回首二十年 中国计算机病毒发展史
来源:zdnet网络安全 更新时间:2008-03-22

计算机病毒,是一段附着在其他程序上的,可以实现自我繁殖的程序代码。自从1985年在美国被当众证明其存在性之后,计算机病毒技术得到了突飞猛进的发展; 各路高手出于种种目的,纷纷编写了各式各样的计算机病毒,在Win-Intel平台上掀起了一股股计算机病毒狂潮。

在这股狂潮中,作为一个计算机技术高速发展中的国家,中国首当其冲,受到了猛烈的冲击。

崭露头角

大约是在1988年,随着软件交流,石头和小球病毒跟随软盘悄悄地通过香港和美国进入了中国内地,并在人们的懵懂之间在大型企业和研究所间广为传播。直到病毒发作,人们才猛然惊醒!目前一般认为,小球病毒是国内发现的第一个计算机病毒。由于当时普遍使用软盘来启动系统,因此这两个系统病毒在大江南北广为流传,成了当时国内最流行的计算机系统病毒。跟随系统病毒之后,各路文件病毒也迅速登陆,巴基斯坦、维也纳和雨点等病毒令国人大为震惊之余,对其精湛的编程技艺,也有耳目一新的感觉。

风声鹤唳

1989到1991年是计算机病毒在中国迅速壮大的阶段,各色病毒揭竿而起,在中国大遍地开花。那时由于家庭电脑尚未普及,因此各家研究所和高等院校等计算机密集的地区成了计算机病毒的重灾区,而且往往是多种不同病毒反复交叉感染。米开朗琪罗和黑色星期五这两个文件病毒首开破坏软件系统之先河,在神州大地上大肆破坏。以至于中央电视台新闻联播等各大新闻媒体纷纷报道,声势之大,一时无两,决不逊色于名震世界的CIH病毒,甚至出现了“带口罩防计算机病毒传染”的笑话。更严重的是,国内的程序开发高手在经过短暂的迷惑之后,通过剖析病毒体,迅速掌握了病毒的编写技术,广州一号、中国炸弹、“六·四”和毛毛虫等各种国产病毒纷纷登场亮相。这个时期出版的各种剖析计算机病毒的书刊,不能说不起了推波助澜的作用;而好奇的大学生们,则成为了国产病毒的最先试制者。例如广州一号,就是广州大学一位在校学生研究病毒的副产品。不过,随着软件技术的发展,国人逐渐了解和掌握了计算机病毒,计算机病毒已不再神秘;SCAN和TBAV等反病毒软件纷纷从国外引入,雷军等人也开始尝试自己编写一些国产反病毒软件。而华星等硬件防病毒卡更是风行一时,其硬件防病毒技术当时即使在全世界范围内也是处于领先地位的。

巅峰之作

在人们逐渐掌握反计算机病毒的之后,计算机病毒开始试图通过各种方式来掩饰自己。长达4K的世纪病毒,通过全面地接管系统功能调用,做到了在带毒环境下,除了反汇编内存之外,其他软件都丝毫不能觉察病毒的存在,可以说是一个编写得最认真的病毒。到了1992年,旧的计算机病毒技术已经完全被掌握,一些防病毒卡甚至宣称可以防范所有的已知和未知的病毒,人们似乎已经看到了计算机病毒的末日了。此时,一个叫做DIR II的病毒横空出世。这个病毒编写得是如此之巧妙,短短的512个字节的程序代码,就钻入了DOS操作系统的核心,实现了加密、解密和传染的功能,而且巧妙地躲过了各种防病毒软件和防毒卡的防线,达到增一分则太多,减一分则太少的境界。其高超的编程技术令人叹为观止,至今仍为计算机病毒的典范之作。DIR II病毒迅速摧毁了各种防病毒卡,为防病毒软件开辟了一条新的道路。人们开始认识到,反计算机病毒是一个漫长而曲折的过程,而防病毒软件因为其良好的兼容性,低廉的价格和方便的升级能力而逐渐得到了广大用户的认可。

末路狂奔

1993年以后,随着DIR II病毒被彻底识穿,以及在 KILL、SCAN和KVXXX系列等各种反病毒软件的一路穷追猛打下,计算机病毒在中国似乎已经穷途末路了。各种新病毒都只能是昙花一现,再也不能掀起什么大的波澜。值得注意的是,1995年以后,由于家用电脑的普及和盗版光盘的兴起,一些病毒也借助于盗版光盘之势,迅速壮大。

最着名的是夜贼病毒,当时几乎在所有的盗版光盘上都有它的影踪。当年就为了安全带毒安装光盘上的软件(光盘上的病毒可是无法杀除的),特地编写了一个ANTI1150程序。不过,火山爆发总是在沉寂之中酝酿的。此时,国外出现了各种专门讨论计算机病毒技术的地下站点,他们编写病毒杂志,散发IVP、VCL和G2000等各种专门的计算病毒引擎。 借助于这些工具,任何懂得简单的汇编语言的人,都可以编写出自己需要的计算机病毒。1997年,以上这几个计算病毒引擎软件都通过互连网络和盗版光盘传入中国,并带来一定的危害。在这个时期,病毒的数量呈现了几何数级的增长,截至止1996年,估计各种病毒及其变体就超过了一万种。

死灰复燃

1996年,计算机病毒技术又有了突飞猛进,为了躲避反病毒软件的监视,新的变种病毒应运而生。以前例如雨点等病毒只是运用简单的一维变形技术来掩饰自己,现在,二维变形以至于无穷变形病毒开始出现,以前那种采用特征代码串来标识计算机病毒的技术又开始失效。真是道高一尺,魔高一丈。最先传入中国的是“幽灵”,随后是“猴子”等两栖(同时感染系统和文件)变形病毒,这些病毒先后在一定范围内流行。不过由于反病毒软件的及时跟进,以及国人已经习惯于综合使用各种反病毒软件,因此这些病毒都没有能掀起太大的风浪。不过令人担忧的是,随着国际互连网络的普及,计算机病毒编写者开始通过互连网络来交流编程技术和心得体会。网上也出现了专门的变种病毒工具,使用这些工具,任何人都可以编写出带无穷变形的计算机病毒。国内的福州大学系列变形病毒就是这些工具的产品。值得庆幸的是,随着计算机硬件的提高,Windows以至于Windows 95逐渐成为国人通用的操作系统。与DOS系统技术彻底被掌握不同, Windows以及Windows 95完全没有被公开,其中的很多系统功能和特点尚未被一般人掌握,因此针对Windows和Windows95的病毒很少见,以前一直只在一些地下站点看见过,而且都是一些试验产品,技术尚未完全成熟。在Windows平台下,系统和文件病毒的数量要大大减少了。

黄昏插曲

提到中国的病毒的发展,就不能不提以下的这一段插曲。

1997年,有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的的解密程序。这年有一种不甚起眼,但是不能不提的888病毒,这是一个系统病毒,实际上并不流行, 只是因为某一软件公司的大肆宣扬,才使之在业界广为人知。虽然业界盛传某公司利用制毒、放毒和杀毒来宣传自己,但是事实一直没有什么端倪。到了97年的下半年,“毒岛论坛”宣称KV300软件中有病毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”,不是病毒。经过反汇编了相关的代码,发现“逻辑锁”的机理与以前宣传的888病毒完全相同!它利用了微软的 MS-DOS编程上的一个小错误,导致系统启动时进入死循环。其实早在1992年就有人在《电脑》杂志上介绍了这个问题,并把它用于加密硬盘。而IBM的PC-DOS就没有这个错误。事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV300似乎没有受到太大的影响,“毒岛论坛”还因此被查封。不过业界公司应该从中吸取经验教训,如果此事发生在国外,则违法的公司很可能被客户告得倾家荡产。

异军突起

1997年,在沉寂了一小段时间以后,病毒又找到了新的突破点,这次是微软的文书处理和电子表格软件Word和 Excel成了牺牲品。高手门利用了功能强大的宏语言,编制了各色各样的宏病毒。随后是各种各样的好奇者,简单地利用宏编辑器改造了自己的产品!现在,编写病毒程序已经不是一门“阳春白雪”的技艺,任何人只要拿一个现成的宏病毒,甚至拿微软的用户手册看一下,就可以编写出一种新病毒来!据一些反病毒软件站点报告,全世界一个星期就有近千种新病毒出现,而其中绝大部分是宏毒。在这一场宏病毒大战中,我国台湾的各路高手充分展示了自己的身手,台湾一号病毒甚至跑到了微软的正版光盘上。国人们向世界显示,我们的电脑技术是先进的!同时,一大批反病毒软件开发者为了搞清楚微软密不公开的Word文档格式而搞得焦头烂额。最后,通过不泄努力,国内各家反病毒软件公司总算又通过了这一关;不过因为没有微软的支持,误杀或者杀坏Word文件也是常有的事。反倒是此时冯志宏闲庭信步,轻而易举地就完成了Word 97以前各版本的Word文件的密码自动解除工作。

风云再起

1997年下半年,一个叫做SPY的可以攻击NE(16位Windows格式可执行文件)格式程序的病毒,曾经在南方流行一时,敲响了Windows病毒进攻的警钟。此病毒是随着盗版光盘,从港台传入的。盗版光盘再次扮演了一个可耻而可怕的角色。到了1998年的年中,Win95.CIH病毒终于攻破了Windows95平台。这个病毒创造了几个之最:CIH病毒是第一个流行的攻击PE格式32位保护模式程序的病毒;CIH病毒是第一个可以破坏计算机硬件的病毒。以前的病毒最多只能破坏软件系统,而CIH病毒不但可以直接利用IOS指令摧毁硬盘数据(这种方法导致就算你的主板具有防病毒功能,也无能为力),更通过清洗存储在FlashEPROM中的BIOS指令,导致系统主板无法工作,彻底破坏机器。CIH病毒利用VXD技术逃过了当时所有的反病毒软件的监测,并且令当时所有宣称可以防病毒的主板大失颜面。从中我们可以体会到,反病毒技术的研究是永无止境的。值得庆幸的是,这一次社会各界反映及时,各新闻媒体纷纷报道,各反病毒软件公司迅速升级自己的产品,使之可以监测和清除CIH病毒。

据网上的一封道歉信报道,CIH病毒是台湾一个叫做陈盈豪的学生编写的。通过反编译发现,这个病毒系利用SIDT指令来获取系统的核心级执行权限,进而截获系统的核心功能调用。这实际上可以说是Windows95系统(Windows98同样有这个问题)的一个漏洞。所幸的是Windows NT已经封锁了这一条指令,因此CIH病毒无法在Windows NT下兴风作浪。 经过反编译了着名的Synmatec(即生产Norton Antivirus的公司)提供的Kill_Cih程序后发现,原来Synmatec就是照搬CIH病毒的原理,实行以毒攻毒,同样利用SIDT指令来获取系统的核心级执行权限,以达到检测、杀除和预防CIH病毒的目的。 可以说,病毒和反病毒这一正一反两种技术,就是在这种互相推动中不断前进的。

群雄逐鹿

如今,计算机病毒变得更加活跃,木马、蠕虫、后门病毒等轮番攻击互联网,甚至出现了06年炒得火热的流氓软件。2000年以来,由于病毒的基本技术和原理被越来越多的人所掌握,新病毒的出现以及原有病毒的变种层出不穷,病毒的增长速度也远远超过的以往任何时期。根据最新的07年上半年病毒总结发现,紧上半年新增病毒就达11万种,其中以盗取用户信息为住的木马程序就占到了7成。

科技的进步,总是带来技术的飞跃,技术的飞跃又总是带来新的课题。计算机技术被迅速掌握的同时,出现了大批以病毒盈利的程序开发者。有专家总结到,病毒发展到今天,开发者已经很少或不再以炫耀自己的技术为主要目的,跟多的是把矛头对准了网络用户的信息,网络犯罪事件大大增加。幸好,如今国内外各大厂商已经十分重视网络安全问题,纷纷出台了不同的安全防范措施。科技的进步必将促进计算机病毒与反病毒技术的快速发展。