文章大纲：

• 1、求教下，谁是之一个做出木马病毒的人
• 2、简述病毒与木马的相同点与不同点，还有病毒和木马的代表事件
• 3、历史计算机病毒事件
• 4、到底是什么时候开始有木马病毒的？

求教下，谁是之一个做出木马病毒的人

磁芯大战--之一个电脑病毒

电脑病毒并非是最近才出现的新产物 ,事实上 ,早在一九四九年 ,距离之一部商用电脑的出现仍有好几年时 ,电脑的先驱者约翰.范纽曼(John Von Neumann)在他所提出的一篇论文《复杂自动装置的理论及组织的进行》里,即已把病毒程式的蓝图勾勒出来 ,当时 ,绝大部份的电脑专家都无法想像这种会自我繁植的程式是可能的 ,可是少数几个科学家默默的研究范纽曼的所提出的概念 ,直到十年之后 ,在美国 *** 电报公司(ATT) 的贝尔(Bell)实验室中 ,这些概念在一种很奇怪的电子游戏中成形了 ,这种电子游戏叫做 “磁蕊大战”(core war)。

磁蕊大战是当时贝尔实验室中三个年轻程式人员在工余想出来的 ,他们是道格拉斯麦耀莱(H, Douglas McIlroy) ,维特.维索斯基(Victor Vysottsky)以及罗伯.莫里斯(Robert T. Morris) ,当时三人年纪都只有二十多岁。

附注: Robert T. Morris 就是后来写了一个 Worm ,把 Internet 搞的天翻地覆的那个 Robert T. Morris Jr.(上图) 的爸爸 ,当时大 Morris 刚好是负责 Arpanet网路安全 。

磁芯大战的玩法如下:两方各写一套程式, 输入同一部电脑中, 这两套程式在电脑? 记忆系统内互相追杀,有时它们会放下一些关卡,有时会停下来修理(重新写)被对方破坏的几行指令 ;当它被困时,也可以把自己复制一次,逃离险境,因为它们都 在电脑的记忆磁芯中游走,因此得到了磁芯大战之名.

这个游戏的特点,在於双方的程式进入电脑之后,玩游戏的人只能看著萤幕上显示的战况,而不能做任何更改,一直到某一方的程式被另一方的程式完全 [吃掉] 为止.磁芯大战是个笼统的名称,事实上还可细分成好几种,麦耀莱所写的程式叫[达尔 文]这包含了 [物竞天择,适者生存] 的意思 . 它的游戏规则跟以上所描述的最接近,双方以组合语言 (Assembly Language) 各写一套程式,叫有机体(organi *** ),这两个机体在电脑里争斗不休,直到一方把另一方杀掉而取代之,便算分出胜负. 在比赛 时 Morris 经常匠心独具,击败对手.

另外有个叫爬行者程式(Creeper)的,每一次把它读出时,它便自己复制一个副本.此外,它也会从一部电脑 [爬]到另一部有连线的电脑.很快地电脑中原有资料便被这些爬行者挤掉了.爬行者的微一生存目地是繁殖.

为了对付[爬行者],有人便写出了[收割者](Reaper).它的唯一生存目的便是找到爬行者,把它们毁灭掉.当所有爬行者都被收割掉之后,收割者便执行程式中最后一项指令:毁灭自己,从电脑中消失.

[侏儒](Dwarf)并没有达尔文等程式聪明.却可是个极端危险人物.它在记忆系统中迈进,每到第五个[地址] (address)便把那里所储存的东西变为零,这会使的原本的程式停摆.

最奇特的就是一个叫[印普](Imp)的战争程式了,它只有一行指令,那就是 MOV 01 。MOV是[MOVE]的代表,即移动的意思. 它把身处的地址中所载的[0]写(移)到下一个地址中,当印普展开行动之后,电脑中原有的每一行指令都被改为[MOV 01].换句 话说, 萤光幕上留下一大堆[MOV 01].

[双子星](Germini)也是个有趣的家伙.它的作用只有一个:把自己复制,送到下一百个地址后,便抛弃掉[正本].

从双子星衍生出一系列的程式.[牺牲者](Juggeraut)把自己复制后送到下十个地址之后;而[大雪人](Bigfoot)则把正本 和复制品之间的地址定为某一个大质数.想抓到大雪人可是非常困难的.此外, 还有全录(Xerox)柏路阿图研究中心的约翰.索 殊(John F.Shoch)所写的[蠕虫](Worm),它的目的是要控制侵入的电脑.

简述病毒与木马的相同点与不同点，还有病毒和木马的代表事件

木马不是病毒

木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴

区别：

计算机病毒具有如下几个特征：感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性

病毒是最早出现的计算机恶意程序

所以我们以病毒为标杆，拿其他类型的恶意程序来对比一下就知道有什么区别了

首先是您关心的木马：

木马并不具有感染性，木马并不会使那些正常的文件变成木马，但病毒可以感染正常文件使其成为病毒或者病毒传播的介质

木马不具有隐藏性和潜伏性，木马程序都是我们看得到的，并没有把自己隐藏起来，也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作，木马只是伪装成一个你想要使用的正常程序，甚至具有正常程序的一切功能，当你使用这些正常的功能的同时，木马的行为也就同时发作了。

木马没有破坏性，纯粹的木马旨在盗取用户资料，取得用户的信息，并不会破坏用户的系统。

从上面几点就能很清楚的看出木马和病毒的区别了

蠕虫不感染、不隐藏、不破坏计算机，它是通过阻塞 *** 或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃

后门程序则本身是正常程序，或出于某种恶意的设计或出于疏忽大意，这些正常程序中留有可能被利用来破坏计算机的漏洞，就成为了后门程序……前些时间被炒的沸沸扬扬的暴风影音后门事件就是暴风影音处于商业利益诱导留的一个后门，最终被黑客利用制造了极大的破坏。

虽说有区别，不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机，他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了，这种木马其实是木马和病毒的混合体，同样的，也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可，他们之间的界限正在慢慢模糊～

至于代表事件

传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：

• 开机型

米开朗基罗病毒，潜伏一年，"硬"是要得（这个没看懂）

• 文件型

(1)非常驻型

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

(2)常驻型

Friday 13th黑色（13号）星期五-"亮"出底细

• 复合型

Flip 翻转-下午4：00 屏幕倒立表演准时开始

• 隐形飞机型

FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表

• 千面人

PE_MARBURG -掀起全球"战争游戏"

• 文件宏

Taiwan NO.1 文件宏病毒-数学能力大考验

• 特洛伊木马病毒 VS.计算机蠕虫

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

• 黑客型病毒

Nimda 走后门、发黑色信件、瘫痪 ***

认识计算机病毒与黑客

2.1开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的之一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 ＠实例

Michelangelo米开朗基罗病毒-潜伏一年，"硬"是要得

发病日： 3月6日

发现日：1991.3

产地：瑞典（也有一说为台湾）

病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区（Partition Table）和开机区（Boot Sector），以及软盘的开机区（Boot Sector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机，如果该磁盘正好感染了米开朗基罗，于是，不管是不是成功的开机，可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到3月6日使用者一开机若出现黑画面，那表示硬盘资料已经跟你说 Bye Bye 了。

历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座

Top

2.2文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

@实例：

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

发病日：10月12日起至12月31日

发现日：1989.3

产地：荷兰

病征：每年10月12日到12月31号之间，除了星期一之外DATA CRIME II 会在屏幕上显示：*DATA CRIME II VIRUS*

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后，会听到BEEP一声当机，从此一蹶不振。

历史意义：虽然声称为杀手，但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

@实例：

Friday 13th黑色（13号）星期五-"亮"出底细

发病日： 每逢13号星期五

发现日：1987

产地：南非

病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快，其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒，如：Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异，其中Friday 13th-C病毒，当它进行感染文件时，屏幕上会显示一行客套语："We hope we haven''t inconvenienced you"

历史意义：为13号星期五的传说添加更多黑色成分

Top

2.3复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观！

＠实例:

Flip 翻转-下午4：00 屏幕倒立表演准时开始

发病日：每月2日

发现日：1990.7

产地：瑞士(也有一说为西德)

病征：每个月 2 号，如果使用被寄生的磁盘或硬盘开机时，则在16 时至16时59分之间，屏幕会呈水平翻动。

历史意义：之一只使具有特异功能的病毒

Top

2.4隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量，把所有受其感染的文件"假还原"，再把"看似跟原来一模一样"的文件丢回给 DOS。

@实例

FRODO 福禄多 -"毒"钟文件配置表

别 名：4096

发现日：1990.1

发病日：9月22日-12月31日

产地：以色列

病征：4096病毒最喜欢感染.COM, .EXE和.OVL文件，顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括：COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时，会发现速度慢很多，因为FAT (文件配置表) 已经被破坏了。此外，9月22日-12月31日会导致系统当机。

历史意义：即使你用DIR 指令检查感染文件，其长度、日期都没有改变，果真是伪装秀的始祖。

Top

2.5千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒，几乎无法找到相同的病毒码。

＠实例

PE_MARBURG -掀起全球"战争游戏"

发病日：不一定（中毒后的3个月）

发现日：1998.8

产地：英国

病征：Marburg 病毒在被感染三个月后才会发作，若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点，若该应用程序在12月15日上午11点再次被执行)，则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。

历史意义：专挑盛行的计算机光盘游戏下毒，1998年更受欢迎的 MGM/EA「战争游戏」，因其中有一个文件意外地感染 Marburg 病毒，而在8 月迅速扩散。

感染 PE_ Marburg 病毒后的 3 个月，即会在桌面上出现一堆任意排序的 "X" 符号

2.6宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

＠实例：

Taiwan NO.1 文件宏病毒- 数学能力大考验

发病日：每月13日

发现日：1996.2

产地：台湾

病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

历史意义：1.台湾本土地一只文件宏病毒。2. 1996年年度杀手，1997年三月踢下米开朗基罗，登上毒王宝座。3. 被列入ICSA（国际计算机安全协会）「In The Wild」病毒数据库。（凡难以驯服、恶性重大者皆会列入此黑名单）

2.7特洛伊木马病毒 VS.计算机蠕虫

特洛依木马（ Trojan ）和计算机蠕虫（ Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

特洛伊木马程序的伪装术

特洛依木马（ Trojan ）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段「木马屠城记」的小故事：

话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国，此举竟引发了为期十年的特洛依大战。然而，这场历经九年的大战，为何在最后一年会竟终结在一只木马上呢？原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马，打算来个"木马屠城计"！希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退，以便诱敌上勾。果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中，打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之际，木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻。顿时之间，一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化碟、删除文件、窃取密码等。

计算机蠕虫在 *** 中匍匐前进

计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机 *** 中爬行，从一台计算机爬到另外一台计算机， *** 有很多种例如透过局域 *** 或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如：" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot（此为计算机病毒特性），而且会通过 Outlook E-mail 大量散播（此为计算机蠕虫特性）。

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"（ExploreZip）。探险虫会覆盖掉在局域 *** 上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域 *** 将自己安装到远程计算机上（此为计算机蠕虫特性）。

＠实例：

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

发病日： 不一定

发现日：1999.6.14

产地：以色列

病征：通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下：Hi Recipient Name!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时，这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒，它会存取使用者的C:到Z:磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).a *** (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)

历史意义：

• 开机后再生，即刻连锁破坏

--传统病毒：立刻关机，重新开机，停止它正进行的破坏行动--探险虫：不似传统病毒，一旦重新开机，即寻找 *** 上的下个受害者

2.8 黑客型病毒

-走后门、发黑色信件、瘫痪 ***

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同之一只病毒 Brain 一样，具有难以抹灭的历史意义。

如同 *** 安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在 *** 上展开新型态的攻击行为。果不其然，在造成全球 26.2 亿美金的损失后， 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在 *** 上大量散播，包含： 电子邮件、 *** 资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的 Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

每一台中了Nimda 的计算机，都会自动扫描 *** 上符合身份的受害目标，因此常造成 *** 带宽被占据，形成无限循环的 DoS阻断式攻击。另外，若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁 *** 安全的新型态病毒，将会是 MIS 人员更大的挑战。"

实例：Nimda

发现日：2001.9

发病日：随时随地

产地：不详

病征：通过eMail、 *** 芳邻、程序安全漏洞，以每 15 秒一次的攻击频率，袭击数以万计的计算机，在 24 小时内窜升为全球感染率之一的病毒

历史意义：

计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让 *** 上的计算机几乎零时差地被病毒攻击

认识计算机病毒与黑客

防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙 」(Firewall)，这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域 *** ，任何不受欢迎的使用者都无法通过防火墙而进入内部 *** 。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让 *** 进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞，大肆为所欲为。

--宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件，其中之一的关键因素是宽带 *** （Broadband）的"always-on" (固接，即二十四小时联机)特性特性所打开的方便之门。

宽带上网，主要是指 Cable modem 与 xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的 *** 拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，"雀屏中选"的机率便大幅提升了。

当我们期望Broadband（宽带 *** ）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带 *** 的美丽新世界。

计算机及 *** 家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上 *** ，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了 *** 安全的严重问题

历史计算机病毒事件

1、最初"计算机病毒"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书，书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。

2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发，发明了"磁芯大战"游戏。

3、1983 年 11月，在一次国际计算机安全学术会议上，美国学者科恩之一次明确提出计算机病毒的概念，并进行了演示。

4、世界上公认的之一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒，编写该病毒的是一对巴基斯坦兄弟，两兄弟经营着一家电脑公司，以出售自己编制的电脑软件为生。当时，由于当地盗版软件猖獗，为了防止软件被任意非法拷贝，也为了追踪到底有多少人在非法使用他们的软件，于是在1986年年初，他们编写了"大脑（Brain）"病毒，又被称为"巴基斯坦"病毒。该病毒运行在DOS操作系统下，通过软盘传播，只在盗拷软件时才发作，发作时将盗拷者的硬盘剩余空间吃掉。

5、1988年11月美国国防部的军用计算机 *** 遭受莫里斯病毒袭击，致使美国Internet *** 上6000多计算机感染，直接经济损失9600万美元。莫里斯病毒是由康乃尔大学23岁的罗特?莫里斯 *** 。后来出现的各类蠕虫，都是仿造了莫里斯蠕虫，以至于人们将该病毒的编制者莫里斯称为"蠕虫之父"。

6、1999年 Happy99、美丽杀手（Melissa）等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势，快速进行大规模的传播，从而使病毒在极短的时间内遍布全球。

7、CIH病毒是继DOS病毒的第四类新型病毒，CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆，共有三个主要版本：1.2版/1.3版/1.4版，发作时间分别是4月26日、6月26日、每月26日。该病毒是之一个直接攻击、破坏硬件的计算机病毒，是迄今为止破坏最为严重的病毒。

CIH病毒制造者 陈盈豪 曾有两次精神科门诊记录，被人们认为是"电脑鬼才"。

8、2000年的5月，通过电子邮件传播的"爱虫"病毒迅速在世界各地蔓延，更大规模的发作，造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫病毒是使用VB Script程序语言编写的病毒，它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件，病毒会获取Outlook通讯录的名单，并自动发出"I LOVE YOU"电子邮件，从而导致 *** 阻塞。破坏性：爱虫病毒的传播会导致 *** 瘫痪，病毒发作时，还会把*.mp3、*.jpg等10种文件改为*.vbs，并传染覆盖这些文件。

与爱虫病毒相似的 *** 病毒还有Melissa（美丽杀手病毒）等。

9、着名的"黑色星期五"病毒在逢13号的星期五发作。

10、2001年9月18日出现的Nimda病毒则是病毒演变过程中的另一个里程碑，它首次利用了系统中的漏洞对互联网发起攻击，具备了典型的黑客特征。它的出现意味着，混合着多种黑客手段的病毒从此诞生。

尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒，它通过 *** 进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件，就会发现随信有一个名为readme.exe(即可执行自述文件)的附件，如果该附件被打开，尼姆达就顺利地完成了侵袭电脑的之一步。接下来，该病毒不断搜索局域网内共享的 *** 资源，将病毒文件复制到用户计算机中，并随机选择各种文件作为附件，再按照用户储存在计算机里的邮件地址发送病毒，以此完成病毒传播的一个循环过程。

11、2002年，求职信Klez病毒，邮件病毒，主要影响微软的Outlook Express用户。

12、"附件在哪啊？你找到我吗？放心打开来，这是一个重要文件，可以查杀 *** 病毒的专杀工具请查收附件。"如果你收到一封这样的电子邮件，千万不要打开，这是国内之一例中文混合型病毒，会导致电脑里的各种密码，包括操作系统、 *** 游戏、电子邮件的各种密码被窃取。

13、冲击波，2003年8月11日，冲击波席卷全球，利用微软 *** 接口RPC漏洞进行传播，造成众多电脑中毒，机器不稳定，重启，死机，部分 *** 瘫痪，没打过补丁的WINDOWS操作系统很难逃出它的魔爪。

14、震荡波：具有类似冲击波的表现形式，感染的系统重新启动计算机，原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。

15、小球病毒，作为Dos时代的老牌病毒，它也是国内流行起来的之一例电脑病毒。小球病毒可以险恶地控制电脑，使程序运行缓慢甚至无法运行。

特洛伊木马，一经潜入，后患无穷

据说在海湾战争中，美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击，一度使伊拉克的国防通讯陷于瘫痪。

1、MSN小丑(MsnFunny)，自动向用户的msn发送消息和病毒

2、Word文档杀手：破坏文档数据，记录管理员密码。

3、雏鹰(BBeagle)：木马程序，电子邮件传播，监测系统时间，2004年2月25日则自动退出。

4、好大(Sobig)：1分钟300封病毒邮件

5、红色代码(I-Worm Redcode)：感染对象，服务器，修改服务器网站网页

6、蓝色代码(Bluecode)：启动多个进程，系统运行速度非常慢，cpu占用率急速上升，甚至瘫痪

7、密码杀手2004：通过键盘记录技术截取几乎所有登录窗口的输入信息，通过电子邮件发送给病毒作者。

8、挪威客(Mydoom.e)：疯狂发送带毒邮件，随机删除计算机数据。

9、 *** 天空(Netsky)：带毒邮件大量传播，消耗 *** 资源，影响企业的邮件服务器

10、武汉男生：qq发送诱惑信息，盗取传奇密码以邮件形式发给盗密码者，并结束多种反病毒软件。

11、证券大盗(PSW.Soufan)：特洛伊木马，盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。

2008年度十大病毒/木马

根据病毒危害程度、病毒感染率以及用户的关注度，计算出综合指数，最终得出以下十大病毒/木马为2008年更具影响的十大病毒/木马。

1、 机器狗系列病毒

关键词：底层穿磁盘 感染系统文件

机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗"，该病毒变种繁多，多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器，通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给广大网民的 *** 虚拟财产造成巨大威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe，winhlp32.exe等）达到隐蔽启动；通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全；通过修复SSDT、映像挟持、进程操作等 *** 使得大量的安全软件失去作用；联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网（或者服务器）进行ARP欺骗影响 *** 安全。

2、AV终结者病毒系列

关键词：杀毒软件无法打开 反复感染

AV终结者更大特点是禁用所有杀毒软件以及大量的安全辅助工具，让用户电脑失去安全保障；破坏安全模式，致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入"病毒"相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过 *** 寻求解决办法；在磁盘根目录下释放autorun.Inf，利用系统自播放功能，如果不加以清理，重装系统以后也可能反复感染。

2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点，是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播，并带有机器狗的穿还原功能，下载大量的木马，对网吧和局域网用户影响极大。

3、onlinegames系列

关键词：网游 盗号

这是一类盗号木马系列的统称，这类木马更大的特点就是通过ShellExecuteHooks启动，盗取流行的各大 *** 游戏（魔兽，梦幻西游等）的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件，但经常伴随着超级Av终结者、机器狗等病毒出现。

4 、HB蝗虫系列木马

关键词：网游盗号

HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟，传播途径广泛，目标游戏非常的多（存在专门的生成器），基本囊括了市面上大多数的游戏，例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。

该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件，造成杀毒软件不能打开、电脑反映速度变慢。

5 、扫荡波病毒

关键词：新型蠕虫 漏洞

这是一个新型蠕虫病毒。是微软"黑屏"事件后，出现的更具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击，攻击成功后，被攻击的计算机会下载并执行一个下载者病毒，而下载者病毒还会下载"扫荡波"，同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击，如此向互联网中蔓延开来。据了解，之前发现的蠕虫病毒一般通过自身传播，而扫荡波则通过下载器病毒进行下载传播，由于其已经具备了自传播特性，因此，被金山毒霸反病毒工程师确认为新型蠕虫。

微软宣布"黑屏"后的第3天，紧急发布了MS08-067安全公告，提示用户注意一个非常危险的漏洞，而后利用该漏洞发动攻击的恶意程序不断涌现；10月24日晚，金山发布红色安全预警，通过对微软MS08-067漏洞进行详细的攻击原型模拟演示，证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击，微软操作系统面临大面积崩溃威胁；11月7日，金山再次发布预警，"扫荡波"病毒正在利用该漏洞进行大面积攻击；11月7日晚，金山已证实"扫荡波"实为一个新型蠕虫病毒，并发布周末红色病毒预警。

6、 *** 盗圣

关键词: *** 盗号

这是 *** 盗号木马系列病毒，病毒通常释放病毒体（类似于UnixsMe.Jmp，Sys6NtMe.Zys，）到IE安装目录（C:Program FilesInternet Explore），通过注册表Browser Helper Objects实现开机自启动。当它成功运行后，就把之前生成的文件注入进程，查找 *** 登陆窗口，监视用户输入盗取的帐号和密码，并发送到木马种植者指定的网址。

7、RPC盗号者

关键词：不能复制粘贴

该系列木马采用替换系统文件，达到开机启动的目的，由于替换的是RPC服务文件rpcss.dll ，修复不当，会影响系统的剪切板、上网等功能。部分版本加入了反调试功能，导致开机的时候系统加载缓慢。

8、伪 *** 系统消息

关键词： *** 系统消息，杀毒软件不能使用

经金山毒霸"云安全"检测为钓鱼程序，病毒更大的特点是伪装 *** 系统消息，用户一旦点击，钱财及电脑安全将面临巨大威胁。

该病毒的综合破坏能力比较强，它利用AUTO技术自动传播，当进入电脑后就运行自带的对抗模块，尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能，可下载其它木马到电脑中运行。

9、 *** 幽灵

关键词： *** 木马下载器

此病毒查找 *** 安装目录，并在其目录释放一个精心修改psapi.dll，当 *** 启动的时候将会将这个dll文件加载（程序加载dll文件的顺序1：应用程序的安装目录2：当前的工作目录3：系统目录4：路径变量），从而执行恶意代码下载大量病毒到用户电脑。

10、磁碟机

关键词：无法彻底清除 隐蔽

磁碟机与AV终结者、机器狗极为相似。更大特点是导致大量用户杀毒软件和安全工具无法运行，进入安全模式后出现蓝屏现象；而且更为严重的是，由于Exe文件被感染，重装系统仍无法彻底清除。

磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播，而且非常隐蔽，病毒在传播过程中，所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后，会自动下载自己的最新版本以及大量的其他一些木马到本地运行，盗取用户虚拟资产和其他机密信息；同时该病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳，导致用户很难彻底清除。

二、2008年计算机病毒、木马的特点分析

2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播，主要利用的是realplay，adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件，关闭安全软件然后下载大量盗号木马到用户电脑－－盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马，其次是远程控制类木马。

1、病毒制造进入"机械化"时代

由于各种病毒 *** 工具的泛滥和病毒 *** 的分工更加明细和程式化，病毒作者开始按照既定的病毒 *** 流程 *** 病毒。病毒制造进入了"机械化"时代。

这种"机械化"很大程度上得益于病毒 *** 门槛的降低和各种 *** 工具的流行。"病毒制造机"是网上流行的一种制造病毒的工具，病毒作者不需要任何专业技术就可以手工制造生成病毒。金山毒霸全球反病毒监测中心通过监测发现 *** 上有诸多此类广告，病毒作者可根据自己对病毒的需求，在相应的 *** 工具中定制和勾选病毒功能。病毒傻瓜式 *** 导致病毒进入"机械化"时代。

病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定 *** 已经无法应对迅猛增长的病毒。金山毒霸2009依托于"云安全"技术，一举实现了病毒库病毒样本数量增加5倍、日更大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内，给用户带来了更好的安全体验。

2、病毒制造的模块化、专业化特征明显

病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块，使得病毒的各方面功能都越来越"专业"，病毒技术得以持续提高和发展，对网民的危害越来越大，而解决问题也越来越难。例如年底出现的"超级AV终结者"集病毒技术之大成，是模块化生产的典型代表。

在专业化方面，病毒制造业被自然的分割成以下几个环节：病毒 *** 者、病毒批发商、病毒传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。病毒作者包括有"资深程序员"，甚至可能有逆向工程师。病毒批发商购买病毒源码，并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去，以盗取有价值的 *** 号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"（即可以盗取虚拟资产的木马，可以将盗取的号码收集起来）牟利，他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子"，通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职，专业化趋势明显。

3、病毒"运营"模式互联网化

病毒团伙经过2008一年的运营已经完全转向互联网，攻击的方式一般为：通过网站入侵-写入恶意攻击代码-利用成为新型 *** 病毒传播的主要方式，网民访问带有挂马代码的‘正常网站'时，会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营（可像互联网厂商一样精确统计收益，进行销售分成）。

例如 "机器狗"病毒，"商人"购买之后，就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能，只是可以通过对抗安全软件保护病毒，因此"机器狗"就变成了病毒的渠道商，木马及其他病毒都纷纷加入"机器狗"的下载名单。病毒要想加入这些渠道商的名单中，必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送，就像正常的商业行为中的资源互换。这样，加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的，就向哪个渠道缴费。

此外，病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广，黑客网站也是推广的重要渠道，此外还包括百度贴吧、 *** 群等渠道进行推广。其销售渠道也完全互联网化，销售的典型渠道包括：公开拍卖网站，比如 *** 、易趣等。还有通过 *** 直销，或者通过专门网站进行销售。

4、病毒团伙对于"新"漏洞的利用更加迅速

IE 0day漏洞被利用成2008年更大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞，挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。

此外，2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因，存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中，通过漏洞下载木马病毒入侵用户系统，进行远程控制、盗窃用户帐号和密码等，从而使用户遭受损失。

金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息，及时更新漏洞库信息，同时金山清理专家采用P2SP技术，大大提高了补丁下载的速度，减少了用户电脑的风险暴露时间。

5、 病毒与安全软件的对抗日益激烈

在病毒产业链分工中，下载器扮演了‘黑社会'的角色，它结束并破坏杀毒软件，穿透还原软件，‘保护'盗号木马顺利下载到用户机器上，通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋，始终跑在对抗杀毒软件的之一线，出尽风头且获得丰厚回报。

从‘AV终结者'的广泛流行就不难看出，对抗杀毒软件已经成为下载者病毒的‘必备技能'。

纵观08年的一些流行病毒，如机器狗、磁碟机、AV终结者等等，无一例外均为对抗型病毒。而且一些病毒 *** 者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的病毒以前也有，但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度，使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的 *** 也多种多样，如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。

病毒与杀毒软件对抗特征主要表现为对抗频率变快，周期变短，各个病毒的新版本更新非常快，一两天甚至几个小时更新一次来对抗杀毒软件。

金山毒霸通过强化自保护功能，提高病毒攻击的技术门槛。目前，金山毒霸云安全体系可以做到病毒样本的收集、病毒库更新测试和升级发布全无人值守，自动化的解决方案以应对病毒传播 *** 者不断花样翻新的挑战。

三、2009年计算机病毒、木马发展趋势预测

1、0Day漏洞将与日俱增

2008年安全界关注的最多的不是Windows系统漏洞，而是每在微软发布补丁随后几天之后，黑客们放出来的0Day 漏洞，这些漏洞由于处在系统更新的空白期，使得所有的电脑都处于无补丁的可补的危险状态。

黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘，2009年可能会出现大量新的0day漏洞（含系统漏洞及流行互联网软件的漏洞），病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。

2、网页挂马现象日益严峻

网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站，篡改网页内容，植入各种木马，用户只要浏览被植入木马的网站，即有可能遭遇木马入侵，甚至遭遇更猛烈的攻击，造成 *** 财产的损失。

2008年，网站被挂马现象屡见不鲜，大到一些门户网站，小到某地方电视台的网站，都曾遭遇挂马问题。伴随着互联网的日益普及，网页挂马已经成为木马、病毒传播的主要途径之一的今天，金山毒霸反病毒工程师预测2009年 *** 挂马问题将更加严峻，更多的网站将遭遇木马攻击。

3、病毒与反病毒厂商对抗将加剧

随着反病毒厂商对于安全软件自保护能力的提升，病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件，隐藏和局部‘寄生'系统文件的弱对抗性病毒将会大量增加。

4、新平台上的尝试

病毒、木马进入新经济时代后，肯定是无孔不入； *** 的提速让病毒更加的泛滥。因此在2009年，我们可以预估vista系统，windows 7系统的病毒将可能成为病毒作者的新宠；当我们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。软件漏洞的无法避免，在新平台上的漏洞也会成为病毒/木马最主要的传播手段。

四、2009年反病毒技术发展趋势

在病毒 *** 门槛的逐步降低，病毒、木马数量的迅猛增长，反病毒厂商与病毒之间的对抗日益激烈的大环境下，传统"获取样本-特征码分析-更新部署"的杀毒软件运营模式，已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网，病毒 *** 者技术不断更新的大环境下，反病毒厂商必须要有更有效的 *** 来弥补传统反病毒方式的不足，"云安全"应运而生。

金山毒霸"云安全"是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反病毒技术基础上的强化与补充，最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。

首先稳定高效的智能客户端，它可以是独立的安全产品，也可以作为与其他产品集成的安全组件，比如金山毒霸 2009和百度安全中心等，它为整个云安全体系提供了样本收集与威胁处理的基础功能；

其次服务端的支持，它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术，同时它和客户端协作，为用户提供云安全服务；

最后，云安全需要一个开放性的安全服务平台作为基础，它为第三方安全合作伙伴提供了与病毒对抗的平台支持，使得缺乏技术储备与设备支持的第三方合作伙伴，也可以参与到反病毒的阵线中来，为反病毒产业的下游合作伙伴提供商业上的激励，摆脱目前反病毒厂商孤军奋战的局面。

到底是什么时候开始有木马病毒的？

电脑病毒的起源

电脑病毒的概念其实源起相当早，在之一部商用电脑出现之前好几年时，电脑的先驱者冯?诺伊曼（John Von Neumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。

1975年，美国科普作家约翰?布鲁勒尔（John Brunner）写了一本名为《震荡波骑士》（Shock Wave Rider）的书，该书之一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年更佳畅销书之一。

1977年夏天，托马斯?捷?瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。

而差不多在同一时间，美国著名的ATT贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"（core war）的游戏，进一步将电脑病毒"感染性"的概念体现出来。

1983年11月3日，一位南加州大学的学生弗雷德?科恩（Fred Cohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。

不过，这种具备感染与破坏性的程序被真正称之为"病毒"，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的专栏作家在讨论"磁芯大战"与苹果二型电脑（别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影）时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个"病毒"的名字可以称呼了。

之一个真正的电脑病毒

到了1987年，之一个电脑病毒C-BRAIN终于诞生了（这似乎不是一件值得庆贺的事）。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。

这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图， *** 出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团（如NuKE,Phalcon/Ski *** ,VDV）。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。

DOS时代的著名病毒

所谓"DOS时代的病毒"，意思是说这是从DOS时代就有的老古董，诸位读者可别以为您现在已经进入Windows 95/98的年代，就不会感染DOS时期的病毒。其实由于Windows 95/98充其量不过是一套架构在DOS上的操作系统，因此即使是处在Windows 95/98之下，一不小心还是会惹火上身的！

耶路撒冷（Jerusalem）

这个古董级病毒其实有个更广为人知的别称，叫做"黑色星期五"。为什么会有这么有趣的别称？道理很简单:因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程序，症状相当凶狠。

米开朗基罗（Michelangelo）

米开朗基罗的名字，对于一些早一点的电脑使用者而言，真可说是大名鼎鼎，如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日（这也就是它为什么叫做"米开朗基罗"的原因）时，这个病毒就会以Format硬盘来为这位大师祝寿。于是乎，你辛苦建立的所有资料都毁于一旦，永无翻身之日。

猴子（Monkey）

Monkey据说是之一个"引导型"的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬盘的分区表，让你一开机就会出现"Invalid drive specification"的信息。比起"文件型"病毒只有执行过受感染文件才会中毒的途径而言，Monkey的确是更为难缠了。

音乐虫病毒（Music Bug）

这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时，别以为你的电脑比别人聪明，那很有可能是中毒了。

其实这种会唱歌的病毒也不少，有另一个著名的病毒（叫什么名字倒忘了）发作时还会高唱着"两只老虎"呢！

DOS时期的病毒，种类相当繁杂，而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的"双体引擎"，可以把一种病毒创造出更多元化的面貌，让人防不胜防！而病毒发作的症状更是各式各样，有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的 是，这些DOS时期的古董级病毒，由于大部分的杀毒软件都可以轻易地扫除，所以杀伤力已经大不如前了。

Windows时期的来临

随着Windows 3.1在全球的风行，正式宣告了个人电脑操作环境进入Windows时代。紧接着，Windows 95/98的大为畅销，使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的，大概就属"宏病毒"与"32位病毒"了。

宏病毒

随着各种Windows下套装软件的发展，许多软件开始提供所谓"宏"的功能，让使用者可以用"创造宏"的方式，将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能，在经过有心人士的设计之后，终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件，而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是，这种宏病毒是跨操作平台的。以Word的宏病毒为例，它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。

在这些宏病毒之中，最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是：到了每月的十三号，只要您随便开启一份Word文件，屏幕上会出现一对话窗口，询问你一道庞杂的算数题。答错的话（这种复杂的算数大概只有超人可以很快算出来吧）就会连续开启二十个窗口，然后又出现另一道问题，如此重复下去，直到耗尽系统资源而死机为止。

虽然宏病毒有很高的传染力，但幸运的是它的破坏能力并不太强，而且解毒方式也较容易，甚至不需杀毒软件就可以自行手动解毒。

32位病毒

所谓"32位病毒"，则是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样是感染exe执行文件，但是这种病毒专挑Windows的32位程序下手，其中最著名的就是去年大为流行的CIH病毒了。

CIH病毒的厉害之处，在于他可以把自己的本体拆散塞在被感染的文件中，因此受感染的文件大小不会有所变化，杀毒软件也不易察觉。而最后一个版本的CIH病毒，除了每个月26日发作，将你的硬盘Format掉之外，有时候还会破坏主板BIOS内的资料，让你根本无法开机！虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒，不过由于它的威力实在强大，大家还是小心为上。（CIH又可能在今年4月26发作，你不会有事吧？）

Internet的革命

有人说Internet的出现，引爆了新一波的信息革命。因为在因特网上，人与人的距离被缩短到极小的距离，而各式各样网站的建立以及搜寻引擎的运用，让每个人都很容易从 *** 上获得想要的信息。

Internet的盛行造就了信息的大量流通，但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说， *** 不折不扣正好提供了一个绝佳的渠道。也因此，我们这些一般的使用者，虽然享受到因特网带来的方便，同时却也陷入另一个恐惧之中。

病毒散播的新捷径

由于因特网的便利，病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布，而现在，你只要在电子邮件或ICQ中，夹带一个文件寄给朋友，就可能把病毒传染给他；甚至从 *** 上下载文件，都可能收到一个含有病毒的文件。

不过虽然 *** 使得病毒的散布更为容易，但其实这种病毒还是属于传统型的，只要不随便从一些籍籍无名的网站下载文件(因为有名的网站为了不砸了自己的招牌，提供下载的文件大都经过杀毒处理)，安装杀毒软件，随时更新病毒码，下载后的文件不要急着执行，先进行查毒的步骤(因为受传统病毒感染的程序，只要不去执行就不会感染与发作)，多半还是可以避免中毒的情形产生。

第二代病毒的崛起

前面所谈的各式各样的病毒，基本上都是属于传统型的病毒，也就是所谓"之一代病毒"。会有这样的称呼方式，主要是用来区分因为Internet蓬勃发展之后，最新出现的崭新病毒。这种新出现的病毒，由于本质上与传统病毒有很大的差异性，因此就有人将之称为"第二代病毒"。

第二代病毒与之一代病毒更大的差异，就是在于第二代病毒传染的途径是基于浏览器的，这种发展真是有点令人瞠目结舌！

原来，为了方便网页设计者在网页上能制造出更精彩的动画，让网页能更有空间感，几家大公司联手制订出Active X及Java的技术。而透过这些技术，甚至能够分辨你使用的软件版本，建议你应该下载哪些软件来更新版本，对于大部分的一般使用者来说，是颇为方便的工具。但若想要让这些网页的动画能够正常执行，浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中，恶性程序的开发者也就利用同样的渠道，经由 *** 渗透到个人电脑之中了。这就是近来崛起的"第二代病毒"，也就是所谓的" *** 病毒"。

兵来将挡，水来土掩

目前常见的第二代病毒，其实破坏性都不大，例如在浏览器中不断开启窗口的"窗口炸弹"，带着电子计时器发出"咚咚"声的"闹闹熊"等，只要把浏览器关闭后，对电脑并不会有任何影响。但随着科技的日新月异，也难保不会出现更新、破坏性更大的病毒。

只是，我们也不需要因为这种趋势而太过悲观，更不用因噎废食地拒绝使用电脑上网。整个电脑发展史上，病毒与杀毒软件的对抗一直不断的持续进行中，只要小心一点，还是可以愉快地畅游在因特网的世界里。