文章大纲：

• 1、熊猫烧香是什么病毒？当年对计算机产生了多大的危害？
• 2、熊猫病毒是什么时候爆发的
• 3、当年熊猫烧香病毒火到什么程度？
• 4、什么是熊猫病毒?
• 5、熊猫病毒在哪一年爆发a，2006年b，2007年c，2008年d，2009年
• 6、简述病毒与木马的相同点与不同点，还有病毒和木马的代表事件

熊猫烧香是什么病毒？当年对计算机产生了多大的危害？

说起熊猫烧香，估计还有不少人对于这个曾经给计算机系统带来破坏性影响的病毒谈之色变，哪怕是放在整个中国互联网历史上，熊猫烧香依旧可以说排的上前三，甚至排在之一都不为过。编写它的人更是在这个事件之后，被网友们称之为毒王。

1982年7月出生于湖北省武汉市新洲区李集街的他，和大部分80后一样成为了之一批互联网的用户，但不同于大部分只是将电脑当成娱乐项目的人，李军对于计算机技术有着过人的天赋，然而可惜的是这一份天赋，是在他误入歧途之后才被众人所发现。

最初的李俊只是一位读过两年中专，连高中都没机会上，整天沉迷网吧的“差学生”，在读了两年中专毕业后，诺大的武汉连一个水泥工的工作都不肯给他，后来在网吧呆的时间久了，他越来越羡慕程序员的工作。为此，他不惜只身南下广州和深圳，为了就是能在那里找到欣赏自己的“伯乐”，但他的低学历限制了老板们对他的想象力，他的求职简历一次次石沉大海。

遭遇到的冷眼多了，他心里反而有一个坚定的决定：弄出一个电脑病毒，让他们认识认识我！没有人能想到，当初年仅24岁的李俊，会掀起一场让中国整个互联网都为之动荡的轩然 *** 。

时间来到2006年12月，一种被称为“尼姆亚”的新型病毒在互联网上开始爆发，不过在当年电脑病毒或者说电脑中病毒几乎是所有网民们的必经阶段，所以这个时候的尼姆亚还未被网警以及网友们高度重视，以至于留给了“尼姆亚”大规模扩散的时间，而时间仅仅过去两个月，“尼姆亚”便以迅雷不及掩耳之势感染入侵了数百万台电脑，并且还拥有了一个自己的专属外号“熊猫烧香”，与曾经同样风靡一时的灰鸽子病毒相比熊猫烧香更具备杀伤力以及破坏性，一旦被感染对于网民们来说绝对是灾难性打击。

病毒能终止大量的反病毒软件进程，并且会删除扩展名为gho的文件，使用户无法使用ghost软件恢复操作系统，紧接着熊猫烧香会感染感染系统后缀为exe，com，pif，src，html，asp等文件，并在这之中添加病毒网址，导致用户一打开这些网页之时，浏览器就会自动连接到指定的病毒网址中下载病毒，并且还会在系统中生成文件autorun.inf和setup.exe，可以通过U盘和移动硬盘等方式进行传播，并且利用Windows系统的自动播放功能来运行，搜索硬盘中的.exe可执行文件并感染，感染后的文件图标变成“熊猫烧香”图案。

熊猫烧香会持续不断的攻击你的电脑，出现无数弹窗，直到你的电脑出现蓝屏、反复重启、系统瘫痪为止。而在到达这一地步之后，你能做的就是切断电源。

对于一些网站编辑人员来说，熊猫烧香更是噩梦中的噩梦了，它还会在中毒电脑中所有的网页文件尾部添加病毒代码，这也是熊猫烧香一种更强、更快的传播方式，许多网站编辑人员在感染熊猫烧香之后，继续上传网页到网站，那么所有点击此网页的用户都会被感染“熊猫烧香”病毒，多家著名企业也因此而中招。据不完全统计，直到李俊被抓之前，中毒企业和 *** 机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

可能有的人要说，我可以用杀毒软件进行杀毒或者重装系统不就好了？当时这么做的人并不少，但熊猫烧香也早就防着你这一手，它对杀毒软件有着很强的抵抗力，能自动搜索桌面窗口并关闭窗口中带有“杀毒”“防火墙”“木马检测”“毒霸”等等字样的程序。至于重装更是连门都没有，在你感染病毒的时候它就已经为自己留好备份等待你进行重装了，除非你格式化硬盘然后再重装，这也是当时唯一可行的解决办法了。但要知道当时可是2007年，那时候别说格式化重装系统这种操作了，估计不少人的杀毒软件都是找别人帮忙下载。对于一些专门用来储存工作文件的电脑来说，这无疑是毁灭性的打击。

熊猫烧香对企业以及个人带来了不可估量的财产以及经济损失，同时也让整个社会不得不开始重视起来。湖北公安厅2007年2月12日宣布，李俊及其团伙已全部落网，2007年9月24日，“熊猫烧香”计算机病毒制造者及主要传播者李俊等4人，被湖北省仙桃市人民法院以破坏计算机信息系统罪判处有期徒刑四年，其余几人被判一年到两年半不等。

纵观整个互联网历史，这样的案件也是首例，其代表意义无需多说，但你以为李俊几人的落网就代表此次案件已经结束了吗？尽管已经无法研究新的病毒或者继续升级熊猫烧香，但各大杀毒软件依旧对熊猫烧香束手无策，并且已经有许多黑客开始接手使用，导致在李俊落网后熊猫烧香非但没有得到抑制，反而还在继续快速的传播开来，而面对这种情况，当下也只有一个办法，那就是解铃还须系铃人，让李俊在狱中亲自指导进行反病毒程序的编写。最后，熊猫烧香得到控制，李俊也因在狱中表现良好得到了一定程度的减刑。

这么多年过去，曾经那个令人闻风丧胆的熊猫烧香，已经成为许多程序员手中的小玩具和茶余饭后的笑谈，就像无数曾经令人束手无策的病毒一样，随着技术的进步，如今也只能沦为过去，但互联网的江湖，并不会因为李俊的离去而产生多大的改变，相反的更多的精彩故事此时正在这一条时间线中不断的酝酿着。

但不论如何发展，安全这一命题的重要性在互联网行业中永远都是位列首位，在这个 *** 时代中，如何保障数据安全、系统安全、信息安全等等，是我们在发展中首要去考虑的问题。若您需要了解 *** 安全产品，诸如防火墙、安全审计、安全检测等等，可以关注和私信小编哦，各种大厂任你挑选，优惠力度也绝对出乎您所料！

熊猫病毒是什么时候爆发的

病毒名称：Worm.WhBoy.h 病毒中文名：熊猫烧香(武汉男生) 病毒类型：蠕虫 危险级别：★★★★★ 影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 专杀工具：金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具 病毒描述： “武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件 病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe 2:添加注册表自启动 病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe 3:病毒行为 a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序： *** Kav、 *** AV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、 *** 病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statu *** ar32、pjf(ustc)、IceSword 并使用的键盘映射的 *** 关闭安全软件IceSword 添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe 并中止系统中以下的进程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享 d:每隔6秒删除安全软件在注册表中的键值 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00 删除以下服务: navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc e:感染文件 病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone g:删除文件 病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

当年熊猫烧香病毒火到什么程度？

在“熊猫烧香”病毒流行之初，某防毒软件厂商就在病毒代码内找到一个与功能无关的词语：“wh鄄boy”。这是作者的签名，是“武汉男孩”的中英文混合缩写。whboy曾经是病毒界一个响当当的人物，早在2004年就创造了一种通过 *** 传播的盗号木马病毒，因为该病毒变种的疯狂和传播的广泛，一年后，被防毒软件厂商列入2005年十大病毒之一。 此后，whboy还在一些地下的病毒论坛和黑客论坛发帖，表示可以提供盗取 *** 号服务，但不久后便销声匿迹，直至“熊猫烧香”病毒的出现才重现江湖。

当时杀毒软件判断病毒用的是，最简单粗暴的病毒库，这种判断 *** 只能判断，病毒库中已有的病毒，而对新出现的病毒的判断能力为零

与此同时，在杀毒软件眼中，无论是100%新 *** 的病毒，还是在老病毒的基础上改几行代码，编出来的病毒，都是新病毒。

于是在2007年底，熊猫变种病毒开始发作时，瑞星就顺势推出，瑞星杀毒软件2007版

奇虎360也开始注意了杀毒软件的市场，2008年推出了自己的杀毒软件360杀毒

也可以说，有了熊猫病毒才有了后来的金山 360，才有了中国互联网网民的安全意识。

什么是熊猫病毒?

病毒名称：Worm.WhBoy.h

病毒中文名：熊猫烧香(武汉男生)

病毒类型：蠕虫

危险级别：★★★★★

影响平台：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

专杀工具：金山专杀工具 安天专杀工具 江民专杀工具 安博士专杀工具 赛门铁克专杀工具

病毒描述：

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

1:拷贝文件

病毒运行后,会把自己拷贝到C:\WINDOWS\System32\Drivers\spoclsv.exe

2:添加注册表自启动

病毒会添加自启动项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

3:病毒行为

a:每隔1秒寻找桌面窗口,并关闭窗口标题中含有以下字符的程序：

*** Kav、 *** AV、防火墙、进程、VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、 *** 病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、msctls_statu *** ar32、pjf(ustc)、IceSword

并使用的键盘映射的 *** 关闭安全软件IceSword

添加注册表使自己自启动 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run svcshare - C:\WINDOWS\System32\Drivers\spoclsv.exe

并中止系统中以下的进程:

Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe

b:每隔18秒点击病毒作者指定的网页,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

c:每隔10秒下载病毒作者指定的文件,并用命令行检查系统中是否存在共享，共存在的话就运行net share命令关闭admin$共享

d:每隔6秒删除安全软件在注册表中的键值

并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue - 0x00

删除以下服务:

navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc

e:感染文件

病毒会感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件：

WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone

g:删除文件

病毒会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件使用户的系统备份文件丢失。

参考资料：

熊猫病毒在哪一年爆发a，2006年b，2007年c，2008年d，2009年

2007年1月7日，国家计算机病毒应急处理中心发出“熊猫烧香”的紧急预警。

简述病毒与木马的相同点与不同点，还有病毒和木马的代表事件

木马不是病毒

木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴

区别：

计算机病毒具有如下几个特征：感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性

病毒是最早出现的计算机恶意程序

所以我们以病毒为标杆，拿其他类型的恶意程序来对比一下就知道有什么区别了

首先是您关心的木马：

木马并不具有感染性，木马并不会使那些正常的文件变成木马，但病毒可以感染正常文件使其成为病毒或者病毒传播的介质

木马不具有隐藏性和潜伏性，木马程序都是我们看得到的，并没有把自己隐藏起来，也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作，木马只是伪装成一个你想要使用的正常程序，甚至具有正常程序的一切功能，当你使用这些正常的功能的同时，木马的行为也就同时发作了。

木马没有破坏性，纯粹的木马旨在盗取用户资料，取得用户的信息，并不会破坏用户的系统。

从上面几点就能很清楚的看出木马和病毒的区别了

蠕虫不感染、不隐藏、不破坏计算机，它是通过阻塞 *** 或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃

后门程序则本身是正常程序，或出于某种恶意的设计或出于疏忽大意，这些正常程序中留有可能被利用来破坏计算机的漏洞，就成为了后门程序……前些时间被炒的沸沸扬扬的暴风影音后门事件就是暴风影音处于商业利益诱导留的一个后门，最终被黑客利用制造了极大的破坏。

虽说有区别，不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机，他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了，这种木马其实是木马和病毒的混合体，同样的，也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可，他们之间的界限正在慢慢模糊～

至于代表事件

传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：

• 开机型

米开朗基罗病毒，潜伏一年，"硬"是要得（这个没看懂）

• 文件型

(1)非常驻型

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

(2)常驻型

Friday 13th黑色（13号）星期五-"亮"出底细

• 复合型

Flip 翻转-下午4：00 屏幕倒立表演准时开始

• 隐形飞机型

FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表

• 千面人

PE_MARBURG -掀起全球"战争游戏"

• 文件宏

Taiwan NO.1 文件宏病毒-数学能力大考验

• 特洛伊木马病毒 VS.计算机蠕虫

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

• 黑客型病毒

Nimda 走后门、发黑色信件、瘫痪 ***

认识计算机病毒与黑客

2.1开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的之一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 ＠实例

Michelangelo米开朗基罗病毒-潜伏一年，"硬"是要得

发病日： 3月6日

发现日：1991.3

产地：瑞典（也有一说为台湾）

病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区（Partition Table）和开机区（Boot Sector），以及软盘的开机区（Boot Sector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机，如果该磁盘正好感染了米开朗基罗，于是，不管是不是成功的开机，可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到3月6日使用者一开机若出现黑画面，那表示硬盘资料已经跟你说 Bye Bye 了。

历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座

Top

2.2文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

@实例：

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

发病日：10月12日起至12月31日

发现日：1989.3

产地：荷兰

病征：每年10月12日到12月31号之间，除了星期一之外DATA CRIME II 会在屏幕上显示：*DATA CRIME II VIRUS*

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后，会听到BEEP一声当机，从此一蹶不振。

历史意义：虽然声称为杀手，但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

@实例：

Friday 13th黑色（13号）星期五-"亮"出底细

发病日： 每逢13号星期五

发现日：1987

产地：南非

病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快，其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒，如：Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异，其中Friday 13th-C病毒，当它进行感染文件时，屏幕上会显示一行客套语："We hope we haven''t inconvenienced you"

历史意义：为13号星期五的传说添加更多黑色成分

Top

2.3复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观！

＠实例:

Flip 翻转-下午4：00 屏幕倒立表演准时开始

发病日：每月2日

发现日：1990.7

产地：瑞士(也有一说为西德)

病征：每个月 2 号，如果使用被寄生的磁盘或硬盘开机时，则在16 时至16时59分之间，屏幕会呈水平翻动。

历史意义：之一只使具有特异功能的病毒

Top

2.4隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量，把所有受其感染的文件"假还原"，再把"看似跟原来一模一样"的文件丢回给 DOS。

@实例

FRODO 福禄多 -"毒"钟文件配置表

别 名：4096

发现日：1990.1

发病日：9月22日-12月31日

产地：以色列

病征：4096病毒最喜欢感染.COM, .EXE和.OVL文件，顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括：COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时，会发现速度慢很多，因为FAT (文件配置表) 已经被破坏了。此外，9月22日-12月31日会导致系统当机。

历史意义：即使你用DIR 指令检查感染文件，其长度、日期都没有改变，果真是伪装秀的始祖。

Top

2.5千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒，几乎无法找到相同的病毒码。

＠实例

PE_MARBURG -掀起全球"战争游戏"

发病日：不一定（中毒后的3个月）

发现日：1998.8

产地：英国

病征：Marburg 病毒在被感染三个月后才会发作，若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点，若该应用程序在12月15日上午11点再次被执行)，则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。

历史意义：专挑盛行的计算机光盘游戏下毒，1998年更受欢迎的 MGM/EA「战争游戏」，因其中有一个文件意外地感染 Marburg 病毒，而在8 月迅速扩散。

感染 PE_ Marburg 病毒后的 3 个月，即会在桌面上出现一堆任意排序的 "X" 符号

2.6宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

＠实例：

Taiwan NO.1 文件宏病毒- 数学能力大考验

发病日：每月13日

发现日：1996.2

产地：台湾

病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

历史意义：1.台湾本土地一只文件宏病毒。2. 1996年年度杀手，1997年三月踢下米开朗基罗，登上毒王宝座。3. 被列入ICSA（国际计算机安全协会）「In The Wild」病毒数据库。（凡难以驯服、恶性重大者皆会列入此黑名单）

2.7特洛伊木马病毒 VS.计算机蠕虫

特洛依木马（ Trojan ）和计算机蠕虫（ Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

特洛伊木马程序的伪装术

特洛依木马（ Trojan ）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段「木马屠城记」的小故事：

话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国，此举竟引发了为期十年的特洛依大战。然而，这场历经九年的大战，为何在最后一年会竟终结在一只木马上呢？原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马，打算来个"木马屠城计"！希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退，以便诱敌上勾。果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中，打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之际，木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻。顿时之间，一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化碟、删除文件、窃取密码等。

计算机蠕虫在 *** 中匍匐前进

计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机 *** 中爬行，从一台计算机爬到另外一台计算机， *** 有很多种例如透过局域 *** 或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如：" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot（此为计算机病毒特性），而且会通过 Outlook E-mail 大量散播（此为计算机蠕虫特性）。

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"（ExploreZip）。探险虫会覆盖掉在局域 *** 上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域 *** 将自己安装到远程计算机上（此为计算机蠕虫特性）。

＠实例：

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

发病日： 不一定

发现日：1999.6.14

产地：以色列

病征：通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下：Hi Recipient Name!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时，这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒，它会存取使用者的C:到Z:磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).a *** (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)

历史意义：

• 开机后再生，即刻连锁破坏

--传统病毒：立刻关机，重新开机，停止它正进行的破坏行动--探险虫：不似传统病毒，一旦重新开机，即寻找 *** 上的下个受害者

2.8 黑客型病毒

-走后门、发黑色信件、瘫痪 ***

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同之一只病毒 Brain 一样，具有难以抹灭的历史意义。

如同 *** 安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在 *** 上展开新型态的攻击行为。果不其然，在造成全球 26.2 亿美金的损失后， 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在 *** 上大量散播，包含： 电子邮件、 *** 资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的 Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

每一台中了Nimda 的计算机，都会自动扫描 *** 上符合身份的受害目标，因此常造成 *** 带宽被占据，形成无限循环的 DoS阻断式攻击。另外，若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁 *** 安全的新型态病毒，将会是 MIS 人员更大的挑战。"

实例：Nimda

发现日：2001.9

发病日：随时随地

产地：不详

病征：通过eMail、 *** 芳邻、程序安全漏洞，以每 15 秒一次的攻击频率，袭击数以万计的计算机，在 24 小时内窜升为全球感染率之一的病毒

历史意义：

计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让 *** 上的计算机几乎零时差地被病毒攻击

认识计算机病毒与黑客

防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙 」(Firewall)，这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域 *** ，任何不受欢迎的使用者都无法通过防火墙而进入内部 *** 。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让 *** 进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞，大肆为所欲为。

--宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件，其中之一的关键因素是宽带 *** （Broadband）的"always-on" (固接，即二十四小时联机)特性特性所打开的方便之门。

宽带上网，主要是指 Cable modem 与 xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的 *** 拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，"雀屏中选"的机率便大幅提升了。

当我们期望Broadband（宽带 *** ）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带 *** 的美丽新世界。

计算机及 *** 家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上 *** ，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了 *** 安全的严重问题