计算机病毒发展简史

计算机病毒发展简史

【提要】普通病毒 网络蠕虫病毒 变形病毒

【内容】计算机病毒的发展过程可分为三个阶段：普通计算机病毒、网络蠕虫病毒、和变形病毒。

普通计算机病毒

20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁心大战” 的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓的病毒的第一个雏形。

20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。

20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计了一个名为 “巴基斯坦智囊”的病毒，该病毒只传染软盘引导，这就是最早在世界上流行的一个真正的病毒。

1988至1989年，我国也相继出现了能感染硬盘和软盘引导区Stone （石头）病毒，该病毒体代码中有明显的标志“Your PC new Stoned! ”、“LEGALISE MARIJUANA ”, 也称为“大麻”病毒等。该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表。该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。类似这种特性的还有小球、Azusa/hong-kong/2708、Michaelangelo, 这些都是从国外感染进来的。而国产的有Blody 、Torch 、Disk Killer 等病毒，实际上他们大多数是Stone 病毒的翻版。

20世纪90年代初，感染文件的病毒有Jerusalem （黑色13号星期五）、Yankee Doole 、Liberty 、1575、Traveller 、1465、2062、4096等，主要感染.COM 和.EXE 文件。这类病毒修改

了部分中断向量表，被感染的文件明显地增加了字节数，并且病毒主体代码没有加密，也容易被查出和解除。这些病毒中略有对抗反病毒手段的只有Yankee Doole病毒，当他发现您用DEBUG 工具跟踪时，他会自动从文件中逃走。

以后又出现了引导区、文件型“双料病毒”，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有 flip/Omicron、Xqr （New century）、Invader/入侵者、Plastique/塑料炸弹、3584/郑州（狼）、3072（秋天的水）、ALFA/3072-2、Ghost/OneHalf/3544（幽灵）、NATAS （幽灵王）、TPVO/3783等。

其中，Flip/Omicron（颠倒）、Xqr(New Century新世纪) 这两种病毒都设计有对抗反病毒技术的手段，Flip （颠倒）病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病毒在主引导区只潜藏了少量代码，病毒能将自身全部代码潜藏于硬盘最后6个扇区中，并将硬盘分区表和DOS 引导区中的磁盘实用扇区数减少6个扇区。

Xqr （New century新世纪）病毒又有他更狡猾的一面，他监视着INT13、INT21中断有关参数，当您要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让您搜索，使您认为一切正常，病毒却蒙混过关。这类病毒还有Mask （假面具）、2709/ROSE（玫瑰）、One_Half/3544(幽灵) 、Natas/4744、Monkey 、PC_LOCK、DIE_HARD/HD2、RranmaGrave/Burglar/1150、3783病毒等。

之后出现的INT60（0002）病毒隐藏得更加神秘，他不修改主引导记录，只将硬盘分区表修改两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节所指向的区域。硬盘引导时，ROM-BIOS 程序糊里糊嘟地按这两个字节的指向将病毒激活。

而Monkey （猴子）、PC_LOCK（加密锁）病毒将硬盘分区表加密后再隐藏起来，如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换，那就再也进不了硬盘了，数据也取不出来了。

1992年，DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现，具有感染力极强，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数，将文件名字与文件代码主体分离。在系统有此病毒的情况下，一切就像没发生一样。而在系统无病毒时，您用无病毒的文件去覆盖有病毒的文件，灾难就会发生，全盘所有的被感染的可执行文件内容都是刚覆盖进去的文件内容。该病毒的出现，使病毒又多了一种新类型。

20世纪内，绝大多数病毒是基于DOS 系统的，有80%的病毒能在Windows 中传染。TPVO/3783病毒是“双料性”（传染引导区、文件）、“双重性”（DOS 、Windows ）病毒，这是病毒随着操作系统发展而发展。当然，Intenet 的广泛应用，Java 恶意代码病毒也出现了。

脚本病毒“Happy Time快乐时光”是一种传染力很强的病毒。该病毒利用体内VBScript 代码在本地的可执行性（通过Windows Script Host进行），对当前计算机进行感染和破坏。

近几年，出现了近万种WORD （MACRO 宏）病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，不分操作系统，再加上Intenet 网上用WORD 格式文件进行大量的交流，宏病毒会潜伏在这些WORD 文件里，被人们在Intenet 网上传来传去。

早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剥析中，发现部分病毒好象出于一个家族，其“遗传基因”相同，简单地说，是“同族”病毒。但绝不是其他好奇者简单修改部分代码而产生的“改形”病毒。大量具有相同“遗传基因”的“同族”病毒涌现，使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP 、VCL ”三种“病毒生产软件 ”。这种“病毒生产机” 软件可不用绞尽脑汁去编程序，便会轻易地自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密匙也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是这些病毒的主体构造和原理基本相同。

“病毒生产机”软件，其”规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前，国内发现的、或有部分变形能力的病毒生产机有“G2、IVP 、VCL “病毒生产机等十几种。具备

变形能力的有CLME 、DAME-SP/MTE病毒生产机等。

网络蠕虫病毒I-WORM.AnnaKourmikova 就是一种VBS/I-WORM病毒生产机生产的，他一出来，短时间内就传遍了全世界。这种病毒生产机也传到了我国。

Windows 9x、Windows 2000 操作系统的发展，也使病毒种类和花样随其变化而变化。 Win32.CAW.1XXX 病毒是驻留内存的Win32病毒, 他感染本地和网络中的PE 格式文件. 该病毒的产生来源一种32位的Windows “CAW 病毒生产机”,该病毒生产机是由国际上一家有名病毒编写组织开发的.

“CAW病毒生产机”能生产出来各式各样的CAW 病毒生产, 有加密和不加密的, 其字节数一般在1000~2000内. 目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、 CAW.1419、 CAW.1416、 CAW.1335、 CAW.1226等，在国际上流行的CAW.1XXX 病毒的种类更多。

Internet 的发展，激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏，为世界带来了一次又一次的巨大灾难。

1999年2月，“美丽杀”病毒席卷欧美大陆，是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。

1998年2月，台湾省的陈盈豪，编写了破坏性极大的windows 恶性病毒CIH-1.2版。 1999年4月26日，这是一个令计算机行业难以忘却的日子，也就是到了CIH-1.2病毒第二年的发作日，人们起早一上班便轻松地打开计算机准备工作，可是打开一台计算机后，只看到屏幕一闪便就黑暗一片。再打开另外的几台，也同样一闪后就再也启动不起来了———计算机史上病毒造成的又一次巨大浩劫发生了。

网络蠕虫病毒

最早的网络蠕虫病毒作者是美国的小莫里思，他编写的蠕虫病毒是在美国军方大局域网内活动，但是必须事先获取局域网的权限和口令。

世界性的第一个大规模在Internet 网上传播的网络蠕虫病毒是1998年底的HAPPY99网络蠕

虫病毒，当您在网上向外发送信件时，HAPPY99网络蠕虫病毒会顶替您的信件或随您的信件从网上跑到您的发信的目标，到1月1日，收件人一执行，就会在屏幕上不断爆发出绚丽多彩的礼花，机器就不再干什么了。

2000年至今，是网络蠕虫开始大闹互联网的发展期。比较“著名”的有以下几个：

1.I-WORM.NAVIDAD 网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序（如爱虫、美丽杀等），该蠕虫病毒具有较大的迷惑性：用户通过Outlook Express收到的是一封来自您曾经发送过的人的回复信件，内容与您发送的完全一致，邮件主题、邮件的正文都一样，只是增加了一个电子邮件的附件，该附件的文件名称是：NAVIDAD.EXE 文件，文件大小是：32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的Outlook Express 邮件系统下自动传播，他会自动地给您的收件箱（而不是地址薄）的所有人发送一份该网络蠕虫病毒程序。

2.I-WORM.Blebla.B 网络蠕虫。该病毒是通过电子邮件的附件来发送的，文件名称是

xromeo.exe 和xjuliet.chm, 该蠕虫程序的名称此而来。当用户在使用OE 阅读信件时，这两个附件自动被保存、运行。当运行了该附件后，该蠕虫程序将自动发给Outlook 地址薄里的每一个人，并将信息发送给alt.comp.virus 新闻组。

3.I_WORM/EMANUEL网络蠕虫。该病毒通过Microsoft 的Outlook Express来自动传播给受感染计算机的地址薄里的所有人，给每人送一封带有该附件的邮件。该网络蠕虫长度为16，896~22000字节，有多个变种。在用户执行该附件后，该蠕虫程序在系统状态区域的时钟旁边放置一个花一样的图表，如果用户点击该“花”图标，会出现一个消息框，是不要按此按钮。如果按了该按纽，会出现一个以Emmanuel 为标题的信息框，当您关闭该信息框时，又会出现一些别的诸如“上帝保佑您”之类的提示信息。

4.I-WORM/HTML.Little Davinia网络蠕虫。这是一个 破坏性极大的网络蠕虫，他可以清除硬

盘上所有数据，他利用word 2000的漏洞、E-mail 等来传播。该网络蠕虫程序是复合型的，是HTML 形式的、VBS 文件结构、带有宏的网络蠕虫程序。该病毒还能修改系统的注册表，一旦修改注册表成功，该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件，采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字，被损坏的文件很难修复！

5.I_WORM.AnnaKournikova网络蠕虫。程序使用了一个病毒制造机VBSWG 制造并加密。该蠕虫程序发送的邮件的附件AnnaKournikova.jpg.vbs （以俄罗斯体育明星库尔尼科娃的名字命名的文件名称），他是一个VBS 程序文件。当邮件用户不小心执行了该附件，那麽该网络蠕虫程序会给Outlook 地址薄里的所有人发送一份该网络蠕虫程序，邮件的附件文件名是

AnnaKournikova.jpg.vbs 。如果机器的日期是1月26日的话，该蠕冲程序会自动将您指向一个 位于荷兰的计算机商店的网络地址。

6. I_WORM.magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook, Netscape Messenger 等其他电子邮件软件和新闻组在内的软件读取其中地址薄中的地址发送带毒电子邮件进行传播。该病毒采用了多变形引擎和两组加密摸块，病毒感染文件的中部和尾部，将中部的原文件部分代码加密后潜藏在病毒体内，病毒长为2.4万~3万字节。病毒使用了非常复杂的感染机制，感染.EXE 、.DLL 、.OCX 、.SCR 、.CPL 等文件，病毒每传染一个目标，就变化一次，具有无穷次变化，其目的是使反病毒软件难以发现和清除。

变形病毒

病毒在发展，网络在发展，网络又促进了病毒的发展，复杂的病毒又朝着变形病毒发展。 早先，国内外连续发现多种更高级的能变换自身代码的“变形”病毒，其名字有：Stea Ith（诡异病毒）、Mutation Engine(变形金刚或称变形病毒生产机) 、Fear(恐怖) 、Satan(恶魔) 、Tremor(地震) 、Casper(卡死脖幽灵病毒) 、One_Half/3544(幽灵) 、NATAS/4744（拿他死幽灵王）、NEW DIR2病毒等。特别是Mutation Engine，他遇到普通病毒后就能将其改造成为变形病毒。这些变形病毒具有多态性、多变性，甚至没有一个连续的字节是相同的，从而使以往的搜索病毒方法不知去搜

索什么。1992年，我们首次发现了国内第一例变形病毒，病毒名字为“Doctor ”（医生）。

目前，我国已发现许许多多变形病毒，其名字称为“Doctor ”（医生）、 NewFlip Casper（颠倒屏幕）、 Ghost/One_ Half/3544(幽灵) 、VTech 、 NATAS/4744(拿他死幽灵王) 1982/(福州大学HXH) 、1748/HXH等。

这些变形病毒能将自身代码变换成亿万种样贴附在被感染的文件中，其中Casper(卡死脖幽灵病毒) Ghost/One_ Half/3544(幽灵)VTech 、1982/(福州大学HXH) 病毒可变代码为千亿种。这使得一些病毒扫描软件产生漏杀漏查现象。其中，CONNIE2台湾2浩变形王、MADE-SP 、

NIGHTALL 、Windows Marburg、 I_WORM./MAGISTR变形病毒变形复杂，几乎达到了不可解除的状态。

变形病毒的基本类型

病毒都具有一定的基本特性，这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等基本特征。变形病毒特征主要是，病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。

过去，一些教科书里对病毒的基本定义简单地说是“具有传染性质的一组代码，可称为病毒”。而在互联网时代，病毒会在网上通过一台机器自动传播到另一台机器上。现在应发展一下对病毒的基本定义。即“具有传染性质的一组代码，可称为病毒。”

我们可以将变形病毒分为四类：

第一类变形病毒的特性是：具备病毒所具有的基本特性，然而，病毒每传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有三个字节是相同的，但这些代码其相对空间排列位置是不变的。这里称之为一维变形病毒。

第二类变形病毒的特征是：除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离（相对空间位置），也是变化的，这里称之为二维变形病毒。

第三类变形病毒的特征是：具备二维变形病毒的特性，并且能分裂后潜藏在几处，当病毒引

擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台机器硬盘的主引导区，另外几部分也可能藏在几个文件中，也可能潜藏在覆盖文件中，也可能藏在系统引导区、也可能另开垦一块区域潜藏……而在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称为三维变形病毒。

第四类变形病毒的特性是：具备三维变形病毒的特性，并且这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成另一个样子，再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒，其本身就是具有传播性质的“病毒生产机”病毒，他们会在计算机内或通过网络传播，并将自己重新组合代码生成与前一个有些代码不同的变种新病毒，这里称之为四维变形病毒。

还有一些这类高级病毒不再持有以往绝大多数病毒的那种“恶作剧”的目的，他可能主要是，人类在信息社会投入巨资研究出的，可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。他们有可能接受机外遥控信息，也可以向外发出信息。