1983 165438+10月3日,美國計算機專家首次提出了計算機病毒的概念,並進行了驗證。1987計算機病毒主要是引導病毒,代表病毒有“小球”和“石頭”病毒。當時的電腦硬件較少,功能簡單,壹般需要通過軟盤啟動後才能使用。可引導病毒通過使用軟盤的啟動原理工作。他們修改系統的啟動扇區,在電腦啟動時先獲得控制權,減少系統內存,修改磁盤讀寫中斷,影響系統工作效率。1989年,可引導病毒發展到感染硬盤,典型代表是“石頭2”在DOS可執行階段(1989),出現了可執行文件病毒。他們利用DOS系統中加載和執行文件的機制來工作,以“耶路撒冷”和“星期日”病毒為代表。病毒代碼在系統執行文件時獲得控制權,修改DOS中斷,在系統調用時被感染,並將其自身附加到可執行文件中,從而增加了文件長度。1990,發展成復合病毒,可以感染com和EXE文件。伴隨,在1992的批處理階段,伴隨病毒出現了,它們利用DOS中加載文件的優先級順序來工作。代表病毒是“金蟬”,感染EXE文件時生成壹個與EXE同名但擴展名為COM的同伴;當它感染了壹個文件,就把原來的COM文件改成壹個同名的EXE文件,然後產生壹個同名的衛星,文件擴展名是COM。這樣,當DOS加載文件時,病毒就獲得了控制權。這種病毒的特點是不改變原始文件內容、日期和屬性,在清除病毒時只刪除其衛星。在非DOS操作系統中,壹些伴生病毒利用操作系統的描述語言進行工作。典型的就是“海盜旗”病毒。執行時,它會詢問用戶名和密碼,然後返回壹條錯誤消息並刪除自己。批量病毒是壹種在DOS下工作的病毒,類似於“盜旗”病毒。Ghost,多態階段1994,隨著匯編語言的發展,同樣的功能可以用不同的方式來完成,這些方式的組合使得壹段看似隨機的代碼產生了同樣的運算結果。Ghost病毒正是利用了這壹特點,每次感染都會產生不同的代碼。比如“半”病毒,就是生成壹段有上億種可能解碼算法的數據,病毒體在解碼前就隱藏在數據中,需要解碼這壹段數據才能查出這類病毒,增加了病毒檢測的難度。多態病毒是壹種綜合性病毒,可以感染引導區和程序區。大部分都有解碼算法,壹個病毒往往需要兩個以上的子程序才能清除。生成器,變體機階段1995,在匯編語言中,壹些數據操作放在不同的通用寄存器中,同樣可以計算出結果,隨機插入壹些空操作和無關指令,不影響運算結果。這樣,生成器可以生成解碼算法。當生成器生成的結果是病毒時,就產生了這個復雜的“病毒生成器”,而變種機只是增加了解碼的復雜度。這壹階段的典型代表是“病毒制造者”VCL,他可以在壹瞬間制造成千上萬種不同的病毒。傳統的特征識別方法在搜索時無法使用,需要對指令進行宏觀分析,解碼後搜索病毒。網絡,蠕蟲階段1995,隨著網絡的普及,病毒開始通過網絡傳播,這只是前幾代病毒的改進。在非DOS操作系統中,“蠕蟲”是壹個典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡函數搜索網絡地址,並把自己傳播到下壹個地址,有時還存在於網絡服務器和啟動文件中。在Windows 1996時期,隨著Windows和Windows95的日益普及,利用Windows工作的病毒開始發展。他們修改(NE,PE)文件,典型代表就是DS.3873這些病毒的機制比較復雜。他們使用保護模式和API調用接口工作,移除的方法也比較復雜。1996宏病毒階段,隨著Windows Word功能的增強,也可以利用Word的宏語言編寫病毒。這種病毒使用類似Basic的語言,很容易編寫,會感染Word文檔等文件。Excel和AmiPro中工作機制相同的病毒也屬於這壹類。因為Word文檔的格式不公開,所以很難查出這種病毒。1997互聯網階段,隨著互聯網的發展,各種病毒開始通過互聯網傳播,攜帶病毒的數據包和郵件越來越多。如果這些郵件被意外打開,機器可能會中毒。Java,郵件炸彈階段1997隨著Java在Wold萬維網上的普及,利用Java語言傳播和獲取信息的病毒開始出現,典型代表就是JavaSnake病毒,還有壹些利用郵件服務器進行傳播和破壞的病毒,比如郵件炸彈病毒,會嚴重影響互聯網的效率。
十種最有害的病毒
1.CIH (1998)感染了Win95/98中的可行性文件。這種病毒在Windows環境下傳播,實時性和隱蔽性特別強。該變種可以重寫BIOS。它在全球範圍內造成了大約2000萬到8000萬美元的損失。
2.梅麗莎(Melissa,1999)是壹種傳播速度很快的宏病毒。它以電子郵件附件的形式傳播。Melissa病毒雖然不會破壞文件或其他資源,但可能會使企業或其他郵件服務器程序停止運行,因為它發出大量郵件,形成龐大的電子郵件信息流。1999在3月26日爆發,感染了15%-20%的商用電腦,造成了3000萬到6000萬美元的損失。
3.《愛妳》(2000)就像梅麗莎壹樣通過電子郵件傳播,但它的破壞性比梅麗莎大得多,它可以刪除壹些本地的圖片和文字,造成大約1000萬到1500萬美元的損失。
4.紅隊(2001)是壹種蠕蟲病毒,本質上是利用緩沖區溢出攻擊,通過服務器的80端口進行傳播,80端口是Web服務器與瀏覽器進行信息交換的通道。與其他病毒不同的是,Code Red不會將病毒信息寫入被攻擊服務器的硬盤中,而只是駐留在被攻擊服務器的內存中。它在全球範圍內造成了約280萬美元的損失。
5.SQL Slammer (2003)是壹個DDOS惡意程序。它通過壹種全新的感染途徑,利用分布式拒絕服務攻擊來感染服務器。它利用SQL Server的弱點,攻擊1434端口並感染內存中的SQL Server,然後通過被感染的SQL Server大量傳播拒絕服務攻擊和感染,導致SQL Server無法正常運行或宕機,內部網絡擁塞。和Code Red壹樣,只駐留在被攻擊服務器的內存中,導致全球約50萬臺服務器崩潰,韓國全網癱瘓12小時。
6.Blaster,2003)沖擊波病毒是利用微軟當年7月21日公布的RPC漏洞進行傳播的。只要電腦上有RPC服務,沒有安全補丁,病毒就會感染系統,造成以下現象:系統資源被大量占用,有時會彈出RPC服務終止對話框,系統反復重啟,導致郵件無法收發,文件無法正常復制,網頁無法正常瀏覽,復制粘貼操作受到嚴重影響,DNS和IIS服務被非法拒絕等。這個病毒應該是大家熟悉的最近在國內影響比較廣泛的壹個病毒。它造成了大約200萬到1000萬美元的損失,但事實上有成千上萬的電腦受到影響。
7.大承諾。F (Sobig。f,2003)這是Sobig蠕蟲的第五個變種,它具有非常強的感染能力,因此會發生巨大的郵件傳輸,導致世界各地的郵件服務器崩潰,並且由於其特性,還會極其危險地泄露本地數據。它造成了約500萬至1000萬美元的損失,超過100萬臺計算機被感染。
8.Bagle,2004) Bagle也稱為Beagle,是壹種通過電子郵件傳播的蠕蟲。它通過遠程訪問網站,通過電子郵件系統進行傳播,在Windows系統中建立後門。到目前為止,這種蠕蟲可能是最嚴重、傳播最廣的壹種蠕蟲,其影響力仍在上升。目前已經造成了幾千萬美元的損失,而且還在繼續。
9.MyDoom (2004)這種病毒采用病毒和垃圾郵件相結合的方式,可以在企業電子郵件系統中快速傳播,導致郵件數量激增,從而阻斷網絡。要麽是病毒,要麽是垃圾郵件,在去年給用戶造成的困擾已經夠多了,而現在兩者的結合更加兇猛,大部分用戶對此並不知情,使得這種病毒的傳播速度突破了各種病毒原本的傳播速度。根據MessageLabs研究公司的數據,在MyDoom病毒爆發的高峰期,每10封郵件中就有壹封被這種病毒感染,而每17封郵件中就有壹封被前壹年肆虐的Sobig病毒感染。在其爆發最嚴重的時候,全球網速大幅降低。
10.Shockwave (Sasser,2004) Shockwave病毒會自動在網絡上搜索系統有漏洞的電腦,直接引導這些電腦下載病毒文件並執行,因此整個傳播和攻擊過程不需要人為幹預。只要這些用戶的電腦沒有打補丁,沒有聯網,就有可能被感染。這種攻擊很像當年的沖擊波,會讓系統文件崩潰,導致電腦反復重啟。目前已造成數千萬美元的損失。