第2章 计算机病毒发展史
2.1 计算机病毒的起源及其发展过程
人类创造了电子计算机之后,也制造了计算机病毒。1983年计算机病毒首次被确认,到1987年,计算机病毒才开始受到世界范围内的普遍重视。我国于1989年在计算机界发现病毒。至今,全世界已发现病毒30多万种,而且这个数字还在高速增长。
病毒的花样不断翻新,编程手段越来越高,令人防不胜防。特别是由于互联网在人们的生活、学习和工作中的广泛应用,使得各种病毒空前活跃,网络蠕虫病毒传播得更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛伊木马等有害代码大量涌现。
计算机刚刚诞生时就有了计算机病毒的概念。1949年,计算机之父冯·诺依曼在《复杂自动机组织论》一书中便定义了计算机病毒的概念——即一种“能够实际复制自身的自动机”。1960年,美国的约翰·康维在编写“生命游戏”程序时,首先实现了程序自我复制技术。他编写的游戏程序运行时,屏幕上有许多“生命元素”图案在运动变化。当这些元素过于拥挤时会因缺少生存空间而死亡;如果元素过于稀疏会由于相互隔绝失去生命支持系统导致死亡;只有处于合适环境的元素才能非常活跃,它们能够自我复制并进行传播。
20世纪60年代初,在美国的贝尔实验室里,三个年轻人编写了一个名为“磁心大战”的游戏,这就是“病毒”的第一个雏形。玩这个游戏的两个人编制了许多能自身复制并可保存在磁心存储器中的程序,然后发出信号。双方的程序在指令控制下就会竭力去消灭对方的程序。在预定的时间内,谁的程序繁殖得多,谁就得胜。这种有趣的游戏很快就传播到其他计算机中心。
对于计算机病毒理论的构思可追溯到科幻小说。在20世纪70年代,美国作家雷恩所著的《P1的青春》一书中构思了一种能够自我复制、利用通信进行传播的计算机程序,并称之为计算机病毒。
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样诞生了。
20世纪80年代起,IBM公司的PC系列微机因为性能优良、价格便宜逐渐成为全球微型计算机市场上的主要机型。但是由于IBM PC系列微型计算机自身的弱点,尤其是DOS操作系统的开放性,给计算机病毒的制造者提供了可乘之机。因此,装有DOS操作系统的微型计算机成为病毒攻击的主要对象。1983年出现了研究性计算机病毒的报告。
20世纪80年代后期,巴基斯坦有两个以编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导区。这就是最早在全球流行的真正的计算机病毒。
1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如“大麻”、“IBM圣诞树”、“黑色星期五”等。面对计算机病毒的突然袭击,众多计算机用户甚至是专业人员都感到惊慌失措。
1988年3月2日,一种攻击苹果机的计算机病毒发作,这天受感染的苹果机都停止了工作,只显示“向所有苹果计算机的使用者宣布和平的信息”。
但计算机病毒开始大肆流行是在1988年11月2月。美国康乃尔大学23岁的研究生罗特·莫里斯制作了一个蠕虫病毒,并将其投放到互联网上,致使计算机网络中的6000多台计算机受到感染,许多联网计算机被迫停机,直接经济损失达9600万美元。
1988年至1989年,中国也相继出现了产于新西兰的能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志“Your PC is now Stoned!”或“LEGALISE MARIJUANA!”。这种病毒也称为“大麻”病毒。
1989年全世界的计算机病毒攻击十分猖獗,中国也未能幸免。其中“米开朗基罗”病毒给许多计算机用户造成了极大损失。
20世纪90年代初,感染文件的病毒有“Jerusalem”(黑色星期五)、“Yankee Doole”、“Liberty、1575”、“Traveler”、“1465”、“2062”、“4096”等,这些病毒主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,使被感染的文件增加了字节数。因为这类病毒代码主体没有加密,因此容易被查出和解除。这些病毒中,略有对抗反病毒手段能力的只有Yankee Doole病毒,当它发现有人用Debug工具跟踪它的话,则会自动从文件中“逃走”。
接着,有一些能对自身进行简单加密的病毒相继出现,它们是“1366(DaLian)”、“1824”(N64)、“1741”(Dong)、“1100”等病毒。这些病毒加密的目的主要是防止被跟踪或掩盖有关特征等。当内存感染了1741病毒时,即使用DIR列出目录表,病毒也会掩盖被感染文件所增加的字节数,使字节数看起来很正常。
后来又出现了引导区、文件型的“双料”病毒,这类病毒既感染磁盘引导区,又感染可执行文件。
1991年发现了首例网络计算机病毒“GPI”,它突破了NOVELL公司的Netware网络安全机制。同年,在海湾战争中,美军第一次将计算机病毒用于实战,在空袭巴格达的过程中,成功地破坏了对方的指挥系统,使之瘫痪。
1992年以来,DIR2-3、DIR2-6和New DIR2病毒以一种全新的面貌出现,具有极强的感染力。这些病毒没有任何表现,不修改中断向量表而是直接修改系统关键中断的内核,修改可执行文件的首簇数,将文件名字与文件代码主体分离。如果系统被这类病毒感染,表面上就像什么都没发生一样。但当你用无病毒的文件去覆盖有病毒的文件时,灾难就会发生,系统中所有被感染的可执行文件内容都被刚覆盖进去的文件内容所替代。该病毒的出现使病毒又多了一种新类型。20世纪中绝大多数病毒是基于DOS系统的,有80%的病毒可在Windows中传染。TPVO-3783病毒是一个具有“双料性”(传染引导区和文件)和“双重性”(传染DOS和Windows)的病毒,这个病毒是随着操作系统的发展而发展的。
1995年时,出现了一个更危险的信号,人们通过对众多病毒的剖析,发现部分病毒好像出自于一个家族,其“遗传基因”相同,简单地说,就是“同族”病毒。然而这些病毒绝不是其他好奇者简单的通过修改部分代码而产生的“变形”病毒。
变形病毒的定义与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”病毒的代码相同,并且相同代码的位置也相同,否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人们不得不怀疑“病毒生产机”软件已经出现。终于在1996年下半年,中国发现了“G2”、“IVP”、“VCL”三种“病毒生产机软件”,不法之徒可以利用它们编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件使病毒制造者不用绞尽脑汁地编写程序便可轻易地制造出大量的“同族”新病毒。这些病毒代码的长度各不相同,用来自我加密、解密的密钥也不相同,此外,原文件头重要参数的保存地址不同,病毒的发作条件和现象也不同,但是,这些病毒的主体构造和原理基本相同。
危机一个接一个地出现,网络蠕虫病毒I-WORM.AnnaKournikova就是一种VBS/I-WORM病毒生产机生产的,它在短时间内就传遍了全世界。与此同时,这种病毒生产机也传到了中国。
Windows 9x、Windows 2000操作系统的发展也使病毒种类发生了变化。病毒的种类、传染和攻击的手法越来越高超。一种流传到中国的“子母弹”病毒Demiurg被反病毒应急中心捕获。该病毒被激活后,会像“子母弹”一样分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。
该病毒感染文件的类型比较多,它既可以感染DOS可执行程序、批处理文件、Windows的可执行程序,也可以感染Excel 97、Excel 2000文件。
Internet的发展使病毒的流传更加广泛。病毒通过网络的快速传播和破坏,给世界带来了一次又一次的巨大灾难。
1996年出现了针对微软公司Office的“宏病毒”。1997年被公认为计算机反病毒界的“宏病毒”年。“宏病毒”主要感染Word、Excel等文件,是自1996年9月开始在中国出现并逐渐流行的病毒。如Word宏病毒,该病毒早期是用一种专门的Basic语言(即Word Basic)编写的程序,后来改用Visual Basic编写。与其他计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的有:Tw no.1(台湾一号)、Setmd、Concept、Mdma等。
1998年2月,“美丽莎”病毒席卷欧美大陆。它是全球最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,中国台湾省的陈盈豪编写出了破坏性极大的Windows恶性病毒CIH-1.2版,此病毒悄悄地潜伏在网上的一些供人下载的软件中,并定于每年的4月26日发作、破坏。可是,两个月时间内下载的人并不多,到了4月26日,病毒只在台湾省少量发作,并没引起人们的重视。然后,陈盈豪又炮制了CIH-1.3版病毒,并将破坏时间设在6月26日。7月,他又炮制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日。
不巧的是,那一年,正在上映的电视剧女主角“小龙女”的肖像被广泛用在计算机的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序。由于大量用户从网上下载使用该屏保程序,致使三种版本的CIH病毒被广泛扩散。加之当时的反病毒公司没有及时发现该病毒,导致这种全新的Windows病毒到处传播,使人们感到危机四伏。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒发作,给当时的计算机界带来了一次极大的冲击。
1998年,Back Orifice让黑客可以通过互联网在未授权的情况下遥控另一部电脑,此病毒的命名也开了微软Microsoft's Back Office产品的一个玩笑。
1999年4月26日是一个计算机业界难以忘却的日子。也就是到了CIH-1.2病毒第二年的发作日,人们早晨一上班轻松打开一台计算后,只看到屏幕一闪就变成黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了……计算机史上,病毒造成的又一次巨大的浩劫发生了。
千禧之年(2000年)中出现了拒绝服务(Denial of Service)和恋爱邮件(Love Letters)“I Love You”。这次拒绝服务袭击规模很大,致使雅虎、亚马逊书店等主要网站服务瘫痪。同年,附着有“I Love You”电子邮件传播的Visual Basic脚本病毒被更广泛地传播,使不少电脑用户明白了小心处理可疑电邮的重要性。该年8月,首个运行于Palm作业系统的木马(Trojan)程序“自由破解(Liberty Crack)”也终于出现。这个木马程序以破解Liberty(一个运行于Palm作业系统的Game boy模拟器)作诱饵,致使用户会在无意中把这个病毒透过红外线资料交换或以电邮的形式在无线网中进行传播。
2002年,多变的混合式病毒——“求职信”(Klez),以及FunLove病毒席卷全球。“求职信”是典型的混合式病毒,它除了会像传统病毒般感染电脑档案外,同时也拥有蠕虫(worm)及木马程序的特征。它利用了微软邮件系统自动运行附件的安全漏洞,借着耗费大量的系统资源,造成电脑运行缓慢直至瘫痪。该病毒除了将电子邮件作为传播途径外,也可透过网络传输和电脑硬盘共享传播病毒。
2003年,冲击波(Blaster)病毒于8月开始暴发,它利用了微软作业系统Windows 2000及Windows XP的保安漏洞,取得了完整的使用者权限,可在目标电脑上执行任何的程序代码,并通过互联网继续攻击网络上仍存有此漏洞的电脑。由于防毒软件不能过滤这种病毒,致使该病毒迅速蔓延至多个国家,造成大批电脑瘫痪和网络连接速度减慢的情况出现。
继“冲击波”病毒之后,第六代的“大无极”电脑病毒(SOBIG.F)肆虐,并通过电子邮件扩散。这种病毒不但会伪造寄件人身份,根据电脑通信录内的资料,发出大量以“Thank you!”、“Re:Approved”等为主旨的电邮外,还可以使染毒的电脑自动下载某些网页,使编写病毒的作者有机会窃取电脑用户的个人及商业资料。
2004年,“MyDoom”、“网络天空”(NetSky)及“震荡波”(Sasser)病毒出现。“MyDoom”病毒于2004年1月下旬出现,它利用电子邮件作为传播媒介,以“Mail Transaction Failed”、“Mail Delivery System”、“Server Report”等作为电邮标题,诱使用户开启带有病毒的附件。受感染的电脑除了会自动转寄病毒电邮外,还会令电脑系统开启一道后门,供黑客用做攻击网络的中介。它还会对一些著名网站(如SCO及微软)进行分散式拒绝服务攻击(Distributed Denial of Service,DDoS),其变种还会阻止染毒电脑访问一些著名的防毒软件厂商网站。由于它可在30秒内寄出100封电子邮件,因此曾令许多大型企业的电子邮件服务被迫中断。在电脑病毒史上,其传播速度创下了新纪录。
“震荡波”病毒与较早前出现的冲击波病毒雷同,都是利用了微软Windows操作系统的保安漏洞,而且不需要依赖电子邮件作为传播媒介。它利用系统内的缓冲溢位漏洞,导致电脑连续地重新开机并不断感染互联网上的其他电脑。它用短短18天的时间就取代了“冲击波”病毒,创下了修补程序公布后达到最短攻击周期的纪录。
2008年,根据瑞星公司截获新病毒样本数据统计,2008年截获的新病毒是去年同期的12.16倍。其中“网页挂马”所传播的木马、后门等病毒占据90%以上。盗号木马、Rootkits驱动、木马下载器等新型病毒有了巨量增长,黑客“犯罪图财”的特征非常明显。从木马病毒的编写、传播到出售,整个病毒产业链已经完全互联网化,这是导致病毒数量暴增和危害增大的根本原因。
2009年,病毒传播途径仍然以网页挂马为主。挂马者主要通过微软以及其他第三方软件漏洞为攻击目标,如:Flash等第三方软件漏洞等。2009年各种病毒比例中,木马仍占首要位置,所占比例为66%,蠕虫病毒占12%,后门程序占8%,Windwos病毒占9%,广告程序以及漏洞攻击代码、脚本病毒、寄生虫病毒占余下的5%。
到了2010年,在病毒与反病毒技术对抗过程中,病毒技术的发展又出现新的特点。
第一,病毒行为趋于“操作合法化”,利用看似“合法化”的操作实现病毒行为。例如,修改用户IE首页病毒,让电脑不断访问黑客指定页面,为黑客赚取大量金钱。病毒代表:“流氓主页木马”,病毒会采用生成一个与正常IE浏览器图标一摸一样的IE快捷方式,通过修改快捷方式的方法,实现修改用户的默认首页,病毒制作者采用了这种看似是一种“正常操作的方法”躲避杀毒软件,使多数杀毒软件对此无能为力。
随着此类病毒的不断变种,互联网上通过修改快捷方式、文件默认关联、软件图标等方式,引导网民到恶意网站的病毒已经越来越多,一些安全软件对如此频繁的变化根本无法有效解决,专家建议用户选择专业的瑞星杀毒软件和卡卡上网安全助手,有效处理以上问题。
第二,病毒利用假桌面或假关机等方式,切断杀毒软件与用户之间的交互,从而使杀毒软件失效。通常杀毒软件在拦截或查杀病毒的时候都需要一个与用户交互的平台,而这个平台就是用户电脑桌面,当一个病毒运行后,杀毒软件监控进行拦截,不论是按照默认设置或弹出窗口提示都是基于电脑桌面的,如果这个桌面没有了,所有的这些拦截就无法生效,也就是说杀毒软件没有用了。例如,桌面闪客病毒(Trojan.PSW.Win32.DesktopFlasher.a),该病毒运行后会自己建立一个桌面把用户正常桌面替换,从而使杀毒软件失效。
第三,“特种木马”在政府机关等单位的网络中肆虐。这种类型的木马病毒会将U盘中的文档复制到电脑中,然后通过整个局域网传播,将文档复制到网络中的每一台机器上,并发送给黑客,从而使国家机密或企业内部重要文档遭到泄露。
2.2 计算机病毒大事记
20世纪50年代末~60年代初
在美国的电话电报公司(AT&T)下设的贝尔实验室里,三个年轻的程序员(道格拉斯、维索斯基和罗伯特·莫里斯)在工作之余编制了一个叫“磁心大战”(core war)的游戏,这可谓病毒的第一个雏形。虽然由于这种自我复制是在一个特定的受控环境下进行的,因此不能将其称为真正意义上的病毒,但是这些软件的基本行为与后来的电脑病毒已经非常相似了。
20世纪60年代晚期~70年代早期
这个时期,在与Univax 1108系统上首次出现了和现代病毒本质上一样的程序,即一个叫做“Pervading Animal”的程序可以将自己附着到其他程序的后面。
20世纪70年代
“爬行者”出现在一种叫做泰尼克斯(Tenex)的操作系统上,这个病毒可以通过网络进行传播。一种叫做“清除者”(Reeper)的程序也被开发出来以专门对付“爬行者”,这可能就是病毒和反病毒的第一次争战。
20世纪80年代早期
电脑的使用已经在发达国家变得非常普遍了,此间出现了最早的独立程序员,他们在为公司工作的同时,出于兴趣的原因,写了很多游戏或者其他的小程序,这些程序可以通过电子公告板(BBS)自由传播,窃取账号和密码成了所有爱好者梦寐以求的事情,他们认为这是体现他们在这个社区具有独特价值的最好机会,所以在这一时期诞生了无数的特洛伊木马(Trojan horses),这些病毒尽力将自己伪装得和真正的登录程序、提示程序一模一样,这样就可以骗取不明真相的用户的密码了。
1981年
在苹果机上诞生了最早的引导区病毒——Elk Cloner。这个病毒将自己附着在磁盘的引导扇区上。这个病毒有很强的表现欲,再发作的时候,它会尽力引起你的注意,关掉显示器、使显示文本闪烁或者显示一大堆乱七八糟的信息。
1986年
最早运行在IBM PC兼容机上的病毒——“大脑”(Brain)开始流行。这是一种感染360KB软盘的病毒(不是我们现在使用的软盘,是很古老的5.25英寸的软盘,现在在一些老型号的机器上还可以见到),由于所有的人对于电脑病毒都没有心理准备,所以这种病毒在制造出来之后,立刻在世界范围内得到传播。巴基斯坦的两兄弟巴斯特(Basit)和埃姆佳德(Amjad Farooq Alvi)制造了这个病毒,他们在病毒中留下一条信息,其中有他们的名字、地址甚至还有电话号码(我想现在不会有人这么干了,因为警察会在第二天就会“造访你”!)。
根据制造者的说法,他们是软件开发商,制作这个病毒的目的是为了检验一下盗版问题在巴基斯坦的严重程度,也就是说,如果你使用了他们开发的未经授权的软件,很可能就感染了这个病毒,考察这个病毒的流行程度就知道盗版问题的严重程度了。遗憾的是,病毒的蔓延远远超过了制造者的预计,这一病毒成为了世界性的问题,也宣告了一个具有病毒和反病毒软件的电脑时代的到来。
“大脑”病毒还首次使用了巧妙的手段来伪装自己,如果用户想要查看被病毒感染的地方,它会给用户提供一组完好无损的信息。
那一年,我国公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修,学习计算机安全技术。
1987年
这是电脑病毒技术飞速发展的一年,特别是DOS环境下的文件型病毒在这一年发展很快。也是在这一年,“维也纳”(Vienna)病毒出现,这个病毒虽然不是莱夫·伯格编写的,但是他得到这个病毒之后对其进行了分析,并在他的书(《计算机病毒——高技术的瘟疫》)中公布了分析结果。这本书使得病毒制造技术变得大众化了,书中详细阐述了如何制造病毒以及一些病毒构造的思路,在该书出版以后,成百上千的病毒被这本书的读者们制造出来。
在这一年中,更多的IBM PC兼容机上的病毒出现了,其中比较著名的有:“里海”(Lehigh),该病毒只感染COMMAND.COM文件;“西瑞夫一号”(Suriv-1),又叫“四月一号”,感染所有的COM文件;“西瑞夫二号”(Suriv-2),感染EXE文件,值得一提的是,这是首个感染EXE文件的病毒;“西瑞夫三号”(Suriv-3),该病毒是第一种既感染COM文件又感染EXE文件的病毒;此外还有一些引导型病毒,比如出现在美国的“耶鲁”(Yale)病毒、新西兰的“石头”(Stoned)病毒及意大利的“乒乓”(PingPong)病毒。
这一年中,还出现了一些非IBM PC兼容机上的病毒,比如苹果机上的病毒。
1987年12月,第一个网络病毒——“圣诞树”(Christmas Tree)开始流行,这是一个使用REXX语言编写的病毒,在VM/CMS操作系统下传播。这一年的12月9日,“圣诞树”首次在西柏林大学的内部网上出现,然后通过网关(连接网络和网络之间的一种装置)进入了欧洲学术研究网,随后采用同样的方式进入了IBM公司的内部网络。4天以后,由于不受节制的自我复制,整个网络都充满了这个病毒的复制,从而造成系统瘫痪。“圣诞树”病毒运行之后,在屏幕上显示一个圣诞树的图像,然后把自己复制到当前所有网络用户的机器上。
1988年
1988年的某一天,既是13日又逢星期五,一些国家的公司和大学遭到了“耶路撒冷”(Jerusalem)病毒的攻击。在这一天,病毒摧毁了电脑上所有想要执行的文件。从某种意义上说,“耶路撒冷”病毒首次通过自己的破坏力引起了人们对电脑病毒的关注。从欧洲到美洲甚至在中东都有“耶路撒冷”病毒的报告,该病毒因攻击了耶路撒冷大学而得名。
在1988年,“耶路撒冷”、“小瀑布”、“石头”和“维也纳”病毒在人们没有注意的情况下感染了大量电脑,这是因为当时反病毒软件远没有今天这么普遍,即使是电脑专家,也有很多人根本不相信电脑病毒的存在。皮特·诺顿(著名的诺顿工具软件的开发者)就宣称电脑病毒是不存在的,就像纽约下水道存在鳄鱼一样荒谬(不过具有讽刺意味的是,诺顿的公司仍然在数年以后推出了自己的杀毒软件)。
此间,利用人们对电脑病毒的恐惧,大量有关电脑病毒的笑话和恶作剧开始流行。最早的一个恶作剧应该是麦克·罗齐埃里(Mike RoChenle)完成的,他在BBS上发布了一系列消息,描述了一种病毒可以在以2400 b/s波特率连线的时候从一台机器复制到另外一台机器上。这个玩笑使得大量BBS用户放弃了2400 b/s波特率,而使用1200 b/s波特率连接到BBS上。
1988年11月发生了一起重大事件,即“莫里斯的蠕虫”(Morris's Worm)出现。这是第一个因特网病毒,该病毒在美国感染了超过6000台的电脑(包括美国国家航空和航天局研究院的电脑)并使其部分瘫痪,由此造成的损失预计超过9600万美元。“莫里斯的蠕虫”利用了VAX和SUN公司开发的UNIX系统上的漏洞,使自己得以繁殖和传播(关于该病毒是有意利用了这一漏洞还是程序本身的错误还存在争议,但是我认为是程序员有意的行为,这种自我繁殖带给制造者的满足感可能是这个病毒作者最根本的动机)。这一病毒同时还进行密码偷窃和权限修改等工作,可以认为这是木马类病毒的最早一次尝试。
1988年12月在DEC.Net上也出现了蠕虫病毒,这个病毒的名字叫“嗨.来吧”(HI.COM)。该病毒在屏幕上输出一个云杉的图像,并告诉用户“不要继续工作了,回家享受好时光吧!”。而此时反病毒软件已经开始成熟,所罗门公司的反病毒工具(Doctors Solomon's Anti-virus Toolkit)成为当时最强大的反病毒软件。
1989年
1989年9月,IBM进入反病毒软件市场,推出了IBM反病毒软件。
1989年10月,DEC.NET上出现了新的蠕虫病毒,即“手淫蠕虫”(WANK WORM)。
1989年12月,称做“艾滋病”(AIDS)的特洛伊木马出现,大约2万张上面写着“艾滋病信息磁盘版本2.0”的磁盘被发放,启动90次以后,这个木马程序会加密磁盘上的所有文件名,将属性设置为“不可见”,只有一个文件是可读的,其中包含了一张189美元的账单,以及邮寄的地址——巴拿马邮政信箱7#。当然,这一拙劣的敲诈行为使病毒制造者很快被起诉并投进了监狱。
1989年,引导型病毒“小球”和“石头”通过香港和美国进入中国内地,并在一些大型企业和研究机构之间开始流行。被报道的大陆第一起病毒报告来自西南铝加工厂,是“小球”病毒的感染报告。
1990年
这一年发生了一些重要的事情,首先是第一个多态病毒——“变色龙”(Chameleon)(又叫做“V2P1”、“V2P2”和“V2P6”)的出现。在此之前,杀毒软件都是使用“带掩码的特征比较法”将病毒片段和一些预先采样的数据片段进行比较来判断一个文件是否被病毒感染,当“变色龙”出现以后,杀毒软件不得不寻找新的方法来检测和发现病毒。其次是“病毒制造工厂”(virus production factory)的出现,保加利亚的程序员开发了这个可以用于开发病毒的工具软件,使得不计其数的新病毒在保加利亚被制造出来,其中包括“马铃薯”(Murphy)、“野兽”(Beast)以及修改过的“埃迪”(Eddie)病毒。这一年还有一个叫做“黑暗复仇者”(Dark Avenger)的家伙或者组织特别活跃,制造了很多病毒,这些病毒使用了一些新的算法进行感染,并能在系统中隐藏自己的行踪。
1991年
1991年夏天,“目录二代”(DIRII)病毒开始流行。和其他一些病毒不一样的是,“目录二代”病毒不存在于某个文件或者引导扇区中,而是把自己分成小块,然后存在于磁盘上的多个扇区中,运行时再进行组装和执行。
1992年
在这一年,非IBM PC兼容机或者非DOS兼容的病毒基本上被遗忘了,网络上的漏洞得到了修补,错误被改正,大量的蠕虫病毒不再能够快速复制和传播。随着DOS的广泛流行,运行在微软DOS操作系统下的文件型、引导型以及文件/引导复合型病毒变成电脑病毒的主角。电脑病毒的数量以几何级数增长,几乎每天都会发生新的病毒感染事件,人们开发出各种各样的杀毒软件,许多书籍和杂志中也出现了关于电脑病毒的内容。
1992年早期,第一个多台病毒生成器“Mte”被开发出来,病毒爱好者利用这个生成器生成了很多新的多态病毒,“Mte”也是后来很多多态病毒生成器的原型系统。
1992年3月,“米开朗基罗”(Michelangelo)病毒和随之而来的由反病毒软件厂商造成的恐慌成了这个月的标志。从某种意义上讲,这是第一个对病毒进行炒作并且获得成功的案例。反病毒软件厂商刻意夸大病毒造成的威胁,并且不告诉用户如何保护自己的数据,而是想方设法让人们把目光集中到自己的产品上。他们做的这一切只有一个原因——利润。一家美国公司声称在3月6日,超过500万台电脑上的数据将会被破坏,而实际上真正遭遇“米开朗基罗”病毒的电脑只有大概10000台。成功炒作的效果就是很多反病毒厂商的利润增长了好几倍。
1992年7月,第一个病毒构造工具集(virus construction sets)——“病毒创建库”(Virus Create Library)开发成功,这是一个非常著名的病毒制造工具。实际上,直到1999年,国内还有一些个人和组织利用这个工具制造病毒。这个工具的成功刺激了新的、更加强大和完善的病毒制造工具不断地被开发出来。
1992年晚期,第一个视窗病毒开发成功。实际上,大量DOS环境下的病毒在视窗环境下仍然能够成功运行,之所以称这个病毒是第一个视窗病毒是因为该病毒首次对视窗操作系统独特的可执行文件格式进行感染,这个病毒的出现翻开了病毒发展历史上新的一页。
这一年,“目录2”病毒开始大规模进入中国。
1993年
在这一年中,病毒制造者除了制造大量普通的病毒,使用多态生成器、病毒构造机构造一系列病毒以外,还开始进行更加严重的破坏活动,使用一些新的方法感染文件并且将病毒注入系统。这一年中比较典型的病毒有:“IBM圣诞树”等。
1994年
这一年,病毒通过光盘进行传播变得非常普遍,在从这一年开始直到因特网被广泛使用之前,光盘成为最主要的病毒传播渠道。大量的光盘在制造的时候,由于使用的母盘含有病毒,所以压制出来的光盘也包含病毒。由于光盘中的内容是不能被改写的,所以这些病毒无法被清除,唯一的解决方法只能是将这些感染了病毒的光盘销毁。
在1994年早期,英国出现了两种极其复杂的多态病毒,即“SMEG.病原体”和“SMEG.Queeg”(直到今天,仍然有许多反病毒软件不能完全检测出它们的所有变体)。由于病毒制造者将感染的文件放到了电子公告板上,所以这两种病毒给公众带来了很大恐慌。
1994年6月,“一半”(OneHalf)病毒出现,它是在俄罗斯和中国最流行的病毒之一。
1994年9月,“3APA3A”(一种新的引导型病毒)出现。该病毒使用了一种非常特殊的方法进入DOS操作系统并进行感染,当时所有的杀毒软件对于这种新病毒都无能为力。
1995年
DOS病毒技术的发展在这一年中基本上陷于停滞。这里所说的停滞是指技术本身的停滞,也就是说没有什么新的感染或隐藏等技术出现,但是病毒的数量和传播并没有停顿。在这一年中出现了很多非常复杂的病毒,例如“死亡坠落”(Night Fall),“胡桃钳子”(Nutcracker),以及一些诸如“两性体”(Bisexual)及“RNMS”等很有趣的病毒。这一年中,DOS批处理病毒“视窗启动”(WinStart)和“死硬2”(DieHard2)病毒在世界范围内广泛流传。
1995年1月,微软的Widows 95演示盘被“表格”(Form)病毒感染。关于病毒的发现有这样一种说法:微软将演示盘发送给测试者,而勤快的测试者对这些光盘进行了病毒检测,结果真的发现了病毒。这是微软第一次发行含有病毒的光盘,然而却不是最后一次。
1995年秋是病毒和反病毒发展史上的一个转折点,第一个能够保存在Word文件中且运行在微软字处理软件里的病毒——“概念”(Concept)开始在世界范围内流行。这一病毒的出现宣告了一种新形态病毒(即宏病毒)的诞生。在很长一段时间里,这种病毒在所有的病毒感染统计中一直排在最重要的位置。
1996年
1996年7月,第一个微软电子数据表病毒——“拉若克斯”(Laroux)出现。这种病毒最早是在两家石油公司(一家在阿拉斯加,另外一家在南非)被发现的,所以我们猜想是一个编写石油勘探软件的程序员制作了这个病毒。同以前的字处理程序病毒一样,这个病毒利用了电子数据表格软件中的某种宏语言。任何微软的电子数据表或者字处理文档中都可以包括这种语言所编写的程序,当然也可以包括这种语言所编写的病毒。随着微软操作系统的日益复杂,各种宏语言慢慢变成统一的Basic语言(即VBA——专门为应用软件设计的可视化Basic语言),功能也变得越来越强大,使用这种语言编写的病毒功能也随之越来越强大。
1996年是新一轮病毒进化的开始,在这一年中,随着微软新的操作系统Windows 95、Windows NT和微软办公软件(Office)的流行,病毒制造者不得不面对一个新的环境。他们在这一年开始使用一些新的感染和隐藏方法,制造出在新环境下可以自我复制和传播的病毒。随后,病毒制造者的技术水平日益提高,他们对新的操作系统环境(Windows 95和Windows NT)和应用系统环境(Office——包括字处理和电子数据表格软件等)也越来越熟悉,从而开始在病毒中增加了多态、反跟踪等技术手段,在新的技术层面上重复了早期在DOS操作系统环境下病毒的进化过程。同DOS环境下漫长的进化过程相比,病毒在新环境下的进化过程要快得多。
1997年
1997年2月,第一个Linux环境下的病毒——“上天的赐福”(Bliss)出现。在此之前,Linux还是一片没有被病毒感染过的乐土。
1997年2月至3月,随着微软办公软件(Office)从版本4.X升级到版本97,宏病毒也升级到版本97。最早针对版本97的微软办公软件的宏病毒都是直接从早期版本转换过来的,但是病毒制造者对新技术的跟踪速度非常惊人,他们很快就推出了专门针对版本97的微软办公软件定制的宏病毒。
1997年3月,针对微软字处理软件(Word)版本6.0和版本7.0的宏病毒——“分享欢乐”(ShareFun)病毒出现。这种病毒的特殊之处在于除了通过字处理文档传播之外,还可以通过微软的邮件程序发送病毒。
1997年6月,Windows 95环境下第一个可以自我加密、解密的病毒出现。这种病毒最先出现在莫斯科,在一些电子公告板上被公布后造成了一些慌乱。
1998年
1998年3月,一个名为“梅丽莎”(Melissa)的计算机病毒席卷欧美各国的计算机网络。这种病毒利用邮件系统大量进行复制和传播,造成网络阻塞,甚至瘫痪。此外,这种病毒在传播过程中还会造成泄密。
1998年6月,CIH病毒出现。CIH病毒是有史以来影响最大的病毒之一,最早出现在台湾,然后通过美国在台湾的海外办公室传播到美国,感染了一些因特网上的游戏服务器,引发了持续一年的恐慌(在中国内地,CIH的噩梦是在接下来的一年才真正开始的)。CIH病毒造成的巨大影响是因为其具有强大的破坏性,它甚至可以损坏某些电脑的硬件。
1998年8月,远程控制工具——“后门”(Back Orifice)出现,在此之后,还出现了“网络公共汽车”(NetBus)和“阶段”(Phase)等类似的病毒软件。
1998年11月,一种更新的使用VB脚本语言编写的叫做“兔子”(Rabbit)的病毒诞生了,这种病毒充分利用了VB脚本语言专门为因特网所设计的一些特性。随着HTML语言本身开始具有编程能力,纯粹的HTML语言病毒——“内在”也开始流行。很明显,病毒制造者将他们的注意力集中在网络蠕虫上,他们开始充分利用Windows系统强大的脚本语言,而且这种语言还可以和网络紧密结合,制造大量可以通过网页和电子邮件传播的病毒。
1999年
1999年,病毒制造者熟悉掌握了Windows操作系统下各种新的文件格式的感染方法,并且对在Windows环境下隐藏自己的技术也有很大进步,通过邮件进行病毒传播开始成为病毒传播的主要途径。宏病毒在这一年仍然是最流行的病毒。
1999年12月,“FunLove”病毒出现。这种病毒是一个设计非常巧妙的PE病毒,它的最大特点是感染能力强、清除非常困难,直到今天它还是在国内广泛流行的病毒之一。
2000年
2000年,随着Windows操作系统逐步地COM化和脚本化,脚本病毒成为这一年的主流。脚本病毒和传统病毒及木马程序相结合,让病毒技术走向了一个新的发展高峰。
2000年5月,“爱虫”(LoveLetter)病毒出现。“爱虫”病毒是一种脚本病毒,它通过微软的电子邮件系统进行传播。这种病毒的邮件主题为“I Love You”,其中包含一个名为“Love-Letter-for-you.txt.vbs”的附件,一旦在微软电子邮件中打开这个附件,系统就会自动复制并向用户通信簿中所有的电子邮件地址发送这一病毒,其传播速度比“梅丽莎”病毒还要快好几倍。
2001年
2001年1月21日,一种变形的“梅丽莎”病毒侵袭了Macintosh电脑。这种病毒可以感染Mac文件,其产生的大量电子邮件可以堵塞服务器,修改微软Word程序的设置,感染文件和模板。携带这种“梅丽莎”病毒的电子邮件的附件名叫“Anniv.doc”。
2001年2月13日,荷兰警方逮捕了一名自称发明了“库尔尼科娃”电脑病毒的20岁的男子,此人要面临4年监禁的处罚。通过电子邮件传播的“库尔尼科娃”病毒于2月12日在欧洲、美洲和亚洲发作,大量垃圾邮件积压在电子邮件系统内,致使系统速度明显变慢,有的公司干脆关闭了电子邮件系统。这名荷兰男子自称是19岁的俄罗斯网球女星安娜·库尔尼科娃的球迷,他曾解释说自己不是编程专家,只不过是通过从因特网上下载病毒,然后编写了一些程序而已。
2001年3月6日,美国Symantec软件公司的反病毒研究中心指出,一种与此前出现的“库尔尼科娃”病毒类似的代号为“裸妻”的病毒已攻击了至少30个相关机构和一家政府部门。这种以电子邮件形式进行攻击的病毒几乎可以将计算机内所有重要的系统文件全部删除,另外还可以通过电子邮件的形式向任何一位网络用户进行传播。这种病毒有可能来自巴西,因为其源代码中的信息提到了AGF巴西,这是巴西一家保险公司的名字。这种病毒的电子邮件中带有一个名为“NakedWife.exe”可执行文件的附件,就像所有类似病毒一样,一旦用户打开了这个附件,其电脑系统一定会遭到病毒入侵。
2001年4月26日,CIH病毒在中国第三度暴发。据了解,许多反病毒企业也收到大量用户计算机被CIH病毒损坏的信息。据这些公司的专业人员分析,此次CIH病毒发作的波及面和损害程度虽然比前两次略小,但仍然造成了很大损失。
2001年5月6日,一种新的恶性电脑病毒“欢乐时光”(Happy Time)在我国开始传播。“欢乐时光”病毒很可能是一种国产病毒,它是类似“爱虫”的蠕虫类病毒。用户通过美国微软公司办公套件(Outlook Express)收取带有“欢乐时光”病毒的邮件时,无论用户是否打开邮件,只要鼠标指向带毒的邮件,“欢乐时光”病毒即被激活,随后立即传染硬盘中的文件。感染“欢乐时光”病毒后,如果电脑时钟的日期和月份之和为13,则该病毒将逐步删除硬盘中的EXE和D11文件,最终导致系统瘫痪。
2001年7月,“红色代码”(Code Red)以及“红色代码二代”(Code Red II)出现。它们主要针对的是因特网上的服务器。该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”造成的破坏主要是涂改网页,对网络上的其他服务器进行攻击,被攻击的服务器又可以继续攻击其他服务器。
2001年8月2日,全球至少有10万台电脑受到“红色代码”(Code Red)病毒的侵袭。美国国防部电脑网络由于受到“红色代码”发作的影响,致使网速变慢。此外,全球至少有8万台电脑的伺服器遭受“红色代码”的袭击。另外,“红虫”病毒主要攻击网络服务器,安装Windows 200/NT的电脑最易受到感染。“红虫”于7月19日第一次暴发时,25万台电脑的伺服器受到攻击,其中包括美国政府部门的电脑。
2001年9月20日,一种传播迅速、破坏性极强的新型病毒“尼姆达”(W32.Nimda.A@mm)正肆虐因特网。Nimda蠕虫病毒反过来读就是“admin”,即系统管理员的意思。它是利用微软的UnicodeWebTraversalexploit的漏洞编写的通过电子邮件传播的新型蠕虫病毒,该病毒通过不断搜索局域网内共享的网络资源,将病毒文件复制到没有打补丁的微软IISWebServer上,利用被感染计算机中用户的通信簿发送带毒邮件,该邮件带有一个名为README.EXE的附件,但收件人无法看到该附件。大规模的邮件发送会导致网络阻塞甚至瘫痪,同时病毒用自身的文件代替系统中的正常文件,改变系统的安全设置,导致系统出现重大安全隐患,无法正常工作甚至宕机。“尼姆达”病毒至今已使得全球数十万台电脑受到攻击。
2001年10月26日,中国计算机病毒应急处理中心陆续接到用户报告,反映计算机染上了一种未知的新型病毒——“求职信”病毒。这种病毒通过电子邮件感染计算机,邮件用英文书写,内容与求职有关。该病毒通过电子邮件、磁盘及局域网三种方式传播。
2001年11月11日,我国出现破坏性极强的“本·拉登”病毒。作为恶性网络蠕虫“尼姆达(中国一号)”病毒的变种,其传染能力和破坏性极强。病毒制造者针对一些杀毒软件查杀“尼姆达”病毒的解决方案,对原病毒程序做了修改,并采用压缩和加密技术将病毒信息进行加密,而且在病毒中声称“这不是尼姆达”病毒。病毒可感染用户使用的Windows操作系统。该病毒利用微软Outlook的漏洞,当用户浏览含有病毒的邮件时,病毒就会对用户的电脑进行感染和破坏。一旦用户将鼠标箭头移到带有病毒体的邮件名上时,便会受到该网络蠕虫的感染,被感染的电脑会自动发送大量带有病毒的电子邮件。专家指出,这种病毒的破坏力相当于“欢乐时光”和“蓝色代码”这两个恶性网络蠕虫病毒的总和。
2002年
2002年,“求职信”病毒无疑是当年毒王,它是病毒传播和感染特性的集大成者。它不但利用电子邮件进行传播,而且还感染局域网的远程共享目录,给众多企业及个人用户造成巨大损失。其破坏方式多种多样,如删除杀毒软件进程、造成网络流量阻塞、删除重要文件等恶意破坏。“求职信”利用的是IE浏览器和Outlook存在的漏洞,用户收到该邮件后,无需双击附件,病毒就自动运行。“求职信”病毒传播方式及其隐蔽,不但变种繁多,病毒每次发送自身时,邮件主题和内容都是随机的,并且发作时还释放不同的其他病毒,如CIH,Win32/ELKern等,给计算机带来多重危害。
“新欢乐时光”病毒采用VBScript语言编写,在互联网上通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量消耗,速度变慢;利用Windows系统的“资源管理器”进行寄生与感染。
2003年
2003年,蠕虫病毒成为网络安全最大威胁,其中“冲击波”已经取代2002年的“求职信”,成为2003年的“毒王”。它感染Windows 2000/XP系统,通过DCOM RPC漏洞向网络上特定段的机器进行攻击。小邮差(Worm_mimail)病毒通过微软的电子邮件客户端程序传播、感染。邮件的主题是可能变化的字符串。该蠕虫是以ZIP压缩包的形式来传播。
2004年
2004年2月,“网络天空”病毒(I-WORM/NERSKY.B)被截获,此后该病毒几乎每天都是最高上报率。“网络天空”(I-WORM/NERSKY.B)及其变种均是通过网络传播的蠕虫,感染病毒后,病毒首先在windir创建自身文件,有时还会在共享文件夹中生成自身复制,并修改注册表启动项,使病毒在Windows启动时就得以自动运行,甚至会删除多个重要的注册表键值,达到影响系统运行的目的。该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址,利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化,根据收信人邮件地址的域名,使用包括英语、法语、意大利语等9种不同语言。病毒在被感染计算机上打开后门端口,接收并运行黑客发送的任何程序文件并会在特定期间对某些网站发动拒绝服务(DoS)攻击。该病毒的表现形式也非常跟随潮流,它通过网络的邮件来传播,甚至充当震荡波变种b的专杀工具。
2004年五一期间及其后的短短10几天内,“震荡波”蠕虫病毒席卷了全球,数千万的计算机瘫痪,数亿的财产在这次浩劫中付诸东流。“震荡波”同属于网络蠕虫,感染Windows 2000、Windows Server 2003、Windows XP系统,它是利用微软的MS04-011漏洞,通过互联网进行传播,但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统,在含有漏洞的系统的TCP端口5554建立FTP文件服务器,自动创建脚本文件,并运行脚本,该脚本能自动引导被感染的机器下载执行蠕虫程序,用户一旦感染后,病毒将从TCP的1068端口开始搜索可能传播的IP地址,系统将开启上百个线程去攻击他人,导致计算机运行异常缓慢、网络不畅通,并让系统不停地重启。
2005年
2005年,“灰鸽子”病毒影响最广,“灰鸽子”病毒的文件名由攻击者任意制定,病毒还可以注入正常程序进行隐藏,Windows的任务管理器看不到病毒存在,需要借助第三方工具软件查看。中“灰鸽子”病毒后的计算机会被攻击者远程控制,具备和你一样的管理权限,远程黑客可以轻易地复制、删除、上传、下载保存在你计算机上的文件,机密文件在你毫不知情的情况下被窃取。病毒还可以记录每一个单击键盘的操作,你的QQ号、网络游戏账号、网上银行账号可以被远程攻击者轻松获得。“灰鸽子”传播的途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
2006年
2006年“熊猫烧香”病毒无人不知,它能感染系统中exe,com、pif、src、html、asp等文件,它还能终止大量的反病毒软件的进程,删除扩展名为GHO的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份丢失。被感染的用户系统中所有exe可执行文件全部被改成“熊猫烧香”的图标。
病毒每隔一秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序:QQKav、QQAV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、Uuba、木马辅助查找器等。
2007年
2007年,“帕虫”(Worm.Pabug)病毒泛滥,它通过U盘传播,会造成多种杀毒软件、个人防火墙无法正常使用,同时还可造成计算机无法进入安全模式。该病毒出现多种变种,危害较大。它是在win9x/NT/2000/XP系统上运行的蠕虫病毒,病毒运行后会将自身复制到各个分区根目录下,以通过U盘传播。该病毒会删除注册表中安全模式的相关键值,造成系统无法进入安全模式。它会将Windows系统的自动更新和Windows XP系统的安全中心关闭,降低用户计算机的安全级别。同时该病毒还会自动从后台下载其他的病毒木马并运行,给用户的计算机带来威胁。
2008年
2008年,某数码论坛上的“股民手机集体中毒事件”,一时间成为了大量网民关注的焦点。整个事件的制造者通过“wm2008”这一ID号码在论坛上传播所谓的“证券软件”,实则别有用心地在证券软件内捆绑了“mservice.exe”木马程序,诱骗用户下载,这一事件引起了社会对“移动安全”的担忧。
2009年
2009年,“灰鸽子”病毒死灰复燃,“灰鸽子二代”及其变种横行网络,该病毒采用高级语言编写,并且经过加壳保护处理,会将释放出来的恶意DLL组件插入到系统IE浏览器进程“IEXPLORE.EXE”中加载运行,并在后台执行恶意操作,如果被感染的计算机上已安装并启用了防火墙,则该后门会利用防火墙的白名单机制来绕过防火墙的监控,从而达到隐蔽通信的目的。
2.3 计算机病毒的发展趋势
从某种意义上说,21世纪是计算机病毒与反病毒激烈角逐的时代,而智能化、人性化、隐蔽化、多样化也在逐渐成为新世纪电脑病毒的发展趋势。
2.3.1 智能化
与传统计算机病毒不同的是,许多新病毒(包括蠕虫、黑客工具和木马等恶意程序)是利用当前最新的编程语言与编程技术实现的,它们易于修改以产生新的变种,从而逃避反病毒软件的搜索。例如,“爱虫”病毒是用VB Script语言编写的,只要通过Windows下自带的编辑软件修改病毒代码中的一部分,就能轻而易举地制造出病毒变种,从而可以躲避反病毒软件的追击。
另外,新病毒利用Java、Active X、VB Script等技术,可以潜伏在HTML页面里,在上网浏览时触发。“Kakworm”病毒虽然早在2004年1月就被发现,但它的感染率一直居高不下,原因就是由于它利用ActiveX控件中存在的缺陷进行传播,因此装有IE5或Office 2000的电脑都可能被感染。这个病毒的出现使原来不打开带毒邮件附件而直接予以删除的防邮件病毒的方法完全失效。更令人担心的是,一旦这种病毒被赋予其他计算机病毒的特性,其危害很有可能超过任何现有的计算机病毒。
2.3.2 人性化
更确切地说,也可以将人性化称为诱惑性。现在的计算机病毒越来越注重利用人们的心理因素,如好奇、贪婪等。前一阵肆虐一时的“裸妻”病毒邮件的主题就是英文的“裸妻”,邮件正文为“我的妻子从未这样”,邮件附件中携带一个名为“裸妻”的可执行文件,用户一旦执行这个文件,病毒就被激活。最近出现的My-babypic病毒是通过可爱的宝宝照片传播病毒的。而“库尔尼科娃”病毒的大流行则是利用了“网坛美女”库尔尼科娃难以抵挡的魅力。
2.3.3 隐蔽化
相比较而言,新一代病毒更善于隐藏和伪装自己。其邮件主题会在传播中改变,或者具有极具诱惑性的主题和附件名。许多病毒会伪装成常用程序,或者在将病毒代码写入文件内部的同时不改变文件长度,使用户防不胜防。
主页病毒的附件homepage html vbs并非一个HTML文档,而是一个恶意的VB脚本程序,一旦被执行,就会向用户地址簿中的所有电子邮件地址发送带毒的电子邮件副本。再比如“维罗纳”病毒,该病毒将病毒写入邮件正文,而且主题和附件名极具诱惑性,其主题众多,更替频繁,使用户很容易由于麻痹大意而感染。此外,matrix等病毒会自动隐藏和变形,甚至阻止受害用户访问反病毒网站和向记录病毒的反病毒地址发送电子邮件,无法下载经过更新和升级后的相应杀毒软件或发布病毒警告消息。
2.3.4 多样化
在新病毒层出不穷的同时,老病毒依然充满活力,并呈现多样化的趋势。1999年对普遍发作的电脑病毒分析显示,虽然新病毒不断产生,但较早的病毒发作仍很普遍。1999年报道最多的病毒是1996年就首次发现并到处传播的宏病毒Laroux。新病毒具有可执行程序、脚本文件、HTML网页等多种形式,并正向电子邮件、网上贺卡、卡通图片、ICQ、OICQ等发展。
更为棘手的是,新病毒的手段更加阴狠,破坏性更强。据计算机经济研究中心的报告显示,在2000年5月“爱虫”病毒大流行的前5天,病毒就已经造成了67亿美元的损失。而该中心1999年的统计数据显示,到1999年末病毒损失只是120亿美元。
2.3.5 专用病毒生成工具的出现
以前的病毒制作者都是专家,编写病毒的目的是想表现自己高超的技术。但是“库尔尼科娃”病毒的设计者不同,他只是修改了下载的VBS蠕虫孵化器。据报道,VBS蠕虫孵化器被人们从VX Heavens上下载了15万次以上。正是由于这类工具太容易得到,使得现在新病毒出现的频率超出以往的任何时候。
2.3.6 攻击反病毒软件
病毒发展的另一个趋势表现为专门攻击反病毒软件和其他安全措施的病毒的出现。目前被发现的“求职信”病毒就能够使许多反病毒软件瘫痪。越来越多的病毒能够在反病毒软件对其查杀之前获取比反病毒软件更高的运行等级,从而阻碍反病毒软件的运行并使之瘫痪。
正如计算机病毒的出现本身就是人祸而非天灾一样,目前病毒泛滥的一个很重要的原因就是计算机用户的防范意识薄弱,因此一定要防患于未然,及时掌握反病毒知识,更新自己的反病毒软件及病毒库。
2.3.7 病毒的互联网化
从2008年开始,由于病毒的互联网化,网页浏览已经成为病毒传播的最主要渠道,网页挂马占到病毒传播总量90%以上。而且,由于应用软件漏洞、浏览器插件漏洞等频发,仅仅依靠网民自身的安全意识,很难应对复杂多变,花样翻新的病毒入侵渠道。