燃燒吧

          關(guān)注智能及大數(shù)據(jù)領(lǐng)域 www.burnba.com
          posts - 3, comments - 0, trackbacks - 0, articles - 0

          導(dǎo)航

          <2010年12月>
          2829301234
          567891011
          12131415161718
          19202122232425
          2627282930311
          2345678

          常用鏈接

          留言簿

          隨筆分類

          隨筆檔案

          外部連接

          搜索

          •  

          最新評論

          閱讀排行榜

          評論排行榜

          電腦病毒的編年史

          Posted on 2010-12-08 11:16 燃燒吧 閱讀(944) 評論(0)  編輯  收藏 所屬分類: 安全防護(hù)

          誰打開了潘多拉的魔盒

           

          顯然,在巴貝奇的差分機(jī)上不存在任何病毒,早期基于電子管的電子計算機(jī),比如說埃利亞特,也不可能有電腦病毒存在。但是Univac 1108,一個很古老的公司,一種很古老的機(jī)器,以及IBM360/370機(jī)器上,已經(jīng)有一些可以看成是病毒的程序存在,比如“流浪的野獸”(Pervading Animal“圣誕樹”(Christmas tree,因此,可以認(rèn)為最早的病毒出現(xiàn)在七十年代初甚至六十年代末,雖然那時候沒有任何人稱這些程序?yàn)椴《尽?/span>

          一般意義上的病毒(可以運(yùn)行在IBM PC機(jī)及其兼容機(jī)上)一般認(rèn)為是在1986年左右出現(xiàn)的。從那以后的十五年時間里,出現(xiàn)了大概6萬余種病毒,病毒的數(shù)量不斷增大,和病毒制作的技術(shù)也逐步提高,從某種意義上,病毒是所有軟件中最先利用操作系統(tǒng)底層功能,以及最先采用了復(fù)雜的加密和反跟蹤技術(shù)的軟件之一,病毒技術(shù)發(fā)展的歷史,就是軟件技術(shù)發(fā)展的歷史。

          下面我們將盡可能詳細(xì)的描述病毒發(fā)展歷史上的重要事件,以及這些事件的背景。

          萌芽時期,磁芯大戰(zhàn)

          五十年代末六十年代初,在著名的美國電話電報公司(AT&T)下設(shè)的貝爾實(shí)驗(yàn)室里,三個年輕的程序員:道格拉斯、維索斯基和羅伯特莫里斯,在工作之余編制了一個叫“磁芯大戰(zhàn)”(core war)的游戲。“磁芯大戰(zhàn)”基本的玩法就是想辦法通過復(fù)制自身來擺脫對方的控制并取得最終的勝利,這可謂病毒的第一個雛形。雖然由于這種自我復(fù)制是在一個特定的受控環(huán)境下進(jìn)行的,所以不能認(rèn)為是真正意義上的病毒,但是這些軟件的基本行為和后來的電腦病毒已經(jīng)非常類似了。

          六十年代晚期到七十年代早期:

          這個時候是大型電腦的時代,就是那種占據(jù)了幾個房間的大家伙。在大型電腦時代,由于開發(fā)人員的錯誤或者是出于惡作劇的目的,一些程序員制作了被稱為“兔子”的程序,他們在系統(tǒng)中分裂出替身,占用系統(tǒng)資源,影響正常的工作,但是這些“兔子”很少在系統(tǒng)之間相互拷貝。

          這個時期,在一種型號的大型電腦—Univax 1108系統(tǒng)上,首次出現(xiàn)了和現(xiàn)代病毒本質(zhì)上是一樣的東西,一個叫做“流浪的野獸”(Pervading Animal的程序可以將自己附著到其它程序的最后!

          七十年代上半葉:

          “爬行者”病毒,出現(xiàn)在一種叫做泰尼克斯(Tenex)的操作系統(tǒng)上,這個病毒可以通過網(wǎng)絡(luò)進(jìn)行傳播(又一個偉大的進(jìn)步,當(dāng)然不是現(xiàn)在意義上的因特網(wǎng),那個時代的網(wǎng)絡(luò)就是一對一的,通過調(diào)制解調(diào)器—就是你上網(wǎng)用的“貓”,將一臺電腦和另外一臺相連接)。一種叫做“清除者”(Reeper)的程序也被開發(fā)出來專門對付“爬行者”,這可能就是病毒和反病毒的第一次戰(zhàn)爭。

          八十年代早期

          電腦已經(jīng)在國外變得非常普遍了,出現(xiàn)了最早的獨(dú)立程序員,他們在為公司工作的同時,出于興趣的原因,寫了很多游戲或者其他的小程序,這些程序可以通過電子公告板(BBS)自由的流傳,竊取帳號和密碼成了所有愛好者所夢寐以求的事情,也是體現(xiàn)他們在這個社區(qū)獨(dú)特價值的最好機(jī)會,所以在這一時期誕生了無數(shù)的特洛伊木馬(Trojan horses),他們盡力將自己偽裝得和真正的登錄程序和提示程序一模一樣這樣就可以騙取不明真相用戶的密碼了。

          BBS電子公告板:BBSBulletin Board Service)是Internet上的一種電于信息服務(wù)系統(tǒng)。它提供一塊公共電子白板,每個用戶都可以在上面書寫,可發(fā)布信息或提出看法。大部分BBS由教育機(jī)構(gòu),研究機(jī)構(gòu)或商業(yè)機(jī)構(gòu)管理。象日常生活中的黑板報一樣,電子公告牌按不同的主題、分主題分成很多個布告欄,布告欄設(shè)立的依據(jù)是大多數(shù)BBS使用者的要求和喜好,使用者可以閱讀他人關(guān)于某個主題的最新看法(幾秒鐘前別人剛發(fā)布過的觀點(diǎn)),也可以將自己的想法毫無保留地貼到公告欄中。同樣地,別人對你的觀點(diǎn)的回應(yīng)也是很快的(有時候幾秒鐘后就可以看到別人對你的觀點(diǎn)的看法)。如果需要私下的交流,也可以將想說的話直接發(fā)到某個人的電子信箱中。如果想與正在使用的某個人聊天,可以啟動聊天程序加人閑談?wù)叩男辛校m然談話的雙方素不相識,卻可以親近地交談。在BBS里,人們之間的交流打破了空間、時間的限制。在與別人進(jìn)行交往時,無須考慮自身的年齡、學(xué)歷、知識、社會地位、財富、外貌、健康狀況,而這些條件往往是人們在其他交流形式中無可回避的。同樣地,也無從知道交談的對方的真實(shí)社會身份。這樣,參與BBS的人可以處于一個平等的位置與其他人進(jìn)行任何問題的探討。這對于現(xiàn)有的所有其他交流方式來說是不可能的。

          BBS連入方便,可以通過Internet登錄,也可以通過電話網(wǎng)撥號登錄。BBS站往往是由一些有志于此道的愛好看建立,對所有人都免費(fèi)開放。而且,由于BBS的參與人眾多,因此各方面的話題都不乏熱心者。可以說,在BBS上可以找到任何你感興趣的話題。在Internet沒有廣泛流行的時期,BBS基本上就是電腦網(wǎng)絡(luò)的全部,人們利用BBS交流信息,發(fā)布程序,當(dāng)然也包括傳播病毒和木馬程序。

          1981

          在蘋果機(jī)上,誕生了最早的引導(dǎo)區(qū)病毒——“埃爾科克隆者”(Elk Cloner)這個病毒將自己附著在磁盤的引導(dǎo)扇區(qū)上。這個病毒有很強(qiáng)的表現(xiàn)欲望,再發(fā)作的時候,她會盡力引起你的注意,關(guān)掉顯示器、讓顯示的文本閃爍或者顯示一大堆亂七八糟的信息。

          1986

          最早運(yùn)行在IBM PC兼容機(jī)上的病毒“大腦”(Brain)開始流行。這是一種感染360K軟盤的病毒(不是我們現(xiàn)在使用的軟盤,是很古老的5.25英寸的大盤,而且容量只有360K,現(xiàn)在在一些老型號的機(jī)器上還可以見到),由于所有的人對于電腦病毒都沒有任何心理準(zhǔn)備,所以這種病毒在制造出來之后,立刻在世界范圍內(nèi)迅速傳播。巴基斯坦的兩兄弟:巴斯特(Basit)和埃姆佳德(Amjad Farooq Alvi)制造了這個病毒,他們在病毒中留下一條信息,其中有他們的名字、地址甚至還有電話號碼(我想現(xiàn)在不會有人這么干了,因?yàn)榫鞎诘诙炀驮煸L你留下的地址!)。

          根據(jù)作者的說法,他們是軟件開發(fā)商,制作這個病毒的目的是為了檢驗(yàn)一下盜版問題在巴基斯坦的嚴(yán)重程度,也就是說,如果你使用了他們開發(fā)未經(jīng)授權(quán)的軟件,其中可能就包括了這個病毒,考察這個病毒的流行程度就知道盜版問題的嚴(yán)重程度了。遺憾的是病毒的蔓延遠(yuǎn)遠(yuǎn)超過了制造者的預(yù)計,這一病毒成為世界性的問題,也宣告了一個擁有病毒和反病毒軟件的電腦時代的到來。“大腦”病毒還首次使用了巧妙的手段來偽裝自己,如果你想要查看被病毒感染的地方,她會提供一個完好無損的東西給你。

          同樣在1986年,一個名叫萊夫伯格(Ralph Burger)的程序員發(fā)現(xiàn)可以寫出這樣的程序:將自己復(fù)制之后然后加在一個DOS可執(zhí)行程序的后面,在198612月,他首次發(fā)布了使用這一原理的病毒“VirDem”——“病毒魔鬼”?這可以認(rèn)為是DOS文件型病毒的起源。

          在中國,這一年公安部成立了計算機(jī)病毒研究小組,并派出專業(yè)技術(shù)人員到中科院計算所和美國、歐洲進(jìn)修、學(xué)習(xí)計算機(jī)安全技術(shù)。

          1987

          這是電腦病毒技術(shù)飛速發(fā)展的一年,特別是DOS環(huán)境下的文件型病毒,在這一年得到了長足的進(jìn)步。

          “維也納”(Vienna)病毒出現(xiàn),這個病毒不是萊夫伯格編寫的,但是他得到這個病毒之后,對它進(jìn)行了分析,并在他出的書《計算機(jī)病毒:高技術(shù)的瘟疫》中公布了分析的結(jié)果。這本書使得病毒制造的技術(shù)變得大眾化了,書中詳細(xì)的闡述了如何制造病毒,以及一些病毒構(gòu)造的思路,在書出版以后,成百上千的病毒被這本書的讀者們制造出來。

          在這一年中,更多的IBM PC兼容機(jī)上的病毒出現(xiàn)了,這里面比較著名的有:“里海”(Lehigh),僅僅感染COMMAND.COM;“西瑞夫一號”(Suriv-1),又叫做四月一號感染所有的COM文件,“西瑞夫二號”( Suriv-2):感染EXE文件,值得一提的是,這是首個感染EXE文件的病毒,還有“西瑞夫三號”(Suriv-3),首次既感染COM文件又感染EXE文件。還有一些引導(dǎo)型病毒,比如出現(xiàn)在美國的“耶魯”(Yale)病毒,新西蘭的“石頭”(Stoned)病毒和意大利的“乒乓”(PingPong)病毒。

          另外,首次能夠自我加密解密的病毒“小瀑布”(Cascade)也在這一年出現(xiàn)了。

          這一年中,同樣有一些非IBM PC兼容機(jī)上的病毒出現(xiàn),比如在蘋果機(jī)和土星機(jī)上的病毒。

          198712月份,第一個網(wǎng)絡(luò)病毒“圣誕樹”(Christmas Tree)開始流行,這是一個使用REXX語言編寫的病毒,在VM/CMS操作系統(tǒng)下傳播。129號,“圣誕樹”首次在西柏林大學(xué)的內(nèi)部網(wǎng)絡(luò)出現(xiàn),然后通過網(wǎng)關(guān)(連接網(wǎng)絡(luò)和網(wǎng)絡(luò)之間的一種裝置)進(jìn)入歐洲學(xué)術(shù)研究網(wǎng)絡(luò),隨后采用同樣的方式進(jìn)入IBM公司的內(nèi)部網(wǎng)絡(luò)。四天以后,由于不受節(jié)制的自我復(fù)制,整個網(wǎng)絡(luò)充滿了這個病毒的拷貝,從而造成了系統(tǒng)癱瘓。“圣誕樹”病毒在運(yùn)行之后,在屏幕上顯示一個圣誕樹的圖象,然后把自己拷貝到當(dāng)前所有的網(wǎng)絡(luò)用戶的機(jī)器上。

          REXX語言,一種腳本語言,類似于DOS環(huán)境下的批處理程序。在IBM的操作系統(tǒng)中得到廣泛的使用,是IBM版本的UnixAIX環(huán)境下一種重要的開發(fā)工具。

          1988

          1988年,13號星期五,一些國家的公司和大學(xué)遭到了“耶魯撒冷”(Jerusalem)病毒的拜訪。在這一天,病毒摧毀了電腦上所有想要執(zhí)行的文件。從某種意義上,“耶路撒冷”病毒首次通過自己的破壞引起了人們對電腦病毒的關(guān)注。從歐洲到美洲以及中東都有“耶路撒冷”病毒的報告,該病毒因攻擊了耶路撒冷大學(xué)而得名。

          1988年,“耶路撒冷”、“小瀑布”、“石頭”和“維也納”病毒在人們沒有注意的情況下感染了大量的電腦,這是因?yàn)楫?dāng)時反病毒軟件遠(yuǎn)沒有今天這么普遍,即使是電腦專家,也有很多人根本不相信電腦病毒的存在。皮特.諾頓,著名的諾頓工具軟件的開發(fā)者,就宣稱電腦病毒是不存在的,象紐約下水道的鱷魚一樣荒謬(不過具有諷刺意味的是,諾頓的公司仍然在數(shù)年以后推出了自己的殺毒軟件)。

          同時,利用人們對電腦病毒的恐懼,大量有關(guān)電腦病毒的笑話和惡作劇開始流行。最早一個惡作劇應(yīng)該是麥克.羅齊埃里(Mike RoChenle)完成的,他在BBS上發(fā)布了一系列消息,描述了一種病毒可以在以2400波特率連線的時候,從一臺機(jī)器復(fù)制到另外一臺機(jī)器上。這個玩笑使得大量BBS用戶放棄比較快的2400波特率,而使用1200波特率連接到BBS上。

          波特率:上網(wǎng)速度的一種單位,每秒鐘可以傳送的數(shù)據(jù)的位數(shù)。波特率為2400表示每秒鐘可以傳送2400位,我們常用的文件大小的單位是字節(jié),一個字節(jié)是8位,這樣把波特率除以8就得到每秒傳送的字節(jié)數(shù),波特率為2400意味著每秒鐘可以傳送300個字節(jié)。現(xiàn)在一般通過貓上網(wǎng)的速度是56k,也就是波特率為56000,除以8,我們就可以知道每秒鐘傳送的字節(jié)是7000字節(jié),大概每秒鐘7k左右,這是理想的速度,一般實(shí)際的傳送速度會稍低于這個值,大概在每秒56k左右。

          198811月:在這個月里,發(fā)生了一起重大的事件,“莫里斯的蠕蟲”(Morris ‘s Worm),第一個因特網(wǎng)的病毒出現(xiàn),該病毒在美國感染了超過6000臺電腦(包括美國國家航空和航天局研究院的電腦),并使他們部分癱瘓,由于網(wǎng)絡(luò)癱瘓造成的損失,預(yù)計超過96百萬美元。“莫里斯的蠕蟲”利用了VAXSUN公司開發(fā)的Unix系統(tǒng)上的漏洞,使自己可以繁殖和傳播(關(guān)于莫里斯是有意利用了這一漏洞還是還是程序本身的錯誤還存在爭議,但是我傾向于認(rèn)為是程序員有意的行為,這種自我繁殖帶給制造者的滿足感可能是這個病毒的作者最根本的動機(jī)了)。這一病毒同時還進(jìn)行密碼偷竊和權(quán)限修改等工作,可以認(rèn)為這是最早木馬類病毒的一次嘗試。

          198812月:在DEC.Net上也出現(xiàn)了蠕蟲病毒,這個病毒的名字叫“嗨.來吧”(HI.COM),病毒在屏幕上輸出一個云杉的圖像,并告訴用戶他們“不要繼續(xù)工作了,回家享受好時光吧!”。同樣在這個時候,反病毒軟件已經(jīng)開始成熟了,所羅門公司的反病毒工具(Doctors Solomon's Anti-virus Toolkit)成為當(dāng)時最強(qiáng)大的反病毒軟件。

          1989

          新病毒“數(shù)據(jù)罪犯”(Datacrime)、“弗曼楚”(FuManchu)出現(xiàn),病毒家族也開始出現(xiàn),比如說“楊基”(Yankee)病毒,這個病毒在荷蘭和英國造成了極大的恐慌,因?yàn)閺?/span>1013號到1231號,它會格式化硬盤,摧毀所有的數(shù)據(jù)。

          19899月,IBM進(jìn)入反病毒軟件市場,推出了IBM反病毒軟件。

          198910月,DECNet上出現(xiàn)新的蠕蟲病毒,“手淫蠕蟲”(WANK WORM)

          198912月:叫做“艾滋病”(AIDS)的特洛伊木馬出現(xiàn),大約2萬張上面寫著“艾滋病信息磁盤版本2.0”的磁盤被發(fā)放,啟動90次以后,這個木馬程序會加密磁盤上的所有文件名,設(shè)置屬性為不可見,除了還有一個文件是可讀的,其中包含了一張189美元的帳單,以及郵寄的的地址:巴拿馬郵政信箱7#。當(dāng)然,這一拙劣的敲詐行為使作者很快被起訴并送進(jìn)了監(jiān)獄。

          1989年,大量的病毒流進(jìn)俄羅斯,在這種情況下,俄羅斯的一些程序員開始開發(fā)自己的殺毒軟件,著名的AVP軟件(反病毒工具)在這一年首次發(fā)布。

          1989年,引導(dǎo)型病毒“小球”和“石頭”通過香港和美國進(jìn)入中國內(nèi)地,并在很少的一些大型企業(yè)和研究機(jī)構(gòu)之間開始流行。有報道的大陸第一起病毒報告來自西南鋁加工廠,是“小球”病毒的感染報告。

          19897月,公安部計算機(jī)管理監(jiān)察局監(jiān)察處病毒研究小組推出了中國最早的殺毒軟件 Kill版本6.0,這一版本可以檢測和清除當(dāng)時在國內(nèi)出現(xiàn)的六種病毒。KILL軟件在隨后的很長一段時間內(nèi)一直由公安部免費(fèi)發(fā)放。

          1990

          這一年發(fā)生了一些重要的事情,首先是第一個多態(tài)病毒“變色龍”(Chameleon)出現(xiàn)(又叫做“V2P1”、“V2P2”和“V2P6”),在此之前,殺毒軟件都是使用“帶掩碼的特征比較法”,將病毒的片段和一些預(yù)先采樣的數(shù)據(jù)片段進(jìn)行比較來判斷一個文件是不是被病毒感染,當(dāng)“變色龍”出現(xiàn)以后,殺毒軟件不得不尋找新的方法來檢測和發(fā)現(xiàn)病毒。其次是“病毒制造工廠”(virus production factory)的出現(xiàn),保加利亞的程序員開發(fā)了這樣一個可以用于開發(fā)病毒的工具軟件,使得不計其數(shù)的新病毒在保加利亞被制造出來,包括了“馬鈴薯”(Murphy)、“野獸”(Beast)以及修改過的“埃迪”(Eddie)病毒。有一個叫做“黑暗復(fù)仇者”(Dark Avenger)的家伙或者組織在這一年特別活躍,制造了很多病毒,它制造的病毒使用了一些新的算法進(jìn)行感染,并且在系統(tǒng)中隱藏自己的行蹤。

          這一年同樣是在保加利亞,第一個專門為病毒制造者而開的電子公告板建立了,這個電子公告板的主要任務(wù)就是進(jìn)行病毒信息交流和病毒的交換。

          19907月,英國的一個電腦雜志:“今日個人電腦”(PC Today)所附贈的軟磁盤被名叫“磁盤殺手”(DiskKiller)的病毒感染,這份雜志售出了超過50000份。

          電腦病毒技術(shù)本身在這一年也得到了長足的發(fā)展,在1990年下半年,兩個著名的病毒“費(fèi)雷多”(Frodo)和“鯨”(Whale)出現(xiàn),它們使用了一些非常復(fù)雜的方法來隱藏自己的存在,特別是大小為9K字節(jié)的“鯨”,使用了多級加密解密和反跟蹤技術(shù)來隱藏自己。

          1990年,中國,深圳華星公司推出基于硬件的反病毒系統(tǒng)——華星防病毒卡,迎合了當(dāng)時人們對有形的卡的盲目崇拜,認(rèn)為磁盤上的東西不值錢、不可靠,只有插在電腦里面的東西才值得花錢購買,取得不錯的銷售業(yè)績。

          1991

          電腦病毒的數(shù)量持續(xù)上升,在這一年已經(jīng)增加到幾百種,殺毒軟件這一行業(yè)也日益活躍,兩個重要的工具軟件開發(fā)商:“賽門鐵克”(Symantec)和“中心點(diǎn)”(Central Point)公司推出了自己的殺毒軟件。實(shí)際上,這兩家公司都是收購了早期很小的殺毒軟件公司之后,將小公司的人員和產(chǎn)品一鍋端,然后打上自己的品牌,從而進(jìn)入這個市場的,這也是大公司進(jìn)入新市場的一條主要途徑。“賽門鐵克”公司以“諾頓”工具軟件,最重要的是“諾頓磁盤醫(yī)生”(Norton Disk Doctor)而知名,“中心點(diǎn)”公司以產(chǎn)品“個人電腦工具集”(PCTools)而知名。

          4月份,一次大規(guī)模的病毒事件爆發(fā),這次的主角是一個能夠同時感染文件和引導(dǎo)區(qū)的復(fù)合病毒“蒸餾酒”(Tequila),同年9月,采用了同樣的原理,一個名叫“變形蟲”(Amoeba)的病毒開始流行。

          1991年夏天,“目錄二代”(DIRII)病毒開始流行,和其他一些病毒不一樣的是,“目錄二代”病毒不存在于某個文件或者引導(dǎo)扇區(qū)中,他把自己分成小塊,然后放在磁盤上的多個扇區(qū)中,運(yùn)行的時候再進(jìn)行組裝和執(zhí)行。

          199111月:中國瑞星公司成立,并推出瑞星防病毒卡。

          1992

          在這一年,非IBM PC兼容機(jī)或者非DOS兼容的病毒基本上被遺忘了,網(wǎng)絡(luò)上的漏洞得到了修補(bǔ),錯誤被改正,大量的蠕蟲病毒不再能夠快速的復(fù)制和傳播。運(yùn)行在微軟DOS操作系統(tǒng)下的文件型、引導(dǎo)型以及文件/引導(dǎo)復(fù)合型病毒,隨著DOS的廣泛流行,變成電腦病毒故事里面的主角。電腦病毒的數(shù)量以幾何級數(shù)增長,幾乎每天都會發(fā)生新的病毒感染事件,人們開發(fā)出各種各樣的殺毒軟件,大量書籍和雜志中出現(xiàn)關(guān)于電腦病毒的內(nèi)容。

          1992年早期,第一個多臺病毒生成器“MtE”開發(fā)出來,病毒愛好者利用這個生成器生成了很多新的多態(tài)病毒,“Mte”也是隨后很多多態(tài)病毒生成器的原型系統(tǒng)。

          原型系統(tǒng):計算機(jī)科學(xué)中常見的一個術(shù)語,一般指首先實(shí)現(xiàn)了某種功能或者驗(yàn)證了某種概念的系統(tǒng),原型系統(tǒng)一般比較簡陋,功能比較單一而且不很完善,但是原型系統(tǒng)往往開創(chuàng)了一系列新的、完善系統(tǒng)的先例。

          19923月:“米開朗基羅”(Michelangelo)病毒和隨之而來由反病毒軟件廠商造成的歇斯底里是這個月的標(biāo)志。從某種意義上,這是第一個對病毒進(jìn)行炒作并且獲得成功的案例,反病毒軟件廠商學(xué)會夸大病毒造成的威脅,不去實(shí)際告訴用戶如何保護(hù)自己的數(shù)據(jù),而是想方設(shè)法讓他們把目光集中到自己的產(chǎn)品上,這一切的原因只有一個——利潤。一家美國公司聲稱36號,超過5百萬臺電腦上的數(shù)據(jù)將會被破壞,而實(shí)際上真正遭遇“米開朗基羅”病毒的電腦只有大概10000臺。成功的炒作得到的效果就是很多家反病毒廠商的利潤都增長了好幾倍。

          19927月:第一個病毒構(gòu)造工具集(virus construction sets),“病毒創(chuàng)建庫”(Virus Create Library)開發(fā)成功,這是一個非常著名的病毒制造工具,實(shí)際上,直到1999年,國內(nèi)還有一些個人和組織利用這一工具制造病毒。這個工具的成功同時還刺激了新的、更加強(qiáng)大和完善的病毒制造工具不斷的被開發(fā)出來。

          1992年晚期:第一個視窗病毒開發(fā)成功,實(shí)際上,大量DOS環(huán)境下的病毒在視窗環(huán)境下仍然能夠成功的運(yùn)行,稱這個病毒是第一個視窗病毒是因?yàn)樵摬《臼状螌σ暣安僮飨到y(tǒng)獨(dú)特的可執(zhí)行文件格式進(jìn)行感染,這個病毒的出現(xiàn)宣告了病毒發(fā)展歷史上新的一頁的到來。

          這一年,“目錄2”病毒開始大規(guī)模進(jìn)入中國,

          中國,南京信源自動化技術(shù)有限公司成立,推出DOS環(huán)境下的內(nèi)存駐留反病毒軟件“硬盤衛(wèi)士”(HD GUARD)和DOS殺毒軟件VRVVirus RemoVer)。

          1993

          在這一年里,病毒制造者除了制造大量普通的病毒、使用多態(tài)生成器/病毒構(gòu)造機(jī)構(gòu)造一系列的病毒以外,他們開始進(jìn)行更加嚴(yán)重的破壞活動,使用一些新的方法感染文件并且將病毒注入系統(tǒng)。這一年中比較典型的病毒有:

          “保護(hù)模式是簡單的”(PMBS),工作在英特爾80386芯片保護(hù)模式下的病毒。

          "陌生"Strange一個自我隱藏技術(shù)的杰作,通過對硬件中斷0Dh76H的模擬實(shí)現(xiàn)隱藏自身。

          “影子衛(wèi)士”(Shadowgard)和“紅寶石”(Carbuncle)極大地拓展了共生病毒的概念。(共生病毒,一種病毒如果可以表現(xiàn)為不同的形態(tài)則稱為共生病毒,例如同時感染引導(dǎo)區(qū)和文件,或者同時感染Office 文檔和普通的可執(zhí)行文件)

          “埃米”(Emmie、“梅提里卡”(Metallica)、“炸彈人”(Bomber)、“烏拉圭”(Uruguay)和“咬嚼者”(Cruncher)病毒相繼出現(xiàn),它們使用了一些非常新穎的技術(shù)進(jìn)行感染,這樣,殺毒軟件很難在被感染文件中找到病毒代碼。

          1993年春天,微軟發(fā)行了自己的反病毒軟件——微軟反病毒軟件(MSAV),這是微軟購買了“中心點(diǎn)”公司的CPAV之后發(fā)布的微軟版CPAV。但這是一次不成功的嘗試,微軟很快就認(rèn)識到作為一個通用軟件廠商,如此深入的進(jìn)入一個非常專業(yè)的領(lǐng)域是非常不明智的,比爾.蓋茨很快就放棄了這一產(chǎn)品。

          1993年6月,中國,公安部正式?jīng)Q定將KILL的所有有形和無形資產(chǎn)、開發(fā)人員移交公安部所屬的中國金辰安全技術(shù)實(shí)業(yè)公司進(jìn)行商品化銷售。此時,KILL的版本號為V68,產(chǎn)品形式分為5寸磁盤和3寸磁盤兩種。

          在這一年,瑞星的防病毒卡占據(jù)了80%以上的反病毒市場,達(dá)到了防病毒卡銷售的頂峰。

          1994

          病毒通過光盤進(jìn)行傳播在這一年變得非常普遍,在隨后的幾年,直到因特網(wǎng)的廣泛使用之前,光盤迅速成為最主要的病毒傳播渠道。大量的光盤在制造的時候,由于使用的母盤中包括了病毒,所以壓制出來的光盤也包括了病毒,由于光盤中的內(nèi)容是不能被改寫的,所以這些病毒無法清除,唯一的解決方法只能是將這些感染了病毒的光盤銷毀。

          1994年早期,英國發(fā)現(xiàn)了兩種極其復(fù)雜的多態(tài)病毒:“SMEG.病原體”和“SMEG.Queeg”(直到今天,仍然有大量的反病毒軟件不能完全檢測他們的所有變體!),由于病毒的作者將感染的文件放到了電子公告板上,所以這兩種病毒在公眾媒體造成了很大的恐慌。

          另外一次恐慌是一個并不存在的病毒“好時光”(GoodTimes)造成的(注意不是我們在后面將要描述的“歡樂時光”),謠傳說這種病毒可以通過電子郵件進(jìn)行傳染。這種不存在病毒的恐慌和欺騙后來稱之為“好時光欺騙”。稍后在DOS下面真的出現(xiàn)了很普通的一個病毒里面包括了文本信息“好時光”,但是一般認(rèn)為這個DOS病毒是響應(yīng)“好時光欺騙”專門制造出來的,和那種謠傳接收電子郵件就會被感染的病毒沒有任何關(guān)系。

          電腦病毒所引發(fā)的法律問題也變得非常普遍,各國都開始嘗試將病毒制造者定罪。1994年夏天,“SMEG”病毒的作者被捕,差不多同時,英國也逮捕了一個病毒制造者團(tuán)伙,這個團(tuán)伙自稱為“真正殘酷的病毒協(xié)會”,在挪威也有一些病毒的作者被捕。這些病毒的作者之所以被捕其實(shí)很簡單,他們繼承了早期病毒制造者的好傳統(tǒng),在病毒中包括了自己的聯(lián)系信息,或者在通過電子公告板首次發(fā)布的時候,很得意的宣布了作者的詳細(xì)創(chuàng)意和聯(lián)系方法,因此警方可以很方便的找到他們,在后來的病毒制作和發(fā)布中,病毒制造者就謹(jǐn)慎了許多,警方很難輕易的找到一個病毒的真正作者。

          本年度也有一些值得一提的病毒:

          19941月:“移動者”(Shifter)病毒,首次感染對象模塊文件(OBJ文件),“幻影1”(Phantom1),第一個首次在莫斯科流行的多態(tài)病毒。

          對象模塊文件:和高級語言開發(fā)工具密切相關(guān),當(dāng)在DOS環(huán)境或者視窗環(huán)境下開發(fā)程序的時候,C或者其他語言的編譯器會生成多個OBJ中間文件,然后將所有的這些OBJ中間文件組合成一個可執(zhí)行的文件。

          19943月:“源代碼病毒”(SrcVir):首次感染C語言和帕斯卡(PASCAL)語言源代碼的病毒.

          19946月:“一半”(OneHalf)病毒出現(xiàn),在俄羅斯和中國最流行的病毒之一。

          19949月:“3APA3A”,一種新的引導(dǎo)型病毒出現(xiàn),使用了一種非常特殊的方法進(jìn)入DOS操作系統(tǒng)并進(jìn)行感染,當(dāng)時所有的殺毒軟件對于這種新病毒都無能為力。

          1994年春天,最早的殺毒軟件廠商的領(lǐng)導(dǎo)者之一,“中心點(diǎn)”公司結(jié)束了自己的運(yùn)做,被“賽門鐵克”公司收購,“賽門鐵克”公司在這段時間內(nèi)收購了大量的殺毒軟件廠商,包括“皮特.諾頓計算”(Peter Norton Computing)、“第五代系統(tǒng)”( Fifth Generation Systems)等公司。

          19942月,國務(wù)院發(fā)布了《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》將計算機(jī)信息系統(tǒng)安全(包括防病毒軟件)劃歸公安部管理。

          1994年7月,王江民推出了“超級巡警”——KV100殺毒軟件,并首次提出了廣譜病毒碼的概念,首次在《軟件報》上公布《反病毒公告》,開創(chuàng)了用印刷的形式讓用戶進(jìn)行手工升級的先河,雖然對這種升級方式的有效性仍然存在很多爭論,但是KV100依靠這種方式極大地提高了知名度,為后來KV300的成功打下了良好的基礎(chǔ)。

          1995

          DOS病毒技術(shù)的發(fā)展在這一年中基本上陷于停滯,我所說的停頓是指技術(shù)本身的停頓,也就是說沒有什么新的感染或者隱藏等病毒相關(guān)技術(shù)的出現(xiàn),但是病毒的數(shù)量和傳播并沒有停頓,在這一年中仍然出現(xiàn)了很多非常復(fù)雜的病毒例如“死亡墜落”(Night Fall)、“胡桃鉗子”(Nutcracker)等,以及一些很有趣的病毒例如“兩性體”(bisexual)、“RNMS”等。這一年中,DOS批處理病毒 "視窗啟動"WinStart)和“死硬2”(DieHard2)病毒在世界范圍內(nèi)廣泛的流傳。

          19951月:微軟的視窗95演示盤被病毒“表格”(Form)感染,微軟將演示盤發(fā)送給測試者,其中一個可能是過于勤勞的測試者對這些磁盤進(jìn)行了病毒檢測,結(jié)果很吃驚的發(fā)現(xiàn)了病毒。這是微軟第一次在發(fā)行的光盤中包含了病毒,當(dāng)然這遠(yuǎn)遠(yuǎn)不是最后一次。

          1995年春天:兩家著名的殺毒軟件公司“雷霆字節(jié)反病毒”(ThunderBYTE Anti-virus)和“諾曼第數(shù)據(jù)防護(hù)”(Norman Data Defense)公司宣布將聯(lián)合進(jìn)行反病毒系統(tǒng)的開發(fā)。

          1995年秋天:病毒和反病毒發(fā)展歷史的一個轉(zhuǎn)折點(diǎn),第一個能夠保存在WORD文件中,運(yùn)行在微軟字處理軟件里的病毒“概念”(Concept)病毒開始在世界范圍內(nèi)流行,這一病毒的出現(xiàn)宣告了一種新形態(tài)的病毒的出現(xiàn)——宏病毒。在很長一段時間里,這一病毒在所有的病毒感染統(tǒng)計中一直占據(jù)最重要的位置。

          1996

          19961月,第一個視窗95病毒出現(xiàn)——“博扎”(Win95.Boza

          19963月:第一個開始大規(guī)模流行的視窗版本3病毒,“觸角”(Tentacle)病毒首次被發(fā)現(xiàn),這一病毒首次出現(xiàn)在法國一家醫(yī)院和一些研究機(jī)構(gòu)的網(wǎng)絡(luò)中。在這一病毒出現(xiàn)之前,雖然有很多的視窗病毒被制造出來,但是這些制造出來的病毒都只在病毒收集者之間、電子公告板或者一些專門的雜志上出現(xiàn),“觸角”病毒實(shí)際上是第一個真正流行起來的視窗病毒。

          19966月:第一個真正OS/2操作系統(tǒng)下的病毒,“AEP”病毒出現(xiàn),在此之前的OS/2病毒只能使用病毒文件替換原來的文件,或者以伴隨病毒的形式出現(xiàn),這一病毒首次可以將自己附著在OS/2可執(zhí)行文件的后面,實(shí)現(xiàn)了病毒的真正定義——感染。

          19967月:第一個微軟電子數(shù)據(jù)表病毒“拉若克斯”(Laroux)病毒出現(xiàn),這一病毒首次發(fā)現(xiàn)是在兩家石油公司,一家在阿拉斯加,另外一家在南非,所以我們猜想是一個石油勘探軟件的程序員制作了這個病毒。和先前的字處理程序病毒一樣,這一病毒利用了在電子數(shù)據(jù)表格軟件中可以變成的某種宏語言。任何微軟的電子數(shù)據(jù)表或者字處理文檔中都可以包括這種語言所編寫的程序,當(dāng)然也可以包括這種語言所編寫的病毒。隨著微軟操作系統(tǒng)的日益復(fù)雜,各種宏語言慢慢變成統(tǒng)一的BASIC語言(VBA :專門為應(yīng)用軟件設(shè)計的可視化BASIC語言),功能也變得越來越強(qiáng)大,使用這種語言編寫的病毒功能也隨之越來越強(qiáng)大。

          BASIC語言:BASIC是初學(xué)者通用符號指令代碼(Beginner's All-purpose symbolic instruction Code)的縮寫,是國際上廣泛使用的一種計算機(jī)高級語言。BASIC簡單、易學(xué),目前仍是計算機(jī)入門的主要學(xué)習(xí)語言之一。BASIC語言自其問世經(jīng)歷了以下四個階段:第一階段:(1964年~70年代初)1964年BASIC語言問世。第二階段:(1975年~80年代中)微機(jī)上固化的BASIC,ROM BASIC,第三階段:(80年代中~90年代初)結(jié)構(gòu)化BASIC語言,以True BASIC為代表,第四階段:(1991年以來)以可視化的BASIC為代表,在因特網(wǎng)時代這一古老的語言又煥發(fā)了新的青春。

          199612月:視窗95下的第一個內(nèi)存駐留病毒,“打孔機(jī)”(Punch)病毒出現(xiàn),該病毒駐留在視窗95的內(nèi)存中,以一個Vxd驅(qū)動程序的形式存在,攔截所有的文件操作并進(jìn)行傳染,這種原理在隨后的CIH病毒中得到應(yīng)用和發(fā)展并且造成了極大地破壞。由于程序設(shè)計中的明顯缺陷,“打孔機(jī)”病毒不能在正常的視窗95環(huán)境進(jìn)行感染中,所以這種革命性的病毒并沒有真正流行起來。

          實(shí)際上1996年是新一輪病毒進(jìn)化的開始,在這一年中,隨著微軟新的操作系統(tǒng)視窗95、視窗NT和微軟辦公軟件(Office)的流行,病毒制造者不得不面對一個新的環(huán)境,他們在這一年中開始使用一些新的感染和隱藏方法,制造出在新的環(huán)境下可以自我復(fù)制和傳播的病毒,隨后,病毒制造者的技術(shù)水平日益提高,他們對新的操作系統(tǒng)環(huán)境(視窗95和視窗NT)和應(yīng)用系統(tǒng)環(huán)境(Office,包括字處理和電子數(shù)據(jù)表格軟件等)的掌握也越來越深,他們開始在病毒中增加多態(tài)、反跟蹤等技術(shù)手段,在新的技術(shù)層次上重復(fù)了早期在DOS操作系統(tǒng)環(huán)境下病毒的進(jìn)化過程,和DOS環(huán)境下漫長的進(jìn)化相比,在新的環(huán)境下病毒的進(jìn)化過程要快得多。

          1997

          19972月:第一個Linux環(huán)境下的病毒“上天的賜福”(Bliss)出現(xiàn),Linux在此之前還是一個沒有被病毒感染過的樂土。

          19972月到3月:隨著微軟辦公軟件從版本6升級到版本97,宏病毒也升級到版本97。最早針對微軟辦公軟件97的宏病毒都是直接從較早期版本轉(zhuǎn)換過來的,但是病毒制造者對新技術(shù)的跟蹤速度是驚人的,他們很快就推出了專門為微軟辦公軟件97定制的宏病毒。

          19973月:針對微軟字處理軟件版本6和版本7的宏病毒“分享歡樂”( ShareFun)病毒出現(xiàn),這種病毒的特殊之處在于除了通常的通過字處理文檔傳播之外,“分享歡樂”還可以通過微軟的郵件程序發(fā)送自己。

          19974月:第一個使用文件傳輸協(xié)議(FTP)進(jìn)行傳播的蠕蟲病毒,“本壘打”( Homer)病毒出現(xiàn)。

          文件傳輸協(xié)議:(File Transfer Protocol)使用這一協(xié)議,人們可以在主機(jī)和自己家庭的電腦之間交換文件。這是最簡單的因特網(wǎng)應(yīng)用協(xié)議之一,可以列出遠(yuǎn)程目錄,對文件名字進(jìn)行拷貝、刪除、改名等操作,最重要的是,可以將硬盤上的文件上傳到遠(yuǎn)程的主機(jī)上,或者將遠(yuǎn)程主機(jī)上的文件下載到自己的硬盤上。

          19976月:視窗95環(huán)境下第一個可以自我加密/解密的病毒出現(xiàn),這一病毒最先出現(xiàn)在莫斯科,在一些電子公告板上公布后造成了一些慌亂。

          199711月:“世界語”( Esperanto)病毒出現(xiàn),正如名字所表示的那樣,這一病毒的開發(fā)者想讓它成為病毒世界的世界語—同時感染DOS、視窗和蘋果的麥克機(jī)操作系統(tǒng)。幸運(yùn)的是,由于軟件中存在的一些缺陷,“世界語”沒有實(shí)現(xiàn)它的設(shè)計目標(biāo)。

          199712月:一種新的病毒形態(tài),“mIRC蠕蟲”出現(xiàn),“mIRC”是視窗環(huán)境下最常見的一種IRC客戶端程序,在當(dāng)時發(fā)布的mIRC版本中存在一個漏洞,利用這個漏洞,病毒可以通過IRC的頻道復(fù)制和傳播自己。后來的IRC版本中堵住了這個漏洞,“mIRC蠕蟲”病毒也就隨之慢慢的消失了。

          IRC客戶端:IRC是因特網(wǎng)INTERNET RELAY CHAT的縮寫,意思是通過因特網(wǎng)中轉(zhuǎn)的聊天,通過特殊的協(xié)議(RFC1459 IRC協(xié)議),大家連到一臺或者多臺IRC服務(wù)器上進(jìn)行聊天。和普通的使用瀏覽器進(jìn)行的聊天相比,它最大的特點(diǎn)是速度快(正常情況下一秒鐘內(nèi)你就可以看到對方的“講話”),功能多,和類似QQ的即時聊天系統(tǒng)相比,IRC可以實(shí)現(xiàn)多對多的群體聊天功能。

          要實(shí)現(xiàn)IRC聊天需要IRC服務(wù)器和IRC客戶端,IRC服務(wù)器在網(wǎng)上有很多,IRC客戶端就是你在視窗環(huán)境下實(shí)際進(jìn)行聊天的程序,其中最著名的就是mIRC程序。

          1997年在美國和歐洲的主要?dú)⒍拒浖S商中,發(fā)生了一些丑聞。兩家非常著名的殺毒軟件廠商開始了一場口水大戰(zhàn),首先是McAfee公司宣布他們的專家在所羅門公司出品的殺毒軟件中發(fā)現(xiàn)了一個很有意思的特性:所羅門公司的病毒檢測軟件可以工作在兩種模式下面,正常模式和高級模式,正常模式的速度很快,但是對于某些少見的病毒可能無法檢測,高級模式的速度比較慢,但是檢測的病毒數(shù)量更多,他們發(fā)現(xiàn),所羅門公司的軟件可以在這兩種模式之間自動切換,當(dāng)軟件發(fā)現(xiàn)自己象是在檢測一個測試用的病毒庫的時候,會自動切換到高級模式,而在檢測普通文件的時候會切換到正常模式,這樣,殺毒軟件既得到了非常快的檢測速度,也可以得到非常好的病毒檢出率。

          隨后,所羅門公司開始反擊,指責(zé)McAfee公司發(fā)布了非法的廣告,其中有直接攻擊所羅門公司的內(nèi)容。同時,好像是覺得不夠熱鬧似的,McAfee和趨勢公司鬧上了法庭,他們爭論的焦點(diǎn)有關(guān)因特網(wǎng)和電子郵件病毒檢測技術(shù)的專利;隨后是賽門鐵克公司,也跳出來指責(zé)McAfee公司使用了賽門鐵克公司的代碼。

          這一點(diǎn)充分證明了國外的消費(fèi)者觀念和國內(nèi)消費(fèi)者觀念的巨大差別,對于國外用戶來說,在產(chǎn)品中沒有充分實(shí)現(xiàn)你的承諾就是一種欺騙行為,換句話來說,在用戶不知情的情況下為了某種性能或者評測數(shù)據(jù)的考慮自動的切換工作模式是某種意義上的商業(yè)欺騙。而在國內(nèi),我相信沒有任何消費(fèi)者會因?yàn)檫@樣一種技術(shù)上的處理對殺毒軟件廠商提出懷疑或者責(zé)難。實(shí)際上,國內(nèi)廠商使用的模式切換、性能增強(qiáng)措施,甚至某些通過提高誤報率來迎合用戶希望查到病毒的心理的技術(shù)手段,遠(yuǎn)遠(yuǎn)超過了國外所謂的“欺騙”的范疇。但是至今還沒有用戶或者廠商對此提出過指責(zé)。

          這一年McAfee和“網(wǎng)絡(luò)將軍”公司完成了他們的合并,新成立的公司成為一家信息安全服務(wù)和產(chǎn)品的提供商,新公司的名稱是“網(wǎng)盟”(NAI)。

          這一年,在中國發(fā)生了著名的毒島論壇事件,有好事者在美國的地球村免費(fèi)網(wǎng)站上建立了一個叫做“毒島論壇”的站點(diǎn),專門討論反病毒技術(shù),評比國內(nèi)的反病毒軟件和提供它們的的解密程序。1997年的下半年,“毒島論壇”宣稱KV 300軟件中有病毒!并且迅速在網(wǎng)上公布了病毒的反匯編代碼(由于KV 300軟件是經(jīng)過加密的,因此一般人無法簡單地看到這一段代碼)。數(shù)天之后,出于種種考慮,數(shù)家反病毒軟件公司在京召開了記者招待會,聲討這種行為。而江民公司自己則辯稱這是一個“邏輯鎖”,不是病毒。只有使用了盜版軟件的用戶,才有可能數(shù)據(jù)被破壞。
          事情最后以江民公司被認(rèn)定違反了《計算機(jī)安全管理條例》,罰款3000元告終,而KV 300似乎沒有受到太大的影響,“毒島論壇”還因此被查封。

          1994年防病毒卡的銷售達(dá)到最高峰之后,瑞星19951996年銷售業(yè)績大幅度下降,公司到了生死存亡的邊緣,1997年開始,瑞星通過OEM和低價策略開始二次創(chuàng)業(yè)。

          1997年,南京信源公司首次推出具有實(shí)時病毒防護(hù)功能的病毒防火墻,NetVRV軟件。

          1997年,出現(xiàn)了一家風(fēng)靡一時的反病毒軟件公司,華美星際,在當(dāng)年推出的“病毒克星”產(chǎn)品獲得很大的成功(“病毒克星”實(shí)際上是OEM VRV”之后生產(chǎn)的產(chǎn)品),但是由于運(yùn)作原因,該公司在1997年之后就銷聲匿跡了。

          1998

          病毒的數(shù)量和技術(shù)繼續(xù)發(fā)展,特別是隨著因特網(wǎng)的廣泛使用,人們對于能夠竊取口令和更改權(quán)限的木馬程序有了更多的興趣。視窗環(huán)境下的病毒“CIH”和“青猴病”(Marburg)通過一些電腦雜志附帶的光盤廣泛傳播,這些光盤在制作的時候被病毒感染。

          這一年中,一種新的病毒“HLLP.DeTroie”出現(xiàn),這種病毒除了能夠感染普通的視窗可執(zhí)行文件以外還能夠收集被感染機(jī)器的信息并且發(fā)送到病毒的所有者手中。應(yīng)該感到幸運(yùn)的是,這一病毒僅僅感染法語版的視窗操作系統(tǒng),所以基本上沒有在我國造成影響。

          1998年一月:一種新的感染微軟電子數(shù)據(jù)表的病毒“派克斯”(Paix)出現(xiàn),這種感染表格的病毒同樣實(shí)現(xiàn)了自我復(fù)制和傳播的特性。

          19982月到3月:“青猴病”(Marburg)病毒,第一個在32位視窗環(huán)境下運(yùn)行的多態(tài)病毒被發(fā)現(xiàn)并且開始流行起來。這種病毒的出現(xiàn)給殺毒軟件開發(fā)者出了一道難題,就像當(dāng)初在DOS環(huán)境下遇到多態(tài)型病毒一樣,他們不得不重新設(shè)計自己的病毒掃描引擎,從而可以識別出這種病毒和相應(yīng)的變種。

          19983月:“埃克塞斯4”( AccessiV)病毒,第一個針對微軟數(shù)據(jù)庫軟件的病毒出現(xiàn),這個病毒本身沒有造成很大的影響,因?yàn)殡S著字處理和電子數(shù)據(jù)表病毒的出現(xiàn),人們知道出現(xiàn)這樣一個病毒只是遲早的事情,所有的殺毒軟件廠商對此已經(jīng)有了充分的準(zhǔn)備。

          19983月:“十字架”( Cross)病毒出現(xiàn),這個病毒首次實(shí)現(xiàn)了對不同微軟辦公軟件的感染,數(shù)據(jù)庫和字處理軟件。也就是說你的字處理文檔和你的數(shù)據(jù)庫文件中可能同時包括了這種病毒,在這種病毒之后,越來越多的,同時感染多種微軟辦公軟件的病毒開始出現(xiàn)。

          19985月:“紅色隊伍”( RedTeam)病毒出現(xiàn),這種病毒可以感染通常的視窗可執(zhí)行文件,同時還可以通過一種電子郵件軟件進(jìn)行傳播。

          19986月:CIH病毒出現(xiàn),CIH病毒是有史以來影響最大的病毒之一,最早出現(xiàn)在臺灣,然后通過美國在臺灣的海外辦公室傳播到美國,感染了一些因特網(wǎng)上的游戲服務(wù)器,直接引發(fā)了持續(xù)一年的恐慌(在中國CIH的惡夢是在下一年才真正開始的),CIH病毒所取得的巨大影響是因?yàn)樗钠茐男裕谀承╇娔X上,CIH病毒甚至可以損壞你的硬件。

          19988月:非常好的遠(yuǎn)程控制工具“后門”(Back Orifice)出現(xiàn),在“后門”之后,還出現(xiàn)了“網(wǎng)絡(luò)公共汽車”(NetBus)、“階段”(Phase)等類似的軟件。

          遠(yuǎn)程控制工具:通過網(wǎng)絡(luò)控制某臺機(jī)器的軟件,包括客戶端和服務(wù)器兩個部分,服務(wù)器運(yùn)行在被控制的電腦上,一般在后臺運(yùn)作,接收遠(yuǎn)程發(fā)來的命令并執(zhí)行操作,客戶端運(yùn)行在網(wǎng)絡(luò)的另外一邊,控制者利用客戶端發(fā)布命令。只要在一臺聯(lián)網(wǎng)的電腦上安裝了遠(yuǎn)程控制的服務(wù)器端軟件,你可以在任何一臺聯(lián)網(wǎng)的電腦上使用客戶端軟件,實(shí)現(xiàn)數(shù)據(jù)收集(包括口令和其他機(jī)密的文件),鼠標(biāo)和鍵盤控制,擊鍵記錄等功能。由于遠(yuǎn)程控制軟件的強(qiáng)大功能,人們往往利用遠(yuǎn)程控制軟件作為木馬程序,實(shí)現(xiàn)對系統(tǒng)非法存取的目的。

          19988月:第一個感染“爪哇”(Java)可執(zhí)行文件的病毒“陌生的釀造”(Strange Brew)問世,這一病毒沒有什么實(shí)際的危害,因?yàn)?#8220;爪哇”語言在安全性上的一些預(yù)防措施,病毒不能復(fù)制并且傳播到遠(yuǎn)程的電腦上。但是“陌生的釀造”至少證明了因特網(wǎng)瀏覽器被病毒感染的可能性。

          這一年,南北信源反目為仇,先是劃江而治,劃分成北方市場和南方市場,然后由于市場和經(jīng)營觀念的沖突以及公司內(nèi)部矛盾,開始相互起訴和爭斗,兩家公司都因此元?dú)獯髠袌龇蓊~和影響急劇下降。

          199811月:一種新的使用VB腳本語言編寫的病毒“兔子”(Rabbit)誕生了,這種病毒充分利用了VB腳本語言專門為因特網(wǎng)所設(shè)計的一些特性。很自然的是,隨著HTML語言本身開始具有編程能力,純粹的HTML語言病毒“內(nèi)在”也開始流行。很明顯,病毒制造者將他們的注意力集中在網(wǎng)絡(luò)蠕蟲上,他們開始充分利用視窗系統(tǒng)強(qiáng)大的腳本語言,而且這種語言還可以和網(wǎng)絡(luò)緊密的結(jié)合,制造大量的,可以通過網(wǎng)頁、電子郵件傳播的病毒。

          在這一年中,殺毒軟件廠商開始大規(guī)模的整合,19983月,賽門鐵克和IBM宣布合并他們的反病毒業(yè)務(wù)部門,IBM隨后放棄了自己獨(dú)立開發(fā)殺毒軟件。所羅門和網(wǎng)盟很快作出了反應(yīng),通過一樁上億美元的交易,所羅門公司不復(fù)存在,網(wǎng)盟成功的收購了他的死敵所羅門公司,這樁交易給反病毒行業(yè)帶來了非常大的震動,這樣兩家一直打斗得你死我活的公司居然采取這樣一種方式結(jié)束了自己數(shù)年的競爭。

          1998年5月:中國金辰安全技術(shù)實(shí)業(yè)公司和世界第二大軟件公司美國CA公司在公安部舉行簽字儀式,雙方共同合資成立北京冠群金辰軟件有限公司。同時宣布在北京成立產(chǎn)品研發(fā)中心。1998年7月,冠群金辰公司發(fā)布KILL認(rèn)證版。產(chǎn)品雖然名稱還是叫做KILL,但基本核心已經(jīng)完全使用了CA公司的技術(shù)。

          1999年:這一年,病毒制造者很好的掌握了視窗操作系統(tǒng)下各種新的文件格式的感染方法,在視窗環(huán)境下隱藏自己的技術(shù)也得到了很大的進(jìn)步,通過郵件進(jìn)行病毒傳播開始成為病毒傳播的主要途徑。宏病毒在這一年仍然是最流行的病毒。

          1999年3月,一個名為“梅麗莎”(Melissa)的計算機(jī)病毒席卷歐、美各國的計算機(jī)網(wǎng)絡(luò)。這種病毒利用郵件系統(tǒng)大量復(fù)制、傳播,造成網(wǎng)絡(luò)阻塞,甚至癱瘓。并且,這種病毒在傳播過程中,還會造成泄密。

          1999年6月,中國最大的通用軟件廠商,金山公司首次發(fā)布金山毒霸的測試版,開始嘗試進(jìn)入殺毒軟件市場。

          1999年12月,“FunLove”病毒出現(xiàn),這一病毒是一個設(shè)計非常巧妙的PE病毒,它的最大特點(diǎn)是感染能力強(qiáng),清除非常困難,直到今天還是在國內(nèi)廣泛流行的病毒之一。

          2000年,隨著微軟視窗操作系統(tǒng)逐步的COM化和腳本化,腳本病毒成為這一年的主流,大量使用腳本技術(shù)的病毒出現(xiàn),腳本病毒和傳統(tǒng)的病毒、木馬程序相結(jié)合,給病毒技術(shù)帶來了一個新的發(fā)展高峰。

          2000年5月:“愛蟲”(LoveLetter)病毒出現(xiàn)。“愛蟲”病毒是一種腳本病毒,它通過微軟的電子郵件系統(tǒng)進(jìn)行傳播。這一病毒的郵件主題為“I Love You”,包含一個附件“Love-Letter-for-you.txt.vbs”,一旦在微軟電子郵件中打開這個附件,系統(tǒng)就會自動復(fù)制并向用戶通訊簿中所有的電子郵件地址發(fā)送這一病毒,其傳播速度比梅莉沙病毒還要快好幾倍。

          2000年11月:金山毒霸正式上市,金山正式進(jìn)入反病毒軟件市場。

          2000年12:惡作劇程序“麥當(dāng)勞女鬼”在網(wǎng)絡(luò)上大規(guī)模流行并造成影響,根據(jù)報道,中國香港地區(qū)有職員被這個惡作劇程序驚嚇致死。

          前面部分摘自《一個真實(shí)的病毒世界》

          ▲2001年1月21日

          一種變形的“梅麗莎”病毒侵襲麥金塔(Macintosh)電腦。這種病毒能感染Mac文件,病毒產(chǎn)生的大量電子郵件可以堵塞服務(wù)器,修改微軟Word程序的設(shè)置,感染文件和模板。攜帶這種“梅麗莎”病毒的電子郵件附件名叫“Anniv.DOC”。這是這種類型的病毒第一次將矛頭指向了麥金塔電腦。

          ▲2001年2月2日

          通過映射驅(qū)動器和在線聊天系統(tǒng)傳播的“薩利姆”(W97M/Salim.A)病毒被發(fā)現(xiàn)。“薩利姆”是一個宏病毒和通過在線聊天系統(tǒng)傳播的蠕蟲,它在傳播過程中截取文檔內(nèi)容。“薩利姆”蠕蟲依靠文檔事件處理程序來運(yùn)行,當(dāng)一個已感染的文檔被打開時,宏病毒就被激活,“薩利姆”病毒將嘗試感染被Word打開的所有文檔。

          ▲2001年2月15日

          荷蘭警方13日逮捕了一名自稱發(fā)明了“庫爾尼科娃”電腦病毒的20歲男子。此人要面臨坐牢4年的處罰。通過電子郵件傳播的“庫爾尼科娃”病毒12日在歐洲、美洲和亞洲發(fā)作,大量垃圾郵件積壓在電子郵件系統(tǒng)內(nèi),系統(tǒng)速度明顯變慢,有的公司干脆關(guān)閉了電子郵件系統(tǒng)。這名荷蘭男子自稱是19歲的俄羅斯網(wǎng)球女星安娜·庫爾尼科娃的球迷,這個病毒的作者說,他不是編程專家,不過是從互聯(lián)網(wǎng)上下載了病毒,然后編寫程序完成的。

          ▲2001年3月6日

          美國Symantec軟件公司的反病毒研究中心指出,一種與此前出現(xiàn)的“庫爾尼科娃”病毒類似、代號為“裸妻”的病毒現(xiàn)已攻擊了至少30個相關(guān)機(jī)構(gòu)和一家政府部門。這種以電子郵件形式進(jìn)行攻擊的病毒所攜帶的主題為“FW:裸妻”,它幾乎可以將計算機(jī)內(nèi)所有重要的系統(tǒng)文件全部刪除,另外還可以通過電子郵件的形式向任何一位網(wǎng)絡(luò)用戶傳播。這種病毒有可能來自巴西,因?yàn)槠湓创a中的信息提到了AGF巴西,這是巴西一家保險公司的名字。這種病毒的電子郵件中帶有一個名為“NakedWife.exe”執(zhí)行文件的附件,就像所有類似病毒一樣,一旦用戶打開這一附件,其電腦系統(tǒng)一定會遭到病毒入侵。

          ▲2001年3月20日

          名為My-babypic的病毒通過可愛寶寶的照片傳播病毒,雖然“毒性”不強(qiáng),但發(fā)作起來也會造成電腦文件被破壞。該病毒的發(fā)作過程是,網(wǎng)民會收到一封主題為“Mybabypic”的郵件,附件為“MyBabyPic.exe”,網(wǎng)民運(yùn)行該程序后,屏幕會顯示一張可愛寶寶的照片和一個不明對話框,等網(wǎng)民關(guān)掉圖片、對話框后,這種病毒就會復(fù)制到Windows操作系統(tǒng)的System目錄下并修改登錄數(shù)據(jù)庫,使用者每次開機(jī)時這種病毒就會發(fā)作一次。

          ▲2001年3月24日

          稱為“VBS.Linda.A@MM”(琳達(dá))的病毒,專攻人們好奇及好色的心理。病毒以電子郵件傳播,收件者會先收到一封附有KellyIn-White.jpg.vbs檔案的郵件,意即身穿白色的Kelly。“琳達(dá)”會搜尋微軟Outlook地址簿上的記錄,發(fā)出有毒的郵件進(jìn)一步傳播。

          ▲2001年4月26日

          CIH病毒在我國第三度爆發(fā)。截至26日20時,僅瑞星公司技術(shù)服務(wù)部就接到求助電話1000多個,接收并修復(fù)被損壞硬盤100多塊,均接近CIH病毒前兩次爆發(fā)時的水平。據(jù)了解,其它反病毒企業(yè)也收到大量用戶計算機(jī)被CIH病毒損壞的信息。據(jù)這些公司的專業(yè)人員分析,此次CIH病毒爆發(fā)的波及面和損害程度雖然比前兩度略小,但仍造成相當(dāng)大的破壞。

          ▲2001年5月6日

          一種新的惡性電腦病毒“歡樂時光”(Happytime/VBSHappytime.A.Worm)已在中國開始傳播。“歡樂時光”病毒很可能是一種國產(chǎn)病毒,它是類似“愛蟲”的蠕蟲類病毒。用戶通過美國微軟公司辦公套件(Outlook)收取帶有“歡樂時光”病毒的郵件時,無論用戶是否打開郵件,只要鼠標(biāo)指向帶毒的郵件,“歡樂時光”病毒即被激活,隨后立即傳染硬盤中的文件。感染“歡樂時光”病毒后,如果電腦時鐘的日期和月份之和為13,則該病毒將逐步刪除硬盤中的EXE和Dll文件,最后導(dǎo)致系統(tǒng)癱瘓。

          ▲2001年5月11日

          新病毒“主頁”正在全球傳播,這種被稱作“HomePage”的病毒被看作是“庫爾尼科娃”病毒的“遠(yuǎn)親”。攜帶這種電腦病毒的郵件題目為“主頁”,郵件正文寫道:“嗨,你應(yīng)該看看這個網(wǎng)頁,它確實(shí)很酷。”郵件中夾帶著一個名為“HOMEPAGE.HTML.VBS”的附件。用戶一旦打開附件,病毒第一步先自我復(fù)制,并向微軟Outlook地址簿中的每一個地址發(fā)去一封攜毒郵件。然后搜索Outlook收件箱,將其中名為“主頁”的信件統(tǒng)統(tǒng)刪除,同時打開數(shù)個色情網(wǎng)頁。值得慶幸的是,上述病毒沒有造成太大的破壞,不到1萬臺電腦受此影響陷入了癱瘓。由于時差的關(guān)系,美國地區(qū)的防病毒公司在接到來自東半球的消息后,對病毒加以防范,成功抵制了病毒進(jìn)一步擴(kuò)散。

          ▲2001年6月19日

          一種名為“上帝信使”(GodMessage)的病毒創(chuàng)作工具引起防病毒專家們的關(guān)注。已經(jīng)有兩種利用該工具編寫的新的病毒變種出現(xiàn)。這種工具使得編寫病毒程序變得更為容易。而一旦這種工具普及開來,計算機(jī)安全問題也就更加嚴(yán)重了。GodMessage可以從黑客網(wǎng)站上下載,該工具允許黑客將ActiveX代碼置入到網(wǎng)頁上。當(dāng)IE瀏覽器用戶訪問被病毒感染的網(wǎng)頁時,瀏覽器就會自動下載一個壓縮程序,駐留在用戶本地硬盤上,等待下次啟動時解壓縮。不過迄今為止并未收到有關(guān)GodMessage所產(chǎn)生的代碼造成惡性事件的報告。

           

          ▲2001年7月26日

          新病毒偷窺先生(Sircam)雖剛現(xiàn)身不久,卻已迅速竄升至全球十大病毒排行榜的第二名,世界各地皆有感染災(zāi)情傳出。Sircam病毒主要是利用電子郵件進(jìn)行散播,用戶一旦執(zhí)行電子郵件所夾帶的附件,電腦即遭病毒的感染。病毒會隨著通訊簿中的名單一一尋找,并自動發(fā)送病毒郵件,由于此病毒的郵件主題與附件的名稱并不固定,用戶相當(dāng)難以防范,而郵件內(nèi)容又有英文及西班牙文兩種版本。

          ▲2001年8月1日

          一種惡意網(wǎng)頁病毒“蛤蟆病毒”爆發(fā)。“蛤蟆病毒”是一種惡意網(wǎng)頁病毒,主要感染Win95/98/2000操作系統(tǒng)。用戶一旦點(diǎn)擊該網(wǎng)頁,其嵌在網(wǎng)頁內(nèi)部的腳本程序?qū)⒆詣訄?zhí)行,并通過修改系統(tǒng)注冊表進(jìn)行破壞。啟動Windows系統(tǒng),屏幕上就會出現(xiàn)“歡迎來到萬花谷!請與oicq:933007青蛙聯(lián)系。你中了※蛤蟆奇毒※”,同時瀏覽器的標(biāo)題也被修改為帶有“歡迎來到萬花谷!請與oicq:4040465聯(lián)系!”字符串的后綴。這以后每當(dāng)打開一個網(wǎng)頁都將出現(xiàn)此信息。接下來C盤將會丟失,開始菜單中的“運(yùn)行”、“注銷”、“關(guān)閉”系統(tǒng)三項命令也不復(fù)存在,就連ALT+F4功能鍵都失去了效果,直至最后無法關(guān)機(jī);此外,MS-DOS方式也被病毒封殺,于是在DOS下訪問C盤更成為了妄想;最后強(qiáng)行關(guān)機(jī)重啟機(jī)器后,還將發(fā)現(xiàn)注冊表也受到了保護(hù),連手動恢復(fù)也不行。

           

          ▲2001年8月2日

          美國電腦專家表示,全球至少10萬臺電腦受“紅色代碼”?CodeRed 侵襲。美國國防部電腦網(wǎng)絡(luò)受到“紅色代碼”發(fā)作的影響,網(wǎng)速變慢,全球至少有8萬部電腦的伺服器遭受“紅色代碼”的襲擊。“紅蟲”病毒主要攻擊網(wǎng)絡(luò)服務(wù)器,安裝Windows2000和WindowsNT的電腦最易受感染。“紅蟲”于7月19日首次爆發(fā)時,影響超過25萬部電腦的伺服器,其中包括美國政府的電腦。

          ▲2001年8月13日

          8月11日,國內(nèi)已經(jīng)在北京、浙江、廣州、江蘇、四川等20多個省市發(fā)現(xiàn)了代號紅色二代病毒,大量網(wǎng)絡(luò)因服務(wù)器遭受攻擊而癱瘓,其中包括多家部委機(jī)關(guān)的網(wǎng)絡(luò)。不少人反映,國內(nèi)部分網(wǎng)站的電子郵件傳輸速度明顯下降,有的延遲達(dá)24小時以上。“代號紅色Ⅱ”的攻擊行為是罕見的“病毒加黑客”。病毒通過網(wǎng)絡(luò)釋放出一個木馬程序,為入侵者大開方便之門。“代號紅色Ⅱ”病毒木馬程序釋放后,意味著計算機(jī)黑客可以對被感染的計算機(jī)進(jìn)行全程遙控。

          ▲2001年9月7日

          一種名為Worm.IIS.CodeBlue(即“藍(lán)色代碼”)的新型惡性網(wǎng)絡(luò)蠕蟲病毒9月5日開始在我國計算機(jī)用戶中出現(xiàn)。“藍(lán)色代碼”是一種專門攻擊Windows2000系統(tǒng)的惡性網(wǎng)絡(luò)蠕蟲病毒。該病毒比“紅色代碼II”有更強(qiáng)大的攻擊性,計算機(jī)一旦感染該病毒,將大量占用系統(tǒng)內(nèi)存,導(dǎo)致系統(tǒng)運(yùn)行速度下降直至系統(tǒng)癱瘓。

          ▲2001年9月20日

          一種傳播迅速,破壞性極強(qiáng)的新型病毒“尼姆達(dá)”病毒W32.Nimda.A@mm正在互聯(lián)網(wǎng)上肆虐,Nimda蠕蟲病毒按字母的順序反過來讀就是“admin”,是系統(tǒng)管理員的意思。它是利用了微軟的UnicodeWebTraversalexploit.漏洞編寫的通過電子郵件傳播的新型蠕蟲病毒,病毒通過不斷搜索局域網(wǎng)內(nèi)共享的網(wǎng)絡(luò)資源,將病毒文件復(fù)制到?jīng)]有打補(bǔ)丁的微軟IISWebServer,病毒利用被感染計算機(jī)中用戶的通訊簿發(fā)送帶毒郵件,郵件帶有一個README.EXE的附件,但收件人無法看到該附件;大規(guī)模的郵件發(fā)送將導(dǎo)致網(wǎng)絡(luò)阻塞甚至癱瘓,同時病毒用自身的文件代替系統(tǒng)中的正常文件,改變系統(tǒng)的安全設(shè)置,導(dǎo)致系統(tǒng)出現(xiàn)重大安全隱患、無法正常工作甚至宕機(jī)。至今“尼姆達(dá)”病毒已使得全球數(shù)十萬臺電腦被攻擊。

          ▲2001年09月25日

          一種喬裝成讓用戶就美國政府是否應(yīng)該針對9·11恐怖事件向阿富汗動武進(jìn)行表決、但實(shí)際上目的在于刪除用戶計算機(jī)中的文件的新病毒在互聯(lián)網(wǎng)上出現(xiàn)。這種名為“戰(zhàn)爭投票”的病毒到目前為止尚未全面?zhèn)鞑ラ_來,它通過電子郵件的形式蔓延,主要攻擊裝有微軟Outlook電子郵件系統(tǒng)的計算機(jī)。

          ▲2001年10月26日

          我國計算機(jī)病毒應(yīng)急處理中心陸續(xù)接到用戶報告,反映計算機(jī)染上一種未知的新型病毒——“求職信”病毒。這種病毒通過電子郵件感染計算機(jī),郵件用英文書寫,內(nèi)容與求職有關(guān)。該病毒通過電子郵件、磁盤、局域網(wǎng)三種方式傳播。

          ▲2001年11月4日

          冠群聯(lián)想公司提醒用戶注意一種新型郵件病毒Redesi。據(jù)悉,該病毒通過偽裝成微軟產(chǎn)品的安全補(bǔ)丁或其它多種形式來借助電子郵件傳播,一旦受其感染,該病毒會在11月11日發(fā)作并格式化受染用戶的C盤,造成用戶計算機(jī)不能正常啟動和大批數(shù)據(jù)文件的丟失。計算機(jī)用戶還是應(yīng)該及早安裝專業(yè)防病毒軟件和及時更新反病毒代碼庫,保護(hù)自己的計算機(jī),遠(yuǎn)離病毒的破壞。

          ▲2001年11月9日

          從今年9月中旬開始在網(wǎng)絡(luò)上肆虐的“尼姆達(dá)”病毒近日出現(xiàn)新變種。這個新變種名為“尼姆達(dá)·E”。這個新病毒與原病毒的破壞效果一樣,但病毒中的一些文件已經(jīng)被重新命名,而且病毒的作者還在其中加入了一封信。電腦病毒作者的信很像普通軟件中的版權(quán)聲明,作者還惡作劇式地指出,他不喜歡自己設(shè)計的這種電腦病毒被稱為“尼姆達(dá)”,而希望它被叫做“概念病毒”。

          ▲2001年11月11日

          中國出現(xiàn)破壞性極強(qiáng)的“本·拉登”病毒。作為惡性網(wǎng)絡(luò)蠕蟲尼姆達(dá)?中國一號 病毒的變種,傳染能力和破壞性極強(qiáng)。病毒制造者針對一些殺毒軟件查殺尼姆達(dá)病毒的解決方案,對原病毒程序做了修改,并采用壓縮和加密技術(shù),將病毒信息加密,并在病毒中聲稱“這不是尼姆達(dá)”病毒。病毒可感染用戶使用的微軟視窗操作系統(tǒng)。該病毒利用微軟OUTLOOK的漏洞,當(dāng)用戶瀏覽含有病毒的郵件時,病毒就會對用戶的電腦進(jìn)行感染和破壞。一旦用戶將鼠標(biāo)箭頭移到帶有病毒體的郵件名上時,便受到該網(wǎng)絡(luò)蠕蟲的感染,被感染的電腦會自動發(fā)送大量帶有病毒的電子郵件。專家指出,這一病毒的破壞性等于“歡樂時光”和“藍(lán)色代碼”兩個惡性網(wǎng)絡(luò)蠕蟲病毒的總和。

          ▲2001年11月27日

          一種名為“Badtrans”(壞透了)病毒開始迅速蔓延。這種病毒英文名為I-WORM/Badtrans.b,通過微軟的Outlook侵入電腦系統(tǒng),它還能夠進(jìn)行自我復(fù)制,并將復(fù)制的病毒傳給微軟Outlook地址簿當(dāng)中的其它郵件地址。病毒攜帶一種鍵盤記錄程序,它可以記錄人們通過鍵盤錄入的信息,從而跟蹤用戶密碼或信用卡號碼。

          ▲2001年12月5日

          一種名為“無可救藥”的新型計算機(jī)病毒正在發(fā)作,這種病毒通過電子郵件傳播,具有很強(qiáng)的破壞力。“無可救藥”病毒是通過帶有附件的且主題為“你好”的郵件進(jìn)行傳播的,附件是寫有“你好嗎?”字樣的屏幕保護(hù)。它甚至能夠破壞計算機(jī)內(nèi)的殺毒軟件,因此破壞能力很強(qiáng)。

          ▲2001年12月6日

          一種以電子郵件傳播的新電腦病毒“Goner”(將死者),偽裝成一種屏幕保護(hù)程序,正快速入侵企業(yè)及個人電子郵件信箱,刪除和安全相關(guān)軟件的檔案。這種在附件上發(fā)現(xiàn)的病毒以“GONE.SCR”的文件名潛伏在被感染的電腦內(nèi)地址簿的所有名字中,一旦這個附件被打開,病毒就會自行寄給地址薄上的所有人,嘗試關(guān)閉正在運(yùn)作的程序,及刪除一些系統(tǒng)檔案,包括防病毒軟件。

          ▲2001年12月11日

          以色列警方逮捕了4名涉嫌制造并傳播新電腦病毒“將死者”?Goner 的少年。

          ▲2001年12月15日

          一種名為Gokar的群發(fā)郵件蠕蟲病毒開始在網(wǎng)上蔓延,大企業(yè)網(wǎng)絡(luò)系統(tǒng)如果感染該病毒,可能會陷入癱瘓。

          ▲2001年12月20日

          一種新發(fā)現(xiàn)的電腦病毒“Reeezak”開始在歐美傳播,它藏在“祝你新年快樂”的電子郵件內(nèi),預(yù)計會在圣誕和新年期間肆虐,令電腦用戶的“新年不快樂”。該病毒也稱W32.Zacker.C和W32.Maldal.C。它與最近出現(xiàn)的Goner病毒很相似,會摧毀視窗操作系統(tǒng)和微軟的Outlook程序。

          ▲2002年1月

          這個月benny又有新作問世,這一次他的目光不再是跨win32和linux平臺,而把目光轉(zhuǎn)向了,微軟的C#和.NET。

          這個病毒長度為8k,運(yùn)行后感染當(dāng)前目錄所有.net的可執(zhí)行文件,病毒的癥狀是彈出一個對話框:

          This cell has been infected by dotNET virus!

          .NET.dotNET by Benny/29A

          這個病毒并不駐留內(nèi)存,通過行為來看,其傳播能力有限,活躍的vxer中,benny是比較溫和的,很少見到他編寫的病毒大泛濫,這次他依舊傳承以往風(fēng)格,沒有散布病毒,而是直接提供給了反病毒企業(yè)。

          也許類似benny這樣的邪派高手,也有幾分正氣和自己的原則,只是為了證明,反病毒技術(shù)趨勢是在我的引導(dǎo)下前進(jìn)。但不論如何,反病毒產(chǎn)品和安全技術(shù),確實(shí)是在與惡意程序與攻擊手段的不斷對抗中發(fā)展進(jìn)步的的,這種對抗將貫穿信息技術(shù)發(fā)史,可能永遠(yuǎn)不會終結(jié)。

          ▲2002年2月

          第一個感染FLASH文件的病毒,就在本月誕生,與以往病毒不同的是,這是一個觸發(fā)式的“被動病毒”,長度為926個字節(jié),這種新病毒利用了某個Flash播放器漏洞,當(dāng)播放器播放一個受感染的文件時,就會產(chǎn)生錯誤,釋放出一個926個字節(jié)的v.com,并感染目錄下其他flash文件。顯然,這是接見了類似buffer overflow的手法,事實(shí)上,通過對各種播放器和編輯器的深入分析,都可能找到類似的漏洞。

          這個月另一個看點(diǎn)是myparty,雖然在國外傳的很猛的myparty在國內(nèi)沒有創(chuàng)造新高,不過也值得提防。

          從俄羅斯進(jìn)入的I-worm.myparty也用了類似的手法,而且有所“創(chuàng)新”,他把附件命名為www.myparty.yahoo.com,偽裝成了一個網(wǎng)址,誘騙用戶點(diǎn)擊,事實(shí)上,.com為擴(kuò)的文件是可以被直接執(zhí)行的,而且在微軟win32平臺下,沒有dos下嚴(yán)格的文件名限制,一個pe可執(zhí)行程序,無論擴(kuò)展名,為.bat、.exe、.com、.pif、.lnk等都可以直接運(yùn)行。

          I-worm.myparty此招一出,頓時有人效仿,馬上蹦出了一個附件名為http.www.sex.com的病毒。可能網(wǎng)民中的SOSEX一族又要吃些苦頭了。

          ▲2002年3月

          這個時候一個模仿成微軟更新公告的蠕蟲正在網(wǎng)上傳播,風(fēng)格象是一個典型的微軟安全公告,甚至還提及到幾周前微軟發(fā)布的一個真正的安全更新信息。他要求用戶執(zhí)行名為“q216309.exe”的附件,附件被執(zhí)行后,蠕蟲在用戶系統(tǒng)上開放后門,并象以往的Outlook蠕蟲那樣,通過用戶地址列表傳播。

          不過要說大毒還是I-Worm.Hybris蠕蟲的變種,這個蠕蟲的變形能力堪稱一絕,其發(fā)送標(biāo)題為Snowhite and the Seven Dwarfs的郵件,sexy virgin.src(18944字節(jié)),看起來似乎是一個屏保而且附件題目對男性頗有誘惑!!

          ▲2002年4月

          這個絕相對平靜一些:

          i-worm.porkis。這是一個通過Outlook來傳播的Internet蠕蟲病毒,它把自己做為附件:Porkis.exe發(fā)送地址薄中的所有聯(lián)系人。這個附件一旦運(yùn)行,蠕蟲會用意大利語顯示一個消息框。

          此蠕蟲病毒不僅拷貝自身到windows目錄,并建立一個新文件dllmgr.exe,還會修改注冊表以便在系統(tǒng)下次啟動時自動運(yùn)行。在重新啟動后,蠕蟲經(jīng)過短暫的延遲,它會試圖連接到系統(tǒng)默認(rèn)的SMTP服務(wù)器,并發(fā)送自己給所有地址薄中的聯(lián)系人。

          此病毒主要危害為侵占系統(tǒng)資源,造成大量的垃圾郵件。

          ▲2002年5月

          中文"求職信"

          一個以中文作為病毒主要偽裝信息的惡性郵件病毒出現(xiàn),帶毒郵件附件名為hello.exe,在偽裝信息和傳播方式上與目前正在流行的“求職信”病毒非常相似,不同之處在于,“求職信中文版”可以自動刪除擴(kuò)展名為exe、dll、dat、mp3、doc的文件。

          第一種通過Kazaa文件交換系統(tǒng)傳播的惡意程序。

          5月17日,有人報告發(fā)現(xiàn)了Benjamin蠕蟲。該蠕蟲對數(shù)據(jù)的破壞性不大,它不刪除信息,只是狂吃硬盤空間使得數(shù)據(jù)傳輸通道受阻,讓Kazza網(wǎng)絡(luò)用戶的通訊出現(xiàn)困難。

          Benjamin病毒的傳播方式是:創(chuàng)建對Kazaa網(wǎng)其他用戶開放的目錄,然后在這個目錄里使用病毒自身攜帶的名稱列表大量(可能數(shù)以千計)地進(jìn)行復(fù)制。當(dāng)網(wǎng)絡(luò)用戶搜索的名稱剛好和病毒攜帶的假名相同時,用戶就在不知不覺中從被感染的電腦上下載了病毒。下載以后,Benjamin 病毒發(fā)出一個假錯誤報告,警告用戶文件可能已被破壞,然后它卻在系統(tǒng)目錄里面自行復(fù)制,并在系統(tǒng)注冊表里面創(chuàng)建兩個鍵。

          除了吞噬硬盤空間之外,Benjamin 病毒還打開名為benjamin.xww.de的網(wǎng)頁,并展示廣告。5月20日上午,Benjamin.xww.de網(wǎng)站表示,它的域名被盜用,現(xiàn)已關(guān)閉。

          該病毒很容易清除,只要刪除被感染文件即可。

          5月20日,安全服務(wù)公司Riptech提醒用戶說,一種攻擊微軟公司SQL服務(wù)器數(shù)據(jù)庫的新型蠕蟲目前正在互聯(lián)網(wǎng)上蔓延。

          賽門鐵克、Network Associates公司和SecurityFocus公司也報導(dǎo)了該蠕蟲的蔓延現(xiàn)象,這種蠕蟲目前有多個名字,如SQLSnake、DoubleTap,專家稱該蠕蟲并不會造成大范圍的破壞。

          微軟一名發(fā)言人說,這種蠕蟲只會影響運(yùn)行SQL服務(wù)器7.0版本的系統(tǒng),因?yàn)樵摪姹镜南到y(tǒng)管理員的口令在默認(rèn)設(shè)置時為空。而SQL服務(wù)器2000則沒有設(shè)定默認(rèn)口令為空,因此這些系統(tǒng)也就不會受到攻擊。

          微軟于21日在公告中向企業(yè)客戶建議了一系列步驟,第一步就是要確保系統(tǒng)管理員口令不再為空。微軟表示,如果客戶安裝了4月17日發(fā)布的補(bǔ)丁程序,他們的計算機(jī)就會免遭這種蠕蟲的攻擊,該補(bǔ)丁程序可以從微軟網(wǎng)站上下載。

          Riptech公司建議用戶檢查所有系統(tǒng)的配置,立即禁用任何運(yùn)行SQL服務(wù)器的配置。另外,它還提醒他們千萬不要遠(yuǎn)程接入MSSQL 守護(hù)程序,因?yàn)橹挥蠾eb服務(wù)器、內(nèi)部應(yīng)用程序和其它可信系統(tǒng)才有權(quán)直接與SQL服務(wù)器交互。

          該蠕蟲病毒是使用Microsoft Visual Basic寫的,病毒的大小是28KB。病毒執(zhí)行時它會查看系統(tǒng)是否裝有MSN Messenger,病毒會發(fā)響應(yīng)的信息到MSN Messenger。信息如下:

          (Hej ... Kan vi inte ha c6 ? ... sn?lla ?)

          5月21日,Macfee證實(shí)專挑SQL服務(wù)器為攻擊對象的蠕蟲(Worm):SQLSPIDA.B已于菲律賓現(xiàn)身。該病毒會搜集相關(guān)信息并寄給特定的電子郵件地址,這將使得攻擊者可以借著后門程序,遠(yuǎn)程取得SQLServer的所有資料。

          趨勢科技建議使用者立即更新至最新病毒代碼并使用防毒軟件掃描,若是發(fā)現(xiàn)系統(tǒng)當(dāng)中有TROJ_SQLSPIDA.B、BAT_SQLSPIDA.B和JS_SQLSPIDA.B等程序,需立即將其刪除,并且徹底移除非內(nèi)部授權(quán)的系統(tǒng)管理者。

          SQLSPIDA.B是JavaScrip蠕蟲,它是由幾個Component文件所構(gòu)成,SQLSPIDA.B會復(fù)制相關(guān)組件至SQLServer系統(tǒng),以危害系統(tǒng)安全。其中的一個Component文件夾是BAT_SQLSPIDA.B,這個批處理文件主要是用來竊取IPaddress和隨機(jī)數(shù)產(chǎn)生password,以入侵SQL服務(wù)器。另外一個文件夾是Trojan_SQLSPIDA.B木馬程序,它會通過TCPport1433掃描SQLServers的IPaddresses。由于它會使用100個線程(thread)進(jìn)入這個Port,并試圖產(chǎn)生1萬次的連接以致造成局域網(wǎng)絡(luò)帶寬受阻。

          一旦SQLSPIDA.B成功地完成所有動作,它將會在現(xiàn)行目錄下產(chǎn)生一個“.OK”的文件夾,否則將產(chǎn)生“.FAIL”文件夾。從某些組件文件夾中,可以發(fā)現(xiàn)以下病毒作者留下的字符串,看來他還想跟熱門電影SpiderMan蜘蛛俠沾上邊呢!

          ▲2002年6月

          VBS/Chick-F,來踢球!!

          據(jù)Sophos抗病毒公司稱,“VBS/Chick-F”病毒以電子郵件的形式傳播,它作為壓縮的HTML文件以附件存在。郵件的主題為:“回復(fù):韓日世界杯賽事結(jié)果”,一旦該附件被執(zhí)行,此時計算機(jī)屏幕將顯示“利用activeX(微軟倡導(dǎo)的activeX網(wǎng)絡(luò)化多媒體對象技術(shù))瀏覽韓日世界杯賽事結(jié)果。”

          如果ActiveX被激活,病毒將對在計算機(jī)的所有硬盤上搜索IRC可執(zhí)行文件。一旦文件被搜索到,該病毒將作為“koreajapan.chm”文件被自動復(fù)制到C盤中。此后,該病毒將向“Microsoft Outlook”通訊簿中的第一個用戶發(fā)送同樣主題的電子郵件。

          Sophos公司高級技術(shù)顧問Graham Culley表示:“病毒的作者正是看準(zhǔn)了球迷想了解比賽結(jié)果的急切心理。”Sophos公司亞洲常委董事Charles Cousins稱,到目前為止,公司還沒有接到有關(guān)計算機(jī)感染的報告。但自從本周四以來,陸續(xù)有用戶向支持中心咨詢該病毒。目前,Sophos公司尚未檢測到病毒的發(fā)源地,但公司表示,這種病毒不會大規(guī)模爆發(fā)。

          早在5月份Sophos公司就警告球迷,世界杯期間不要隨下下載文件,以免遭病毒的入侵。

          據(jù)悉,世界杯期間最惡毒的病毒產(chǎn)生于1998年法國世界杯。這種病毒要求用戶在兩支球隊之間選擇比賽勝負(fù)結(jié)果,如果用戶選錯結(jié)果,就會引發(fā)病毒代碼,并導(dǎo)致硬盤的所有文件丟失。

          與此同時微軟傳出消息,他們被病毒感染了!!

          全球第一大軟件制造商美國微軟公司表示,該公司在不經(jīng)意中發(fā)布了一個韓語版的在線服務(wù)開發(fā)軟件,這個韓語版的在線服務(wù)開發(fā)軟件被臭名昭著的尼姆達(dá)病毒感染了。

          微軟公司稱,他們是在韓語版的微軟Visual Studio .NET開發(fā)軟件中發(fā)現(xiàn)這個病毒的。微軟公司表示,這個病毒預(yù)計不會造成任何破壞,因?yàn)樗鼘?shí)際上是處于睡眠狀態(tài)的,這個病毒所在的位置是在軟件一個相對安全的地方,不會出現(xiàn)被激活的危險。微軟公司產(chǎn)品部門經(jīng)理克里斯托弗-弗勞萊斯(Christopher Flores)表示,公司已經(jīng)發(fā)布了補(bǔ)丁軟件和干凈的、沒有病毒的新版本軟件。

          弗勞萊斯稱,這個病毒是微軟公司的一個員工在5月末發(fā)現(xiàn)的,病毒藏身于一個壓縮的、不經(jīng)常使用的文件中。這個文件來自一家?guī)椭④浌鹃_韓語版在線服務(wù)開發(fā)軟件的公司,由于這個軟件投放市場還不到90天,因此它不會造成大的危害。弗勞萊斯表示,“我們已經(jīng)對產(chǎn)品開發(fā)過程采取了嚴(yán)肅的監(jiān)控步驟,保證此類問題不再發(fā)生。我們對這家公司的產(chǎn)品過于信任,沒有詳細(xì)檢查這個文件的內(nèi)容。”

          6月6日下午,一種新的智能型病毒“中國黑客”病毒被瑞星、金山、江民等公司發(fā)現(xiàn)。在分析之后發(fā)現(xiàn),它是繼“中文求職信”之后的又一個國內(nèi)病毒編寫者制造的“高級”病毒,其傳染力與“紅色代碼”不相上下。

          據(jù)某公司技術(shù)副總經(jīng)理談文明介紹,這是一個罕見的“智能型”病毒,目前被截獲的只是該病毒的初級版本,許多實(shí)質(zhì)性的破壞程序并沒有加載在病毒上,但是病毒的編寫者已經(jīng)準(zhǔn)備好所有的程序接口,病毒隨時通過各種方法來傳染,而且速度極快,能夠繞過殺毒軟件的層層關(guān)卡進(jìn)入機(jī)器內(nèi)存。由于該病毒通過郵件傳染(生成以被感染機(jī)器名開頭的.eml文件),具備自啟動功能,在Outlook中一旦被點(diǎn)中就會自動啟動,它會把自身拷貝到Windows/system 32的目錄下,并命名為Runouce.exe機(jī)器,同時啟動這個文件。

          6月13日,McAfee 向新聞界發(fā)布了有關(guān) W32/Perrun病毒的消息。McAfee稱,該病毒是第一個感染JPEG文件的病毒。用戶和反病毒軟件銷售商對McAfee Security的這個做法提出了質(zhì)疑。

          McAfee 稱,從病毒作者那里得到的Perrun 病毒利用可執(zhí)行文件感染圖像文件,然后再試圖擴(kuò)大感染至同文件夾的其它圖像文件。該病毒依賴于可執(zhí)行文件,沒有該類文件便無法發(fā)作。

          當(dāng)時,McAfee 反病毒應(yīng)急小組(McAfee AVERT)高級主管Vincent Gullotto稱,該病毒的發(fā)現(xiàn)有可能導(dǎo)致重新制作反病毒程序。該病毒也有可能因此會出現(xiàn)變種,它們將把病毒的可執(zhí)行部分嵌在圖像文件或網(wǎng)絡(luò)中。

          自從 McAfee 發(fā)布該病毒以來,瀏覽網(wǎng)頁和電子郵件列表的用戶對Gullotto 所說的可執(zhí)行文件可能被嵌入JPEG文件的說法爭論不休。

          甚至Gullotto的一些反病毒界的同事也持有不同意見。McAfee的競爭對手Sophos PLC 反病毒公司當(dāng)時也對新聞界發(fā)表了看法,認(rèn)為該病毒沒有那么嚴(yán)重。Sophos 在McAfee宣布發(fā)現(xiàn)該病毒前就已經(jīng)在實(shí)驗(yàn)室將此病毒研究了兩天,但他選擇了沉默,因?yàn)樵摬《?#8220;真的只是為了證明一種概念,它看似嚴(yán)重,卻不會造成什么后果。”

          Gullotto 承認(rèn),目前,將可執(zhí)行文件嵌入JPEG文件可能無法成功。但他強(qiáng)調(diào),McAfee 更關(guān)心的還是將來。因?yàn)殡S著軟件和文件類型的改變,圖像文件和其它數(shù)據(jù)文件有可能會增加運(yùn)行可執(zhí)行文件的能力,這就會使該病毒成為一個問題。

          6月20日左右

          一種神秘的手機(jī)病毒在山東省淄博市首次被發(fā)現(xiàn)。

          在聯(lián)通公司客戶服務(wù)中心的受理記錄上,記載了王先生這款諾基亞5110型手機(jī)瞬間失靈的過程:王先生的手機(jī)在不到1分鐘時間內(nèi)連續(xù)接收到3條短信息,在未閱讀的情況下,這3條短信息自動進(jìn)行了存儲。后來,王先生在打開這3條短信息的操作過程中,手機(jī)突然失靈,鍵盤不能操作。

          據(jù)聯(lián)通公司技術(shù)人員介紹,正常情況下,手機(jī)收到短信息后,手機(jī)屏幕會顯示“×條新信息”,需要機(jī)主按顯示鍵閱讀,而這3條短信息發(fā)來后,手機(jī)卻自動進(jìn)行了儲存。技術(shù)人員在征得王先生的同意后,對手機(jī)進(jìn)行了拆解,設(shè)法打開了這3條短信息,手機(jī)顯示屏上顯示,這3條短信息全部是亂碼。隨后,技術(shù)人員將3條短信息刪掉,重新組裝后,手機(jī)恢復(fù)正常。

          經(jīng)查詢相關(guān)資料,技術(shù)人員確認(rèn),這款諾基亞手機(jī)遭受了病毒侵害,目前尚不知道該病毒的名稱、發(fā)作規(guī)律、對手機(jī)的損害程度。據(jù)技術(shù)人員介紹,該病毒主要傳播途徑是“點(diǎn)對點(diǎn)”發(fā)送短消息和從網(wǎng)上下載鈴聲。

          ▲2002年7月

          英文名為W32/Lavehn.A的蠕蟲病毒傳入國內(nèi),這個蠕蟲病毒會刪除被感染主機(jī)上的以.xls, .doc, .mdb, .mp3, .rpt, 或.dwg等為擴(kuò)展名的所有文件。當(dāng)這個病毒運(yùn)行時,它會發(fā)送自己到被感染主機(jī)上的Microsoft Outlook地址簿中的所有聯(lián)系人。該病毒通過修改系統(tǒng)注冊表來達(dá)到自動執(zhí)行病毒文件的目的,它會把自己拷貝到windows系統(tǒng)目錄下,通過把值%System%"UNHEVAL.EXE添加到以下注冊表項:

          HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows"CurrentVersion"Run

          HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows"CurrentVersion"RunServices ,達(dá)到系統(tǒng)啟動時自動執(zhí)行病毒的目的。

          美國東部時間7月15日(北京時間7月16日),一種名為“Frethem.J”的新型計算機(jī)病毒開始在互聯(lián)網(wǎng)上傳播。

          現(xiàn)在我們已經(jīng)揭開了Frethem.J神秘面紗,它是一個新的電子郵件蠕蟲病毒。作為主要的特征,這個蠕蟲能夠自動運(yùn)行電子郵件中的附件,因?yàn)樗玫氖荌E5.01和5.5所存在的漏洞。

          Frethem.J會通過e-mail發(fā)送到你的電腦,主題是Re: Your password!郵件內(nèi)容如下:

          ATTENTION!

          You can access very important information by this password DO NOT SAVE

          password to disk use your mind now press cancel(“你可以通過這一密碼獲得非常重要的信息,請不要保存密碼,記下它然后點(diǎn)擊取消鍵。”)這封郵件包括兩個文件password.txt和decrypt-password.exe 后面這個文件一般包含病毒。

          由于IE的漏洞,不管用戶是不是手動打開這個文件,這個文件都會被運(yùn)行,它會常駐到內(nèi)存,在進(jìn)程里面會有一個taskbar 的進(jìn)程。

          此后,F(xiàn)rethem.J會從注冊表和Outlook Express中收集它所要攻擊的帳號信息。另外,它還會尋找電腦的e-mail服務(wù)器的配置信息,來建立與它之間的直接連接,因此用戶就無法察覺他的電腦正在向外發(fā)送帶毒郵件。

          最后,F(xiàn)rethem.J會在注冊表里面建立一個入口,當(dāng)系統(tǒng)重啟的時候能夠保證它的活動不受干擾。

          (Win32.Hezhi) 病毒,這種病毒較以往的最大的不同之處就是,該病毒采用了很高的加密及反跟蹤技術(shù),因而不但具有很強(qiáng)的隱蔽性,且不易為一般防病毒軟件所查殺。該病毒還有幾個別名:Win32.Flagger、Win95/Gundam.12618、Win32.Hezhi。

          Win95.Flagger是一個駐留內(nèi)存的多變型病毒,可感染 Windows 95/98/NT/2000系統(tǒng)的 PE 可執(zhí)行文件。可通過任何無保護(hù)的網(wǎng)絡(luò)共享進(jìn)行傳播,因此病毒會最先感染共享目錄中的可執(zhí)行文件,并且它還會將自身登記為一個服務(wù)進(jìn)程,使用戶在斷網(wǎng)時病毒仍然能夠工作(只在Windows 9x下)。另外,由于在Windows 9x系統(tǒng)中該病毒使用了虛擬設(shè)備驅(qū)動(VxD)技術(shù),因此病毒的執(zhí)行效率較高。在被激活的情況下,用戶只需進(jìn)行打開或右鍵點(diǎn)擊或刷新圖標(biāo)等動作,病毒就可以進(jìn)行感染。在11月20日,該病毒會將對可執(zhí)行文件的感染操作改為刪除,而且該病毒會刪除任何以AVCONSOL開始的文件。

          ▲2002年8月

          重大病毒沒有出現(xiàn)——看樣子病毒也休暑假!!

          ▲2002年9月

          這個絕好像沒有太有特色的新病毒。

          不過此時的TaiChi病毒發(fā)作日期將近,這個病毒比以往的病毒特殊一些,是一個純種的WinNT病毒,技術(shù)上有SFCpatch和NTPatch以及LSApatch,應(yīng)該說是功能上集合數(shù)款病毒之常的東西,值得一提的是他的NT專用感染方式使感染變得更加快速,不可預(yù)測.其發(fā)作癥狀是把WinNT的開機(jī)畫面換成一個29A的圖像。該病毒出自29A的Ratter之手。

          ▲2002年10月

          Thursday, October 17 2002 5:34 PM Bugbear病毒(也叫Tanatos)可能不是某種全新的蠕蟲病毒;它看起來象去年的Badtrans病毒的一個變種。但它卻是目前互聯(lián)網(wǎng)上傳播最快的病毒。 (ps::只瘋狂了兩個星期就開始下臺了!!)

          在度過了幾個沒有大的病毒爆發(fā)的平靜月份之后,反病毒公司提醒計算機(jī)用戶小心一個類似尼姆達(dá)病毒的復(fù)雜的病毒。但是,Bugbear其實(shí)是一段并不特別惡意的針對Windows病毒代碼,卻成為近日大家矚目的焦點(diǎn),它怎么能夠這么快就有這么廣泛的影響呢?

          首先,Bugbear病毒非常具有欺騙性。被感染的電子郵件被冠以諸如“Get 8 free issues--no risk”或者“My eBay ads”這樣的標(biāo)題,這樣它們就會冒充普通的垃圾郵件進(jìn)入你的收件箱。和Sircam蠕蟲病毒一樣,Bugbear病毒對于回復(fù)地址進(jìn)行了偽裝,所以你不能夠找出是誰把這封被感染的電子郵件發(fā)送給你的。

          該病毒對被感染的電子郵件的附件的后綴名也進(jìn)行了偽裝,這樣用戶可能會以為附件是某種類型的文件,而實(shí)際上它卻是另外一種文件。所以,比如說附件的后綴名可能表示它是個“.jpg”文件,可實(shí)際上它卻是個“.exe”文件。

          即使不打開附件,Bugbear病毒也可以通過利用一個已知的微軟IE的漏洞來感染你的電腦。由于Outlook使用IE來查看HTML格式的郵件,所以只要在Outlook中預(yù)覽這個郵件就足以使你的電腦受到感染了。IE 6.0的用戶不會受到Bugbear病毒的感染。對于IE 5.01和5.5的用戶,微軟在18個月前提供了一個補(bǔ)丁:MS01-020。尼姆達(dá)病毒在一年前也是利用了同樣的漏洞。

          其次,Bugbear病毒的傳播速度非常之快。在一個網(wǎng)絡(luò)中,它只需要一個可被感染的系統(tǒng)就有了立足點(diǎn)。一旦它感染了一個未被保護(hù)的系統(tǒng),它就可以傳播到另一臺電腦--甚至打印機(jī)--通過137端口開放的NETBIOS文件共享。如果Bugbear病毒感染了一臺網(wǎng)絡(luò)打印機(jī),它將導(dǎo)致該打印機(jī)不能正常工作,比如打印很多張只有一行內(nèi)容的紙。去年的尼姆達(dá)病毒也會影響打印機(jī)。

          第三,Bugbear病毒非常難以被清除。一旦該病毒感染了一個網(wǎng)絡(luò),除非所有的病毒傳播路徑都被切斷了,否則IT部門的維護(hù)人員根本不可能把它清除。幾個IT部門報告說當(dāng)他們在五樓清除該病毒的時候,它流竄到了四樓,或者某個衛(wèi)星辦公室之中。

          第四,和今年早些時候發(fā)作的Klez病毒一樣,Bugbear病毒關(guān)掉了幾乎所有主要的桌面防火墻和殺毒軟件。如果你不能夠確定自己的機(jī)器是否感染了Bugbear病毒,請檢查一下你的放火墻和防病毒軟件是否工作正常。

          Bugbear病毒最危險之處在于它包含了一個可以記錄你鍵盤輸入的特洛伊木馬軟件。這就意味著這個病毒的編寫者可以通過監(jiān)聽TCP端口36794來獲取你在你被感染了的機(jī)器鍵盤上所進(jìn)行的所有操作的信息,包括你的信用卡號碼和你的密碼。這個特洛伊木馬軟件讓惡意用戶可以遠(yuǎn)程接入你的機(jī)器,刪除或者添加文件而不須經(jīng)過你的許可。而且,惡意用戶可以調(diào)動全世界范圍內(nèi)被感染的機(jī)器進(jìn)行一場協(xié)作分布式拒絕服務(wù)攻擊。不過到目前為止,還沒有明顯證據(jù)表明已經(jīng)有人成功地這樣做了

          ▲2002年12月

          12月27日,趨勢科技發(fā)布WORM_WINEVAR.A中度風(fēng)險病毒警報。這只名為四角獸「WORM_WINEVAR.A」的新病毒,利用電子郵件方式,迅速在全球各地擴(kuò)散。尤以歐洲地區(qū)最為嚴(yán)重,目前已有數(shù)千臺計算機(jī)受感染,在韓國、美國也有零星災(zāi)情傳出。此病毒感染行徑類似日前掀起軒然大波的求職信系列病毒。

          WORM_WINEVAR.A病毒攻擊手法和先前造成軒然大波的WORM_KLEZ求職信系列病毒類似,不需執(zhí)行郵件附件,只要預(yù)覽此病毒信件,就會受到病毒感染,而且一旦不小心中毒,病毒便會大量寄發(fā)郵件給通訊簿中的人,造成服務(wù)器的負(fù)荷。此外,此「WORM_WINEVAR.A」病毒行為詭譎,專找IE漏洞,冒名大量發(fā)送電子郵件,還會卸載防毒軟件以及監(jiān)控程序。用戶一但中毒后,下次再次開機(jī)時,會讓用戶硬盤中所有資料瞬間化為烏有,此外在桌面會出現(xiàn)一個explorer.pif的圖標(biāo),最狡猾的是,病毒信件發(fā)件人為:「計算機(jī)系統(tǒng)注冊的名字或收件者」,主題是:「N`4_被感染計算機(jī)所登記的組織名字」,由于主題只有N`4是固定的,后面則會隨機(jī)變化,所以不易被防毒軟件攔截,并且不易防范,用戶容易誤以為是某組織所寄送出來的通知信,一時不察開啟此信件后便中毒了。

          ▲2003年1月

          巨無霸”Worm. SoBig.65536★★★★傳播方式:郵件

          蠕蟲“巨無霸”驚現(xiàn)。最近發(fā)現(xiàn)并引起人們注意的郵件蠕蟲病毒是W32/Sobig.A,MessageLabs1月9號在荷蘭首先發(fā)現(xiàn)了該病毒,并迅速在全球各地蔓延開來,由于病毒郵件的發(fā)件人總是big@boss.com,該病毒被命名為Sobig。病毒是一個帶有SMTP引擎的大規(guī)模郵件病毒,也可以通過網(wǎng)絡(luò)共享方式傳播,還會從Geocities的一個網(wǎng)站下載一個TXT文件,該文件包括一個URL可以用來下載木馬程序。還可以通過在感染者硬盤上搜索特定文件來獲得大量郵件地址,也可以搜集地址簿和收件箱中的郵件地址發(fā)送病毒郵件。該病毒全稱Worm. SoBig.65536,傳播速度極快,危害性更是超過了前一段時間鬧的很洶的“硬盤殺手”。

           “巨無霸”病毒感染后會修改注冊表中的系統(tǒng)啟動項,讓病毒程序自動加載,病毒郵件的主題是"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...,附件名為"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...,郵件內(nèi)容為:”Attached file:”。有經(jīng)驗(yàn)的網(wǎng)管可以編緝相應(yīng)的郵件規(guī)則,在服務(wù)器端拒收此類郵件,可免遭“撒旦”的攻擊。

          DDos攻擊Hack.DDoSer.63600★★傳播方式:文件

          這是一個用VC++編寫的黑客程序,程序采用UPX1.08壓縮,是連接很多人對目標(biāo)機(jī)器進(jìn)行DDos攻擊的工具。傳播速度一般,具有一定的危害性,運(yùn)行后會不斷的訪問網(wǎng)絡(luò)對目標(biāo)機(jī)器進(jìn)行工具,除了耗一些資源和占用帶寬外,對本機(jī)無害,會修改注冊表的啟動項,指向系統(tǒng)目錄的文件Kernel32.exe。手工清除的方法:直接刪除該文件,恢復(fù)注冊表即可。

          密碼圣手1.0服務(wù)端Trojan.mmss10Srv.20992★★傳播方式:文件

          這是一個用VC++編寫的黑客程序,程序采用UPX壓縮,主要針對現(xiàn)在所流行的網(wǎng)絡(luò)游戲所編寫,適用游戲:Oicq,傳奇,奇跡,精靈,武魂,紅月,決戰(zhàn),倚天,魔力寶貝,石器時代,邊峰,大話西游,千年,遺忘傳說,天使,等。有一定的傳播速度,對游戲玩家造成很大的危害。此病毒駐留內(nèi)存,攔截游戲密碼,然后把密碼發(fā)送到下毒者的郵箱,郵箱地址位于木馬程序的0x64a位置,沒有使用加密機(jī)制。手工清除的方法:直接刪除該文件即可。

          修理你Joke.Fixyou.294912

          ★★傳播方式:文件

          這是一個用VC++的MFC編寫的玩笑程序,程序的注釋中標(biāo)明:整人專家之精靈衛(wèi)士,既可當(dāng)作電腦安全衛(wèi)士(防止他人亂動您的電腦),也可當(dāng)作一惡作劇程序(用它來整人。當(dāng)然,前提是對方不知道關(guān)閉它的方法)。軟件關(guān)閉有兩種方法:第一種是按下Ctrl鍵,同時點(diǎn)鼠標(biāo)右鍵(Ctrl+鼠標(biāo)右鍵)。第二種是按下Alt鍵,同時按F8鍵(Alt+F8)既可關(guān)閉。傳播速度和危害性都比較小。運(yùn)行后會有一只灰白的熊在屏幕上爬動,所有的鍵盤操作被停止,包括Ctrl+Alt+Delete鍵。手工清除的方法:關(guān)閉該程序后,直接刪除該文件即可。

          2003年1月25日,互聯(lián)網(wǎng)遭遇到全球性的病毒攻擊。這個病毒名叫Win32.SQLExp.Worm,病毒體極其短小,卻具有極強(qiáng)的傳播性,它利用Microsoft SQL Server的漏洞進(jìn)行傳播,由于Microsoft SQL Server在世界范圍內(nèi)都很普及,因此此次病毒攻擊導(dǎo)致全球范圍內(nèi)的互聯(lián)網(wǎng)癱瘓,在中國80%以上網(wǎng)民受此次全球性病毒襲擊影響而不能上網(wǎng),很多企業(yè)的服務(wù)器被此病毒感染引起網(wǎng)絡(luò)癱瘓。而美國、泰國、日本、韓國、馬來西亞、菲律賓和印度等國家的互聯(lián)網(wǎng)也受到嚴(yán)重影響。這是繼紅色代碼、尼姆達(dá),求職信病毒后又一起極速病毒傳播案例。所以“蠕蟲王”蠕蟲的出現(xiàn),應(yīng)該成為一個傳奇……

          ▲2003年2月

          硬盤殺手新變種 Worm.OpaSoft.18432.g ★★★★ 傳播方式:文件

          此病毒運(yùn)行之后所作的第一件事情就是刪除原來流行的“opasoft”病毒,從文件到注冊表,清理得倒是干干凈凈。不過也不奇怪,這個病毒本來就是屏幕保護(hù)病毒的一個變種。

          ▲2003年3月

          惡郵差 Worm.Supnot.78858.c ★★★★ 傳播方式:郵件

          四級惡性蠕蟲病毒“惡郵差”英文名稱Worm.Supnot.78858.c,是蠕蟲Supnot的最新變種,且改進(jìn)了以前版本通過郵件傳播方面的性能,手段極其“惡毒”。

          “惡郵差”病毒典型破壞行為是能夠根據(jù)收件箱中的郵件內(nèi)容自動回復(fù)郵件,每封郵件的附件中均攜帶病毒副本。由于接收者看到的是對已發(fā)送郵件的回信,很可能會打開過該郵件導(dǎo)致中招。由此郵件服務(wù)器可能會在極短時間內(nèi)不堪重負(fù)而崩潰。病毒運(yùn)行后會搜索本地目錄,通過收件箱中的郵件地址向外發(fā)送帶毒郵件傳播自身。病毒會根據(jù)收件箱里面的郵件回復(fù)帶毒郵件給原始發(fā)件人,這時的帶毒郵件的主題和內(nèi)容就跟原始郵件有關(guān)。

          口令蠕蟲 Worm.DvLdr ★★★ 傳播方式:探測445端口連接窮舉破解密碼

          該蠕蟲主要攻擊系統(tǒng)為NT/2000平臺,通過探測445端口方式窮舉管理員密碼,并殖入一個后門程序使得該機(jī)器的安全性降低到0。金山毒霸反病毒應(yīng)急處理中心緊急提醒大家,一定要給自己的超級用戶設(shè)定一個安全、強(qiáng)壯的密碼。

          病毒類型:PE蠕蟲。

          該病毒體較大,包含數(shù)個可執(zhí)行文件。主體程序?yàn)镈vLdr32.exe,為VC++6編寫,并采用aspack壓縮過。病毒自帶了兩份命令行工具,分別是psexesvc和Remote process launcher,均為sysinternals發(fā)布的正常網(wǎng)絡(luò)工具。并附帶有一份安裝包,負(fù)責(zé)在攻擊成功之后,在宿主機(jī)器上安裝VNC遠(yuǎn)程控制工具。

          該蠕蟲運(yùn)行后,隨機(jī)選擇兩個IP段,連接對方445端口,該端口為Samba為和NT系統(tǒng)進(jìn)行文件共享而開設(shè)端口。如果蠕蟲連接此端口成功,則使用自身附帶的一份字典進(jìn)行窮舉探測對方的administrator用戶密碼,一旦探測成功獲得對方超級用戶密碼,則拷貝自身進(jìn)入系統(tǒng)。

          紅色代碼變種 CodeRed.F ★★★ 傳播方式:IIS

          紅色代碼的最新變種病毒,主要是利用微軟IIS遠(yuǎn)程緩存溢出漏洞獲得系統(tǒng)權(quán)限。然后在這個感染的Web服務(wù)器上植入木馬程序,給攻擊者完全的訪問權(quán)限,并嚴(yán)重威脅網(wǎng)絡(luò)安全。該最新變種對Windows 95, 98和ME系統(tǒng)不會造成危害,對Windows NT、2000系統(tǒng)上沒有安裝使用IIS的用戶也沒有危害。該變種病毒只攻擊沒有打微軟MS01-033補(bǔ)丁的IIS服務(wù)器。與紅色代碼前輩的區(qū)別僅在于,該變種病毒在低于34952的年份都可以運(yùn)行。

          一旦遭受感染,網(wǎng)絡(luò)安全就會受到嚴(yán)重威脅。但只有沒有安裝最后的IIS service pack的系統(tǒng)才會受影響。CodeRed.F是2001年出現(xiàn)的CodeRedII的變種,僅作一點(diǎn)修改。

          ▲2003年4月  

          經(jīng)過了1-3月的鬧騰,終于靜下來了,不過更大的危機(jī)在后面

          ▲2003年5月

          5月19日,Worm.SoBig.b,是1月11日在網(wǎng)絡(luò)上首次泛濫的“大無極病毒(Worm.sobig)”的一個新變種。該病毒發(fā)源于荷蘭,已于5月19日在美國、英國大面積泛濫

           

          ▲2003年6月

          發(fā)現(xiàn)新的蠕蟲,Tanatos 變種“Tanatos.b” (aka Bugbear.b)。該版含有大量的破壞性功能,它可以感染保存在硬盤上很多程序的執(zhí)行文件,同時還可以使被感染計算機(jī)上的機(jī)密信息外流。目前已發(fā)現(xiàn)了大量被感染案例。蠕蟲為Windows應(yīng)用程序(PE EXE文件),大約72Kb(用UPX大包)。展開尺寸170Kb。是用Microsoft Visual C++寫成。

          6月5日下午::一個來勢迅猛的蠕蟲病毒,命名為“姆瑪”(Bat.muma)。該病毒采用批處理命令編寫,并攜帶端口掃描工具,采用猜密碼的方式暴力破解局域網(wǎng)中的其它的計算機(jī),而且程序使用一個死循不停的掃描局域網(wǎng)中的計算機(jī),由于病毒自身的BUG,一旦在循環(huán)中出錯,就會不停的彈出出錯的對話框,使本地系統(tǒng)資源巨量消耗,直至死機(jī)。如果破解成功便瘋狂的復(fù)制自身,造成網(wǎng)絡(luò)的資源的極大浪費(fèi),最終阻塞網(wǎng)絡(luò)。


          只有注冊用戶登錄后才能發(fā)表評論。


          網(wǎng)站導(dǎo)航:
          相關(guān)文章:
           
          主站蜘蛛池模板: 曲麻莱县| 张家界市| 老河口市| 汕头市| 同仁县| 山东| 西林县| 卓尼县| 南皮县| 巨鹿县| 微博| 额尔古纳市| 登封市| 仙居县| 南皮县| 宜宾市| 宁南县| 泰和县| 新昌县| 铁岭市| 河北区| 曲水县| 云和县| 吉木乃县| 轮台县| 威信县| 即墨市| 玉龙| 堆龙德庆县| 长葛市| 伽师县| 凤台县| 南郑县| 西乌珠穆沁旗| 六盘水市| 平远县| 简阳市| 伊宁县| 皮山县| 延吉市| 威海市|