(//www.tvsmo.com)
【大紀元6月23日訊】 人類進入信息社會創造了智能机器(電子計算机)， 同時也創造了机器病毒，福禍同降。從1983年計算机病毒首次被确認以來，并沒有引起人們的重視。直到1987年，計算机病毒才開始受到世界范圍內的普遍重視。我國于1989年在計算机界發現病毒。至今，全世界已發現近數万种病毒，并且還在高速度地增加。

病毒的花樣不斷翻新，編程手段越來越高，防不胜防。特別是Internet的廣泛應用，
促進了病毒的空前活躍，网絡蠕虫病毒傳播更快更廣，Windows病毒更加复雜，帶有黑客性質的病毒和特洛依木馬等有害代碼大量涌現。

本文中提到的病毒都是作者親自編程殺過的。作者總結了多年的反病毒經驗，提出抗病毒最基本的做法是：一備份，二快升級，三災難恢复。

1、病毒的發展過程

20世紀60年代初，美國貝爾實驗室里，三個年輕的程序員編寫了一個名為“磁芯大戰”的游戲，游戲中通過复制自身來擺脫對方的控制，這就是所謂“病毒”的第一個雛形。

20世紀70年代，美國作家雷恩在其出版的《P1的青春》一書中构思了一种能夠自我复制的計算机程序，并第一次稱之為“計算机病毒”。

1983年11月，在國際計算机安全學術研討會上，美國計算机專家首次將病毒程序在VAX/750計算机上進行了實驗，世界上第一個計算机病毒就這樣出生在實驗室中。

20世紀80年代后期，巴基斯坦有兩個以編軟件為生的兄弟，他們為了打擊那些盜版軟件的使用者，設計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導區。這就是最早在世界上流行的一個真正的病毒。

1988年至1989年，我國也相繼出現了能感染硬盤和軟盤引導區的Stoned(石頭)病毒，該病毒體代碼中有明顯的標志“Your PC is now Stoned!”、“LEGALISE MARIJUANA！”，也稱為“大麻”病毒等。

20世紀90年代初，感染文件的病毒有Jerusalem(黑色13號星期五)、 Yankee Doole、 Liberty、 1575、 Traveller、1465、2062、4096等，主要感染.COM和.EXE文件。這類病毒修改了部分中斷向量表，被感染的文件明顯增加了字節數，并且病毒代碼主體沒有加密，也容易被查出和解除。這些病毒中，略有對抗反病毒手段的只有Yankee Doole病毒，當它發現你用Debug工具跟蹤它的話，它會自動從文件中逃走。

接著， 又一些能對自身進行簡單加密的病毒相繼出現，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它們加密的目的主要是防止跟蹤或掩蓋有關特征等。在內存有1741病毒時， 用DIR列目錄表，病毒會掩蓋被感染文件所增加的字節數，使人看起來字節數很正常。

以后又出現了引導區、文件型“雙料”病毒，這類病毒既感染磁盤引導區，又感染可執行文件。

1992年以來，DIR2-3、DIR2-6、New DIR2病毒以一种全新的面貌出現，具有極強感染力，無任何表現，不修改中斷向量表而直接修改系統關鍵中斷的內核，修改可執行文件的首簇數，將文件名字与文件代碼主體分离。在系統有此病毒的情況下，就像一切沒發生一樣。但你用無病毒的文件去覆蓋有病毒的文件時，災難就會發生，全盤所有被感染的可執行文件內容都是剛覆蓋進去的文件內容。這是病毒“我死你也活不成”的罪惡伎倆。該病毒的出現，使病毒又多了一种新類型。

20世紀內，決大多數病毒是基于DOS系統的，有80%的病毒能在Windows中傳染。TPVO/3783病毒是“雙料性”(傳染引導區、文件)、“雙重性”(DOS、Windows)病毒，這是病毒隨著操作系統發展而發展。當然，Internet的廣泛應用，Java惡意代碼病毒也出現了。

近几年，出現了近万种Word(MACRO宏)病毒，并以迅猛的勢頭發展，已形成了病毒的另一大派系。由于宏病毒編寫容易，不分操作系統，再加上Internet网上用Word格式文件進行大量的交流，宏病毒會潛伏在這些Word文件里，被人們在Internet网上傳來傳去。

早在1995年時，出現了一個更危險的信號，在我們對眾多的病毒剖析中，發現部分病毒好像出于一個家族，其“遺傳基因”相同，簡單地說，就是“同族”病毒，但絕不是其他好奇者簡單地修改部分代碼而產生的“改形”病毒。

“改形”病毒的定義与“原种”病毒的代碼長度相差不大，絕大多數病毒代碼与“原种”的代碼相同， 并且相同的代碼其位置也相同， 否則就是一种新的病毒。

大量具有相同“遺傳基因”的“同族”病毒的涌現，使人不得不怀疑“病毒生產机”軟件已出現。1996年下半年在國內終于發現了“G2、IVP、VCL”三种“病毒生產机軟件”，不法之徒可以用來編出千万种新病毒。目前國際上已有上百种“病毒生產机”軟件。

這种“病毒生產机”軟件可以不用絞盡腦汁地去編程序，便輕易地自動生產出大量的“同族”新病毒。這些病毒代碼長度各不相同，自我加密、解密的密鑰也不相同，原文件頭重要參數的保存地址不同，病毒的發作條件和現象不同，但是，這些病毒的主體构造和原理基本相同。

危机一個接一個，网絡蠕虫病毒I-WORM.AnnaKournikova，就是一种VBS/I-WORM病毒生產机生產的，它一出來，短時間內就傳遍了全世界。這种病毒生產机也傳到了我國。

Windows 9x、Win 2000操作系統的發展，也使病毒种類隨其變化而變化。

病毒的种類、傳染和攻擊的手法越來越高超，一种流傳到國內的“子母彈”病毒Demiurg，被反病毒應急中心捕獲。該病毒被激活后，會像“子母彈”一樣，分裂出多种類型的病毒來分別攻擊并感染計算机內不同類型的文件。

該病毒感染文件的類型比較多，它既感染DOS可執行程序、批處理文件、Windows的可執行程序，而且還感染Excel 97/2000文件。

Internet网的發展，激發了病毒更加廣泛的活力。病毒通過网絡的快速傳播和破坏，為世界帶來了一次一次的巨大災難。

1999年2月，“美麗莎”病毒席卷歐美大陸，是世界上最大的一次病毒浩劫，也是最大的一次网絡蠕虫大泛濫。

1998年2月，台灣省的陳盈豪，編寫出了破坏性極大的Windows惡性病毒CIH-1.2版，并定于每年的4月26日發作破坏，然后，悄悄地潛伏在网上的一些供人下載的軟件中。可是，兩個月的時間，被人下載的不多，到了4月26日，病毒只在台灣省少量發作，并沒引起重視。陳盈豪又炮制了CIH-1.3版，并將破坏時間設在6月26日。7月，又炮制出了CIH-1.4版。這次，他干脆將破坏時間設為每個月的26日。

就在那一年，很不巧的是，當時正在上映的電視劇女主角“小龍女”的肖像被廣泛用在計算机中的屏幕保護程序中，CIH-1.2、CIH-1.4病毒也被悄悄注進該程序，大量的用戶從网上下載使用，三种版本的CIH病毒被廣泛擴散，當時的反病毒公司也沒有及時發現。因此，這种全新的Windows病毒到處傳播，危机的陰影迅速籠罩著四方。

一個月后，也就是到了1998年8月26日，CIH-1.4病毒首先跳出來發作。

1999年4月26日，一個計算机行業難以忘卻的日子，也就是到了CIH-1.2病毒第二年的發作日，人們起早一上班輕松打開計算机准備工作，可是，打開一台計算机后，只看到屏幕一閃就黑暗一片。再打開另外几台，也同樣一閃后就再也啟動不起來了……，計算机史上，病毒造成的又一次巨大的浩劫發生了。

隨著Internet网的發展，使病毒傳播更加方便、更加廣泛，网絡蠕虫病毒已成為病毒主力，這應使我們嚴加防范。

(賽迪网-中國計算机報) (//www.dajiyuan.com)

    相關文章