計(jì)算機(jī)病毒的歷史要點(diǎn)課件

計(jì)算機(jī)病毒及其防治

ComputerVirusAnalysisandAntivirus

1計(jì)算機(jī)病毒的歷史2世界上第一臺(tái)計(jì)算機(jī)誕生1946年2月14日，賓夕法尼亞大學(xué)莫爾電氣學(xué)院（MooreSchoolofElectricalEngineering）的莫克利教授（JohnMauchly）和埃克特工程師（J.PresperEckert,Jr.）設(shè)計(jì)制造出了世界上第一臺(tái)計(jì)算機(jī)ENIAC（ElectronicNumericalIntegratorAndComputer）。JohnMauchlyJ.PresperEckert34“病毒”概念的最早出現(xiàn)1945年約翰·馮·諾依曼（JohnVonNeumann）提交了改進(jìn)ENIAC的EDVAC（ElectronicDiscreteVariableAutomaticComputer）設(shè)計(jì)方案，引入了運(yùn)算器、邏輯控制裝置、存儲(chǔ)器、輸入和輸出設(shè)備的概念。1949年，馮·諾依曼在《復(fù)雜自動(dòng)裝置的理論及組織》(TheoryandOrganizationofComplicatedAutomata)中提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制。JohnVonNeumann5VonNeumannandhisIAS(InstituteofAdvanceStudy)IAStoday6Darwin游戲60年代初，AT&T公司的貝爾實(shí)驗(yàn)室（BellLabs）中，三個(gè)年輕的小伙兒道格拉斯·麥耀萊（DouglasMcIlroy）、維特·維索斯基（VictorA.Vyssotsky）和羅伯特·莫里斯（RobertT.Morris,Sr.）編制出了一個(gè)運(yùn)行在IBM7090機(jī)器上、叫做Darwin(達(dá)爾文)的游戲。DouglasMcIlroyIBM70907“Worm”程序1982年，施樂（Xerox）公司研究中心的約翰·肖奇（JohnF.Shoch）和喬恩·賀普（JonA.Hupp）設(shè)計(jì)出了能夠占用其它機(jī)器空閑資源的Worm程序。爬行者(Creeper)，每一次把它讀出時(shí)，它便自己復(fù)制一個(gè)副本。爬行者的唯一生存目的就是繁殖?！笆崭钫摺?Reaper)，它的唯一生存目的便是找到爬行者，把它們毀滅掉。當(dāng)所有爬行者都被收割掉之后，收割者便執(zhí)行最后一項(xiàng)指令：毀滅自己，從電腦中消失。8“磁芯大戰(zhàn)”（CoreWar）磁芯大戰(zhàn)（CoreWar）是1984年由杜特尼（A.

K.

Dewdney）和瓊斯（D.G.Jones）設(shè)計(jì)出來(lái)的，吸取了Darwin游戲和Worm的思想。

AlexanderKeewatinDewdney9虛幻的計(jì)算機(jī)戰(zhàn)爭(zhēng)1975年，美國(guó)科普作家約翰·布魯勒爾(JohnBrunner)寫了一本《震蕩波騎士》(TheShockwaveRider)，成為當(dāng)年最暢銷書之一。書中描述一個(gè)極端主義政府利用超級(jí)計(jì)算機(jī)網(wǎng)絡(luò)控制民眾，自由主義戰(zhàn)士利用一種稱為“tapeworm”的程序，感染了整個(gè)網(wǎng)路，致使政府不得不關(guān)閉這個(gè)網(wǎng)絡(luò)，最終打敗了極端主義政府。JohnBrunner10“計(jì)算機(jī)病毒”概念的提出1977年夏天，托馬斯·捷·瑞安（ThomasJ.Ryan）的科幻小說(shuō)《P-1的青春》（TheAdolescenceofP-1）成為美國(guó)的暢銷書。作者幻想了世界上第一個(gè)計(jì)算機(jī)病毒（P-1），可以從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)，最終控制了7000臺(tái)計(jì)算機(jī)，釀成了一場(chǎng)災(zāi)難。ComputerVirus這個(gè)詞就是在這部科幻小說(shuō)中首次出現(xiàn)的。11第一例個(gè)人計(jì)算機(jī)的病毒1982年，運(yùn)行在AppleII計(jì)算機(jī)上的病毒ElkCloner被發(fā)現(xiàn)RichardSkrenta編寫，當(dāng)時(shí)9年級(jí)。病毒感染磁盤，然后駐留內(nèi)存，感染任何插入磁盤驅(qū)動(dòng)器的軟盤。如果用被感染的磁盤啟動(dòng)達(dá)到50次，會(huì)在屏幕上出現(xiàn)：

Ref.：http:///RichSkrenta"ElkCloner:Theprogramwithapersonality Itwillgetonallyourdisks Itwillinfiltrateyourchips Yesit'sCloner! Itwillsticktoyoulikeglue Itwillmodifyramtoo SendintheCloner!"12實(shí)驗(yàn)室中的病毒1983年11月3日，當(dāng)時(shí)在南加州大學(xué)（USC：UniversityofSouthernCalifornia）攻讀博士的弗雷德·科恩（FredCohen）研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的程序。他的導(dǎo)師倫·艾德勒曼（LeonardM.Adleman）將這種程序命名為“Virus”。FredCohen13實(shí)驗(yàn)室中的病毒經(jīng)過(guò)8小時(shí)的努力，病毒代碼在VAX11/750計(jì)算機(jī)系統(tǒng)上編寫完成，一周內(nèi)獲得試驗(yàn)許可，并進(jìn)行了5次試驗(yàn)。11月10日F.Cohen將病毒程序演示給安全討論會(huì)成員，從而在實(shí)驗(yàn)上驗(yàn)證了計(jì)算機(jī)病毒的存在。病毒程序被稱為vd，看上去為圖形化展示目錄內(nèi)容的功能，實(shí)際上感染了該病毒的程序運(yùn)行中將獲得系統(tǒng)權(quán)限，并將權(quán)限傳遞給其他用戶。1984年，科恩以ComputerVirus-TheoryandExperiments為博士畢業(yè)論文，闡述了計(jì)算機(jī)病毒實(shí)際存在，引起世界的廣泛關(guān)注。14第一例特洛伊木馬程序1985年，出現(xiàn)了第一例特洛伊木馬程序（Trojanhorse）：EGABTR該程序通過(guò)mailbox傳播，偽裝成圖形增強(qiáng)程序，描述文字說(shuō)可以提高你的IBMEGA顯示性能，但實(shí)際上運(yùn)行后即刪除磁盤上的FAT表，并在屏幕上顯示"Arf!Arf!Gotyou!"15第一例IBMPC病毒1986年初，在巴基斯坦(Pakistan)的拉合爾(Lahore)，巴錫特（Basit

Farooq

Alvi）和阿姆杰德（Amjad

Farooq

Alvi）兩兄弟編寫了“Brain病毒”又稱為(C)Brain病毒、大腦病毒、巴基斯坦大腦病毒、Pakistan病毒，等1987年，這個(gè)病毒流傳到了世界各地。它也是世界上第一例廣泛傳播的病毒。16更多關(guān)于Brain病毒的信息初衷是為了保護(hù)自己搭賣的軟件不被非法拷貝。也有一種說(shuō)法是為了擴(kuò)大知名度故意編了這個(gè)病毒。只感染軟盤，將卷標(biāo)修改為(C)BRAIN，并顯示：現(xiàn)在的Brain公司：http://www.brain.pkWelcometotheDungeon(c)1986Basit&Amjad(pvt)Ltd.BRAINCOMPUTERSERVICES730NIZABBLOCKALLAMAIQBALTOWNLAHORE-PAKISTANPHONE:430791,443248,280530.BewareofthisVIRUS....Contactusforvaccination............$#@%$@!!17x86上首例試驗(yàn)型COM文件病毒1986年，德國(guó)的程序員RalfBurger發(fā)現(xiàn)了通過(guò)在COM文件里加特定代碼，使程序可以自己復(fù)制的方法。這個(gè)程序的試驗(yàn)版本被稱作VirdemBurger本人在1986年12月在漢堡開的黑客們的地下計(jì)算機(jī)專欄ChaosComputerClub里，專門演示了Virdem的性能。當(dāng)時(shí)，ChaosComputerClub的主要會(huì)員，都是VAX/VMS系統(tǒng)的黑客，對(duì)會(huì)員中的一人專門研究IBM兼容機(jī)表示了失望。1987年，基于Virdem思想的Vienna病毒流行。調(diào)查顯示，F(xiàn)ranzSvoboda是從RalfBurger那里拿到這個(gè)病毒的。但是，RalfBurger堅(jiān)持病毒是從FranzSvoboda那里拿到的。18最差勁的預(yù)言1988年，當(dāng)時(shí)的著名程序員PeterNorton在被采訪時(shí)說(shuō)，計(jì)算機(jī)病毒只是一個(gè)神話，引起了不少爭(zhēng)議。PeterNorton是著名的NortonUtilities的作者。有趣的是，當(dāng)他把他的公司賣給賽門鐵客公司（Symantec）以后，Symantec用Norton這個(gè)品牌出品了不少軟件。其中就包括著名的反病毒軟件NortonAntiVirus19首例可感染硬盤的病毒1988年，出現(xiàn)感染引導(dǎo)扇區(qū)的Stoned病毒感染的磁盤啟動(dòng)時(shí)會(huì)顯示：“Yourcomputerisnowstoned.”或者"YourPCisnowStoned!"后來(lái)出現(xiàn)90多個(gè)變種，包括可以感染主引導(dǎo)記錄(MBR)的變種20我國(guó)的第一例病毒感染事件1988年底據(jù)《計(jì)算機(jī)世界》報(bào)道，在我國(guó)的統(tǒng)計(jì)部門多臺(tái)計(jì)算機(jī)上發(fā)現(xiàn)的“小球病毒”，也稱為PingPong病毒小球病毒發(fā)作后，在電腦屏幕上生成一個(gè)上下跳躍的小球“小球病毒”是我國(guó)報(bào)道的首例計(jì)算機(jī)病毒感染事件21“莫里斯蠕蟲”事件1988年11月2日，就讀于康奈爾大學(xué)（CornellUniversity）的羅伯特·莫里斯（RobertTappanMorris,Jr.）選擇從MIT大學(xué)節(jié)點(diǎn)向Internet網(wǎng)絡(luò)釋放了一個(gè)自動(dòng)尋找主機(jī)并向新的主機(jī)不斷復(fù)制自己的程序，這就是著名的“莫里斯蠕蟲”（MorrisWorm）?！澳锼谷湎x”事件現(xiàn)在已被認(rèn)定是計(jì)算機(jī)病毒發(fā)展史上極具影響力的事件。RobertT.Morris,Jr22“莫里斯蠕蟲”事件后續(xù)報(bào)道2天內(nèi)包括5個(gè)計(jì)算機(jī)中心和12個(gè)地區(qū)結(jié)點(diǎn)，連接著政府、大學(xué)和研究所的大約6,000~9,000臺(tái)計(jì)算機(jī)系統(tǒng)遭受攻擊，造成Internet不能正常運(yùn)行。有評(píng)估說(shuō)這次事件造成的直接經(jīng)濟(jì)損失大約在每個(gè)計(jì)算機(jī)系統(tǒng)$200~$53,000之間，總合大約9600萬(wàn)美元。小羅伯特·莫里斯被判3年緩刑，罰款1萬(wàn)美元，進(jìn)行400小時(shí)的社區(qū)服務(wù)。一個(gè)月后，CERT/CC組織成立。23病毒被第一次用于實(shí)戰(zhàn)1991年1月，在第一次海灣戰(zhàn)爭(zhēng)“沙漠風(fēng)暴”行動(dòng)（Operation：DesertStorm）前，美軍特工將計(jì)算機(jī)病毒植入伊拉克作戰(zhàn)指揮系統(tǒng)，旨在破壞伊拉克防空系統(tǒng)。這是計(jì)算機(jī)病毒第一次用于實(shí)戰(zhàn)。AF/91：一種說(shuō)法是通過(guò)植入打印機(jī)的特定芯片傳播；另一種說(shuō)法是美國(guó)專家通過(guò)分析找到伊拉克國(guó)家通訊網(wǎng)的接口，然后將具有神經(jīng)網(wǎng)絡(luò)細(xì)胞式自我變異的病毒程序傳播進(jìn)去。伊拉克也使用了“猶太人”病毒和“大麻”病毒。24DOS年代的病毒1991年發(fā)現(xiàn)首例網(wǎng)絡(luò)計(jì)算機(jī)病毒GPI，它突破了NOVELLNetware網(wǎng)絡(luò)安全機(jī)制。1992年出現(xiàn)實(shí)現(xiàn)機(jī)理與以文件型病毒有明顯區(qū)別的DIRII病毒。1994年5月，南非第一次多種族全民大選的記票工作，因計(jì)算機(jī)病毒的破壞而停頓達(dá)30余小時(shí)，被迫推遲公布選舉結(jié)果。25宏病毒的出現(xiàn)1995年，隨著MSWindows95的發(fā)布，微軟Windows操作系統(tǒng)和MSOffice辦公自動(dòng)化軟件占據(jù)了主導(dǎo)地位。1995年，出現(xiàn)第一個(gè)針對(duì)微軟MSWord軟件的宏病毒（MacroVirus）“Concept”病毒，又稱為Prank病毒。同時(shí)，第一例感染中文Word的宏病毒“臺(tái)灣1號(hào)”（TaiwanNo.1）也出現(xiàn)了。1997年，隨著Office97的發(fā)布，宏病毒進(jìn)入空前泛濫的階段，這一年被公認(rèn)為計(jì)算機(jī)“宏病毒”年。26“病毒生產(chǎn)機(jī)”出現(xiàn)1996年我國(guó)出現(xiàn)專門用來(lái)生成病毒的“病毒生產(chǎn)機(jī)”“病毒生產(chǎn)機(jī)”的出現(xiàn)，使得計(jì)算機(jī)病毒的編制變得非常容易。病毒進(jìn)入了“批量生產(chǎn)”的階段由于技術(shù)所限，“病毒生產(chǎn)機(jī)”所能夠產(chǎn)生的病毒僅限于DOS病毒“病毒生產(chǎn)機(jī)”的代表：G2、IVP、VCL其實(shí)國(guó)外早在1992年就出現(xiàn)了類似軟件27首例造成硬件故障的計(jì)算機(jī)病毒1998年，出現(xiàn)直接攻擊和造成計(jì)算機(jī)硬件系統(tǒng)故障的CIH病毒。三個(gè)重要的版本：CIH1.2(每年4/26發(fā)作)，CIH1.3(每年6/26發(fā)作），CIH1.4（改為每月26日發(fā)作）1999年4月26日，CIH病毒在我國(guó)大規(guī)模爆發(fā)，造成巨大損失。陳盈豪281998年，在這一年…8月，出現(xiàn)首個(gè)具有自我復(fù)制能力的Java程序病毒Java.StrangeBrew，感染.class文件出現(xiàn)首例感染HTML文件的病毒HTMLInternal，僅能通過(guò)IE進(jìn)行傳播。11月，出現(xiàn)首例利用VBS進(jìn)行傳播的腳本病毒VBScript.Rabbit，感染.vbs文件291999年，在這一年…3月26日，出現(xiàn)第一例通過(guò)email進(jìn)行傳播的Melissa病毒（梅麗莎病毒）。掛接協(xié)議棧（wsock32.dll）進(jìn)行傳播的Happy99病毒W(wǎng)in32_PE格式破壞力極強(qiáng)的Funlove病毒大量通過(guò)郵件系統(tǒng)傳播的病毒，如PrettyPark（美麗公園）、ExplorerZip等。302000年，在這一年…Win2000.Installer病毒，只能在Windows2000系統(tǒng)下感染。2000年5月，LoveLetter（“愛蟲”）病毒在全世界爆發(fā)。312001年，在這一年…“紅色代碼”、“藍(lán)色代碼”、“Nimda”等大量針對(duì)IIS漏洞的病毒偽裝成明星照片的“庫(kù)爾尼科娃”病毒國(guó)產(chǎn)的HappyTime（“歡樂時(shí)光”）病毒通過(guò)P2P軟件進(jìn)行傳播的Gnutelman木馬第一例跨Windows和Linux操作系統(tǒng)感染的PEElf病毒322002年，在這一年…通過(guò)ICQ的聯(lián)系人名單傳播的Klez病毒（“求職信”病毒）感染flash文件的SWF.LFM病毒通過(guò)電子郵件偷偷向外發(fā)送Office文檔的SirCam病毒BugBear病毒（監(jiān)控鍵盤輸入，殺掉反病毒程序進(jìn)程）332003年，在這一年…年初，出現(xiàn)攻擊數(shù)據(jù)庫(kù)系統(tǒng)的SQLSlammer（SQL蠕蟲）病毒史上傳播最快的大無(wú)極(SoBig)病毒8月12日，出現(xiàn)利用RPC漏洞進(jìn)行傳播的Blaster（沖擊波）病毒，也被稱為lovesan病毒，原定8月16日攻擊WindowsUpdate網(wǎng)站，但是微軟在那一天臨時(shí)關(guān)閉了網(wǎng)站。8月19日出現(xiàn)專門針對(duì)Blaster的Welchia病毒，能夠自動(dòng)安裝到感染了Blaster的機(jī)器上，并自動(dòng)打補(bǔ)丁。以毒攻毒，但最終用戶只有受害，沒有受益。342004年，在這一年…QQ小尾