病毒

  • 中文名稱
    病毒
  • 外文名稱
    Computer Virus

病毒程式

1960年代初,美國麻省理工學院的一些青年研究人員,在做完工作後,利用業務時間玩一種他們自己創造的電腦遊戲。做法是某個人編製一段小程式,然後輸入到電腦中運行,並銷毀對方的遊戲程式。而這也可能就是電腦病毒的雛形。

原理

病毒依附存儲介質軟碟硬碟等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒激活是將病毒放在記憶體, 並設定觸發條件,觸發的條件是多樣化的, 可以是時鍾,系統的日期,使用者標識符,也可以是系統一次通信等。條件成熟病毒就開始自我復製到傳染對象中,進行各種破壞活動等。

病毒的傳染是病毒性能的一個重要標志。在傳染環節中,病毒復製一個自身副本到傳染對象中去。

史上著名病毒

前言:一談電腦病毒,足以令人談“毒”變色。硬碟資料被清空,網路連線被掐斷,好好的機器變成了毒源,開始傳染其他電腦。中了病毒,噩夢便開始了。有報告顯示,僅2008年,電腦病毒在全球造成的經濟損失就高達85億美元。電腦病毒現身江湖已多年,可以追溯到電腦科學剛剛起步之時,那時已經有人想出破壞電腦系統的基本原理。1949年,科學家約翰•馮•諾依曼聲稱,可以自我復製的程式並非天方夜譚。不過幾十年後,黑客們才開始真正編製病毒。直到電腦開始普及,電腦病毒才引起人們的註意。

​(下面內容用從早到晚的時間順序規律組成)

1.Creeper(1971年)

最早的電腦病毒Creeper(根據老卡通片《史酷比(Scooby Doo )》中的一個形象命名)出現在1971年,距今以後42年之久。當然在那時,Creeper還尚未被稱為病毒,因為電腦病毒尚不存在。Creeper由BBN技術公司程式員羅伯特•托馬斯(Robert Thomas)編寫,通過阿帕網( ARPANET,網際網路前身)從公司的DEC PDP-10傳播,顯示“我是Creeper,有本事來抓我呀!(I'm the creeper, catch me if you can!)”。Creeper在網路中移動,從一個系統跳到另外一個系統並自我復製。但是一旦遇到另一個Creeper,便將其登出。

2.Elk Cloner病毒(1982年)

裏奇•斯克倫塔(Rich Skrenta)在一台蘋果電腦上製造了世界上第一個電腦病毒。1982年,斯克倫塔編寫了一個通過軟碟傳播的病毒,他稱之為“Elk Cloner”,那時候的電腦還沒有硬碟驅動器。該病毒感染了成千上萬的機器,但它是無害的:它隻是在使用者的螢幕上顯示一首詩,其中有兩句是這樣的:“它將進入你所有的磁碟/它會進入你的晶片。”

3.梅利莎 (Melissa,1999年)

Melissa病毒由大衛•史密斯(David L. Smith)製造,是一種迅速傳播的宏病毒,它作為電子郵件的附屬檔案進行傳播,梅麗莎病毒郵件的標題通常為“這是你要的資料,不要讓任何人看見(Here is that document you asked for, don't show anybody else)”。一旦收件人開啟郵件,病毒就會自我復製,向使用者通訊錄的前50位好友傳送同樣的郵件。因為它發出大量的郵件形成了極大的電子郵件信息流,它可能會使企業或其它郵件服務端程式停止運行,盡管Melissa病毒不會毀壞檔案或其它資源。1999年3月26日爆發,感染了15%-20% 的商業電腦。

4.愛蟲 (I love you, 2000年)

梅麗莎病毒爆發一年後,菲律賓出現了一種新的病毒。與梅麗莎不同的是,這次出現的是蠕蟲病毒,具有自我復製功能的獨立程式。這個病毒的名字叫愛蟲 (I love you)。愛蟲病毒最初也是通過郵件傳播,而其破壞性要比Melissa強的多。標題通常會說明,這是一封來自您的暗戀者的表白信。郵件中的附屬檔案則是罪魁禍首。這種蠕蟲病毒最初的檔案名稱為LOVE-LETTER-FOR-YOU.TXT.vbs。尾碼名vbs表明黑客是使用VB腳本編寫的這段程式。很多人懷疑是菲律賓的奧尼爾•狄•古茲曼製造了這種病毒。由于當時菲律賓沒有製定電腦破壞的相關法律,當局隻得以盜竊罪的名義傳訊他。最終由于證據不足,當局被迫釋放了古茲曼。根據媒體估計,愛蟲病毒造成大約100億美元的損失。

5.求職信病毒(Klez,2001年)

求職信病毒是病毒傳播的裏程碑。出現幾個月後有了很多變種,在網際網路肆虐數月。最常見的求職信病毒通過郵件進行傳播,然後自我復製,同時向受害者通訊錄裏的聯系人傳送同樣的郵件。一些變種求職信病毒攜帶其他破壞性程式,使電腦癱瘓。有些甚至會強行關閉防毒軟體或者偽裝成病毒清除工具。

求職信病毒出現不久,黑客就對它進行了改進,使它傳染性更強。除了向通訊錄聯系人傳送同樣郵件外,它還能從中毒者的通訊錄裏隨機抽選一個人,將該郵件地址填入發信人的位置。

6.紅色代碼 (Code Red, 2001年)

紅色代碼和紅色代碼Ⅱ(Code Red II)兩種蠕蟲病毒都利用了在Windows 2000和Windows NT中存在的一個作業系統漏洞,即快取區溢出攻擊方式,當運行這兩個作業系統的機器接收的資料超過處理範圍時,資料會溢出覆蓋相鄰的存儲單元,使其他程式不能正常運行,甚至造成系統崩潰。與其它病毒不同的是,Code Red 並不將病毒信息寫入被攻擊伺服器的硬碟, 它隻是駐留在被攻擊伺服器的記憶體中。

最初的紅色代碼蠕蟲病毒利用分散式拒絕服務(DDOS)對白宮網站進行攻擊。安裝了Windows 2000系統的電腦一旦中了紅色代碼Ⅱ,蠕蟲病毒會在系統中建立後門程式,從而允許遠程使用者進入並控製電腦。病毒的散發者可以從受害者的電腦中獲取信息,甚至用這台電腦進行犯罪活動。受害者有可能因此成為別人的替罪羊。

雖然Windows NT更易受紅色代碼的感染,但是病毒除了讓機器當機,不會產生其它危害。

7.尼姆達(Nimda,2001)

這種病毒也在2001年出現。尼姆達通過網際網路迅速傳播,在當時是傳播最快的病毒。尼姆達病毒的主要攻擊目標是網際網路伺服器。尼姆達可以通過郵件等多種方式進行傳播,這也是它能夠迅速大規模爆發的原因。

尼姆達病毒會在使用者的作業系統中建立一個後門程式,使侵入者擁有當前登錄賬戶的許可權。尼姆達病毒的傳播使得很多網路系統崩潰,伺服器資源都被蠕蟲佔用。從這種角度來說,尼姆達實質上也是DDOS的一種。

8.灰鴿子(2001年)

灰鴿子是一款遠程控製軟體,有時也被視為一種集多種控製方法于一體的木馬病毒。使用者電腦不幸感染,一舉一動就都在黑客的監控之下,竊取賬號、密碼、照片、重要檔案都輕而易舉。灰鴿子還可以連續捕獲遠程電腦螢幕,還能監控被控電腦上的攝像頭,自動開機並利用攝像頭進行錄像。截至2006年底,“灰鴿子”木馬已經出現了6萬多個變種。雖然在合法情況下使用,它是一款優秀的遠程控製軟體。但如果做一些非法的事,灰鴿子就成了強大的黑客工具。

9.SQL Slammer (2003年)

Slammer,也稱藍寶石病毒,是一款DDOS惡意程式,透過一種全新的傳染途徑,採取分散式阻斷服務攻擊感染伺服器,它利用 SQL Server 弱點採取阻斷服務攻擊1434連線埠並在記憶體中感染 SQL Server,通過被感染的 SQL Server 再大量的散播阻斷服務攻擊與感染,造成 SQL Server 無法正常作業或宕機,使內部網路擁塞。在補丁和病毒專殺軟體出現之前,這種病毒造成10億美元以上的損失。藍寶石病毒的傳播過程十分迅速。和 Code Red 一樣,它隻是駐留在被攻擊伺服器的記憶體中。

10.MyDoom (2004年)

2004年2月,另一種蠕蟲病毒MyDoom(也稱Novarg)同樣會在使用者作業系統中留下後門。該病毒採用的是病毒和垃圾郵件相結合的戰術,可以迅速在企業電子郵件系統中傳播開來,導致郵件數量暴增, 從而阻塞網路。和其他病毒一樣,這種病毒會搜尋被感染使用者電腦裏的聯系人名單,然後傳送郵件。另外,它還會向搜尋引擎傳送搜尋請求然後向搜尋到的信箱發郵件。最終,谷歌等搜尋引擎收到數百萬的搜尋請求,服務變得非常緩慢甚至癱瘓。根據網路安全公司MessageLabs的資料顯示,當時平均每12封郵件中就有1封攜帶這種病毒。和求職信病毒類似,MyDoom病毒也會進行郵件發信人偽裝,這使通過郵件查詢病毒來源變得極其困難。

11.震蕩波 (Sasser, 2004年)

德國的17歲Sven Jaschan2004年製造了Sasser和NetSky。Sasser通過微軟的系統漏洞攻擊電腦。與其他蠕蟲不同的是,它不通過郵件傳播,病毒一旦進入電腦,會自動尋找有漏洞的電腦系統,並直接引導這些電腦下載病毒檔案並執行,因此整個傳播和發作過程不需要人為幹預。病毒會修改使用者的作業系統,不強行關機的話便無法正常關機。

Netsky 病毒通過郵件和網路進行傳播。它同樣進行郵件地址欺騙,通過22016比特檔案附屬檔案進行傳播。在病毒傳播的時候,會同時進行拒絕式服務攻擊(DoS),以此控製網路流量。Sophos的專家認為,Netsky和它的變種曾經感染了網際網路上1/4的電腦。

12.Leap-A/Oompa-A(2006年)

在斯克倫塔編寫了第一個病毒後,Mac病毒似乎絕跡了24年。2006年,Leap-A病毒,也稱Oompa-A病毒出現。通過蘋果冬粉論壇上泄露的Leopard作業系統的照片在蘋果使用者中傳播。一旦使用者不小心感染了該病毒,它就會通過即時聊天程式iChat傳播。當病毒進入蘋果電腦後,會自動搜尋iChat的聯系人列表並向其中的好友傳送信息,信息中附帶一個損壞的JPEG圖像附屬檔案。

病毒並不會對電腦產生太大的危害,但證明了即使是蘋果電腦也有可能中毒的。隨著蘋果機的越來越流行,越來越多的針對蘋果機的病毒將會出現。

13.風暴蠕蟲(Storm Worm,2006年)

可怕的風暴蠕蟲(Storm Worm)于2006年底最終確認。公眾之所以稱呼這種病毒為風暴蠕蟲是因為有一封攜帶這種病毒的郵件標題為“風暴襲擊歐洲,230人死亡”。有些風暴蠕蟲的變種會把電腦變成僵屍或”肉雞“。一旦電腦受到感染,就很容易受到病毒傳播者的操縱。有些黑客利用風暴蠕蟲製造僵屍網路,用來在網際網路上傳送垃圾郵件。許多風暴蠕蟲的變種會誘導使用者去點擊一些新聞或者新聞影片的虛假連結。使用者點擊連結後,會自動下載蠕蟲病毒。很多新聞社和部落格認為風暴蠕蟲是近些年來最嚴重的一種病毒。

14.熊貓燒香(06-07年)

熊貓燒香是一種經過多次變種的蠕蟲病毒,2006年10月16日由25歲的中國湖北人李俊編寫,2007年1月初肆虐網路。這是一波電腦病毒蔓延的狂潮。在極短時間之內就可以感染幾千台電腦,嚴重時可以導致網路癱瘓。那隻憨態可掬、頷首敬香的“熊貓”除而不盡。反病毒工程師們將它命名為“尼姆亞”。病毒變種使使用者電腦中毒後可能會出現藍屏、頻繁重啓以及系統硬碟中資料檔案被破壞等現象。同時,該病毒的某些變種可以通過區域網路進行傳播,進而感染區域網路內所有電腦系統,最終導致企業區域網路癱瘓,無法正常使用,它能感染系統中exe,com,pif,src,html,asp等檔案,它還能終止大量的反病毒軟體進程並且移除擴展名為gho的備份檔案。被感染的使用者系統中所有.exe執行檔全部被改成熊貓舉著三根香的模樣。

15.AV終結者(2007年)

“AV終結者”又名“帕蟲”, “AV”即是“反病毒”的英文(Anti-Virus)縮寫,是一種是快閃記憶體寄生病毒,主要的傳播渠道是成人網站、盜版電影網站、盜版軟體下載站、盜版電子書下載站。禁用所有防毒軟體以及大量的安全輔助工具,讓使用者電腦失去安全保障;破壞安全模式,致使使用者根本無法進入安全模式清除病毒;AV終結者還會下載大量盜號木馬和遠程控製木馬。AV終結者病毒病毒運行後會生成尾碼名.da

16.磁碟機病毒(2007年)

這是一個下載者病毒,會關閉一些安全工具和防毒軟體並阻止其運行;對于不能關閉的某些輔助工具會通過傳送視窗信息洪水使得相關程式因為訊息得不到處理處于假死狀態;破壞安全模式,移除一些防毒軟體和即時監控的服務,遠程註入到其它進程來啓動被結束進程的病毒,病毒會在每個分區下釋放 AUTORUN.INF來達到自運行。感染除SYSTEM32目錄外其它目錄下的所有執行檔。並且會感染RAR壓縮檔內的檔案。病毒造成的危害及損失10倍于“熊貓燒香”。

17.機器狗病毒(2007年)

機器狗病毒因最初的版本採用電子狗的照片做圖示而被網民命名為“機器狗”,該病毒的主要危害是充當病毒木馬下載器,與AV終結者病毒相似,病毒通過修改註冊表,讓大多數流行的安全軟體失效,然後瘋狂下載各種盜號工具或黑客工具,給使用者電腦帶來嚴重的威脅。機器狗病毒直接操作磁碟以繞過系統檔案完整性的檢驗,通過感染系統檔案(比如explorer.exe,userinit.exe,winhlp32.exe等)達到隱蔽啓動;通過還原系統軟體導致大量網咖使用者感染病毒,無法通過還原來保證系統的安全。

18.震網(Stuxnet,2009-2010)

震網是一種Windows平台上針對工業控製系統的電腦蠕蟲,它是首個旨在破壞真實世界,而非虛擬世界的電腦病毒,利用西門子公司控製系統(SIMATIC WinCC/Step7)存在的漏洞感染資料採集與監控系統(SCADA),向可程式邏輯控製器(PLCs)寫入代碼並將代碼隱藏。這是有史以來第一個包含PLC Rootkit的電腦蠕蟲,也是已知的第一個以關鍵工業基礎設施為目標的蠕蟲。據報道,該蠕蟲病毒可能已感染並破壞了伊朗納坦茲的核設施,並最終使伊朗的布希爾核電站延後啓動。不過西門子公司表示,該蠕蟲事實上並沒有造成任何損害。

19.Conficker病毒(2009年)

Conficker病毒是一種出現于2009年的電腦蠕蟲病毒,針對微軟的Windows作業系統。這種病毒利用了Windows 2000、Windows XP、Windows Vista、Windows Server 2003、Windows Server 2008和Windows 7 Beta等版本作業系統所使用的Server服務中的一個已知漏洞。

20.OnlineGames系列盜號木馬

這是一類盜號木馬系列的統稱,這類木馬的特點就是通過進程註入盜取流行的各大網路遊戲(魔獸,夢幻西遊等)的帳號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗防毒軟體,但經常伴隨著AV終結者、機器狗等病毒出現。

電腦中毒的解決方法

1、如果整個磁碟都中了病毒的話,那麽就需要將磁碟全盤格式化,然後再分區重新安裝系統,但是對鬼影病毒是無效的。

2、很多黑客是通過病毒、木馬等手段人侵使用者的系統,如果有備份檔案,病毒對磁碟的破壞均可通過備份檔案進行恢復,即進行備份的系統還原。

3、如果Flash BIOS被破壞,可通過重寫BIOS程式來解決(ps:最好由專業技術人員進行),或者更換主機板來進行補救。

4、如果CMOS被破壞,可將CMOS放電,然後重新設定即可解決。

5、引導區或主引導扇區被破壞,可以用某些防毒軟體提供的備份和恢復系統主引導區和引導區來進行恢復,也可使用口袋PE引導區修復功能來實現引導區和主引導區的修復。

相關詞條

相關搜尋