计算机病毒的发展过程.doc

计算机病毒的发展过程计算机病毒的发展过程2010年08月08日星期日下午09：00 20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为"磁芯大战"的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓"病毒"的第一个雏形20世纪70年代，美国作家雷恩在其出版的P1的青春一书中构思了一种能够自我复制的计算机程序，并第一次称之为"计算机病毒"1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为"巴基斯坦智囊"的病毒，该病毒只传染软盘引导这就是最早在世界上流行的一个真正的病毒1988年至1989年，我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒，该病毒体代码中有明显的标志"Your PC is now Stoned！"、"LEGALISE MARIJUANA！"，也称为"大麻"病毒"等该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。

类似这种特性的还有"小球、Azusa/Hong-Kong/2708、Michaelangelo，这些都是从国外传染进来的而国产的有Bloody、Torch、Disk Killer等病毒，实际上它们大多数是Stoned病毒的翻版20世纪90年代初，感染文件的病毒有Jerusalem(黑色13号星期五)、YankeeDoole、Liberty、1575、Traveller、1465、2062，4096等，主要感染.COM和.EXE文件这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除这些病毒中，略有对抗反病毒手段的只有Yankee Doole病毒，当它发现你用DEBUG工具跟踪它的话，它会自动从文件中逃走接着，又一些能对自身进行简单加密的病毒相继出现，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒它们加密的目的主要是防止跟踪或掩盖有关特征等在内存有1741病毒时，用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使看起来字节数很正常而1345-64185病毒却每传染一个目标就增加一个字节，增到64185个字节时，文件就被破坏。

以后又出现了引导区、文件型"双料"病毒，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有Flip/Omicron、XqR(New century)、Invader/侵入者、Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染Flip/Omicron(颠倒)、XqR(New century新世纪)这两种病毒都设计有对抗反病毒技术的手段，Flip(颠倒)病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病毒在主引导区只潜藏了少量的代码，病毒另将自身全部代码潜藏于硬盘最后6个扇区中，并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区，所以再次起动系统后，硬盘的实用空间就减少了6个扇区。

这样，原主引导记录和病毒主程序就保存在硬盘实用扇区外，避免了其它程序的覆盖，而且用DEBUG的L命令也不能调出查看，就是用FORMAT进行格式化也不能消除病毒，可见，病毒编制者用意深切！与此相似的还有Denzuko病毒XqR(New century新世纪)病毒也有它更狡猾的一面，它监视着INT13、INT21中断有关参数，当你要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让你搜索，使你认为一切正常，病毒却蒙混过关病毒的这种对抗方法，我们在此称为：病毒在内存时，具有"反串"(反转)功能这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、3783病毒等，现在的新病毒越来越多的使用这种功能来对抗按装在硬盘上的抗病毒软件，但用无病毒系统软盘引导机器后，病毒就失去了"反串"(反转)功能1345、1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位，从外表上看，文件一个字节也没增加。

INT60(0002)病毒隐藏的更加神秘，它不修改主引导记录，只将硬盘分区表修改了两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节指向的区域硬盘引导时，ROM-BIOS程序糊理糊涂的按这两个字节的引向，将病毒激活病毒太狡猾了，只需两个字节，就可以牵着机器的鼻子走！Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来，如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换，那么，就再进不了硬盘了，数据也取不出来了，所以，不要轻易使用FDISK/MBR格式1992年以来，DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现，具有感染力极强，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数，将文件名字与文件代码主体分离在系统有此病毒的情况下，一切就象没发生一样而在系统无病毒时，你用无病毒的文件去覆盖有病毒的文件，灾难就会发生，全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容这是病毒"我死你也活不成"的罪恶伎俩该病毒的出现，使病毒又多了一种新类型20世纪内，决大多数病毒是基于DOS系统的，有80%的病毒能在WINDOWS中传染。

TPVO/3783病毒是"双料性"、(传染引导区、文件)"双重性"(DOS、WINDOWS)病毒，这是病毒随着操作系统发展而发展当然，Internet的广泛应用，Java恶意代码病毒也出现了脚本病毒"HAPPYTIME快乐时光"是一种传染能力非常强的病毒该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行)，对当前计算机进行感染和破坏即，一旦我们将鼠标箭头移到带有"HAPPYTIME快乐时光"病毒体的邮件名上时，不必打开信件，就能受到HAPPYTIME"快乐时光"病毒的感染，该病毒传染能力很强近几年，出现了近万种WORD(MACRO宏)病毒，并以迅猛的势头发展，已形成了病毒的另一大派系由于宏病毒编写容易，不分操作系统，再加上Internet网上用WORD格式文件进行大量的交流，宏病毒会潜伏在这些WORD文件里，被人们在Internet网上传来传去早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剥析中，发现部分病毒好象出于一个家族，其"遗传基因"相同，简单的说，是"同族"病毒但绝不是其他好奇者简单的修改部分代码而产生的"改形"病毒。

"改形"病毒的定义此应简单的说，与"原种"病毒的代码长度相差不大，绝大多数病毒代码与"原种"的代码相同，并且相同的代码其位置也相同，否则就是一种新的病毒大量具有相同"遗传基因"的"同族"病毒的涌现，使人不的不怀疑"病毒生产机"软件已出现1996年下半年在国内终于发现了"G2、IVP、VCL"三种"病毒生产机软件"，不法之徒，可以用来编出千万种新病毒目前国际上已有上百种"病毒生产机"软件这种"病毒生产机"软件可不用绞尽脑汁的去编程序，便会轻易的自动生产出大量的"同族"新病毒这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是，这些病毒的主体构造和原理基本相同"病毒生产机"软件，其"规格"有专门能生产变形病毒的、有专门能生产普通病毒的目前，国内发现的、或有部分变形能力的病毒生产机有"G2、IVP、VCL病毒生产机等十几种具备变形能力的有CLME、DAME-SP/MTE病毒生产机等它们生产的病毒都有"遗传基因"于相同的特点，没有广谱性能的查毒软件，只能是知道一种，查一种，难于应付"病毒生产机"生产出的大量新病毒据港报载，香港已有人也模仿欧美的Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即"疯狂贵族变形金刚病毒生产机"，已放出了几种变形病毒，其中一种名为CLME.1528。

国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒更令人可恶的是，编程者公然在BBS站和国际互联网Internet中纵恿他人下传"病毒生产机"的存在，随时就有可能存在着"病毒暴增"的危机！危机一个接一个，网络蠕虫病毒I-WORM.AnnaKournikova，就是一种VBS/I-WORM病毒生产机生产的，它一出来，短时间内就传便了全世界这种病毒生产机也传到了我国Windows9x、win2000操作系统的发展，也使病毒种类和样随其变化而变化以下例举几个点型的WINDOWS病毒WIN32.CAW.1XXX病毒是驻留内存的Win32病毒，它感染本地和网络中的PE格式文件该病毒的产生是来源一种32位的Windows"CAW病毒生产机"，该"CAW病毒生产机"是国际上一家有名的病毒编写组织开发的"CAW病毒生产机"能生产出来各种各样的CAW病毒，有加密的和不加密的，其字节数一般在1000至2000内目前在国内流行的有：CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等，在国际上流行的CAW.1XXX病毒种类更多。

病毒有以下几项破坏：1、当病毒驻留内存时，病毒会在每日的整点时间，如1：00,6：00,10：00,.，病毒就会删除一些特定的文件，如：.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE2、当7月7日的时候CAW病毒就会发作，删除硬盘上的所有文件3、某些CAW.1XXX病毒有缺陷，被传染上该病毒的文件被破坏了，杀毒后文件也无法修复，只能用正常文件覆盖坏文件病毒还有一个缺陷，即重复多层次感染文件，容易将文件写坏了WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件病毒本身就是只具有'.code'部分PE格式的可执行文件当染毒的文件被运行时，该病毒将在Windows\system目录下创建FLCSS.EXE文件，在其中只写入病毒的纯代码部分，并运行这个生成的文件一旦在创建FLCSS.EXE文件的时候发生错误，病毒将从染毒的主机文件中运行传染模块该传染模块被作为独立的线程在后台运行，主机程序在执行时几乎没有可察觉的延时传染模块将扫描本地从C：to Z：的所有驱动器，然后搜索网络资源，扫描网络中的子目录树并感染具有.OCX,.SCR or.EXE扩展名的PE文件。

这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe，被修补的文件不可以恢复只能通过备份来恢复WIN32.KRIZ.4250病毒已大面积传播,这是一个变形病毒,变化多端,每年的12月25日象CIH病毒一样破坏硬盘数据与主板BIOS，该病毒目前也有许多字节数不同的变种病毒的种类、。