電腦病毒的發(fā)展史
電腦病毒的發(fā)展史
電腦病毒最初的歷史,可以追溯至一九八二年。當時,電腦病毒這個名詞還未正式被定義。下面就由學習啦小編給大家說說電腦病毒的發(fā)展史吧!
電腦病毒的發(fā)展史
電腦病毒最初的歷史,可以追溯至一九八二年。當時,電腦病毒這個名詞還未正式被定義。該年,Rich Skerta 撰寫了一個名為"Elk Cloner"的電腦程式,使其成為了電腦病毒史上第一種感染個人電腦(Apple II )的電腦病毒,它以軟磁碟作傳播媒介,破壞程度可說是相當輕微,受感染電腦只會在螢光幕上顯示一段小小的詩句:
"It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!"
1984 ― 電腦病毒正式被定義
Fred Cohen于一九八四發(fā)表了一篇名為"電腦病毒 ― 理論與實驗(Computer Viruses ― Theory and Experiments)"的文章,當中除了為"電腦病毒"一詞下了明確的定義外,也描述了他與其他專家對電腦病毒研究的實驗成果。
1986 ― 首種廣泛傳播于MS-DOS 個人電腦系統(tǒng)的電腦病毒
首宗惡意并廣泛傳播的電腦病毒始于一九八六年,該種電腦病毒名為"腦(Brain) ",由兩位巴基斯坦籍的兄弟所編寫,能破壞電腦的起動區(qū)(boot-sector),亦被視為第一只能透過自我隱藏來逃避偵測的病毒。
1987 ― 檔案感染型病毒 (Lehigh 和 圣誕蟲 Christmas Worm)
一九八七年,Lehigh 病毒于美國Lehigh 大學被發(fā)現(xiàn),是首只檔案感染型病毒(File infectors)。檔案感染型病毒主要通過感染 .COM 檔案和 .EXE檔案,來破壞資料、損毀檔案配置表(FAT)或在染毒檔案執(zhí)行的過程中感染其它程式。
1988 ― 首種Macintosh 電腦病毒的出現(xiàn)以及CERT組織的成立
第一種襲擊麥金塔(Macintosh)電腦的病毒 MacMag在這年出現(xiàn),而"互聯(lián)網(wǎng)蟲"(Internet Worm) 亦引起了第一波的互聯(lián)網(wǎng)危機。同年,世界第一隊電腦保安事故應變隊伍(Computer Security Response Team)成立并不斷發(fā)展,也就演變成為今天著名的電腦保安事故應變隊伍協(xié)調(diào)中心(CERTR Coordination Center ,簡稱CERTR/CC)。
1990 ― 首個病毒交流布告欄上線和防毒產(chǎn)品的出現(xiàn)
首個病毒交流布告欄(Virus Exchange Bulletin Board Service, 簡稱VX BBS)于保加利亞上線,藉以給病毒編程者交換病毒程式碼及心得。同年,防毒產(chǎn)品如McAfee Scan等開始粉墨登場。
1995 ― 巨集病毒的出現(xiàn)
在windows 95 作業(yè)平臺初出現(xiàn)時,運行于DOS作業(yè)系統(tǒng)的電腦病毒仍然是電腦病毒的主流,而這些以DOS為本的病毒往往未能復制到windows 95 作業(yè)平臺上運行。不過,正當電腦用家以為可以松一口氣的時候,于一九九五年年底,首種運行于 MS-Word工作環(huán)境的巨集病毒(Macro Virus),也正式面世。
1996 ― Windows 95 繼續(xù)成為襲擊目標, Linux 作業(yè)平臺也不能幸免
這年,巨集病毒Laroux成為首只侵襲MS Excel 檔案的巨集病毒。而Staog 則是首只襲擊Linux 作業(yè)平臺的電腦病毒。
1998 - Back Orifice
Back Orifice 讓駭客透過互聯(lián)網(wǎng)在未授權(quán)的情況下遙距操控另一部電腦,此病毒的命名也開了微軟旗下的Microsoft's Back Office產(chǎn)品一個玩笑。
1999 ― 梅莉莎 (Melissa) 及 CIH 病毒
梅莉莎為首種混合型的巨集病毒 —它透過襲擊MS Word作臺階,再利用MS Outlook及Outlook Express內(nèi)的地址簿,將病毒透過電子郵件廣泛傳播。該年四月,CIH 病毒爆發(fā),全球超過6000萬臺電腦被破壞。
2000 ― 拒絕服務 (Denial of Service) 和戀愛郵件 (Love Letters) "I Love You"
是次拒絕服務襲擊規(guī)模很大,致使雅虎、亞馬遜書店等主要網(wǎng)站服務癱瘓。同年,附著"I Love You"電郵傳播的Visual Basic 腳本病毒檔更被廣泛傳播,終令不少電腦用戶明白到小心處理可疑電郵的重要性。該年八月,首只運行于Palm 作業(yè)系統(tǒng)的木馬(Trojan) 程式―"自由破解(Liberty Crack)",也終于出現(xiàn)了。這個木馬程式以破解Liberty (一個運行于Palm 作業(yè)系統(tǒng)的Game boy 模擬器)作誘餌,致使用戶在無意中把這病毒透過紅外線資料交換或以電郵的形式在無線網(wǎng)中把病毒傳播。
2002 ― 強勁多變的混合式病毒: 求職信(Klez) 及 FunLove
"求職信"是典型的混合式病毒,它除了會像傳統(tǒng)病毒般感染電腦檔案外,同時亦擁有蠕蟲(worm) 及木馬程式的特徵。它利用了微軟郵件系統(tǒng)自動運行附件的安全漏洞,藉著耗費大量的系統(tǒng)資源,造成電腦運行緩慢直至癱瘓。該病毒除了以電子郵件作傳播途徑外,也可透過網(wǎng)絡(luò)傳輸和電腦硬碟共享把病毒散播。
自一九九九年開始,F(xiàn)unlove 病毒已為伺服器及個人電腦帶來很大的煩腦,受害者中不乏著名企業(yè)。一旦被其感染,電腦便處于帶毒運行狀態(tài),它會在創(chuàng)建一個背景工作線程,搜索所有本地驅(qū)動器和可寫入的網(wǎng)絡(luò)資源,繼而在網(wǎng)絡(luò)中完全共享的文件中迅速地傳播。
2003 ― 沖擊波 (Blaster) and 大無極 (SOBIG)
"沖擊波"病毒于八月開始爆發(fā),它利用了微軟作業(yè)系統(tǒng)Windows 2000 及Windows XP的保安漏洞,取得完整的使用者權(quán)限在目標電腦上執(zhí)行任何的程式碼,并透過互聯(lián)網(wǎng),繼續(xù)攻擊網(wǎng)絡(luò)上仍存有此漏洞的電腦。由于防毒軟件也不能過濾這種病毒,病毒迅速蔓延至多個國家,造成大批電腦癱瘓和網(wǎng)絡(luò)連接速度減慢。
繼"沖擊波"病毒之后,第六代的"大無極"電腦病毒(SOBIG.F)肆虐,并透過電子郵件擴散。該"大無極" 病毒不但會偽造寄件人身分,還會根據(jù)電腦通訊錄內(nèi)的資料,發(fā)出大量以 ‘Thank you!', ‘Re: Approved' 等為主旨的電郵外,此外,它也可以驅(qū)使染毒的電腦自動下載某些網(wǎng)頁,使編寫病毒的作者有機會竊取電腦用戶的個人及商業(yè)資料。
2004― 悲慘命運(MyDoom)、網(wǎng)絡(luò)天空(NetSky)及震蕩波(Sasser)
"悲慘命運"病毒于一月下旬出現(xiàn),它利用電子郵件作傳播媒介,以"Mail Transaction Failed"、"Mail Delivery System"、"Server Report"等字眼作電郵主旨,誘使用戶開啟帶有病毒的附件檔。受感染的電腦除會自動轉(zhuǎn)寄病毒電郵外,還會令電腦系統(tǒng)開啟一道后門,供駭客用作攻擊網(wǎng)絡(luò)的仲介。它還會對一些著名網(wǎng)站(如SCO及微軟)作分散式拒絕服務攻擊 (Distributed Denial of Service, DDoS),其變種更阻止染毒電腦訪問一些著名的防毒軟件廠商網(wǎng)站。由于它可在三十秒內(nèi)寄出高達一百封電子郵件,令許多大型企業(yè)的電子郵件服務被迫中斷,在電腦病毒史上,其傳播速度創(chuàng)下了新紀錄。
防毒公司都會以A、B、C等英文字母作為同一只病毒變種的命名。網(wǎng)絡(luò)天空(NetSky)這種病毒,被評為史上變種速度最快的病毒,因為它自二月中旬出現(xiàn)以來,在短短的兩個月內(nèi),其變種的命名已經(jīng)用盡了26個英文字母,接踵而至的是以雙碼英文字母名稱如NetSky.AB。它透過電子郵件作大量傳播,當收件人運行了帶著病毒的附件后,病毒程式會自動掃瞄電腦硬盤及網(wǎng)絡(luò)磁碟機來搜集電郵地址,透過自身的電郵發(fā)送引擎,轉(zhuǎn)發(fā)偽冒寄件者的病毒電郵,而且病毒電郵的主旨、內(nèi)文及附件檔案名稱都是多變的。
"震蕩波"病毒與較早前出現(xiàn)的沖擊波病毒雷同,都是針對微軟視窗作業(yè)系統(tǒng)的保安漏洞,也不需依賴電子郵件作傳播媒介。它利用系統(tǒng)內(nèi)的緩沖溢位漏洞,導致電腦連續(xù)地重新開機并不斷感染互聯(lián)網(wǎng)上其他電腦。以短短18天的時間,它取代了沖擊波,創(chuàng)下了修補程式公布后最短攻擊周期紀錄
現(xiàn)在人都知道有電腦病毒,不過,你真正地了解它嗎?希望學習啦小編能夠讓你更深刻地認識病毒,提高我們的安全意識。
一、病毒的定義
電腦病毒與醫(yī)學上的“病毒”不同,它不是天然存在的,是某些人利用電腦軟、硬件所固有的脆弱性,編制具有特殊功能的程序。由于它與生物醫(yī)學上的“病毒”同樣有傳染和破壞的特性,因此這一名詞是由生物醫(yī)學上的“病毒”概念引申而來。
從廣義上定義,凡能夠引起電腦故障,破壞電腦數(shù)據(jù)的程序統(tǒng)稱為電腦病毒。依據(jù)此定義,諸如邏輯炸彈,蠕蟲等均可稱為電腦病毒。在國內(nèi),專家和研究者對電腦病毒也做過不盡相同的定義,但一直沒有公認的明確定義。
二、病毒的命名
病毒的命名沒有固定的方法,有的按病毒第一次出現(xiàn)的地點來命名,如“ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶。也有的按病毒中出現(xiàn)的人名或特征字符,如“ZHANGFANG—1535”,“DISK KILLER”, “上海一號”。有的按病毒發(fā)作時的癥狀命名,如“火炬”,“蠕蟲”。當然,也有按病毒發(fā)作的時間來命名的,如“NOVEMBER 9TH”在11月9日發(fā)作。有些名稱包含病毒代碼的長度,如“PIXEL.xxx”系列,“ KO.xxx”等體。
三、電腦病毒的發(fā)展趨勢
在病毒的發(fā)展史上,病毒的出現(xiàn)是有規(guī)律的,一般情況下一種新的病毒技術(shù)出現(xiàn)后,病毒迅速發(fā)展,接著反病毒技術(shù)的發(fā)展會抑制其流傳。同時,操作系統(tǒng)進行升級時,病毒也會調(diào)整為新的方式,產(chǎn)生新的病毒技術(shù)??偟恼f來,病毒可以分為以下幾個發(fā)展階段:
1.DOS引導階段
1987年,電腦病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。由于,那時的電腦硬件較少,功能簡單,一般需要通過軟盤啟動后使用。而引導型病毒正是利用了軟盤的啟動原理工作,修改系統(tǒng)啟動扇區(qū),在電腦啟動時首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時進行傳播。
2.DOS可執(zhí)行階段
1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機制工作,如“耶路撒冷”,“星期天”等病毒??蓤?zhí)行型病毒的病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時進行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。1990年,發(fā)展為復合型病毒,可感染COM和EXE 文件。
3.伴隨體型階段
1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進行工作。具有代表性的是“金蟬”病毒,它感染EXE文件的同時會生成一個和EXE同名的擴展名為COM伴隨體;它感染COM文件時,改為原來的COM 文件為同名的EXE文件,在產(chǎn)生一個原名的伴隨體,文件擴展名為COM。這樣,在DOS加載文件時,病毒會取得控制權(quán),優(yōu)先執(zhí)行自己的代碼。該類病毒并不改變原來的文件內(nèi)容,日期及屬性,解除病毒時只要將其伴隨體刪除即可,非常容易。其典型代表的是“海盜旗”病毒,它在得到執(zhí)行時,詢問用戶名稱和口令,然后返回一個出錯信息,將自身刪除。
4.變形階段
1994年,匯編語言得到了長足的發(fā)展。要實現(xiàn)同一功能,通過匯編語言可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結(jié)果。而典型的多形病毒—幽靈病毒就是利用這個特點,每感染一次就產(chǎn)生不同的代碼。例如“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類病毒就必須能對這段數(shù)據(jù)進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
5.變種階段
1995年,在匯編語言中,一些數(shù)據(jù)的運算放在不同的通用寄存器中,可運算出同樣的結(jié)果,隨機的插入一些空操作和無關(guān)命令,也不影響運算的結(jié)果。這樣,某些解碼算法可以由生成器生成不同的變種。其代表作品—“病毒制造機”VCL,它可以在瞬間制造出成千上萬種不同的病毒,查解時不能使用傳統(tǒng)的特征識別法,而需要在宏觀上分析命令,解碼后查解病毒,大大提高了復雜程度。
6.網(wǎng)絡(luò)、蠕蟲階段
1995年,隨著網(wǎng)絡(luò)的普及,病毒開始利用網(wǎng)絡(luò)進行傳播,它們只是以上幾代病毒的改進。在Windows操作系統(tǒng)中,“蠕蟲”是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進行傳播,有時也在網(wǎng)絡(luò)服務器和啟動文件中存在。
7.窗口階段
1996年,隨著Windows的日益普及,利用Windows進行工作的病毒開始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的急智更為復雜,它們利用保護模式和API調(diào)用接口工作,解除方法也比較復雜。
8.宏病毒階段
1996年,隨著MS Office功能的增強及盛行,使用Word宏語言也可以編制病毒,這種病毒使用類Basic 語言,編寫容易,感染W(wǎng)ord文件文件。由于Word文件格式?jīng)]有公開,這類病毒查解比較困難。
9.互聯(lián)網(wǎng)、感染郵件階段
1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,電腦就有可能中毒。
10.爪哇、郵件炸彈階段
1997年,隨著互聯(lián)網(wǎng)上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒。還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它就嚴重影響因特網(wǎng)的效率。
四、病毒的演化及發(fā)展過程
當前電腦病毒的最新發(fā)展趨勢主要可以歸結(jié)為以下幾點:
1.病毒在演化
任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟件更難檢測。
2.千奇百怪病毒出現(xiàn)
現(xiàn)在操作系統(tǒng)很多,因此,病毒也瞄準了很多其他平臺,不再僅僅局限于Microsoft Windows平臺了。
3.越來越隱蔽
一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒采用復雜的密碼技術(shù),在感染宿主程序時,病毒用隨機的算法對病毒程序加密,然后放入宿主程序中,由于隨機數(shù)算法的結(jié)果多達天文數(shù)字,所以,放入宿主程序中的病毒程序每次都不相同。這樣,同一種病毒,具有多種形態(tài),每一次感染,病毒的面貌都不相同,猶如一個人能夠“變臉”一樣,檢測和殺除這種病毒非常困難。同時,制造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟件是殺病毒的,而就有人卻在搞專門破壞殺病毒軟件的病毒,一是可以避過殺病毒軟件,二是可以修改殺病毒軟件,使其殺毒功能改變。因此,反病毒還需要很多專家的努力!