計算機病毒的歷史要點課件

計算機病毒及其防治

Computer

Virus

Analysis

andAntivirusFUDAN

UNIVERSITY1計算機病毒的歷史FUDAN

UNIVERSITY2世界上第一臺計算機誕生1946年2月14日，賓夕法尼亞大學莫爾電氣學院（MooreSchoolofElectricalEngineering）的莫克利教授（John

Mauchly）和?？颂毓こ處煟↗.Presper

Eckert,

Jr.）設計制造出了世界上第一臺計算機ENIAC（Electronic

Numerical

IntegratorAnd

Computer）。JohnMauchlyJ.

Presper

EckertFUDAN

UNIVERSITY3FUDAN

UNIVERSITY4“病毒”概念的最早出現(xiàn)1945年約翰·馮·諾依曼（John

Von

Neumann）提交了改進ENIAC的EDVAC（ElectronicDiscrete

Variable

AutomaticComputer）設計方案，引入了運算器、邏輯控制裝置、存儲器、輸入和輸出設備的概念。1949年，馮·諾依曼在《復雜自動裝置的理論及組織》(Theory

andOrganizationof

ComplicatedAutomata)中提出了計算機程序能夠在內存中自我復制。John

VonNeumannFUDAN

UNIVERSITY5Von

Neumann

and

his

IAS(Institute

of

Advance

Study)FUDAN

UNIVERSITY6IAS

todayDarwin游戲60年代初，AT&T公司的貝爾實驗室（Bell

Labs）中，三個年輕的小伙兒道格拉斯·麥耀萊（Douglas

McIlroy）、維特·維索斯基（VictorA.

Vyssotsky）和羅伯特·莫里斯（Robert

T.Morris,Sr.）編制出了一個運行在IBM7090機器上、叫做Darwin(達爾文)的游戲。Douglas

McIlroyIBM

7090FUDAN

UNIVERSITY7“Worm”程序FUDAN

UNIVERSITY81982年，施樂（Xerox）公司研究中心的約翰·肖奇（John

F.

Shoch）和喬恩·賀普（Jon

A.

Hupp）設計出了能夠占用其它機器空閑資源的Worm程序。爬行者

(Creeper) ，每一次把它讀出時，它便自己復制一個副本。爬行者的唯一生存目的就是繁殖?！笆崭钫摺?Reaper)，它的唯一生存目的便是找到爬行者，把它們毀滅掉。當所有爬行者都被收割掉之后，收割者便執(zhí)行最后一項指令：毀滅自己，從電腦中消失?！按判敬髴?zhàn)”（CoreWar）磁芯大戰(zhàn)（Core

War）是1984年由杜特尼（A.

K.

Dewdney）和瓊斯（D.G.Jones）設計出來的，吸取了Darwin游戲和Worm的思想。Alexander

Keewatin

DewdneyFUDAN

UNIVERSITY9虛幻的計算機戰(zhàn)爭1975年，美國科普作家約翰·布魯勒爾(JohnBrunner)寫了一本《震蕩波騎士》(TheShockwave Rider)，成為當年最暢銷書之一。書中描述一個極端主義政府利用超級計算機網(wǎng)絡控制民眾，自由主義戰(zhàn)士利用一種稱為

“tapeworm”的程序，感染了整個網(wǎng)路，致使政府不得不關閉這個網(wǎng)絡，最終打敗了極端主義政府。JohnBrunnerFUDAN

UNIVERSITY10“計算機病毒”概念的提出1977年夏天，托馬斯·捷·瑞安（ThomasJ.

Ryan）的科幻小說《P-1的青春》（The

Adolescence

of

P-1）成為美國的暢銷書。作者幻想了世界上第一個計算機病毒（P-1），可以從一臺計算機傳染到另一臺計算機，最終控制了7000臺計算機，釀成了一場災難。Computer Virus這個詞就是在這部科幻小說中首次出現(xiàn)的。FUDAN

UNIVERSITY11第一例個人計算機的病毒1982年，運行在Apple

II計算機上的病毒

Elk

Cloner被發(fā)現(xiàn)Richard

Skrenta編寫，當時9年級。病毒感染磁盤，然后駐留內存，感染任何插入磁盤驅動器的軟盤。如果用被感染的磁盤啟動達到50次，會在屏幕上出現(xiàn)：Ref.：/Rich

SkrentaFUDAN

UNIVERSITY12"Elk

Cloner:

The

program

with

apersonalityIt

will

get

on

all

yourdisksIt

will

infiltrate

your

chipsYes

it's

Cloner!It

will

stick

to

you

like

glueIt

will

modify

ram

tooSend

in

theCloner!"實驗室中的病毒1983年11月3日，當時在南加州大學（USC：University

of

Southern

California）攻讀

博士的弗雷德

· 科恩（

Fred

Cohen ）研制一種在運行過程中可以復制自身的程序。他的導師倫

· 艾德勒曼（

LeonardAdleman）將這種程序命名為“Virus”。Fred

CohenFUDAN

UNIVERSITY13實驗室中的病毒FUDAN

UNIVERSITY14經過8小時的努力，病毒代碼在VAX

11/750計算機系統(tǒng)上編寫完成，一周內獲得試驗許可，并進行了5次試驗。11月10日F.

Cohen將病毒程序演示給安全討論會成員，從而在實驗上驗證了計算機病毒的存在。病毒程序被稱為vd，看上去為圖形化展示目錄內容的功能，實際上感染了該病毒的程序運行中將獲得系統(tǒng)權限，并將權限傳遞給其他用戶。1984年，科恩以Computer

Virus-TheoryandExperiments為博士畢業(yè)論文，闡述了計算機病毒實際存在，引起世界的廣泛關注。第一例特洛伊木馬程序FUDAN

UNIVERSITY151985年，出現(xiàn)了第一例特洛伊木馬程序（Trojan

horse）：EGABTR該程序通過mailbox傳播，偽裝成圖形增強程序，描述文字說可以提高你的IBM EGA顯示性能，但實際上運行后即刪除磁盤上的FAT表，并在屏幕上顯示"Arf!

Arf!

Gotyou!"第一例IBM PC病毒FUDAN

UNIVERSITY161986年初，在巴基斯坦(Pakistan)的拉合爾(Lahore)，巴錫特（BasitFarooq

Alvi）和阿姆杰德（AmjadFarooq

Alvi）兩兄弟編寫了“Brain病毒”又稱為(C)Brain病毒、大腦病毒、

巴基斯坦大腦病毒、Pakistan病毒，等1987年，這個病毒流傳到了世界各地。它也是世界上第一例廣泛傳播的病毒。更多關于Brain病毒的信息FUDAN

UNIVERSITY17初衷是為了保護自己搭賣的軟件不被非法拷貝。也有一種說法是為了擴大知名度故意編了這個病毒。只感染軟盤，將卷標修改為(C)

BRAIN，并顯示：現(xiàn)在的Brain公司：http://www.brain.pkWelcome

to

theDungeon(c)

1986

Basit

&

Amjad

(pvt)

Ltd.BRAIN

COMPUTER

SERVICES730

NIZAB

BLOCK

ALLAMA

IQBALTOWNLAHORE-PAKISTANPHONE

:430791,443248,280530.Beware

of

this

VIRUS....Contact

us

for

vaccination............

$#@%$@!!x86上首例試驗型COM文件病毒FUDAN

UNIVERSITY181986年，德國的程序員Ralf

Burger發(fā)現(xiàn)了通過在

COM文件里加特定代碼，使程序可以自己復制的方法。這個程序的試驗版本被稱作VirdemBurger本人在1986年12月在漢堡開的黑客們的地下計算機專欄Chaos

Computer

Club里，專門演示了Virdem的性能。當時，Chaos

Computer

Club的主要會員，都是

VAX/VMS系統(tǒng)的黑客，對會員中的一人專門研究IBM兼容機表示了失望。1987年，基于Virdem思想的Vienna病毒流行。調查顯示，F(xiàn)ranzSvoboda是從RalfBurger那里拿到這個病毒的。但是，Ralf

Burger堅持病毒是從

Franz

Svoboda那里拿到的。最差勁的預言FUDAN

UNIVERSITY191988年，當時的著名程序員Peter

Norton在被采訪時說，計算機病毒只是一個神話，引起了不少爭議。Peter

Norton是著名的

Norton

Utilities的作者。有趣的是，當他把他的公司賣給賽門鐵客公司（Symantec）以后，Symantec用Norton這個品牌出品了不少軟件。其中就包括著名的反病毒軟件Norton

AntiVirus首例可感染硬盤的病毒FUDAN

UNIVERSITY201988年，出現(xiàn)感染引導扇區(qū)的Stoned病毒感染的磁盤啟動時會顯示：“Yourcomputer

is

now

stoned.”或者"YourPC

is

nowStoned!"后來出現(xiàn)90多個變種，包括可以感染主引導記錄(MBR)的變種我國的第一例病毒感染事件FUDAN

UNIVERSITY211988年底據(jù)《計算機世界》報道，在我國的統(tǒng)計部門多臺計算機上發(fā)現(xiàn)的“小球病毒”，也稱為

PingPong病毒小球病毒發(fā)作后，在電腦屏幕上生成一個上下跳躍的小球“小球病毒”是我國報道的首例計算機病毒感染事件“莫里斯蠕蟲”事件1988年11月2日，就讀于康奈爾大學（Cornell University）的羅伯特·莫里斯（Robert

Tappan

Morris,

Jr.）選擇從MIT大學節(jié)點向Internet網(wǎng)絡釋放了一個自動尋找主機并向新的主機不斷復制自己的程序，這就是著名的“莫里斯蠕蟲”（Morris

Worm）。“莫里斯蠕蟲”事件現(xiàn)在已被認定是計算機病毒發(fā)展史上極具影響力的事件。Robert

T.

Morris,

JrFUDAN

UNIVERSITY22“莫里斯蠕蟲”事件后續(xù)報道FUDAN

UNIVERSITY232天內包括5個計算機中心和12個地區(qū)結點，連接著政府、大學和研究所的大約

6,000~9,000臺計算機系統(tǒng)遭受攻擊，造成

Internet不能正常運行。有評估說這次事件造成的直接經濟損失大約在每個計算機系統(tǒng)$200~$53,000之間，總合大約9600萬美元。小羅伯特·莫里斯被判3年緩刑，罰款1萬美元，進行400小時的社區(qū)服務。一個月后，CERT/CC組織成立。病毒被第一次用于實戰(zhàn)FUDAN

UNIVERSITY241991年1月，在第一次海灣戰(zhàn)爭“沙漠風暴”行動（Operation：Desert

Storm）前，美軍特工將計算機病毒植入伊拉克作戰(zhàn)指揮系統(tǒng)，旨在破壞伊拉克防空系統(tǒng)。這是計算機病毒第一次用于實戰(zhàn)。AF/91：一種說法是通過植入打印機的特定芯片傳播；另一種說法是美國專家通過分析找到伊拉克國家通訊網(wǎng)的接口，然后將具有神經網(wǎng)絡細胞式自我變異的病毒程序傳播進去。伊拉克也使用了“猶太人”病毒和“大麻”病毒。DOS年代的病毒FUDAN

UNIVERSITY251991年發(fā)現(xiàn)首例網(wǎng)絡計算機病毒GPI，它突破了NOVELL

Netware網(wǎng)絡安全機制。1992年出現(xiàn)實現(xiàn)機理與以文件型病毒有明顯區(qū)別的DIR

II病毒。1994年5月，南非第一次多種族全民大選的記票工作，因計算機病毒的破壞而停頓達30余小時，被迫推遲公布選舉結果。宏病毒的出現(xiàn)FUDAN

UNIVERSITY261995年，隨著MS

Windows

95的發(fā)布，微軟Windows操作系統(tǒng)和MS Office辦公自動化軟件占據(jù)了主導地位。1995年，出現(xiàn)第一個針對微軟MS

Word軟件的宏病毒（Macro

Virus）“Concept”病毒，又稱為Prank病毒。同時，第一例感染中文Word的宏病毒“臺灣1號”（Taiwan

No.1）也出現(xiàn)了。1997年，隨著Office

97的發(fā)布，宏病毒進入空前泛濫的階段，這一年被公認為計算機“宏病毒”年?！安《旧a機”出現(xiàn)1996年我國出現(xiàn)專門用來生成病毒的“病毒生產機”“病毒生產機”的出現(xiàn)，使得計算機病毒的編制變得非常容易。病毒進入了“批量生產”的階段由于技術所限，“病毒生產機”所能夠產生的病毒僅限于DOS病毒“病毒生產機”的代表：G2、IVP、VCL其實國外 在1992年就出現(xiàn)了類似軟件FUDAN

UNIVERSITY27首例造成硬件故障的計算機病毒1998年，出現(xiàn)直接攻擊和造成計算機硬件系統(tǒng)故障的CIH病毒。三個重要的版本：CIH

1.2(每年4/26發(fā)作)，CIH

1.3(每年6/26發(fā)作），CIH

1.4（改為每月26日發(fā)作）1999年4月26日，CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。陳盈豪FUDAN

UNIVERSITY281998年，在這一年…FUDAN

UNIVERSITY298月，出現(xiàn)首個具有自我復制能力的Java程序病毒Java.StrangeBrew，感染.class文件出現(xiàn)首例感染HTML文件的病毒HTMLInternal，僅能通過IE進行傳播。11月，出現(xiàn)首例利用VBS進行傳播的腳本病毒VBScript.Rabbit，感染.vbs文件1999年，在這一年…FUDAN

UNIVERSITY303月26日，出現(xiàn)第一例通過email進行傳播的Melissa病毒（梅麗莎病毒）。掛接協(xié)議棧（wsock32.dll）進行傳播的Happy99病毒W(wǎng)in32_PE格式破壞力極強的Funlove病毒大量通過郵件系統(tǒng)傳播的病毒，如PrettyPark（美麗公園）、ExplorerZip等。2000年，在這一年…FUDAN

UNIVERSITY31Win2000.Installer病毒，只能在Windows

2000系統(tǒng)下感染。2000年5月，LoveLetter（“愛蟲”）病毒在全世界爆發(fā)。2001年，在這一年…FUDAN

UNIVERSITY32“紅色代碼”、“藍色代碼”、

“Nimda”等大量針對IIS漏洞的病毒偽裝成明星照片的“庫爾尼科娃”病毒國產的HappyTime（“歡樂時光”）病毒通過P2P軟件進行傳播的Gnutelman木馬第一例跨Windows和Linux操作系統(tǒng)感染的

PEElf病毒2002年，在這一年…FUDAN

UNIVERSITY33通過ICQ的聯(lián)系人名單傳播的Klez病毒（“求職信”病毒）感染flash文件的SWF.LFM病毒通過電子郵件偷偷向外發(fā)送Office文檔的SirCam病毒BugBear病毒（監(jiān)控鍵盤輸入，殺掉反病毒程序進程）2003年，在這一年…FUDAN

UNIVERSITY34年初，出現(xiàn)攻擊數(shù)據(jù)庫系統(tǒng)的SQLSlammer（SQL蠕蟲）病毒史上傳播最快的大無極(SoBig)病毒8月12日，出現(xiàn)利用RPC漏洞進行傳播的

Blaster（沖擊波）病毒，也被稱為

lovesan病毒，原定8月16日攻擊WindowsUpdate網(wǎng)站，但是微軟在那一天臨時關閉了網(wǎng)站。8月19日出現(xiàn)專門針對Blaster的Welchia病毒，能夠自動安裝到感染了Blaster的機器上，并自動打補丁。以毒攻毒，但最終用