中国十大网络病毒是什么
1.代号:爬行者Creeper
感染系统:ARPANET大型机
发现时间:1971年
传播方式:就是不断自我复制。
杀伤力:不断膨胀,将硬盘塞满
什么情况:
爬行者可能是人类所知的第一个病毒类程序,或者这个程序基本上都称不上是病毒程序,更确切的来说,它就是一段恶意代码。病毒的作者是马萨诸塞州剑桥市一个企业的员工Bob Thomas ,此人曾参与了互联网前身“阿帕网”的搭建工作。该程序的出现要归因于实验室的一次测试,测试的目的是要了解是否能创造出一种可自我复制的软件。这个会不断自我复制,并能够在最早的互联网中进行远程复制的病毒并没有造成什么危害,但是它的诞生却开启了数字时代整整四十年的噩梦,而且至今挥之不去。
2.代号:MyDoom
感染系统:Windows 98/2000/XP
发现时间:2004年1月
传播方式:电子邮件。
杀伤力:MyDoom是迄今为止造成经济损失最大的病毒,385亿美元是它肆虐后的代价。当然它也荣登史上传播速度最快的病毒。
什么情况:
在MyDoom发作的那几天,全球至少有三分之一的电脑无法联网,因为网速实在太慢了。MyDoom用仅一周的时间就感染了全球超过千万台电脑,2004年的2月份,对于刚刚遭遇过寒冬的IT行业来说,那个月更让人颤栗的是,全球每12封电子邮件中就至少有1封是带着MyDoom病毒的邮件。
MyDoom第一个变种发作时通过发送大量的伪造攻击邮件,导致了SCO公司网站和邮件系统全面谈话。有人猜测原因大概与SCO想对Linux收取授权费用有关,随后MyDoom的第二个变种又将目标瞄向了微软公司。不过由于微软的储备有足够多的人才,这次攻击最终被微软化解掉,但是仍有人抱怨那段时间访问微软网站速度很慢,其实或许不是访问微软速度很慢,而是在MyDoom的肆虐下,全球都很慢。
微软和SCO事后声称,如果有人能够告诉他们谁是MyDoom的作者,他们将分别奖励线人25万美金。不过FBI和CIA折腾了一番之后都无功而返,就像所有老套的资本主义笑话一样,他们声称病毒制作者在俄罗斯。
3.代号:CIH
感染系统:Windows 95/98
发现时间:1998年9月
传播方式:从正版到盗版各种EXE文件。
杀伤力:不夸张的说,CIH以其惊人的破坏能力和感染速度,着实教育了当时使用盗版成风的国人,至少很多人都醒悟到要买套正版杀毒软件,最终它造成全球5亿美元的损失,同时也带动了国内数以亿计的杀毒市场。
什么情况:
你的硬盘是不是在狂转?电脑开机一片黑屏?被CIH感染的计算机的硬盘会狂转,随后所有的电脑中的EXE程序均会遭到破坏与病毒感染,成为新的感染源。接下来CIH会在硬盘主引导区中依次写垃圾数据,直至硬盘的数据全部被破坏彻底为止,
让你想恢复数据都无从入手。最终的必杀手段是将电脑主板的BIOS信息全部清除,让你的电脑彻底瘫痪。
CIH病毒的作者是中国台湾的陈盈豪,在CIH病毒成为一夜成名之后,台湾军方也注意到陈盈豪,想将他调入台湾电子战特种部队,可惜在经过一番体检之后,台湾军方医生认为陈盈豪患有“轻度抑郁症”,不仅没有将他调入台湾电子战特种部队,反而责令他提前退役。现如今回看当年,陈盈豪被医生描述为轻度抑郁症的病症表现只不过是所有网络宅男的标准特征。
如今陈盈豪在硬件知名厂商技嘉公司工作,有意思的是当年CIH爆发后让许多电脑用户人心惶惶,生怕被CIH烧毁了主板BIOS无法挽救,而这是技嘉公司看准了这个噱头,生产了双CMOS主板狠赚了一笔。而在中国内地,CIH病毒也改写了国内杀毒软件的格局,救活了原来并不出名的瑞星。微软应该是CIH病毒事件中最郁闷的厂商,Windows 98刚刚发布不久,就被证明了存在一系列重大设计缺陷,让许多Linux支持者找到了口实。
4.代号:熊猫烧香
感染系统:Windows XP
发现时间:2006年10月16日
传播方式:端口攻击和恶意脚本。
杀伤力:国内至少有100万台电脑受到感染。
什么情况:
电脑所有可执行文件的图标全部变成一只举着三只香的胖胖的熊猫,而且所有的可执行文件都无法执行。当你试图通过Ghost还原的时候,会发现硬盘中的GHO磁盘镜像文件也被病毒删除了。立刻杀毒?抱歉,绝大多数你能够想得起来的杀毒软件都会被病毒强行终止进程。熊猫烧香还仿照冲击波等病毒的特点,通过Windows系统共享漏洞和用户弱口令攻击感染局域网内的电脑,并同时释放Autorun.inf感染U盘和移动硬盘。
最后连HTML等网页格式文件它也没有放过,熊猫烧香病毒一旦发现网页文件,就会通过iframe标记将病毒代码插入到网页中。而许多网站维护人员会误将这些带毒网页上传到网站中,造成更大范围的感染。其实熊猫烧香病毒是一个没有太多新技术的病毒,只不过病毒作者将之前N种病毒传播特点都集中在了这一个病毒上,等于将鹤顶红、敌敌畏、氰化物、砒霜和三聚氰胺等几十种毒药混在了一起,自然吃上一口就口吐白沫了。
最绝的是,病毒作者李俊将这个病毒分别买个了120个小黑客,鼓励教导他们广撒网多抓鸡。李俊自己也购买了服务器,专门用作病毒更新,创下了一天更新8次的病毒升级记录,可以堪称史上最勤奋的病毒作者。当然,这么勤劳最终的结果自然是被抓判刑。
5.代号:I Love You 又名 爱虫
感染系统:Windows 系统
发现时间:2000年5月30日
传播方式:电子邮件。
杀伤力:4500万台电脑遭受感染。
什么情况:
在那个互联网刚刚呈现第一股热潮的时代,那个没有Facebook没有Twitter只能够用Email沟通的时代。当某一天早晨,你收到了一封写有“I Love You ”标题的电子邮件你会点开吗?在2000年的那个六一儿童节的前一天,许多寂寞的互联网Geek和宅男都点开了这样一封邮件。从此,史上感染力最强的病毒诞生了。爱虫病毒总共感染了4500万电脑,比第二名红色代码足足多出100多倍。
6.代号:冲击波
感染系统:Windows 系统
发现时间:2003年8月
传播方式:电子邮件。
杀伤力:全球80%的Windows系统遭受攻击
什么情况:
电脑突然弹框告诉你还有59秒它就要自动重启了,没有什么原因,也没有什么理由,随后就是一遍又一遍的重启。而内网中很快也会出现其它和你同病相怜的电脑,很快就如同流行性感冒一样,重启电脑随处可以见。随后未中毒的计算机也会出现访问网络速度减慢的情况。当高手们告诉你中毒了的时候,并且告诉你需要修补某个Windows补丁时,你却发现你无法打上这个补丁了,这就是曾经肆虐互联网的冲击波病毒。
冲击波病毒虽然不是第一个利用Windows漏洞传播的病毒,但是确实第一个造成大面积危害的。特别是中国国内许多用户的Windows并非正版,因此不能够使用微软提供的Windows Update服务,导致了病毒灾情的加剧,事后微软更改了自己的补丁修补策略,盖茨为此开出了50万美金的悬赏。而联邦调查局也的确抓住了一个制作冲击波病毒变种的倒霉蛋,18岁的Jeffrey Lee Parson,不过他只是一个变种作者,并非冲击波的原作者。
7.代号:Melissa梅丽莎 又名辛普森一家
感染系统:Windows系统下的Outlook
发现时间:1999年3月26日
传播方式:电子邮件。
杀伤力:雅虎、美国在线、微软、朗讯、英特尔和美国多所知名大学网站的服务器,均因为Melissa病毒泛滥而瘫痪。
什么情况:
在1999年3月访问过成人新闻组并下载过一个Word文档的用户都没有留意到,自己的Outlook电子邮件程序开始悄悄地自动给自己地址簿里的好友发送电子邮件了。而且每一封电子邮件都带着一个名为List.doc的带毒文件。这可能是网络社会化六度关系SNS最早证明自己是真理的地方。随着受害者的好友、好友的好友和好友的好友的好友不断的叠加感染,最终梅丽莎病毒造成了互联网的大瘫痪。
而梅丽莎病毒的亲爹大卫史密斯开发这个病毒的原因竟然是爱上了一个迈阿密的脱衣舞女,他为她着迷,并最终用这个脱衣舞女的名字命名了自己的病毒。他自己最终被判刑20个月。
8.代号:尼姆达
感染系统:Windows 所有32位系统
发现时间:2001年9月18日
传播方式:FTP、电子邮件、IM软件、网页。
杀伤力:造成3.7亿元经济损失
什么情况:
虽然很多人躲过了红色代码的攻击,但那一年绝大多数用户没有逃过尼姆达的攻击,而原因仅在于红色代码只攻击服务器系统,而尼姆达则感染所有32位Windows系统,从Windows 95到当时最新的Windows 2000,统统不放过。
而尼姆达病毒当时的感染方式也非常多样,它可以通过文件感染、电子邮件传播、系统漏洞、网页传播四种方式进行传播。虽然后来的熊猫烧香病毒的感染手段超越了尼姆达,但是就病毒感染途径的多样化而言,尼姆达当时的确是最具与杀伤力的病毒。
9.代号:灰鸽子
感染系统:Windows 系统
发现时间:2001年
传播方式:多种网络传播方式
杀伤力:灰鸽子
什么情况:
中了灰鸽子会出现什么情况?事实是什么情况都会出现。灰鸽子能够记录你的键盘击键记录,能够远程开启摄像头,打开麦克风,能够下载你电脑里的任何文件。几乎你能够想到的电脑本机操作,黑客都可以通过灰鸽子远程控制实现。从灰鸽子诞生的2001年到销声匿迹的2008年之间,正好遭遇了全民皆黑客的年代,灰鸽子因为操作简单,上手快,很快的成为当时最泛滥的木马病毒,近中国国内至少有上千万台电脑感染过灰鸽子病毒。
有趣的是,灰鸽子的作者最后并没有像熊猫烧香的李俊一样,一直用灰鸽子赚钱。在2008年之后该作者转而开发防火墙,专门用来防护自己的灰鸽子。
10.代号:Stuxnet蠕虫 超级工厂病毒
感染系统:Windows CE系统
发现时间:2010年6月
传播方式:U盘
杀伤力:导致伊朗布什尔核电站瘫痪。
什么情况:
2010年7月份,全球几大杀毒软件厂商突然开始分析一个名为Stuxnet的病毒,这个病毒的独特之处在于,它并不攻击传统的Windows系统,而是将目标放在了极小众、极专业的西门子Win CC工控系统上,这个系统的原型就是广为人熟知的Windows CE。随后安全研究员发现,该病毒针对目标非常具体,它会通过U盘感染将自己摆渡到目标工控机中,然后发作。
吊诡的是,第一批发作的Stuxnet蠕虫的60%都将目标定在了伊朗布什尔核电站的西门子工控系统上,这个核电站正是美国怀疑伊朗制造核武器的基地。美国国家网络安全与通讯整合中心主管迈格克指出,属木马程序的Stuxnet一旦找到西门子WinCC装置,就能接管西门子设施的关键操作系统,并在十分之一秒里“封住”设备的操作。而有关安全组织也认为,制造Stuxnet的团体应资金充裕,成员约5到10人,耗费半年筹备。
不过Stuxnet最终不仅开始攻击伊朗核电站,它甚至开始接二连三的变种,开始攻击全球的西门子工控系统,连美国自己也成为了受害的倒霉蛋之一。
我想问生化危机里面的爬行者的原形是什么?
现在有两种说法,一种说是人,有充足食物的丧尸快速变异造成的。还有一种说是某种动物变成的。
不过个人还是比较相信是人变的
求一篇计算机病毒危害性总结的文章(尤以公司电脑为对象),要求精简确切!高分!
计算机病毒及实例
第一节 计算机病毒历史
早在1949年,电脑的先驱者冯·诺伊曼在他的一篇文章《复杂自动装置的理论及组织的行为》中,即提出一种会自我繁殖的程序的可能----现在称为病毒,但没引起注意。
十年之后,在贝尔实验室中,这个概念在一个电子游戏中形成了。这个电子游戏叫“Core War”。
Core War
这个游戏由三个年轻的工程师完成,道格拉斯·麦耀莱、维特·维索斯基和罗伯特·莫里斯(后来那个编写蠕虫病毒的莫里斯的父亲)。
Core
War的玩如下:双方各编写一套程序,输入同一部电脑中。这两套程序在计算机内存中运行,它们相互追杀。有时它们回放下一些关卡,有时会停下来修复被对方破坏的指令。当它们被困时,可以自己复制自己,逃离险境。因为它们都在电脑的内存(以前是用core做内存的)游走,因此叫Core
War。
这个游戏的特点,在於双方的程序进入电脑之后,玩游戏的人只能看着屏幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止。
这个游戏分成好几种,麦耀莱所写的叫 [达尔文],包含了 [物竞天择 ,适者生存] 的意思 。
它的游戏规则跟以上所描述的最接近。游戏双方用汇编语言(Assembly Language)各写一套程式 ,叫有机体(organism)
。这两个有机体在电脑里争斗不休,直到一方把另一方杀掉而取代之 ,便算分出胜负。
另外有个叫爬行者 (Creeper)的程序,每一次把它读出时
,它便自己复制一个副本。此外,它也会从一部电脑[爬]到另一部和它相连的电脑。很快地电脑中原有资料便被这些爬行者挤掉了。爬行者的唯一生存目的是繁殖。
为了对付[爬行者],有人便写出了[收割者](Reaper)。它的唯一生存目的便是找到爬行者,把它们毁灭掉。当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令毁灭自己,从电脑中消失。
[侏儒](Dwarf)并没有达尔文等程式聪明。却可是个极端危险人物。它在内存中迈进,每到第五个[地址](address)便把那里所储存的东西变为零,这会使得原来的程序停止。
最奇特的就是一个叫[印普](Imp)的战争程式了 ,它只有一行指令:
MOV 01
这条指令把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01]。
[双子星](Germini)也相当有趣。它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本]。
从双子星衍生出一系列的程序。[牺牲者](Juggeraut)把自己复制后送到下十个地址之后,而[大雪人](Bigfoot)则把正本和复制品之间的地址定为某一个大质数。
电脑病毒的出现
一九八三年,科恩·汤普逊(Ken
Thompson)是当年一项杰出电脑奖得主。在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程序。
1983 年 11 月 3 日,弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼 (Len
Adleman) 将它命名为计算机病毒 (computer viruses),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750
计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5 个实验的演示,从而在实验上验证了计算机病毒的存在。
一九八四年, [科学美国人]月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了第一篇讨论[Core
War]的文章,并且只要寄上两块美金,任何读者都可以收到有关程序的纲领,在自己家中的电脑中开辟战场。
[病毒]一词的正式出现
在一九八五年三月份的[科学美国人]里 ,杜特尼再次讨论[Core War]和病毒。在文章的开头他便说:“当去年五月有关[Core War]的文章印出来时
,我并没有想过我所谈论的是那麽严重的题目”文中还第一次提到[病毒]这个名称。他提到说:“意大利的罗勃吐·歇鲁帝(Roberto
Cerruti)和马高·莫鲁顾帝(Marco Morocutti)发明了一种破坏软件的方法。他们想用病毒,而不是蠕虫,来使得苹果二号电脑受感染。
歇鲁弟写了一封信给杜特尼,信内说:“马高想写一个像[病毒]一样的程式,可以从一部苹
果电脑传染到另一部苹果电脑,使其受到感染。可是我们没法这样做,直到我想到这个病毒要先使软盘受到感染,而电脑只是媒介。这样,病毒就可以从张软盘传染到另一软盘了。”
1986 年初,在巴基斯坦的拉合尔 (Lahore),巴锡特 (Basit) 和阿姆杰德 (Amjad) 两兄弟经营着一家 IBM-PC
机及其兼容机的小商店。他们编写了Pakistan 病毒,即 Brain。在一年内流传到了世界各地。
1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。
1988 年 11 月 2 日,美国六千多台计算机被病毒感染,造成 Internet
不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。
这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点,连接着政府、大学、研究所和拥有政府合同的 250,000
台计算机。这次病毒事件,计算机系统直接经济损失达 9600 万美元。
这个病毒程序设计者是罗伯特·莫里斯 (Robert T.Morris),当年 23 岁,是在康乃尔 (Cornell) 大学攻读学位的研究生。
罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特·莫里斯成了入侵 ARPANET
网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学 Aiken 中心超级用户的特权。他也因此被判 3 年缓刑,罚款 1 万美元,他还被命令进行
400 小时的新区服务。
1988 年底,在我国的国家统计部门发现小球病毒。
第二节 计算机病毒原理
计算机病毒定义
1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。(此节内容摘自《计算机安全管理与实用技术》一书)
计算机病毒原理
病毒的工作原理是什么呢?病毒是一个程序,一段人为编制的计算机程序代码。它通过想办法在正常程序运行之前运行,并处于特权级状态。这段程序代码一旦进入计算机并得以执行,对计算机的某些资源进行监视。它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。
一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏在正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。
病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。
大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。
大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如“PETER-2"在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。
任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确得目的,或破坏数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。
病毒分类
按传染方式分为:引导型病毒、文件型病毒和混合型病毒。
文件型病毒一般只传染磁盘上的可执行文件(COM,EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。这是较为常见的传染方式。
混合型病毒兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径
随着计算机技术的发展,新的病毒也不断出现。我们在本章的最后一节将介绍宏病毒的机理和一个实例。
电脑病毒的新趋势
传统型病毒的一个特点, 就是一定有一个「寄主」程序,病毒就窝藏的这些程序里。最常见的就是一些可执行档,
像是副档名为.EXE及.COM的档案。但是由於微软的WORD愈来愈流行,且WORD所提供的宏命令功能又很强,
使用WORD宏命令写出来的病毒也愈来愈多于是就出现了以.DOC文件为“寄主”的也会宏病毒。
另外,不需要寄主的病毒也出现了,其实,它们寄生在「Internet」上。
如果Internet上的网页只是单纯用HTML写成的话, 那麽要传播病毒的机会可说是非常小了。但是呢, 为了让网页看起来更生动, 更漂亮,
许多语言也纷纷出笼, 其中最有名的就属JAVA和ActiveX了。从而,它们就成为新一代病毒的温床。JAVA和ActiveX的执行方式,是把程式码写在网页上,
当你连上这个网站时, 浏览器就把这些程式码读下来, 然后用使用者自己系统里的资源去执行它。这样,使用者就会在神不知鬼不觉的状态下,执行了一些来路不明的程序。
对于传统病毒来讲,病毒是寄生在「可执行的」程序代码中的。新的病毒的机理告诉我们,病毒本身是能执行的一段代码,但它们可以寄生在非系统可执行文档里。只是这些文档被一些应用软件所执行。
在德国汉堡一个名为Chaos Computer 的俱乐部,
有一个俱乐部成员完成一只新型态的病毒-----这只病毒可以找出Internet用户的私人银行资料, 还可以进入银行系统将资金转出, 不需要个人身份证明,
也不需要转帐密码。
当使用者在浏览全球网站时, 这个病毒会自动经由Active X 控制载入。Active X 控制可搜寻使用者计算机的硬盘, 来寻找Intuit
Quicken这个已有全球超过九百万使用者的知名个人理财软体。一旦发现Quicken的档案, 这个病毒就会下转帐指令。
计算机病毒防范
电脑病毒检测技术
一台计算机染上病毒之后,会有许多明显或不明显的特征。例如是文件的长度和日期忽然改变,系统执行速度下降或出现一些奇怪的信息或无故死机,或更为严重的硬盘已经被格式化。
我们常用的防毒软件是如何去发现它们的呢?他们就是利用所谓的病毒码(Virus Pattern)。病毒码其实可以想像成是犯人的指纹,
当防毒软件公司收集到一只新的病毒时, 他们就会从这个病毒程式中截取一小段独一无二而且足以表示这只病毒的二进制程序码 (Binary Code) ,
来当做扫毒程序辨认此病毒的依据, 而这段独一无二的二进制程序码就是所谓的病毒码。 在电脑中所有可以执行的程序(如 *.EXE,*.COM)
几乎都是由二进制程序码所组成, 也就是电脑的最基本语言-- 机器码。就连宏病毒在内, 虽然它只是包含在Word文件中的宏命令集,
可是它也是以二进制代码的方式存在於Word文件中。
反病毒软件常用下列技术来查找病毒的:
1.病毒码扫描法
将新发现的病毒加以分析后, 根据其特徵, 编成病毒码, 加入资料库中。以后每当执行扫毒程序时, 便能立刻扫描目标文件, 并作病毒码比对,
即能侦测到是否有病毒。病毒码扫描法又快又有效率( 例如趋势科技的PC-cillin及Server Protect, 利用深层扫描技术,
在即时扫瞄各个或大或小的档案时,平均只需1/20秒的时间), 大多数防毒软件均采用这种方式, 但其缺点是无法侦测到未知的新病毒及以变种病毒。
2.加总比对法 (Check-sum)
根据每个程序的文件名称、大小、时间、日期及内容, 加总为一个检查码, 再将检查码附於程序的后面, 或是将所有检查码放在同一个资料库中,
再利用此Check-sum系统, 追踪并记录每个程序的检查码是否遭更改, 以判断是否中毒。这种技术可侦测到各式的病毒, 但最大的缺点就是误判断高,
且无法确认是哪种病毒感染的。
3.人工智能陷阱
人工智能陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来, 一旦发现内存的程式有任何不当的行为, 系统就会有所警觉,
并告知使用。这种技术的优点是执行速度快、手续简便, 且可以侦测到各式病毒;其缺点就是程序设计难, 且不容易考虑周全。不过在这千变万化的病毒世界中,
人工智能陷阱扫描技术是一个至少具有保全功能的新观点。
4.软件模拟扫描法
软件模拟扫描技术专门用来对付千面人病毒(Polymorphic /MutationVirus)。千面人病毒在每次传染时,
都以不同的随机乱数加密於每个中毒的档案中, 传统病毒码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行,
在其设计的DOS虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序, 安全并确实地将多型体病毒解开,使其显露原本的面目, 再加以扫描。
5.VICE(Virus Instruction Code Emulation) - 先知扫描法
VICE先知扫描技术是继软件模拟后的一大技术上突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机器, 模拟CPU动作并假执行程序以解开变体引擎病毒,
那麽应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此VICE将工程师用来判断程新是否有病毒码存在的方法, 分析归纳成专家系统知识库,
再利用软体工程的模拟技术(Software Emulation)假执行新的病毒, 则可分析出新病毒码对付以后的病毒。
6.即时I/O扫描(Realtime I/O Scan)
Realtime I/O Scan的目的在於即时地对数据的输入/输出动作做病毒码比对的动作, 希望能够在病毒尚未被执行之前, 就能够防堵下来。理论上,
这样的即时扫描技术会影响到数据的输入输出速度。但是使用实时扫描技术,文件传送进来之后,就等于扫过一次毒了。从整体上来讲,是没有什么差别的。
第三节 计算机病毒实例
CIH病毒检测
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable
Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1
execution File Format)下的可执行文件,并且在Win
NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本。
CIH病毒v1.0版本:
最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft
Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本:
发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win
NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN
PE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
CIH病毒v1.2版本:
发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors
file)时,将导致此ZIP压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4
TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
CIH属恶性病毒,当其发作条件成熟时,将破坏硬盘数据,同时有可能破坏BIOS程序。其发作特征是:
1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。
2、某些主板上的Flash Rom中的BIOS信息将被清除。
感染CIH病毒的特征:
由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH
v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4
TATUNG”,不要直接搜索“CIH”特征串,因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:
inc bx
dec cx
dec ax
则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
另外一个判断方法是在Windows
PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。
还有一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8
33 DB 64,如果是,则表示此程序已被感染。
适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB
33 DB特征串,将这两个特征串中的CC改为90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40
00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。
另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0
02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB
64”,并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40
00”(OXOO4021CB),将此值减去OX40000,将得数----“CB 21 00 00”
(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry
Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。
CIH机理分析
其原理主要是使用Windows的VxD(虚拟设备驱动程序)编程方法。使用这一方法的目的是获取高的CPU权限,CIH病毒使用的方法是首先使用SIDT取得IDT
base address(中断描述符表基地址),然后把IDT的INT 3 的入口地址改为指向CIH自己的INT3程序入口部分,再利用自己产生一个INT
3指令运行至此CIH自身的INT
3入口程序出,这样CIH病毒就可以获得最高级别的权限(即权限0),接着病毒将检查DR0寄存器的值是否为0,用以判断先前是否有CIH病毒已经驻留。如DR0的值不为0,则表示CIH病毒程式已驻留,则此CIH副本将恢复原先的INT
3入口,然后正常退出(这一特点也可以被我们利用来欺骗CIH程序,以防止它驻留在内存中,但是应当防止其可能的后继派生版本)。如果判断DR0值为0,则CIH病毒将尝试进行驻留,其首先将当前EBX寄存器的值赋给DR0寄存器,以生成驻留标记,然后调用INT
20中断,使用VxD call Page Allocate系统调用,要求分配Windows系统内存(system
memory),Windows系统内存地址范围为C0000000h~FFFFFFFFh,它是用来存放所有的虚拟驱动程序的内存区域,如果程序想长期驻留在内存中,则必须申请到此区段内的内存,即申请到影射地址空间在C0000000h以上的
内存。
如果内存申请成功,则接着将从被感染文件中将原先分成多段的病毒代码收集起来,并进行组合后放到申请到的内存空间中,完成组合、放置过程后,CIH病毒将再次调用INT
3中断进入CIH病毒体的INT
3入口程序,接着调用INT20来完成调用一个IFSMgr_InstallFileSystemApiHook的子程序,用来在文件系统处理函数中挂接钩子,以截取文件调用的操作,接着修改IFSMgr_InstallFileSystemApiHook的入口,这样就完成了挂接钩子的工作,同时Windows默认的IFSMgr_Ring0_FileIO(InstallableFileSystemManager,IFSMgr)。服务程序的入口地址将被保留,以便于CIH病毒调用,这样,一旦出现要求开启文件的调用,则CIH将在第一时间截获此文件,并判断此文件是否为PE格式的可执行文件,如果是,则感染,如果不是,则放过去,将调用转接给正常的Windows
IFSMgr_IO服务程序。CIH不会重复多次地感染PE格式文件,同时可执行文件的只读属性是否有效,不影响感染过程,感染文件后,文件的日期与时间信息将保持不变。对于绝大多数的PE程序,其被感染后,程序的长度也将保持不变,CIH将会把自身分成多段,插入到程序的空域中。完成驻留工作后的CIH病毒将把原先的IDT中断表中的INT
3入口恢复成原样。
Flash ROM的破坏原理
PC机上常用来保存PC BIOS程序的Flash ROM包含两个电压接口,其中+12V一般用Boot Block的改写,Boot
Block为一特殊的区块,它主要用于保存一个最小的BIOS,用以启动最基本的系统之用,当Flash ROM中的其它区块内的数据被破坏时,只要Boot
Block内的程序还处于可用状态,则可以利用这一基本的PC
BIOS程序来启动一个最小化的系统,一般情况下,起码应当支持软盘的读写以及键盘的输入,这样我们就有机会使用软盘来重新构建整个Flash
ROM中的数据。一般的主板上均包含有一个专门的跳线,用来确定是否给此Flash ROM芯片提供+12V电压,只有我们需要修改Flash ROM中的Boot
Block区域内的数据时,才需要短接此跳线,以提供+12V电压。
另外一路电压为+5V电压,它可以用于维持芯片工作,同时为更新Flasm ROM中非Boot Block区域提供写入电压。
主板上的+12V跳线是为了防止更新Flash ROM中的Boot Block区域而设置的,如果想升级BIOS,同时此升级程序只需要更新Boot
Block区域以外的BIOS程序,则主板上的跳线根本没必要去跳,因为更新Boot
Block区域以外的数据并不需要+12V电压,这样,即使升级失败,我们也还存在着一个Boot
Block中的最基本BIOS可以使用,这样就可以使用软盘来恢复原先的BIOS数据(一般在升级的时候后,都提示用户保存当前的BIOS数据)。
某些芯片在+5V的电压下就可以进行改写,这些单5V的芯片便是造成BIOS数据被彻底破坏的原应。
Word宏病毒透视
Word宏病毒,是近年来被人们谈论得最多的一种电脑病毒。由于一些杀毒软件广告对此病毒的着力渲染,使得一些普通的用户对该病毒谈之色变。其实,在了解了Word宏病毒的编制、发作过程之后,即使是普通的电脑用户,不借助任何杀毒软件,也可以较好地对其进行防冶。
Word宏病毒,是用一种专门的Basic语言即Word Basic所编写的程序。与其它计算机病毒一样,它能对用户系统中的
黑客攻击和蠕虫病毒是怎么结合的?
1.蠕虫病毒,运行后,将自己复制到%SYSTEM%目录下,文件名为“CRACK_BAT.EXE”、“SYSTEMS.EXE”、“IQ.DAT”、“FTTP.EXE”“AUTO.EXE”等。
2.修改系统文件“system.ini”,在其中的[boot]节的shell里加入自己“systems.exe”,实现开机自启动。
3.下载木马,病毒
4.扫描局域望网,互联网漏洞大规模感染传播.U盘也是一种重要的传播途径.
求教下,谁是第一个做出木马病毒的人
磁芯大战--第一个电脑病毒
电脑病毒并非是最近才出现的新产物 ,事实上 ,早在一九四九年 ,距离第一部商用电脑的出现仍有好几年时 ,电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文《复杂自动装置的理论及组织的进行》里,即已把病毒程式的蓝图勾勒出来 ,当时 ,绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的 ,可是少数几个科学家默默的研究范纽曼的所提出的概念 ,直到十年之后 ,在美国电话电报公司(ATT) 的贝尔(Bell)实验室中 ,这些概念在一种很奇怪的电子游戏中成形了 ,这种电子游戏叫做 “磁蕊大战”(core war)。
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工余想出来的 ,他们是道格拉斯麦耀莱(H, Douglas McIlroy) ,维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris) ,当时三人年纪都只有二十多岁。
附注: Robert T. Morris 就是后来写了一个 Worm ,把 Internet 搞的天翻地覆的那个 Robert T. Morris Jr.(上图) 的爸爸 ,当时大 Morris 刚好是负责 Arpanet网路安全 。
磁芯大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑? 记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都 在电脑的记忆磁芯中游走,因此得到了磁芯大战之名.
这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.磁芯大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫[达尔 文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言 (Assembly Language) 各写一套程式,叫有机体(organism),这两个机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛 时 Morris 经常匠心独具,击败对手.
另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑 [爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.
为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失.
[侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址] (address)便把那里所储存的东西变为零,这会使的原本的程式停摆.
最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是 MOV 01 。MOV是[MOVE]的代表,即移动的意思. 它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01].换句 话说, 萤光幕上留下一大堆[MOV 01].
[双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本].
从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制后送到下十个地址之后;而[大雪人](Bigfoot)则把正本 和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外, 还有全录(Xerox)柏路阿图研究中心的约翰.索 殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑.
第一个计算机病毒的名称
磁芯大战--第一个电脑病毒
电脑病毒并非是最近才出现的新产物 ,事实上 ,早在一九四九年 ,距离第一部商用电脑的出现仍有好几年时 ,电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文《复杂自动装置的理论及组织的进行》里,即已把病毒程式的蓝图勾勒出来 ,当时 ,绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的 ,可是少数几个科学家默默的研究范纽曼的所提出的概念 ,直到十年之后 ,在美国电话电报公司(ATT) 的贝尔(Bell)实验室中 ,这些概念在一种很奇怪的电子游戏中成形了 ,这种电子游戏叫做 “磁蕊大战”(core war)。
磁蕊大战是当时贝尔实验室中三个年轻程式人员在工余想出来的 ,他们是道格拉斯麦耀莱(H, Douglas McIlroy) ,维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris) ,当时三人年纪都只有二十多岁。
附注: Robert T. Morris 就是后来写了一个 Worm ,把 Internet 搞的天翻地覆的那个 Robert T. Morris Jr.(上图) 的爸爸 ,当时大 Morris 刚好是负责 Arpanet网路安全 。
磁芯大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑? 记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都 在电脑的记忆磁芯中游走,因此得到了磁芯大战之名.
这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.磁芯大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫[达尔 文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言 (Assembly Language) 各写一套程式,叫有机体(organism),这两个机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛 时 Morris 经常匠心独具,击败对手.
另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑 [爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.
为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失.
[侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址] (address)便把那里所储存的东西变为零,这会使的原本的程式停摆.
最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是 MOV 01 。MOV是[MOVE]的代表,即移动的意思. 它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01].换句 话说, 萤光幕上留下一大堆[MOV 01].
[双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本].
从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制后送到下十个地址之后;而[大雪人](Bigfoot)则把正本 和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外, 还有全录(Xerox)柏路阿图研究中心的约翰.索 殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑.
来自: http://zhidao.baidu.com/question/4560591.html
有哪些著名的计算机病毒,并有些什么症状
早在1949年, 距离第一部商用电脑的出现还有好几年时, 电脑先驱者德国科学家冯·诺伊曼(John Von Neumann) 在他所提出的一篇论文《复杂自动装置的理论及组织的进行》中, 就已把病毒程式的蓝图勾勒出来了, 当时绝大部份的电脑专家都无法想像这种会自我繁殖的程式是可能的。只有少数几个科学家默默地研究冯·诺伊曼所提出的概念。直到十年后, 在美国电话电报公司(ATT) 的贝尔(Bell)实验室中,三个年轻的程序员道格拉斯·麦基尔罗伊(H, Douglas McIlroy)、 维克多·维索特斯克(Victor Vysottsky)以及罗伯特.莫里斯(Robert T. Morris),当时三人年纪都只有二十多岁,常在工作后留在实验室里玩起他们自己创造的电子游戏,这种电子游戏叫做“核心大战(core war)“。
附注: Robert T. Morris就是后来写了一个Worm病毒把Internet搞的天翻地覆的那个Robert T.Morris Jr.的爸爸,当时大Morris刚好是负责Arpanet网路安全。
核心大战的玩法如下:双方各编一组再生程序,输入同一部电脑中,这两套程序在电脑的记忆系统内互相追杀,有时它们会设下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令,当它被困时,也可以把自己复制一次,逃离险境。
这个游戏的特点,在于双方的程序进入计算机内存后,玩游戏的人只能看著屏幕上显示的战况,而不能做任何更改,一直到某一方的程序被另一方的程序完全“吃掉”为止。
核心大战是个笼统的名称,事实上还可细分成好几种,麦基尔罗伊所写的叫“达尔文”这包含了“[物竞天择,适者生存”的意思。它的游戏规则跟以上所描述的最接近,双方以汇编语言(Assembly Language)各编一组再生程序,叫有机体(organism),这两个“有机体”在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负。在比赛时 Morris经常击败对手。
另外有个叫爬行者的程序(Creeper),每一次把它读出时,它便自己复制一个副本。此外,它也会从一部电脑“爬”到另一部与其连网的电脑。很快地电脑中原有资料便被这些爬行者挤掉了。爬行者的唯一生存目地是繁殖。
为了对付“爬行者”,有人便写出了“收割者(Reaper)”。它的唯一生存目的便是找到爬行者,把它们毁灭掉。当所有爬行者都被收割掉之后,收割者便执行程序中最后一项指令:毁灭自己,从电脑中消失。
“侏儒(Dwarf)”并没有“达尔文”等程序那样聪明,却是个极端危险的家伙,它在内存系统中迈进,每到第五个地址(address)便把那里所储存的东西变为零,使得原来的正常程序停止。
最奇特的就是一个叫“印普(Imp)”的战争程式了,它只有一行指令,那就是MOV 01.MOV代表“MOVE”即移动的意思。它把身处的地址中所载的“0”写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为“MOV 01”。换句话说,屏光幕上留下一大堆“MOV 01”。
“双子星(Germini)”也是个有趣的家伙,它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉“正本”。
从双子星衍生出一系列的程序“牺牲者(Juggeraut)”把自己复制后送到下十个地址之后,而“大雪人(Bigfoot)”则把正本和复制品之间的地址定为某一个大质数,想抓到大雪人可是非常困难的。此外,还有全录(Xerox)柏路阿图研究中心的约翰.索殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑。
1975年,美国科普作家约翰·布鲁勒尔(John Brunner)写了一本名为《震荡波骑士》(Shock Wave Rider)的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。
1977年夏天,托马斯·捷·瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控制了7,000台计算机,造成了一场灾难。
1983年11月3日,弗雷德·科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。
在那些日子里,由于电脑都没有联网,因此并不会出现小莫里斯所引起的病毒瘟疫。如果有某部电脑受到“感染”失去控制,工作人员只需把它关掉便可。但是当电脑网络逐渐成为社会结构的一部份后,一个自我复制的病毒程序便很可能带来无穷的祸害了。因此长久以来,懂的玩“核心大战”游戏的电脑工作者都严守一项不成文的规定:不对大众公开这些程序的内容。
1983年,这项规定被打破了。科恩.汤普逊(Ken Thompson)是当年一项杰出电脑奖得奖人,在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程序。
1984年,《科学美国人》月刊(Scientific American)的专栏作家杜特尼(A. K. Dewdney)在五月号写了第一篇讨论“核心大战”的文章,并且只要寄上两块美金,任何读者都可以收到他所写的有关写程序的纲要,在自己家中的电脑中开辟战场。
在1985年三月份的《科学美国人》里,杜特尼再次讨论“核心大战”和病毒。在文章的开头他便说:“当去年五月有关‘核心大战’的文章印出来时,我并没有想过我所谈论的是那么严重的题目”。文中并第一次提到“病毒”这个名称。他说,意大利的罗勃吐.些鲁帝(Roberto Cerruti)和马高.么鲁顾帝(Marco Morocutti)发明了一种破坏软件的方法,他们想用病毒而不是蠕虫,来使得苹果二号电脑受感染。
Cerruti写了一封信给杜特尼,信内说:“Marco想写一个像病毒一样的程序,可以从一部苹果电脑传染到另一部苹果电脑,可是我们没法这样做。这病毒要先使磁盘受到感染,而电脑只是媒介,这样病毒就可以从一张磁盘传染到另一张磁盘了。”
1986年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家IBM-PC机及其兼容机的小商店。他们编写了Pakistan病毒,即Brain。在一年内流传到了世界各地。
1988年3月2日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示"向所有苹果电脑的使用者宣布和平的信息"。以庆祝苹果机生日。
1988年11月2日,美国六千多台计算机被病毒感染,造成Internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括5个计算机中心和12个地区结点,连接着政府、大学、研究所和拥有政府合同的250,000台计算机。这次病毒事件,计算机系统直接经济损失达9600万美元。这个病毒程序设计者是罗伯特·莫里斯(Robert T.Morris),当年23岁,是在康乃尔大学攻读学位的研究生。
罗伯特·莫里斯设计的病毒程序利用了系统存在的弱点。正由于罗伯特·莫里斯成了入侵ARPANET网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学Aiken中心超级用户的特权。但他也因此被判3年缓刑,罚款1万美元,他还被命令进行400小时的新区服务。
1988年底,在我国的国家统计部门发现的小球病毒是我国第一次病毒经历。
网易电子杂志《网络时代》关于电脑病毒的出现作如下总结(已略作改动):
第一个计算机病毒发现于1981年,是一个苹果机病毒,但它不破坏数据。3年后,第一个与IBM PC兼容的DOS病毒出现。它会在硬盘的引导扇区和文件分配表写入大量垃圾,从而也就破坏了保存于硬盘中的数据。在它之后,更多的病毒便涌现了出来。
直到1987-1988年,病毒仍是一个稀有事物,但这种情形被3个著名的病毒的出现改变了,它们是耶路撒冷,米开朗基罗和醉酒(stoned)。通过媒体的炒作,人们的心理充满了恐惧,开始到处寻求帮助。在这种气氛下,开发反病毒软件的公司如雨后春笋般纷纷冒出,病毒真正成为了计算机领域令人关注的问题。
索非亚成为世界病毒的中心(1989-1992)
在“铁幕”落下后,欧洲前社会主义国家成为了病毒云集的地方,其中尤以保加利亚为最。索非亚成为了制造新病毒的肥沃土壤。连制造病毒更有效的工具也出自这里。
今天(梅丽莎,CIH,EVIL,.....)
新的制造病毒的技术被不断开发出来,而随着互联网及电子邮件的广泛使用,被病毒感染事件的数目呈直线上升态势。像美丽莎,CIH等病毒都通过电子邮件附件传播,如果你双击这些附件,它们便立即开始活动。像CIH在爆发时会覆盖你的BIOS,造成你计算机完全瘫痪。
电脑中国爬行者病毒啥时好
爬行者可能是人类所知的第一个病毒类程序,或者这个程序基本上都称不上是病毒程序,更确切的来说,它就是一段恶意代码。病毒的作者是马萨诸塞州剑桥市一个企业的员工Bob Thomas