概述計算機病毒的演變歷史

雖然許多組織已經部署了防病毒軟件，但是新的病毒、蠕蟲和其他形式的惡意軟件仍在繼續快速地感染大量的計算機系統。關於這個顯而易見的矛盾產生的根源，，不是幾句話就可以解釋清楚的；但是根據 Microsoft 從系統已被感染的公司內的 IT 專業人員和安全人員的反饋來看，基本趨勢非常明顯，這些反饋信息中包括如下評論： 　　 "用戶執行其電子郵件的附件，盡管我們一再告訴他們不應該……" 　　 "防病毒軟件本應可以捕獲此病毒，但是此病毒的簽名尚未安裝。" 　　 "本來根本不會攻破防火牆，我們甚至都沒有意識到這些端口會被攻擊。" 　　 "我們不知道我們的服務器需要安裝修補程序。" 　　最近攻擊的成功表明，在組織的每台計算機上部署防病毒軟件的標准方法可能不足以應對惡意軟件。最近病毒爆發的傳播速度令人擔憂，軟件行業檢測、識別和傳送可保護系統免受攻擊的防病毒工具的速度無法跟上病毒的傳播速度。最新形式的惡意軟件所表現的技術也更加先進，使得最近的病毒爆發可以躲避檢測而進行傳播。這些技術包括： 　　 社會工程。許多攻擊試圖看上去好像來自系統管理員或官方服務，這樣就增加了最終用戶執行它們從而感染系統的可能性。 　　 後門創建。最近大部分的病毒爆發都試圖對已感染系統打開某種形式的未經授權訪問，這樣黑客可以反復訪問這些系統。反復訪問用於在協調的拒絕服務攻擊中將系統用作"僵屍進程"，然後使用新的惡意軟件感染這些系統，或者用於運行黑客希望運行的任何代碼。 　　 電子郵件竊取。惡意軟件程序使用從受感染系統中獲取的電子郵件地址，將其自身轉發到其他受害者，並且惡意軟件編寫者也可能會收集這些地址。然後，惡意軟件編寫者可以使用這些地址發送新的惡意軟件變形體，通過它們與其他惡意軟件編寫者交換工具或病毒源代碼，或者將它們發送給希望使用這些地址制造垃圾郵件的其他人。 　　 嵌入的電子郵件引擎。電子郵件是惡意軟件傳播的主要方式。現在，許多形式的惡意軟件都嵌入電子郵件引擎，以使惡意代碼能更快地傳播，並減少創建容易被檢測出的異常活動的可能性。非法的大量郵件程序現在利用感染系統的後門，以便利用這些機會來使用此類電子郵件引擎。由此可以相信，去年制造的大部分垃圾郵件都是通過這種受感染系統發送的。 　　 利用產品漏洞。惡意軟件更經常利用產品漏洞進行傳播，這可使惡意代碼傳播得更快。 　　 利用新的 Internet 技術。當新的 Internet 工具面世之後，惡意軟件編寫者會快速檢查這些工具，以確定如何利用它們。目前，即時消息傳遞和對等 (P2P) 網絡在這種作用力下已經成為攻擊媒介。
計算機病毒的演變 　　20 世紀 80 年代早期出現了第一批計算機病毒。這些早期的嘗試大部分是試驗性的，並且是相對簡單的自行復制的文件，它們僅在執行時顯示簡單的惡作劇而已。 　　注意： 值得注意的是，提供病毒演變的明確歷史幾乎是不可能的。惡意軟件的非法本質意味著，作惡者關注的是如何隱藏惡意代碼的來源。本指南介紹病毒研究人員和防病毒行業普遍認可的惡意軟件歷史。 　　1986 年，報道了攻擊 Microsoft? MS-DOS? 個人計算機的第一批病毒；人們普遍認為 Brain 病毒是這些計算機病毒中的第一種病毒。然而，1986 年出現的其他首批病毒還包括 Virdem（第一個文件病毒）和 PC-Write（第一個特洛伊木馬病毒，此程序看上去有用或無害，但卻包含了旨在利用或損壞運行該程序的系統的隱藏代碼。）在 PC-Write 中，特洛伊木馬程序偽裝成一個同名的流行共享軟件：字處理器應用程序。 　　隨著更多的人開始研究病毒技術，病毒的數量、被攻擊的平台數以及病毒的復雜性和多樣性都開始顯著提高。病毒在某一時期曾經著眼於感染啟動扇區，然後又開始感染可執行文件。1988 年出現了第一個 Internet 蠕蟲病毒（一種使用自行傳播惡意代碼的惡意軟件，它可以通過網絡連接，自動將其自身從一台計算機分發到另一台計算機）。Morris Worm 導致 Internet 的通信速度大大地降低。為了應對這種情況以及病毒爆發次數的不斷增長，出現了 CERT Coordination Center（網址：），通過協調對病毒爆發和事件的響應來確保 Internet 的穩定性。 　　1990 年，網上出現了病毒交流布告欄，成為病毒編寫者合作和共享知識的平台。此外，還出版了第一本關於病毒編寫的書籍，並且開發出了第一個多態病毒（通常稱為 Chameleon 或 Casper）。多態病毒是一種惡意軟件，它使用不限數量的加密例程以防止被檢測出來。多態病毒具有在每次復制時都可以更改其自身的能力，這使得用於"識別"病毒的基於簽名的防病毒軟件程序很難檢測出這種病毒。此後不久，即出現了 Tequila 病毒，這是出現的第一個比較嚴重的多態病毒攻擊。接著在 1992 年，出現了第一個多態病毒引擎和病毒編寫工具包。 　　自那時起，病毒就變得越來越復雜：病毒開始訪問電子郵件通訊簿，並將 其自身發送到聯系人；宏病毒將其自身附加到各種辦公類型的應用程序文件並攻擊這些文件；此外還出現了專門利用操作系統和應用程序漏洞的病毒。電子郵件、對等 (P2P) 文件共享網絡、網站、共享驅動器和產品漏洞都為病毒復制和攻擊提供了平台。在已感染系統上創建的後門（由惡意軟件引入的秘密或隱藏的網絡入口點）使得病毒編寫者（或黑客）可以返回和運行他們所選擇的任何軟件。本指南上下文中的黑客是試圖非法訪問計算機系統或網絡的程序員和計算機用戶。本章的下一部分將詳細討論惡意軟件。 　　有些病毒附帶其自身的嵌入式電子郵件引擎，可以使已感染的系統直接通過電子郵件傳播病毒，而繞過此用戶的電子郵件客戶端或服務器中的任何設置。病毒編寫者還開始認真地設計病毒攻擊的結構並使用社會工程，來開發具有可信外觀的電子郵件。這種方法旨在獲取用戶的信任，使其打開附加的病毒文件，來顯著地增加大規模感染的可能性。 　　惡意軟件演變的同時，防病毒軟件也處在不斷的發展之中。但是，當前大多數防病毒軟件幾乎完全依賴於病毒簽名或惡意軟件的識別特性來識別潛在有害的代碼。從一個病毒的初始版本到此病毒的簽名文件被防病毒供應商廣泛分發之間，仍然存在存活機會。因此，現在發布的許多病毒在最初的數天內感染速度極快，之後一旦分發了應對病毒的簽名文件，感染速度則迅速降低。