精华 计算机病毒的故事[转译]

[shusheng]

1962年，贝尔电话实验室(Bell Telephone Labortories)开发了一个叫Darwin的游戏。这个游戏可以说是最早的带有“病毒”性质的计算机程序。这个程序通过超级用户来启动，对游戏规则以及游戏参加者的程序之间的“战斗”进行管理。Darwin可以通过检查执行环境，对自身进行修复。这个游戏的目标是将全部游戏参加者写的程序终止掉。

1970年初期，在后来成为因特网的雏形的美军ARPANET网上，发现了一个叫Creeper的病毒。这个叫Creeper的程序，可以通过调制解调器连网，向远程的系统传送自已的拷贝。被感染的系统，会显示"I'M THE CREEPER ... CATCH ME IF YOU CAN"的信息，所以这个病毒被命名为Creeper。

Creeper这个病毒本身一般没有什么危害，但为了删除这个麻烦的程序，有人写了一个叫Reaper的程序。Reaper从本质上说也是一个病毒，但它也带有反病毒的功能。Reaper程序通过网络散发自己，寻找Creeper程序；一旦找到了，就把它从系统里删除。不过，到现在人们也没能搞清，这个Reaper程序是为了同Creeper对抗的别的组织（或是个人）写的呢，还是写Creeper程序的同一个组织（或是个人）写出来的。

1974年，在大型机上出现了一个叫做Rabbit的程序。之所以被称做兔子，是因为这个程序飞速地增殖自已，并在不同的磁带机上扩散。通过飞速而大量增殖自己，Rabbit可以占领大量的系统资源，导致系统速度变慢。当超过了增殖的临界点时，Rabbit可以引起重大系统故障。

1981年，首次出现了传染个人计算机的病毒。这个被称作"Elk Cloner"的病毒通过把自己保存在Apple2软磁盘的引导扇区里进行传播。当时，人们不能理解到底发生了什么事，有人甚至相信地球外的生命是这个病毒的发信源。被感染Elk Cloner的计算机，把显示器里显示的图像反转显示，使显示器上的文字闪烁，或是显示不同的信息，给当时的人们留下了很深的印象。

1983年，Lehigh大学的 Len Adleman 对“可以自己繁殖的程序”首次使用了“病毒”这个名称。在1984年的第7届信息安全大会上，Fred Cohen给“计算机病毒”下了一个科学的定义：为了繁殖自己，拥有感染甚至改变别的程序的功能的程序。

1986年，巴基斯坦19岁的程序员Basit Farooq Alivi和他的兄弟Amjad，制作了第一个以IBM兼容机为目标的病毒，称做Brain。这两兄弟在软件公司工作时，为了调查巴基斯坦国内的盗版软件使用情况，决定使用病毒这种特殊的方法。但是运气太差，他们变得无法控制这个实验，Brain“逃去”了国外。

1986年，德国的程序员Ralf Burger发现了通过在COM文件里加特定代码，使程序可以自己复制的方法。这个程序的试验版本被称作Virdem，Burger本人在1986年12月在汉堡开的黑客们的地下计算机专栏Chaos Computer Club里，专门演示了Virdem的性能。当时，Chaos Computer Club的主要会员，都是VAX/VMS系统的黑客，对会员中的一人专门研究IBM兼容机表示了失望。

1987年，Vienna病毒流行了起来。这是以个人计算机为目标的首次大规模的病毒流行。基本上整个世界都受到了影响，对于这个病毒的发生源也有多种说法。最初引起注意的是一个叫Franz Svoboda的人，他最早自己承认了是这个病毒的作者。但是，进一步的调查显示，Franz Svoboda是从 Ralf Burger那里拿到这个病毒的。但是，Ralf Burger坚持病毒是从Franz Svoboda那里拿到的。到底谁是这个“可爱的孩子”的生父，现在依然是一个谜。这样，正式的记录上，Vienna病毒是一个“孤儿”。

1987年12月，网络病毒“圣诞树”悄悄地流行了起来。12月9日，这个病毒从西德某个大学，在Bitnet网络上传播开来。通过EARN(European Academic Research Network)的网关，侵入了IBM-Vnet网络。在此后的4天里，一直到12月13日，这个病毒使整个网络陷入了麻痹状态。圣诞树病毒一旦开始执行，会在屏幕上画出一棵圣诞树，并向别的网络用户传送自己的拷贝。

 

[胖蹄阿克]

后面该提到著名的stone和cih了吧?

 

[shusheng]

1988年，当时的著名程序员Peter Norton在被采访时说，计算机病毒只是一个神话，引起了不少争议。Peter是著名的Norton Utilities的作者。有趣的是，当他把他的公司卖给Symantec以后，Symantec用Norton这个品牌，出品了不少软件。其中就包括著名的反病毒软件Norton AnitiVirus。

1988年11月，网络病毒Morris开始大规模流行。这个病毒在美国就感染了6000多台计算机。包括NASA研究中心的计算机在内的这些机器，基本上变得完全不能使用。Morris在计算机出现特定的错误时，向网络上的别的计算机无限制地复制自己。这个动作本身非常地简单，但却将网络带宽消耗殆尽。Morris病毒估计造成了9,600万美元的损失。

1989年12月，有人从PC Business World以及世界卫生组织盗取了近20,000个地址，并向这些地址寄去了含有特洛依木马程序的磁盘。使用了这张感染过的磁盘以后，特洛依木马程序自动潜入系统，在系统里生成隐蔽的目录和文件，把自己作为系统文件隐藏起来。被感染的系统起动90次以后，所有的文件名都会被加密而看不见，硬盘上最后只剩下一个只读文件，里面是向特定地址付钱的说明。通过这个线索，警察迅速找到了这个特洛依木马的制作者Mr. Joseph Popp。后来查明此人有精神病。但即使这样，意大利的法庭也以被告不到庭的方式对他进行了起诉。

1990年6月，英国计算机杂志PC Today被卷入了病毒问题。当时这个杂志向杂志客户发放了免费的磁盘。但是PC Today不知道的是，这个磁盘里混入了DiskKiller病毒。这份流行的杂志当时卖了5万份，每份的磁盘里都有 DiskKiller，造成了灾难性的后果。

1992年初，出现了“多元形代码生成器”MtE。这个生成器的主要目的，是将几个病毒结合起来，生成“多形代码”(Polymorphic code)。这个生成器的作者Dark Avenger并没有什么名气，但使别的病毒作者可以简单地使用MtE。这个生成器以立即可以使用的Object文件形式提供，并付有详细的文档介绍如何最大限度地使用这个生成器。

 

[shusheng]

1992年，被分类为“反反病毒”的病毒首次出现。这个叫Peech的病毒，会将Central Point AntiVirus的安全数据库删除。Central Point AntiVirus如果启动后找不到这个数据库的话，会认为自己是刚被安装而重建数据库。这时，它会把带有病毒的系统当作干净的系统记录在数据库里。通过这种方法，Peech透过反病毒软件而混入系统。

1992年3月，米开朗其罗病毒大流行，几乎引起歇斯底里的反映。这次特殊的流行，其实是反病毒软件公司造成的。这些公司考虑的不是怎样帮助用户保护他们的系统，而是为了使大众对自己的产品注意而获得商业利益，他们不负责任地利用病毒流行。为了实现这个想法，美国的一个公司宣称在3月6日会有病毒爆发，可能有500万台电脑被破坏。这个公告引起了很大的骚乱，各反病毒公司的销售额直线上升。实际上，受米开朗其罗病毒影响的计算机，只有几千台左右。

 

[shusheng]

1995年8月是病毒和反病毒软件历史上的一个重要的分歧点。以Microsoft Word为目标的，最初的“概念”上的病毒被发现了。在一个月左右的时间里，这个“概念”在世界上徘徊，侵入了多数Microsoft Word用户的计算机。1995年9月上旬，当时世界上最大的计算机制造商DEC，在爱尔兰召开的DECUS大会上，把混有这个“概念”病毒的磁盘发给了与会者。幸好发现得早，没有造成更大的伤害。重要的是，这个“概念”病毒，现在有近100种“变种”。

1995年，Ziff-Davis出版公司的英国公司，也因为病毒而受到注目。这一年的9月，他们将含有启动病毒Sampo的磁盘，发送给全部PC Magagine的订阅者。这个过失立即被发现，编辑部的主编出来谢罪，并向读者发放免费的反病毒软件。有趣的是，这个事件发生的那期杂志，正是PC Magazine对 Novell Netware的反病毒软件方案进行测试后，发表测试结果的那一期。

也是在1995年，为了对抗病毒的威胁，苏格兰场首次成立了“计算机犯罪搜查组”的组织。这个组织当时主要追踪出名的病毒作者Christopher Pile，又被称为Black Baron。当时的Christopher 26岁没有工作，但他最后承认了他开发了Queeg病毒和Pathogen病毒。Black Baron最后被判了18个月的刑。

1996年3月，针对Windows 3.1的最初的病毒开始流行。这次流行被称做Tentacle，感染了法国的医院和几个公共设施。这个病毒之所以有名，是因为它是在自然状态下被发现的最早的Windows病毒。在Tentacle被发现以前，Windows病毒都仅只是存在于病毒作者的收藏中，或是电子杂志中的电子媒体。这包括启动病毒，DOS病毒，宏病毒等等。

 

[shusheng]

1996年7月，以Microsoft Excel为目标的最早病毒Laroux被发现。在阿拉斯加和南非的两个石油公司的计算机上几乎同时发现了这个病毒。同Microsoft Word上的病毒一样，Laroux也是利用Excel文件中的宏定义功能。同Word的文章一样，Excel的页上也有程序存在。

10月后半，Microsoft被卷入了一连串与病毒有关的事件。在苏黎世的技术支持的手续说明Word文件中发现了Wazzu宏病毒。后来在巴塞罗那召开的关于电子商务的技术展览会上(Orbit Exhibition of computer technologies)，Microsoft向出席的人分发的CD里面，也找到了相同的病毒。这个Wazzu病毒，在Microsoft Solution Provider的CD里也被发现了。

1998年6月，Win95.CIH病毒开始流行。大量的计算机网络和上千台的家用计算机被感染。这个流行的开始，是在台湾的一个无名的黑客在当地的新闻组里贴了含有病毒的文件。从台湾传到了美国，然后由于管理人的不注意，感染了几个有名的游戏分发用的Web服务器。这些游戏服务器里的几个有病毒的文件，导致了世界性的流行，一直延续了有整整一年多。

1998年11月，ＶＢＳＣＲＩＰＴ.Rabbit被发现。为了感染Visual Basic Script(VBS)文件在因特网上有3个病毒在流行。

 

[shusheng]

1999年3月26日，Melissa病毒在全世界流行，造成了很大的影响。这是同时拥有MS Word宏病毒和因特网蠕虫病毒特性的最初的病毒。幸好病毒本身不是很复杂，反病毒程序员们立刻制作了软件并传到网上，病毒流行就此停了下来。但是，Melissa病毒继续给世界上的计算机系统带来重大的损失。Microsoft，Intel，Lockheed Martin等大公司的Email系统不得不被迫暂时停止。Melissa病毒所造成的损失累计有几亿美元。在美国新泽西州居住的31岁的Melissa的作者David L.Smith被逮捕，这一年的12月9日被判有罪，入狱10年并被判罚40万美金。

1999年11月，新一代隐形病毒的出现震撼了全世界。这个病毒通过没有附件的电子邮件来传递，仅只邮件打开来看一下，就会被传染。这一类的病毒最初叫Bubbleboy，后来又出现了KakaWorm。它们都是通过Internet Explorer的安全漏洞来传染的。

1999年12月7日，发现了非常复杂并危险的Babylonia病毒。这个病毒是一个叫Vecnar的巴西人写的，显示了病毒开发进入了新的阶段。Babylonia是第一个可以从远程进行自我升级的病毒。Babylionia对一个设置在日本的服务器每一分钟就进行一次检查，只要服务器里有新的病毒，它就自动下载到被感染的机器里。后来，这种从远程进行自我升级的技术，也被Sonic蠕虫和Hybris蠕虫等采用。

 

[*香梦沉酣*]

书生也很可怜的，很孤独的在自己顶自己

 

[shusheng]

2000年5月5日，LoveLetter病毒开始流行。对于没有戒心的用户来说，被伪装成无害的文件文件的VBS文件里有非常危险的病毒，是他们想像不到的。LoveLetter一旦启动，立刻将计算机里有特定扩展名的文件全部删除，在被感染的计算机里寻找MS Outlook的通讯录，并将自己的拷贝偷偷发给通讯录里的每一个人。LoveLetter的源码被公开而使世界进入了新的时代。现在，已经确认的LoveLetter的变种有130种之多。

2001年初，Linux也成了病毒的目标。当初人们认为病毒作者们不会攻击Linux，但他们错了。Ramen蠕虫在2001年1月中旬开始在因特网上流传起来，对RedHat Linux机器进行感染。由于Ramen流行的结果，NASA，Texas A&M，台湾的计算机厂商Supermicro待巨大组织的网络被侵入。这个事件发生之前，在8年多的Linux历史上，有大约50多种面向Linux的病毒被发现，但都没有能对计算机进行感染。

2001年5月，为了从金融机关盗取情报的恶性程序被开发了出来。这个叫Eurosol的特洛衣木马程序取得了WebMoney的国际金融系统的个人帐号和密码。这个病毒的作者为了不让人们找到这个程序，进行了最大限的伪装。表面上看来，它是一个告诉用户可以赚钱的广告。实际上，这个病毒起动后，它会搜索硬盘里的内容并找到WebMoney所要传送的数据。然后，电子钱包中的钱会被转到攻击者的帐号上去。这是商业病毒的最初的时候。

 

[shusheng]

在2001年里，计算机界许多对抗病毒的传说被打破了。特洛依木马病毒Gogal，可以感染RTF文本文件，把这种文件与病毒无关的神话打破了。许多反病毒程序认为RTF文件格式是安全的，在打开RTF文件时通常都不进行扫描。Gogal正是利用这点进行扩散。它一旦侵入计算机后，将计算机接入因特网的信息（用户名，密码等）收集起来，记录在特殊的文本文件里。这个信息被上传到一个任何人都可以读写的网页上。这个特洛依木马病毒的作者会定期地访问这个网页来取得盗取的信息。

流言或是小道消息有时会带来不可预想的结果。2001年11月，有小道消息说FBI正在开发一个叫Magic Lantern的间谍软件，用来追踪犯罪嫌犯。这个流言引起了计算机病毒作者们的兴趣。结果一个叫Agentlinux的17岁的黑客写了一个特洛依木马程序，把它伪装成FBI的Lantern程序。这个特洛依木马被称为Malantern，并没有在大范围内扩散。通常一个有名的病毒出现后，会有很多拷贝。这次，却是在真的病毒出现前就有了拷贝。最后，真正的Magic Lantern从来就没有出现过。

 

[shusheng]

随着时间的变化，病毒的作者们也有了更高的技巧。2002年，通过社会工程，用含有无害的病毒的文件使用户混乱的手法渐趋广泛。这个技术的最有名的例子是Myparty因特网蠕虫。这是用Email的附件来传递的病毒，Email里的图像打开后，会显示某个网页，要求用户双击附件。实际上双击附件会使有恶意的程序在计算机上开始执行。这个技术后来被病毒作者们广泛使用。

计算机病毒学的发达，吸引了更多的参加者，传播的方法也有了创新发展。2002年5月，病毒作者们找到了新的感染方法。因特网Worm.Kazaa.Benjamin蠕虫通过文件共享网络KaZaA传了开来。被Benjamin感染的机器，会生成一个特殊的目录，并让别的网络用户可以读写这个目录。这个病毒有不少别的名字，用户在KaZaA上搜索到这些名字时，就会下载到病毒。“从外部进入到计算机里的数据不可以信赖”这个防网络蠕虫的第一原则再次得到确认。到底有没有病毒一定要扫描过后才能确信。

 

[shusheng]

2003年初，计算机病毒显示了通过因特网传播，所带来的地球规模的破坏力。2003年1月，因特网蠕虫Slammer对世界上的计算机进行了攻击。在不到10分钟之内，这个蠕虫就绕我们这个行星一圈，创下了病毒传播速度的新记录。这个病毒通过Microsoft SQL Server的安全漏洞侵入计算机，被感染计算机的台数以每8.5秒翻一倍的速度增长。病毒像森林大火一样迅速漫延，造成数据通信阻塞，不堪负荷的计算机被迫停机，不少因特网分区被封锁。这次攻击的对象是韩国，日本，印度，马来西亚，菲律宾，美国。SQL Slammer造成了约9亿5000万到12亿美金的损失。

为了达到最大的破坏目的，病毒作者们不断练习他们的广告手法和编程技巧。接下来的方法是利用Spam技术把大量的病毒通过电子邮件散发出去。这一类的病毒最初出现在2003年6月。Sobig.c蠕虫通过标准的自动增殖技术和Spam技术的结合来扩散，从开始扩散仅只数分钟就上升为病毒排名第一位。到现在为止，这是因特网用户接触最多的蠕虫，爆发性的漫延病毒的最初的例子。

 

[开喜]

Okay Okay. "ding".

 

[shusheng]

因特网蠕虫Lovesan在近年的计算机病毒史上占有特殊的位置。这个病毒最早在网上出现的是2003年8月12日，它立刻在因特网上飞驶，使世界上的因特网上的数据量大增。Lovesan利用Windows的弱点进行传播，但这不是要点，Lovesan还有别的任务。被Lovesan感染的计算机本身并没有什么危害，Lovesan的作者的目标是Microsoft的www.windowsupdate.com网站。在8月16日，所有被Lovesan感染的计算机会对Microsoft的网站一齐进行攻击。但是Microsoft没有留下任何机会，在攻击开始前一天，他们关闭了那个网站。

然后，在2003年8月19日，因特网蠕虫Welchia的流行给因特网带来新的打击。Welchia会在网上搜索Lovesan，找到被Lovesan感染的计算机以后，Welchia就会自动安装自己，进行适当的WindowsUpdate。这样通过又一个病毒的传播来达到消灭前一个病毒的方法，很可能在将来变成因特网上病毒程序里的战争的基础，而被牺牲的，总是因特网的用户们。

 

[shusheng]

在2003年得到发展的计算机病毒学，在04年初被开发出来。2004年1月27日，历史上最大规模的病毒流行给因特网带来了巨大的损害。这就是Mydoom(Novarg)病毒。仅只几小时，这个恶性病毒就在世界范围内流行。从这种爆发性的流行，可以看到病毒的作者做了充份的准备，利用被这个病毒感染的计算机组成了自己的网络。当感染计算机数达到指定的临界点后，会从中央向网络发送特定的指令。Mydoom使用的这种恶性代码的整合，标志着计算机病毒学的进化，达到了一个新的阶段。

2004年3月，在此之前相当团结的病毒作者们有了裂缝。2004年3月3日，在3小时内有5种新的恶性病毒被发现。Bagle(版本I, J)，Mydoom(版本F, G)，Netsky(版本F）。网络世界的罪犯们像黑帮火拼一样在因特网上进行血战。一方是Netsky的作者，一方是Mydoom和Bagle的作者。这些恶性程序的战斗，造成了更多计算机的感染。每一方的新版病毒里，都含有中伤对方的信息。因特网变成了病毒作者们战斗升级的场所。

2004年6月14日，发现了世界最早的智能手机病毒Cabir。这个病毒由一个叫29A的组织的成员制作。这个病毒的组织为了证明恶性程序可以感染手机的概念。这个病毒本身除了向社会做宣传以外别的什么都没有。但是Cabir证明了病毒可以感染手机。

［全文完]