病毒历史篇

序言

有白天就有黑夜，许多事情都是相对的；有绿洲就有沙尘，许多事情也是相应的。透过0和1的组合，人类制作出各种各样的计算机软件，在利用其提高工作效率的同时，也因为很多有意和无意，创造出了广阔的计算机病毒世界。计算机病毒是什么时候诞生的？又是如何诞生的？在漫长的发展历程当中又催生出哪些对信息社会造成深刻影响的事件？也许当我们回顾计算机病毒的发展历史时这些问题可以得到解答。

 

降生：还不知道自己是恶魔

大约在1949年，使用真空管取代继电器的电脑ENIAC刚刚诞生三年之后，计算机先驱约翰.范纽曼（John Von Neumann）在他的论文中勾勒出了一种可以进行自我繁殖的计算机程序。这在当时受到了广泛的质疑，因为这件事情看起来是如此令人难以置信，至少像是与莱特兄弟谈论航天飞机。随着计算机硬件和各种高级编程语言的发展，有更多的计算机科学家开始对这种可以自我复制的程序产生了兴趣。在1983年，弗雷德.科恩（Fred Cohen）首次提出了他的“运行过程中可以复制自身的破坏性程序”的概念，伦.艾德勒曼（Len Adleman）将它命名为“计算机病毒”（Computer Viruses），这是目前已知的“计算机病毒”这个名称最早的诞生时间。随着弗雷德.科恩在在1984年正式发布了他的研究成果，可自我复制的程序正式成为现实。在随后的几年中，这种程序的发展还封闭在研究圈子里，这些具有理想化思维的技术人员并没有意识到他们正在实验室里精心培育的“孩子”有一天会变成“恶魔”。直到1986年，Brain病毒流传到民间，才宣告真正具有广泛传播性和破坏性的计算机病毒降临。观察性质的研究正式转化成了对传播能力和破坏能力的验证，而广大的计算机用户对病毒的态度也开始逐步由好奇转化为了彻头彻尾的厌恶。

核心之战 1959 年，贝尔实验室中等一群年轻的研究员制作出了称为Core War的小游戏供闲暇时消遣，将两个人所写的程序放入同一台电脑之后，这两个程序会互相***直到有一方失效为止。这个以最终生存为目标的游戏程序运用了内存重写技术和受困时自我复制以脱离险境等防御其它程序***的手法，已经具有了一些计算机病毒的面貌，也被普遍认为是病毒程序的最初原型。

 

蚕食者：文件病毒时代

早期的计算机病毒大都采用将自己寄生于文件的方式进行传播，作为主要的文件交换方式，软盘乃至光盘等文件介质成为病毒滋生的温床。不过在这个年代，病毒的破坏力普遍不强，病毒作者们热衷于显示一些稀奇古怪的信息，以告诉感染病毒的用户自己是被玩耍的对象。不过在一些编写失误的病毒感染后，用户的程序可能会遭到破坏，不过这个时代的用户已经习惯于不断的从DOS软盘中复制干净的程序以恢复自己的工作环境。事实上，文件病毒的统治即使到了今天也没有完全结束，它的基因一直被各种后裔所延续。包括威金这样的现代化蠕虫，其中也集成了文件寄生机制，透过宿主文件进行感染、隐蔽和传播，已经成为病毒家族的通用战法。随着网络技术的不断发展，这些精力旺盛的程序员掌握了更快速传播病毒的方法，纯粹的文件病毒开始走向了没落，文件病毒时代也悄悄地结束了。

 

巨鲨身上的寄生鱼：宏病毒

由于办公应用软件的功能日益强大，将病毒代码植入到文档当中也可以达到植入可执行文件类似的效果，这让很多编写病毒的程序员欣喜不已，因为文档的交换频率要远远大过可执行文件。这种基于办公软件宏功能的病毒被理所当然地称之为宏病毒，宏病毒的最早范例已经很难追溯，Concept作为一个典型的宏病毒程序一般被公认是这种病毒的开端。当微软这头软件巨鲨在打造自己的Office王朝时，肯定没有意识到伴随所生的这种影响深远的病毒种类。就像一群寄生在巨鲨身上的小鱼一样，他们吃掉那些腐肉的同时也吃到大量新鲜的肉。有趣的一点在于，宏病毒的起源似乎就是来自于微软内部，而微软则将这种程序视为一个恶作剧，甚至有一些软件公司贸然地将宏病毒程序打包在自己的软件发行版中。好在更多的人认识到了这类程序的危险性，否则这个事件真的有可能发展成为一个巨大的玩笑。随着微软Office不断的发展，宏病毒也进入一个全盛的时期，甚至成为当年发作最多的病毒类型。直到微软改进了自己的文档格式并采用了更严格的安全规则之后，宏病毒才逐步退出了历史的舞台。

升级版的宏病毒：脚本病毒 　　脚本病毒在很多方面都与宏病毒相似，两者都是直接将病毒代码递交到某种软件进行执行。但是与宏病毒不同，脚本病毒依托的对象是互联网时代的普及性客户端：网络浏览器。基于HTML页面内容的展示，脚本病毒能够做到无需用户执行更多的动作就可以引发病毒感染。由于脚本病毒具有与宏病毒一样的源代码可获得特性，这使得脚本病毒的变种制造非常容易。

 

狂浪来袭：电子邮件病毒

最初的电子邮件都是以文本形式存在的，虽然有可能携带恶意代码，但是病毒本身并不利用电子邮件进行传播。例如，早期通过电子邮件传播的蠕虫病毒主要依靠操作系统和电子邮件服务的漏洞进行传播。真正将电子邮件作为一个传播途径并引起广泛关注的病毒，是被称为Melissa的散播带毒邮件的病毒。在1999年的3月，就像希腊神话中的女妖Medusa头上的毒蛇一样，Melissa将大量的电子发送到世界的各个角落，就好似巨浪一般席卷了全球用户的电子邮箱。事实上，Melissa不仅仅是一个电子邮件病毒，它是一个多种元素的综合体，所采用的机制被之后出现的各种流行病毒所效仿，这使其在病毒发展史上具有非凡的意义。例如，它利用了Word的宏机制、具有蠕虫病毒的繁殖特性、从Outlook地址簿中获得传播地址、使用带有社交工程意味的欺骗性邮件标题，难怪作者在病毒的代码中写下了“It's a new age!”的字样。从Melissa开始，不断有病毒作者利用电子邮件作为传播机制以达到快速而广泛地传播病毒的目的，而Melissa创下的病毒传播记录也在不断地被刷新。也许没人能统计出有多少病毒是通过电子邮件传播的，不过至少在目前所发现的流行病毒中，能够通过电子邮件传播者要占到多数。电子邮件应用的普及性和发送过程的便利性很适合用来进行病毒传播。特别是当人们收到来自亲朋好友的邮件时，往往会降低警惕。可能只有当他们发现自己陷入信任危机时，才会意识到自己成了病毒传播的“帮凶”。

散播恐惧的“欢乐时光” 这是一个给互联网用户带来巨大心理冲击的病毒，尽管在传播能力和破坏力上都算不上前无古人，但是它戏剧性的让全球的计算机用户都认识到他们所信任的、经常使用的电子邮件应用是很不安全的。在1994年末，有人发布了一份病毒警告，声称只要阅读标题为Good Times的邮件或新闻组就会导致病毒感染。而凑巧的是，在这条消息被四处传播的同时，恰好有一个名为Good Times的病毒被制造了出来，尽管实际的Good Times病毒并不象那条病毒警告中所说的那么强大，但是人们还是选择相信后者。就这样，关于Good Times病毒的流言开始通过电子邮件、新闻组甚至电子杂志开始在互联网上广泛地传播，以至于最后当人们收到标题为Good Times的邮件时都会心惊胆颤的将它删除掉。

 

虫族的进攻：从蠕虫到网络蠕虫

通过网络传播的蠕虫病毒，事实上在整个计算机病毒的现代史上处于统治地位，它的各种特性已经成为现代病毒的基准。在1988年，莫里斯蠕虫的出现可以算是病毒发展史上的一个里程碑，某大型机构安全主管Robert Morris博士的儿子Robert Tappan Morris编写了一个程序，这个程序可以在特定型号的UNIX主机之间传播。尽管有多种不同版本的传说，但比较可信的说法是莫里斯只是为了编写一个探测网络范围和组成的程序，因为莫里斯蠕虫的机制是每感染一台主机就会向ernie.berkley.edu回传数据包。该程序惊人的传播能力给美国尚处于襁褓阶段的网络带来了不小的影响，大量的带宽被占用，许多服务器都发生了异常。莫里斯蠕虫可以通过网络传播，同时具有自我复制特性，这两点也被视为网络蠕虫的基本特性。可能更为重要的一点在于，这个病毒的传播模式和所造成的破坏性后果令病毒研究团体认识到了病毒程序的威力。尽管莫里斯蠕虫的释放极有可能是无心之失，但其示范性作用彻底将网络蠕虫时代的大幕拉开了。在此后的时间里，蠕虫病毒的地位一直在不断增强，进入2000年之后更是达到了顶峰。各种传播速度极快同时威力极大的网络蠕虫成为了最令计算机用户头痛的安全威胁，Netsky、Sober、Zafi等一大批蠕虫病毒甚至一度占据了全球病毒感染活动半数以上的份额。

 

身兼百家的经济窃贼：间谍软件

间谍软件（Spyware）一词诞生于上世纪末，但是具有间谍特性的病毒程序在这个词汇出现之前就已经存在了。间谍软件通常指那些在用户不知情的情况下，窃取用户信息或进行非授权操作的软件。也许对间谍软件争议最大的一点就在于它是否应该被划分到病毒领域，因为在最正统的定义里要求病毒程序具有自我复制的能力，而间谍软件并不全都具备这一特性。只有部分间谍软件会在自己的进程被杀死后自动创建一个活动副本，以维持自身的生存。间谍软件通常不对计算机形成破坏，只是静悄悄地将有价值的信息传送到位于远方的窃密者手中。而在隐藏自己真实意图和行踪方面，间谍软件往往具有特洛伊性质，在一些显式的、对用户有益的功能背后，一些其它不可告人的工作在同步执行着。而事实上，间谍软件包含的特性和行为还远不止这些，包括脚本病毒、蠕虫病毒所惯用的一些方法也广泛的被应用于间谍软件之中。所以从技术角度来看，这是一种综合了以往各种病毒优势的新型的恶意软件，只是在目的和行为方式上与以往的各种病毒程序有所区别。间谍软件的目的往往集中于现实的经济利益，专门以各种金融帐号和各种能够变现的电子帐号为***目标。正因为业有专攻，间谍软件往往尽可能不对系统造成影响，也使得这种恶意软件更加难以发现和清除。

 

我是谁：那些灰色的软件 从2005年开始，流氓软件这个词汇成为了恶意软件领域的热点，这些软件既不能划分到那些以破坏和盗窃为目的的软件当中，又不能完全算作正常的软件，这些软件没有明显恶意、但是对用户造成了某些干扰或对计算机安全造成了潜在危害。例如，一些典型的流氓软件阻止用户卸载他们、强制地从网上下载内容、更改浏览器的配置选项。相对来说，这类软件难以归类，主要的原因在于某些流氓软件与***程序和间谍软件之间的界限已经相当模糊。因为归类的困难，在命名上也存在着很多争论，绝大多数意见倾向于将其统称为恶意软件。也许我们更应该将其成为灰色软件，就像我们将那些致力于奉献和创新的***称之为白帽而将那些致力于破坏和犯罪的***称之为黑帽那样，对于这些处于正常软件和非法软件中间地带的软件，这个名字能够更贴切地表现它们的地位。

 

蝗虫飞向下一片麦田：移动设备病毒

PC的发展速度在近两年已经有所放缓，手机、PDA等移动设备已经成为业内公认的下一支潜力股。仅以中国地区为例，手机持有量已经达到了四亿部。用户基数已经不是问题，一旦智能手机和各种高频宽通信线路普及程度达到一定程度，有更多的用户会利用移动设备平台开展商务活动，移动设备病毒极有可能成为下一个病毒发展高峰。事实上，早在2000年，基于WAP进行传播的手机病毒就被发现，而在2004年6月，在Symbian智能手机平台上感染的蓝牙病毒Cabir被发现，同年7月，微软的WinCE平台上也出现了概念验证性病毒Dust也被发布出来。而到了2005年7月，模拟Symbian版Doom 2程序的Doomboot病毒被发现，该病毒综合了之前大部分智能手机病毒的特性。与之前的病毒有所不同，Doomboot想尽一切方法隐藏自己，一般用户很难发现它的存在。最新的Doomboot变种还会破坏手机中的核心信息并使手机无法启动，成为目前机制最为复杂、破坏力最强的移动设备病毒之一。目前移动设备病毒的数量已经超过千种，而且发布的速度越来越快。在移动设备这片趋向成熟的麦田里，一场病毒与反病毒的战争即将展开。

 

 

 

法律声明：本文章受到知识产权法保护，任何单位或个人若需要转载此文，必需保证文章的完整性（未经作者许可的任何删节或改动将视为侵权行为）。若您需要转载，请务必注明文章出处为51CTO以保障网站的权益；请务必注明文章作者为离子翼（[url]http://ionwing.blog.51cto.com[/url]）。转载时请将此法律声明一并转载，谢谢！

>>>最新新版本地址