知者无畏--一个真实的簿世界-第6章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
1994年1月:“移动者”(Shifter)病毒,首次感染对象模块文件(OBJ文件),“幻影1”(Phantom1),第一个首次在莫斯科流行的多态病毒。
对象模块文件:和高级语言开发工具密切相关,当在DOS环境或者视窗环境下开发程序的时候,C或者其他语言的编译器会生成多个OBJ中间文件,然后将所有的这些OBJ中间文件组合成一个可执行的文件。
1994年3月:“源代码病毒”(SrcVir):首次感染C语言和帕斯卡(PASCAL)语言源代码的病毒。
1994年6月:“一半”(OneHalf)病毒出现,在俄罗斯和中国最流行的病毒之一。
1994年9月:“3APA3A”,一种新的引导型病毒出现,使用了一种非常特殊的方法进入DOS操作系统并进行感染,当时所有的杀毒软件对于这种新病毒都无能为力。
1994年春天,最早的杀毒软件厂商的领导者之一,“中心点”公司结束了自己的运做,被“赛门铁克”公司收购,“赛门铁克”公司在这段时间内收购了大量的杀毒软件厂商,包括“皮特。诺顿计算”(Peter Norton puting)、“第五代系统”( Fifth Generation Systems)等公司。
1994年2月,国务院发布了《中华人民共和国计算机信息系统安全保护条例》将计算机信息系统安全(包括防病毒软件)划归公安部管理。
1994年7月,王江民推出了〃超级巡警〃——KV100杀毒软件,并首次提出了广谱病毒码的概念,首次在《软件报》上公布《反病毒公告》,开创了用印刷的形式让用户进行手工升级的先河,虽然对这种升级方式的有效性仍然存在很多争论,但是KV100依靠这种方式极大地提高了知名度,为后来KV300的成功打下了良好的基础。
1995
DOS病毒技术的发展在这一年中基本上陷于停滞,我所说的停顿是指技术本身的停顿,也就是说没有什么新的感染或者隐藏等病毒相关技术的出现,但是病毒的数量和传播并没有停顿,在这一年中仍然出现了很多非常复杂的病毒例如“死亡坠落”(Night Fall)、“胡桃钳子”(Nutcracker)等,以及一些很有趣的病毒例如“两性体”(bisexual)、“RNMS”等。这一年中,DOS批处理病毒 〃视窗启动〃(WinStart)和“死硬2”(DieHard2)病毒在世界范围内广泛的流传。
1995年1月:微软的视窗95演示盘被病毒“表格”(Form)感染,微软将演示盘发送给测试者,其中一个可能是过于勤劳的测试者对这些磁盘进行了病毒检测,结果很吃惊的发现了病毒。这是微软第一次在发行的光盘中包含了病毒,当然这远远不是最后一次。
1995年春天:两家著名的杀毒软件公司“雷霆字节反病毒”(ThunderBYTE Anti…virus)和“诺曼第数据防护”(Norman Data Defense)公司宣布将联合进行反病毒系统的开发。
1995年秋天:病毒和反病毒发展历史的一个转折点,第一个能够保存在WORD文件中,运行在微软字处理软件里的病毒“概念”(Concept)病毒开始在世界范围内流行,这一病毒的出现宣告了一种新形态的病毒的出现——宏病毒。在很长一段时间里,这一病毒在所有的病毒感染统计中一直占据最重要的位置。
1996
1996年1月,第一个视窗95病毒出现——“博扎”(Win95。Boza)
1996年3月:第一个开始大规模流行的视窗版本3病毒,“触角”(Tentacle)病毒首次被发现,这一病毒首次出现在法国一家医院和一些研究机构的网络中。在这一病毒出现之前,虽然有很多的视窗病毒被制造出来,但是这些制造出来的病毒都只在病毒收集者之间、电子公告板或者一些专门的杂志上出现,“触角”病毒实际上是第一个真正流行起来的视窗病毒。
1996年6月:第一个真正OS/2操作系统下的病毒,“AEP”病毒出现,在此之前的OS/2病毒只能使用病毒文件替换原来的文件,或者以伴随病毒的形式出现,这一病毒首次可以将自己附着在OS/2可执行文件的后面,实现了病毒的真正定义——感染。
1996年7月:第一个微软电子数据表病毒“拉若克斯”(Laroux)病毒出现,这一病毒首次发现是在两家石油公司,一家在阿拉斯加,另外一家在南非,所以我们猜想是一个石油勘探软件的程序员制作了这个病毒。和先前的字处理程序病毒一样,这一病毒利用了在电子数据表格软件中可以变成的某种宏语言。任何微软的电子数据表或者字处理文档中都可以包括这种语言所编写的程序,当然也可以包括这种语言所编写的病毒。随着微软操作系统的日益复杂,各种宏语言慢慢变成统一的BASIC语言(VBA :专门为应用软件设计的可视化BASIC语言),功能也变得越来越强大,使用这种语言编写的病毒功能也随之越来越强大。
BASIC语言:BASIC是初学者通用符号指令代码(Beginner's All…purpose symbolic instruction Code)的缩写,是国际上广泛使用的一种计算机高级语言。BASIC简单、易学,目前仍是计算机入门的主要学习语言之一。BASIC语言自其问世经历了以下四个阶段:第一阶段:(1964年~70年代初)1964年BASIC语言问世。第二阶段:(1975年~80年代中) 微机上固化的BASIC,ROM BASIC,第三阶段:(80年代中~90年代初)结构化BASIC语言,以True BASIC为代表,第四阶段:(1991年以来)以可视化的BASIC为代表,在因特网时代这一古老的语言又焕发了新的青春。
1996年12月:视窗95下的第一个内存驻留病毒,“打孔机”(Punch)病毒出现,该病毒驻留在视窗95的内存中,以一个Vxd驱动程序的形式存在,拦截所有的文件操作并进行传染,这种原理在随后的CIH病毒中得到应用和发展并且造成了极大地破坏。由于程序设计中的明显缺陷,“打孔机”病毒不能在正常的视窗95环境进行感染中,所以这种革命性的病毒并没有真正流行起来。
实际上1996年是新一轮病毒进化的开始,在这一年中,随着微软新的操作系统视窗95、视窗NT和微软办公软件(Office)的流行,病毒制造者不得不面对一个新的环境,他们在这一年中开始使用一些新的感染和隐藏方法,制造出在新的环境下可以自我复制和传播的病毒,随后,病毒制造者的技术水平日益提高,他们对新的操作系统环境(视窗95和视窗NT)和应用系统环境(Office,包括字处理和电子数据表格软件等)的掌握也越来越深,他们开始在病毒中增加多态、反跟踪等技术手段,在新的技术层次上重复了早期在DOS操作系统环境下病毒的进化过程,和DOS环境下漫长的进化相比,在新的环境下病毒的进化过程要快得多。
1997
1997年2月:第一个Linux环境下的病毒“上天的赐福”(Bliss)出现,Linux在此之前还是一个没有被病毒感染过的乐土。
1997年2月到3月:随着微软办公软件从版本6升级到版本97,宏病毒也升级到版本97。最早针对微软办公软件97的宏病毒都是直接从较早期版本转换过来的,但是病毒制造者对新技术的跟踪速度是惊人的,他们很快就推出了专门为微软办公软件97定制的宏病毒。
1997年3月:针对微软字处理软件版本6和版本7的宏病毒“分享欢乐”( ShareFun)病毒出现,这种病毒的特殊之处在于除了通常的通过字处理文档传播之外,“分享欢乐”还可以通过微软的邮件程序发送自己。
1997年4月:第一个使用文件传输协议(FTP)进行传播的蠕虫病毒,“本垒打”( Homer)病毒出现。
文件传输协议:(File Transfer Protocol)使用这一协议,人们可以在主机和自己家庭的电脑之间交换文件。这是最简单的因特网应用协议之一,可以列出远程目录,对文件名字进行拷贝、删除、改名等操作,最重要的是,可以将硬盘上的文件上传到远程的主机上,或者将远程主机上的文件下载到自己的硬盘上。
1997年6月:视窗95环境下第一个可以自我加密/解密的病毒出现,这一病毒最先出现在莫斯科,在一些电子公告板上公布后造成了一些慌乱。
1997年11月:“世界语”( Esperanto)病毒出现,正如名字所表示的那样,这一病毒的开发者想让它成为病毒世界的世界语—同时感染DOS、视窗和苹果的麦克机操作系统。幸运的是,由于软件中存在的一些缺陷,“世界语”没有实现它的设计目标。
1997年12月:一种新的病毒形态,“mIRC蠕虫”出现,“mIRC”是视窗环境下最常见的一种IRC客户端程序,在当时发布的mIRC版本中存在一个漏洞,利用这个漏洞,病毒可以通过IRC的频道复制和传播自己。后来的IRC版本中堵住了这个漏洞,“mIRC蠕虫”病毒也就随之慢慢的消失了。
IRC客户端:IRC是因特网INTERNET RELAY CHAT的缩写,意思是通过因特网中转的聊天,通过特殊的协议(RFC1459 IRC协议),大家连到一台或者多台IRC服务器上进行聊天。和普通的使用浏览器进行的聊天相比,它最大的特点是速度快(正常情况下一秒钟内你就可以看到对方的“讲话”);功能多,和类似QQ的即时聊天系统相比,IRC可以实现多对多的群体聊天功能。
要实现IRC聊天需要IRC服务器和IRC客户端,IRC服务器在网上有很多,IRC客户端就是你在视窗环境下实际进行聊天的程序,其中最著名的就是mIRC程序。
1997年在美国和欧洲的主要杀毒软件厂商中,发生了一些丑闻。两家非常著名的杀毒软件厂商开始了一场口水大战,首先是McAfee公司宣布他们的专家在所罗门公司出品的杀毒软件中发现了一个很有意思的特性:所罗门公司的病毒检测软件可以工作在两种模式下面,正常模式和高级模式,正常模式的速度很快,但是对于某些少见的病毒可能无法检测,高级模式的速度比较慢,但是检测的病毒数量更多,他们发现,所罗门公司的软件可以在这两种模式之间自动切换,当软件发现自己象是在检测一个测试用的病毒库的时候,会自动切换到高级模式,而在检测普通文件的时候会切换到正常模式,这样,杀毒软件既得到了非常快的检测速度,也可以得到非常好的病毒检出率。
随后,所罗门公司开始反击,指责McAfee公司发布了非法的广告,其中有直接攻击所罗门公司的内容。同时,好像是觉得不够热闹似的,McAfee和趋势公司闹上了法庭,他们争论的焦点有关因特网和电子邮件病毒检测技术的专利;随后是赛门铁克公司,也跳出来指责McAfee公司使用了赛门铁克公司的代码。
这一点充分证明了国外的消费者观念和国内消费者观念的巨大差别,对于国外用户来说,在产品中没有充分实现你的承诺就是一种欺骗行为,换句话来说,在用户不知情的情况下为了某种性能或者评测数据的考虑自动的切换工作模式是某种意义上的商业欺骗。而在国内,我相信没有任何消费者会因为这样一种技术上的处理对杀毒软件厂商提出怀疑或者责难。实际上,国内厂商使用的模式切换、性能增强措施,甚至某些通过提高误报率来迎合用户希望查到病毒的心理的技术手段,远远超过了国外所谓的“欺骗”的范畴。但是至今还没有用户或者厂商对此提出过指责。
这一年McAfee和“网络将军”公司完成了他们的合并,新成立的公司成为一家信息安全服务和产品的提供商,新公司的名称是“网盟”(NAI)。
这一年,在中国发生了著名的毒岛论坛事件,有好事者在美国的地球村免费网站上建立了一个叫做〃毒岛论坛〃的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的的解密程序。1997年的下半年,“毒岛论坛〃宣称KV 300软件中有病毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个〃逻辑锁〃,不是病毒。只有使用了盗版软件的用户,才有可能数据被破坏。
事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV 300似乎没有受到太大的影响,〃毒岛论坛〃还因此被查封。
在1994年防病毒卡的销售达到最高峰之后,瑞星1995、1996年销售业绩大幅度下降,公司到了生死存亡的边缘,1997年开始,瑞星通过OEM和低价策略开始二次创业。
1997年,南京信源公司首次推出具有实时病毒防护功能的病毒防火墙,NetVRV软件。
1997年,出现了一家风靡一时的反病毒软件公司,华美星际,在当年推出的“病毒克星”产品获得很大的成功(“病毒克星”实际上是OEM “VRV”之后生产的产品),但是由于运作原因,该公司在1997年之后就销声匿迹了。
1998
病毒的数量和技术继续发展,特别是随着因特网的广泛使用,人们对于能够窃取口令和更改权限的木马程序有了更多的兴趣。视窗环境下的病毒“CIH”和“青猴病”(Marburg)通过一些电脑杂志附带的光盘广泛传播,这些光盘在制作的时候被病毒感染。
这一年中,一种新的病毒“HLLP。DeTroie”出现,这种病毒除了能够感染普通的视窗可执行文件以外还能够收集被感染机器的信息并且发送到病毒的所有者手中。应该感到幸运的是,这一病毒仅仅感染法语版的视窗操作系统,所以基本上没有在我国造成影响。
1998年一月:一种新的感染微软电子数据表的病毒“派克斯”(Paix)出现,这种感染表格的病毒同样实现了自我复制和传播的特性。
1998年2月到3月:“青猴病”(Marburg)病毒,第一个在32位视窗环境下运行的多态病毒被发现并且开始流行起来。这种病毒的出现给杀毒软件开发者出了一道难题,就像当初在DOS环境下遇到多态型病毒一样,他们不得不重新设计自己的病毒扫描引擎,从而可以识别出这种病毒和相应的变种。
1998年3月:“埃克塞斯4”( AccessiV)病毒,第一个针对微软数据库软件的病毒出现,这个病毒本身没有造成很大的影响,因为随着字处理和电子数据表病毒的出现,人们知道出现这样一个病毒只是迟早的事情,所有的杀毒软件厂商对此已经有了充分的准备。
1998年3月:“十字架”( Cross)病毒出现,这个病毒首次实现了对不同微软办公软件的感染,数据库和字处理软件。也就是说你的字处理文档和你的数据库文件中可能同时包括了这种病毒,在这种病毒之后,越来越多的,同时感染多种微软办公软件的病毒开始出现。
1998年5月:“红色队伍”( RedTeam)病毒出现,这种病毒可以感染通常的视窗可执行文件,同时还可以通过一种电子邮件软件进行传播。
1998年6月:CIH病毒出现,CIH病毒是有史以来影响最大的病毒之一,最早出现在台湾,然后通过美国在台湾的海外办公室传播到美国,感染了一些因特网上的游戏服务器,直接引发了持续一年的恐慌(在中国CIH的恶梦是在下一年才真正开始的),CIH病毒所取得的巨大影响是因为它的破坏性,在某些电脑上,CIH病毒甚至可以损坏你的硬件。
1998年8月:非常好的远程控制工具“后门”(Back Orifice)出现,在“后门”之后,还出现了“网络公共汽车”(NetBus)、“阶段”(Phase)等类似的软件。
远程控制工具:通过网络控制某台机器的软件,