计算机病毒的发展历史
几年后,第一个广泛传播的蠕虫病毒爆发,蔓延到世界各地的数千台计算机。多年以后,当互联网连接在家庭中也非常普遍的时候,大规模的病毒感染已经成为常态。每年,我们都能听到各种新的威胁,比如耗尽你的银行账户,驱使数百万台PC拒绝服务。计算机病毒不断进化,我们需要更聪明的方法来应对威胁。
计算机病毒的原始历史可以追溯到1982年。那时,计算机病毒这个术语还没有正式的定义。那一年,RichSkerta编写了一个名为“ElkCloner”的计算机程序,这使得它成为计算机病毒史上第一个感染个人电脑(AppleII)的计算机病毒。它使用软盘作为通信媒介,破坏程度相当轻微。被感染的电脑只在屏幕上显示了一首小诗:
Itwillinfiltrateyourchips
它会像胶水一样粘在一起,
Itwillmodifyramtoo
SendintheCloner!"
1984-计算机病毒正式定义。
1984年,弗雷德科恩发表了一篇名为《计算机病毒——理论与实验》的文章,不仅对“计算机病毒”这一术语给出了明确的定义,还描述了他与其他专家一起研究计算机病毒的实验结果。
1986——第一个在MS-DOS个人电脑系统中广泛传播的计算机病毒
第一个恶意且广泛传播的计算机病毒始于1986年。这个电脑病毒叫“大脑”,是巴基斯坦两兄弟写的。它可以破坏计算机的引导扇区,被认为是第一种只能隐藏自己以逃避检测的病毒。
1987-文件感染病毒(利哈伊和圣诞节蠕虫)
1987年,美国利哈伊大学发现了利哈伊病毒,这是第一批病毒感染者。文件感染型病毒主要感染。COM文件和。EXE文件在被感染文件执行过程中破坏数据、文件分配表(FAT)或感染其他程序。
1988-第一个麦金塔电脑病毒的出现和CERT组织的成立
第一个攻击麦金塔的病毒出现在这一年,“网络蠕虫”也引发了第一波互联网危机。同年,全球首个计算机安全应急小组(ComputerSecurityResponseTeam)成立并不断发展,也演变成了今天著名的CERTRCoordinationCenter(简称CERTR/CC)。
1990-第一个病毒通讯公告板上线,防病毒产品出现。
第一个病毒交换公告板服务(VXBBS)在保加利亚推出,为病毒程序员交换病毒代码和经验。同年,McAfeeScan等杀毒产品开始出现黑粉色。
1995-宏病毒的出现
windows95操作平台刚出现的时候,运行在DOS操作系统下的计算机病毒还是计算机病毒的主流,这些基于DOS的病毒往往无法复制到windows95操作平台上运行。然而,就在电脑用户以为可以松一口气的时候,1995年底,第一个运行在MS-Word工作环境下的宏病毒正式发布。
1996-Windows 95继续成为攻击目标,Linux操作平台也不能幸免(J今年宏病毒Laroux成为第一个攻击MSExcel文件的宏病毒。Staog是第一个攻击Linux操作平台的计算机病毒。
BackOrifice允许黑客在未经授权的情况下通过互联网远程控制另一台计算机。这个病毒的名字也让微软的微软BackOffice产品开了个玩笑。
1999-梅丽莎和CIH病毒
Melissa是第一个混合宏病毒——它以攻击MSWord为步骤,然后利用MSOutlook和OutlookExpress中的通讯录,通过电子邮件广泛传播病毒。当年4月,CIH病毒爆发,全球6000多万台电脑被毁。
2000年-DenialofService和love letters)“ILO veyou”是大规模的拒绝服务攻击,使雅虎、亚马逊书店等各大网站的服务陷入瘫痪。同年,“ILoveYou”邮件附带的VisualBasic脚本病毒文件被广泛传播,终于让很多电脑用户明白了谨慎处理可疑邮件的重要性。那年8月,第一个运行在Palm操作系统上的特洛伊程序“LibertyCrack”终于出现了。这种木马程序以破解Liberty(运行在Palm操作系统上的Gameboy模拟器)为诱饵,使用户通过红外数据交换或电子邮件在无线网络中无意间传播病毒。
2002年-强大多变的混合病毒:Klez和FunLove。
“求职信”是一种典型的混合病毒,它不仅像传统病毒一样感染计算机文件,还具有蠕虫和特洛伊马的特征。它利用了微软邮件系统自动运行附件的安全漏洞,大量消耗系统资源,导致电脑运行缓慢直至瘫痪。除了电子邮件,病毒还可以通过网络传输和电脑硬盘共享传播。
自1999年以来,Funlove病毒给服务器和个人电脑带来了巨大的麻烦,许多著名企业都是受害者。一旦被它感染,电脑就会处于带病毒运行状态,它会创建一个后台工作线程,搜索所有本地驱动器和可写网络资源,然后在网络中完全共享的文件中迅速传播。)
2003-Blaster)和SOBIG
{“冲击波”病毒8月爆发。它利用了微软操作系统Windows2000和WindowsXP的安全漏洞,获得了在目标计算机上执行任意代码的完全用户权限,并通过互联网继续攻击网络上存在该漏洞的计算机。由于杀毒软件无法过滤这种病毒,病毒迅速蔓延到多个国家,导致大量电脑瘫痪,网络连接速度变慢。
继“冲击波”病毒之后,第六代“大承诺”计算机病毒(SOBIG。f)猖獗,通过电子邮件传播。“大诺言”病毒不仅会伪造发送者的身份,还会发出大量的“Thankyou!“根据电脑通讯录里的信息。、‘‘Re:Approved’等等,此外,它还可以驱动被感染的电脑自动下载一些网页,让病毒作者有机会窃取电脑用户的个人和商业信息。
2004年-MyDoom,NetSky和Sasser。
“不幸”病毒出现在1月下旬。它以电子邮件为媒介,以“MailTransactionFailed”、“MailDeliverySystem”、“ServerReport”等字样作为邮件主题,诱导用户打开带有病毒的附件文件。被感染的计算机不仅会自动转发病毒邮件,还会使计算机系统打开一个后门,供黑客作为攻击网络的中介。它还会对一些著名网站(如SCO、微软)进行分布式拒绝服务(DDOS)攻击,其变种甚至会阻止被感染的电脑访问一些著名杀毒软件厂商的网站。由于它可以在30秒内发送多达100封邮件,许多大型企业的电子邮件服务被迫中断,其传播速度创下了计算机病毒史上的新纪录。
反病毒公司会用A、B、C等英文字母作为同一个病毒变种的名称。NetSky这种病毒被评为有史以来变异速度最快的病毒,因为自2月中旬出现以来,短短两个月内,它的变异名称就耗尽了26个英文字母,后面是NetSky等双代号英文字母的名称。AB它通过电子邮件传播很多。当收件人运行带有病毒的附件时,病毒程序会自动扫描电脑硬盘和网络驱动器收集邮件地址,并通过自身的邮件发送引擎转发假冒发件人的病毒邮件。而且病毒邮件的主题、正文、附件文件名都是可变的。
“冲击波”病毒类似于更早出现的冲击波病毒。它是针对微软Windows操作系统的安全漏洞,不需要依赖电子邮件作为媒介。它利用系统中的缓冲区溢出漏洞,导致计算机不断重启,感染互联网上的其他计算机。短短18天就取代了冲击波,创下了补丁发布后最短攻击周期的纪录。
现在大家都知道有电脑病毒,但是你真的了解吗?希望这篇文章能让你对病毒有更深入的了解,提高我们的安全意识。
计算机病毒不同于医学上的“病毒”。它不是自然存在的。有些人利用计算机软硬件固有的脆弱性,编写具有特殊功能的程序。因为它具有与生物医学“病毒”相同的传染性和破坏性特征,所以这个术语来源于生物医学“病毒”的概念。广义来说,所有能导致计算机故障、破坏计算机数据的程序统称为计算机病毒。根据这个定义,诸如逻辑炸弹和蠕虫病毒都可以称为计算机病毒。在中国,专家和研究人员对计算机病毒做出了不同的定义,但一直没有公认的明确定义。
第二,病毒的命名
病毒的命名没有固定的方法,有的以病毒最早出现的地方命名。例如,“镇江_JES”的样本首先来自镇江的一个用户。还有的按病毒中出现的名字或特征字符,如“张芳-1535”、“磁盘杀手”、“上海一号”。有的以病毒的症状命名,如“火炬”、“蠕虫”。当然也有一部分是以病毒爆发的时间命名的,比如165438+10月9日爆发的“11月9日”。有些名称包含病毒代码的长度,如“PIXEL.xxx”系列、“KO.xxx”等。
三、计算机病毒的发展趋势
在病毒发展史上,病毒的出现是有规律的。一般新的病毒技术出现后,病毒发展迅速,然后反病毒技术的发展会抑制其传播。同时,当操作系统升级时,病毒也会调整到新的方式,从而产生新的病毒技术。一般来说,病毒可以分为以下几个发展阶段:
DOS引导阶段
1987期间,计算机病毒主要是引导病毒,代表病毒有“小球”和“石头”。因为当时的电脑硬件少,功能简单,一般都是软盘启动后使用。可启动病毒利用软盘的启动原理工作,修改系统启动扇区,在计算机启动时先获得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统访问磁盘时进行传播。
DOS可执行阶段
1989,可执行文件病毒出现。他们利用DOS系统加载执行文件的机制,比如“耶路撒冷”和“星期日”病毒。可执行病毒的病毒代码在系统执行文件时获得控制权,修改DOS中断,在系统调用时感染,并附着在可执行文件上,增加了文件长度。1990,发展成复合病毒,可以感染com和EXE文件。
伴随体型阶段
1992出现了伴生病毒,它们利用DOS中加载文件的优先级来工作。代表是“金蝉”病毒,感染EXE文件,生成一个与EXE同名的伴,扩展名为COM。当它感染一个COM文件时,它会将原来的COM文件更改为同名的EXE文件,然后生成一个具有原来名称和COM文件扩展名的同伴。这样,当DOS加载文件时,病毒就会获得控制权,首先执行自己的代码。这种病毒不会改变原始文件的内容、日期和属性。通过删除它的同伴来移除病毒是非常容易的。其典型代表就是“海盗旗”病毒。执行时,它会询问用户名和密码,然后返回一条错误消息来删除自己。
变形阶段
从65438到0994,汇编语言有了很大的进步。要实现同样的功能,汇编语言可以有不同的使用方式,这些方式的组合使得一段看似随机的代码产生同样的运行结果。典型的多态病毒——ghost病毒就是利用了这一特点,每次感染都会产生不同的代码。比如“半”病毒,就是生成一段有上亿种可能解码算法的数据,病毒体在解码前就隐藏在数据中,需要解码这一段数据才能查出这类病毒,增加了病毒检测的难度。多态病毒是一种综合性病毒,可以感染引导区和程序区。大部分都有解码算法,一个病毒往往需要两个以上的子程序才能清除。
变体阶段
1995在汇编语言中,有些数据操作放在不同的通用寄存器中,也能计算出同样的结果。随机插入一些空操作和无关命令,不会影响操作结果。这样,一些解码算法可以通过生成器生成不同的变体。其代表作——“病毒制造者”VCL,可以在瞬间产生上千种不同的病毒,在搜索和求解时可以不使用传统的特征识别方法,而需要对命令进行宏观分析,解码后再搜索和求解病毒,大大提高了复杂度。
网络和蠕虫阶段。
从65438到0995,随着互联网的普及,病毒开始通过互联网传播,这只是对前几代病毒的改进。在Windows操作系统中,“蠕虫”是一个典型的代表。它不占用除内存以外的任何资源,不修改磁盘文件,利用网络函数搜索网络地址,将自身扩散到下一个地址,有时存在于网络服务器和启动文件中。
窗口阶段
1996随着Windows的日益普及,利用Windows工作的病毒开始发展。他们修改(NE,PE)文件,典型代表就是DS.3873这种病毒急智比较复杂,利用保护模式和API调用接口工作,清除方法也比较复杂。
大病毒阶段
1996,随着MSOffice功能的增强和流行,利用Word宏语言也可以编写病毒。这种病毒使用类似Basic的语言,很容易编写,会感染Word文件。因为Word文件格式不开放,所以很难查出这类病毒。
互联网和受感染邮件阶段
1997,随着互联网的发展,各种病毒开始通过互联网传播,携带病毒的数据包和邮件越来越多。如果不小心打开这些邮件,电脑可能会中毒。
Java,邮件炸弹阶段
从65438年到0997年,随着Java在互联网上的普及,利用Java语言传播和获取信息的病毒开始出现,典型代表就是JavaSnake病毒。还有一些病毒利用邮件服务器进行传播和破坏,比如邮件炸弹病毒,严重影响互联网的效率。
四。病毒的进化和发展过程
计算机病毒的最新发展趋势可以概括如下:
1.病毒是不断进化的,任何程序都和病毒一样,不可能是完美的。于是有些人还在修改以前的病毒,让其功能更加完善,病毒也在不断进化,让杀毒软件更难检测。
2.奇怪的病毒出现
现在有很多操作系统,所以病毒也针对很多其他平台,不仅仅是微软Windows平台。
3.越来越隐蔽
一些新型病毒越来越隐蔽,与此同时,新型计算机病毒也越来越多。更多的病毒使用复杂的加密技术。病毒在感染宿主程序时,用随机算法对病毒程序进行加密,然后放入宿主程序。因为随机数算法的结果是天文数字,所以每次放入宿主程序的病毒程序都不一样。这样,同一个病毒有多种形态,每次感染时的外观都不一样。就像一个人可以“变脸”一样,检测和查杀这种病毒是非常困难的。同时,制造病毒和杀死病毒永远是一对矛盾。既然杀毒软件杀病毒,就有人搞专门破坏杀毒软件的病毒。一是他们可以避开杀毒软件,二是他们可以修改杀毒软件,改变其杀毒功能。所以杀毒还是需要很多专家的努力!