中国计算机反病毒30年重要计算机病毒

中国计算机反病毒30年重要计算机病毒1988年,当王江民看到自己编写工控软件的计算机上有一个小球状的图标在跳来跳去的时候，并没有意识到这个小小的东西会给计算机带来多大的麻烦。凭着过硬的汇编功底，王江民很轻松地就把这个现在看来是中国出现的第一个病毒“小球”手工清除了，并把清除病毒的杀毒程序命名为KV1，这就是中国最早的计算机杀毒软件雏形。30年后的今天，计算机病毒已经超过100万种，电脑和操作系统也已经更新升级了一代又一代，而每一个阶段，总会有一些令人印象十分深刻的病毒，病毒在给计算机用户带来了许许多多麻烦，上演着一幕幕虚拟世界的《罪与罚》。恶作剧时代从1988年出现“小球”病毒起至1992年之前，大部分病毒都是恶作剧式的DOS病毒。他们在电脑用户的屏幕上用各种各样五花八门的花样展现着自己，“小球”病毒在电脑屏幕上跳来跳去，“贪吃蛇”则会吃掉所经过屏幕上的字符，有的会放出缤纷的礼花，干扰用户的电脑操作，但并不对系统造成破坏。其它的还有“米开朗基罗"'黑色星期五”“Stoned(石头)”病毒等等，这些病毒都会感染.COM和.EXE文件。这类病毒的病毒代码主体没有加密，也容易被查出和解除。接着，又一些能对自身进行简单加密的病毒相继出现。它们加密的目的主要是防止跟踪或掩盖有关特征等。后来还有一些对抗反病毒技术和隐藏自己的病毒出现。1992年以后，一些病毒开始破坏系统引导区，但由于那时候电脑主要是在高校和科研机关应用，普通家庭根本没有机会接触到电脑，只有少数一些电脑使用者在关注它们，病毒与电脑使用者之间就象是玩一场游戏，在杀与被杀之间斗智斗勇，这是一场只有少数人才有资格参与的游戏。“快乐时光”不快乐！1995年开始，WINDOWS视窗的推出和INTERNET的应用带来了病毒的繁荣。WINDOWS和INTERNET给人们带来了“欢乐时光”，与此同时，一种“欢乐时光(happytime)”病毒也在悄然来袭。“快乐时光”能够通过电子邮件迅速传播，发送大量的带毒邮件，而且电脑用户只要打开这封邮件，病毒就会被触发，向电脑中所有的联系人发送同样的带毒邮件。快乐时光使用了微软并利用OutlookExpress一个漏洞，该漏洞可以在你没有点击运行附件时就将附件运行。快乐时光能够感染VBS、html和脚本文件，成为互联网上长期的祸害。后来快乐时光又出现了很多变种，具有许多新的特性，如在系统日期月和日数值之和等于13的那天发作，一直到2005年才开始退出流行病毒行列。那时候，很多电脑用户都不装杀毒软件，在感到电脑运行缓慢的时候，往往会找来杀毒软件临时杀毒，结果一杀就能杀出数千上万个病毒。因为快乐时光是感染型病毒，电脑中有多少脚本和网页文件，病毒就能感染多少，所以出现了杀出一万多个病毒的奇观。CIH中国信息大劫难1998年2月，陈盈豪编写出了破坏性极大的Windows恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏，然后悄悄的潜伏在网上的一些供人下载的软件中。一个月后，也就是1998年8月26日，CIH-1.4病毒首先跳出来发作，我国部分地区遭到袭击，但损害面积不大。事后，为了避免更大灾害，我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是，使用正版杀毒软件的意识不被一些用户重视，又不经常保持升级杀毒软件，CIH-1.2病毒又经过一年的传播，已传遍全世界，世界性的巨大杀机潜伏下来了，一场人类史无前例的信息大劫难即将暴发。1999年4月26日，一个计算机行业难以忘却的日子，也就是到了CIH-1.2病毒第二年的发作日，人们起早一上班便轻松的打开计算机准备工作，可是，打开一台计算机后，只看到屏幕一闪便就黑暗一片。再打开另外几台，也同样一闪后就再也启动不起来了..，计算机史上，病毒造成的又一次巨大的浩劫发生了。第二天早上，上门请求恢复硬盘数据的用户从各大杀毒软件公司的楼上一直排到了公司门前的马路上，公司全体员工连夜为用户修复电脑硬盘数据，整整忙了一个星期，这种情况才有所缓解。谈到造成那次计算机浩劫，反病毒专家严绍文分析说，主要原因是人们没有起码的防范意识。早在1998年杀毒软件就可以清除CIH病毒，但那时许多人掉以轻心，没有及时定期地对计算机进行病毒扫描，还有一部分用户没有升级，加上那时杀毒软件盗版成风，种种原因聚集在一起，导致了1999年CIH的大规模爆发。对于CIH病毒，每年都会病毒发作情况监控，2006年以后，随着使用以DOS为内核的WIN98和WINME操作系统的人越来越少，CIH已经失去了发作的系统平台，连续几年对CIH病毒发作情况进行的监测数据表明CIH已经开始退出病毒舞台。“梅丽莎”美丽杀手1999年在西方国家大爆发的Melissa，又称为“梅丽莎”或者美丽杀手，是一种Word97宏病毒，专门针对微软的电子邮件服务器MSExchange和电子邮件收发系统Outlook。该病毒利用Outlook全域地址表来获取信箱地址信息，并自动给表中前50个信箱发送电子邮件，并在其后附加一个被感染的文件list.doc，内含大量的色情网址。该病毒会在每台被感染的电脑上重复这样的动作，在短时间内形成连锁反应，产生大量的电子邮件垃圾，造成邮件服务器严重阻塞以至最后瘫痪。“梅丽莎”造成了超过8000万美元的经济损失。“求职信”不死毒王求职信病毒始现于2001年8月，因为病毒中带有特征字句"Iwantagoodjob,Imustsupportmyparents.（我必须找到一份工作来供养我的父母）”，因此被称之为“求职信”病毒。病毒家族中的几位“重要”的成员分别是：Worm.WantJob.61440>Worm.WantJob.73744>Worm.WantJob.81936Win32.Foroux.A这是一个高危险性的恶性邮件病毒，它与Nimda病毒同样利用了IframeExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行，具有非常强的传播性。“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能，而且在感染计算机后还不停的查询内存中的进程、检查是否有一些杀毒软件存在。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。该病毒每过8小时就搜寻一切可写的网络资源（如局域网的完全共享目录），随机产生一个文件名，加密后把复制过去。因此感染性极强。主要特点是通过电子邮件系统进行传播，感染电脑之后能主动关闭许多杀毒软件的运行，正是这一个特点使得它的传播速度明显快于其他病毒，其次它还能感染通过在局域网与电脑相连接的共享驱动器。求职信病毒如果感染的是WindowsNT/2000系统的计算机，即把自己注册为系统服务进程，一般方法很难杀灭。它还不停地向外发送邮件，把自己伪装成Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg类型文件中的一种，文件名也是随机产生的，很具隐蔽性。该病毒将会自动搜索硬盘，用内存中的随机数据覆盖硬盘上的所有文件，因此会给用户数据带来无法估量的损失。求职信病毒后来也出现了大量的变种，历经数年而不衰，一段时间被称为是“不死毒王”直到2005年。SQL杀手史上最短小、杀伤力最大的蠕虫SQL杀手（Worm.SQL.Helkerm）蠕虫病毒是一个病毒体极其短小,却具有极强的传播性病毒，病毒只用376个字节的程序，就使全球互联网遭遇到重创。病毒不破坏文件、数据，但是能消耗大量网络带宽资源，使得网络陷入瘫痪。据反病毒专家介绍，此病毒利用MicrosoftSQLServer的漏洞进行传播。由于MicrosoftSQLServer在世界范围内都很普及，因此此次病毒攻击导致全球范围内的互联网瘫痪，在中国80%以上网民受此次全球性病毒袭击影响而不能上网，很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。“SQL杀手”病毒能够大面积传播的奥秘在于，病毒在入侵未受保护的机器后，首先取得三个Win32API地址，即GetTickCount、Socket、Sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的IP地址，然后将自身代码发送至1434端口（MicrosoftSQLServer开放端口），该蠕虫传播速度极快，它使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器，而受到感染的电脑又开始进行下一轮攻击，病毒以255的几何倍数级传播，因此能够在短短一小时左右迅速传遍全球。冲击波2003年8月12日，是继1999年4月26后又一个让电脑用户难以忘记的日子。这天，几乎所有WIN2000以上操作系统的用户一连上网就被提示系统将要在一分钟内重启，局域网用户的电脑也出现同样症状。截止到今年4月份，据微软统计，这个被命名为“冲击波”的病毒已经感染了近千万台电脑。冲击波利用微软操作系统RPC漏洞传播，扫描TCP端口，对所有存在漏洞的机器发送攻击代码，病毒无需进入硬盘，在内存中即可导致被扫描到的机器频繁重启。一时间，冲击波病毒在全球范围内的泛滥不可遏止，全国上百万台计算机、上千个局域网被感染，并以极快的速度传播。据技术人员介绍，冲击波病毒是一种蠕虫病毒，其样本大小为6176字节，感染的操作系统为Windows2000和XP等操作系统。病毒会下载并运行病毒文件Msblast.exe，最终将会导致机器停止响应。随着互联网信息时代的到来，网络安全已经成为企业和个人不得不面临的问题，”准确的说，根本没有所谓永久性的安全防护措施，对用户而言，提高防护意识可能更重要!”震荡波不平常的五一2004年5月1日，人们正沉浸在五一长假的快乐当中，震荡波病毒开始发难，其攻击手段与冲击波如出一辙，仍然是利用微软操作系统漏洞以及开放的端口从内存到内存对连在网上的电脑进行攻击的。一时，反病毒公司的热线电话响声四起，反映自己奔四电脑比586还慢，上不了网、频繁重启的求助电话一个接着一个。“震荡波”病毒在短短12天时间内，接连出现6个变种，感染了全球约1800万台电脑，损失高达5亿美元。5月1日，国家计算机病毒应急中心发现，一种利用微软操作系统漏洞的蠕虫病毒正在对互联网发起攻击，并陆续接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。凭着与计算机病毒多年的实战经验，专家们认为这个病毒潜在的危害巨大，病毒利用的是WindowsLSASS的一个已知漏洞(MS04-011)，被攻击的计算机会出现系统频繁重启的现象，与去年大面积爆发的冲击波病毒危害十分相似。反病毒专家们担心的是，虽然去年4月份微软就发布了这个漏洞补丁，但我国仍有相当部分用户没有打上这个漏洞补丁。当日，国家计算机病毒应急处理中心紧急与反病毒厂商联系，要求反病毒厂商紧急升级杀毒软件病毒库。网银大盗网上银行大劫难2003年4月21日，某杀毒软件厂商截获一种专门盗取某网上银行用户名和密码的木马病毒，这种病毒会在用户计算机中创建可执行文件与挂钩和发信模块文件，并修改注册表，病毒在系统启动时即可运行。病毒主程序开启2个计时器，计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口，如果发现用户正在”某网上银行”的登录界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息保存到共享内存中，电脑与网络再次连通后，木马就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。“网银大盗”系一种间谍软件，属于木马类病毒，该病毒利用某网上银行系统漏洞，偷取网上银行用户银行卡号和密码，并自动发送给病毒作者。截止犯罪嫌疑人被捕时，该犯罪团伙已成功窃取资金4.8万元。在某网上银行技术人员的努力下，该病毒于4月中旬即被查杀，某网上银行也已经进行了紧急技术升级，堵上了这个漏洞，避免了一场即将发生的网上银行浩劫，保护了某网上银行用户上千万资金安全。证券大盗“证券大盗”木马病毒(Trojan/PSW.Soufan)可以盗取多家证券交易系统的交易账号和密码，被盗号的股民帐户存在被人恶意操纵的可能。据反病毒专家介绍，病毒运行后，自动监控一些特定的金融证券网站页面，当病毒监测到包含多家券商名称的网站标题窗口时，就开始使用键盘钩子程序自动记录用户登陆信息，包括用户名和密码，同时，病毒还通过屏幕快照将用户登陆时窗口画面保存为图片，在记录达到一定次数后，将记录的信息和图片通过电子邮件发送给病毒作者。该病毒可能造成的危害在于，黑客可以恶意操纵被盗的股票，将某高价股票高买低卖，然后使用自己的账户将同一股票低买高卖，赚取中间的差价，给被盗股民带来巨大的损失。更为狡猾的是，“证券大盗”病毒每次运行后即“自杀”，并删除自身在系统中留下的文件，达到消毁“罪证”的目的，“作案”手段十分隐蔽。2006年5月14日，新华社报道，据公安部门侦察，截止到犯罪嫌疑人被捕时，证券大盗病毒作者已利用“证券大盗”病毒程序，在不到2个月时间里，截获股民股票账户、密码，盗买、盗卖股票价值1141.17万元，非法获利38.6万元。5月9日下午，南昌市中级人民法院一审以盗窃罪判处主犯张勇无期徒刑，从犯王浩、邹亮分别被判13年和12年有期徒刑。敲诈者2006年6月11日，国内首例旨在敲诈被感染用户钱财的木马病毒被截获。该病毒名为“敲诈者”(Trojan/Agent.bq)，病毒可恶意隐藏用户文档，并借修复数据之名向用户索取钱财。“敲诈者”给中毒的电脑用户带来了巨大麻烦。山东某公司财务部电脑感染了“敲诈者”，导致财务报表莫名失踪，用户不得已紧急飞往北京寻求数据恢复。广州某从事鞋业国际贸易的用户因感染该病毒，导致一笔巨额外贸订单丢失，白白损失数十万元。而唐山某银行的用户也因为感染了敲诈者，导致单位工资报表被隐藏，一时难以恢复。“敲诈者”病毒可谓作恶多端，一时网上人人喊打，被病毒侵害丢失巨额外贸订单的网友“大叔”甚至极端地在网上发帖，称要悬赏十万严惩名为“欧阳俊曦”的病毒作者。据工程师介绍，全国估计至少有数千人感染该病毒，目前反病毒中心已截获该病毒的7个变种。新华社6月19日报道，经过病毒留下的线索和技术分析，反病毒工程师锁定了一网名为“俊曦”的人，怀疑此人即为“敲诈者”病毒的作者。据“俊曦”在MSN上留言，他传播病毒不过是为了“买点面包充饥”。“俊曦”自称是有着二十年编程经验的程序员，以前沉溺于技术赚钱不多得不到周围人承认，现在感觉“经常用左腿走路累，突然换右脚感觉快多了”，暗示编写程序不如编写病毒赚钱。他还透露将掀起“更大的风暴”。另据介绍，病毒作者还透露“敲诈者”病毒是2006年6月6日制作完成并传播的，而这一天恰好是西方国家的魔鬼日，病毒作者对此颇为自得，自称事前并无预谋，如此巧合“似有神助”。“敲诈者”病毒案例引起了公安部及广东省公安厅领导的高度重视，广州警方成立了专案组，迅速锁定了病毒制造者欧阳某，并于7月3日晚9时许，在广州白云区某小区内将犯罪嫌疑人抓获，当场查获作案工具计算机2台以及手机卡和银行卡一批。从案发到侦破仅用了19天时间。熊猫烧香2006与2007年岁交替之际，一名为“熊猫烧香”的计算机病毒在互联网上掀起轩然大波。短短一个多月，病毒已迅速在全国蔓延，受害用户至少上百万，计算机反病毒公司的热线电话关于该病毒的咨询和求助一直不断，互联网上到处是受害者无奈的求助、怨恨、咒骂，电脑里到处是熊猫烧香的图标，重要文件被破坏，局域网彻底瘫痪，病毒造成的损失无法估量。“威金”病毒新变种“熊猫烧香”仍在疯狂传播，上演着最后的疯狂。监测发现，该病毒的传播手段更是无所不用其及，继一些IT专业门户及资讯网站成为病毒帮凶后，一家普及率非常高的影音播放软件网站也感染了该病毒，用户点击网页即可中毒。“熊猫烧香”不但可以终止大量的杀毒软件和防火墙程序，而且还禁止用户使用GHOST恢复系统，通过U盘、共享文件夹、系统默认共享、IE漏洞、QQ漏洞、系统弱口令等等多种途径传播，局域网中一台机器感染，可以瞬间传遍整个网络。反病毒专家介绍，病毒快速传播目前存在三大原因。一是大量的企业用户使用国外杀毒软件，而国外杀毒软件对于此类国产病毒响应速度特别慢。二是一部分网站编辑或网站管理人员本身机器感染了病毒，由于病毒能够修改HTML文件，当他们把受感染文件上传到服务器后，访问者点击此类受感染网页即中毒。三是病毒综合利用了多种漏洞和传播途径，如利用微软MS06-014漏洞感染HTML文件，通过QQ最新漏洞传播自身，通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。磁碟机近日，越来越多的企业用户求助，称他们的企业网络正在遭受病毒侵袭，电脑运行缓慢，出现系统蓝屏、死机等现象，可执行文件被病毒感染，整个网络安全面临严重的病毒威胁。反病毒工程师经提取病毒