计算机病毒的发展史

26年前的今天，第一个已知概念的计算机病毒是在公***场所展示，电脑病毒以自我复制代码的理念让计算机安全的概念彻底改变。

数年后，第一个广泛繁殖的蠕虫病毒爆发，遍布全球成千上万台电脑，多年以后，当互联网连接在家庭中也非常常见时，病毒的大规模感染已经成为常态，每年我们都能听到各种新的威胁，例如耗尽您的银行账户，带动百万台PC实行拒绝服务等等。计算机病毒一直在继续演变，我们需要有更聪明的办法来处理威胁。

电脑病毒最初的历史，可以追溯至一九八二年。当时，电脑病毒这个名词还未正式被定义。该年，RichSkerta撰写了一个名为"ElkCloner"的电脑程式，使其成为了电脑病毒史上第一种感染个人电脑（AppleII）的电脑病毒，它以软磁碟作传播媒介，破坏程度可说是相当轻微，受感染电脑只会在萤光幕上显示一段小小的诗句:

Itwillinfiltrateyourchips

Itwillsticktoyoulikeglue,

Itwillmodifyramtoo

SendintheCloner!"

1984―电脑病毒正式被定义

FredCohen于一九八四发表了一篇名为"电脑病毒―理论与实验（ComputerViruses―TheoryandExperiments）"的文章，当中除了为"电脑病毒"一词下了明确的定义外，也描述了他与其他专家对电脑病毒研究的实验成果。

1986―首种广泛传播于MS-DOS个人电脑系统的电脑病毒

首宗恶意并广泛传播的电脑病毒始于一九八六年，该种电脑病毒名为"脑（Brain）"，由两位巴基斯坦籍的兄弟所编写，能破坏电脑的起动区（boot-sector），亦被视为第一只能透过自我隐藏来逃避侦测的病毒。

1987―档案感染型病毒（Lehigh和圣诞虫ChristmasWorm）

一九八七年，Lehigh病毒于美国Lehigh大学被发现，是首只档案感染型病毒（Fileinfectors）。档案感染型病毒主要通过感染.COM档案和.EXE档案，来破坏资料、损毁档案配置表（FAT）或在染毒档案执行的过程中感染其它程式。

1988―首种Macintosh电脑病毒的出现以及CERT组织的成立

第一种袭击麦金塔（Macintosh）电脑的病毒MacMag在这年出现，而"互联网虫"（InternetWorm）亦引起了第一波的互联网危机。同年，世界第一队电脑保安事故应变队伍（ComputerSecurityResponseTeam）成立并不断发展，也就演变成为今天著名的电脑保安事故应变队伍协调中心（CERTRCoordinationCenter，简称CERTR/CC）。

1990―首个病毒交流布告栏上线和防毒产品的出现

首个病毒交流布告栏（VirusExchangeBulletinBoardService,简称VXBBS）于保加利亚上线，藉以给病毒编程者交换病毒程式码及心得。同年，防毒产品如McAfeeScan等开始粉墨登场。

1995―巨集病毒的出现

在windows95作业平台初出现时，运行于DOS作业系统的电脑病毒仍然是电脑病毒的主流，而这些以DOS为本的病毒往往未能复制到windows95作业平台上运行。不过，正当电脑用家以为可以松一口气的时候，于一九九五年年底，首种运行于MS-Word工作环境的巨集病毒（MacroVirus），也正式面世。

1996―Windows95继续成为袭击目标,Linux作业平台也不能幸免(J这年，巨集病毒Laroux成为首只侵袭MSExcel档案的巨集病毒。而Staog则是首只袭击Linux作业平台的电脑病毒。

BackOrifice让骇客透过互联网在未授权的情况下遥距操控另一部电脑，此病毒的命名也开了微软旗下的Microsoft'sBackOffice产品一个玩笑。

1999―梅莉莎（Melissa）及CIH病毒

梅莉莎为首种混合型的巨集病毒—它透过袭击MSWord作台阶，再利用MSOutlook及OutlookExpress内的地址簿，将病毒透过电子邮件广泛传播。该年四月，CIH病毒爆发，全球超过6000万台电脑被破坏。

2000―拒绝服务（DenialofService）和恋爱邮件（LoveLetters）"ILoveYou"是次拒绝服务袭击规模很大，致使雅虎、亚马逊书店等主要网站服务瘫痪。同年，附著"ILoveYou"电邮传播的VisualBasic脚本病毒档更被广泛传播，终令不少电脑用户明白到小心处理可疑电邮的重要性。该年八月，首只运行于Palm作业系统的木马（Trojan）程式―"自由破解（LibertyCrack）"，也终于出现了。这个木马程式以破解Liberty（一个运行于Palm作业系统的Gameboy模拟器）作诱饵，致使用户在无意中把这病毒透过红外线资料交换或以电邮的形式在无线网中把病毒传播。

2002―强劲多变的混合式病毒:求职信（Klez）及FunLove

"求职信"是典型的混合式病毒，它除了会像传统病毒般感染电脑档案外，同时亦拥有蠕虫（worm）及木马程式的特徵。它利用了微软邮件系统自动运行附件的安全漏洞，藉著耗费大量的系统资源，造成电脑运行缓慢直至瘫痪。该病毒除了以电子邮件作传播途径外，也可透过网络传输和电脑硬碟***享把病毒散播。

自一九九九年开始，Funlove病毒已为伺服器及个人电脑带来很大的烦脑，受害者中不乏著名企业。一旦被其感染，电脑便处于带毒运行状态，它会在创建一个背景工作线程，搜索所有本地驱动器和可写入的网络资源，继而在网络中完全***享的文件中迅速地传播。)

2003―冲击波（Blaster）and大无极（SOBIG）

{"冲击波"病毒于八月开始爆发，它利用了微软作业系统Windows2000及WindowsXP的保安漏洞，取得完整的使用者权限在目标电脑上执行任何的程式码，并透过互联网，继续攻击网络上仍存有此漏洞的电脑。由于防毒软件也不能过滤这种病毒，病毒迅速蔓延至多个国家，造成大批电脑瘫痪和网络连接速度减慢。

继"冲击波"病毒之后，第六代的"大无极"电脑病毒（SOBIG.F）肆虐，并透过电子邮件扩散。该"大无极"病毒不但会伪造寄件人身分，还会根据电脑通讯录内的资料，发出大量以‘Thankyou!'，‘Re:Approved'等为主旨的电邮外，此外，它也可以驱使染毒的电脑自动下载某些网页，使编写病毒的作者有机会窃取电脑用户的个人及商业资料。

2004―悲惨命运（MyDoom）、网络天空（NetSky）及震荡波（Sasser）

"悲惨命运"病毒于一月下旬出现，它利用电子邮件作传播媒介，以"MailTransactionFailed"、"MailDeliverySystem"、"ServerReport"等字眼作电邮主旨，诱使用户开启带有病毒的附件档。受感染的电脑除会自动转寄病毒电邮外，还会令电脑系统开启一道后门，供骇客用作攻击网络的仲介。它还会对一些著名网站（如SCO及微软）作分散式拒绝服务攻击（DistributedDenialofService,DDoS），其变种更阻止染毒电脑访问一些著名的防毒软件厂商网站。由于它可在三十秒内寄出高达一百封电子邮件，令许多大型企业的电子邮件服务被迫中断，在电脑病毒史上，其传播速度创下了新纪录。

防毒公司都会以A、B、C等英文字母作为同一只病毒变种的命名。网络天空（NetSky）这种病毒，被评为史上变种速度最快的病毒，因为它自二月中旬出现以来，在短短的两个月内，其变种的命名已经用尽了26个英文字母，接踵而至的是以双码英文字母名称如NetSky.AB。它透过电子邮件作大量传播，当收件人运行了带著病毒的附件后，病毒程式会自动扫瞄电脑硬盘及网络磁碟机来搜集电邮地址，透过自身的电邮发送引擎，转发伪冒寄件者的病毒电邮，而且病毒电邮的主旨、内文及附件档案名称都是多变的。

"震荡波"病毒与较早前出现的冲击波病毒雷同，都是针对微软视窗作业系统的保安漏洞，也不需依赖电子邮件作传播媒介。它利用系统内的缓冲溢位漏洞，导致电脑连续地重新开机并不断感染互联网上其他电脑。以短短18天的时间，它取代了冲击波，创下了修补程式公布后最短攻击周期纪录

现在人都知道有电脑病毒，不过，你真正地了解它吗？希望本文能够让你更深刻地认识病毒，提高我们的安全意识。

电脑病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。从广义上定义，凡能够引起电脑故障，破坏电脑数据的程序统称为电脑病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为电脑病毒。在国内，专家和研究者对电脑病毒也做过不尽相同的定义，但一直没有公认的明确定义。

二、病毒的命名

病毒的命名没有固定的方法，有的按病毒第一次出现的地点来命名，如“ZHENJIANG_JES”其样本最先来自镇江某用户。也有的按病毒中出现的人名或特征字符，如“ZHANGFANG—1535”，“DISKKILLER”，“上海一号”。有的按病毒发作时的症状命名，如“火炬”，“蠕虫”。当然，也有按病毒发作的时间来命名的，如“NOVEMBER9TH”在11月9日发作。有些名称包含病毒代码的长度，如“PIXEL.xxx”系列，“KO.xxx”等体。

三、电脑病毒的发展趋势

在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。同时，操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。总的说来，病毒可以分为以下几个发展阶段：

DOS引导阶段

1987年，电脑病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。由于，那时的电脑硬件较少，功能简单，一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作，修改系统启动扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。

DOS可执行阶段

1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”，“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，发展为复合型病毒，可感染COM和EXE文件。

伴随体型阶段

1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表的是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。

变形阶段

1994年，汇编语言得到了长足的发展。要实现同一功能，通过汇编语言可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒—幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除

变种阶段

1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表作品—“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征识别法，而需要在宏观上分析命令，解码后查解病毒，大大提高了复杂程度。

网络、蠕虫阶段.

1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

窗口阶段

1996年，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改（NE，PE）文件，典型的代表是DS.3873，这类病毒的急智更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂

宏病毒阶段

1996年，随着MSOffice功能的增强及盛行，使用Word宏语言也可以编制病毒，这种病毒使用类Basic语言，编写容易，感染Word文件文件。由于Word文件格式没有公开，这类病毒查解比较困难。

互联网、感染邮件阶段

1997年，随着因特网的发展，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件，电脑就有可能中毒。

爪哇、邮件炸弹阶段

1997年，随着互联网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

四、病毒的演化及发展过程

当前电脑病毒的最新发展趋势主要可以归结为以下几点：

1.病毒在演化，任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，病毒在不断的演化，使杀毒软件更难检测。

2.千奇百怪病毒出现

现在操作系统很多，因此，病毒也瞄准了很多其他平台，不再仅仅局限于MicrosoftWindows平台了。

3.越来越隐蔽

一些新病毒变得越来越隐蔽，同时新型电脑病毒也越来越多，更多的病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如一个人能够“变脸”一样，检测和杀除这种病毒非常困难。同时，制造病毒和查杀病毒永远是一对矛盾，既然杀毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。因此，反病毒还需要很多专家的努力！