誰打開了潘多拉的魔盒
顯然,在巴貝奇的差分機上不存在任何病毒,早期基于電子管的電子計算機,比如說埃利亞特,也不可能有電腦病毒存在。但是Univac 1108,一個很古老的公司,一種很古老的機器,以及IBM360/370機器上,已經有一些可以看成是病毒的程序存在,比如“流浪的野獸”(Pervading Animal)和“圣誕樹”(Christmas tree),因此,可以認為最早的病毒出現在七十年代初甚至六十年代末,雖然那時候沒有任何人稱這些程序為病毒。
一般意義上的病毒(可以運行在IBM PC機及其兼容機上)一般認為是在1986年左右出現的。從那以后的十五年時間里,出現了大概6萬余種病毒,病毒的數量不斷增大,和病毒制作的技術也逐步提高,從某種意義上,病毒是所有軟件中最先利用操作系統底層功能,以及最先采用了復雜的加密和反跟蹤技術的軟件之一,病毒技術發展的歷史,就是軟件技術發展的歷史。
下面我們將盡可能詳細的描述病毒發展歷史上的重要事件,以及這些事件的背景。
萌芽時期,磁芯大戰
五十年代末六十年代初,在著名的美國電話電報公司(AT&T)下設的貝爾實驗室里,三個年輕的程序員:道格拉斯、維索斯基和羅伯特•莫里斯,在工作之余編制了一個叫“磁芯大戰”(core war)的游戲。“磁芯大戰”基本的玩法就是想辦法通過復制自身來擺脫對方的控制并取得最終的勝利,這可謂病毒的第一個雛形。雖然由于這種自我復制是在一個特定的受控環境下進行的,所以不能認為是真正意義上的病毒,但是這些軟件的基本行為和后來的電腦病毒已經非常類似了。
六十年代晚期到七十年代早期:
這個時候是大型電腦的時代,就是那種占據了幾個房間的大家伙。在大型電腦時代,由于開發人員的錯誤或者是出于惡作劇的目的,一些程序員制作了被稱為“兔子”的程序,他們在系統中分裂出替身,占用系統資源,影響正常的工作,但是這些“兔子”很少在系統之間相互拷貝。
這個時期,在一種型號的大型電腦—Univax 1108系統上,首次出現了和現代病毒本質上是一樣的東西,一個叫做“流浪的野獸”(Pervading Animal)的程序可以將自己附著到其它程序的最后!
七十年代上半葉:
“爬行者”病毒,出現在一種叫做泰尼克斯(Tenex)的操作系統上,這個病毒可以通過網絡進行傳播(又一個偉大的進步,當然不是現在意義上的因特網,那個時代的網絡就是一對一的,通過調制解調器—就是你上網用的“貓”,將一臺電腦和另外一臺相連接)。一種叫做“清除者”(Reeper)的程序也被開發出來專門對付“爬行者”,這可能就是病毒和反病毒的第一次戰爭。
八十年代早期
電腦已經在國外變得非常普遍了,出現了最早的獨立程序員,他們在為公司工作的同時,出于興趣的原因,寫了很多游戲或者其他的小程序,這些程序可以通過電子公告板(BBS)自由的流傳,竊取帳號和密碼成了所有愛好者所夢寐以求的事情,也是體現他們在這個社區獨特價值的最好機會,所以在這一時期誕生了無數的特洛伊木馬(Trojan horses),他們盡力將自己偽裝得和真正的登錄程序和提示程序一模一樣,這樣就可以騙取不明真相用戶的密碼了。
BBS電子公告板:BBS(Bulletin Board Service)是Internet上的一種電于信息服務系統。它提供一塊公共電子白板,每個用戶都可以在上面書寫,可發布信息或提出看法。大部分BBS由教育機構,研究機構或商業機構管理。象日常生活中的黑板報一樣,電子公告牌按不同的主題、分主題分成很多個布告欄,布告欄設立的依據是大多數BBS使用者的要求和喜好,使用者可以閱讀他人關于某個主題的最新看法(幾秒鐘前別人剛發布過的觀點),也可以將自己的想法毫無保留地貼到公告欄中。同樣地,別人對你的觀點的回應也是很快的(有時候幾秒鐘后就可以看到別人對你的觀點的看法)。如果需要私下的交流,也可以將想說的話直接發到某個人的電子信箱中。如果想與正在使用的某個人聊天,可以啟動聊天程序加人閑談者的行列,雖然談話的雙方素不相識,卻可以親近地交談。在BBS里,人們之間的交流打破了空間、時間的限制。在與別人進行交往時,無須考慮自身的年齡、學歷、知識、社會地位、財富、外貌、健康狀況,而這些條件往往是人們在其他交流形式中無可回避的。同樣地,也無從知道交談的對方的真實社會身份。這樣,參與BBS的人可以處于一個平等的位置與其他人進行任何問題的探討。這對于現有的所有其他交流方式來說是不可能的。
BBS連入方便,可以通過Internet登錄,也可以通過電話網撥號登錄。BBS站往往是由一些有志于此道的愛好看建立,對所有人都免費開放。而且,由于BBS的參與人眾多,因此各方面的話題都不乏熱心者。可以說,在BBS上可以找到任何你感興趣的話題。在Internet沒有廣泛流行的時期,BBS基本上就是電腦網絡的全部,人們利用BBS交流信息,發布程序,當然也包括傳播病毒和木馬程序。
1981年
在蘋果機上,誕生了最早的引導區病毒——“埃爾科克隆者”(Elk Cloner)這個病毒將自己附著在磁盤的引導扇區上。這個病毒有很強的表現欲望,再發作的時候,她會盡力引起你的注意,關掉顯示器、讓顯示的文本閃爍或者顯示一大堆亂七八糟的信息。
1986
最早運行在IBM PC兼容機上的病毒“大腦”(Brain)開始流行。這是一種感染360K軟盤的病毒(不是我們現在使用的軟盤,是很古老的5.25英寸的大盤,而且容量只有360K,現在在一些老型號的機器上還可以見到),由于所有的人對于電腦病毒都沒有任何心理準備,所以這種病毒在制造出來之后,立刻在世界范圍內迅速傳播。巴基斯坦的兩兄弟:巴斯特(Basit)和埃姆佳德(Amjad Farooq Alvi)制造了這個病毒,他們在病毒中留下一條信息,其中有他們的名字、地址甚至還有電話號碼(我想現在不會有人這么干了,因為警察會在第二天就造訪你留下的地址!)。
根據作者的說法,他們是軟件開發商,制作這個病毒的目的是為了檢驗一下盜版問題在巴基斯坦的嚴重程度,也就是說,如果你使用了他們開發未經授權的軟件,其中可能就包括了這個病毒,考察這個病毒的流行程度就知道盜版問題的嚴重程度了。遺憾的是病毒的蔓延遠遠超過了制造者的預計,這一病毒成為世界性的問題,也宣告了一個擁有病毒和反病毒軟件的電腦時代的到來。“大腦”病毒還首次使用了巧妙的手段來偽裝自己,如果你想要查看被病毒感染的地方,她會提供一個完好無損的東西給你。
同樣在1986年,一個名叫萊夫•伯格(Ralph Burger)的程序員發現可以寫出這樣的程序:將自己復制之后然后加在一個DOS可執行程序的后面,在1986年12月,他首次發布了使用這一原理的病毒“VirDem”——“病毒魔鬼”?這可以認為是DOS文件型病毒的起源。
在中國,這一年公安部成立了計算機病毒研究小組,并派出專業技術人員到中科院計算所和美國、歐洲進修、學習計算機安全技術。
1987
這是電腦病毒技術飛速發展的一年,特別是DOS環境下的文件型病毒,在這一年得到了長足的進步。
“維也納”(Vienna)病毒出現,這個病毒不是萊夫•伯格編寫的,但是他得到這個病毒之后,對它進行了分析,并在他出的書《計算機病毒:高技術的瘟疫》中公布了分析的結果。這本書使得病毒制造的技術變得大眾化了,書中詳細的闡述了如何制造病毒,以及一些病毒構造的思路,在書出版以后,成百上千的病毒被這本書的讀者們制造出來。
在這一年中,更多的IBM PC兼容機上的病毒出現了,這里面比較著名的有:“里海”(Lehigh),僅僅感染COMMAND.COM;“西瑞夫一號”(Suriv-1),又叫做”四月一號”感染所有的COM文件,“西瑞夫二號”( Suriv-2):感染EXE文件,值得一提的是,這是首個感染EXE文件的病毒,還有“西瑞夫三號”(Suriv-3),首次既感染COM文件又感染EXE文件。還有一些引導型病毒,比如出現在美國的“耶魯”(Yale)病毒,新西蘭的“石頭”(Stoned)病毒和意大利的“乒乓”(PingPong)病毒。
另外,首次能夠自我加密解密的病毒“小瀑布”(Cascade)也在這一年出現了。
這一年中,同樣有一些非IBM PC兼容機上的病毒出現,比如在蘋果機和土星機上的病毒。
1987年12月份,第一個網絡病毒“圣誕樹”(Christmas Tree)開始流行,這是一個使用REXX語言編寫的病毒,在VM/CMS操作系統下傳播。12月9號,“圣誕樹”首次在西柏林大學的內部網絡出現,然后通過網關(連接網絡和網絡之間的一種裝置)進入歐洲學術研究網絡,隨后采用同樣的方式進入IBM公司的內部網絡。四天以后,由于不受節制的自我復制,整個網絡充滿了這個病毒的拷貝,從而造成了系統癱瘓。“圣誕樹”病毒在運行之后,在屏幕上顯示一個圣誕樹的圖象,然后把自己拷貝到當前所有的網絡用戶的機器上。
REXX語言,一種腳本語言,類似于DOS環境下的批處理程序。在IBM的操作系統中得到廣泛的使用,是IBM版本的Unix—AIX環境下一種重要的開發工具。
1988
1988年,13號星期五,一些國家的公司和大學遭到了“耶魯撒冷”(Jerusalem)病毒的拜訪。在這一天,病毒摧毀了電腦上所有想要執行的文件。從某種意義上,“耶路撒冷”病毒首次通過自己的破壞引起了人們對電腦病毒的關注。從歐洲到美洲以及中東都有“耶路撒冷”病毒的報告,該病毒因攻擊了耶路撒冷大學而得名。
在1988年,“耶路撒冷”、“小瀑布”、“石頭”和“維也納”病毒在人們沒有注意的情況下感染了大量的電腦,這是因為當時反病毒軟件遠沒有今天這么普遍,即使是電腦專家,也有很多人根本不相信電腦病毒的存在。皮特.諾頓,著名的諾頓工具軟件的開發者,就宣稱電腦病毒是不存在的,象紐約下水道的鱷魚一樣荒謬(不過具有諷刺意味的是,諾頓的公司仍然在數年以后推出了自己的殺毒軟件)。
同時,利用人們對電腦病毒的恐懼,大量有關電腦病毒的笑話和惡作劇開始流行。最早一個惡作劇應該是麥克.羅齊埃里(Mike RoChenle)完成的,他在BBS上發布了一系列消息,描述了一種病毒可以在以2400波特率連線的時候,從一臺機器復制到另外一臺機器上。這個玩笑使得大量BBS用戶放棄比較快的2400波特率,而使用1200波特率連接到BBS上。
波特率:上網速度的一種單位,每秒鐘可以傳送的數據的位數。波特率為2400表示每秒鐘可以傳送2400位,我們常用的文件大小的單位是字節,一個字節是8位,這樣把波特率除以8就得到每秒傳送的字節數,波特率為2400意味著每秒鐘可以傳送300個字節。現在一般通過貓上網的速度是56k,也就是波特率為56,000,除以8,我們就可以知道每秒鐘傳送的字節是7000字節,大概每秒鐘7k左右,這是理想的速度,一般實際的傳送速度會稍低于這個值,大概在每秒5-6k左右。
1988年11月:在這個月里,發生了一起重大的事件,“莫里斯的蠕蟲”(Morris ‘s Worm),第一個因特網的病毒出現,該病毒在美國感染了超過6000臺電腦(包括美國國家航空和航天局研究院的電腦),并使他們部分癱瘓,由于網絡癱瘓造成的損失,預計超過9千6百萬美元。“莫里斯的蠕蟲”利用了VAX和SUN公司開發的Unix系統上的漏洞,使自己可以繁殖和傳播(關于莫里斯是有意利用了這一漏洞還是還是程序本身的錯誤還存在爭議,但是我傾向于認為是程序員有意的行為,這種自我繁殖帶給制造者的滿足感可能是這個病毒的作者最根本的動機了)。這一病毒同時還進行密碼偷竊和權限修改等工作,可以認為這是最早木馬類病毒的一次嘗試。
1988年12月:在DEC.Net上也出現了蠕蟲病毒,這個病毒的名字叫“嗨.來吧”(HI.COM),病毒在屏幕上輸出一個云杉的圖像,并告訴用戶他們“不要繼續工作了,回家享受好時光吧!”。同樣在這個時候,反病毒軟件已經開始成熟了,所羅門公司的反病毒工具(Doctors Solomon's Anti-virus Toolkit)成為當時最強大的反病毒軟件。
1989年
新病毒“數據罪犯”(Datacrime)、“弗曼楚”(FuManchu)出現,病毒家族也開始出現,比如說“楊基”(Yankee)病毒,這個病毒在荷蘭和英國造成了極大的恐慌,因為從10月13號到12月31號,它會格式化硬盤,摧毀所有的數據。
1989年9月,IBM進入反病毒軟件市場,推出了IBM反病毒軟件。
1989年10月,DECNet上出現新的蠕蟲病毒,“手淫蠕蟲”(WANK WORM)。
1989年12月:叫做“艾滋病”(AIDS)的特洛伊木馬出現,大約2萬張上面寫著“艾滋病信息磁盤版本2.0”的磁盤被發放,啟動90次以后,這個木馬程序會加密磁盤上的所有文件名,設置屬性為不可見,除了還有一個文件是可讀的,其中包含了一張189美元的帳單,以及郵寄的的地址:巴拿馬郵政信箱7#。當然,這一拙劣的敲詐行為使作者很快被起訴并送進了監獄。
1989年,大量的病毒流進俄羅斯,在這種情況下,俄羅斯的一些程序員開始開發自己的殺毒軟件,著名的AVP軟件(反病毒工具)在這一年首次發布。
1989年,引導型病毒“小球”和“石頭”通過香港和美國進入中國內地,并在很少的一些大型企業和研究機構之間開始流行。有報道的大陸第一起病毒報告來自西南鋁加工廠,是“小球”病毒的感染報告。
1989年7月,公安部計算機管理監察局監察處病毒研究小組推出了中國最早的殺毒軟件 Kill版本6.0,這一版本可以檢測和清除當時在國內出現的六種病毒。KILL軟件在隨后的很長一段時間內一直由公安部免費發放。
1990
這一年發生了一些重要的事情,首先是第一個多態病毒“變色龍”(Chameleon)出現(又叫做“V2P1”、“V2P2”和“V2P6”),在此之前,殺毒軟件都是使用“帶掩碼的特征比較法”,將病毒的片段和一些預先采樣的數據片段進行比較來判斷一個文件是不是被病毒感染,當“變色龍”出現以后,殺毒軟件不得不尋找新的方法來檢測和發現病毒。其次是“病毒制造工廠”(virus production factory)的出現,保加利亞的程序員開發了這樣一個可以用于開發病毒的工具軟件,使得不計其數的新病毒在保加利亞被制造出來,包括了“馬鈴薯”(Murphy)、“野獸”(Beast)以及修改過的“埃迪”(Eddie)病毒。有一個叫做“黑暗復仇者”(Dark Avenger)的家伙或者組織在這一年特別活躍,制造了很多病毒,它制造的病毒使用了一些新的算法進行感染,并且在系統中隱藏自己的行蹤。
這一年同樣是在保加利亞,第一個專門為病毒制造者而開的電子公告板建立了,這個電子公告板的主要任務就是進行病毒信息交流和病毒的交換。
在1990年7月,英國的一個電腦雜志:“今日個人電腦”(PC Today)所附贈的軟磁盤被名叫“磁盤殺手”(DiskKiller)的病毒感染,這份雜志售出了超過50,000份。
電腦病毒技術本身在這一年也得到了長足的發展,在1990年下半年,兩個著名的病毒“費雷多”(Frodo)和“鯨”(Whale)出現,它們使用了一些非常復雜的方法來隱藏自己的存在,特別是大小為9K字節的“鯨”,使用了多級加密解密和反跟蹤技術來隱藏自己。
1990年,中國,深圳華星公司推出基于硬件的反病毒系統——華星防病毒卡,迎合了當時人們對有形的卡的盲目崇拜,認為磁盤上的東西不值錢、不可靠,只有插在電腦里面的東西才值得花錢購買,取得不錯的銷售業績。
1991
電腦病毒的數量持續上升,在這一年已經增加到幾百種,殺毒軟件這一行業也日益活躍,兩個重要的工具軟件開發商:“賽門鐵克”(Symantec)和“中心點”(Central Point)公司推出了自己的殺毒軟件。實際上,這兩家公司都是收購了早期很小的殺毒軟件公司之后,將小公司的人員和產品一鍋端,然后打上自己的品牌,從而進入這個市場的,這也是大公司進入新市場的一條主要途徑。“賽門鐵克”公司以“諾頓”工具軟件,最重要的是“諾頓磁盤醫生”(Norton Disk Doctor)而知名,“中心點”公司以產品“個人電腦工具集”(PCTools)而知名。
4月份,一次大規模的病毒事件爆發,這次的主角是一個能夠同時感染文件和引導區的復合病毒“蒸餾酒”(Tequila),同年9月,采用了同樣的原理,一個名叫“變形蟲”(Amoeba)的病毒開始流行。
1991年夏天,“目錄二代”(DIRII)病毒開始流行,和其他一些病毒不一樣的是,“目錄二代”病毒不存在于某個文件或者引導扇區中,他把自己分成小塊,然后放在磁盤上的多個扇區中,運行的時候再進行組裝和執行。
1991年11月:中國瑞星公司成立,并推出瑞星防病毒卡。
1992
在這一年,非IBM PC兼容機或者非DOS兼容的病毒基本上被遺忘了,網絡上的漏洞得到了修補,錯誤被改正,大量的蠕蟲病毒不再能夠快速的復制和傳播。運行在微軟DOS操作系統下的文件型、引導型以及文件/引導復合型病毒,隨著DOS的廣泛流行,變成電腦病毒故事里面的主角。電腦病毒的數量以幾何級數增長,幾乎每天都會發生新的病毒感染事件,人們開發出各種各樣的殺毒軟件,大量書籍和雜志中出現關于電腦病毒的內容。
1992年早期,第一個多臺病毒生成器“MtE”開發出來,病毒愛好者利用這個生成器生成了很多新的多態病毒,“Mte”也是隨后很多多態病毒生成器的原型系統。
原型系統:計算機科學中常見的一個術語,一般指首先實現了某種功能或者驗證了某種概念的系統,原型系統一般比較簡陋,功能比較單一而且不很完善,但是原型系統往往開創了一系列新的、完善系統的先例。
1992年3月:“米開朗基羅”(Michelangelo)病毒和隨之而來由反病毒軟件廠商造成的歇斯底里是這個月的標志。從某種意義上,這是第一個對病毒進行炒作并且獲得成功的案例,反病毒軟件廠商學會夸大病毒造成的威脅,不去實際告訴用戶如何保護自己的數據,而是想方設法讓他們把目光集中到自己的產品上,這一切的原因只有一個——利潤。一家美國公司聲稱3月6號,超過5百萬臺電腦上的數據將會被破壞,而實際上真正遭遇“米開朗基羅”病毒的電腦只有大概10,000臺。成功的炒作得到的效果就是很多家反病毒廠商的利潤都增長了好幾倍。
1992年7月:第一個病毒構造工具集(virus construction sets),“病毒創建庫”(Virus Create Library)開發成功,這是一個非常著名的病毒制造工具,實際上,直到1999年,國內還有一些個人和組織利用這一工具制造病毒。這個工具的成功同時還刺激了新的、更加強大和完善的病毒制造工具不斷的被開發出來。
1992年晚期:第一個視窗病毒開發成功,實際上,大量DOS環境下的病毒在視窗環境下仍然能夠成功的運行,稱這個病毒是第一個視窗病毒是因為該病毒首次對視窗操作系統獨特的可執行文件格式進行感染,這個病毒的出現宣告了病毒發展歷史上新的一頁的到來。
這一年,“目錄2”病毒開始大規模進入中國,
中國,南京信源自動化技術有限公司成立,推出DOS環境下的內存駐留反病毒軟件“硬盤衛士”(HD GUARD)和DOS殺毒軟件VRV(Virus RemoVer)。
1993
在這一年里,病毒制造者除了制造大量普通的病毒、使用多態生成器/病毒構造機構造一系列的病毒以外,他們開始進行更加嚴重的破壞活動,使用一些新的方法感染文件并且將病毒注入系統。這一年中比較典型的病毒有:
“保護模式是簡單的”(PMBS),工作在英特爾80386芯片保護模式下的病毒。
"陌生"(Strange),一個自我隱藏技術的杰作,通過對硬件中斷0Dh和76H的模擬實現隱藏自身。
“影子衛士”(Shadowgard)和“紅寶石”(Carbuncle)極大地拓展了共生病毒的概念。(共生病毒,一種病毒如果可以表現為不同的形態則稱為共生病毒,例如同時感染引導區和文件,或者同時感染Office 文檔和普通的可執行文件)
“埃米”(Emmie)、“梅提里卡”(Metallica)、“炸彈人”(Bomber)、“烏拉圭”(Uruguay)和“咬嚼者”(Cruncher)病毒相繼出現,它們使用了一些非常新穎的技術進行感染,這樣,殺毒軟件很難在被感染文件中找到病毒代碼。
1993年春天,微軟發行了自己的反病毒軟件——微軟反病毒軟件(MSAV),這是微軟購買了“中心點”公司的CPAV之后發布的微軟版CPAV。但這是一次不成功的嘗試,微軟很快就認識到作為一個通用軟件廠商,如此深入的進入一個非常專業的領域是非常不明智的,比爾.蓋茨很快就放棄了這一產品。
1993年6月,中國,公安部正式決定將KILL的所有有形和無形資產、開發人員移交公安部所屬的中國金辰安全技術實業公司進行商品化銷售。此時,KILL的版本號為V68,產品形式分為5寸磁盤和3寸磁盤兩種。
在這一年,瑞星的防病毒卡占據了80%以上的反病毒市場,達到了防病毒卡銷售的頂峰。
1994
病毒通過光盤進行傳播在這一年變得非常普遍,在隨后的幾年,直到因特網的廣泛使用之前,光盤迅速成為最主要的病毒傳播渠道。大量的光盤在制造的時候,由于使用的母盤中包括了病毒,所以壓制出來的光盤也包括了病毒,由于光盤中的內容是不能被改寫的,所以這些病毒無法清除,唯一的解決方法只能是將這些感染了病毒的光盤銷毀。
在1994年早期,英國發現了兩種極其復雜的多態病毒:“SMEG.病原體”和“SMEG.Queeg”(直到今天,仍然有大量的反病毒軟件不能完全檢測他們的所有變體!),由于病毒的作者將感染的文件放到了電子公告板上,所以這兩種病毒在公眾媒體造成了很大的恐慌。
另外一次恐慌是一個并不存在的病毒“好時光”(GoodTimes)造成的(注意不是我們在后面將要描述的“歡樂時光”),謠傳說這種病毒可以通過電子郵件進行傳染。這種不存在病毒的恐慌和欺騙后來稱之為“好時光欺騙”。稍后在DOS下面真的出現了很普通的一個病毒里面包括了文本信息“好時光”,但是一般認為這個DOS病毒是響應“好時光欺騙”專門制造出來的,和那種謠傳接收電子郵件就會被感染的病毒沒有任何關系。
電腦病毒所引發的法律問題也變得非常普遍,各國都開始嘗試將病毒制造者定罪。1994年夏天,“SMEG”病毒的作者被捕,差不多同時,英國也逮捕了一個病毒制造者團伙,這個團伙自稱為“真正殘酷的病毒協會”,在挪威也有一些病毒的作者被捕。這些病毒的作者之所以被捕其實很簡單,他們繼承了早期病毒制造者的好傳統,在病毒中包括了自己的聯系信息,或者在通過電子公告板首次發布的時候,很得意的宣布了作者的詳細創意和聯系方法,因此警方可以很方便的找到他們,在后來的病毒制作和發布中,病毒制造者就謹慎了許多,警方很難輕易的找到一個病毒的真正作者。
本年度也有一些值得一提的病毒:
1994年1月:“移動者”(Shifter)病毒,首次感染對象模塊文件(OBJ文件),“幻影1”(Phantom1),第一個首次在莫斯科流行的多態病毒。
對象模塊文件:和高級語言開發工具密切相關,當在DOS環境或者視窗環境下開發程序的時候,C或者其他語言的編譯器會生成多個OBJ中間文件,然后將所有的這些OBJ中間文件組合成一個可執行的文件。
1994年3月:“源代碼病毒”(SrcVir):首次感染C語言和帕斯卡(PASCAL)語言源代碼的病毒.
1994年6月:“一半”(OneHalf)病毒出現,在俄羅斯和中國最流行的病毒之一。
1994年9月:“3APA3A”,一種新的引導型病毒出現,使用了一種非常特殊的方法進入DOS操作系統并進行感染,當時所有的殺毒軟件對于這種新病毒都無能為力。
1994年春天,最早的殺毒軟件廠商的領導者之一,“中心點”公司結束了自己的運做,被“賽門鐵克”公司收購,“賽門鐵克”公司在這段時間內收購了大量的殺毒軟件廠商,包括“皮特.諾頓計算”(Peter Norton Computing)、“第五代系統”( Fifth Generation Systems)等公司。
1994年2月,國務院發布了《中華人民共和國計算機信息系統安全保護條例》將計算機信息系統安全(包括防病毒軟件)劃歸公安部管理。
1994年7月,王江民推出了“超級巡警”——KV100殺毒軟件,并首次提出了廣譜病毒碼的概念,首次在《軟件報》上公布《反病毒公告》,開創了用印刷的形式讓用戶進行手工升級的先河,雖然對這種升級方式的有效性仍然存在很多爭論,但是KV100依靠這種方式極大地提高了知名度,為后來KV300的成功打下了良好的基礎。
1995
DOS病毒技術的發展在這一年中基本上陷于停滯,我所說的停頓是指技術本身的停頓,也就是說沒有什么新的感染或者隱藏等病毒相關技術的出現,但是病毒的數量和傳播并沒有停頓,在這一年中仍然出現了很多非常復雜的病毒例如“死亡墜落”(Night Fall)、“胡桃鉗子”(Nutcracker)等,以及一些很有趣的病毒例如“兩性體”(bisexual)、“RNMS”等。這一年中,DOS批處理病毒 "視窗啟動"(WinStart)和“死硬2”(DieHard2)病毒在世界范圍內廣泛的流傳。
1995年1月:微軟的視窗95演示盤被病毒“表格”(Form)感染,微軟將演示盤發送給測試者,其中一個可能是過于勤勞的測試者對這些磁盤進行了病毒檢測,結果很吃驚的發現了病毒。這是微軟第一次在發行的光盤中包含了病毒,當然這遠遠不是最后一次。
1995年春天:兩家著名的殺毒軟件公司“雷霆字節反病毒”(ThunderBYTE Anti-virus)和“諾曼第數據防護”(Norman Data Defense)公司宣布將聯合進行反病毒系統的開發。
1995年秋天:病毒和反病毒發展歷史的一個轉折點,第一個能夠保存在WORD文件中,運行在微軟字處理軟件里的病毒“概念”(Concept)病毒開始在世界范圍內流行,這一病毒的出現宣告了一種新形態的病毒的出現——宏病毒。在很長一段時間里,這一病毒在所有的病毒感染統計中一直占據最重要的位置。
1996
1996年1月,第一個視窗95病毒出現——“博扎”(Win95.Boza)
1996年3月:第一個開始大規模流行的視窗版本3病毒,“觸角”(Tentacle)病毒首次被發現,這一病毒首次出現在法國一家醫院和一些研究機構的網絡中。在這一病毒出現之前,雖然有很多的視窗病毒被制造出來,但是這些制造出來的病毒都只在病毒收集者之間、電子公告板或者一些專門的雜志上出現,“觸角”病毒實際上是第一個真正流行起來的視窗病毒。
1996年6月:第一個真正OS/2操作系統下的病毒,“AEP”病毒出現,在此之前的OS/2病毒只能使用病毒文件替換原來的文件,或者以伴隨病毒的形式出現,這一病毒首次可以將自己附著在OS/2可執行文件的后面,實現了病毒的真正定義——感染。
1996年7月:第一個微軟電子數據表病毒“拉若克斯”(Laroux)病毒出現,這一病毒首次發現是在兩家石油公司,一家在阿拉斯加,另外一家在南非,所以我們猜想是一個石油勘探軟件的程序員制作了這個病毒。和先前的字處理程序病毒一樣,這一病毒利用了在電子數據表格軟件中可以變成的某種宏語言。任何微軟的電子數據表或者字處理文檔中都可以包括這種語言所編寫的程序,當然也可以包括這種語言所編寫的病毒。隨著微軟操作系統的日益復雜,各種宏語言慢慢變成統一的BASIC語言(VBA :專門為應用軟件設計的可視化BASIC語言),功能也變得越來越強大,使用這種語言編寫的病毒功能也隨之越來越強大。
BASIC語言:BASIC是初學者通用符號指令代碼(Beginner's All-purpose symbolic instruction Code)的縮寫,是國際上廣泛使用的一種計算機高級語言。BASIC簡單、易學,目前仍是計算機入門的主要學習語言之一。BASIC語言自其問世經歷了以下四個階段:第一階段:(1964年~70年代初)1964年BASIC語言問世。第二階段:(1975年~80年代中)微機上固化的BASIC,ROM BASIC,第三階段:(80年代中~90年代初)結構化BASIC語言,以True BASIC為代表,第四階段:(1991年以來)以可視化的BASIC為代表,在因特網時代這一古老的語言又煥發了新的青春。
1996年12月:視窗95下的第一個內存駐留病毒,“打孔機”(Punch)病毒出現,該病毒駐留在視窗95的內存中,以一個Vxd驅動程序的形式存在,攔截所有的文件操作并進行傳染,這種原理在隨后的CIH病毒中得到應用和發展并且造成了極大地破壞。由于程序設計中的明顯缺陷,“打孔機”病毒不能在正常的視窗95環境進行感染中,所以這種革命性的病毒并沒有真正流行起來。
實際上1996年是新一輪病毒進化的開始,在這一年中,隨著微軟新的操作系統視窗95、視窗NT和微軟辦公軟件(Office)的流行,病毒制造者不得不面對一個新的環境,他們在這一年中開始使用一些新的感染和隱藏方法,制造出在新的環境下可以自我復制和傳播的病毒,隨后,病毒制造者的技術水平日益提高,他們對新的操作系統環境(視窗95和視窗NT)和應用系統環境(Office,包括字處理和電子數據表格軟件等)的掌握也越來越深,他們開始在病毒中增加多態、反跟蹤等技術手段,在新的技術層次上重復了早期在DOS操作系統環境下病毒的進化過程,和DOS環境下漫長的進化相比,在新的環境下病毒的進化過程要快得多。
1997
1997年2月:第一個Linux環境下的病毒“上天的賜福”(Bliss)出現,Linux在此之前還是一個沒有被病毒感染過的樂土。
1997年2月到3月:隨著微軟辦公軟件從版本6升級到版本97,宏病毒也升級到版本97。最早針對微軟辦公軟件97的宏病毒都是直接從較早期版本轉換過來的,但是病毒制造者對新技術的跟蹤速度是驚人的,他們很快就推出了專門為微軟辦公軟件97定制的宏病毒。
1997年3月:針對微軟字處理軟件版本6和版本7的宏病毒“分享歡樂”( ShareFun)病毒出現,這種病毒的特殊之處在于除了通常的通過字處理文檔傳播之外,“分享歡樂”還可以通過微軟的郵件程序發送自己。
1997年4月:第一個使用文件傳輸協議(FTP)進行傳播的蠕蟲病毒,“本壘打”( Homer)病毒出現。
文件傳輸協議:(File Transfer Protocol)使用這一協議,人們可以在主機和自己家庭的電腦之間交換文件。這是最簡單的因特網應用協議之一,可以列出遠程目錄,對文件名字進行拷貝、刪除、改名等操作,最重要的是,可以將硬盤上的文件上傳到遠程的主機上,或者將遠程主機上的文件下載到自己的硬盤上。
1997年6月:視窗95環境下第一個可以自我加密/解密的病毒出現,這一病毒最先出現在莫斯科,在一些電子公告板上公布后造成了一些慌亂。
1997年11月:“世界語”( Esperanto)病毒出現,正如名字所表示的那樣,這一病毒的開發者想讓它成為病毒世界的世界語—同時感染DOS、視窗和蘋果的麥克機操作系統。幸運的是,由于軟件中存在的一些缺陷,“世界語”沒有實現它的設計目標。
1997年12月:一種新的病毒形態,“mIRC蠕蟲”出現,“mIRC”是視窗環境下最常見的一種IRC客戶端程序,在當時發布的mIRC版本中存在一個漏洞,利用這個漏洞,病毒可以通過IRC的頻道復制和傳播自己。后來的IRC版本中堵住了這個漏洞,“mIRC蠕蟲”病毒也就隨之慢慢的消失了。
IRC客戶端:IRC是因特網INTERNET RELAY CHAT的縮寫,意思是通過因特網中轉的聊天,通過特殊的協議(RFC1459 IRC協議),大家連到一臺或者多臺IRC服務器上進行聊天。和普通的使用瀏覽器進行的聊天相比,它最大的特點是速度快(正常情況下一秒鐘內你就可以看到對方的“講話”),功能多,和類似QQ的即時聊天系統相比,IRC可以實現多對多的群體聊天功能。
要實現IRC聊天需要IRC服務器和IRC客戶端,IRC服務器在網上有很多,IRC客戶端就是你在視窗環境下實際進行聊天的程序,其中最著名的就是mIRC程序。
1997年在美國和歐洲的主要殺毒軟件廠商中,發生了一些丑聞。兩家非常著名的殺毒軟件廠商開始了一場口水大戰,首先是McAfee公司宣布他們的專家在所羅門公司出品的殺毒軟件中發現了一個很有意思的特性:所羅門公司的病毒檢測軟件可以工作在兩種模式下面,正常模式和高級模式,正常模式的速度很快,但是對于某些少見的病毒可能無法檢測,高級模式的速度比較慢,但是檢測的病毒數量更多,他們發現,所羅門公司的軟件可以在這兩種模式之間自動切換,當軟件發現自己象是在檢測一個測試用的病毒庫的時候,會自動切換到高級模式,而在檢測普通文件的時候會切換到正常模式,這樣,殺毒軟件既得到了非常快的檢測速度,也可以得到非常好的病毒檢出率。
隨后,所羅門公司開始反擊,指責McAfee公司發布了非法的廣告,其中有直接攻擊所羅門公司的內容。同時,好像是覺得不夠熱鬧似的,McAfee和趨勢公司鬧上了法庭,他們爭論的焦點有關因特網和電子郵件病毒檢測技術的專利;隨后是賽門鐵克公司,也跳出來指責McAfee公司使用了賽門鐵克公司的代碼。
這一點充分證明了國外的消費者觀念和國內消費者觀念的巨大差別,對于國外用戶來說,在產品中沒有充分實現你的承諾就是一種欺騙行為,換句話來說,在用戶不知情的情況下為了某種性能或者評測數據的考慮自動的切換工作模式是某種意義上的商業欺騙。而在國內,我相信沒有任何消費者會因為這樣一種技術上的處理對殺毒軟件廠商提出懷疑或者責難。實際上,國內廠商使用的模式切換、性能增強措施,甚至某些通過提高誤報率來迎合用戶希望查到病毒的心理的技術手段,遠遠超過了國外所謂的“欺騙”的范疇。但是至今還沒有用戶或者廠商對此提出過指責。
這一年McAfee和“網絡將軍”公司完成了他們的合并,新成立的公司成為一家信息安全服務和產品的提供商,新公司的名稱是“網盟”(NAI)。
這一年,在中國發生了著名的毒島論壇事件,有好事者在美國的地球村免費網站上建立了一個叫做“毒島論壇”的站點,專門討論反病毒技術,評比國內的反病毒軟件和提供它們的的解密程序。1997年的下半年,“毒島論壇”宣稱KV 300軟件中有病毒!并且迅速在網上公布了病毒的反匯編代碼(由于KV 300軟件是經過加密的,因此一般人無法簡單地看到這一段代碼)。數天之后,出于種種考慮,數家反病毒軟件公司在京召開了記者招待會,聲討這種行為。而江民公司自己則辯稱這是一個“邏輯鎖”,不是病毒。只有使用了盜版軟件的用戶,才有可能數據被破壞。
事情最后以江民公司被認定違反了《計算機安全管理條例》,罰款3000元告終,而KV 300似乎沒有受到太大的影響,“毒島論壇”還因此被查封。
在1994年防病毒卡的銷售達到最高峰之后,瑞星1995、1996年銷售業績大幅度下降,公司到了生死存亡的邊緣,1997年開始,瑞星通過OEM和低價策略開始二次創業。
1997年,南京信源公司首次推出具有實時病毒防護功能的病毒防火墻,NetVRV軟件。
1997年,出現了一家風靡一時的反病毒軟件公司,華美星際,在當年推出的“病毒克星”產品獲得很大的成功(“病毒克星”實際上是OEM “VRV”之后生產的產品),但是由于運作原因,該公司在1997年之后就銷聲匿跡了。
1998
病毒的數量和技術繼續發展,特別是隨著因特網的廣泛使用,人們對于能夠竊取口令和更改權限的木馬程序有了更多的興趣。視窗環境下的病毒“CIH”和“青猴病”(Marburg)通過一些電腦雜志附帶的光盤廣泛傳播,這些光盤在制作的時候被病毒感染。
這一年中,一種新的病毒“HLLP.DeTroie”出現,這種病毒除了能夠感染普通的視窗可執行文件以外還能夠收集被感染機器的信息并且發送到病毒的所有者手中。應該感到幸運的是,這一病毒僅僅感染法語版的視窗操作系統,所以基本上沒有在我國造成影響。
1998年一月:一種新的感染微軟電子數據表的病毒“派克斯”(Paix)出現,這種感染表格的病毒同樣實現了自我復制和傳播的特性。
1998年2月到3月:“青猴病”(Marburg)病毒,第一個在32位視窗環境下運行的多態病毒被發現并且開始流行起來。這種病毒的出現給殺毒軟件開發者出了一道難題,就像當初在DOS環境下遇到多態型病毒一樣,他們不得不重新設計自己的病毒掃描引擎,從而可以識別出這種病毒和相應的變種。
1998年3月:“埃克塞斯4”( AccessiV)病毒,第一個針對微軟數據庫軟件的病毒出現,這個病毒本身沒有造成很大的影響,因為隨著字處理和電子數據表病毒的出現,人們知道出現這樣一個病毒只是遲早的事情,所有的殺毒軟件廠商對此已經有了充分的準備。
1998年3月:“十字架”( Cross)病毒出現,這個病毒首次實現了對不同微軟辦公軟件的感染,數據庫和字處理軟件。也就是說你的字處理文檔和你的數據庫文件中可能同時包括了這種病毒,在這種病毒之后,越來越多的,同時感染多種微軟辦公軟件的病毒開始出現。
1998年5月:“紅色隊伍”( RedTeam)病毒出現,這種病毒可以感染通常的視窗可執行文件,同時還可以通過一種電子郵件軟件進行傳播。
1998年6月:CIH病毒出現,CIH病毒是有史以來影響最大的病毒之一,最早出現在臺灣,然后通過美國在臺灣的海外辦公室傳播到美國,感染了一些因特網上的游戲服務器,直接引發了持續一年的恐慌(在中國CIH的惡夢是在下一年才真正開始的),CIH病毒所取得的巨大影響是因為它的破壞性,在某些電腦上,CIH病毒甚至可以損壞你的硬件。
1998年8月:非常好的遠程控制工具“后門”(Back Orifice)出現,在“后門”之后,還出現了“網絡公共汽車”(NetBus)、“階段”(Phase)等類似的軟件。
遠程控制工具:通過網絡控制某臺機器的軟件,包括客戶端和服務器兩個部分,服務器運行在被控制的電腦上,一般在后臺運作,接收遠程發來的命令并執行操作,客戶端運行在網絡的另外一邊,控制者利用客戶端發布命令。只要在一臺聯網的電腦上安裝了遠程控制的服務器端軟件,你可以在任何一臺聯網的電腦上使用客戶端軟件,實現數據收集(包括口令和其他機密的文件),鼠標和鍵盤控制,擊鍵記錄等功能。由于遠程控制軟件的強大功能,人們往往利用遠程控制軟件作為木馬程序,實現對系統非法存取的目的。
1998年8月:第一個感染“爪哇”(Java)可執行文件的病毒“陌生的釀造”(Strange Brew)問世,這一病毒沒有什么實際的危害,因為“爪哇”語言在安全性上的一些預防措施,病毒不能復制并且傳播到遠程的電腦上。但是“陌生的釀造”至少證明了因特網瀏覽器被病毒感染的可能性。
這一年,南北信源反目為仇,先是劃江而治,劃分成北方市場和南方市場,然后由于市場和經營觀念的沖突以及公司內部矛盾,開始相互起訴和爭斗,兩家公司都因此元氣大傷,市場份額和影響急劇下降。
1998年11月:一種新的使用VB腳本語言編寫的病毒“兔子”(Rabbit)誕生了,這種病毒充分利用了VB腳本語言專門為因特網所設計的一些特性。很自然的是,隨著HTML語言本身開始具有編程能力,純粹的HTML語言病毒“內在”也開始流行。很明顯,病毒制造者將他們的注意力集中在網絡蠕蟲上,他們開始充分利用視窗系統強大的腳本語言,而且這種語言還可以和網絡緊密的結合,制造大量的,可以通過網頁、電子郵件傳播的病毒。
在這一年中,殺毒軟件廠商開始大規模的整合,1998年3月,賽門鐵克和IBM宣布合并他們的反病毒業務部門,IBM隨后放棄了自己獨立開發殺毒軟件。所羅門和網盟很快作出了反應,通過一樁上億美元的交易,所羅門公司不復存在,網盟成功的收購了他的死敵所羅門公司,這樁交易給反病毒行業帶來了非常大的震動,這樣兩家一直打斗得你死我活的公司居然采取這樣一種方式結束了自己數年的競爭。
1998年5月:中國金辰安全技術實業公司和世界第二大軟件公司美國CA公司在公安部舉行簽字儀式,雙方共同合資成立北京冠群金辰軟件有限公司。同時宣布在北京成立產品研發中心。1998年7月,冠群金辰公司發布KILL認證版。產品雖然名稱還是叫做KILL,但基本核心已經完全使用了CA公司的技術。
1999年:這一年,病毒制造者很好的掌握了視窗操作系統下各種新的文件格式的感染方法,在視窗環境下隱藏自己的技術也得到了很大的進步,通過郵件進行病毒傳播開始成為病毒傳播的主要途徑。宏病毒在這一年仍然是最流行的病毒。
1999年3月,一個名為“梅麗莎”(Melissa)的計算機病毒席卷歐、美各國的計算機網絡。這種病毒利用郵件系統大量復制、傳播,造成網絡阻塞,甚至癱瘓。并且,這種病毒在傳播過程中,還會造成泄密。
1999年6月,中國最大的通用軟件廠商,金山公司首次發布金山毒霸的測試版,開始嘗試進入殺毒軟件市場。
1999年12月,“FunLove”病毒出現,這一病毒是一個設計非常巧妙的PE病毒,它的最大特點是感染能力強,清除非常困難,直到今天還是在國內廣泛流行的病毒之一。
2000年,隨著微軟視窗操作系統逐步的COM化和腳本化,腳本病毒成為這一年的主流,大量使用腳本技術的病毒出現,腳本病毒和傳統的病毒、木馬程序相結合,給病毒技術帶來了一個新的發展高峰。
2000年5月:“愛蟲”(LoveLetter)病毒出現。“愛蟲”病毒是一種腳本病毒,它通過微軟的電子郵件系統進行傳播。這一病毒的郵件主題為“I Love You”,包含一個附件“Love-Letter-for-you.txt.vbs”,一旦在微軟電子郵件中打開這個附件,系統就會自動復制并向用戶通訊簿中所有的電子郵件地址發送這一病毒,其傳播速度比“梅莉沙”病毒還要快好幾倍。
2000年11月:金山毒霸正式上市,金山正式進入反病毒軟件市場。
2000年12:惡作劇程序“麥當勞女鬼”在網絡上大規模流行并造成影響,根據報道,中國香港地區有職員被這個惡作劇程序驚嚇致死。
前面部分摘自《一個真實的病毒世界》
▲2001年1月21日
一種變形的“梅麗莎”病毒侵襲麥金塔(Macintosh)電腦。這種病毒能感染Mac文件,病毒產生的大量電子郵件可以堵塞服務器,修改微軟Word程序的設置,感染文件和模板。攜帶這種“梅麗莎”病毒的電子郵件附件名叫“Anniv.DOC”。這是這種類型的病毒第一次將矛頭指向了麥金塔電腦。
▲2001年2月2日
通過映射驅動器和在線聊天系統傳播的“薩利姆”(W97M/Salim.A)病毒被發現。“薩利姆”是一個宏病毒和通過在線聊天系統傳播的蠕蟲,它在傳播過程中截取文檔內容。“薩利姆”蠕蟲依靠文檔事件處理程序來運行,當一個已感染的文檔被打開時,宏病毒就被激活,“薩利姆”病毒將嘗試感染被Word打開的所有文檔。
▲2001年2月15日
荷蘭警方13日逮捕了一名自稱發明了“庫爾尼科娃”電腦病毒的20歲男子。此人要面臨坐牢4年的處罰。通過電子郵件傳播的“庫爾尼科娃”病毒12日在歐洲、美洲和亞洲發作,大量垃圾郵件積壓在電子郵件系統內,系統速度明顯變慢,有的公司干脆關閉了電子郵件系統。這名荷蘭男子自稱是19歲的俄羅斯網球女星安娜·庫爾尼科娃的球迷,這個病毒的作者說,他不是編程專家,不過是從互聯網上下載了病毒,然后編寫程序完成的。
▲2001年3月6日
美國Symantec軟件公司的反病毒研究中心指出,一種與此前出現的“庫爾尼科娃”病毒類似、代號為“裸妻”的病毒現已攻擊了至少30個相關機構和一家政府部門。這種以電子郵件形式進行攻擊的病毒所攜帶的主題為“FW:裸妻”,它幾乎可以將計算機內所有重要的系統文件全部刪除,另外還可以通過電子郵件的形式向任何一位網絡用戶傳播。這種病毒有可能來自巴西,因為其源代碼中的信息提到了AGF巴西,這是巴西一家保險公司的名字。這種病毒的電子郵件中帶有一個名為“NakedWife.exe”執行文件的附件,就像所有類似病毒一樣,一旦用戶打開這一附件,其電腦系統一定會遭到病毒入侵。
▲2001年3月20日
名為My-babypic的病毒通過可愛寶寶的照片傳播病毒,雖然“毒性”不強,但發作起來也會造成電腦文件被破壞。該病毒的發作過程是,網民會收到一封主題為“Mybabypic”的郵件,附件為“MyBabyPic.exe”,網民運行該程序后,屏幕會顯示一張可愛寶寶的照片和一個不明對話框,等網民關掉圖片、對話框后,這種病毒就會復制到Windows操作系統的System目錄下并修改登錄數據庫,使用者每次開機時這種病毒就會發作一次。
▲2001年3月24日
稱為“VBS.Linda.A@MM”(琳達)的病毒,專攻人們好奇及好色的心理。病毒以電子郵件傳播,收件者會先收到一封附有KellyIn-White.jpg.vbs檔案的郵件,意即身穿白色的Kelly。“琳達”會搜尋微軟Outlook地址簿上的記錄,發出有毒的郵件進一步傳播。
▲2001年4月26日
CIH病毒在我國第三度爆發。截至26日20時,僅瑞星公司技術服務部就接到求助電話1000多個,接收并修復被損壞硬盤100多塊,均接近CIH病毒前兩次爆發時的水平。據了解,其它反病毒企業也收到大量用戶計算機被CIH病毒損壞的信息。據這些公司的專業人員分析,此次CIH病毒爆發的波及面和損害程度雖然比前兩度略小,但仍造成相當大的破壞。
▲2001年5月6日
一種新的惡性電腦病毒“歡樂時光”(Happytime/VBSHappytime.A.Worm)已在中國開始傳播。“歡樂時光”病毒很可能是一種國產病毒,它是類似“愛蟲”的蠕蟲類病毒。用戶通過美國微軟公司辦公套件(Outlook)收取帶有“歡樂時光”病毒的郵件時,無論用戶是否打開郵件,只要鼠標指向帶毒的郵件,“歡樂時光”病毒即被激活,隨后立即傳染硬盤中的文件。感染“歡樂時光”病毒后,如果電腦時鐘的日期和月份之和為13,則該病毒將逐步刪除硬盤中的EXE和Dll文件,最后導致系統癱瘓。
▲2001年5月11日
新病毒“主頁”正在全球傳播,這種被稱作“HomePage”的病毒被看作是“庫爾尼科娃”病毒的“遠親”。攜帶這種電腦病毒的郵件題目為“主頁”,郵件正文寫道:“嗨,你應該看看這個網頁,它確實很酷。”郵件中夾帶著一個名為“HOMEPAGE.HTML.VBS”的附件。用戶一旦打開附件,病毒第一步先自我復制,并向微軟Outlook地址簿中的每一個地址發去一封攜毒郵件。然后搜索Outlook收件箱,將其中名為“主頁”的信件統統刪除,同時打開數個色情網頁。值得慶幸的是,上述病毒沒有造成太大的破壞,不到1萬臺電腦受此影響陷入了癱瘓。由于時差的關系,美國地區的防病毒公司在接到來自東半球的消息后,對病毒加以防范,成功抵制了病毒進一步擴散。
▲2001年6月19日
一種名為“上帝信使”(GodMessage)的病毒創作工具引起防病毒專家們的關注。已經有兩種利用該工具編寫的新的病毒變種出現。這種工具使得編寫病毒程序變得更為容易。而一旦這種工具普及開來,計算機安全問題也就更加嚴重了。GodMessage可以從黑客網站上下載,該工具允許黑客將ActiveX代碼置入到網頁上。當IE瀏覽器用戶訪問被病毒感染的網頁時,瀏覽器就會自動下載一個壓縮程序,駐留在用戶本地硬盤上,等待下次啟動時解壓縮。不過迄今為止并未收到有關GodMessage所產生的代碼造成惡性事件的報告。
▲2001年7月26日
新病毒偷窺先生(Sircam)雖剛現身不久,卻已迅速竄升至全球十大病毒排行榜的第二名,世界各地皆有感染災情傳出。Sircam病毒主要是利用電子郵件進行散播,用戶一旦執行電子郵件所夾帶的附件,電腦即遭病毒的感染。病毒會隨著通訊簿中的名單一一尋找,并自動發送病毒郵件,由于此病毒的郵件主題與附件的名稱并不固定,用戶相當難以防范,而郵件內容又有英文及西班牙文兩種版本。
▲2001年8月1日
一種惡意網頁病毒“蛤蟆病毒”爆發。“蛤蟆病毒”是一種惡意網頁病毒,主要感染Win95/98/2000操作系統。用戶一旦點擊該網頁,其嵌在網頁內部的腳本程序將自動執行,并通過修改系統注冊表進行破壞。啟動Windows系統,屏幕上就會出現“歡迎來到萬花谷!請與oicq:933007青蛙聯系。你中了※蛤蟆奇毒※”,同時瀏覽器的標題也被修改為帶有“歡迎來到萬花谷!請與oicq:4040465聯系!”字符串的后綴。這以后每當打開一個網頁都將出現此信息。接下來C盤將會丟失,開始菜單中的“運行”、“注銷”、“關閉”系統三項命令也不復存在,就連ALT+F4功能鍵都失去了效果,直至最后無法關機;此外,MS-DOS方式也被病毒封殺,于是在DOS下訪問C盤更成為了妄想;最后強行關機重啟機器后,還將發現注冊表也受到了保護,連手動恢復也不行。
▲2001年8月2日
美國電腦專家表示,全球至少10萬臺電腦受“紅色代碼”?CodeRed 侵襲。美國國防部電腦網絡受到“紅色代碼”發作的影響,網速變慢,全球至少有8萬部電腦的伺服器遭受“紅色代碼”的襲擊。“紅蟲”病毒主要攻擊網絡服務器,安裝Windows2000和WindowsNT的電腦最易受感染。“紅蟲”于7月19日首次爆發時,影響超過25萬部電腦的伺服器,其中包括美國政府的電腦。
▲2001年8月13日
8月11日,國內已經在北京、浙江、廣州、江蘇、四川等20多個省市發現了代號紅色二代病毒,大量網絡因服務器遭受攻擊而癱瘓,其中包括多家部委機關的網絡。不少人反映,國內部分網站的電子郵件傳輸速度明顯下降,有的延遲達24小時以上。“代號紅色Ⅱ”的攻擊行為是罕見的“病毒加黑客”。病毒通過網絡釋放出一個木馬程序,為入侵者大開方便之門。“代號紅色Ⅱ”病毒木馬程序釋放后,意味著計算機黑客可以對被感染的計算機進行全程遙控。
▲2001年9月7日
一種名為Worm.IIS.CodeBlue(即“藍色代碼”)的新型惡性網絡蠕蟲病毒9月5日開始在我國計算機用戶中出現。“藍色代碼”是一種專門攻擊Windows2000系統的惡性網絡蠕蟲病毒。該病毒比“紅色代碼II”有更強大的攻擊性,計算機一旦感染該病毒,將大量占用系統內存,導致系統運行速度下降直至系統癱瘓。
▲2001年9月20日
一種傳播迅速,破壞性極強的新型病毒“尼姆達”病毒W32.Nimda.A@mm正在互聯網上肆虐,Nimda蠕蟲病毒按字母的順序反過來讀就是“admin”,是系統管理員的意思。它是利用了微軟的UnicodeWebTraversalexploit.漏洞編寫的通過電子郵件傳播的新型蠕蟲病毒,病毒通過不斷搜索局域網內共享的網絡資源,將病毒文件復制到沒有打補丁的微軟IISWebServer,病毒利用被感染計算機中用戶的通訊簿發送帶毒郵件,郵件帶有一個README.EXE的附件,但收件人無法看到該附件;大規模的郵件發送將導致網絡阻塞甚至癱瘓,同時病毒用自身的文件代替系統中的正常文件,改變系統的安全設置,導致系統出現重大安全隱患、無法正常工作甚至宕機。至今“尼姆達”病毒已使得全球數十萬臺電腦被攻擊。
▲2001年09月25日
一種喬裝成讓用戶就美國政府是否應該針對9·11恐怖事件向阿富汗動武進行表決、但實際上目的在于刪除用戶計算機中的文件的新病毒在互聯網上出現。這種名為“戰爭投票”的病毒到目前為止尚未全面傳播開來,它通過電子郵件的形式蔓延,主要攻擊裝有微軟Outlook電子郵件系統的計算機。
▲2001年10月26日
我國計算機病毒應急處理中心陸續接到用戶報告,反映計算機染上一種未知的新型病毒——“求職信”病毒。這種病毒通過電子郵件感染計算機,郵件用英文書寫,內容與求職有關。該病毒通過電子郵件、磁盤、局域網三種方式傳播。
▲2001年11月4日
冠群聯想公司提醒用戶注意一種新型郵件病毒Redesi。據悉,該病毒通過偽裝成微軟產品的安全補丁或其它多種形式來借助電子郵件傳播,一旦受其感染,該病毒會在11月11日發作并格式化受染用戶的C盤,造成用戶計算機不能正常啟動和大批數據文件的丟失。計算機用戶還是應該及早安裝專業防病毒軟件和及時更新反病毒代碼庫,保護自己的計算機,遠離病毒的破壞。
▲2001年11月9日
從今年9月中旬開始在網絡上肆虐的“尼姆達”病毒近日出現新變種。這個新變種名為“尼姆達·E”。這個新病毒與原病毒的破壞效果一樣,但病毒中的一些文件已經被重新命名,而且病毒的作者還在其中加入了一封信。電腦病毒作者的信很像普通軟件中的版權聲明,作者還惡作劇式地指出,他不喜歡自己設計的這種電腦病毒被稱為“尼姆達”,而希望它被叫做“概念病毒”。
▲2001年11月11日
中國出現破壞性極強的“本·拉登”病毒。作為惡性網絡蠕蟲尼姆達?中國一號 病毒的變種,傳染能力和破壞性極強。病毒制造者針對一些殺毒軟件查殺尼姆達病毒的解決方案,對原病毒程序做了修改,并采用壓縮和加密技術,將病毒信息加密,并在病毒中聲稱“這不是尼姆達”病毒。病毒可感染用戶使用的微軟視窗操作系統。該病毒利用微軟OUTLOOK的漏洞,當用戶瀏覽含有病毒的郵件時,病毒就會對用戶的電腦進行感染和破壞。一旦用戶將鼠標箭頭移到帶有病毒體的郵件名上時,便受到該網絡蠕蟲的感染,被感染的電腦會自動發送大量帶有病毒的電子郵件。專家指出,這一病毒的破壞性等于“歡樂時光”和“藍色代碼”兩個惡性網絡蠕蟲病毒的總和。
▲2001年11月27日
一種名為“Badtrans”(壞透了)病毒開始迅速蔓延。這種病毒英文名為I-WORM/Badtrans.b,通過微軟的Outlook侵入電腦系統,它還能夠進行自我復制,并將復制的病毒傳給微軟Outlook地址簿當中的其它郵件地址。病毒攜帶一種鍵盤記錄程序,它可以記錄人們通過鍵盤錄入的信息,從而跟蹤用戶密碼或信用卡號碼。
▲2001年12月5日
一種名為“無可救藥”的新型計算機病毒正在發作,這種病毒通過電子郵件傳播,具有很強的破壞力。“無可救藥”病毒是通過帶有附件的且主題為“你好”的郵件進行傳播的,附件是寫有“你好嗎?”字樣的屏幕保護。它甚至能夠破壞計算機內的殺毒軟件,因此破壞能力很強。
▲2001年12月6日
一種以電子郵件傳播的新電腦病毒“Goner”(將死者),偽裝成一種屏幕保護程序,正快速入侵企業及個人電子郵件信箱,刪除和安全相關軟件的檔案。這種在附件上發現的病毒以“GONE.SCR”的文件名潛伏在被感染的電腦內地址簿的所有名字中,一旦這個附件被打開,病毒就會自行寄給地址薄上的所有人,嘗試關閉正在運作的程序,及刪除一些系統檔案,包括防病毒軟件。
▲2001年12月11日
以色列警方逮捕了4名涉嫌制造并傳播新電腦病毒“將死者”?Goner 的少年。
▲2001年12月15日
一種名為Gokar的群發郵件蠕蟲病毒開始在網上蔓延,大企業網絡系統如果感染該病毒,可能會陷入癱瘓。
▲2001年12月20日
一種新發現的電腦病毒“Reeezak”開始在歐美傳播,它藏在“祝你新年快樂”的電子郵件內,預計會在圣誕和新年期間肆虐,令電腦用戶的“新年不快樂”。該病毒也稱W32.Zacker.C和W32.Maldal.C。它與最近出現的Goner病毒很相似,會摧毀視窗操作系統和微軟的Outlook程序。
▲2002年1月
這個月benny又有新作問世,這一次他的目光不再是跨win32和linux平臺,而把目光轉向了,微軟的C#和.NET。
這個病毒長度為8k,運行后感染當前目錄所有.net的可執行文件,病毒的癥狀是彈出一個對話框:
This cell has been infected by dotNET virus!
.NET.dotNET by Benny/29A
這個病毒并不駐留內存,通過行為來看,其傳播能力有限,活躍的vxer中,benny是比較溫和的,很少見到他編寫的病毒大泛濫,這次他依舊傳承以往風格,沒有散布病毒,而是直接提供給了反病毒企業。
也許類似benny這樣的邪派高手,也有幾分正氣和自己的原則,只是為了證明,反病毒技術趨勢是在我的引導下前進。但不論如何,反病毒產品和安全技術,確實是在與惡意程序與攻擊手段的不斷對抗中發展進步的的,這種對抗將貫穿信息技術發史,可能永遠不會終結。
▲2002年2月
第一個感染FLASH文件的病毒,就在本月誕生,與以往病毒不同的是,這是一個觸發式的“被動病毒”,長度為926個字節,這種新病毒利用了某個Flash播放器漏洞,當播放器播放一個受感染的文件時,就會產生錯誤,釋放出一個926個字節的v.com,并感染目錄下其他flash文件。顯然,這是接見了類似buffer overflow的手法,事實上,通過對各種播放器和編輯器的深入分析,都可能找到類似的漏洞。
這個月另一個看點是myparty,雖然在國外傳的很猛的myparty在國內沒有創造新高,不過也值得提防。
從俄羅斯進入的I-worm.myparty也用了類似的手法,而且有所“創新”,他把附件命名為www.myparty.yahoo.com,偽裝成了一個網址,誘騙用戶點擊,事實上,.com為擴的文件是可以被直接執行的,而且在微軟win32平臺下,沒有dos下嚴格的文件名限制,一個pe可執行程序,無論擴展名,為.bat、.exe、.com、.pif、.lnk等都可以直接運行。
I-worm.myparty此招一出,頓時有人效仿,馬上蹦出了一個附件名為http.www.sex.com的病毒。可能網民中的SOSEX一族又要吃些苦頭了。
▲2002年3月
這個時候一個模仿成微軟更新公告的蠕蟲正在網上傳播,風格象是一個典型的微軟安全公告,甚至還提及到幾周前微軟發布的一個真正的安全更新信息。他要求用戶執行名為“q216309.exe”的附件,附件被執行后,蠕蟲在用戶系統上開放后門,并象以往的Outlook蠕蟲那樣,通過用戶地址列表傳播。
不過要說大毒還是I-Worm.Hybris蠕蟲的變種,這個蠕蟲的變形能力堪稱一絕,其發送標題為Snowhite and the Seven Dwarfs的郵件,sexy virgin.src(18944字節),看起來似乎是一個屏保而且附件題目對男性頗有誘惑!!
▲2002年4月
這個絕相對平靜一些:
i-worm.porkis。這是一個通過Outlook來傳播的Internet蠕蟲病毒,它把自己做為附件:Porkis.exe發送地址薄中的所有聯系人。這個附件一旦運行,蠕蟲會用意大利語顯示一個消息框。
此蠕蟲病毒不僅拷貝自身到windows目錄,并建立一個新文件dllmgr.exe,還會修改注冊表以便在系統下次啟動時自動運行。在重新啟動后,蠕蟲經過短暫的延遲,它會試圖連接到系統默認的SMTP服務器,并發送自己給所有地址薄中的聯系人。
此病毒主要危害為侵占系統資源,造成大量的垃圾郵件。
▲2002年5月
中文"求職信"
一個以中文作為病毒主要偽裝信息的惡性郵件病毒出現,帶毒郵件附件名為hello.exe,在偽裝信息和傳播方式上與目前正在流行的“求職信”病毒非常相似,不同之處在于,“求職信中文版”可以自動刪除擴展名為exe、dll、dat、mp3、doc的文件。
第一種通過Kazaa文件交換系統傳播的惡意程序。
5月17日,有人報告發現了Benjamin蠕蟲。該蠕蟲對數據的破壞性不大,它不刪除信息,只是狂吃硬盤空間使得數據傳輸通道受阻,讓Kazza網絡用戶的通訊出現困難。
Benjamin病毒的傳播方式是:創建對Kazaa網其他用戶開放的目錄,然后在這個目錄里使用病毒自身攜帶的名稱列表大量(可能數以千計)地進行復制。當網絡用戶搜索的名稱剛好和病毒攜帶的假名相同時,用戶就在不知不覺中從被感染的電腦上下載了病毒。下載以后,Benjamin 病毒發出一個假錯誤報告,警告用戶文件可能已被破壞,然后它卻在系統目錄里面自行復制,并在系統注冊表里面創建兩個鍵。
除了吞噬硬盤空間之外,Benjamin 病毒還打開名為benjamin.xww.de的網頁,并展示廣告。5月20日上午,Benjamin.xww.de網站表示,它的域名被盜用,現已關閉。
該病毒很容易清除,只要刪除被感染文件即可。
5月20日,安全服務公司Riptech提醒用戶說,一種攻擊微軟公司SQL服務器數據庫的新型蠕蟲目前正在互聯網上蔓延。
賽門鐵克、Network Associates公司和SecurityFocus公司也報導了該蠕蟲的蔓延現象,這種蠕蟲目前有多個名字,如SQLSnake、DoubleTap,專家稱該蠕蟲并不會造成大范圍的破壞。
微軟一名發言人說,這種蠕蟲只會影響運行SQL服務器7.0版本的系統,因為該版本的系統管理員的口令在默認設置時為空。而SQL服務器2000則沒有設定默認口令為空,因此這些系統也就不會受到攻擊。
微軟于21日在公告中向企業客戶建議了一系列步驟,第一步就是要確保系統管理員口令不再為空。微軟表示,如果客戶安裝了4月17日發布的補丁程序,他們的計算機就會免遭這種蠕蟲的攻擊,該補丁程序可以從微軟網站上下載。
Riptech公司建議用戶檢查所有系統的配置,立即禁用任何運行SQL服務器的配置。另外,它還提醒他們千萬不要遠程接入MSSQL 守護程序,因為只有Web服務器、內部應用程序和其它可信系統才有權直接與SQL服務器交互。
該蠕蟲病毒是使用Microsoft Visual Basic寫的,病毒的大小是28KB。病毒執行時它會查看系統是否裝有MSN Messenger,病毒會發響應的信息到MSN Messenger。信息如下:
(Hej ... Kan vi inte ha c6 ? ... sn?lla ?)
5月21日,Macfee證實專挑SQL服務器為攻擊對象的蠕蟲(Worm):SQLSPIDA.B已于菲律賓現身。該病毒會搜集相關信息并寄給特定的電子郵件地址,這將使得攻擊者可以借著后門程序,遠程取得SQLServer的所有資料。
趨勢科技建議使用者立即更新至最新病毒代碼并使用防毒軟件掃描,若是發現系統當中有TROJ_SQLSPIDA.B、BAT_SQLSPIDA.B和JS_SQLSPIDA.B等程序,需立即將其刪除,并且徹底移除非內部授權的系統管理者。
SQLSPIDA.B是JavaScrip蠕蟲,它是由幾個Component文件所構成,SQLSPIDA.B會復制相關組件至SQLServer系統,以危害系統安全。其中的一個Component文件夾是BAT_SQLSPIDA.B,這個批處理文件主要是用來竊取IPaddress和隨機數產生password,以入侵SQL服務器。另外一個文件夾是Trojan_SQLSPIDA.B木馬程序,它會通過TCPport1433掃描SQLServers的IPaddresses。由于它會使用100個線程(thread)進入這個Port,并試圖產生1萬次的連接以致造成局域網絡帶寬受阻。
一旦SQLSPIDA.B成功地完成所有動作,它將會在現行目錄下產生一個“.OK”的文件夾,否則將產生“.FAIL”文件夾。從某些組件文件夾中,可以發現以下病毒作者留下的字符串,看來他還想跟熱門電影SpiderMan蜘蛛俠沾上邊呢!
▲2002年6月
VBS/Chick-F,來踢球!!
據Sophos抗病毒公司稱,“VBS/Chick-F”病毒以電子郵件的形式傳播,它作為壓縮的HTML文件以附件存在。郵件的主題為:“回復:韓日世界杯賽事結果”,一旦該附件被執行,此時計算機屏幕將顯示“利用activeX(微軟倡導的activeX網絡化多媒體對象技術)瀏覽韓日世界杯賽事結果。”
如果ActiveX被激活,病毒將對在計算機的所有硬盤上搜索IRC可執行文件。一旦文件被搜索到,該病毒將作為“koreajapan.chm”文件被自動復制到C盤中。此后,該病毒將向“Microsoft Outlook”通訊簿中的第一個用戶發送同樣主題的電子郵件。
Sophos公司高級技術顧問Graham Culley表示:“病毒的作者正是看準了球迷想了解比賽結果的急切心理。”Sophos公司亞洲常委董事Charles Cousins稱,到目前為止,公司還沒有接到有關計算機感染的報告。但自從本周四以來,陸續有用戶向支持中心咨詢該病毒。目前,Sophos公司尚未檢測到病毒的發源地,但公司表示,這種病毒不會大規模爆發。
早在5月份Sophos公司就警告球迷,世界杯期間不要隨下下載文件,以免遭病毒的入侵。
據悉,世界杯期間最惡毒的病毒產生于1998年法國世界杯。這種病毒要求用戶在兩支球隊之間選擇比賽勝負結果,如果用戶選錯結果,就會引發病毒代碼,并導致硬盤的所有文件丟失。
與此同時微軟傳出消息,他們被病毒感染了!!
全球第一大軟件制造商美國微軟公司表示,該公司在不經意中發布了一個韓語版的在線服務開發軟件,這個韓語版的在線服務開發軟件被臭名昭著的尼姆達病毒感染了。
微軟公司稱,他們是在韓語版的微軟Visual Studio .NET開發軟件中發現這個病毒的。微軟公司表示,這個病毒預計不會造成任何破壞,因為它實際上是處于睡眠狀態的,這個病毒所在的位置是在軟件一個相對安全的地方,不會出現被激活的危險。微軟公司產品部門經理克里斯托弗-弗勞萊斯(Christopher Flores)表示,公司已經發布了補丁軟件和干凈的、沒有病毒的新版本軟件。
弗勞萊斯稱,這個病毒是微軟公司的一個員工在5月末發現的,病毒藏身于一個壓縮的、不經常使用的文件中。這個文件來自一家幫助微軟公司開韓語版在線服務開發軟件的公司,由于這個軟件投放市場還不到90天,因此它不會造成大的危害。弗勞萊斯表示,“我們已經對產品開發過程采取了嚴肅的監控步驟,保證此類問題不再發生。我們對這家公司的產品過于信任,沒有詳細檢查這個文件的內容。”
6月6日下午,一種新的智能型病毒“中國黑客”病毒被瑞星、金山、江民等公司發現。在分析之后發現,它是繼“中文求職信”之后的又一個國內病毒編寫者制造的“高級”病毒,其傳染力與“紅色代碼”不相上下。
據某公司技術副總經理談文明介紹,這是一個罕見的“智能型”病毒,目前被截獲的只是該病毒的初級版本,許多實質性的破壞程序并沒有加載在病毒上,但是病毒的編寫者已經準備好所有的程序接口,病毒隨時通過各種方法來傳染,而且速度極快,能夠繞過殺毒軟件的層層關卡進入機器內存。由于該病毒通過郵件傳染(生成以被感染機器名開頭的.eml文件),具備自啟動功能,在Outlook中一旦被點中就會自動啟動,它會把自身拷貝到Windows/system 32的目錄下,并命名為Runouce.exe機器,同時啟動這個文件。
6月13日,McAfee 向新聞界發布了有關 W32/Perrun病毒的消息。McAfee稱,該病毒是第一個感染JPEG文件的病毒。用戶和反病毒軟件銷售商對McAfee Security的這個做法提出了質疑。
McAfee 稱,從病毒作者那里得到的Perrun 病毒利用可執行文件感染圖像文件,然后再試圖擴大感染至同文件夾的其它圖像文件。該病毒依賴于可執行文件,沒有該類文件便無法發作。
當時,McAfee 反病毒應急小組(McAfee AVERT)高級主管Vincent Gullotto稱,該病毒的發現有可能導致重新制作反病毒程序。該病毒也有可能因此會出現變種,它們將把病毒的可執行部分嵌在圖像文件或網絡中。
自從 McAfee 發布該病毒以來,瀏覽網頁和電子郵件列表的用戶對Gullotto 所說的可執行文件可能被嵌入JPEG文件的說法爭論不休。
甚至Gullotto的一些反病毒界的同事也持有不同意見。McAfee的競爭對手Sophos PLC 反病毒公司當時也對新聞界發表了看法,認為該病毒沒有那么嚴重。Sophos 在McAfee宣布發現該病毒前就已經在實驗室將此病毒研究了兩天,但他選擇了沉默,因為該病毒“真的只是為了證明一種概念,它看似嚴重,卻不會造成什么后果。”
Gullotto 承認,目前,將可執行文件嵌入JPEG文件可能無法成功。但他強調,McAfee 更關心的還是將來。因為隨著軟件和文件類型的改變,圖像文件和其它數據文件有可能會增加運行可執行文件的能力,這就會使該病毒成為一個問題。
6月20日左右
一種神秘的手機病毒在山東省淄博市首次被發現。
在聯通公司客戶服務中心的受理記錄上,記載了王先生這款諾基亞5110型手機瞬間失靈的過程:王先生的手機在不到1分鐘時間內連續接收到3條短信息,在未閱讀的情況下,這3條短信息自動進行了存儲。后來,王先生在打開這3條短信息的操作過程中,手機突然失靈,鍵盤不能操作。
據聯通公司技術人員介紹,正常情況下,手機收到短信息后,手機屏幕會顯示“×條新信息”,需要機主按顯示鍵閱讀,而這3條短信息發來后,手機卻自動進行了儲存。技術人員在征得王先生的同意后,對手機進行了拆解,設法打開了這3條短信息,手機顯示屏上顯示,這3條短信息全部是亂碼。隨后,技術人員將3條短信息刪掉,重新組裝后,手機恢復正常。
經查詢相關資料,技術人員確認,這款諾基亞手機遭受了病毒侵害,目前尚不知道該病毒的名稱、發作規律、對手機的損害程度。據技術人員介紹,該病毒主要傳播途徑是“點對點”發送短消息和從網上下載鈴聲。
▲2002年7月
英文名為W32/Lavehn.A的蠕蟲病毒傳入國內,這個蠕蟲病毒會刪除被感染主機上的以.xls, .doc, .mdb, .mp3, .rpt, 或.dwg等為擴展名的所有文件。當這個病毒運行時,它會發送自己到被感染主機上的Microsoft Outlook地址簿中的所有聯系人。該病毒通過修改系統注冊表來達到自動執行病毒文件的目的,它會把自己拷貝到windows系統目錄下,通過把值%System%"UNHEVAL.EXE添加到以下注冊表項:
HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows"CurrentVersion"Run
HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows"CurrentVersion"RunServices ,達到系統啟動時自動執行病毒的目的。
美國東部時間7月15日(北京時間7月16日),一種名為“Frethem.J”的新型計算機病毒開始在互聯網上傳播。
現在我們已經揭開了Frethem.J神秘面紗,它是一個新的電子郵件蠕蟲病毒。作為主要的特征,這個蠕蟲能夠自動運行電子郵件中的附件,因為它利用的是IE5.01和5.5所存在的漏洞。
Frethem.J會通過e-mail發送到你的電腦,主題是Re: Your password!郵件內容如下:
ATTENTION!
You can access very important information by this password DO NOT SAVE
password to disk use your mind now press cancel(“你可以通過這一密碼獲得非常重要的信息,請不要保存密碼,記下它然后點擊取消鍵。”)這封郵件包括兩個文件password.txt和decrypt-password.exe 后面這個文件一般包含病毒。
由于IE的漏洞,不管用戶是不是手動打開這個文件,這個文件都會被運行,它會常駐到內存,在進程里面會有一個taskbar 的進程。
此后,Frethem.J會從注冊表和Outlook Express中收集它所要攻擊的帳號信息。另外,它還會尋找電腦的e-mail服務器的配置信息,來建立與它之間的直接連接,因此用戶就無法察覺他的電腦正在向外發送帶毒郵件。
最后,Frethem.J會在注冊表里面建立一個入口,當系統重啟的時候能夠保證它的活動不受干擾。
(Win32.Hezhi) 病毒,這種病毒較以往的最大的不同之處就是,該病毒采用了很高的加密及反跟蹤技術,因而不但具有很強的隱蔽性,且不易為一般防病毒軟件所查殺。該病毒還有幾個別名:Win32.Flagger、Win95/Gundam.12618、Win32.Hezhi。
Win95.Flagger是一個駐留內存的多變型病毒,可感染 Windows 95/98/NT/2000系統的 PE 可執行文件。可通過任何無保護的網絡共享進行傳播,因此病毒會最先感染共享目錄中的可執行文件,并且它還會將自身登記為一個服務進程,使用戶在斷網時病毒仍然能夠工作(只在Windows 9x下)。另外,由于在Windows 9x系統中該病毒使用了虛擬設備驅動(VxD)技術,因此病毒的執行效率較高。在被激活的情況下,用戶只需進行打開或右鍵點擊或刷新圖標等動作,病毒就可以進行感染。在11月20日,該病毒會將對可執行文件的感染操作改為刪除,而且該病毒會刪除任何以AVCONSOL開始的文件。
▲2002年8月
重大病毒沒有出現——看樣子病毒也休暑假!!
▲2002年9月
這個絕好像沒有太有特色的新病毒。
不過此時的TaiChi病毒發作日期將近,這個病毒比以往的病毒特殊一些,是一個純種的WinNT病毒,技術上有SFCpatch和NTPatch以及LSApatch,應該說是功能上集合數款病毒之常的東西,值得一提的是他的NT專用感染方式使感染變得更加快速,不可預測.其發作癥狀是把WinNT的開機畫面換成一個29A的圖像。該病毒出自29A的Ratter之手。
▲2002年10月
Thursday, October 17 2002 5:34 PM Bugbear病毒(也叫Tanatos)可能不是某種全新的蠕蟲病毒;它看起來象去年的Badtrans病毒的一個變種。但它卻是目前互聯網上傳播最快的病毒。 (ps::只瘋狂了兩個星期就開始下臺了!!)
在度過了幾個沒有大的病毒爆發的平靜月份之后,反病毒公司提醒計算機用戶小心一個類似尼姆達病毒的復雜的病毒。但是,Bugbear其實是一段并不特別惡意的針對Windows病毒代碼,卻成為近日大家矚目的焦點,它怎么能夠這么快就有這么廣泛的影響呢?
首先,Bugbear病毒非常具有欺騙性。被感染的電子郵件被冠以諸如“Get 8 free issues--no risk”或者“My eBay ads”這樣的標題,這樣它們就會冒充普通的垃圾郵件進入你的收件箱。和Sircam蠕蟲病毒一樣,Bugbear病毒對于回復地址進行了偽裝,所以你不能夠找出是誰把這封被感染的電子郵件發送給你的。
該病毒對被感染的電子郵件的附件的后綴名也進行了偽裝,這樣用戶可能會以為附件是某種類型的文件,而實際上它卻是另外一種文件。所以,比如說附件的后綴名可能表示它是個“.jpg”文件,可實際上它卻是個“.exe”文件。
即使不打開附件,Bugbear病毒也可以通過利用一個已知的微軟IE的漏洞來感染你的電腦。由于Outlook使用IE來查看HTML格式的郵件,所以只要在Outlook中預覽這個郵件就足以使你的電腦受到感染了。IE 6.0的用戶不會受到Bugbear病毒的感染。對于IE 5.01和5.5的用戶,微軟在18個月前提供了一個補丁:MS01-020。尼姆達病毒在一年前也是利用了同樣的漏洞。
其次,Bugbear病毒的傳播速度非常之快。在一個網絡中,它只需要一個可被感染的系統就有了立足點。一旦它感染了一個未被保護的系統,它就可以傳播到另一臺電腦--甚至打印機--通過137端口開放的NETBIOS文件共享。如果Bugbear病毒感染了一臺網絡打印機,它將導致該打印機不能正常工作,比如打印很多張只有一行內容的紙。去年的尼姆達病毒也會影響打印機。
第三,Bugbear病毒非常難以被清除。一旦該病毒感染了一個網絡,除非所有的病毒傳播路徑都被切斷了,否則IT部門的維護人員根本不可能把它清除。幾個IT部門報告說當他們在五樓清除該病毒的時候,它流竄到了四樓,或者某個衛星辦公室之中。
第四,和今年早些時候發作的Klez病毒一樣,Bugbear病毒關掉了幾乎所有主要的桌面防火墻和殺毒軟件。如果你不能夠確定自己的機器是否感染了Bugbear病毒,請檢查一下你的放火墻和防病毒軟件是否工作正常。
Bugbear病毒最危險之處在于它包含了一個可以記錄你鍵盤輸入的特洛伊木馬軟件。這就意味著這個病毒的編寫者可以通過監聽TCP端口36794來獲取你在你被感染了的機器鍵盤上所進行的所有操作的信息,包括你的信用卡號碼和你的密碼。這個特洛伊木馬軟件讓惡意用戶可以遠程接入你的機器,刪除或者添加文件而不須經過你的許可。而且,惡意用戶可以調動全世界范圍內被感染的機器進行一場協作分布式拒絕服務攻擊。不過到目前為止,還沒有明顯證據表明已經有人成功地這樣做了
▲2002年12月
12月27日,趨勢科技發布WORM_WINEVAR.A中度風險病毒警報。這只名為四角獸「WORM_WINEVAR.A」的新病毒,利用電子郵件方式,迅速在全球各地擴散。尤以歐洲地區最為嚴重,目前已有數千臺計算機受感染,在韓國、美國也有零星災情傳出。此病毒感染行徑類似日前掀起軒然大波的求職信系列病毒。
WORM_WINEVAR.A病毒攻擊手法和先前造成軒然大波的WORM_KLEZ求職信系列病毒類似,不需執行郵件附件,只要預覽此病毒信件,就會受到病毒感染,而且一旦不小心中毒,病毒便會大量寄發郵件給通訊簿中的人,造成服務器的負荷。此外,此「WORM_WINEVAR.A」病毒行為詭譎,專找IE漏洞,冒名大量發送電子郵件,還會卸載防毒軟件以及監控程序。用戶一但中毒后,下次再次開機時,會讓用戶硬盤中所有資料瞬間化為烏有,此外在桌面會出現一個explorer.pif的圖標,最狡猾的是,病毒信件發件人為:「計算機系統注冊的名字或收件者」,主題是:「N`4_被感染計算機所登記的組織名字」,由于主題只有N`4是固定的,后面則會隨機變化,所以不易被防毒軟件攔截,并且不易防范,用戶容易誤以為是某組織所寄送出來的通知信,一時不察開啟此信件后便中毒了。
▲2003年1月
巨無霸”Worm. SoBig.65536★★★★傳播方式:郵件
蠕蟲“巨無霸”驚現。最近發現并引起人們注意的郵件蠕蟲病毒是W32/Sobig.A,MessageLabs1月9號在荷蘭首先發現了該病毒,并迅速在全球各地蔓延開來,由于病毒郵件的發件人總是big@boss.com,該病毒被命名為Sobig。病毒是一個帶有SMTP引擎的大規模郵件病毒,也可以通過網絡共享方式傳播,還會從Geocities的一個網站下載一個TXT文件,該文件包括一個URL可以用來下載木馬程序。還可以通過在感染者硬盤上搜索特定文件來獲得大量郵件地址,也可以搜集地址簿和收件箱中的郵件地址發送病毒郵件。該病毒全稱Worm. SoBig.65536,傳播速度極快,危害性更是超過了前一段時間鬧的很洶的“硬盤殺手”。
“巨無霸”病毒感染后會修改注冊表中的系統啟動項,讓病毒程序自動加載,病毒郵件的主題是"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...,附件名為"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...,郵件內容為:”Attached file:”。有經驗的網管可以編緝相應的郵件規則,在服務器端拒收此類郵件,可免遭“撒旦”的攻擊。
DDos攻擊Hack.DDoSer.63600★★傳播方式:文件
這是一個用VC++編寫的黑客程序,程序采用UPX1.08壓縮,是連接很多人對目標機器進行DDos攻擊的工具。傳播速度一般,具有一定的危害性,運行后會不斷的訪問網絡對目標機器進行工具,除了耗一些資源和占用帶寬外,對本機無害,會修改注冊表的啟動項,指向系統目錄的文件Kernel32.exe。手工清除的方法:直接刪除該文件,恢復注冊表即可。
密碼圣手1.0服務端Trojan.mmss10Srv.20992★★傳播方式:文件
這是一個用VC++編寫的黑客程序,程序采用UPX壓縮,主要針對現在所流行的網絡游戲所編寫,適用游戲:Oicq,傳奇,奇跡,精靈,武魂,紅月,決戰,倚天,魔力寶貝,石器時代,邊峰,大話西游,千年,遺忘傳說,天使,等。有一定的傳播速度,對游戲玩家造成很大的危害。此病毒駐留內存,攔截游戲密碼,然后把密碼發送到下毒者的郵箱,郵箱地址位于木馬程序的0x64a位置,沒有使用加密機制。手工清除的方法:直接刪除該文件即可。
修理你Joke.Fixyou.294912
★★傳播方式:文件
這是一個用VC++的MFC編寫的玩笑程序,程序的注釋中標明:整人專家之精靈衛士,既可當作電腦安全衛士(防止他人亂動您的電腦),也可當作一惡作劇程序(用它來整人。當然,前提是對方不知道關閉它的方法)。軟件關閉有兩種方法:第一種是按下Ctrl鍵,同時點鼠標右鍵(Ctrl+鼠標右鍵)。第二種是按下Alt鍵,同時按F8鍵(Alt+F8)既可關閉。傳播速度和危害性都比較小。運行后會有一只灰白的熊在屏幕上爬動,所有的鍵盤操作被停止,包括Ctrl+Alt+Delete鍵。手工清除的方法:關閉該程序后,直接刪除該文件即可。
2003年1月25日,互聯網遭遇到全球性的病毒攻擊。這個病毒名叫Win32.SQLExp.Worm,病毒體極其短小,卻具有極強的傳播性,它利用Microsoft SQL Server的漏洞進行傳播,由于Microsoft SQL Server在世界范圍內都很普及,因此此次病毒攻擊導致全球范圍內的互聯網癱瘓,在中國80%以上網民受此次全球性病毒襲擊影響而不能上網,很多企業的服務器被此病毒感染引起網絡癱瘓。而美國、泰國、日本、韓國、馬來西亞、菲律賓和印度等國家的互聯網也受到嚴重影響。這是繼紅色代碼、尼姆達,求職信病毒后又一起極速病毒傳播案例。所以“蠕蟲王”蠕蟲的出現,應該成為一個傳奇……
▲2003年2月
硬盤殺手新變種 Worm.OpaSoft.18432.g ★★★★ 傳播方式:文件
此病毒運行之后所作的第一件事情就是刪除原來流行的“opasoft”病毒,從文件到注冊表,清理得倒是干干凈凈。不過也不奇怪,這個病毒本來就是屏幕保護病毒的一個變種。
▲2003年3月
惡郵差 Worm.Supnot.78858.c ★★★★ 傳播方式:郵件
四級惡性蠕蟲病毒“惡郵差”英文名稱Worm.Supnot.78858.c,是蠕蟲Supnot的最新變種,且改進了以前版本通過郵件傳播方面的性能,手段極其“惡毒”。
“惡郵差”病毒典型破壞行為是能夠根據收件箱中的郵件內容自動回復郵件,每封郵件的附件中均攜帶病毒副本。由于接收者看到的是對已發送郵件的回信,很可能會打開過該郵件導致中招。由此郵件服務器可能會在極短時間內不堪重負而崩潰。病毒運行后會搜索本地目錄,通過收件箱中的郵件地址向外發送帶毒郵件傳播自身。病毒會根據收件箱里面的郵件回復帶毒郵件給原始發件人,這時的帶毒郵件的主題和內容就跟原始郵件有關。
口令蠕蟲 Worm.DvLdr ★★★ 傳播方式:探測445端口連接窮舉破解密碼
該蠕蟲主要攻擊系統為NT/2000平臺,通過探測445端口方式窮舉管理員密碼,并殖入一個后門程序使得該機器的安全性降低到0。金山毒霸反病毒應急處理中心緊急提醒大家,一定要給自己的超級用戶設定一個安全、強壯的密碼。
病毒類型:PE蠕蟲。
該病毒體較大,包含數個可執行文件。主體程序為DvLdr32.exe,為VC++6編寫,并采用aspack壓縮過。病毒自帶了兩份命令行工具,分別是psexesvc和Remote process launcher,均為sysinternals發布的正常網絡工具。并附帶有一份安裝包,負責在攻擊成功之后,在宿主機器上安裝VNC遠程控制工具。
該蠕蟲運行后,隨機選擇兩個IP段,連接對方445端口,該端口為Samba為和NT系統進行文件共享而開設端口。如果蠕蟲連接此端口成功,則使用自身附帶的一份字典進行窮舉探測對方的administrator用戶密碼,一旦探測成功獲得對方超級用戶密碼,則拷貝自身進入系統。
紅色代碼變種 CodeRed.F ★★★ 傳播方式:IIS
紅色代碼的最新變種病毒,主要是利用微軟IIS遠程緩存溢出漏洞獲得系統權限。然后在這個感染的Web服務器上植入木馬程序,給攻擊者完全的訪問權限,并嚴重威脅網絡安全。該最新變種對Windows 95, 98和ME系統不會造成危害,對Windows NT、2000系統上沒有安裝使用IIS的用戶也沒有危害。該變種病毒只攻擊沒有打微軟MS01-033補丁的IIS服務器。與紅色代碼前輩的區別僅在于,該變種病毒在低于34952的年份都可以運行。
一旦遭受感染,網絡安全就會受到嚴重威脅。但只有沒有安裝最后的IIS service pack的系統才會受影響。CodeRed.F是2001年出現的CodeRedII的變種,僅作一點修改。
▲2003年4月
經過了1-3月的鬧騰,終于靜下來了,不過更大的危機在后面
▲2003年5月
5月19日,Worm.SoBig.b,是1月11日在網絡上首次泛濫的“大無極病毒(Worm.sobig)”的一個新變種。該病毒發源于荷蘭,已于5月19日在美國、英國大面積泛濫
▲2003年6月
發現新的蠕蟲,Tanatos 變種“Tanatos.b” (aka Bugbear.b)。該版含有大量的破壞性功能,它可以感染保存在硬盤上很多程序的執行文件,同時還可以使被感染計算機上的機密信息外流。目前已發現了大量被感染案例。蠕蟲為Windows應用程序(PE EXE文件),大約72Kb(用UPX大包)。展開尺寸170Kb。是用Microsoft Visual C++寫成。
6月5日下午::一個來勢迅猛的蠕蟲病毒,命名為“姆瑪”(Bat.muma)。該病毒采用批處理命令編寫,并攜帶端口掃描工具,采用猜密碼的方式暴力破解局域網中的其它的計算機,而且程序使用一個死循不停的掃描局域網中的計算機,由于病毒自身的BUG,一旦在循環中出錯,就會不停的彈出出錯的對話框,使本地系統資源巨量消耗,直至死機。如果破解成功便瘋狂的復制自身,造成網絡的資源的極大浪費,最終阻塞網絡。