่มุ่งเป้าไปที่ระบบใดระบบหนึ่งเหล่านี้จะส่งผลกระทบต่อผู้ใช้เพียงบางส่วนเท่านั้น ผู้ใช้ Windows จำนวนมากใช้ชุดแอปพลิเคชันเดียวกัน ทำให้ไวรัสสามารถแพร่กระจายอย่างรวดเร็วในระบบ Microsoft Windows โดยมุ่งเป้าไปที่ช่องโหว่เดียวกันบนโฮสต์จำนวนมาก^{[ 79 ] [ 80 ] [ 81 ] [ 82 ]}

ในขณะที่ Linux และ Unix โดยทั่วไปได้ป้องกันผู้ใช้ทั่วไปจากการเปลี่ยนแปลงสภาพแวดล้อมของระบบปฏิบัติการโดยไม่ได้รับอนุญาตมาโดยตลอด แต่ผู้ใช้ Windows โดยทั่วไปไม่ได้ถูกป้องกันจากการเปลี่ยนแปลงเหล่านี้ ซึ่งหมายความว่าไวรัสสามารถควบคุมระบบทั้งหมดบนโฮสต์ Windows ได้อย่างง่ายดาย ความแตกต่างนี้ยังคงมีอยู่ส่วนหนึ่งเนื่องจากการใช้ บัญชี ผู้ดูแลระบบ อย่างแพร่หลาย ในเวอร์ชันปัจจุบัน เช่นWindows XPในปี 1997 นักวิจัยได้สร้างและเผยแพร่ไวรัสสำหรับ Linux ซึ่งรู้จักกันในชื่อ " Bliss " ^{[ 83 ]}อย่างไรก็ตาม Bliss ต้องการให้ผู้ใช้เรียกใช้งานอย่างชัดเจน และสามารถติดเชื้อได้เฉพาะโปรแกรมที่ผู้ใช้มีสิทธิ์ในการแก้ไขเท่านั้น ซึ่งแตกต่างจากผู้ใช้ Windows ผู้ใช้ Unix ส่วนใหญ่ไม่ได้ล็อกอินในฐานะผู้ดูแลระบบ หรือ"ผู้ใช้ root"ยกเว้นเพื่อติดตั้งหรือกำหนดค่าซอฟต์แวร์ ดังนั้นแม้ว่าผู้ใช้จะเรียกใช้ไวรัส ก็ไม่สามารถทำอันตรายต่อระบบปฏิบัติการของพวกเขาได้ ไวรัส Bliss ไม่เคยแพร่หลาย และยังคงเป็นเพียงสิ่งแปลกใหม่ในการวิจัย ผู้สร้างได้โพสต์ซอร์สโค้ดไปยังUsenet ในภายหลัง ทำให้นักวิจัยสามารถดูวิธีการทำงานได้^{[ 84 ]}

ก่อนที่เครือข่ายคอมพิวเตอร์จะแพร่หลาย ไวรัสส่วนใหญ่แพร่กระจายผ่านสื่อบันทึกข้อมูลแบบถอดได้โดยเฉพาะอย่างยิ่งฟลอปปี้ดิสก์ในยุคแรกๆ ของคอมพิวเตอร์ส่วนบุคคล ผู้ใช้จำนวนมากแลกเปลี่ยนข้อมูลและโปรแกรมกันเป็นประจำผ่านฟลอปปี้ดิสก์ ไวรัสบางชนิดแพร่กระจายโดยการติดโปรแกรมที่จัดเก็บไว้ในดิสก์เหล่านี้ ในขณะที่บางชนิดติดตั้งตัวเองลงในเซกเตอร์บูตของดิสก์ ทำให้มั่นใจได้ว่าไวรัสเหล่านั้นจะทำงานเมื่อผู้ใช้บูตคอมพิวเตอร์จากดิสก์ ซึ่งมักจะเป็นไปโดยไม่ตั้งใจ คอมพิวเตอร์ส่วนบุคคลในยุคนั้นจะพยายามบูตจากฟลอปปี้ดิสก์ก่อนหากมีการเสียบฟลอปปี้ดิสก์ไว้ในไดรฟ์ จนกระทั่งฟลอปปี้ดิสก์เลิกใช้ นี่เป็นกลยุทธ์การติดเชื้อที่ประสบความสำเร็จมากที่สุด และไวรัสในเซกเตอร์บูตเป็นไวรัสที่พบได้บ่อยที่สุดใน "โลกไวรัส" เป็นเวลาหลายปี ไวรัสคอมพิวเตอร์แบบดั้งเดิมเกิดขึ้นในทศวรรษ 1980 โดยได้รับแรงผลักดันจากการแพร่หลายของคอมพิวเตอร์ส่วนบุคคลและการเพิ่มขึ้นของระบบกระดานข่าว (BBS) การใช้ โมเด็มและการแบ่งปันซอฟต์แวร์ การแบ่งปันซอฟต์แวร์ที่ขับเคลื่อน โดยกระดานข่าวมีส่วนโดยตรงต่อการแพร่กระจายของ โปรแกรม ม้าโทรจันและไวรัสถูกเขียนขึ้นเพื่อติดเชื้อซอฟต์แวร์ที่ซื้อขายกันอย่างแพร่หลายซอฟต์แวร์แชร์แวร์และ ซอฟต์แวร์ ละเมิดลิขสิทธิ์ เป็น พาหะที่พบได้ทั่วไปสำหรับไวรัสบน BBS ^{[ 85 ] [ 86 ]}ไวรัสสามารถเพิ่มโอกาสในการแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นได้โดยการติดเชื้อไฟล์บนระบบไฟล์เครือข่ายหรือระบบไฟล์ที่คอมพิวเตอร์เครื่องอื่นเข้าถึง^{[ 87 ]}

ไวรัสมาโครกลายเป็นเรื่องปกติตั้งแต่กลางทศวรรษ 1990 ไวรัสเหล่านี้ส่วนใหญ่เขียนด้วยภาษาสคริปต์สำหรับโปรแกรมของ Microsoft เช่นMicrosoft WordและMicrosoft Excelและแพร่กระจายไปทั่วMicrosoft Officeโดยการติดเชื้อเอกสารและสเปรดชีตเนื่องจาก Word และ Excel มีให้ใช้งานสำหรับMac OS ด้วย ไวรัส ส่วนใหญ่จึงสามารถแพร่กระจายไปยังคอมพิวเตอร์ Macintosh ได้เช่น กัน แม้ว่าไวรัสเหล่านี้ส่วนใหญ่จะไม่มีความสามารถในการส่งข้อความอีเมล ที่ติดเชื้อ แต่ไวรัสเหล่านั้นที่ทำได้จะใช้ประโยชน์จาก อินเทอร์เฟซ Microsoft Outlook Component Object Model (COM) ^{[ 88 ] [ 89 ]} Microsoft Word เวอร์ชันเก่าบางเวอร์ชันอนุญาตให้มาโครจำลองตัวเองโดยเพิ่มบรรทัดว่าง หากไวรัสมาโครสองตัวติดเชื้อเอกสารพร้อมกัน การรวมกันของทั้งสอง หากสามารถจำลองตัวเองได้เช่นกัน อาจปรากฏเป็น "การผสมพันธุ์" ของทั้งสอง และมีแนวโน้มที่จะถูกตรวจพบว่าเป็นไวรัสที่แตกต่างจาก "ตัวแม่" ^{[ 90 ]}

ไวรัสอาจส่งลิงก์ที่อยู่เว็บเป็นข้อความโต้ตอบแบบทันทีไปยังผู้ติดต่อทั้งหมด (เช่น ที่อยู่อีเมลของเพื่อนและเพื่อนร่วมงาน) ที่จัดเก็บไว้ในเครื่องที่ติดไวรัส หากผู้รับคิดว่าลิงก์มาจากเพื่อน (แหล่งที่เชื่อถือได้) และคลิกลิงก์ไปยังเว็บไซต์ ไวรัสที่โฮสต์อยู่ที่เว็บไซต์นั้นอาจสามารถแพร่เชื้อไปยังคอมพิวเตอร์เครื่องใหม่และแพร่กระจายต่อไปได้^{[ 91 ]}ไวรัสที่แพร่กระจายโดยใช้การเขียนสคริปต์ข้ามเว็บไซต์ได้รับการรายงานครั้งแรกในปี 2545 ^{[ 92 ]}และได้รับการสาธิตทางวิชาการในปี 2548 ^{[ 93 ]}มีไวรัสการเขียนสคริปต์ข้ามเว็บไซต์หลายกรณีใน "โลก" ที่ใช้ประโยชน์จากเว็บไซต์ต่างๆ เช่นMySpace (ด้วยเวิร์ม Samy) และ Yahoo!

ในปี พ.ศ. 2532 แผนกอุตสาหกรรมซอฟต์แวร์ของ ADAPSOได้เผยแพร่^{เอกสาร}เรื่อง การรับมือกับการทำลายข้อมูลทางอิเล็กทรอนิกส์ [ ^{94 ]}ซึ่งพวกเขาได้กล่าวถึงความเสี่ยงของการสูญเสียข้อมูลควบคู่ไปกับ "ความเสี่ยงเพิ่มเติมของการสูญเสียความเชื่อมั่นของลูกค้า" ^{[ 95 ] [ 96 ] [ 97 ]}

ผู้ใช้จำนวนมากติดตั้งซอฟต์แวร์ป้องกันไวรัสที่สามารถตรวจจับและกำจัดไวรัสที่รู้จักเมื่อคอมพิวเตอร์พยายามดาวน์โหลดหรือเรียกใช้ไฟล์ปฏิบัติการ (ซึ่งอาจถูกแจกจ่ายเป็นไฟล์แนบในอีเมล หรือบนแฟลชไดรฟ์ USBเป็นต้น) ซอฟต์แวร์ป้องกันไวรัสบางตัวบล็อกเว็บไซต์ที่เป็นอันตรายที่พยายามติดตั้งมัลแวร์ ซอฟต์แวร์ป้องกันไวรัสไม่ได้เปลี่ยนแปลงความสามารถพื้นฐานของโฮสต์ในการแพร่กระจายไวรัส ผู้ใช้ต้องอัปเดตซอฟต์แวร์ของตนเป็นประจำเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย ("ช่องโหว่") ซอฟต์แวร์ป้องกันไวรัสยังต้องได้รับการอัปเดตเป็นประจำเพื่อรับรู้ภัยคุกคาม ล่าสุด เนื่องจากแฮกเกอร์ ที่เป็นอันตราย และบุคคลอื่น ๆ สร้างไวรัสใหม่ ๆ อยู่เสมอ สถาบัน AV-TEST ของเยอรมนี เผยแพร่การประเมินซอฟต์แวร์ป้องกันไวรัสสำหรับ Windows ^{[ 98 ]}และ Android ^{[ 99 ]}

ตัวอย่างของซอฟต์แวร์ ป้องกันไวรัสและมัลแวร์ของ Microsoft Windows ได้แก่ Microsoft Security Essentials ^{[ 100 ]} (สำหรับ Windows XP, Vista และ Windows 7) ซึ่งเป็นตัวเลือกเสริมสำหรับการป้องกันแบบเรียลไทม์, Windows Malicious Software Removal Tool ^{[ 101 ]} (ปัจจุบันรวมอยู่ในWindows (Security) Updatesใน " Patch Tuesday " ซึ่งตรงกับวันอังคารที่สองของทุกเดือน) และWindows Defender (เป็นตัวเลือกเสริมสำหรับการดาวน์โหลดในกรณีของ Windows XP) ^{[ 102 ]}นอกจากนี้ ยังมีโปรแกรมซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพหลายโปรแกรมให้ดาวน์โหลดฟรีจากอินเทอร์เน็ต (โดยปกติจะจำกัดเฉพาะการใช้งานที่ไม่ใช่เชิงพาณิชย์) ^{[ 103 ]}โปรแกรมฟรีบางโปรแกรมมีประสิทธิภาพเกือบเทียบเท่ากับโปรแกรมเชิงพาณิชย์^{[ 104 ]}ช่องโหว่ด้านความปลอดภัยทั่วไปจะถูกกำหนดรหัส CVEและแสดงอยู่ในฐานข้อมูลช่องโหว่แห่งชาติของ สหรัฐอเมริกา Secunia PSI ^{[ 105 ]}เป็นตัวอย่างของซอฟต์แวร์ที่ใช้งานได้ฟรีสำหรับส่วนบุคคล ซึ่งจะตรวจสอบพีซีเพื่อหาซอฟต์แวร์ที่ล้าสมัยและมีช่องโหว่ และพยายามอัปเดตซอฟต์แวร์นั้น การแจ้งเตือน เกี่ยวกับมัลแวร์เรียกค่าไถ่และการหลอกลวงแบบฟิชชิ่ง จะปรากฏในรูปแบบข่าวประชาสัมพันธ์บนกระดานข่าวของศูนย์ร้องเรียนอาชญากรรมทาง อินเทอร์เน็ต มัลแวร์เรียกค่าไถ่เป็นไวรัสที่แสดงข้อความบนหน้าจอของผู้ใช้ โดยระบุว่าหน้าจอหรือระบบจะถูกล็อกหรือใช้งานไม่ได้จนกว่าจะมีการจ่ายค่าไถ่ ส่วนการหลอกลวงแบบฟิชชิ่งเป็นการหลอกลวงที่ผู้ไม่ประสงค์ดีแสร้งทำเป็นเพื่อน ผู้เชี่ยวชาญด้านความปลอดภัยคอมพิวเตอร์ หรือบุคคลที่มีเจตนาดี โดยมีเป้าหมายเพื่อโน้มน้าวให้บุคคลเป้าหมายเปิดเผยรหัสผ่านหรือข้อมูลส่วนตัวอื่นๆ

มาตรการป้องกันอื่นๆ ที่ใช้กันทั่วไป ได้แก่ การอัปเดตระบบปฏิบัติการอย่างทันท่วงที การอัปเดตซอฟต์แวร์ การท่องอินเทอร์เน็ตอย่างระมัดระวัง (หลีกเลี่ยงเว็บไซต์ที่น่าสงสัย) และการติดตั้งเฉพาะซอฟต์แวร์ที่เชื่อถือได้เท่านั้น^{[ 106 ]}เบราว์เซอร์บางตัวจะแจ้งเตือนเว็บไซต์ที่ได้รับการรายงานไปยัง Google และได้รับการยืนยันจาก Google ว่าเป็นเว็บไซต์ที่มีมัลแวร์^{[ 107 ] [ 108 ]}

มีสองวิธีทั่วไปที่โปรแกรมป้องกันไวรัสใช้ในการตรวจจับไวรัส ดังที่อธิบายไว้ใน บทความเกี่ยวกับ โปรแกรมป้องกันไวรัสวิธีแรกและเป็นวิธีที่ใช้กันทั่วไปมากที่สุดคือการใช้รายการ คำจำกัดความ ลายเซ็นไวรัสวิธีนี้ทำงานโดยการตรวจสอบเนื้อหาในหน่วยความจำของคอมพิวเตอร์ ( หน่วยความจำเข้าถึงแบบสุ่ม (RAM) และเซกเตอร์บูต ) และไฟล์ที่จัดเก็บไว้ในไดรฟ์ถาวรหรือไดรฟ์แบบถอดได้ (ฮาร์ดไดรฟ์ ฟลอปปี้ไดรฟ์ หรือแฟลชไดรฟ์ USB) และเปรียบเทียบไฟล์เหล่านั้นกับฐานข้อมูล "ลายเซ็น" ไวรัสที่รู้จัก ลายเซ็นไวรัสเป็นเพียงสตริงของโค้ดที่ใช้ในการระบุไวรัสแต่ละตัว สำหรับไวรัสแต่ละตัว นักออกแบบโปรแกรมป้องกันไวรัสจะพยายามเลือกสตริงลายเซ็นที่ไม่ซ้ำกันซึ่งจะไม่พบในโปรแกรมที่ถูกต้อง โปรแกรมป้องกันไวรัสที่แตกต่างกันใช้ "ลายเซ็น" ที่แตกต่างกันในการระบุไวรัส ข้อเสียของวิธีการตรวจจับนี้คือผู้ใช้จะได้รับการป้องกันจากไวรัสที่ตรวจพบโดยลายเซ็นในการอัปเดตคำจำกัดความไวรัสล่าสุดเท่านั้น และไม่ได้รับการป้องกันจากไวรัสใหม่ (ดู " การโจมตีแบบศูนย์วัน ") ^{[ 109 ]}

วิธีที่สองในการค้นหาไวรัสคือการใช้ อัลกอริธึมแบบ ฮิวริสติกส์โดยอิงจากพฤติกรรมทั่วไปของไวรัส วิธีนี้สามารถตรวจจับไวรัสใหม่ๆ ที่บริษัทรักษาความปลอดภัยด้านแอนติไวรัสยังไม่ได้กำหนด "ลายเซ็น" ไว้ได้ แต่ก็ทำให้เกิดผลลัพธ์ที่ผิดพลาดมากกว่าการใช้ลายเซ็น ผลลัพธ์ที่ผิดพลาดอาจก่อให้เกิดความเสียหาย โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมทางธุรกิจ เพราะอาจทำให้บริษัทสั่งให้พนักงานงดใช้ระบบคอมพิวเตอร์ของบริษัทจนกว่าฝ่ายไอทีจะตรวจสอบระบบหาไวรัสแล้ว ซึ่งอาจทำให้ประสิทธิภาพการทำงานของพนักงานทั่วไปลดลง

อาจลดความเสียหายที่เกิดจากไวรัสได้โดยการสำรองข้อมูล (และระบบปฏิบัติการ) เป็นประจำบนสื่อต่างๆ ซึ่งอาจเก็บไว้โดยไม่ได้เชื่อมต่อกับระบบ (ส่วนใหญ่ เช่น ฮาร์ดไดรฟ์) หรือตั้งค่าเป็นอ่านอย่างเดียวหรือไม่สามารถเข้าถึงได้ด้วยเหตุผลอื่นๆ เช่น การใช้ระบบไฟล์ ที่แตกต่างกัน ด้วยวิธีนี้ หากข้อมูลสูญหายเนื่องจากไวรัส ก็สามารถเริ่มต้นใหม่ได้โดยใช้ข้อมูลสำรอง (ซึ่งหวังว่าจะเป็นข้อมูลล่าสุด) ^{[ 110 ]}หากปิดเซสชันการสำรองข้อมูลบนสื่อออปติคอลเช่นซีดีและดีวีดีข้อมูลจะกลายเป็นแบบอ่านอย่างเดียวและจะไม่ได้รับผลกระทบจากไวรัสอีกต่อไป (ตราบใดที่ไม่มีไวรัสหรือไฟล์ที่ติดเชื้อถูกคัดลอกลงในซีดี / ดีวีดี ) ในทำนองเดียวกัน ระบบปฏิบัติการบน ซีดี บูตได้สามารถใช้เพื่อเริ่มต้นคอมพิวเตอร์ได้หากระบบปฏิบัติการที่ติดตั้งใช้งานไม่ได้ การสำรองข้อมูลบนสื่อแบบถอดได้จะต้องได้รับการตรวจสอบอย่างละเอียดก่อนการกู้คืน ตัวอย่างเช่น ไวรัส Gammima แพร่กระจายผ่านแฟลชไดรฟ์แบบ ถอดได้ ^{[ 111 ] [ 112 ]}

เว็บไซต์จำนวนมากที่ดำเนินการโดยบริษัทซอฟต์แวร์ป้องกันไวรัสให้บริการสแกนไวรัสออนไลน์ฟรี พร้อมสิ่งอำนวยความสะดวกในการ "ทำความสะอาด" ที่จำกัด (ท้ายที่สุดแล้ว จุดประสงค์ของเว็บไซต์เหล่านี้คือการขายผลิตภัณฑ์และบริการป้องกันไวรัส) บางเว็บไซต์ เช่นVirusTotal.com ซึ่ง เป็นบริษัทในเครือของ Googleอนุญาตให้ผู้ใช้สามารถอัปโหลดไฟล์ที่น่าสงสัยหนึ่งไฟล์หรือมากกว่านั้นเพื่อสแกนและตรวจสอบโดยโปรแกรมป้องกันไวรัสหนึ่งโปรแกรมหรือมากกว่านั้นในการดำเนินการเดียว^{[ 113 ] [ 114 ]}นอกจากนี้ ยังมีโปรแกรมซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพหลายโปรแกรมให้ดาวน์โหลดฟรีจากอินเทอร์เน็ต (โดยปกติจะจำกัดเฉพาะการใช้งานที่ไม่ใช่เชิงพาณิชย์) ^{[ 115 ]} Microsoft เสนอยูทิลิตี้ป้องกันไวรัสฟรีที่เป็นตัวเลือกชื่อMicrosoft Security Essentialsเครื่องมือลบซอฟต์แวร์ที่เป็นอันตรายของ Windowsที่ได้รับการอัปเดตเป็นส่วนหนึ่งของระบบการอัปเดต Windows เป็นประจำ และเครื่องมือป้องกันมัลแวร์ (การลบมัลแวร์) รุ่นเก่าที่เป็นตัวเลือกชื่อWindows Defenderซึ่งได้รับการอัปเกรดเป็นผลิตภัณฑ์ป้องกันไวรัสใน Windows 8

ไวรัสบางตัวจะปิดใช้งานSystem Restoreและเครื่องมือสำคัญอื่นๆ ของ Windows เช่นTask ManagerและCMDตัวอย่างของไวรัสที่ทำเช่นนี้คือ CiaDoor ไวรัสจำนวนมากสามารถกำจัดได้โดยการรีบูตคอมพิวเตอร์ เข้าสู่ " โหมดปลอดภัย " ของ Windows พร้อมการเชื่อมต่อเครือข่าย จากนั้นใช้เครื่องมือระบบหรือMicrosoft Safety Scanner [ ^{116 ] System} RestoreบนWindows Me , Windows XP , Windows VistaและWindows 7สามารถกู้คืนรีจิสทรีและไฟล์ระบบที่สำคัญไปยังจุดตรวจสอบก่อนหน้าได้ บ่อยครั้งที่ไวรัสจะทำให้ระบบ "ค้าง" หรือ "หยุดทำงาน" และการรีบูตเครื่องในภายหลังจะทำให้จุดกู้คืนระบบจากวันเดียวกันเสียหาย จุดกู้คืนจากวันก่อนหน้าควรใช้งานได้ หากไวรัสไม่ได้ออกแบบมาเพื่อทำลายไฟล์กู้คืนและไม่มีอยู่ในจุดกู้คืนก่อนหน้า^{[ 117 ] [ 118 ]}

โปรแกรมตรวจสอบไฟล์ระบบของ Microsoft (ปรับปรุงใน Windows 7 และเวอร์ชันต่อมา) สามารถใช้ตรวจสอบและซ่อมแซมไฟล์ระบบที่เสียหายได้^{[ 119 ]}การกู้คืนสำเนา "สะอาด" (ปราศจากไวรัส) ก่อนหน้าของพาร์ติชันทั้งหมดจากดิสก์ที่โคลน ดิสก์อิมเมจหรือสำเนาสำรองเป็นวิธีแก้ปัญหาวิธีหนึ่ง การกู้คืน "อิมเมจ" ดิสก์สำรองก่อนหน้านั้นค่อนข้างง่าย มักจะกำจัดมัลแวร์ และอาจเร็วกว่าการ "ฆ่าเชื้อ" คอมพิวเตอร์ หรือการติดตั้งและกำหนดค่าระบบปฏิบัติการและโปรแกรมใหม่ทั้งหมดตั้งแต่เริ่มต้น ดังที่อธิบายไว้ด้านล่าง จากนั้นกู้คืนการตั้งค่าของผู้ใช้^{[ 110 ]}การติดตั้งระบบปฏิบัติการใหม่เป็นอีกแนวทางหนึ่งในการกำจัดไวรัส อาจสามารถกู้คืนสำเนาข้อมูลผู้ใช้ที่สำคัญได้โดยการบูตจากLive CDหรือเชื่อมต่อฮาร์ดไดรฟ์กับคอมพิวเตอร์เครื่องอื่นและบูตจากระบบปฏิบัติการของคอมพิวเตอร์เครื่องที่สอง โดยต้องระมัดระวังอย่างยิ่งที่จะไม่ทำให้คอมพิวเตอร์เครื่องนั้นติดไวรัสโดยการเรียกใช้โปรแกรมที่ติดไวรัสใดๆ บนไดรฟ์เดิม จากนั้นฮาร์ดไดรฟ์เดิมสามารถฟอร์แมตใหม่และติดตั้งระบบปฏิบัติการและโปรแกรมทั้งหมดจากสื่อเดิมได้ เมื่อระบบได้รับการกู้คืนแล้ว ต้องใช้ความระมัดระวังเพื่อหลีกเลี่ยงการติดเชื้อซ้ำจากไฟล์ปฏิบัติการ ที่กู้ ^คืน [ ^{120 ]}

คำอธิบายแรกสุดที่รู้จักของโปรแกรมที่แพร่พันธุ์ได้เองในนิยายคือเรื่องสั้นเรื่องThe Scarred Man ในปี 1970 โดยGregory Benfordซึ่งอธิบายถึงโปรแกรมคอมพิวเตอร์ที่เรียกว่า VIRUS ซึ่งเมื่อติดตั้งบนคอมพิวเตอร์ที่มี ความสามารถในการโทร ผ่านโมเด็มโทรศัพท์แล้ว จะโทรออกหมายเลขโทรศัพท์แบบสุ่มไปเรื่อยๆ จนกว่าจะเจอโมเด็มที่มีคอมพิวเตอร์เครื่องอื่นรับสาย จากนั้นจะพยายามตั้งโปรแกรมคอมพิวเตอร์ที่รับสายด้วยโปรแกรมของตัวเอง เพื่อให้คอมพิวเตอร์เครื่องที่สองเริ่มโทรออกหมายเลขแบบสุ่มเช่นกัน เพื่อค้นหาคอมพิวเตอร์เครื่องอื่นที่จะตั้งโปรแกรม โปรแกรมจะแพร่กระจายอย่างรวดเร็วแบบทวีคูณผ่านคอมพิวเตอร์ที่อ่อนแอ และสามารถต่อต้านได้ด้วยโปรแกรมที่สองที่เรียกว่า VACCINE เท่านั้น^{[ 121 ]}เรื่องราวของเขาอิงจากไวรัสคอมพิวเตอร์ที่เขียนด้วยภาษา FORTRANที่ Benford สร้างและใช้งานบน คอมพิวเตอร์ใน ห้องปฏิบัติการในช่วงทศวรรษ 1960 เพื่อเป็นการพิสูจน์แนวคิด และเขาได้เล่าให้ John Brunner ฟังในปี 1970 ^{[ 122 ]}

แนวคิดนี้ได้รับการสำรวจเพิ่มเติมในนวนิยายสองเรื่องในปี 1972 ได้แก่When HARLIE Was OneโดยDavid GerroldและThe Terminal ManโดยMichael Crichtonและกลายเป็นธีมหลักของนวนิยายเรื่องThe Shockwave Rider ในปี 1975 โดยJohn Brunner ^{[ 123 ]}

ภาพยนตร์ไซไฟเรื่องWestworldของ Michael Crichton ในปี 1973 ได้กล่าวถึงแนวคิดเรื่องไวรัสคอมพิวเตอร์ตั้งแต่เนิ่นๆ ซึ่งเป็นประเด็นหลักที่ทำให้หุ่นยนต์เกิดอาการคลุ้มคลั่ง^{[ 124 ]} ตัวละครของ Alan Oppenheimerสรุปปัญหาโดยกล่าวว่า "...มีรูปแบบที่ชัดเจนซึ่งชี้ให้เห็นถึงความคล้ายคลึงกับกระบวนการของโรคติดต่อที่แพร่กระจายจากพื้นที่หนึ่งไปยังอีกพื้นที่หนึ่ง" ซึ่งมีการตอบกลับว่า "บางทีอาจมีความคล้ายคลึงกับโรคอยู่บ้าง" และ "ฉันต้องสารภาพว่าฉันเชื่อได้ยากว่าจะมีโรคของเครื่องจักร" ^{[ 125 ]}

ในปี 2016 Jussi Parikkaประกาศการสร้างพิพิธภัณฑ์ศิลปะมัลแวร์: คอลเลกชันของโปรแกรมมัลแวร์ ซึ่งส่วนใหญ่เป็นไวรัส ที่เผยแพร่ในช่วงทศวรรษ 1980 และ 1990 บนคอมพิวเตอร์ส่วนบุคคล พิพิธภัณฑ์ศิลปะมัลแวร์นี้จัดเก็บอยู่ที่Internet Archiveและได้รับการดูแลโดยMikko Hyppönenจากเฮลซิงกิประเทศฟินแลนด์^{[ 126} ] คอลเลกชันนี้ช่วยให้ทุกคนที่มีคอมพิวเตอร์สามารถสัมผัสประสบการณ์การติดไวรัสเมื่อหลายสิบปีก่อนได้อย่าง^{ปลอดภัย[ 127 ]}

คำว่า "ไวรัส" ยังถูกนำไปใช้ในทางที่ผิดโดยขยายความหมายไปหมายถึงมัลแวร์ ประเภทอื่น ๆ ด้วย "มัลแวร์" ครอบคลุมถึงไวรัสคอมพิวเตอร์และซอฟต์แวร์ที่เป็นอันตรายรูปแบบอื่น ๆ อีกมากมาย เช่น เวิ ร์มคอมพิวเตอร์แรนซัมแวร์สปายแวร์แอดแวร์ โทรจันฮอร์ ส คีย์ล็อกเกอร์ รูทคิต บูท คิต อ็อบเจ็กต์ตัวช่วยเบราว์เซอร์ที่เป็นอันตราย(BHO) และซอฟต์แวร์ที่เป็นอันตรายอื่น ๆ ภัยคุกคามจากมัลแวร์ที่ยังคงแพร่ระบาดอยู่ส่วนใหญ่เป็นโปรแกรมโทรจันฮอร์สหรือเวิร์มคอมพิวเตอร์มากกว่าไวรัสคอมพิวเตอร์ คำว่าไวรัสคอมพิวเตอร์ ซึ่งบัญญัติโดยเฟรด โคเฮนในปี 1985 นั้นเป็นคำที่ใช้ผิดความหมาย^{[ 128 ]}ไวรัสมักจะทำการกระทำที่เป็นอันตรายบางอย่างกับคอมพิวเตอร์ที่ติดเชื้อ เช่น การเข้ายึดพื้นที่ฮาร์ดดิสก์ หรือเวลา ของหน่วยประมวลผลกลาง (CPU) การเข้าถึงและขโมยข้อมูลส่วนตัว (เช่นหมายเลขบัตรเครดิต หมายเลข บัตรเดบิตหมายเลขโทรศัพท์ ชื่อ ที่อยู่อีเมล รหัสผ่าน ข้อมูลธนาคาร ที่อยู่บ้าน ฯลฯ) การทำให้ข้อมูลเสียหาย การแสดงข้อความทางการเมือง ตลกขบขัน หรือคุกคามบนหน้าจอของผู้ใช้ การส่งสแปมไปยังผู้ติดต่อทางอีเมลการบันทึกการกดแป้นพิมพ์หรือแม้กระทั่งทำให้คอมพิวเตอร์ใช้งานไม่ได้ อย่างไรก็ตาม ไม่ใช่ไวรัสทุกตัวที่จะมี " เพย์โหลด " ที่ทำลายล้างและพยายามซ่อนตัว—ลักษณะเด่นของไวรัสคือเป็นโปรแกรมคอมพิวเตอร์ที่สามารถจำลองตัวเองได้ ซึ่งจะแก้ไขซอฟต์แวร์อื่นโดยไม่ได้รับความยินยอมจากผู้ใช้โดยการแทรกตัวเองเข้าไปในโปรแกรมดังกล่าว คล้ายกับไวรัสทางชีวภาพที่จำลองตัวเองภายในเซลล์ที่มีชีวิต

วิกิมีเดียคอมมอนส์มีสื่อที่เกี่ยวข้องกับไวรัสคอมพิวเตอร์

• 'ไวรัสคอมพิวเตอร์ – ทฤษฎีและการทดลอง'  – บทความต้นฉบับโดย เฟรด โคเฮน ปี 1984
• การแฮ็กเพื่อต่อต้านวัฒนธรรมกระแสหลักเก็บถาวรเมื่อ 22 มกราคม 2009 ที่Wayback MachineโดยAndrew Ross   (เกี่ยวกับเรื่องการแฮ็ก, 1990)