再论病毒

----随着计算机技术的突破性发展，尤其是Windows系统的广泛应用，计算机的功能及易用性倍增，并已成为人们生活娱乐的一种重要工具，同时这种突破性的发展使得计算机与人们的工作与生活已形成密不可分的关系。90年代以来网络技术广泛发展和深入应用，计算机的应用变得更加丰富多彩，不出门便可知天下事，通过网络不仅可以得到以前不可多得的各种有用信息，而且还可以漫游世界各地；喜欢结交朋友的可以在网上相互聊天通信；游戏迷们在网上更是有了施展身手的广阔天地；技术的发展和应用为人们的日常生活和工作带来了极大的便利条件。种种美好的生活兼由这种技术性的突破所带来。然而，在技术高度发达的今天，人们在为技术的继续发展不懈努力，但也有人在编造病毒攻击这种美好的计算机应用环境。宏病毒、CIH病毒、BO黑客程序、通过电子邮件传染的邮件病毒，都是在Windows这个广博的土壤下应运而生的，同时又借助网络——这个世界性的传播途径而具备了更强的攻击力。技术的应用与发展为人们带来了便利，病毒的出现与衍变又给计算机用户带来了困绕。

----“1999年，病毒情况依然险峻，病毒的总数已超过18,000，并且以每月上百个的速度发展。据ICSA（International Computer Security Association，国际计算机安全协会）1999年对各大企业进行的抽样调查结果显示，病毒感染、发作率在今年有增无减，目前计算机受病毒感染的概率是80/千台，而去年同期的概率是32/千台。图一是从1996-1999年来每千台计算机被病毒感染的抽样概率。

----今天的技术和DOS时代的技术不可同日而语，但是我们由上表和发展趋势图可以看出，计算机病毒并不象有人曾言及的那样已经得到了较好的控制。因为，从图中我们明显可以看出99年病毒感染率比98年增加了两倍。所以我们有必要在此对从病毒分类和发展开始，对当前病毒流行态势、反病毒产品发展方向等几个方面，对反病毒斗争与技术发展作一综合评述。

----病毒是什么

----要了解病毒，我们首先要了解病毒是什么，根据《中华人民共和国计算机信息系统安全保护条例》第二十八条对病毒的定义是：计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这个定义明确表明了计算机病毒的破坏性和传染性是病毒最重要的两大特征。

----计算机病毒作为一种具有破坏性的程序，往往想尽一切手段将自身隐藏起来，保护自己，但是病毒最根本目的还是达到其破坏目的，在某些特定条件被满足的前提下，病毒就会发作，这也就是病毒的破坏性。病毒的破坏性有些只是显示一些图片、放一段音乐或和你开个玩笑，这类病毒就是良性病毒；而有些病毒则含有明确的目的性，象破坏数据、删除文件、格式磁盘等，这类病毒病毒就是恶性病毒，对于这类恶性病毒我们必须给予充分重视，否则将会象CIH病毒一样给我们带来重大损失。

----在生物界，病毒要从一个生物体扩散到另外一个生物体，并在这些被感染的生物体内大量繁殖。同样，计算机病毒必须通过各种渠道从已经被感染的文件扩散到其他文件，从已经被感染的计算机扩散到其他计算机，这就是病毒的传染性。计算机病毒会通过各种可能的渠道，如内存、软盘、CD、网络等一切可能渠道去传染其它程序或计算机。病毒只有将自己尽可能的扩散，才能继续将自身继续传播，从而造成连锁效应，产生更大的破坏力。

----病毒的分类

----目前全球有180,000多种病毒，按照基本类型划分，可归为6种类型：引导型病毒、可执行文件病毒、宏病毒和混合病毒、特洛伊木马型病毒、INTERNET语言病毒。

----引导型病毒，主要是感染软盘、硬盘的引导扇区或主引导扇区，在用户对软盘、硬盘进行读写动作时进行感染活动。我国流行的引导型病毒有Anti-CMOS，GENP/GENB，Stone, 6.4，Torch，Monkey等。

----可执行文件病毒，它主要是感染可执行文件（对于DOS或Windows来说是感染COM和EXE等可执行文件）。被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。象我国流行的Die_Hard，DIR II和感染Windows 95/98操作系统的CIH，HPS，MURBURG、感染NT操作系统的INFIS、RE等病毒都属此列。

----宏病毒，是利用高级语言——宏语言编制的病毒，与前两种病毒存在很大的区别。宏病毒充分利用宏命令的强大系统调用功能，实现某些涉及系统底层操作的破坏。宏病毒仅向WORD、EXCEL和ACCESS、POWER POINT、PROJECT等办公自动化程序编制的文档进行传染，而不会传染给可执行文件。由于这些办公处理程序在全球存在着广泛的用户，大家频繁使用这些程序编制文档、电子表格和数据库并通过软盘、Internet进行交换，所以宏病毒的传播十分迅速并非常广泛。国内流行的宏病毒有：TaiWan1，Concept，Simple2，ethan，7月杀手等。我们所说的蠕虫病毒也应归属于宏病毒范围，，蠕虫病毒曾经过了几年的沉寂，而在网络发展的今天却又死灰复燃，因为网络的特性为其提供了传播条件，它会通过网络邮件系统快速自动扩散传播，在短时间内造成大面积网络阻塞。今年美丽杀手之类蠕虫病毒及其变种曾造成世界互联网络的多次瘫痪。

----混合型病毒，顾名思义是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上三种病毒的传染渠道进行破坏。国内流行的混合型病毒：One_half，Casper，Natas，Flip。

----特洛伊木马型病毒，也叫黑客程序或后门病毒。应该属于文件型病毒的一种，但是由于我国公安部门已于98年底向全国发出通告，提醒广大计算机用户注意防范此类特洛伊木马病毒，所以在此我们将其单独列为一种。一般此种病毒分成服务器端和客户端两部分，如计算机网络中服务器端被此程序感染，别人可通过网络其它计算机任意控制此计算机，并获得重要文件。国内流行的此类病毒有BO、NETSPY等。

----INTERNET语言病毒，随着Internet的发展，Java、VB和ActiveX的网页技术逐渐被广泛使用，某些不良用心人士于是利用Java、VB和ActiveX的特性来撰写病毒。这些病毒虽然从现在的发展情况来看并不能破坏硬盘上的资料，但是如果用户使用浏览器来浏览含有这些病毒的网页，浏览器就把这些程序抓下来，然后用使用者自己系统里的资源去执行，因而，使用者就在神不知鬼不觉的状态下，被病毒进入机器进行复制并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降，造成死机等现象。并且病毒就会在一台一台的终端上不断传播。

----病毒的起源和发展

----说起计算机病毒的起源，那肯定是不如生物病毒那样历史“悠久”--毕竟计算机发明至今也不过五十多年的时间，所以计算机病毒真正来到这个世上不会超过半个世纪。五十年代末六十年代初，在著名的美国电话电报公司（AT&T）下设贝尔实验室里，三个年轻的程序员在工休之余编制了一个叫“磁芯大战”的游戏。“磁芯大战”基本的玩法就是想办法通过复制自身来摆脱对方的控制并取得最终的胜利。这可谓病毒的第一个雏形。1983年11月，在国际计算机安全学术研讨会上,美国计算机安全专家首次将病毒程序在VAX/750上进行了实验，世界上第一个病毒就在实验室中正式产生了。1986年巴基斯坦的两兄弟编写的BRAIN病毒可以说是计算机历史上世界范围流行传播的病毒。80年代后期，微机逐渐普及，巴基斯坦有两个专门靠给别人编制软件为生的兄弟。他们为了打击那些盗版软件的使用者，于是炮制了一个“巴基斯坦智囊”病毒。这就是最早广泛流行的计算机病毒。从此，以PC为主要传播对象的计算机病毒开始疯狂传播、大肆泛滥。

----随后，1987年，“黑色星期五”恶性病毒在国外出现并引发大规模传染，计算机病毒对计算机数据的破坏性第一次被人们真正了解、认识。1989年，此病毒传播到了我国，引大了我国用户对病毒的巨大恐慌。如果某月13日正巧又是星期五（在西方人眼里这是最不吉利的日子），“黑色星期五”就会立即爆发，对硬盘进行格式化，这时用户唯一可以做的，就是坐在计算机面前傻傻地看着自己多年的心血付之“毒”流。

----我国的计算机病毒历史始于1989年，在我国的西南铝加工厂发现第一例病毒报告——小球病毒。此后，国内各地陆续报告发现该病毒。随着时间的推移，计算机病毒的种类越来越多，在不到三年的时间内，中国出现了巴基斯坦智囊、黑色星期五、雨点、磁盘杀手、音乐、扬基都督等数百种不同传染和发作类型的病毒，病毒在中国进行了广泛传染。89年7月公安部计算机管理监察局监察处病毒研究小组针对国内出现的病毒迅速编写了国内第一个反病毒软件KILL V6.0，这是国内第一个反毒软件。从此，国内病毒与反病毒的斗争，呈现出此消彼涨的态势。

----1996年底，我国首例宏病毒在深圳被发现。随后在1997年春节左右，北京某著名ISP（Internet服务提供商）向其所有用户发送了一份电子邮件，邮件附件中的“台湾一号”宏病毒几乎是在一天之内感染了该ISP的所有用户。宏病毒的出现，是计算机病毒有史以来最大的技术突破，加上Internet此时迅速在全世界范围的普及，造成宏病毒以所未有的速度进行着传播。

----1998年6月，首例能够破坏PC机系统硬件的CIH病毒在国内被发现。CIH病毒产自台湾，最先通过盗版光盘在美国和欧洲等地广泛流行，后通过Internet等渠道在全球泛滥。CIH病毒有两大特点，一是破坏计算机硬件，另一个是充分利用了Windows 95/98的VxD机制。CIH只感染Windows 95/98操作系统，但是由于它是首例能够破坏硬件的病毒，所以引起国内外有关人士的严密关注。99年4月26日CIH病毒在我国造成历史上最重大的病毒爆发事件，椐统计，我国有100万台以上计算机遭受CIH病毒攻击，并造成重大损失