A-A+

黑色技术——计算机病毒简史(三)

2008年12月07日 资源分享 暂无评论 阅读 1 次

本文将发表于《先锋国家历史》,与发表版有所不同。

 

二、Windows和互联网时代的病毒和蠕虫

1995年8月24日,微软公司发布了划时代的操作系统——Windows 95(视窗95)。这是微软公司推出的第一套完全采用图形化用户界面(Graphical User Interface,GUI)的操作系统——在此之前的Windows系列版本只不过能算是在DOS上运行的一个软件而已。Windows 95迅速占据了大量的市场,其基于鼠标操作的直观的使用方式让计算机用户的学习成本大大降低。人们终于可以不再记忆那些复杂的命令和参数,只用动动鼠标就能完成自己的工作。这对于普通用户来说真是一大福音。

 

08 windows95

Windows 95,划时代的操作系统之一

但同时也是对病毒制造者的一大挑战。全世界的病毒制造者都在研究,怎样战胜声称“百毒不侵”的Windows 95。1996年,VLAD的Boza病毒首先做到了这一点。这个病毒会在每月的30号发作,受到感染的计算机将会显示一段文字说明,告诉用户这是VLAD组织的杰作。这是一个良性病毒,并不会造成什么损失,仅仅是表明自己的技术实力罢了。

在这一时期,最出名的Windows病毒应该算是在1998年由台湾人陈盈豪编写的“CIH”病毒了。这个病毒一共有从V1.0到V1.4五个版本,其中造成最大损失的是V1.2版。在每年4月26日发作,改写磁盘引导区数据,并且可能会修改主板上的基本输入输出系统(Basic Input/Output System)芯片,甚至造成主板损坏。1999年4月26日,CIH V1.2首次大范围爆发,在全球有超过六千万台电脑被不同程度破坏,在2000年4月26日,又一次大范围爆发,估计在全球造成的损失超过十亿美元。这个病毒也被叫做“切尔诺贝利”(Chernobyl)病毒,因为4月26日是切尔诺贝利核电站发生核泄漏的日子。但是后来据陈盈豪自己供称,这个病毒和切尔诺贝利核电站一点关系都没有,26号只不过是他高中的学号而已。台湾警方很快逮捕了陈盈豪,随后发现,破坏力更大的CIH V2.0已经接近开发完成了。

09 CIH12

CIH 1.2

在陈盈豪没有写出CIH之前,一类制作起来更容易但是传播速度更快的病毒就出现了。这就是“宏病毒”(Macro Virus)。宏是微软公司的Office软件包提供的一种工具,可以让用户避免重复工作。它就像是在DOS下的批处理,在用户发出指令后,完成预先定义好的一系列工作。在Office中,宏有两种定义方式,其一是用宏录制器录制用户操作,二是通过Visual Basic语言编辑器手工编辑。在默认情况下,Word将宏存贮在 Normal.dot这个模板文件中,当打开一个文档时,会首先加载这个模板文件,以便让所有的Word文档都能使用。

宏病毒就利用了这一特性。一般来说,宏病毒附在文档中,当在未被感染的计算机上打开的时候,这个宏就会改写模板文件,把自己添加进去。以后只要一执行Word,这个受感染的通用模板便会感染其后所编辑的所有文档中去。如果在其他计算机上打开了感染病毒的文档,宏病毒又会转移到这台计算机上。

10 Word Macro Virus 

一段宏病毒代码

Visual Basic语言学习起来比较容易,宏病毒的门槛比传统病毒低得多,但是传染性惊人,破坏力也不容小觑。后来微软在Office里加入了宏扫描功能,当遇到带有不正常宏的文档的时候,会首先让用户选择是否要运行文档中的宏。杀毒软件也迅速跟进,现在宏病毒已经比较少见了。

但是通过互联网工具传播的病毒终于开始泛滥起来,病毒中的“蠕虫”这一分支越来越人丁兴旺了。

莫里斯撰写的“蠕虫”的特征是在网络上疯狂搜寻,寻找一切没有被传染的计算机。这一类病毒在发作时会大量占据计算机的运算资源和内存,并且造成网络拥堵。只要连接互联网,它就会传播,令人防不胜防。后来的大量病毒借鉴了这一做法,“梅丽莎”(Melissa)、“爱虫”(ILOVEYOU)、“红色代码”(Code Red)、“SQL监狱”(SQL Slammer)、“冲击波”(Blaster)、“震荡波”(Sasser)等是其中的最为知名的,并且都衍生出了数十种至数百种其他的变种。

“梅丽莎”(Melissa)蠕虫最早是在1999年3月26日被发现的,当时它导致了一台电子邮件服务器死机。被这个蠕虫感染的计算机会自动向微软电子邮件管理软件Outlook的联系人名单中前五十个邮件地址发送带毒的电子邮件,每份邮件都带着一个Word文档作为附件。当收到邮件的用户打开这个Word文档的时候,他的计算机就会感染这个病毒,并且进行新一轮的邮件发送。这种传染方式快得惊人,并且会占据了过多的网络带宽以及导致电子邮件服务器崩溃。据统计,这个蠕虫最终导致的损失可能超过8,000万美元。“梅丽莎”蠕虫的制造者是当时31岁的戴维·L·史密斯(David L. Smith),他说“梅丽莎”这个名字来自于他认识的佛罗里达州的一位舞女。在FBI和新泽西州警察的合作下,戴维·史密斯很快就被抓获了,并且被判处20个月的监禁以及5,000美元罚款。这是美国历史上第一次对病毒撰写者判处如此严厉。

11 Melissa Virus

一封带有梅丽莎病毒的邮件

仅仅就在“梅丽莎”发作一年之后的2000年五月四日,在香港首次发现了“爱虫”蠕虫。“爱虫”和“梅丽莎”的传播方式类似,但是要凶狠得多。用户可能会接到一封电子邮件,主题是“ILOVEYOU”,还带有一个名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的附件。当用户打开这个附件的时候,将会把同样的邮件发给用户地址簿里所有的地址。它还能查找本地磁盘和网络驱动器,并在所有目录和子目录中搜索可以感染的目标,能够感染超过十种类型的文件,甚至连MP3文件都不放过。“爱虫”在不到二十四小时的时间里传遍了全世界,仅仅一天就造成了大约55亿美元的损失。当然,这可能和它的名字也有一定关系。受到袭击的包括一些重要机构,美国国防部和CIA也在其中。在没有合适的杀毒程序的情况下,许多机构不得不关闭了电子邮件服务器。计算机安全专家大声呼吁用户在接到邮件时不要轻易打开附件,但是这种蠕虫还是持续蔓延开来,并且通过修改Windows操作系统中最重要的数据库之一——注册表,来保证它自己开机后就能自动运行。

2001年7月13日,红色代码从网络服务器上传播开来。它专门针对运行微软互联网信息服务器(Internet Information Server,IIS)软件的网络服务器来进行攻击,并且主动寻找其他易受攻击的主机进行感染。这个行为持续大约20-27天,之后它就开始对某些特定IP地址发起拒绝服务(Denial of Service,DoS)攻击,让目标计算机不能被访问。在短短不到一周的时间内,这个病毒感染了近40万台服务器,据估计多达100万台计算机受到感染。实际上,在六月中旬,微软曾经发布了一个叫做“MS01-033”的补丁来修补这个漏洞,但是大多数网管都没有安装这个补丁。

“SQL监狱”也被称为“蓝宝石”(Sapphire),2003年1月25日首次出现。这个蠕虫需要满足较为苛刻的条件才会发作:它只感染服务器;它随机产生IP地址,并向这些IP地址发送自身的副本;如果当前的计算机刚好运行着未打补丁的微软SQL服务器桌面引擎(SQL Server Desktop Engine)软件,那么马上就会变成下一个传染源。然而,互联网上没有安装补丁的服务器为数可不少。这个蠕虫在十分钟之内感染了7.5万台计算机,甚至导致了大量的网络设备被迫关闭。

好容易到了夏天,“冲击波”又袭来了。这个蠕虫最早于8月11日被检测出来,短短两天之内就达到了攻击顶峰。被传染的计算机当连接上互联网时就会弹出一个对话框,告诉用户这台计算机将在1分钟内关闭。对于这种会反复传染的病毒,人们实在不厌其烦,不得不发明了一些简单的土方法。其中最常见的一种是在提示关机后的一分钟内,把计算机的系统时间向前调一天。除此之外,这个病毒的作者似乎还想表达些别的什么。在病毒的可执行文件MSBLAST.EXE代码中隐藏着这样的信息:“桑,我只想说爱你!”(I just want to say LOVE YOU SAN!!)以及“比尔·盖茨,你为什么让这种事情发生?别再敛财了,修补你的软件吧!”(billy gates why do you make this possible? Stop making money and fix your software!!)和“红色代码”类似,在“冲击波”蠕虫发作前一个月,微软其实已经推出了相应的补丁“MS03-026”和“MS03-039”,但是却没有得到用户的重视。

12 Blaster

冲击波病毒感染后,提示一分钟内关机

一年以后,“震荡波”发作了。这个蠕虫是德国一名17岁的高中生编写的,他在18岁生日那天释放了它。“震荡波”从2004年8月30日起开始传播,其破坏能力之大令法国一些新闻机构不得不关闭了卫星通讯。它还导致德尔塔航空公司(Delta)取消了数个航班,全球范围内的许多公司不得不关闭了网络。与先前多数病毒不同的是,“震荡波”的传播并非通过电子邮件,也不需要像“梅丽莎”或者“爱虫”那样需要用户的交互动作,完全自己一手包办了。它利用了未升级的Windows 2000/XP系统的一个安全漏洞,一旦传染到计算机上,它便主动扫描其他未受保护的系统并将自身传播过去。后来德国警方逮捕了这个孩子,但是由于编写这些代码的时候他还是个未成年人,虽然被法庭认定从事计算机破坏活动,但还是仅判了缓刑。

在这一个阶段,病毒制造者似乎还没有和经济利益有任何关系,看起来,他们只是往往为了宣扬自己的名声或者对现实生活不满。但是接下来,情况却奇怪地扭曲了。

文章来源这里

给我留言

Copyright © 浩然东方 保留所有权利.   Theme  Ality 07032740

用户登录