幾年後,第壹個廣泛傳播的蠕蟲病毒爆發,蔓延到世界各地的數千臺計算機。多年以後,當互聯網連接在家庭中也非常普遍的時候,大規模的病毒感染已經成為常態。每年,我們都能聽到各種新的威脅,比如耗盡妳的銀行賬戶,驅使數百萬臺PC拒絕服務。計算機病毒不斷進化,我們需要更聰明的方法來應對威脅。
計算機病毒的原始歷史可以追溯到1982年。那時,計算機病毒這個術語還沒有正式的定義。那壹年,RichSkerta編寫了壹個名為“ElkCloner”的計算機程序,這使得它成為計算機病毒史上第壹個感染個人電腦(AppleII)的計算機病毒。它使用軟盤作為通信媒介,破壞程度相當輕微。被感染的電腦只在屏幕上顯示了壹首小詩:
Itwillinfiltrateyourchips
它會像膠水壹樣粘在壹起,
Itwillmodifyramtoo
SendintheCloner!"
1984-計算機病毒正式定義。
1984年,弗雷德科恩發表了壹篇名為《計算機病毒——理論與實驗》的文章,不僅對“計算機病毒”這壹術語給出了明確的定義,還描述了他與其他專家壹起研究計算機病毒的實驗結果。
1986——第壹個在MS-DOS個人電腦系統中廣泛傳播的計算機病毒
第壹個惡意且廣泛傳播的計算機病毒始於1986年。這個電腦病毒叫“大腦”,是巴基斯坦兩兄弟寫的。它可以破壞計算機的引導扇區,被認為是第壹種只能隱藏自己以逃避檢測的病毒。
1987-文件感染病毒(利哈伊和聖誕節蠕蟲)
1987年,美國利哈伊大學發現了利哈伊病毒,這是第壹批病毒感染者。文件感染型病毒主要感染。COM文件和。EXE文件在被感染文件執行過程中破壞數據、文件分配表(FAT)或感染其他程序。
1988-第壹個麥金塔電腦病毒的出現和CERT組織的成立
第壹個攻擊麥金塔的病毒出現在這壹年,“網絡蠕蟲”也引發了第壹波互聯網危機。同年,全球首個計算機安全應急小組(ComputerSecurityResponseTeam)成立並不斷發展,也演變成了今天著名的CERTRCoordinationCenter(簡稱CERTR/CC)。
1990-第壹個病毒通訊公告板上線,防病毒產品出現。
第壹個病毒交換公告板服務(VXBBS)在保加利亞推出,為病毒程序員交換病毒代碼和經驗。同年,McAfeeScan等殺毒產品開始出現黑粉色。
1995-宏病毒的出現
windows95操作平臺剛出現的時候,運行在DOS操作系統下的計算機病毒還是計算機病毒的主流,這些基於DOS的病毒往往無法復制到windows95操作平臺上運行。然而,就在電腦用戶以為可以松壹口氣的時候,1995年底,第壹個運行在MS-Word工作環境下的宏病毒正式發布。
1996-Windows 95繼續成為攻擊目標,Linux操作平臺也不能幸免(J今年宏病毒Laroux成為第壹個攻擊MSExcel文件的宏病毒。Staog是第壹個攻擊Linux操作平臺的計算機病毒。
BackOrifice允許黑客在未經授權的情況下通過互聯網遠程控制另壹臺計算機。這個病毒的名字也讓微軟的微軟BackOffice產品開了個玩笑。
1999-梅麗莎和CIH病毒
Melissa是第壹個混合宏病毒——它以攻擊MSWord為步驟,然後利用MSOutlook和OutlookExpress中的通訊錄,通過電子郵件廣泛傳播病毒。當年4月,CIH病毒爆發,全球6000多萬臺電腦被毀。
2000年-DenialofService和love letters)“ILO veyou”是大規模的拒絕服務攻擊,使雅虎、亞馬遜書店等各大網站的服務陷入癱瘓。同年,“ILoveYou”郵件附帶的VisualBasic腳本病毒文件被廣泛傳播,終於讓很多電腦用戶明白了謹慎處理可疑郵件的重要性。那年8月,第壹個運行在Palm操作系統上的特洛伊程序“LibertyCrack”終於出現了。這種木馬程序以破解Liberty(運行在Palm操作系統上的Gameboy模擬器)為誘餌,使用戶通過紅外數據交換或電子郵件在無線網絡中無意間傳播病毒。
2002年-強大多變的混合病毒:Klez和FunLove。
“求職信”是壹種典型的混合病毒,它不僅像傳統病毒壹樣感染計算機文件,還具有蠕蟲和特洛伊馬的特征。它利用了微軟郵件系統自動運行附件的安全漏洞,大量消耗系統資源,導致電腦運行緩慢直至癱瘓。除了電子郵件,病毒還可以通過網絡傳輸和電腦硬盤共享傳播。
自1999年以來,Funlove病毒給服務器和個人電腦帶來了巨大的麻煩,許多著名企業都是受害者。壹旦被它感染,電腦就會處於帶病毒運行狀態,它會創建壹個後臺工作線程,搜索所有本地驅動器和可寫網絡資源,然後在網絡中完全共享的文件中迅速傳播。)
2003-Blaster)和SOBIG
{“沖擊波”病毒8月爆發。它利用了微軟操作系統Windows2000和WindowsXP的安全漏洞,獲得了在目標計算機上執行任意代碼的完全用戶權限,並通過互聯網繼續攻擊網絡上存在該漏洞的計算機。由於殺毒軟件無法過濾這種病毒,病毒迅速蔓延到多個國家,導致大量電腦癱瘓,網絡連接速度變慢。
繼“沖擊波”病毒之後,第六代“大承諾”計算機病毒(SOBIG。f)猖獗,通過電子郵件傳播。“大諾言”病毒不僅會偽造發送者的身份,還會發出大量的“Thankyou!“根據電腦通訊錄裏的信息。、‘‘Re:Approved’等等,此外,它還可以驅動被感染的電腦自動下載壹些網頁,讓病毒作者有機會竊取電腦用戶的個人和商業信息。
2004年-MyDoom,NetSky和Sasser。
“不幸”病毒出現在1月下旬。它以電子郵件為媒介,以“MailTransactionFailed”、“MailDeliverySystem”、“ServerReport”等字樣作為郵件主題,誘導用戶打開帶有病毒的附件文件。被感染的計算機不僅會自動轉發病毒郵件,還會使計算機系統打開壹個後門,供黑客作為攻擊網絡的中介。它還會對壹些著名網站(如SCO、微軟)進行分布式拒絕服務(DDOS)攻擊,其變種甚至會阻止被感染的電腦訪問壹些著名殺毒軟件廠商的網站。由於它可以在30秒內發送多達100封郵件,許多大型企業的電子郵件服務被迫中斷,其傳播速度創下了計算機病毒史上的新紀錄。
反病毒公司會用A、B、C等英文字母作為同壹個病毒變種的名稱。NetSky這種病毒被評為有史以來變異速度最快的病毒,因為自2月中旬出現以來,短短兩個月內,它的變異名稱就耗盡了26個英文字母,後面是NetSky等雙代號英文字母的名稱。AB它通過電子郵件傳播很多。當收件人運行帶有病毒的附件時,病毒程序會自動掃描電腦硬盤和網絡驅動器收集郵件地址,並通過自身的郵件發送引擎轉發假冒發件人的病毒郵件。而且病毒郵件的主題、正文、附件文件名都是可變的。
“沖擊波”病毒類似於更早出現的沖擊波病毒。它是針對微軟Windows操作系統的安全漏洞,不需要依賴電子郵件作為媒介。它利用系統中的緩沖區溢出漏洞,導致計算機不斷重啟,感染互聯網上的其他計算機。短短18天就取代了沖擊波,創下了補丁發布後最短攻擊周期的紀錄。
現在大家都知道有電腦病毒,但是妳真的了解嗎?希望這篇文章能讓妳對病毒有更深入的了解,提高我們的安全意識。
計算機病毒不同於醫學上的“病毒”。它不是自然存在的。有些人利用計算機軟硬件固有的脆弱性,編寫具有特殊功能的程序。因為它具有與生物醫學“病毒”相同的傳染性和破壞性特征,所以這個術語來源於生物醫學“病毒”的概念。廣義來說,所有能導致計算機故障、破壞計算機數據的程序統稱為計算機病毒。根據這個定義,諸如邏輯炸彈和蠕蟲病毒都可以稱為計算機病毒。在中國,專家和研究人員對計算機病毒做出了不同的定義,但壹直沒有公認的明確定義。
第二,病毒的命名
病毒的命名沒有固定的方法,有的以病毒最早出現的地方命名。例如,“鎮江_JES”的樣本首先來自鎮江的壹個用戶。還有的按病毒中出現的名字或特征字符,如“張芳-1535”、“磁盤殺手”、“上海壹號”。有的以病毒的癥狀命名,如“火炬”、“蠕蟲”。當然也有壹部分是以病毒爆發的時間命名的,比如165438+10月9日爆發的“11月9日”。有些名稱包含病毒代碼的長度,如“PIXEL.xxx”系列、“KO.xxx”等。
三、計算機病毒的發展趨勢
在病毒發展史上,病毒的出現是有規律的。壹般新的病毒技術出現後,病毒發展迅速,然後反病毒技術的發展會抑制其傳播。同時,當操作系統升級時,病毒也會調整到新的方式,從而產生新的病毒技術。壹般來說,病毒可以分為以下幾個發展階段:
DOS引導階段
1987期間,計算機病毒主要是引導病毒,代表病毒有“小球”和“石頭”。因為當時的電腦硬件少,功能簡單,壹般都是軟盤啟動後使用。可啟動病毒利用軟盤的啟動原理工作,修改系統啟動扇區,在計算機啟動時先獲得控制權,減少系統內存,修改磁盤讀寫中斷,影響系統工作效率,在系統訪問磁盤時進行傳播。
DOS可執行階段
1989,可執行文件病毒出現。他們利用DOS系統加載執行文件的機制,比如“耶路撒冷”和“星期日”病毒。可執行病毒的病毒代碼在系統執行文件時獲得控制權,修改DOS中斷,在系統調用時感染,並附著在可執行文件上,增加了文件長度。1990,發展成復合病毒,可以感染com和EXE文件。
伴隨體型階段
1992出現了伴生病毒,它們利用DOS中加載文件的優先級來工作。代表是“金蟬”病毒,感染EXE文件,生成壹個與EXE同名的伴,擴展名為COM。當它感染壹個COM文件時,它會將原來的COM文件更改為同名的EXE文件,然後生成壹個具有原來名稱和COM文件擴展名的同伴。這樣,當DOS加載文件時,病毒就會獲得控制權,首先執行自己的代碼。這種病毒不會改變原始文件的內容、日期和屬性。通過刪除它的同伴來移除病毒是非常容易的。其典型代表就是“海盜旗”病毒。執行時,它會詢問用戶名和密碼,然後返回壹條錯誤消息來刪除自己。
變形階段
從65438到0994,匯編語言有了很大的進步。要實現同樣的功能,匯編語言可以有不同的使用方式,這些方式的組合使得壹段看似隨機的代碼產生同樣的運行結果。典型的多態病毒——ghost病毒就是利用了這壹特點,每次感染都會產生不同的代碼。比如“半”病毒,就是生成壹段有上億種可能解碼算法的數據,病毒體在解碼前就隱藏在數據中,需要解碼這壹段數據才能查出這類病毒,增加了病毒檢測的難度。多態病毒是壹種綜合性病毒,可以感染引導區和程序區。大部分都有解碼算法,壹個病毒往往需要兩個以上的子程序才能清除。
變體階段
1995在匯編語言中,有些數據操作放在不同的通用寄存器中,也能計算出同樣的結果。隨機插入壹些空操作和無關命令,不會影響操作結果。這樣,壹些解碼算法可以通過生成器生成不同的變體。其代表作——“病毒制造者”VCL,可以在瞬間產生上千種不同的病毒,在搜索和求解時可以不使用傳統的特征識別方法,而需要對命令進行宏觀分析,解碼後再搜索和求解病毒,大大提高了復雜度。
網絡和蠕蟲階段。
從65438到0995,隨著互聯網的普及,病毒開始通過互聯網傳播,這只是對前幾代病毒的改進。在Windows操作系統中,“蠕蟲”是壹個典型的代表。它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡函數搜索網絡地址,將自身擴散到下壹個地址,有時存在於網絡服務器和啟動文件中。
窗口階段
1996隨著Windows的日益普及,利用Windows工作的病毒開始發展。他們修改(NE,PE)文件,典型代表就是DS.3873這種病毒急智比較復雜,利用保護模式和API調用接口工作,清除方法也比較復雜。
大病毒階段
1996,隨著MSOffice功能的增強和流行,利用Word宏語言也可以編寫病毒。這種病毒使用類似Basic的語言,很容易編寫,會感染Word文件。因為Word文件格式不開放,所以很難查出這類病毒。
互聯網和受感染郵件階段
1997,隨著互聯網的發展,各種病毒開始通過互聯網傳播,攜帶病毒的數據包和郵件越來越多。如果不小心打開這些郵件,電腦可能會中毒。
Java,郵件炸彈階段
從65438年到0997年,隨著Java在互聯網上的普及,利用Java語言傳播和獲取信息的病毒開始出現,典型代表就是JavaSnake病毒。還有壹些病毒利用郵件服務器進行傳播和破壞,比如郵件炸彈病毒,嚴重影響互聯網的效率。
四。病毒的進化和發展過程
計算機病毒的最新發展趨勢可以概括如下:
1.病毒是不斷進化的,任何程序都和病毒壹樣,不可能是完美的。於是有些人還在修改以前的病毒,讓其功能更加完善,病毒也在不斷進化,讓殺毒軟件更難檢測。
2.奇怪的病毒出現
現在有很多操作系統,所以病毒也針對很多其他平臺,不僅僅是微軟Windows平臺。
3.越來越隱蔽
壹些新型病毒越來越隱蔽,與此同時,新型計算機病毒也越來越多。更多的病毒使用復雜的加密技術。病毒在感染宿主程序時,用隨機算法對病毒程序進行加密,然後放入宿主程序。因為隨機數算法的結果是天文數字,所以每次放入宿主程序的病毒程序都不壹樣。這樣,同壹個病毒有多種形態,每次感染時的外觀都不壹樣。就像壹個人可以“變臉”壹樣,檢測和查殺這種病毒是非常困難的。同時,制造病毒和殺死病毒永遠是壹對矛盾。既然殺毒軟件殺病毒,就有人搞專門破壞殺毒軟件的病毒。壹是他們可以避開殺毒軟件,二是他們可以修改殺毒軟件,改變其殺毒功能。所以殺毒還是需要很多專家的努力!