谁打开了潘多拉的魔盒
显然,在巴贝奇的差分机上不存在任何病毒,早期基于电子管的电子计算机,比如说埃利亚特,也不可能有电脑病毒存在。但是Univac 1108,一个很古老的公司,一种很古老的机器,以及IBM360/370机器上,已经有一些可以看成是病毒的程序存在,比如“流浪的野兽”(Pervading Animal)和“圣诞树”(Christmas tree),因此,可以认为最早的病毒出现在七十年代初甚至六十年代末,虽然那时候没有任何人称这些程序为病毒。
一般意义上的病毒(可以运行在IBM PC机及其兼容机上)一般认为是在1986年左右出现的。从那以后的十五年时间里,出现了大概6万余种病毒,病毒的数量不断增大,和病毒制作的技术也逐步提高,从某种意义上,病毒是所有软件中最先利用操作系统底层功能,以及最先采用了复杂的加密和反跟踪技术的软件之一,病毒技术发展的历史,就是软件技术发展的历史。
下面我们将尽可能详细的描述病毒发展历史上的重要事件,以及这些事件的背景。
萌芽时期,磁芯大战
五十年代末六十年代初,在著名的美国电话电报公司(AT&T)下设的贝尔实验室里,三个年轻的程序员:道格拉斯、维索斯基和罗伯特•莫里斯,在工作之余编制了一个叫“磁芯大战”(core war)的游戏。“磁芯大战”基本的玩法就是想办法通过复制自身来摆脱对方的控制并取得最终的胜利,这可谓病毒的第一个雏形。虽然由于这种自我复制是在一个特定的受控环境下进行的,所以不能认为是真正意义上的病毒,但是这些软件的基本行为和后来的电脑病毒已经非常类似了。
六十年代晚期到七十年代早期:
这个时候是大型电脑的时代,就是那种占据了几个房间的大家伙。在大型电脑时代,由于开发人员的错误或者是出于恶作剧的目的,一些程序员制作了被称为“兔子”的程序,他们在系统中分裂出替身,占用系统资源,影响正常的工作,但是这些“兔子”很少在系统之间相互拷贝。
这个时期,在一种型号的大型电脑—Univax 1108系统上,首次出现了和现代病毒本质上是一样的东西,一个叫做“流浪的野兽”(Pervading Animal)的程序可以将自己附着到其它程序的最后!
七十年代上半叶:
“爬行者”病毒,出现在一种叫做泰尼克斯(Tenex)的操作系统上,这个病毒可以通过网络进行传播(又一个伟大的进步,当然不是现在意义上的因特网,那个时代的网络就是一对一的,通过调制解调器—就是你上网用的“猫”,将一台电脑和另外一台相连接)。一种叫做“清除者”(Reeper)的程序也被开发出来专门对付“爬行者”,这可能就是病毒和反病毒的第一次战争。
八十年代早期
电脑已经在国外变得非常普遍了,出现了最早的独立程序员,他们在为公司工作的同时,出于兴趣的原因,写了很多游戏或者其他的小程序,这些程序可以通过电子公告板(BBS)自由的流传,窃取帐号和密码成了所有爱好者所梦寐以求的事情,也是体现他们在这个社区独特价值的最好机会,所以在这一时期诞生了无数的特洛伊木马(Trojan horses),他们尽力将自己伪装得和真正的登录程序和提示程序一模一样,这样就可以骗取不明真相用户的密码了。
BBS电子公告板:BBS(Bulletin Board Service)是Internet上的一种电于信息服务系统。它提供一块公共电子白板,每个用户都可以在上面书写,可发布信息或提出看法。大部分BBS由教育机构,研究机构或商业机构管理。象日常生活中的黑板报一样,电子公告牌按不同的主题、分主题分成很多个布告栏,布告栏设立的依据是大多数BBS使用者的要求和喜好,使用者可以阅读他人关于某个主题的最新看法(几秒钟前别人刚发布过的观点),也可以将自己的想法毫无保留地贴到公告栏中。同样地,别人对你的观点的回应也是很快的(有时候几秒钟后就可以看到别人对你的观点的看法)。如果需要私下的交流,也可以将想说的话直接发到某个人的电子信箱中。如果想与正在使用的某个人聊天,可以启动聊天程序加人闲谈者的行列,虽然谈话的双方素不相识,却可以亲近地交谈。在BBS里,人们之间的交流打破了空间、时间的限制。在与别人进行交往时,无须考虑自身的年龄、学历、知识、社会地位、财富、外貌、健康状况,而这些条件往往是人们在其他交流形式中无可回避的。同样地,也无从知道交谈的对方的真实社会身份。这样,参与BBS的人可以处于一个平等的位置与其他人进行任何问题的探讨。这对于现有的所有其他交流方式来说是不可能的。
BBS连入方便,可以通过Internet登录,也可以通过电话网拨号登录。BBS站往往是由一些有志于此道的爱好看建立,对所有人都免费开放。而且,由于BBS的参与人众多,因此各方面的话题都不乏热心者。可以说,在BBS上可以找到任何你感兴趣的话题。在Internet没有广泛流行的时期,BBS基本上就是电脑网络的全部,人们利用BBS交流信息,发布程序,当然也包括传播病毒和木马程序。
1981年
在苹果机上,诞生了最早的引导区病毒——“埃尔科克隆者”(Elk Cloner)这个病毒将自己附着在磁盘的引导扇区上。这个病毒有很强的表现欲望,再发作的时候,她会尽力引起你的注意,关掉显示器、让显示的文本闪烁或者显示一大堆乱七八糟的信息。
1986
最早运行在IBM PC兼容机上的病毒“大脑”(Brain)开始流行。这是一种感染360K软盘的病毒(不是我们现在使用的软盘,是很古老的5.25英寸的大盘,而且容量只有360K,现在在一些老型号的机器上还可以见到),由于所有的人对于电脑病毒都没有任何心理准备,所以这种病毒在制造出来之后,立刻在世界范围内迅速传播。巴基斯坦的两兄弟:巴斯特(Basit)和埃姆佳德(Amjad Farooq Alvi)制造了这个病毒,他们在病毒中留下一条信息,其中有他们的名字、地址甚至还有电话号码(我想现在不会有人这么干了,因为警察会在第二天就造访你留下的地址!)。
根据作者的说法,他们是软件开发商,制作这个病毒的目的是为了检验一下盗版问题在巴基斯坦的严重程度,也就是说,如果你使用了他们开发未经授权的软件,其中可能就包括了这个病毒,考察这个病毒的流行程度就知道盗版问题的严重程度了。遗憾的是病毒的蔓延远远超过了制造者的预计,这一病毒成为世界性的问题,也宣告了一个拥有病毒和反病毒软件的电脑时代的到来。“大脑”病毒还首次使用了巧妙的手段来伪装自己,如果你想要查看被病毒感染的地方,她会提供一个完好无损的东西给你。
同样在1986年,一个名叫莱夫•伯格(Ralph Burger)的程序员发现可以写出这样的程序:将自己复制之后然后加在一个DOS可执行程序的后面,在1986年12月,他首次发布了使用这一原理的病毒“VirDem”——“病毒魔鬼”?这可以认为是DOS文件型病毒的起源。
在中国,这一年公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修、学习计算机安全技术。
1987
这是电脑病毒技术飞速发展的一年,特别是DOS环境下的文件型病毒,在这一年得到了长足的进步。
“维也纳”(Vienna)病毒出现,这个病毒不是莱夫•伯格编写的,但是他得到这个病毒之后,对它进行了分析,并在他出的书《计算机病毒:高技术的瘟疫》中公布了分析的结果。这本书使得病毒制造的技术变得大众化了,书中详细的阐述了如何制造病毒,以及一些病毒构造的思路,在书出版以后,成百上千的病毒被这本书的读者们制造出来。
在这一年中,更多的IBM PC兼容机上的病毒出现了,这里面比较著名的有:“里海”(Lehigh),仅仅感染COMMAND.COM;“西瑞夫一号”(Suriv-1),又叫做”四月一号”感染所有的COM文件,“西瑞夫二号”( Suriv-2):感染EXE文件,值得一提的是,这是首个感染EXE文件的病毒,还有“西瑞夫三号”(Suriv-3),首次既感染COM文件又感染EXE文件。还有一些引导型病毒,比如出现在美国的“耶鲁”(Yale)病毒,新西兰的“石头”(Stoned)病毒和意大利的“乒乓”(PingPong)病毒。
另外,首次能够自我加密解密的病毒“小瀑布”(Cascade)也在这一年出现了。
这一年中,同样有一些非IBM PC兼容机上的病毒出现,比如在苹果机和土星机上的病毒。
1987年12月份,第一个网络病毒“圣诞树”(Christmas Tree)开始流行,这是一个使用REXX语言编写的病毒,在VM/CMS操作系统下传播。12月9号,“圣诞树”首次在西柏林大学的内部网络出现,然后通过网关(连接网络和网络之间的一种装置)进入欧洲学术研究网络,随后采用同样的方式进入IBM公司的内部网络。四天以后,由于不受节制的自我复制,整个网络充满了这个病毒的拷贝,从而造成了系统瘫痪。“圣诞树”病毒在运行之后,在屏幕上显示一个圣诞树的图象,然后把自己拷贝到当前所有的网络用户的机器上。
REXX语言,一种脚本语言,类似于DOS环境下的批处理程序。在IBM的操作系统中得到广泛的使用,是IBM版本的Unix—AIX环境下一种重要的开发工具。
1988
1988年,13号星期五,一些国家的公司和大学遭到了“耶鲁撒冷”(Jerusalem)病毒的拜访。在这一天,病毒摧毁了电脑上所有想要执行的文件。从某种意义上,“耶路撒冷”病毒首次通过自己的破坏引起了人们对电脑病毒的关注。从欧洲到美洲以及中东都有“耶路撒冷”病毒的报告,该病毒因攻击了耶路撒冷大学而得名。
在1988年,“耶路撒冷”、“小瀑布”、“石头”和“维也纳”病毒在人们没有注意的情况下感染了大量的电脑,这是因为当时反病毒软件远没有今天这么普遍,即使是电脑专家,也有很多人根本不相信电脑病毒的存在。皮特.诺顿,著名的诺顿工具软件的开发者,就宣称电脑病毒是不存在的,象纽约下水道的鳄鱼一样荒谬(不过具有讽刺意味的是,诺顿的公司仍然在数年以后推出了自己的杀毒软件)。
同时,利用人们对电脑病毒的恐惧,大量有关电脑病毒的笑话和恶作剧开始流行。最早一个恶作剧应该是麦克.罗齐埃里(Mike RoChenle)完成的,他在BBS上发布了一系列消息,描述了一种病毒可以在以2400波特率连线的时候,从一台机器复制到另外一台机器上。这个玩笑使得大量BBS用户放弃比较快的2400波特率,而使用1200波特率连接到BBS上。
波特率:上网速度的一种单位,每秒钟可以传送的数据的位数。波特率为2400表示每秒钟可以传送2400位,我们常用的文件大小的单位是字节,一个字节是8位,这样把波特率除以8就得到每秒传送的字节数,波特率为2400意味着每秒钟可以传送300个字节。现在一般通过猫上网的速度是56k,也就是波特率为56,000,除以8,我们就可以知道每秒钟传送的字节是7000字节,大概每秒钟7k左右,这是理想的速度,一般实际的传送速度会稍低于这个值,大概在每秒5-6k左右。
1988年11月:在这个月里,发生了一起重大的事件,“莫里斯的蠕虫”(Morris ‘s Worm),第一个因特网的病毒出现,该病毒在美国感染了超过6000台电脑(包括美国国家航空和航天局研究院的电脑),并使他们部分瘫痪,由于网络瘫痪造成的损失,预计超过9千6百万美元。“莫里斯的蠕虫”利用了VAX和SUN公司开发的Unix系统上的漏洞,使自己可以繁殖和传播(关于莫里斯是有意利用了这一漏洞还是还是程序本身的错误还存在争议,但是我倾向于认为是程序员有意的行为,这种自我繁殖带给制造者的满足感可能是这个病毒的作者最根本的动机了)。这一病毒同时还进行密码偷窃和权限修改等工作,可以认为这是最早木马类病毒的一次尝试。
1988年12月:在DEC.Net上也出现了蠕虫病毒,这个病毒的名字叫“嗨.来吧”(HI.COM),病毒在屏幕上输出一个云杉的图像,并告诉用户他们“不要继续工作了,回家享受好时光吧!”。同样在这个时候,反病毒软件已经开始成熟了,所罗门公司的反病毒工具(Doctors Solomon's Anti-virus Toolkit)成为当时最强大的反病毒软件。
1989年
新病毒“数据罪犯”(Datacrime)、“弗曼楚”(FuManchu)出现,病毒家族也开始出现,比如说“杨基”(Yankee)病毒,这个病毒在荷兰和英国造成了极大的恐慌,因为从10月13号到12月31号,它会格式化硬盘,摧毁所有的数据。
1989年9月,IBM进入反病毒软件市场,推出了IBM反病毒软件。
1989年10月,DECNet上出现新的蠕虫病毒,“手淫蠕虫”(WANK WORM)。
1989年12月:叫做“艾滋病”(AIDS)的特洛伊木马出现,大约2万张上面写着“艾滋病信息磁盘版本2.0”的磁盘被发放,启动90次以后,这个木马程序会加密磁盘上的所有文件名,设置属性为不可见,除了还有一个文件是可读的,其中包含了一张189美元的帐单,以及邮寄的的地址:巴拿马邮政信箱7#。当然,这一拙劣的敲诈行为使作者很快被起诉并送进了监狱。
1989年,大量的病毒流进俄罗斯,在这种情况下,俄罗斯的一些程序员开始开发自己的杀毒软件,著名的AVP软件(反病毒工具)在这一年首次发布。
1989年,引导型病毒“小球”和“石头”通过香港和美国进入中国内地,并在很少的一些大型企业和研究机构之间开始流行。有报道的大陆第一起病毒报告来自西南铝加工厂,是“小球”病毒的感染报告。
1989年7月,公安部计算机管理监察局监察处病毒研究小组推出了中国最早的杀毒软件 Kill版本6.0,这一版本可以检测和清除当时在国内出现的六种病毒。KILL软件在随后的很长一段时间内一直由公安部免费发放。
1990
这一年发生了一些重要的事情,首先是第一个多态病毒“变色龙”(Chameleon)出现(又叫做“V2P1”、“V2P2”和“V2P6”),在此之前,杀毒软件都是使用“带掩码的特征比较法”,将病毒的片段和一些预先采样的数据片段进行比较来判断一个文件是不是被病毒感染,当“变色龙”出现以后,杀毒软件不得不寻找新的方法来检测和发现病毒。其次是“病毒制造工厂”(virus production factory)的出现,保加利亚的程序员开发了这样一个可以用于开发病毒的工具软件,使得不计其数的新病毒在保加利亚被制造出来,包括了“马铃薯”(Murphy)、“野兽”(Beast)以及修改过的“埃迪”(Eddie)病毒。有一个叫做“黑暗复仇者”(Dark Avenger)的家伙或者组织在这一年特别活跃,制造了很多病毒,它制造的病毒使用了一些新的算法进行感染,并且在系统中隐藏自己的行踪。
这一年同样是在保加利亚,第一个专门为病毒制造者而开的电子公告板建立了,这个电子公告板的主要任务就是进行病毒信息交流和病毒的交换。
在1990年7月,英国的一个电脑杂志:“今日个人电脑”(PC Today)所附赠的软磁盘被名叫“磁盘杀手”(DiskKiller)的病毒感染,这份杂志售出了超过50,000份。
电脑病毒技术本身在这一年也得到了长足的发展,在1990年下半年,两个著名的病毒“费雷多”(Frodo)和“鲸”(Whale)出现,它们使用了一些非常复杂的方法来隐藏自己的存在,特别是大小为9K字节的“鲸”,使用了多级加密解密和反跟踪技术来隐藏自己。
1990年,中国,深圳华星公司推出基于硬件的反病毒系统——华星防病毒卡,迎合了当时人们对有形的卡的盲目崇拜,认为磁盘上的东西不值钱、不可靠,只有插在电脑里面的东西才值得花钱购买,取得不错的销售业绩。
1991
电脑病毒的数量持续上升,在这一年已经增加到几百种,杀毒软件这一行业也日益活跃,两个重要的工具软件开发商:“赛门铁克”(Symantec)和“中心点”(Central Point)公司推出了自己的杀毒软件。实际上,这两家公司都是收购了早期很小的杀毒软件公司之后,将小公司的人员和产品一锅端,然后打上自己的品牌,从而进入这个市场的,这也是大公司进入新市场的一条主要途径。“赛门铁克”公司以“诺顿”工具软件,最重要的是“诺顿磁盘医生”(Norton Disk Doctor)而知名,“中心点”公司以产品“个人电脑工具集”(PCTools)而知名。
4月份,一次大规模的病毒事件爆发,这次的主角是一个能够同时感染文件和引导区的复合病毒“蒸馏酒”(Tequila),同年9月,采用了同样的原理,一个名叫“变形虫”(Amoeba)的病毒开始流行。
1991年夏天,“目录二代”(DIRII)病毒开始流行,和其他一些病毒不一样的是,“目录二代”病毒不存在于某个文件或者引导扇区中,他把自己分成小块,然后放在磁盘上的多个扇区中,运行的时候再进行组装和执行。
1991年11月:中国瑞星公司成立,并推出瑞星防病毒卡。
1992
在这一年,非IBM PC兼容机或者非DOS兼容的病毒基本上被遗忘了,网络上的漏洞得到了修补,错误被改正,大量的蠕虫病毒不再能够快速的复制和传播。运行在微软DOS操作系统下的文件型、引导型以及文件/引导复合型病毒,随着DOS的广泛流行,变成电脑病毒故事里面的主角。电脑病毒的数量以几何级数增长,几乎每天都会发生新的病毒感染事件,人们开发出各种各样的杀毒软件,大量书籍和杂志中出现关于电脑病毒的内容。
1992年早期,第一个多台病毒生成器“MtE”开发出来,病毒爱好者利用这个生成器生成了很多新的多态病毒,“Mte”也是随后很多多态病毒生成器的原型系统。
原型系统:计算机科学中常见的一个术语,一般指首先实现了某种功能或者验证了某种概念的系统,原型系统一般比较简陋,功能比较单一而且不很完善,但是原型系统往往开创了一系列新的、完善系统的先例。
1992年3月:“米开朗基罗”(Michelangelo)病毒和随之而来由反病毒软件厂商造成的歇斯底里是这个月的标志。从某种意义上,这是第一个对病毒进行炒作并且获得成功的案例,反病毒软件厂商学会夸大病毒造成的威胁,不去实际告诉用户如何保护自己的数据,而是想方设法让他们把目光集中到自己的产品上,这一切的原因只有一个——利润。一家美国公司声称3月6号,超过5百万台电脑上的数据将会被破坏,而实际上真正遭遇“米开朗基罗”病毒的电脑只有大概10,000台。成功的炒作得到的效果就是很多家反病毒厂商的利润都增长了好几倍。
1992年7月:第一个病毒构造工具集(virus construction sets),“病毒创建库”(Virus Create Library)开发成功,这是一个非常著名的病毒制造工具,实际上,直到1999年,国内还有一些个人和组织利用这一工具制造病毒。这个工具的成功同时还刺激了新的、更加强大和完善的病毒制造工具不断的被开发出来。
1992年晚期:第一个视窗病毒开发成功,实际上,大量DOS环境下的病毒在视窗环境下仍然能够成功的运行,称这个病毒是第一个视窗病毒是因为该病毒首次对视窗操作系统独特的可执行文件格式进行感染,这个病毒的出现宣告了病毒发展历史上新的一页的到来。
这一年,“目录2”病毒开始大规模进入中国,
中国,南京信源自动化技术有限公司成立,推出DOS环境下的内存驻留反病毒软件“硬盘卫士”(HD GUARD)和DOS杀毒软件VRV(Virus RemoVer)。
1993
在这一年里,病毒制造者除了制造大量普通的病毒、使用多态生成器/病毒构造机构造一系列的病毒以外,他们开始进行更加严重的破坏活动,使用一些新的方法感染文件并且将病毒注入系统。这一年中比较典型的病毒有:
“保护模式是简单的”(PMBS),工作在英特尔80386芯片保护模式下的病毒。
"陌生"(Strange),一个自我隐藏技术的杰作,通过对硬件中断0Dh和76H的模拟实现隐藏自身。
“影子卫士”(Shadowgard)和“红宝石”(Carbuncle)极大地拓展了共生病毒的概念。(共生病毒,一种病毒如果可以表现为不同的形态则称为共生病毒,例如同时感染引导区和文件,或者同时感染Office 文档和普通的可执行文件)
“埃米”(Emmie)、“梅提里卡”(Metallica)、“炸弹人”(Bomber)、“乌拉圭”(Uruguay)和“咬嚼者”(Cruncher)病毒相继出现,它们使用了一些非常新颖的技术进行感染,这样,杀毒软件很难在被感染文件中找到病毒代码。
1993年春天,微软发行了自己的反病毒软件——微软反病毒软件(MSAV),这是微软购买了“中心点”公司的CPAV之后发布的微软版CPAV。但这是一次不成功的尝试,微软很快就认识到作为一个通用软件厂商,如此深入的进入一个非常专业的领域是非常不明智的,比尔.盖茨很快就放弃了这一产品。
1993年6月,中国,公安部正式决定将KILL的所有有形和无形资产、开发人员移交公安部所属的中国金辰安全技术实业公司进行商品化销售。此时,KILL的版本号为V68,产品形式分为5寸磁盘和3寸磁盘两种。
在这一年,瑞星的防病毒卡占据了80%以上的反病毒市场,达到了防病毒卡销售的顶峰。
1994
病毒通过光盘进行传播在这一年变得非常普遍,在随后的几年,直到因特网的广泛使用之前,光盘迅速成为最主要的病毒传播渠道。大量的光盘在制造的时候,由于使用的母盘中包括了病毒,所以压制出来的光盘也包括了病毒,由于光盘中的内容是不能被改写的,所以这些病毒无法清除,唯一的解决方法只能是将这些感染了病毒的光盘销毁。
在1994年早期,英国发现了两种极其复杂的多态病毒:“SMEG.病原体”和“SMEG.Queeg”(直到今天,仍然有大量的反病毒软件不能完全检测他们的所有变体!),由于病毒的作者将感染的文件放到了电子公告板上,所以这两种病毒在公众媒体造成了很大的恐慌。
另外一次恐慌是一个并不存在的病毒“好时光”(GoodTimes)造成的(注意不是我们在后面将要描述的“欢乐时光”),谣传说这种病毒可以通过电子邮件进行传染。这种不存在病毒的恐慌和欺骗后来称之为“好时光欺骗”。稍后在DOS下面真的出现了很普通的一个病毒里面包括了文本信息“好时光”,但是一般认为这个DOS病毒是响应“好时光欺骗”专门制造出来的,和那种谣传接收电子邮件就会被感染的病毒没有任何关系。
电脑病毒所引发的法律问题也变得非常普遍,各国都开始尝试将病毒制造者定罪。1994年夏天,“SMEG”病毒的作者被捕,差不多同时,英国也逮捕了一个病毒制造者团伙,这个团伙自称为“真正残酷的病毒协会”,在挪威也有一些病毒的作者被捕。这些病毒的作者之所以被捕其实很简单,他们继承了早期病毒制造者的好传统,在病毒中包括了自己的联系信息,或者在通过电子公告板首次发布的时候,很得意的宣布了作者的详细创意和联系方法,因此警方可以很方便的找到他们,在后来的病毒制作和发布中,病毒制造者就谨慎了许多,警方很难轻易的找到一个病毒的真正作者。
本年度也有一些值得一提的病毒:
1994年1月:“移动者”(Shifter)病毒,首次感染对象模块文件(OBJ文件),“幻影1”(Phantom1),第一个首次在莫斯科流行的多态病毒。
对象模块文件:和高级语言开发工具密切相关,当在DOS环境或者视窗环境下开发程序的时候,C或者其他语言的编译器会生成多个OBJ中间文件,然后将所有的这些OBJ中间文件组合成一个可执行的文件。
1994年3月:“源代码病毒”(SrcVir):首次感染C语言和帕斯卡(PASCAL)语言源代码的病毒.
1994年6月:“一半”(OneHalf)病毒出现,在俄罗斯和中国最流行的病毒之一。
1994年9月:“3APA3A”,一种新的引导型病毒出现,使用了一种非常特殊的方法进入DOS操作系统并进行感染,当时所有的杀毒软件对于这种新病毒都无能为力。
1994年春天,最早的杀毒软件厂商的领导者之一,“中心点”公司结束了自己的运做,被“赛门铁克”公司收购,“赛门铁克”公司在这段时间内收购了大量的杀毒软件厂商,包括“皮特.诺顿计算”(Peter Norton Computing)、“第五代系统”( Fifth Generation Systems)等公司。
1994年2月,国务院发布了《中华人民共和国计算机信息系统安全保护条例》将计算机信息系统安全(包括防病毒软件)划归公安部管理。
1994年7月,王江民推出了“超级巡警”——KV100杀毒软件,并首次提出了广谱病毒码的概念,首次在《软件报》上公布《反病毒公告》,开创了用印刷的形式让用户进行手工升级的先河,虽然对这种升级方式的有效性仍然存在很多争论,但是KV100依靠这种方式极大地提高了知名度,为后来KV300的成功打下了良好的基础。
1995
DOS病毒技术的发展在这一年中基本上陷于停滞,我所说的停顿是指技术本身的停顿,也就是说没有什么新的感染或者隐藏等病毒相关技术的出现,但是病毒的数量和传播并没有停顿,在这一年中仍然出现了很多非常复杂的病毒例如“死亡坠落”(Night Fall)、“胡桃钳子”(Nutcracker)等,以及一些很有趣的病毒例如“两性体”(bisexual)、“RNMS”等。这一年中,DOS批处理病毒 "视窗启动"(WinStart)和“死硬2”(DieHard2)病毒在世界范围内广泛的流传。
1995年1月:微软的视窗95演示盘被病毒“表格”(Form)感染,微软将演示盘发送给测试者,其中一个可能是过于勤劳的测试者对这些磁盘进行了病毒检测,结果很吃惊的发现了病毒。这是微软第一次在发行的光盘中包含了病毒,当然这远远不是最后一次。
1995年春天:两家著名的杀毒软件公司“雷霆字节反病毒”(ThunderBYTE Anti-virus)和“诺曼第数据防护”(Norman Data Defense)公司宣布将联合进行反病毒系统的开发。
1995年秋天:病毒和反病毒发展历史的一个转折点,第一个能够保存在WORD文件中,运行在微软字处理软件里的病毒“概念”(Concept)病毒开始在世界范围内流行,这一病毒的出现宣告了一种新形态的病毒的出现——宏病毒。在很长一段时间里,这一病毒在所有的病毒感染统计中一直占据最重要的位置。
1996
1996年1月,第一个视窗95病毒出现——“博扎”(Win95.Boza)
1996年3月:第一个开始大规模流行的视窗版本3病毒,“触角”(Tentacle)病毒首次被发现,这一病毒首次出现在法国一家医院和一些研究机构的网络中。在这一病毒出现之前,虽然有很多的视窗病毒被制造出来,但是这些制造出来的病毒都只在病毒收集者之间、电子公告板或者一些专门的杂志上出现,“触角”病毒实际上是第一个真正流行起来的视窗病毒。
1996年6月:第一个真正OS/2操作系统下的病毒,“AEP”病毒出现,在此之前的OS/2病毒只能使用病毒文件替换原来的文件,或者以伴随病毒的形式出现,这一病毒首次可以将自己附着在OS/2可执行文件的后面,实现了病毒的真正定义——感染。
1996年7月:第一个微软电子数据表病毒“拉若克斯”(Laroux)病毒出现,这一病毒首次发现是在两家石油公司,一家在阿拉斯加,另外一家在南非,所以我们猜想是一个石油勘探软件的程序员制作了这个病毒。和先前的字处理程序病毒一样,这一病毒利用了在电子数据表格软件中可以变成的某种宏语言。任何微软的电子数据表或者字处理文档中都可以包括这种语言所编写的程序,当然也可以包括这种语言所编写的病毒。随着微软操作系统的日益复杂,各种宏语言慢慢变成统一的BASIC语言(VBA :专门为应用软件设计的可视化BASIC语言),功能也变得越来越强大,使用这种语言编写的病毒功能也随之越来越强大。
BASIC语言:BASIC是初学者通用符号指令代码(Beginner's All-purpose symbolic instruction Code)的缩写,是国际上广泛使用的一种计算机高级语言。BASIC简单、易学,目前仍是计算机入门的主要学习语言之一。BASIC语言自其问世经历了以下四个阶段:第一阶段:(1964年~70年代初)1964年BASIC语言问世。第二阶段:(1975年~80年代中)微机上固化的BASIC,ROM BASIC,第三阶段:(80年代中~90年代初)结构化BASIC语言,以True BASIC为代表,第四阶段:(1991年以来)以可视化的BASIC为代表,在因特网时代这一古老的语言又焕发了新的青春。
1996年12月:视窗95下的第一个内存驻留病毒,“打孔机”(Punch)病毒出现,该病毒驻留在视窗95的内存中,以一个Vxd驱动程序的形式存在,拦截所有的文件操作并进行传染,这种原理在随后的CIH病毒中得到应用和发展并且造成了极大地破坏。由于程序设计中的明显缺陷,“打孔机”病毒不能在正常的视窗95环境进行感染中,所以这种革命性的病毒并没有真正流行起来。
实际上1996年是新一轮病毒进化的开始,在这一年中,随着微软新的操作系统视窗95、视窗NT和微软办公软件(Office)的流行,病毒制造者不得不面对一个新的环境,他们在这一年中开始使用一些新的感染和隐藏方法,制造出在新的环境下可以自我复制和传播的病毒,随后,病毒制造者的技术水平日益提高,他们对新的操作系统环境(视窗95和视窗NT)和应用系统环境(Office,包括字处理和电子数据表格软件等)的掌握也越来越深,他们开始在病毒中增加多态、反跟踪等技术手段,在新的技术层次上重复了早期在DOS操作系统环境下病毒的进化过程,和DOS环境下漫长的进化相比,在新的环境下病毒的进化过程要快得多。
1997
1997年2月:第一个Linux环境下的病毒“上天的赐福”(Bliss)出现,Linux在此之前还是一个没有被病毒感染过的乐土。
1997年2月到3月:随着微软办公软件从版本6升级到版本97,宏病毒也升级到版本97。最早针对微软办公软件97的宏病毒都是直接从较早期版本转换过来的,但是病毒制造者对新技术的跟踪速度是惊人的,他们很快就推出了专门为微软办公软件97定制的宏病毒。
1997年3月:针对微软字处理软件版本6和版本7的宏病毒“分享欢乐”( ShareFun)病毒出现,这种病毒的特殊之处在于除了通常的通过字处理文档传播之外,“分享欢乐”还可以通过微软的邮件程序发送自己。
1997年4月:第一个使用文件传输协议(FTP)进行传播的蠕虫病毒,“本垒打”( Homer)病毒出现。
文件传输协议:(File Transfer Protocol)使用这一协议,人们可以在主机和自己家庭的电脑之间交换文件。这是最简单的因特网应用协议之一,可以列出远程目录,对文件名字进行拷贝、删除、改名等操作,最重要的是,可以将硬盘上的文件上传到远程的主机上,或者将远程主机上的文件下载到自己的硬盘上。
1997年6月:视窗95环境下第一个可以自我加密/解密的病毒出现,这一病毒最先出现在莫斯科,在一些电子公告板上公布后造成了一些慌乱。
1997年11月:“世界语”( Esperanto)病毒出现,正如名字所表示的那样,这一病毒的开发者想让它成为病毒世界的世界语—同时感染DOS、视窗和苹果的麦克机操作系统。幸运的是,由于软件中存在的一些缺陷,“世界语”没有实现它的设计目标。
1997年12月:一种新的病毒形态,“mIRC蠕虫”出现,“mIRC”是视窗环境下最常见的一种IRC客户端程序,在当时发布的mIRC版本中存在一个漏洞,利用这个漏洞,病毒可以通过IRC的频道复制和传播自己。后来的IRC版本中堵住了这个漏洞,“mIRC蠕虫”病毒也就随之慢慢的消失了。
IRC客户端:IRC是因特网INTERNET RELAY CHAT的缩写,意思是通过因特网中转的聊天,通过特殊的协议(RFC1459 IRC协议),大家连到一台或者多台IRC服务器上进行聊天。和普通的使用浏览器进行的聊天相比,它最大的特点是速度快(正常情况下一秒钟内你就可以看到对方的“讲话”),功能多,和类似QQ的即时聊天系统相比,IRC可以实现多对多的群体聊天功能。
要实现IRC聊天需要IRC服务器和IRC客户端,IRC服务器在网上有很多,IRC客户端就是你在视窗环境下实际进行聊天的程序,其中最著名的就是mIRC程序。
1997年在美国和欧洲的主要杀毒软件厂商中,发生了一些丑闻。两家非常著名的杀毒软件厂商开始了一场口水大战,首先是McAfee公司宣布他们的专家在所罗门公司出品的杀毒软件中发现了一个很有意思的特性:所罗门公司的病毒检测软件可以工作在两种模式下面,正常模式和高级模式,正常模式的速度很快,但是对于某些少见的病毒可能无法检测,高级模式的速度比较慢,但是检测的病毒数量更多,他们发现,所罗门公司的软件可以在这两种模式之间自动切换,当软件发现自己象是在检测一个测试用的病毒库的时候,会自动切换到高级模式,而在检测普通文件的时候会切换到正常模式,这样,杀毒软件既得到了非常快的检测速度,也可以得到非常好的病毒检出率。
随后,所罗门公司开始反击,指责McAfee公司发布了非法的广告,其中有直接攻击所罗门公司的内容。同时,好像是觉得不够热闹似的,McAfee和趋势公司闹上了法庭,他们争论的焦点有关因特网和电子邮件病毒检测技术的专利;随后是赛门铁克公司,也跳出来指责McAfee公司使用了赛门铁克公司的代码。
这一点充分证明了国外的消费者观念和国内消费者观念的巨大差别,对于国外用户来说,在产品中没有充分实现你的承诺就是一种欺骗行为,换句话来说,在用户不知情的情况下为了某种性能或者评测数据的考虑自动的切换工作模式是某种意义上的商业欺骗。而在国内,我相信没有任何消费者会因为这样一种技术上的处理对杀毒软件厂商提出怀疑或者责难。实际上,国内厂商使用的模式切换、性能增强措施,甚至某些通过提高误报率来迎合用户希望查到病毒的心理的技术手段,远远超过了国外所谓的“欺骗”的范畴。但是至今还没有用户或者厂商对此提出过指责。
这一年McAfee和“网络将军”公司完成了他们的合并,新成立的公司成为一家信息安全服务和产品的提供商,新公司的名称是“网盟”(NAI)。
这一年,在中国发生了著名的毒岛论坛事件,有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的的解密程序。1997年的下半年,“毒岛论坛”宣称KV 300软件中有病毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”,不是病毒。只有使用了盗版软件的用户,才有可能数据被破坏。
事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV 300似乎没有受到太大的影响,“毒岛论坛”还因此被查封。
在1994年防病毒卡的销售达到最高峰之后,瑞星1995、1996年销售业绩大幅度下降,公司到了生死存亡的边缘,1997年开始,瑞星通过OEM和低价策略开始二次创业。
1997年,南京信源公司首次推出具有实时病毒防护功能的病毒防火墙,NetVRV软件。
1997年,出现了一家风靡一时的反病毒软件公司,华美星际,在当年推出的“病毒克星”产品获得很大的成功(“病毒克星”实际上是OEM “VRV”之后生产的产品),但是由于运作原因,该公司在1997年之后就销声匿迹了。
1998
病毒的数量和技术继续发展,特别是随着因特网的广泛使用,人们对于能够窃取口令和更改权限的木马程序有了更多的兴趣。视窗环境下的病毒“CIH”和“青猴病”(Marburg)通过一些电脑杂志附带的光盘广泛传播,这些光盘在制作的时候被病毒感染。
这一年中,一种新的病毒“HLLP.DeTroie”出现,这种病毒除了能够感染普通的视窗可执行文件以外还能够收集被感染机器的信息并且发送到病毒的所有者手中。应该感到幸运的是,这一病毒仅仅感染法语版的视窗操作系统,所以基本上没有在我国造成影响。
1998年一月:一种新的感染微软电子数据表的病毒“派克斯”(Paix)出现,这种感染表格的病毒同样实现了自我复制和传播的特性。
1998年2月到3月:“青猴病”(Marburg)病毒,第一个在32位视窗环境下运行的多态病毒被发现并且开始流行起来。这种病毒的出现给杀毒软件开发者出了一道难题,就像当初在DOS环境下遇到多态型病毒一样,他们不得不重新设计自己的病毒扫描引擎,从而可以识别出这种病毒和相应的变种。
1998年3月:“埃克塞斯4”( AccessiV)病毒,第一个针对微软数据库软件的病毒出现,这个病毒本身没有造成很大的影响,因为随着字处理和电子数据表病毒的出现,人们知道出现这样一个病毒只是迟早的事情,所有的杀毒软件厂商对此已经有了充分的准备。
1998年3月:“十字架”( Cross)病毒出现,这个病毒首次实现了对不同微软办公软件的感染,数据库和字处理软件。也就是说你的字处理文档和你的数据库文件中可能同时包括了这种病毒,在这种病毒之后,越来越多的,同时感染多种微软办公软件的病毒开始出现。
1998年5月:“红色队伍”( RedTeam)病毒出现,这种病毒可以感染通常的视窗可执行文件,同时还可以通过一种电子邮件软件进行传播。
1998年6月:CIH病毒出现,CIH病毒是有史以来影响最大的病毒之一,最早出现在台湾,然后通过美国在台湾的海外办公室传播到美国,感染了一些因特网上的游戏服务器,直接引发了持续一年的恐慌(在中国CIH的恶梦是在下一年才真正开始的),CIH病毒所取得的巨大影响是因为它的破坏性,在某些电脑上,CIH病毒甚至可以损坏你的硬件。
1998年8月:非常好的远程控制工具“后门”(Back Orifice)出现,在“后门”之后,还出现了“网络公共汽车”(NetBus)、“阶段”(Phase)等类似的软件。
远程控制工具:通过网络控制某台机器的软件,包括客户端和服务器两个部分,服务器运行在被控制的电脑上,一般在后台运作,接收远程发来的命令并执行操作,客户端运行在网络的另外一边,控制者利用客户端发布命令。只要在一台联网的电脑上安装了远程控制的服务器端软件,你可以在任何一台联网的电脑上使用客户端软件,实现数据收集(包括口令和其他机密的文件),鼠标和键盘控制,击键记录等功能。由于远程控制软件的强大功能,人们往往利用远程控制软件作为木马程序,实现对系统非法存取的目的。
1998年8月:第一个感染“爪哇”(Java)可执行文件的病毒“陌生的酿造”(Strange Brew)问世,这一病毒没有什么实际的危害,因为“爪哇”语言在安全性上的一些预防措施,病毒不能复制并且传播到远程的电脑上。但是“陌生的酿造”至少证明了因特网浏览器被病毒感染的可能性。
这一年,南北信源反目为仇,先是划江而治,划分成北方市场和南方市场,然后由于市场和经营观念的冲突以及公司内部矛盾,开始相互起诉和争斗,两家公司都因此元气大伤,市场份额和影响急剧下降。
1998年11月:一种新的使用VB脚本语言编写的病毒“兔子”(Rabbit)诞生了,这种病毒充分利用了VB脚本语言专门为因特网所设计的一些特性。很自然的是,随着HTML语言本身开始具有编程能力,纯粹的HTML语言病毒“内在”也开始流行。很明显,病毒制造者将他们的注意力集中在网络蠕虫上,他们开始充分利用视窗系统强大的脚本语言,而且这种语言还可以和网络紧密的结合,制造大量的,可以通过网页、电子邮件传播的病毒。
在这一年中,杀毒软件厂商开始大规模的整合,1998年3月,赛门铁克和IBM宣布合并他们的反病毒业务部门,IBM随后放弃了自己独立开发杀毒软件。所罗门和网盟很快作出了反应,通过一桩上亿美元的交易,所罗门公司不复存在,网盟成功的收购了他的死敌所罗门公司,这桩交易给反病毒行业带来了非常大的震动,这样两家一直打斗得你死我活的公司居然采取这样一种方式结束了自己数年的竞争。
1998年5月:中国金辰安全技术实业公司和世界第二大软件公司美国CA公司在公安部举行签字仪式,双方共同合资成立北京冠群金辰软件有限公司。同时宣布在北京成立产品研发中心。1998年7月,冠群金辰公司发布KILL认证版。产品虽然名称还是叫做KILL,但基本核心已经完全使用了CA公司的技术。
1999年:这一年,病毒制造者很好的掌握了视窗操作系统下各种新的文件格式的感染方法,在视窗环境下隐藏自己的技术也得到了很大的进步,通过邮件进行病毒传播开始成为病毒传播的主要途径。宏病毒在这一年仍然是最流行的病毒。
1999年3月,一个名为“梅丽莎”(Melissa)的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播,造成网络阻塞,甚至瘫痪。并且,这种病毒在传播过程中,还会造成泄密。
1999年6月,中国最大的通用软件厂商,金山公司首次发布金山毒霸的测试版,开始尝试进入杀毒软件市场。
1999年12月,“FunLove”病毒出现,这一病毒是一个设计非常巧妙的PE病毒,它的最大特点是感染能力强,清除非常困难,直到今天还是在国内广泛流行的病毒之一。
2000年,随着微软视窗操作系统逐步的COM化和脚本化,脚本病毒成为这一年的主流,大量使用脚本技术的病毒出现,脚本病毒和传统的病毒、木马程序相结合,给病毒技术带来了一个新的发展高峰。
2000年5月:“爱虫”(LoveLetter)病毒出现。“爱虫”病毒是一种脚本病毒,它通过微软的电子邮件系统进行传播。这一病毒的邮件主题为“I Love You”,包含一个附件“Love-Letter-for-you.txt.vbs”,一旦在微软电子邮件中打开这个附件,系统就会自动复制并向用户通讯簿中所有的电子邮件地址发送这一病毒,其传播速度比“梅莉沙”病毒还要快好几倍。
2000年11月:金山毒霸正式上市,金山正式进入反病毒软件市场。
2000年12:恶作剧程序“麦当劳女鬼”在网络上大规模流行并造成影响,根据报道,中国香港地区有职员被这个恶作剧程序惊吓致死。
前面部分摘自《一个真实的病毒世界》
▲2001年1月21日
一种变形的“梅丽莎”病毒侵袭麦金塔(Macintosh)电脑。这种病毒能感染Mac文件,病毒产生的大量电子邮件可以堵塞服务器,修改微软Word程序的设置,感染文件和模板。携带这种“梅丽莎”病毒的电子邮件附件名叫“Anniv.DOC”。这是这种类型的病毒第一次将矛头指向了麦金塔电脑。
▲2001年2月2日
通过映射驱动器和在线聊天系统传播的“萨利姆”(W97M/Salim.A)病毒被发现。“萨利姆”是一个宏病毒和通过在线聊天系统传播的蠕虫,它在传播过程中截取文档内容。“萨利姆”蠕虫依靠文档事件处理程序来运行,当一个已感染的文档被打开时,宏病毒就被激活,“萨利姆”病毒将尝试感染被Word打开的所有文档。
▲2001年2月15日
荷兰警方13日逮捕了一名自称发明了“库尔尼科娃”电脑病毒的20岁男子。此人要面临坐牢4年的处罚。通过电子邮件传播的“库尔尼科娃”病毒12日在欧洲、美洲和亚洲发作,大量垃圾邮件积压在电子邮件系统内,系统速度明显变慢,有的公司干脆关闭了电子邮件系统。这名荷兰男子自称是19岁的俄罗斯网球女星安娜·库尔尼科娃的球迷,这个病毒的作者说,他不是编程专家,不过是从互联网上下载了病毒,然后编写程序完成的。
▲2001年3月6日
美国Symantec软件公司的反病毒研究中心指出,一种与此前出现的“库尔尼科娃”病毒类似、代号为“裸妻”的病毒现已攻击了至少30个相关机构和一家政府部门。这种以电子邮件形式进行攻击的病毒所携带的主题为“FW:裸妻”,它几乎可以将计算机内所有重要的系统文件全部删除,另外还可以通过电子邮件的形式向任何一位网络用户传播。这种病毒有可能来自巴西,因为其源代码中的信息提到了AGF巴西,这是巴西一家保险公司的名字。这种病毒的电子邮件中带有一个名为“NakedWife.exe”执行文件的附件,就像所有类似病毒一样,一旦用户打开这一附件,其电脑系统一定会遭到病毒入侵。
▲2001年3月20日
名为My-babypic的病毒通过可爱宝宝的照片传播病毒,虽然“毒性”不强,但发作起来也会造成电脑文件被破坏。该病毒的发作过程是,网民会收到一封主题为“Mybabypic”的邮件,附件为“MyBabyPic.exe”,网民运行该程序后,屏幕会显示一张可爱宝宝的照片和一个不明对话框,等网民关掉图片、对话框后,这种病毒就会复制到Windows操作系统的System目录下并修改登录数据库,使用者每次开机时这种病毒就会发作一次。
▲2001年3月24日
称为“VBS.Linda.A@MM”(琳达)的病毒,专攻人们好奇及好色的心理。病毒以电子邮件传播,收件者会先收到一封附有KellyIn-White.jpg.vbs档案的邮件,意即身穿白色的Kelly。“琳达”会搜寻微软Outlook地址簿上的记录,发出有毒的邮件进一步传播。
▲2001年4月26日
CIH病毒在我国第三度爆发。截至26日20时,仅瑞星公司技术服务部就接到求助电话1000多个,接收并修复被损坏硬盘100多块,均接近CIH病毒前两次爆发时的水平。据了解,其它反病毒企业也收到大量用户计算机被CIH病毒损坏的信息。据这些公司的专业人员分析,此次CIH病毒爆发的波及面和损害程度虽然比前两度略小,但仍造成相当大的破坏。
▲2001年5月6日
一种新的恶性电脑病毒“欢乐时光”(Happytime/VBSHappytime.A.Worm)已在中国开始传播。“欢乐时光”病毒很可能是一种国产病毒,它是类似“爱虫”的蠕虫类病毒。用户通过美国微软公司办公套件(Outlook)收取带有“欢乐时光”病毒的邮件时,无论用户是否打开邮件,只要鼠标指向带毒的邮件,“欢乐时光”病毒即被激活,随后立即传染硬盘中的文件。感染“欢乐时光”病毒后,如果电脑时钟的日期和月份之和为13,则该病毒将逐步删除硬盘中的EXE和Dll文件,最后导致系统瘫痪。
▲2001年5月11日
新病毒“主页”正在全球传播,这种被称作“HomePage”的病毒被看作是“库尔尼科娃”病毒的“远亲”。携带这种电脑病毒的邮件题目为“主页”,邮件正文写道:“嗨,你应该看看这个网页,它确实很酷。”邮件中夹带着一个名为“HOMEPAGE.HTML.VBS”的附件。用户一旦打开附件,病毒第一步先自我复制,并向微软Outlook地址簿中的每一个地址发去一封携毒邮件。然后搜索Outlook收件箱,将其中名为“主页”的信件统统删除,同时打开数个色情网页。值得庆幸的是,上述病毒没有造成太大的破坏,不到1万台电脑受此影响陷入了瘫痪。由于时差的关系,美国地区的防病毒公司在接到来自东半球的消息后,对病毒加以防范,成功抵制了病毒进一步扩散。
▲2001年6月19日
一种名为“上帝信使”(GodMessage)的病毒创作工具引起防病毒专家们的关注。已经有两种利用该工具编写的新的病毒变种出现。这种工具使得编写病毒程序变得更为容易。而一旦这种工具普及开来,计算机安全问题也就更加严重了。GodMessage可以从黑客网站上下载,该工具允许黑客将ActiveX代码置入到网页上。当IE浏览器用户访问被病毒感染的网页时,浏览器就会自动下载一个压缩程序,驻留在用户本地硬盘上,等待下次启动时解压缩。不过迄今为止并未收到有关GodMessage所产生的代码造成恶性事件的报告。
▲2001年7月26日
新病毒偷窥先生(Sircam)虽刚现身不久,却已迅速窜升至全球十大病毒排行榜的第二名,世界各地皆有感染灾情传出。Sircam病毒主要是利用电子邮件进行散播,用户一旦执行电子邮件所夹带的附件,电脑即遭病毒的感染。病毒会随着通讯簿中的名单一一寻找,并自动发送病毒邮件,由于此病毒的邮件主题与附件的名称并不固定,用户相当难以防范,而邮件内容又有英文及西班牙文两种版本。
▲2001年8月1日
一种恶意网页病毒“蛤蟆病毒”爆发。“蛤蟆病毒”是一种恶意网页病毒,主要感染Win95/98/2000操作系统。用户一旦点击该网页,其嵌在网页内部的脚本程序将自动执行,并通过修改系统注册表进行破坏。启动Windows系统,屏幕上就会出现“欢迎来到万花谷!请与oicq:933007青蛙联系。你中了※蛤蟆奇毒※”,同时浏览器的标题也被修改为带有“欢迎来到万花谷!请与oicq:4040465联系!”字符串的后缀。这以后每当打开一个网页都将出现此信息。接下来C盘将会丢失,开始菜单中的“运行”、“注销”、“关闭”系统三项命令也不复存在,就连ALT+F4功能键都失去了效果,直至最后无法关机;此外,MS-DOS方式也被病毒封杀,于是在DOS下访问C盘更成为了妄想;最后强行关机重启机器后,还将发现注册表也受到了保护,连手动恢复也不行。
▲2001年8月2日
美国电脑专家表示,全球至少10万台电脑受“红色代码”?CodeRed 侵袭。美国国防部电脑网络受到“红色代码”发作的影响,网速变慢,全球至少有8万部电脑的伺服器遭受“红色代码”的袭击。“红虫”病毒主要攻击网络服务器,安装Windows2000和WindowsNT的电脑最易受感染。“红虫”于7月19日首次爆发时,影响超过25万部电脑的伺服器,其中包括美国政府的电脑。
▲2001年8月13日
8月11日,国内已经在北京、浙江、广州、江苏、四川等20多个省市发现了代号红色二代病毒,大量网络因服务器遭受攻击而瘫痪,其中包括多家部委机关的网络。不少人反映,国内部分网站的电子邮件传输速度明显下降,有的延迟达24小时以上。“代号红色Ⅱ”的攻击行为是罕见的“病毒加黑客”。病毒通过网络释放出一个木马程序,为入侵者大开方便之门。“代号红色Ⅱ”病毒木马程序释放后,意味着计算机黑客可以对被感染的计算机进行全程遥控。
▲2001年9月7日
一种名为Worm.IIS.CodeBlue(即“蓝色代码”)的新型恶性网络蠕虫病毒9月5日开始在我国计算机用户中出现。“蓝色代码”是一种专门攻击Windows2000系统的恶性网络蠕虫病毒。该病毒比“红色代码II”有更强大的攻击性,计算机一旦感染该病毒,将大量占用系统内存,导致系统运行速度下降直至系统瘫痪。
▲2001年9月20日
一种传播迅速,破坏性极强的新型病毒“尼姆达”病毒W32.Nimda.A@mm正在互联网上肆虐,Nimda蠕虫病毒按字母的顺序反过来读就是“admin”,是系统管理员的意思。它是利用了微软的UnicodeWebTraversalexploit.漏洞编写的通过电子邮件传播的新型蠕虫病毒,病毒通过不断搜索局域网内共享的网络资源,将病毒文件复制到没有打补丁的微软IISWebServer,病毒利用被感染计算机中用户的通讯簿发送带毒邮件,邮件带有一个README.EXE的附件,但收件人无法看到该附件;大规模的邮件发送将导致网络阻塞甚至瘫痪,同时病毒用自身的文件代替系统中的正常文件,改变系统的安全设置,导致系统出现重大安全隐患、无法正常工作甚至宕机。至今“尼姆达”病毒已使得全球数十万台电脑被攻击。
▲2001年09月25日
一种乔装成让用户就美国政府是否应该针对9·11恐怖事件向阿富汗动武进行表决、但实际上目的在于删除用户计算机中的文件的新病毒在互联网上出现。这种名为“战争投票”的病毒到目前为止尚未全面传播开来,它通过电子邮件的形式蔓延,主要攻击装有微软Outlook电子邮件系统的计算机。
▲2001年10月26日
我国计算机病毒应急处理中心陆续接到用户报告,反映计算机染上一种未知的新型病毒——“求职信”病毒。这种病毒通过电子邮件感染计算机,邮件用英文书写,内容与求职有关。该病毒通过电子邮件、磁盘、局域网三种方式传播。
▲2001年11月4日
冠群联想公司提醒用户注意一种新型邮件病毒Redesi。据悉,该病毒通过伪装成微软产品的安全补丁或其它多种形式来借助电子邮件传播,一旦受其感染,该病毒会在11月11日发作并格式化受染用户的C盘,造成用户计算机不能正常启动和大批数据文件的丢失。计算机用户还是应该及早安装专业防病毒软件和及时更新反病毒代码库,保护自己的计算机,远离病毒的破坏。
▲2001年11月9日
从今年9月中旬开始在网络上肆虐的“尼姆达”病毒近日出现新变种。这个新变种名为“尼姆达·E”。这个新病毒与原病毒的破坏效果一样,但病毒中的一些文件已经被重新命名,而且病毒的作者还在其中加入了一封信。电脑病毒作者的信很像普通软件中的版权声明,作者还恶作剧式地指出,他不喜欢自己设计的这种电脑病毒被称为“尼姆达”,而希望它被叫做“概念病毒”。
▲2001年11月11日
中国出现破坏性极强的“本·拉登”病毒。作为恶性网络蠕虫尼姆达?中国一号 病毒的变种,传染能力和破坏性极强。病毒制造者针对一些杀毒软件查杀尼姆达病毒的解决方案,对原病毒程序做了修改,并采用压缩和加密技术,将病毒信息加密,并在病毒中声称“这不是尼姆达”病毒。病毒可感染用户使用的微软视窗操作系统。该病毒利用微软OUTLOOK的漏洞,当用户浏览含有病毒的邮件时,病毒就会对用户的电脑进行感染和破坏。一旦用户将鼠标箭头移到带有病毒体的邮件名上时,便受到该网络蠕虫的感染,被感染的电脑会自动发送大量带有病毒的电子邮件。专家指出,这一病毒的破坏性等于“欢乐时光”和“蓝色代码”两个恶性网络蠕虫病毒的总和。
▲2001年11月27日
一种名为“Badtrans”(坏透了)病毒开始迅速蔓延。这种病毒英文名为I-WORM/Badtrans.b,通过微软的Outlook侵入电脑系统,它还能够进行自我复制,并将复制的病毒传给微软Outlook地址簿当中的其它邮件地址。病毒携带一种键盘记录程序,它可以记录人们通过键盘录入的信息,从而跟踪用户密码或信用卡号码。
▲2001年12月5日
一种名为“无可救药”的新型计算机病毒正在发作,这种病毒通过电子邮件传播,具有很强的破坏力。“无可救药”病毒是通过带有附件的且主题为“你好”的邮件进行传播的,附件是写有“你好吗?”字样的屏幕保护。它甚至能够破坏计算机内的杀毒软件,因此破坏能力很强。
▲2001年12月6日
一种以电子邮件传播的新电脑病毒“Goner”(将死者),伪装成一种屏幕保护程序,正快速入侵企业及个人电子邮件信箱,删除和安全相关软件的档案。这种在附件上发现的病毒以“GONE.SCR”的文件名潜伏在被感染的电脑内地址簿的所有名字中,一旦这个附件被打开,病毒就会自行寄给地址薄上的所有人,尝试关闭正在运作的程序,及删除一些系统档案,包括防病毒软件。
▲2001年12月11日
以色列警方逮捕了4名涉嫌制造并传播新电脑病毒“将死者”?Goner 的少年。
▲2001年12月15日
一种名为Gokar的群发邮件蠕虫病毒开始在网上蔓延,大企业网络系统如果感染该病毒,可能会陷入瘫痪。
▲2001年12月20日
一种新发现的电脑病毒“Reeezak”开始在欧美传播,它藏在“祝你新年快乐”的电子邮件内,预计会在圣诞和新年期间肆虐,令电脑用户的“新年不快乐”。该病毒也称W32.Zacker.C和W32.Maldal.C。它与最近出现的Goner病毒很相似,会摧毁视窗操作系统和微软的Outlook程序。
▲2002年1月
这个月benny又有新作问世,这一次他的目光不再是跨win32和linux平台,而把目光转向了,微软的C#和.NET。
这个病毒长度为8k,运行后感染当前目录所有.net的可执行文件,病毒的症状是弹出一个对话框:
This cell has been infected by dotNET virus!
.NET.dotNET by Benny/29A
这个病毒并不驻留内存,通过行为来看,其传播能力有限,活跃的vxer中,benny是比较温和的,很少见到他编写的病毒大泛滥,这次他依旧传承以往风格,没有散布病毒,而是直接提供给了反病毒企业。
也许类似benny这样的邪派高手,也有几分正气和自己的原则,只是为了证明,反病毒技术趋势是在我的引导下前进。但不论如何,反病毒产品和安全技术,确实是在与恶意程序与攻击手段的不断对抗中发展进步的的,这种对抗将贯穿信息技术发史,可能永远不会终结。
▲2002年2月
第一个感染FLASH文件的病毒,就在本月诞生,与以往病毒不同的是,这是一个触发式的“被动病毒”,长度为926个字节,这种新病毒利用了某个Flash播放器漏洞,当播放器播放一个受感染的文件时,就会产生错误,释放出一个926个字节的v.com,并感染目录下其他flash文件。显然,这是接见了类似buffer overflow的手法,事实上,通过对各种播放器和编辑器的深入分析,都可能找到类似的漏洞。
这个月另一个看点是myparty,虽然在国外传的很猛的myparty在国内没有创造新高,不过也值得提防。
从俄罗斯进入的I-worm.myparty也用了类似的手法,而且有所“创新”,他把附件命名为www.myparty.yahoo.com,伪装成了一个网址,诱骗用户点击,事实上,.com为扩的文件是可以被直接执行的,而且在微软win32平台下,没有dos下严格的文件名限制,一个pe可执行程序,无论扩展名,为.bat、.exe、.com、.pif、.lnk等都可以直接运行。
I-worm.myparty此招一出,顿时有人效仿,马上蹦出了一个附件名为http.www.sex.com的病毒。可能网民中的SOSEX一族又要吃些苦头了。
▲2002年3月
这个时候一个模仿成微软更新公告的蠕虫正在网上传播,风格象是一个典型的微软安全公告,甚至还提及到几周前微软发布的一个真正的安全更新信息。他要求用户执行名为“q216309.exe”的附件,附件被执行后,蠕虫在用户系统上开放后门,并象以往的Outlook蠕虫那样,通过用户地址列表传播。
不过要说大毒还是I-Worm.Hybris蠕虫的变种,这个蠕虫的变形能力堪称一绝,其发送标题为Snowhite and the Seven Dwarfs的邮件,sexy virgin.src(18944字节),看起来似乎是一个屏保而且附件题目对男性颇有诱惑!!
▲2002年4月
这个绝相对平静一些:
i-worm.porkis。这是一个通过Outlook来传播的Internet蠕虫病毒,它把自己做为附件:Porkis.exe发送地址薄中的所有联系人。这个附件一旦运行,蠕虫会用意大利语显示一个消息框。
此蠕虫病毒不仅拷贝自身到windows目录,并建立一个新文件dllmgr.exe,还会修改注册表以便在系统下次启动时自动运行。在重新启动后,蠕虫经过短暂的延迟,它会试图连接到系统默认的SMTP服务器,并发送自己给所有地址薄中的联系人。
此病毒主要危害为侵占系统资源,造成大量的垃圾邮件。
▲2002年5月
中文"求职信"
一个以中文作为病毒主要伪装信息的恶性邮件病毒出现,带毒邮件附件名为hello.exe,在伪装信息和传播方式上与目前正在流行的“求职信”病毒非常相似,不同之处在于,“求职信中文版”可以自动删除扩展名为exe、dll、dat、mp3、doc的文件。
第一种通过Kazaa文件交换系统传播的恶意程序。
5月17日,有人报告发现了Benjamin蠕虫。该蠕虫对数据的破坏性不大,它不删除信息,只是狂吃硬盘空间使得数据传输通道受阻,让Kazza网络用户的通讯出现困难。
Benjamin病毒的传播方式是:创建对Kazaa网其他用户开放的目录,然后在这个目录里使用病毒自身携带的名称列表大量(可能数以千计)地进行复制。当网络用户搜索的名称刚好和病毒携带的假名相同时,用户就在不知不觉中从被感染的电脑上下载了病毒。下载以后,Benjamin 病毒发出一个假错误报告,警告用户文件可能已被破坏,然后它却在系统目录里面自行复制,并在系统注册表里面创建两个键。
除了吞噬硬盘空间之外,Benjamin 病毒还打开名为benjamin.xww.de的网页,并展示广告。5月20日上午,Benjamin.xww.de网站表示,它的域名被盗用,现已关闭。
该病毒很容易清除,只要删除被感染文件即可。
5月20日,安全服务公司Riptech提醒用户说,一种攻击微软公司SQL服务器数据库的新型蠕虫目前正在互联网上蔓延。
赛门铁克、Network Associates公司和SecurityFocus公司也报导了该蠕虫的蔓延现象,这种蠕虫目前有多个名字,如SQLSnake、DoubleTap,专家称该蠕虫并不会造成大范围的破坏。
微软一名发言人说,这种蠕虫只会影响运行SQL服务器7.0版本的系统,因为该版本的系统管理员的口令在默认设置时为空。而SQL服务器2000则没有设定默认口令为空,因此这些系统也就不会受到攻击。
微软于21日在公告中向企业客户建议了一系列步骤,第一步就是要确保系统管理员口令不再为空。微软表示,如果客户安装了4月17日发布的补丁程序,他们的计算机就会免遭这种蠕虫的攻击,该补丁程序可以从微软网站上下载。
Riptech公司建议用户检查所有系统的配置,立即禁用任何运行SQL服务器的配置。另外,它还提醒他们千万不要远程接入MSSQL 守护程序,因为只有Web服务器、内部应用程序和其它可信系统才有权直接与SQL服务器交互。
该蠕虫病毒是使用Microsoft Visual Basic写的,病毒的大小是28KB。病毒执行时它会查看系统是否装有MSN Messenger,病毒会发响应的信息到MSN Messenger。信息如下:
(Hej ... Kan vi inte ha c6 ? ... sn?lla ?)
5月21日,Macfee证实专挑SQL服务器为攻击对象的蠕虫(Worm):SQLSPIDA.B已于菲律宾现身。该病毒会搜集相关信息并寄给特定的电子邮件地址,这将使得攻击者可以借着后门程序,远程取得SQLServer的所有资料。
趋势科技建议使用者立即更新至最新病毒代码并使用防毒软件扫描,若是发现系统当中有TROJ_SQLSPIDA.B、BAT_SQLSPIDA.B和JS_SQLSPIDA.B等程序,需立即将其删除,并且彻底移除非内部授权的系统管理者。
SQLSPIDA.B是JavaScrip蠕虫,它是由几个Component文件所构成,SQLSPIDA.B会复制相关组件至SQLServer系统,以危害系统安全。其中的一个Component文件夹是BAT_SQLSPIDA.B,这个批处理文件主要是用来窃取IPaddress和随机数产生password,以入侵SQL服务器。另外一个文件夹是Trojan_SQLSPIDA.B木马程序,它会通过TCPport1433扫描SQLServers的IPaddresses。由于它会使用100个线程(thread)进入这个Port,并试图产生1万次的连接以致造成局域网络带宽受阻。
一旦SQLSPIDA.B成功地完成所有动作,它将会在现行目录下产生一个“.OK”的文件夹,否则将产生“.FAIL”文件夹。从某些组件文件夹中,可以发现以下病毒作者留下的字符串,看来他还想跟热门电影SpiderMan蜘蛛侠沾上边呢!
▲2002年6月
VBS/Chick-F,来踢球!!
据Sophos抗病毒公司称,“VBS/Chick-F”病毒以电子邮件的形式传播,它作为压缩的HTML文件以附件存在。邮件的主题为:“回复:韩日世界杯赛事结果”,一旦该附件被执行,此时计算机屏幕将显示“利用activeX(微软倡导的activeX网络化多媒体对象技术)浏览韩日世界杯赛事结果。”
如果ActiveX被激活,病毒将对在计算机的所有硬盘上搜索IRC可执行文件。一旦文件被搜索到,该病毒将作为“koreajapan.chm”文件被自动复制到C盘中。此后,该病毒将向“Microsoft Outlook”通讯簿中的第一个用户发送同样主题的电子邮件。
Sophos公司高级技术顾问Graham Culley表示:“病毒的作者正是看准了球迷想了解比赛结果的急切心理。”Sophos公司亚洲常委董事Charles Cousins称,到目前为止,公司还没有接到有关计算机感染的报告。但自从本周四以来,陆续有用户向支持中心咨询该病毒。目前,Sophos公司尚未检测到病毒的发源地,但公司表示,这种病毒不会大规模爆发。
早在5月份Sophos公司就警告球迷,世界杯期间不要随下下载文件,以免遭病毒的入侵。
据悉,世界杯期间最恶毒的病毒产生于1998年法国世界杯。这种病毒要求用户在两支球队之间选择比赛胜负结果,如果用户选错结果,就会引发病毒代码,并导致硬盘的所有文件丢失。
与此同时微软传出消息,他们被病毒感染了!!
全球第一大软件制造商美国微软公司表示,该公司在不经意中发布了一个韩语版的在线服务开发软件,这个韩语版的在线服务开发软件被臭名昭著的尼姆达病毒感染了。
微软公司称,他们是在韩语版的微软Visual Studio .NET开发软件中发现这个病毒的。微软公司表示,这个病毒预计不会造成任何破坏,因为它实际上是处于睡眠状态的,这个病毒所在的位置是在软件一个相对安全的地方,不会出现被激活的危险。微软公司产品部门经理克里斯托弗-弗劳莱斯(Christopher Flores)表示,公司已经发布了补丁软件和干净的、没有病毒的新版本软件。
弗劳莱斯称,这个病毒是微软公司的一个员工在5月末发现的,病毒藏身于一个压缩的、不经常使用的文件中。这个文件来自一家帮助微软公司开韩语版在线服务开发软件的公司,由于这个软件投放市场还不到90天,因此它不会造成大的危害。弗劳莱斯表示,“我们已经对产品开发过程采取了严肃的监控步骤,保证此类问题不再发生。我们对这家公司的产品过于信任,没有详细检查这个文件的内容。”
6月6日下午,一种新的智能型病毒“中国黑客”病毒被瑞星、金山、江民等公司发现。在分析之后发现,它是继“中文求职信”之后的又一个国内病毒编写者制造的“高级”病毒,其传染力与“红色代码”不相上下。
据某公司技术副总经理谈文明介绍,这是一个罕见的“智能型”病毒,目前被截获的只是该病毒的初级版本,许多实质性的破坏程序并没有加载在病毒上,但是病毒的编写者已经准备好所有的程序接口,病毒随时通过各种方法来传染,而且速度极快,能够绕过杀毒软件的层层关卡进入机器内存。由于该病毒通过邮件传染(生成以被感染机器名开头的.eml文件),具备自启动功能,在Outlook中一旦被点中就会自动启动,它会把自身拷贝到Windows/system 32的目录下,并命名为Runouce.exe机器,同时启动这个文件。
6月13日,McAfee 向新闻界发布了有关 W32/Perrun病毒的消息。McAfee称,该病毒是第一个感染JPEG文件的病毒。用户和反病毒软件销售商对McAfee Security的这个做法提出了质疑。
McAfee 称,从病毒作者那里得到的Perrun 病毒利用可执行文件感染图像文件,然后再试图扩大感染至同文件夹的其它图像文件。该病毒依赖于可执行文件,没有该类文件便无法发作。
当时,McAfee 反病毒应急小组(McAfee AVERT)高级主管Vincent Gullotto称,该病毒的发现有可能导致重新制作反病毒程序。该病毒也有可能因此会出现变种,它们将把病毒的可执行部分嵌在图像文件或网络中。
自从 McAfee 发布该病毒以来,浏览网页和电子邮件列表的用户对Gullotto 所说的可执行文件可能被嵌入JPEG文件的说法争论不休。
甚至Gullotto的一些反病毒界的同事也持有不同意见。McAfee的竞争对手Sophos PLC 反病毒公司当时也对新闻界发表了看法,认为该病毒没有那么严重。Sophos 在McAfee宣布发现该病毒前就已经在实验室将此病毒研究了两天,但他选择了沉默,因为该病毒“真的只是为了证明一种概念,它看似严重,却不会造成什么后果。”
Gullotto 承认,目前,将可执行文件嵌入JPEG文件可能无法成功。但他强调,McAfee 更关心的还是将来。因为随着软件和文件类型的改变,图像文件和其它数据文件有可能会增加运行可执行文件的能力,这就会使该病毒成为一个问题。
6月20日左右
一种神秘的手机病毒在山东省淄博市首次被发现。
在联通公司客户服务中心的受理记录上,记载了王先生这款诺基亚5110型手机瞬间失灵的过程:王先生的手机在不到1分钟时间内连续接收到3条短信息,在未阅读的情况下,这3条短信息自动进行了存储。后来,王先生在打开这3条短信息的操作过程中,手机突然失灵,键盘不能操作。
据联通公司技术人员介绍,正常情况下,手机收到短信息后,手机屏幕会显示“×条新信息”,需要机主按显示键阅读,而这3条短信息发来后,手机却自动进行了储存。技术人员在征得王先生的同意后,对手机进行了拆解,设法打开了这3条短信息,手机显示屏上显示,这3条短信息全部是乱码。随后,技术人员将3条短信息删掉,重新组装后,手机恢复正常。
经查询相关资料,技术人员确认,这款诺基亚手机遭受了病毒侵害,目前尚不知道该病毒的名称、发作规律、对手机的损害程度。据技术人员介绍,该病毒主要传播途径是“点对点”发送短消息和从网上下载铃声。
▲2002年7月
英文名为W32/Lavehn.A的蠕虫病毒传入国内,这个蠕虫病毒会删除被感染主机上的以.xls, .doc, .mdb, .mp3, .rpt, 或.dwg等为扩展名的所有文件。当这个病毒运行时,它会发送自己到被感染主机上的Microsoft Outlook地址簿中的所有联系人。该病毒通过修改系统注册表来达到自动执行病毒文件的目的,它会把自己拷贝到windows系统目录下,通过把值%System%"UNHEVAL.EXE添加到以下注册表项:
HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows"CurrentVersion"Run
HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows"CurrentVersion"RunServices ,达到系统启动时自动执行病毒的目的。
美国东部时间7月15日(北京时间7月16日),一种名为“Frethem.J”的新型计算机病毒开始在互联网上传播。
现在我们已经揭开了Frethem.J神秘面纱,它是一个新的电子邮件蠕虫病毒。作为主要的特征,这个蠕虫能够自动运行电子邮件中的附件,因为它利用的是IE5.01和5.5所存在的漏洞。
Frethem.J会通过e-mail发送到你的电脑,主题是Re: Your password!邮件内容如下:
ATTENTION!
You can access very important information by this password DO NOT SAVE
password to disk use your mind now press cancel(“你可以通过这一密码获得非常重要的信息,请不要保存密码,记下它然后点击取消键。”)这封邮件包括两个文件password.txt和decrypt-password.exe 后面这个文件一般包含病毒。
由于IE的漏洞,不管用户是不是手动打开这个文件,这个文件都会被运行,它会常驻到内存,在进程里面会有一个taskbar 的进程。
此后,Frethem.J会从注册表和Outlook Express中收集它所要攻击的帐号信息。另外,它还会寻找电脑的e-mail服务器的配置信息,来建立与它之间的直接连接,因此用户就无法察觉他的电脑正在向外发送带毒邮件。
最后,Frethem.J会在注册表里面建立一个入口,当系统重启的时候能够保证它的活动不受干扰。
(Win32.Hezhi) 病毒,这种病毒较以往的最大的不同之处就是,该病毒采用了很高的加密及反跟踪技术,因而不但具有很强的隐蔽性,且不易为一般防病毒软件所查杀。该病毒还有几个别名:Win32.Flagger、Win95/Gundam.12618、Win32.Hezhi。
Win95.Flagger是一个驻留内存的多变型病毒,可感染 Windows 95/98/NT/2000系统的 PE 可执行文件。可通过任何无保护的网络共享进行传播,因此病毒会最先感染共享目录中的可执行文件,并且它还会将自身登记为一个服务进程,使用户在断网时病毒仍然能够工作(只在Windows 9x下)。另外,由于在Windows 9x系统中该病毒使用了虚拟设备驱动(VxD)技术,因此病毒的执行效率较高。在被激活的情况下,用户只需进行打开或右键点击或刷新图标等动作,病毒就可以进行感染。在11月20日,该病毒会将对可执行文件的感染操作改为删除,而且该病毒会删除任何以AVCONSOL开始的文件。
▲2002年8月
重大病毒没有出现——看样子病毒也休暑假!!
▲2002年9月
这个绝好像没有太有特色的新病毒。
不过此时的TaiChi病毒发作日期将近,这个病毒比以往的病毒特殊一些,是一个纯种的WinNT病毒,技术上有SFCpatch和NTPatch以及LSApatch,应该说是功能上集合数款病毒之常的东西,值得一提的是他的NT专用感染方式使感染变得更加快速,不可预测.其发作症状是把WinNT的开机画面换成一个29A的图像。该病毒出自29A的Ratter之手。
▲2002年10月
Thursday, October 17 2002 5:34 PM Bugbear病毒(也叫Tanatos)可能不是某种全新的蠕虫病毒;它看起来象去年的Badtrans病毒的一个变种。但它却是目前互联网上传播最快的病毒。 (ps::只疯狂了两个星期就开始下台了!!)
在度过了几个没有大的病毒爆发的平静月份之后,反病毒公司提醒计算机用户小心一个类似尼姆达病毒的复杂的病毒。但是,Bugbear其实是一段并不特别恶意的针对Windows病毒代码,却成为近日大家瞩目的焦点,它怎么能够这么快就有这么广泛的影响呢?
首先,Bugbear病毒非常具有欺骗性。被感染的电子邮件被冠以诸如“Get 8 free issues--no risk”或者“My eBay ads”这样的标题,这样它们就会冒充普通的垃圾邮件进入你的收件箱。和Sircam蠕虫病毒一样,Bugbear病毒对于回复地址进行了伪装,所以你不能够找出是谁把这封被感染的电子邮件发送给你的。
该病毒对被感染的电子邮件的附件的后缀名也进行了伪装,这样用户可能会以为附件是某种类型的文件,而实际上它却是另外一种文件。所以,比如说附件的后缀名可能表示它是个“.jpg”文件,可实际上它却是个“.exe”文件。
即使不打开附件,Bugbear病毒也可以通过利用一个已知的微软IE的漏洞来感染你的电脑。由于Outlook使用IE来查看HTML格式的邮件,所以只要在Outlook中预览这个邮件就足以使你的电脑受到感染了。IE 6.0的用户不会受到Bugbear病毒的感染。对于IE 5.01和5.5的用户,微软在18个月前提供了一个补丁:MS01-020。尼姆达病毒在一年前也是利用了同样的漏洞。
其次,Bugbear病毒的传播速度非常之快。在一个网络中,它只需要一个可被感染的系统就有了立足点。一旦它感染了一个未被保护的系统,它就可以传播到另一台电脑--甚至打印机--通过137端口开放的NETBIOS文件共享。如果Bugbear病毒感染了一台网络打印机,它将导致该打印机不能正常工作,比如打印很多张只有一行内容的纸。去年的尼姆达病毒也会影响打印机。
第三,Bugbear病毒非常难以被清除。一旦该病毒感染了一个网络,除非所有的病毒传播路径都被切断了,否则IT部门的维护人员根本不可能把它清除。几个IT部门报告说当他们在五楼清除该病毒的时候,它流窜到了四楼,或者某个卫星办公室之中。
第四,和今年早些时候发作的Klez病毒一样,Bugbear病毒关掉了几乎所有主要的桌面防火墙和杀毒软件。如果你不能够确定自己的机器是否感染了Bugbear病毒,请检查一下你的放火墙和防病毒软件是否工作正常。
Bugbear病毒最危险之处在于它包含了一个可以记录你键盘输入的特洛伊木马软件。这就意味着这个病毒的编写者可以通过监听TCP端口36794来获取你在你被感染了的机器键盘上所进行的所有操作的信息,包括你的信用卡号码和你的密码。这个特洛伊木马软件让恶意用户可以远程接入你的机器,删除或者添加文件而不须经过你的许可。而且,恶意用户可以调动全世界范围内被感染的机器进行一场协作分布式拒绝服务攻击。不过到目前为止,还没有明显证据表明已经有人成功地这样做了
▲2002年12月
12月27日,趋势科技发布WORM_WINEVAR.A中度风险病毒警报。这只名为四角兽「WORM_WINEVAR.A」的新病毒,利用电子邮件方式,迅速在全球各地扩散。尤以欧洲地区最为严重,目前已有数千台计算机受感染,在韩国、美国也有零星灾情传出。此病毒感染行径类似日前掀起轩然大波的求职信系列病毒。
WORM_WINEVAR.A病毒攻击手法和先前造成轩然大波的WORM_KLEZ求职信系列病毒类似,不需执行邮件附件,只要预览此病毒信件,就会受到病毒感染,而且一旦不小心中毒,病毒便会大量寄发邮件给通讯簿中的人,造成服务器的负荷。此外,此「WORM_WINEVAR.A」病毒行为诡谲,专找IE漏洞,冒名大量发送电子邮件,还会卸载防毒软件以及监控程序。用户一但中毒后,下次再次开机时,会让用户硬盘中所有资料瞬间化为乌有,此外在桌面会出现一个explorer.pif的图标,最狡猾的是,病毒信件发件人为:「计算机系统注册的名字或收件者」,主题是:「N`4_被感染计算机所登记的组织名字」,由于主题只有N`4是固定的,后面则会随机变化,所以不易被防毒软件拦截,并且不易防范,用户容易误以为是某组织所寄送出来的通知信,一时不察开启此信件后便中毒了。
▲2003年1月
巨无霸”Worm. SoBig.65536★★★★传播方式:邮件
蠕虫“巨无霸”惊现。最近发现并引起人们注意的邮件蠕虫病毒是W32/Sobig.A,MessageLabs1月9号在荷兰首先发现了该病毒,并迅速在全球各地蔓延开来,由于病毒邮件的发件人总是big@boss.com,该病毒被命名为Sobig。病毒是一个带有SMTP引擎的大规模邮件病毒,也可以通过网络共享方式传播,还会从Geocities的一个网站下载一个TXT文件,该文件包括一个URL可以用来下载木马程序。还可以通过在感染者硬盘上搜索特定文件来获得大量邮件地址,也可以搜集地址簿和收件箱中的邮件地址发送病毒邮件。该病毒全称Worm. SoBig.65536,传播速度极快,危害性更是超过了前一段时间闹的很汹的“硬盘杀手”。
“巨无霸”病毒感染后会修改注册表中的系统启动项,让病毒程序自动加载,病毒邮件的主题是"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...,附件名为"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...,邮件内容为:”Attached file:”。有经验的网管可以编缉相应的邮件规则,在服务器端拒收此类邮件,可免遭“撒旦”的攻击。
DDos攻击Hack.DDoSer.63600★★传播方式:文件
这是一个用VC++编写的黑客程序,程序采用UPX1.08压缩,是连接很多人对目标机器进行DDos攻击的工具。传播速度一般,具有一定的危害性,运行后会不断的访问网络对目标机器进行工具,除了耗一些资源和占用带宽外,对本机无害,会修改注册表的启动项,指向系统目录的文件Kernel32.exe。手工清除的方法:直接删除该文件,恢复注册表即可。
密码圣手1.0服务端Trojan.mmss10Srv.20992★★传播方式:文件
这是一个用VC++编写的黑客程序,程序采用UPX压缩,主要针对现在所流行的网络游戏所编写,适用游戏:Oicq,传奇,奇迹,精灵,武魂,红月,决战,倚天,魔力宝贝,石器时代,边峰,大话西游,千年,遗忘传说,天使,等。有一定的传播速度,对游戏玩家造成很大的危害。此病毒驻留内存,拦截游戏密码,然后把密码发送到下毒者的邮箱,邮箱地址位于木马程序的0x64a位置,没有使用加密机制。手工清除的方法:直接删除该文件即可。
修理你Joke.Fixyou.294912
★★传播方式:文件
这是一个用VC++的MFC编写的玩笑程序,程序的注释中标明:整人专家之精灵卫士,既可当作电脑安全卫士(防止他人乱动您的电脑),也可当作一恶作剧程序(用它来整人。当然,前提是对方不知道关闭它的方法)。软件关闭有两种方法:第一种是按下Ctrl键,同时点鼠标右键(Ctrl+鼠标右键)。第二种是按下Alt键,同时按F8键(Alt+F8)既可关闭。传播速度和危害性都比较小。运行后会有一只灰白的熊在屏幕上爬动,所有的键盘操作被停止,包括Ctrl+Alt+Delete键。手工清除的方法:关闭该程序后,直接删除该文件即可。
2003年1月25日,互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm,病毒体极其短小,却具有极强的传播性,它利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及,因此此次病毒攻击导致全球范围内的互联网瘫痪,在中国80%以上网民受此次全球性病毒袭击影响而不能上网,很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。这是继红色代码、尼姆达,求职信病毒后又一起极速病毒传播案例。所以“蠕虫王”蠕虫的出现,应该成为一个传奇……
▲2003年2月
硬盘杀手新变种 Worm.OpaSoft.18432.g ★★★★ 传播方式:文件
此病毒运行之后所作的第一件事情就是删除原来流行的“opasoft”病毒,从文件到注册表,清理得倒是干干净净。不过也不奇怪,这个病毒本来就是屏幕保护病毒的一个变种。
▲2003年3月
恶邮差 Worm.Supnot.78858.c ★★★★ 传播方式:邮件
四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c,是蠕虫Supnot的最新变种,且改进了以前版本通过邮件传播方面的性能,手段极其“恶毒”。
“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件,每封邮件的附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信,很可能会打开过该邮件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本地目录,通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的邮件回复带毒邮件给原始发件人,这时的带毒邮件的主题和内容就跟原始邮件有关。
口令蠕虫 Worm.DvLdr ★★★ 传播方式:探测445端口连接穷举破解密码
该蠕虫主要攻击系统为NT/2000平台,通过探测445端口方式穷举管理员密码,并殖入一个后门程序使得该机器的安全性降低到0。金山毒霸反病毒应急处理中心紧急提醒大家,一定要给自己的超级用户设定一个安全、强壮的密码。
病毒类型:PE蠕虫。
该病毒体较大,包含数个可执行文件。主体程序为DvLdr32.exe,为VC++6编写,并采用aspack压缩过。病毒自带了两份命令行工具,分别是psexesvc和Remote process launcher,均为sysinternals发布的正常网络工具。并附带有一份安装包,负责在攻击成功之后,在宿主机器上安装VNC远程控制工具。
该蠕虫运行后,随机选择两个IP段,连接对方445端口,该端口为Samba为和NT系统进行文件共享而开设端口。如果蠕虫连接此端口成功,则使用自身附带的一份字典进行穷举探测对方的administrator用户密码,一旦探测成功获得对方超级用户密码,则拷贝自身进入系统。
红色代码变种 CodeRed.F ★★★ 传播方式:IIS
红色代码的最新变种病毒,主要是利用微软IIS远程缓存溢出漏洞获得系统权限。然后在这个感染的Web服务器上植入木马程序,给攻击者完全的访问权限,并严重威胁网络安全。该最新变种对Windows 95, 98和ME系统不会造成危害,对Windows NT、2000系统上没有安装使用IIS的用户也没有危害。该变种病毒只攻击没有打微软MS01-033补丁的IIS服务器。与红色代码前辈的区别仅在于,该变种病毒在低于34952的年份都可以运行。
一旦遭受感染,网络安全就会受到严重威胁。但只有没有安装最后的IIS service pack的系统才会受影响。CodeRed.F是2001年出现的CodeRedII的变种,仅作一点修改。
▲2003年4月
经过了1-3月的闹腾,终于静下来了,不过更大的危机在后面
▲2003年5月
5月19日,Worm.SoBig.b,是1月11日在网络上首次泛滥的“大无极病毒(Worm.sobig)”的一个新变种。该病毒发源于荷兰,已于5月19日在美国、英国大面积泛滥
▲2003年6月
发现新的蠕虫,Tanatos 变种“Tanatos.b” (aka Bugbear.b)。该版含有大量的破坏性功能,它可以感染保存在硬盘上很多程序的执行文件,同时还可以使被感染计算机上的机密信息外流。目前已发现了大量被感染案例。蠕虫为Windows应用程序(PE EXE文件),大约72Kb(用UPX大包)。展开尺寸170Kb。是用Microsoft Visual C++写成。
6月5日下午::一个来势迅猛的蠕虫病毒,命名为“姆玛”(Bat.muma)。该病毒采用批处理命令编写,并携带端口扫描工具,采用猜密码的方式暴力破解局域网中的其它的计算机,而且程序使用一个死循不停的扫描局域网中的计算机,由于病毒自身的BUG,一旦在循环中出错,就会不停的弹出出错的对话框,使本地系统资源巨量消耗,直至死机。如果破解成功便疯狂的复制自身,造成网络的资源的极大浪费,最终阻塞网络。