1、计算机病毒,发展史,南通市旅游职业高级中学,徐炜,计算机病毒,是一段附着在其他程序上的,可以实现自我繁殖的程序代码。自从1985年在美国被当众证明其存在性之后,计算机病毒技术得到了突飞猛进的发展; 各路高手出于种种目的,纷纷编写了各式各样的计算机病毒,在Win-Intel平台上掀起了一股股计算机病毒狂潮。,第一个计算机病毒Elk Cloner,是美国匹兹堡一位高中生的恶作剧,恐吓的色彩并不严重。它主要骚扰不知情的Apple II用户,使对方的电脑屏幕显示出这样一首短诗:It will get on all your disksIt will infiltrate your chips Yes
2、its Cloner! (,这一年,是1982年。IBM的个人电脑刚刚诞生一年(针对PC的病毒,直到1986年才突然出现)。世界各国的科学和商业机构普遍还没有应用电脑,而计算机用户基本上是某些特定用户和技术发烧友,他们用软盘来交换文件。,从这个令人厌恶的“良性”病毒Cloner开始,电脑病毒在25年内经过了爆炸式发展,在世界各地迅速传播。尤其是互联网兴起之后,联入网络的PC和笔记本电脑都显得脆弱不堪,非常容易被恶意软件攻破,而恶意软件也从最初的小孩子的恶作剧,发展成一个巨大的产业。,DOS时代的著名病毒,耶路撒冷,Jerusalem,米开朗基罗,Michelangelo,猴子,Monkey,音
3、乐虫病毒,Music Bug,耶路撒冷(Jerusalem)这个古董级病毒其实有个更广为人知的别称,叫做黑色星期五。为什么会有这么有趣的别称?道理很简单:因为只要每逢十三号又是星期五的日子,这个病毒就会发作。而发作时将会终止所有使用者所执行的程序,症状相当凶狠。,DOS时代的著名病毒,耶路撒冷,Jerusalem,米开朗基罗,Michelangelo,猴子,Monkey,音乐虫病毒,Music Bug,米开朗基罗(Michelangelo)米开朗基罗的名字,对于一些早一点的电脑使用者而言,真可说是大名鼎鼎,如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外,更重要的是它的杀伤力惊人
4、:每年到了3月6日米开朗基罗生日(这也就是它为什么叫做米开朗基罗的原因)时,这个病毒就会以Format硬盘来为这位大师祝寿。于是乎,你辛苦建立的所有资料都毁于一旦,永无翻身之日。,DOS时代的著名病毒,耶路撒冷,Jerusalem,米开朗基罗,Michelangelo,猴子,Monkey,音乐虫病毒,Music Bug,猴子(Monkey)Monkey据说是第一个引导型的病毒,只要你使用被Monkey感染过的系统软盘开机,病毒就会入侵到你的电脑中,然后伺机移走硬盘的分区表,让你一开机就会出现Invalid drive specification的信息。比起文件型病毒只有执行过受感染文件才会中毒
5、的途径而言,Monkey的确是更为难缠了。,DOS时代的著名病毒,耶路撒冷,Jerusalem,米开朗基罗,Michelangelo,猴子,Monkey,音乐虫病毒,Music Bug,音乐虫病毒(Music Bug) 这个发作时会大声唱歌,甚至造成资料流失、无法开机的病毒,正是台湾土产的病毒。所以,当你听到电脑自动传来一阵阵音乐声时,别以为你的电脑比别人聪明,那很有可能是中毒了。其实这种会唱歌的病毒也不少,有另一个著名的病毒发作时还会高唱着两只老虎呢!,DOS时期的病毒,种类相当繁杂,而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的双体引擎,可以把一种病毒创造出更多元化的面貌,让人防不
6、胜防!而病毒发作的症状更是各式各样,有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的是,这些DOS时期的古董级病毒,由于大部分的杀毒软件都可以轻易地扫除,所以杀伤力已经大不如前了。,Windows时期的来临,宏病毒,32位病毒,宏病毒随着各种Windows下套装软件的发展,许多软件开始提供所谓宏的功能,让使用者可以用创造宏的方式,将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能,在经过有心人士的设计之后,终于又使得文件型病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件,而宏病毒则会感染W
7、ord、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是,这种宏病毒是跨操作平台的。以Word的宏病毒为例,它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。,在这些宏病毒之中,最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是:到了每月的十三号,只要您随便开启一份Word文件,屏幕上会出现一对话窗口,询问你一道庞杂的算数题。答错的话(这种复杂的算数大概只有超人可以很快算出来吧)就会连续开启二十个窗口,然后又出现另一道问题,如此重复下去,直到耗尽系统资源而
8、死机为止。虽然宏病毒有很高的传染力,但幸运的是它的破坏能力并不太强,而且解毒方式也较容易,甚至不需杀毒软件就可以自行手动解毒。,Windows时期的来临,宏病毒,32位病毒,32位病毒所谓32位病毒,则是在Windows 95之后所产生的一种新型态文件型病毒,它虽然同样是感染exe执行文件,但是这种病毒专挑Windows的32位程序下手,其中最著名的就是去年大为流行的CIH病毒了。,CIH病毒的厉害之处,在于他可以把自己的本体拆散塞在被感染的文件中,因此受感染的文件大小不会有所变化,杀毒软件也不易察觉。而最后一个版本的CIH病毒,除了每个月26日发作,将你的硬盘Format掉之外,有时候还会破
9、坏主板BIOS内的资料,让你根本无法开机!虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒,不过由于它的威力实在强大,大家还是小心为上。,1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播.,1988年是计算机病毒历史上一个转折点。那一年“莫里斯蠕虫”病毒在互联网上蔓延,给当时羽翼未丰的互联网以沉重打击。此后通过网络传播的各种病毒如魔鬼
10、一样出没。 1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”。,1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒, 可感染COM和EXE文件。,1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和 EXE同名但扩展名为COM的伴随体;它感染文件时,改原来的COM文件为同名的EXE文件,再产生一个原名
11、的伴随体,文件扩展名为COM,这样,在 DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。,在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和“海盗旗”病毒类似的一类病毒。,幽灵,多形阶段1994年,随着汇编语言的发 展,实现同一功能可以用不同的方式进行 完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半
12、”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。,1995年,在汇编语言中,一些数据的运算放在不同的通用寄 存器中,可运算出同样的结果,随机的插入一些空操作和无 关指令,也不影响运算的结果,这样,一段解码算法就可以由 生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。这一阶段的典型代表是“病毒制造机”VCL,它可以在瞬间制造出
13、成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。网络,蠕虫阶段1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。,1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法
14、也比较复杂。宏病毒阶段1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档等文件,在Excel和AmiPro出现的相同工作机制的病毒也归为此类,由于Word文档格式没有公开,这类病毒查解比较困难,1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒.,1997年,随着万维网(WordWideWeb)上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是Javasnake病毒,还有一些利用邮件服
15、务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它会严重影响因特网的效率 .,如今,计算机病毒变得更加活跃,木马、蠕虫、后门病毒等轮番攻击互联网,甚至出现了06年炒得火热的流氓软件。2000年以来,由于病毒的基本技术和原理被越来越多的人所掌握,新病毒的出现以及原有病毒的变种层出不穷,病毒的增长速度也远远超过的以往任何时期。根据最新的07年上半年病毒总结发现,紧上半年新增病毒就达11万种,其中以盗取用户信息为住的木马程序就占到了7成。,今天,计算机病毒林林总总,无孔不入,其发作模式与早期大举进攻、损毁数据的暴露型已有不同,选择的是一种更为安静的袭击方式,远程控制电脑,组成“僵尸网络”,或者窃取用户身份、信用卡信息以及其他商业数据等。以“僵尸”、间谍软件、钓鱼软件等为代表的新一代病毒已经成为金融犯罪的重要工具,并衍生出一种生意兴隆的“地下经济”。,为了消灭计算机病毒,反病毒产业应运而生,至今规模已达到数十亿美元。不过,专家也不无忧虑地指出,控制计算机病毒的道路依然漫长。,
