(http://www.epochtimes.com)
【大纪元6月23日讯】 人类进入信息社会创造了智能机器(电子计算机), 同时也创造了机器病毒,福祸同降。从1983年计算机病毒首次被确认以来,并没有引起人们的重视。直到1987年,计算机病毒才开始受到世界范围内的普遍重视。我国于1989年在计算机界发现病毒。至今,全世界已发现近数万种病毒,并且还在高速度地增加。
病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,
促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛依木马等有害代码大量涌现。
本文中提到的病毒都是作者亲自编程杀过的。作者总结了多年的反病毒经验,提出抗病毒最基本的做法是:一备份,二快升级,三灾难恢复。
1、病毒的发展过程
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个以编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导区。这就是最早在世界上流行的一个真正的病毒。
1988年至1989年,我国也相继出现了能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA!”,也称为“大麻”病毒等。
20世纪90年代初,感染文件的病毒有Jerusalem(黑色13号星期五)、 Yankee Doole、 Liberty、 1575、 Traveller、1465、2062、4096等,主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。这些病毒中,略有对抗反病毒手段的只有Yankee Doole病毒,当它发现你用Debug工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时, 用DIR列目录表,病毒会掩盖被感染文件所增加的字节数,使人看起来字节数很正常。
以后又出现了引导区、文件型“双料”病毒,这类病毒既感染磁盘引导区,又感染可执行文件。
1992年以来,DIR2-3、DIR2-6、New DIR2病毒以一种全新的面貌出现,具有极强感染力,无任何表现,不修改中断向量表而直接修改系统关键中断的内核,修改可执行文件的首簇数,将文件名字与文件代码主体分离。在系统有此病毒的情况下,就像一切没发生一样。但你用无病毒的文件去覆盖有病毒的文件时,灾难就会发生,全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现,使病毒又多了一种新类型。
20世纪内,决大多数病毒是基于DOS系统的,有80%的病毒能在Windows中传染。TPVO/3783病毒是“双料性”(传染引导区、文件)、“双重性”(DOS、Windows)病毒,这是病毒随着操作系统发展而发展。当然,Internet的广泛应用,Java恶意代码病毒也出现了。
近几年,出现了近万种Word(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用Word格式文件进行大量的交流,宏病毒会潜伏在这些Word文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剖析中,发现部分病毒好像出于一个家族,其“遗传基因”相同,简单地说,就是“同族”病毒,但绝不是其他好奇者简单地修改部分代码而产生的“改形”病毒。
“改形”病毒的定义与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,不法之徒可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可以不用绞尽脑汁地去编程序,便轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传遍了全世界。这种病毒生产机也传到了我国。
Windows 9x、Win 2000操作系统的发展,也使病毒种类随其变化而变化。
病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被反病毒应急中心捕获。该病毒被激活后,会像“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。
该病毒感染文件的类型比较多,它既感染DOS可执行程序、批处理文件、Windows的可执行程序,而且还感染Excel 97/2000文件。
Internet网的发展,激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。
1999年2月,“美丽莎”病毒席卷欧美大陆,是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄地潜伏在网上的一些供人下载的软件中。可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。陈盈豪又炮制了CIH-1.3版,并将破坏时间设在6月26日。7月,又炮制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日。
就在那一年,很不巧的是,当时正在上映的电视剧女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序,大量的用户从网上下载使用,三种版本的CIH病毒被广泛扩散,当时的反病毒公司也没有及时发现。因此,这种全新的Windows病毒到处传播,危机的阴影迅速笼罩着四方。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒首先跳出来发作。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班轻松打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了……,计算机史上,病毒造成的又一次巨大的浩劫发生了。
随着Internet网的发展,使病毒传播更加方便、更加广泛,网络蠕虫病毒已成为病毒主力,这应使我们严加防范。
(赛迪网-中国计算机报) (http://www.dajiyuan.com)
相关文章
