最近一周,勒索类电脑病毒席转全球,锁死电脑数据和文件,要求用户支付价值300~600美元的比特币赎金。国内除多所高校遭到了网络攻击,还有相当一部分企事业单位的电脑也中招。该勒索电脑病毒还很快出现了变种:WannaCry 2.0,传播速度更快。截至5月15日,WannaCry造成至少有150个国家受到网络攻击,影响到金融、能源、医疗等行业,造成严重的危机管理问题。

电脑病毒的起源与发展 开始仅仅是个玩笑可如今...

目前,安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称,美国国家安全局未披露更多的安全漏洞,给了犯罪组织可乘之机,导致了此次病毒的大规模爆发。

病毒早已经成为计算机历史的一部分,我们对于电脑病毒印象最深的,恐怕还是从1998年开始爆发的“CIH”病毒,它被认为是有史以来第一种在全球范围内造成巨大破坏的电脑病毒,破坏了无数台计算机的数据。在全球范围内造成了2000万至8000万美元的损失。

自从第一个电脑病毒爆发以来,病毒的种类越来越多,破坏力也越来越强。上世纪80年代初,电脑病毒只是存在于实验室中。尽管也有一些病毒传播了出去,但绝大多数都被研究人员严格地控制在了实验室中。随后,形势就慢慢地变得失控起来。很多电脑病毒的制作者写出病毒仅仅是为了好玩,或者是想证明一下自己,但是这些病毒流传开来之后,带给人们的损失却是数以亿计。

电脑病毒主要危害

1攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录,使磁盘上的信息丢失。

2删除软盘、硬盘或网络上的可执行文件或数据文件,使文件丢失。

3占用磁盘空间。

4修改或破坏文件中的数据,使内容发生变化。

5抢占系统资源,使内存减少。

6占用CPU运行时间,使运行效率降低。

7 对整个磁盘或扇区进行格式化。

8 破坏计算机主板上BIOS内容,使计算机无法工作。

9 破坏屏幕正常显示,干扰用户的操作。

10 破坏键盘输入程序,使用户的正常输入出现错误。

11 攻击喇叭,使计算机喇叭发出响声。还能边播放高雅曲调边偷窃信息。

12 干扰打印机,假报警、间断性打印、更换字符。

开始只是个善意的玩笑 高中生写了个电脑病毒

Elk Cloner是第一个已知被广泛传播的病毒。1982年,美国15岁的高中生里奇·斯克伦塔为apple II操作系统写了这个病毒,该病毒被存储在软盘上。当计算机启动感染了Elk Cloner的软盘时,这个病毒开始作用,并随后将它自己拷贝到任何被访问的未感染的软盘中。因为那时的计算机有两个软盘驱动器,并因为磁盘经常在朋友之间传递,这个病毒就被频繁地复制。在被感染后,计算机会启动50次,并弹出一些嘲笑似的文字提示。

Elk Cloner并非可怕的恶意软件,只是开玩笑的。青少年时期的斯克伦塔酷爱修改程序,这个病毒在他的同学(也包括他的数学老师)之间广泛地传播,因此使得Elk Cloner被载入史册。

不过,到了1986年年初,“大脑”(Brain)电脑病毒出现了。它是第一个PC病毒,也是能够自我复制的软件,并通过5.2英寸的软盘进行广泛传播。按照今天的标准来衡量,Brain的传播速度几乎是缓慢地爬行,但是无论如何,它也称得上是我们目前为之困扰的更有害的病毒、蠕虫和恶意软件的鼻祖。

“毒界明星”们 从CIH到“熊猫烧香”,个个害人不浅

自从病毒强势进入计算机的发展进程后,各种各样的病毒便如雨后春笋一样不断冒出来。它们给人类造成的危害大小不同,“名气”也有大有小。而对我们来说,在过去的一二十年里,下面这些“毒界明星”虽不能说家喻户晓,但在“业界”均有不小的恶名。

CIH病毒

爆发时间:1998年6月

损失估计:全球约5亿美元

CIH病毒是一位名叫陈盈豪的台湾大学生所编写的,后传入大陆地区。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或windows95/98为媒介,经互联网各网站互相转载,迅速传播。

CIH病毒属文件型病毒,有多个别名,主要感染Windows95/98下的可执行文件。发展过程经历了总共5个版本。

梅利莎病毒

爆发时间:1999年3月

损失估计:全球约3亿~6亿美元

梅利莎通过微软Outlook电子邮件软件,向用户通讯簿名单中的50位联系人发送邮件来传播自身。单击这个文件,就会使病毒感染主机并且重复自我复制。

估计数字显示,这个Word宏脚本病毒感染了全球15%~20%的商用PC。病毒传播速度之快令英特尔公司、微软公司、以及其他许多使用Outlook软件的公司措手不及,为防止损害,他们被迫关闭整个电子邮件系统。

爱虫病毒

爆发时间:2000年

损失估计:全球超过100亿美元

爱虫也通过Outlook电子邮件系统传播,邮件主题为“ILoveYou”,包含附件“Love-Letter-for-you.txt.vbs”。打开病毒附件后,该病毒会自动向通讯簿中的所有电子邮件地址发送病毒邮件副本,阻塞邮件服务器,同时还感染扩展名为.VBS、.HTA、.JPG、.MP3等十二种数据文件。

新“爱虫”(Vbs.Newlove)病毒同爱虫(Vbs.loveletter)病毒一样,通过outlook传播,打开病毒邮件附件后计算机硬盘灯就会狂闪,系统速度显著变慢,计算机中出现大量的扩展名为vbs的文件。所有快捷方式被改变为与系统目录下wscript.exe建立关联,进一步消耗系统资源,造成系统崩溃。

红色代码电脑病毒

爆发时间:2001年7月

损失估计:全球约26亿美元

红色代码是一种计算机蠕虫病毒,能够通过网络服务器和互联网进行传播。2001年7月13日,红色代码从网络服务器上传播开来。它是专门针对运行微软互联网信息服务软件的网络服务器来进行攻击。

被它感染后,遭受攻击的主机所控制的网络站点上会显示这样的信息:“你好!欢迎光临www.worm.com!”随后病毒便会主动寻找其他易受攻击的主机进行感染。这个行为持续大约20天,之后它便对某些特定IP地址发起拒绝服务(DoS)攻击。不到一周感染了近40万台服务器,100万台计算机受到感染。

冲击波病毒

爆发时间:2003年夏季

损失估计:数百亿美元

“冲击波”病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后利用DCOMRPC缓冲区漏洞攻击该系统,一旦成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。

另外该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。后来,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

巨无霸

爆发时间:2003年8月

损失估计:50亿~100亿美元

巨无霸通过局域网传播,查找局域网上所有计算机,并试图将自身写入网上各计算机的启动目录中进行自启动。

巨无霸该病毒一旦运行,在计算机联网的状态下,就会自动每隔两小时到某一指定网址下载病毒,同时会查找电脑硬盘上所有邮件地址,向这些地址发送标题如:“Re:Movies”、“Re:Sample”等字样的病毒邮件进行邮件传播,并将用户的隐私发到指定的邮箱。

由于邮件内容的一部分是来自于被感染电脑中的资料,因此有可能泄露用户的机密文件,特别是对利用局域网办公的企事业单位。

MyDoom

爆发时间:2004年1月

损失估计:百亿美元

MyDoom是一例比“巨无霸病毒”更厉害的病毒体,2004年1月26日爆发,在高峰时期,病毒导致网络加载时间减慢50%以上。

MyDoom病素感染了相应电脑后,会自动生成病毒文件,修改注册表,通过电子邮件进行传播,并且还会尝试从多个URL下载并执行一个后门程序,如下载成功会将其保存在Windows文件夹中,名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机。

病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址,病毒还会按照一些制定的规则自己声称邮件地址,并向这些地址发送带毒电子邮件。

震荡波

爆发时间:2004年4月

损失估计:5亿~10亿美元

震荡波于2004年4月30日爆发,短短的时间内就给全球造成了数千万美元的损失。与该病毒以前的版本相同,也是通过微软的最新LSASS漏洞进行传播。

感染的系统包括Windows2000、WindowsServer2003和WindowsXP,病毒运行后会巧妙地将自身复制为%WinDir%napatch.exe,随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,远程计算机如果存在MS04-011漏洞,将会自动运行后门程序,打开后门端口9996。

熊猫烧香

爆发时间:2006年

损失估计:上亿美元

熊猫烧香在2006年年底开始大规模爆发,以Worm.WhBoy.h为例,由Delphi工具编写,能够终止大量的反病毒软件和防火墙软件进程,病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。

“熊猫烧香”感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,导致用户一打开这些网页文件,IE自动连接到指定病毒网址中下载病毒。在硬盘各分区下生成文件autorun.inf和setup.exe.病毒还可通过U盘移动硬盘等进行传播,并且利用Windows系统的自动播放功能来运行。

“熊猫烧香”还可以修改注册表启动项,被感染的文件图标变成“熊猫烧香”的图案。病毒还可以通过共享文件夹、系统弱口令等多种方式进行传播。

电脑病毒的恶意进化史

毒性、危害越来越大

第一代病毒的产生时间可以认为在1986~1989年之间,这一期间出现的病毒可以称之为传统病毒,是电脑病毒的萌芽和滋生时期。由于当时计算机应用软件少,而且大多是单机运行环境,因此病毒没有大量流行,流行病毒的种类也很有限,清除相对来说较容易。这一阶段的电脑病毒攻击目标比较单一,或是传染磁盘引导扇区,或是传染可执行文件,且感染特征比较明显,容易被人工或查毒软件所发现。

网络问世“孵化”病毒

然而随着计算机反病毒技术的提高和反病毒产品的不断涌现,病毒编制者也在不断地总结自己的编程技巧和经验,千方百计地逃避反病毒产品的分析、检测和解毒,从而出现了第二代电脑病毒。第二代病毒又称为混合型病毒(又称为“超级病毒”),其产生的时间大约在1989-1991年之间,它是电脑病毒由简单到复杂,由单纯向成熟的阶段。

计算机局域网的应用与普及,再加上网络系统尚未有安全防护的意识,结果出现了病毒第一次流行高峰。这一阶段的病毒攻击目标趋于混合型,一种病毒既可传染磁盘引导扇区,又可传染可执行文件,采取更为隐蔽的方法驻留内存和传染目标。它们往往采取了自我保护措施,增加了检测、解毒的难度。

20年前病毒“学会变形”

第三代病毒的产生时间可以认为从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,进入宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点。

此类病毒的首创者是MarkWashburn,他并不是病毒的有意制造者,而是一位反病毒的技术专家。他编写的1260病毒就是一种多态性病毒,此病毒1990年1月问世,有极强的传染力,被传染的文件被加密,每次传染时都更换加密密钥,而且病毒程序都进行了相当大的改动。他将此类病毒散发给他的同事,目的是为了证明特征代码检测法不是在任何场合下都是有效的。然而,不幸的是,为研究病毒而发明的此种病毒超出了反病毒的技术范围,流入了病毒技术中。

1992年上半年,在保加利亚发现了黑夜复仇者(DarkAvenger)病毒的变种“MutationDarkAvenger”。这是世界上最早发现的多态性的实战病毒,它可用独特的加密算法产生几乎无限数量的不同形态的同一病毒。

网络时代病毒大爆发

上世纪90年代中后期,随着远程网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域限制,首先通过广域网传播至局域网内,再在局域网内传播扩散。1996年下半年随着国内Internet的大量普及,Email的使用,夹杂于Email内的WORD宏病毒成为病毒的主流。

这一时期的病毒的最大特点是利用Internet作为其主要传播途径,传播快、隐蔽性强、破坏性大。网络的发展使得病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了电脑病毒传染的“高效率”。另外,病毒的主动性、独立性更强了,变形(变种)速度极快并向混合型、多样化发展。

电脑病毒界严峻的未来

魔高一尺逼道高一丈

从电脑病毒的发展史来看,对技术的兴趣和爱好是病毒发展的源动力。但越来越多迹象表明,物质利益将成为推动电脑病毒发展的最大动力。此次的“勒索”病毒,更是明目张胆地以勒索钱财为目的。

当然,电脑病毒的发展必然会促进计算机反病毒技术的发展,也就是说,新型病毒的出现向以行为规则判定病毒的预防产品、以病毒特征为基础的检测产品以及根据电脑病毒传染宿主程序的方法而消除病毒的产品提出了挑战,致使原有的反病毒技术和产品在新型的电脑病毒面前无能为力。这样,势必使人们认识到现有反病毒产品在对抗新型的电脑病毒方面的局限性,迫使人们在反病毒的技术和产品上进行新的更新和换代。到目前为止,反病毒技术已经成为了计算机安全的一种新兴的计算机产业或称反病毒工业。

其实,从病毒的发展历程来看,由于各种防毒软件的出现,给整个网络带来巨大冲击和损失的病毒已经越来越少了;而此次的“勒索”病毒则再次展示了“暗黑”技术的破坏力。不过,魔高一尺,道高一丈,尽管Wanna Cry仍在肆虐,但可以预见的是,技术正能量很快就会搞定它们。病毒的出现,也只会促使人类在网络安全的保障上更进一步。

(编辑:电脑配置网)