计算机病毒发展简史

计算机病毒发展简史【提要】普通病毒网络蠕虫病毒变形病毒【内容】计算机病毒的发展过程可分为三个阶段：普通计算机病毒、网络蠕虫病毒、和变形病毒。普通计算机病毒20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁心大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓的病毒的第一个雏形。20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导，这就是最早在世界上流行的一个真正的病毒。1988至1989年，我国也相继出现了能感染硬盘和软盘引导区Stone（石头）病毒，该病毒体代码中有明显的标志“YourPCnewStoned!”、“LEGALISEMARIJUANA”,也称为“大麻”病毒等。该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表。该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。类似这种特性的还有小球、Azusa/hong-kong/2708、Michaelangelo,这些都是从国外感染进来的。而国产的有Blody、Torch、DiskKiller等病毒，实际上他们大多数是Stone病毒的翻版。20世纪90年代初，感染文件的病毒有Jerusalem（黑色13号星期五）、YankeeDoole、Liberty、1575、Traveller、1465、2062、4096等，主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显地增加了字节数，并且病毒主体代码没有加密，也容易被查出和解除。这些病毒中略有对抗反病毒手段的只有YankeeDoole病毒，当他发现您用DEBUG工具跟踪时，他会自动从文件中逃走。以后又出现了引导区、文件型“双料病毒”，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有flip/Omicron、Xqr（Newcentury）、Invader/入侵者、Plastique/塑料炸弹、3584/郑州（狼）、3072（秋天的水）、ALFA/3072-2、Ghost/OneHalf/3544（幽灵）、NATAS（幽灵王）、TPVO/3783等。其中，Flip/Omicron（颠倒）、Xqr(NewCentury新世纪)这两种病毒都设计有对抗反病毒技术的手段，Flip（颠倒）病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病毒在主引导区只潜藏了少量代码，病毒能将自身全部代码潜藏于硬盘最后6个扇区中，并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少6个扇区。Xqr（Newcentury新世纪）病毒又有他更狡猾的一面，他监视着INT13、INT21中断有关参数，当您要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让您搜索，使您认为一切正常，病毒却蒙混过关。这类病毒还有Mask（假面具）、2709/ROSE（玫瑰）、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、RranmaGrave/Burglar/1150、3783病毒等。之后出现的INT60（0002）病毒隐藏得更加神秘，他不修改主引导记录，只将硬盘分区表修改两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节所指向的区域。硬盘引导时，ROM-BIOS程序糊里糊嘟地按这两个字节的指向将病毒激活。而Monkey（猴子）、PC_LOCK（加密锁）病毒将硬盘分区表加密后再隐藏起来，如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换，那就再也进不了硬盘了，数据也取不出来了。1992年，DIR2-3、DIR2-6、NEWDIR2病毒以一种全新的面貌出现，具有感染力极强，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数，将文件名字与文件代码主体分离。在系统有此病毒的情况下，一切就像没发生一样。而在系统无病毒时，您用无病毒的文件去覆盖有病毒的文件，灾难就会发生，全盘所有的被感染的可执行文件内容都是刚覆盖进去的文件内容。该病毒的出现，使病毒又多了一种新类型。20世纪内，绝大多数病毒是基于DOS系统的，有80%的病毒能在Windows中传染。TPVO/3783病毒是“双料性”（传染引导区、文件）、“双重性”（DOS、Windows）病毒，这是病毒随着操作系统发展而发展。当然，Intenet的广泛应用，Java恶意代码病毒也出现了。脚本病毒“HappyTime快乐时光”是一种传染力很强的病毒。该病毒利用体内VBScript代码在本地的可执行性（通过WindowsScriptHost进行），对当前计算机进行感染和破坏。近几年，出现了近万种WORD（MACRO宏）病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，不分操作系统，再加上Intenet网上用WORD格式文件进行大量的交流，宏病毒会潜伏在这些WORD文件里，被人们在Intenet网上传来传去。早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剥析中，发现部分病毒好象出于一个家族，其“遗传基因”相同，简单地说，是“同族”病毒。但绝不是其他好奇者简单修改部分代码而产生的“改形”病毒。大量具有相同“遗传基因”的“同族”病毒涌现，使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产软件”。这种“病毒生产机”软件可不用绞尽脑汁去编程序，便会轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密匙也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是这些病毒的主体构造和原理基本相同。“病毒生产机”软件，其”规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前，国内发现的、或有部分变形能力的病毒生产机有“G2、IVP、VCL“病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。网络蠕虫病毒I-WORM.AnnaKourmikova就是一种VBS/I-WORM病毒生产机生产的，他一出来，短时间内就传遍了全世界。这种病毒生产机也传到了我国。Windows9x、Windows2000操作系统的发展，也使病毒种类和花样随其变化而变化。Win32.CAW.1XXX病毒是驻留内存的Win32病毒,他感染本地和网络中的PE格式文件.该病毒的产生来源一种32位的Windows“CAW病毒生产机”,该病毒生产机是由国际上一家有名病毒编写组织开发的.“CAW病毒生产机”能生产出来各式各样的CAW病毒生产,有加密和不加密的,其字节数一般在1000~2000内.目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等，在国际上流行的CAW.1XXX病毒的种类更多。Internet的发展，激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏，为世界带来了一次又一次的巨大灾难。1999年2月，“美丽杀”病毒席卷欧美大陆，是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。1998年2月，台湾省的陈盈豪，编写了破坏性极大的windows恶性病毒CIH-1.2版。1999年4月26日，这是一个令计算机行业难以忘却的日子，也就是到了CIH-1.2病毒第二年的发作日，人们起早一上班便轻松地打开计算机准备工作，可是打开一台计算机后，只看到屏幕一闪便就黑暗一片。再打开另外的几台，也同样一闪后就再也启动不起来了———计算机史上病毒造成的又一次巨大浩劫发生了。网络蠕虫病毒最早的网络蠕虫病毒作者是美国的小莫里思，他编写的蠕虫病毒是在美国军方大局域网内活动，但是必须事先获取局域网的权限和口令。世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的HAPPY99网络蠕虫病毒，当您在网上向外发送信件时，HAPPY99网络蠕虫病毒会顶替您的信件或随您的信件从网上跑到您的发信的目标，到1月1日，收件人一执行，就会在屏幕上不断爆发出绚丽多彩的礼花，机器就不再干什么了。2000年至今，是网络蠕虫开始大闹互联网的发展期。比较“著名”的有以下几个：1.I-WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序（如爱虫、美丽杀等），该蠕虫病毒具有较大的迷惑性：用户通过OutlookExpress收到的是一封来自您曾经发送过的人的回复信件，内容与您发送的完全一致，邮件主题、邮件的正文都一样，只是增加了一个电子邮件的附件，该附件的文件名称是：NAVIDAD.EXE文件，文件大小是：32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OutlookExpress邮件系统下自动传播，他会自动地给您的收件箱（而不是地址薄）的所有人发送一份该网络蠕虫病毒程序。2.I-WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的，文件名称是xromeo.exe和xjuliet.chm,该蠕虫程序的名称此而来。当用户在使用OE阅读信件时，这两个附件自动被保存、运行。当运行了该附件后，该蠕虫程序将自动发给Outlook地址薄里的每一个人，并将信息发送给alt.comp.virus新闻组。3.I_WORM/EMANUEL网络蠕虫。该病毒通过Microsoft的OutlookExpress来自动传播给受感染计算机的地址薄里的所有人，给每人送一封带有该附件的邮件。该网络蠕虫长度为16，896~22000字节，有多个变种。在用户执行该附件后，该蠕虫程序在系统状态区域的时钟旁边放置一个花一样的图表，如果用户点击该“花”图标，会出现一个消息框，是不要按此按钮。如果按了该按纽，会出现一个以Emmanuel为标题的信息框，当您关闭该信息框时，又会出现一些别的诸如“上帝保佑您”之类的提示信息。4.I-WORM/HTML.LittleDavinia网络蠕虫。这是一个破坏性极大的网络蠕虫，他可以清除硬盘上所有数据，他利用word2000的漏洞、E-mail等来传播。该网络蠕虫程序是复合型的，是HTML形式的、VBS文件结构、带有宏的网络蠕虫程序。该病毒还能修改系统的注册表，一旦修改注册表成功，该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件，采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字，被损坏的文件很难修复！5.I_WORM.AnnaKournikova网络蠕虫。程序使用了一个病毒制造机VBSWG制造并加密。该蠕虫程序发送的邮件的附件AnnaKournikova.jpg.vbs（以俄罗斯体育明星库尔尼科娃的名字命名的文件名称），他是一个VBS程序文件。当邮件用户不小心执行了该附件，那麽该网络蠕虫程序会给Outlook地址薄里的所有人发送一份该网络蠕虫程序，邮件的附件文件名是AnnaKournikova.jpg.vbs。如果机器的日期是1月26日的话，该蠕冲程序会自动将您指向一个位于荷兰的计算机商店的网络地址。6.I_WORM.magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook,NetscapeMessenger等其他电子邮件软件和新闻组在内的软件读取其中地址薄中的地址发送带毒电子邮件进行传播。该病毒采用了多变形引擎和两组加密摸块，病毒感染文件的中部和尾部，将中部的原文件部分代码加密后潜藏在病毒体内，病毒长为2.4万~3万字节。