恶意代码与防护技术----恶意代码发展史(二)
2011-08-31 12:47
531 查看
1995年1月,微软的视窗95演示盘被病毒“表格”(Form)感染,微软将演示盘发送给测试者,其中一个可能是过于勤劳的测试者对这些磁盘进行了病毒检测,结果很吃惊的发现了病毒。这是微软第一次在发行的光盘中包含了病毒,当然这远远不是最后一次。
1995年春天,两家著名的杀毒软件公司“雷霆字节反病毒”(ThunderBYTE Anti-virus)和“诺曼第数据防护”(Norman Data Defense)公司宣布将联合进行反病毒系统的开发。
1995年秋天,病毒和反病毒发展历史的一个转折点,第一个能够保存在WORD文件中,运行在微软字处理软件里的病毒“概念”(Concept)病毒开始在世界范围内流行,这一病毒的出现宣告了一种新形态的病毒的出现――宏病毒。在很长一段时间里,这一病毒在所有的病毒感染统计中一直占据最重要的位置。
1996年,Netcat的UNIX版本发布:这个由Hobbit编写的工具直到今天都仍然是最流行的UNIX系统后门,尽管它有无数合法和非法的用途,但是Netcat常常作为一个后门而被滥用。
1996年1月,第一个视窗95病毒出现――“博扎”(Win95.Boza)
1996年3月,第一个开始大规模流行的视窗版本3病毒,“触角”(Tentacle)病毒首次被发现,这一病毒首次出现在法国一家医院和一些研究机构的网络中。在这一病毒出现之前,虽然有很多的视窗病毒被制造出来,但是这些制造出来的病毒都只在病毒收集者之间、电子公告板或者一些专门的杂志上出现,“触角”病毒实际上是第一个真正流行起来的视窗病毒。
1996年6月,第一个真正OS/2操作系统下的病毒,“AEP”病毒出现,在此之前的OS/2病毒只能使用病毒文件替换原来的文件,或者以伴随病毒的形式出现,这一病毒首次可以将自己附着在OS/2可执行文件的后面,实现了病毒的真正定义――感染。
1996年7月,第一个微软电子数据表病毒“拉若克斯”(Laroux)病毒出现,这一病毒首次发现是在两家石油公司,一家在阿拉斯加,另外一家在南非,所以我们猜想是一个石油勘探软件的程序员制作了这个病毒。和先前的字处理程序病毒一样,这一病毒利用了在电子数据表格软件中可以变成的某种宏语言。任何微软的电子数据表或者字处理文档中都可以包括这种语言所编写的程序,当然也可以包括这种语言所编写的病毒。随着微软操作系统的日益复杂,各种宏语言慢慢变成统一的BASIC语言(VBA :专门为应用软件设计的可视化BASIC语言),功能也变得越来越强大,使用这种语言编写的病毒功能也随之越来越强大。
BASIC语言:BASIC是初学者通用符号指令代码(Beginner's All-purpose symbolic instruction Code)的缩写,是国际上广泛使用的一种计算机高级语言。BASIC简单、易学,目前仍是计算机入门的主要学习语言之一。BASIC语言自其问世经历了以下四个阶段:第一阶段:(1964年~70年代初)1964年BASIC语言问世。第二阶段:(1975年~80年代中) 微机上固化的BASIC,ROM BASIC,第三阶段:(80年代中~90年代初)结构化BASIC语言,以True BASIC为代表,第四阶段:(1991年以来)以可视化的BASIC为代表,在因特网时代这一古老的语言又焕发了新的青春。
1996年12月,视窗95下的第一个内存驻留病毒,“打孔机”(Punch)病毒出现,该病毒驻留在视窗95的内存中,以一个Vxd驱动程序的形式存在,拦截所有的文件操作并进行传染,这种原理在随后的CIH病毒中得到应用和发展并且造成了极大地破坏。由于程序设计中的明显缺陷,“打孔机”病毒不能在正常的视窗95环境进行感染中,所以这种革命性的病毒并没有真正流行起来。
实际上1996年是新一轮病毒进化的开始,在这一年中,随着微软新的操作系统视窗95、视窗NT和微软办公软件(Office)的流行,病毒制造者不得不面对一个新的环境,他们在这一年中开始使用一些新的感染和隐藏方法,制造出在新的环境下可以自我复制和传播的病毒,随后,病毒制造者的技术水平日益提高,他们对新的操作系统环境(视窗95和视窗NT)和应用系统环境(Office,包括字处理和电子数据表格软件等)的掌握也越来越深,他们开始在病毒中增加多态、反跟踪等技术手段,在新的技术层次上重复了早期在DOS操作系统环境下病毒的进化过程,和DOS环境下漫长的进化相比,在新的环境下病毒的进化过程要快得多。
1997年2月,第一个Linux环境下的病毒“上天的赐福”(Bliss)出现,Linux在此之前还是一个没有被病毒感染过的乐土。
1997年2月到3月,随着微软办公软件从版本6升级到版本97,宏病毒也升级到版本97。最早针对微软办公软件97的宏病毒都是直接从较早期版本转换过来的,但是病毒制造者对新技术的跟踪速度是惊人的,他们很快就推出了专门为微软办公软件97定制的宏病毒。
1997年3月,针对微软字处理软件版本6和版本7的宏病毒“分享欢乐”( ShareFun)病毒出现,这种病毒的特殊之处在于除了通常的通过字处理文档传播之外,“分享欢乐”还可以通过微软的邮件程序发送自己。
1997年4月,第一个使用文件传输协议(FTP)进行传播的蠕虫病毒,“本垒打”( Homer)病毒出现。
1997年6月,视窗95环境下第一个可以自我加密/解密的病毒出现,这一病毒最先出现在莫斯科,在一些电子公告板上公布后造成了一些慌乱。
1997年11月,“世界语”( Esperanto)病毒出现,正如名字所表示的那样,这一病毒的开发者想让它成为病毒世界的世界语―同时感染DOS、视窗和苹果的麦克机操作系统。幸运的是,由于软件中存在的一些缺陷,“世界语”没有实现它的设计目标。
1997年12月,一种新的病毒形态,“mIRC蠕虫”出现,“mIRC”是视窗环境下最常见的一种IRC客户端程序,在当时发布的mIRC版本中存在一个漏洞,利用这个漏洞,病毒可以通过IRC的频道复制和传播自己。后来的IRC版本中堵住了这个漏洞,“mIRC蠕虫”病毒也就随之慢慢的消失了。
1997年在美国和欧洲的主要杀毒软件厂商中,发生了一些丑闻。两家非常著名的杀毒软件厂商开始了一场口水大战,首先是McAfee公司宣布他们的专家在所罗门公司出品的杀毒软件中发现了一个很有意思的特性:所罗门公司的病毒检测软件可以工作在两种模式下面,正常模式和高级模式,正常模式的速度很快,但是对于某些少见的病毒可能无法检测,高级模式的速度比较慢,但是检测的病毒数量更多,他们发现,所罗门公司的软件可以在这两种模式之间自动切换,当软件发现自己好像是在检测一个测试用的病毒库的时候,会自动切换到高级模式,而在检测普通文件的时候会切换到正常模式,这样,杀毒软件既得到了非常快的检测速度,也可以得到非常好的病毒检出率。
随后,所罗门公司开始反击,指责McAfee公司发布了非法的广告,其中有直接攻击所罗门公司的内容。同时,好像是觉得不够热闹似的,McAfee和趋势公司闹上了法庭,他们争论的焦点有关因特网和电子邮件病毒检测技术的专利;随后是赛门铁克,也跳出来指责McAfee公司使用了赛门铁克的代码。
这一点充分证明了国外的消费者观念和国内消费者观念的巨大差别,对于国外用户来说,在产品中没有充分实现你的承诺就是一种欺骗行为,换句话来说,在用户不知情的情况下为了某种性能或者评测数据的考虑自动的切换工作模式是某种意义上的商业欺骗。而在国内,我相信没有任何消费者会因为这样一种技术上的处理对杀毒软件厂商提出怀疑或者责难。实际上,国内厂商使用的模式切换、性能增强措施,甚至某些通过提高误报率来迎合用户希望查到病毒的心理的技术手段,远远超过了国外所谓的“欺骗”的范畴。但是至今还没有用户或者厂商对此提出过指责。
这一年McAfee和“网络将军”公司完成了他们的合并,新成立的公司成为一家信息安全服务和产品的提供商,新公司的名称是“网盟”(NAI)。
这一年,在中国发生了著名的毒岛论坛事件,有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的解密程序。1997年的下半年,“毒岛论坛”宣称KV 300软件中有病毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”,不是病毒。只有使用了盗版软件的用户,才有可能数据被破坏。
事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV 300似乎没有受到太大的影响,“毒岛论坛”还因此被查封。
在1994年防病毒卡的销售达到最高峰之后,瑞星1995、1996年销售业绩大幅度下降,公司到了生死存亡的边缘,1997年开始,瑞星通过OEM和低价策略开始二次创业。
1997年,南京信源公司首次推出具有实时病毒防护功能的病毒防火墙,NetVRV软件。
1997年,出现了一家风靡一时的反病毒软件公司,华美星际,在当年推出的“病毒克星”产品获得很大的成功(“病毒克星”实际上是OEM “VRV”之后生产的产品),但是由于运作原因,该公司在1997年之后就销声匿迹了。
1998年,Netcat的Windows版本发布,Netcat在Windows平台上也不怠慢。它由Weld Pond编写,在Windows操作系统中也被用做一个特别流行的后门。
病毒的数量和技术继续发展,特别是随着因特网的广泛使用,人们对于能够窃取口令和更改权限的木马程序有了更多的兴趣。视窗环境下的病毒“CIH”和“青猴病”(Marburg)通过一些电脑杂志附带的光盘广泛传播,这些光盘在制作的时候被病毒感染。
这一年中,一种新的病毒“HLLP.DeTroie”出现,这种病毒除了能够感染普通的视窗可执行文件以外还能够收集被感染机器的信息并且发送到病毒的所有者手中。应该感到幸运的是,这一病毒仅仅感染法语版的视窗操作系统,所以基本上没有在我国造成影响。
1998年1月,一种新的感染微软电子数据表的病毒“派克斯”(Paix)出现,这种感染表格的病毒同样实现了自我复制和传播的特性。
1998年2月到3月,“青猴病”(Marburg)病毒,第一个在32位视窗环境下运行的多态病毒被发现并且开始流行起来。这种病毒的出现给杀毒软件开发者出了一道难题,就像当初在DOS环境下遇到多态型病毒一样,他们不得不重新设计自己的病毒扫描引擎,从而可以识别出这种病毒和相应的变种。
1998年3月,“埃克塞斯4”( AccessiV)病毒,第一个针对微软数据库软件的病毒出现,这个病毒本身没有造成很大的影响,因为随着字处理和电子数据表病毒的出现,人们知道出现这样一个病毒只是迟早的事情,所有的杀毒软件厂商对此已经有了充分的准备。
1998年3月,“十字架”( Cross)病毒出现,这个病毒首次实现了对不同微软办公软件的感染,数据库和字处理软件。也就是说你的字处理文档和你的数据库文件中可能同时包括了这种病毒,在这种病毒之后,越来越多的,同时感染多种微软办公软件的病毒开始出现。
1998年5月,“红色队伍”( RedTeam)病毒出现,这种病毒可以感染通常的视窗可执行文件,同时还可以通过一种电子邮件软件进行传播。
1998年6月,CIH病毒出现,CIH病毒是有史以来影响最大的病毒之一,最早出现在台湾,然后通过美国在台湾的海外办公室传播到美国,感染了一些因特网上的游戏服务器,直接引发了持续一年的恐慌(在中国CIH的恶梦是在下一年才真正开始的),CIH病毒所取得的巨大影响是因为它的破坏性,在某些电脑上,CIH病毒甚至可以损坏你的硬件。
1998年7月,非常好的远程控制工具“后门”(Back Orifice/BO)出现,这个工具由cDc(Cult of the Dead Cow,一个黑客小组)发布,它允许用户通过网络远程控制Windows系统,是另外一个越来越流行的功能集。
1998年8月,在“后门”之后,还出现了“网络公共汽车”(NetBus)、“阶段”(Phase)等类似的软件。
1998年8月,第一个感染“爪哇”(Java)可执行文件的病毒“陌生的酿造”(Strange Brew)问世,这一病毒没有什么实际的危害,因为“爪哇”语言在安全性上的一些预防措施,病毒不能复制并且传播到远程的电脑上。但是“陌生的酿造”至少证明了因特网浏览器被病毒感染的可能性。
这一年,南北信源反目为仇,先是划江而治,划分成北方市场和南方市场,然后由于市场和经营观念的冲突以及公司内部矛盾,开始相互起诉和争斗,两家公司都因此元气大伤,市场份额和影响急剧下降。
1998年11月,一种新的使用VB脚本语言编写的病毒“兔子”(Rabbit)诞生了,这种病毒充分利用了VB脚本语言专门为因特网所设计的一些特性。很自然的是,随着HTML语言本身开始具有编程能力,纯粹的HTML语言病毒“内在”也开始流行。很明显,病毒制造者将他们的注意力集中在网络蠕虫上,他们开始充分利用视窗系统强大的脚本语言,而且这种语言还可以和网络紧密的结合,制造大量的,可以通过网页、电子邮件传播的病毒。
在这一年中,杀毒软件厂商开始大规模的整合,1998年3月,赛门铁克和IBM宣布合并他们的反病毒业务部门,IBM随后放弃了自己独立开发杀毒软件。所罗门和网盟很快作出了反应,通过一桩上亿美元的交易,所罗门公司不复存在,网盟成功的收购了他的死敌所罗门公司,这桩交易给反病毒行业带来了非常大的震动,这样两家一直打斗得你死我活的公司居然采取这样一种方式结束了自己数年的竞争。
1998年5月,中国金辰安全技术实业公司和世界第二大软件公司美国CA公司在公安部举行签字仪式,双方共同合资成立北京冠群金辰软件有限公司。同时宣布在北京成立产品研发中心。1998年7月,冠群金辰公司发布KILL认证版。产品虽然名称还是叫做KILL,但基本核心已经完全使用了CA公司的技术。
1999年,这一年,病毒制造者很好的掌握了视窗操作系统下各种新的文件格式的感染方法,在视窗环境下隐藏自己的技术也得到了很大的进步,通过邮件进行病毒传播开始成为病毒传播的主要途径。宏病毒在这一年仍然是最流行的病毒。
1999年3月,一个名为“梅丽莎”(Melissa)的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播,造成网络阻塞,甚至瘫痪。并且,这种病毒在传播过程中,还会造成泄密。
1999年6月,中国最大的通用软件厂商,金山公司首次发布金山毒霸的测试版,开始尝试进入杀毒软件市场。
1999年7月,Back Orifice 2000(BO2K):历时一年,cDc发布了这个完全重写的Back Orifice版本,用于远程控制Windows操作系统。这个新的版本使用了快速点选(point-and-click)接口----应用程序接口(Application Programming Interface,API)扩展它的功能,可以远程控制鼠标、键盘和显示器。
1999年夏末,DOS/DDOS-Denial of Service TFN/ trin00(拒绝服务和分布式拒绝服务工具)发布,TNF(Tribe Flood Network)和Trin00工具,使攻击者可以通过单台客户机控制数十、数百、甚至数千台安装了僵尸程序(zombie)的计算机。通过中央机控制,可以发起一次破坏性极大的分布式泛洪或其它攻击。
1999年11月,Knark内核级Rootkit被一个名叫Creed的人发布,它建立于Linux系统内核控制的早期思想。Knark包含一个用于修改Linux内核的完整工具包,攻击者可以非常有效地隐藏文件、进程和网络行为。
1999年12月,“FunLove”病毒出现,这一病毒是一个设计非常巧妙的PE病毒,它的最大特点是感染能力强,清除非常困难,直到今天还是在国内广泛流行的病毒之一。
一、 [/b]泛滥发展时期:2000年至今[/b]
2000年,随着微软视窗操作系统逐步的COM化和脚本化,脚本病毒成为这一年的主流,大量使用脚本技术的病毒出现,脚本病毒和传统的病毒、木马程序相结合,给病毒技术带来了一个新的发展高峰。
2000年5月,“爱虫”(LoveLetter)病毒出现。“爱虫”病毒是一种脚本病毒,它通过微软的Outlook电子邮件系统的几个漏洞进行传播。这一病毒的邮件主题为“I Love You”,包含一个附件“Love-Letter-for-you.txt.vbs”,一旦在微软电子邮件中打开这个附件,系统就会自动复制并向用户通讯簿中所有的电子邮件地址发送这一病毒,其传播速度比“梅莉沙”病毒还要快好几倍。
2000年11月,金山毒霸正式上市,金山正式进入反病毒软件市场。
2000年12,恶作剧程序“麦当劳女鬼”在网络上大规模流行并造成影响,根据报道,中国香港地区有职员被这个恶作剧程序惊吓致死。
2001年6月,“齿轮先生”(SirCAM)病毒出现,该病毒是一种首发于英国的恶性网络蠕虫病毒,对计算机具有较高的危害能力,它主要通过电子邮件附件进行传播,用户一旦打开带有病毒的附件,病毒就会自动发作,并随意选择机器硬盘中的文件向外发送,导致机器内的重要文件对外公开;病毒同时自动删除C盘中所有文件;病毒还会自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
2001年7月,“红色代码”(Code Red)以及“红色代码二代”(Code Red II)出现。主要针对因特网上的服务器,该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。
2001年9月,“尼姆达”(Nimda)病毒出现,“911”恐怖袭击后仅一周,出现了这个极端致命的蠕虫。它有许多种感染Windows计算机的方法,包括Web服务缓存溢出、Outlook电子邮件攻击和文件共享等。
2002年,Setiri后门,尽管从未正式发布,这个特洛伊木马工具能够通过强占成为一个不可见的浏览器而绕过个人防火墙、网络防火墙和网络地址转换设备。
2003年1月,SQL Slammer蠕虫,2003年1月,这个蠕虫迅速蔓延,使得朝鲜的数个Internet服务供应商瘫痪,并一时引起全球性问题。
2003年2月,Hydan可执行Steganography工具发布,该工具为用户提供了可以在Linux、BSD和Windows的可执行程序上使用多态编码技术隐藏数据的功能,这一概念还可以进一步用语逃避反病毒和入侵检测系统。
2004年4月,Sasser(震荡波蠕虫)在迎来5.1节日的时候爆发,给全球带来数千万美元的损失,该蠕虫由德国下萨克森州罗滕堡的18岁少年Sven Jaschan编写。
2006年10月16日,中国湖北武汉的李俊编写了熊猫烧香蠕虫病毒,2007年1月初肆虐网络,它是一种蠕虫病毒的变种,而且经过多次变种而来,由于中毒电脑的可执行文件会出现“熊猫烧香”的图案,所以也被称为“熊猫烧香”病毒。该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中的exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有的.exe可执行文件全部被改成熊猫举着三根香的模样。
2008年11月,Conficker(飞客蠕虫),最早于2008年11月20日被发现的以微软的Windows操作系统为攻击目标的计算机蠕虫病毒。目前我国已有超过1800万台电脑受到感染。Conficker主要利用Windows操作系统漏洞来传播,同时也能借助任何USB硬件设备来感染。目前该病毒出现了新的变种,已经造就了最大的僵尸网络。
2010年6月,Stuxnet蠕虫首次被白俄罗斯安全公司VirusBlokAda发现,它是首个针对工业控制系统的蠕虫病毒,利用西门子控制系统存在的漏洞感染数据采集与监控系统(SCADA),能向可编程逻辑控制器(PLCs)写入代码并将代码隐藏。Stuxnet同时利用包括MS10-046、MS10-061、MS08-067等在内的7个最新漏洞进行攻击。这7个漏洞中,5个针对Windows系统(其中四个属于0day漏洞),2个针对西门子SIMATIC WinCC系统。
这是有史以来第一个包含PLC rootkit的电脑蠕虫,也是已知的第一个以关键基础设施为目标的蠕虫。此外该蠕虫的目标被证实为伊朗使用西门子控制系统的高价值基础设施―伊朗核电站。
这个时期,新病毒的数量呈指数级增长,据不完全统计,仅2010年一年国内新增病毒数量达到900万之多,病毒数量的陡增,对反病毒技术也提出了挑战,新的反病毒理念也不断的被提出并被实现,启发式查毒技术,虚拟机查毒技术,主动防御技术,云防御技术等都被逐步引入到反病毒体系中。然而事情并未就此了结,攻击者继续构思着自己的作品,依据通用的原理提出更新更具有威胁的恶意代码,防御者也在根据病毒的发展趋势相应地调整方法策略。在以后的内容当中我们将分别探究各种恶意代码技术和防御技术。本文出自 “黑*白*灰” 博客,谢绝转载!
1995年春天,两家著名的杀毒软件公司“雷霆字节反病毒”(ThunderBYTE Anti-virus)和“诺曼第数据防护”(Norman Data Defense)公司宣布将联合进行反病毒系统的开发。
1995年秋天,病毒和反病毒发展历史的一个转折点,第一个能够保存在WORD文件中,运行在微软字处理软件里的病毒“概念”(Concept)病毒开始在世界范围内流行,这一病毒的出现宣告了一种新形态的病毒的出现――宏病毒。在很长一段时间里,这一病毒在所有的病毒感染统计中一直占据最重要的位置。
1996年,Netcat的UNIX版本发布:这个由Hobbit编写的工具直到今天都仍然是最流行的UNIX系统后门,尽管它有无数合法和非法的用途,但是Netcat常常作为一个后门而被滥用。
1996年1月,第一个视窗95病毒出现――“博扎”(Win95.Boza)
1996年3月,第一个开始大规模流行的视窗版本3病毒,“触角”(Tentacle)病毒首次被发现,这一病毒首次出现在法国一家医院和一些研究机构的网络中。在这一病毒出现之前,虽然有很多的视窗病毒被制造出来,但是这些制造出来的病毒都只在病毒收集者之间、电子公告板或者一些专门的杂志上出现,“触角”病毒实际上是第一个真正流行起来的视窗病毒。
1996年6月,第一个真正OS/2操作系统下的病毒,“AEP”病毒出现,在此之前的OS/2病毒只能使用病毒文件替换原来的文件,或者以伴随病毒的形式出现,这一病毒首次可以将自己附着在OS/2可执行文件的后面,实现了病毒的真正定义――感染。
1996年7月,第一个微软电子数据表病毒“拉若克斯”(Laroux)病毒出现,这一病毒首次发现是在两家石油公司,一家在阿拉斯加,另外一家在南非,所以我们猜想是一个石油勘探软件的程序员制作了这个病毒。和先前的字处理程序病毒一样,这一病毒利用了在电子数据表格软件中可以变成的某种宏语言。任何微软的电子数据表或者字处理文档中都可以包括这种语言所编写的程序,当然也可以包括这种语言所编写的病毒。随着微软操作系统的日益复杂,各种宏语言慢慢变成统一的BASIC语言(VBA :专门为应用软件设计的可视化BASIC语言),功能也变得越来越强大,使用这种语言编写的病毒功能也随之越来越强大。
BASIC语言:BASIC是初学者通用符号指令代码(Beginner's All-purpose symbolic instruction Code)的缩写,是国际上广泛使用的一种计算机高级语言。BASIC简单、易学,目前仍是计算机入门的主要学习语言之一。BASIC语言自其问世经历了以下四个阶段:第一阶段:(1964年~70年代初)1964年BASIC语言问世。第二阶段:(1975年~80年代中) 微机上固化的BASIC,ROM BASIC,第三阶段:(80年代中~90年代初)结构化BASIC语言,以True BASIC为代表,第四阶段:(1991年以来)以可视化的BASIC为代表,在因特网时代这一古老的语言又焕发了新的青春。
1996年12月,视窗95下的第一个内存驻留病毒,“打孔机”(Punch)病毒出现,该病毒驻留在视窗95的内存中,以一个Vxd驱动程序的形式存在,拦截所有的文件操作并进行传染,这种原理在随后的CIH病毒中得到应用和发展并且造成了极大地破坏。由于程序设计中的明显缺陷,“打孔机”病毒不能在正常的视窗95环境进行感染中,所以这种革命性的病毒并没有真正流行起来。
实际上1996年是新一轮病毒进化的开始,在这一年中,随着微软新的操作系统视窗95、视窗NT和微软办公软件(Office)的流行,病毒制造者不得不面对一个新的环境,他们在这一年中开始使用一些新的感染和隐藏方法,制造出在新的环境下可以自我复制和传播的病毒,随后,病毒制造者的技术水平日益提高,他们对新的操作系统环境(视窗95和视窗NT)和应用系统环境(Office,包括字处理和电子数据表格软件等)的掌握也越来越深,他们开始在病毒中增加多态、反跟踪等技术手段,在新的技术层次上重复了早期在DOS操作系统环境下病毒的进化过程,和DOS环境下漫长的进化相比,在新的环境下病毒的进化过程要快得多。
1997年2月,第一个Linux环境下的病毒“上天的赐福”(Bliss)出现,Linux在此之前还是一个没有被病毒感染过的乐土。
1997年2月到3月,随着微软办公软件从版本6升级到版本97,宏病毒也升级到版本97。最早针对微软办公软件97的宏病毒都是直接从较早期版本转换过来的,但是病毒制造者对新技术的跟踪速度是惊人的,他们很快就推出了专门为微软办公软件97定制的宏病毒。
1997年3月,针对微软字处理软件版本6和版本7的宏病毒“分享欢乐”( ShareFun)病毒出现,这种病毒的特殊之处在于除了通常的通过字处理文档传播之外,“分享欢乐”还可以通过微软的邮件程序发送自己。
1997年4月,第一个使用文件传输协议(FTP)进行传播的蠕虫病毒,“本垒打”( Homer)病毒出现。
1997年6月,视窗95环境下第一个可以自我加密/解密的病毒出现,这一病毒最先出现在莫斯科,在一些电子公告板上公布后造成了一些慌乱。
1997年11月,“世界语”( Esperanto)病毒出现,正如名字所表示的那样,这一病毒的开发者想让它成为病毒世界的世界语―同时感染DOS、视窗和苹果的麦克机操作系统。幸运的是,由于软件中存在的一些缺陷,“世界语”没有实现它的设计目标。
1997年12月,一种新的病毒形态,“mIRC蠕虫”出现,“mIRC”是视窗环境下最常见的一种IRC客户端程序,在当时发布的mIRC版本中存在一个漏洞,利用这个漏洞,病毒可以通过IRC的频道复制和传播自己。后来的IRC版本中堵住了这个漏洞,“mIRC蠕虫”病毒也就随之慢慢的消失了。
1997年在美国和欧洲的主要杀毒软件厂商中,发生了一些丑闻。两家非常著名的杀毒软件厂商开始了一场口水大战,首先是McAfee公司宣布他们的专家在所罗门公司出品的杀毒软件中发现了一个很有意思的特性:所罗门公司的病毒检测软件可以工作在两种模式下面,正常模式和高级模式,正常模式的速度很快,但是对于某些少见的病毒可能无法检测,高级模式的速度比较慢,但是检测的病毒数量更多,他们发现,所罗门公司的软件可以在这两种模式之间自动切换,当软件发现自己好像是在检测一个测试用的病毒库的时候,会自动切换到高级模式,而在检测普通文件的时候会切换到正常模式,这样,杀毒软件既得到了非常快的检测速度,也可以得到非常好的病毒检出率。
随后,所罗门公司开始反击,指责McAfee公司发布了非法的广告,其中有直接攻击所罗门公司的内容。同时,好像是觉得不够热闹似的,McAfee和趋势公司闹上了法庭,他们争论的焦点有关因特网和电子邮件病毒检测技术的专利;随后是赛门铁克,也跳出来指责McAfee公司使用了赛门铁克的代码。
这一点充分证明了国外的消费者观念和国内消费者观念的巨大差别,对于国外用户来说,在产品中没有充分实现你的承诺就是一种欺骗行为,换句话来说,在用户不知情的情况下为了某种性能或者评测数据的考虑自动的切换工作模式是某种意义上的商业欺骗。而在国内,我相信没有任何消费者会因为这样一种技术上的处理对杀毒软件厂商提出怀疑或者责难。实际上,国内厂商使用的模式切换、性能增强措施,甚至某些通过提高误报率来迎合用户希望查到病毒的心理的技术手段,远远超过了国外所谓的“欺骗”的范畴。但是至今还没有用户或者厂商对此提出过指责。
这一年McAfee和“网络将军”公司完成了他们的合并,新成立的公司成为一家信息安全服务和产品的提供商,新公司的名称是“网盟”(NAI)。
这一年,在中国发生了著名的毒岛论坛事件,有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的解密程序。1997年的下半年,“毒岛论坛”宣称KV 300软件中有病毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”,不是病毒。只有使用了盗版软件的用户,才有可能数据被破坏。
事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV 300似乎没有受到太大的影响,“毒岛论坛”还因此被查封。
在1994年防病毒卡的销售达到最高峰之后,瑞星1995、1996年销售业绩大幅度下降,公司到了生死存亡的边缘,1997年开始,瑞星通过OEM和低价策略开始二次创业。
1997年,南京信源公司首次推出具有实时病毒防护功能的病毒防火墙,NetVRV软件。
1997年,出现了一家风靡一时的反病毒软件公司,华美星际,在当年推出的“病毒克星”产品获得很大的成功(“病毒克星”实际上是OEM “VRV”之后生产的产品),但是由于运作原因,该公司在1997年之后就销声匿迹了。
1998年,Netcat的Windows版本发布,Netcat在Windows平台上也不怠慢。它由Weld Pond编写,在Windows操作系统中也被用做一个特别流行的后门。
病毒的数量和技术继续发展,特别是随着因特网的广泛使用,人们对于能够窃取口令和更改权限的木马程序有了更多的兴趣。视窗环境下的病毒“CIH”和“青猴病”(Marburg)通过一些电脑杂志附带的光盘广泛传播,这些光盘在制作的时候被病毒感染。
这一年中,一种新的病毒“HLLP.DeTroie”出现,这种病毒除了能够感染普通的视窗可执行文件以外还能够收集被感染机器的信息并且发送到病毒的所有者手中。应该感到幸运的是,这一病毒仅仅感染法语版的视窗操作系统,所以基本上没有在我国造成影响。
1998年1月,一种新的感染微软电子数据表的病毒“派克斯”(Paix)出现,这种感染表格的病毒同样实现了自我复制和传播的特性。
1998年2月到3月,“青猴病”(Marburg)病毒,第一个在32位视窗环境下运行的多态病毒被发现并且开始流行起来。这种病毒的出现给杀毒软件开发者出了一道难题,就像当初在DOS环境下遇到多态型病毒一样,他们不得不重新设计自己的病毒扫描引擎,从而可以识别出这种病毒和相应的变种。
1998年3月,“埃克塞斯4”( AccessiV)病毒,第一个针对微软数据库软件的病毒出现,这个病毒本身没有造成很大的影响,因为随着字处理和电子数据表病毒的出现,人们知道出现这样一个病毒只是迟早的事情,所有的杀毒软件厂商对此已经有了充分的准备。
1998年3月,“十字架”( Cross)病毒出现,这个病毒首次实现了对不同微软办公软件的感染,数据库和字处理软件。也就是说你的字处理文档和你的数据库文件中可能同时包括了这种病毒,在这种病毒之后,越来越多的,同时感染多种微软办公软件的病毒开始出现。
1998年5月,“红色队伍”( RedTeam)病毒出现,这种病毒可以感染通常的视窗可执行文件,同时还可以通过一种电子邮件软件进行传播。
1998年6月,CIH病毒出现,CIH病毒是有史以来影响最大的病毒之一,最早出现在台湾,然后通过美国在台湾的海外办公室传播到美国,感染了一些因特网上的游戏服务器,直接引发了持续一年的恐慌(在中国CIH的恶梦是在下一年才真正开始的),CIH病毒所取得的巨大影响是因为它的破坏性,在某些电脑上,CIH病毒甚至可以损坏你的硬件。
1998年7月,非常好的远程控制工具“后门”(Back Orifice/BO)出现,这个工具由cDc(Cult of the Dead Cow,一个黑客小组)发布,它允许用户通过网络远程控制Windows系统,是另外一个越来越流行的功能集。
1998年8月,在“后门”之后,还出现了“网络公共汽车”(NetBus)、“阶段”(Phase)等类似的软件。
1998年8月,第一个感染“爪哇”(Java)可执行文件的病毒“陌生的酿造”(Strange Brew)问世,这一病毒没有什么实际的危害,因为“爪哇”语言在安全性上的一些预防措施,病毒不能复制并且传播到远程的电脑上。但是“陌生的酿造”至少证明了因特网浏览器被病毒感染的可能性。
这一年,南北信源反目为仇,先是划江而治,划分成北方市场和南方市场,然后由于市场和经营观念的冲突以及公司内部矛盾,开始相互起诉和争斗,两家公司都因此元气大伤,市场份额和影响急剧下降。
1998年11月,一种新的使用VB脚本语言编写的病毒“兔子”(Rabbit)诞生了,这种病毒充分利用了VB脚本语言专门为因特网所设计的一些特性。很自然的是,随着HTML语言本身开始具有编程能力,纯粹的HTML语言病毒“内在”也开始流行。很明显,病毒制造者将他们的注意力集中在网络蠕虫上,他们开始充分利用视窗系统强大的脚本语言,而且这种语言还可以和网络紧密的结合,制造大量的,可以通过网页、电子邮件传播的病毒。
在这一年中,杀毒软件厂商开始大规模的整合,1998年3月,赛门铁克和IBM宣布合并他们的反病毒业务部门,IBM随后放弃了自己独立开发杀毒软件。所罗门和网盟很快作出了反应,通过一桩上亿美元的交易,所罗门公司不复存在,网盟成功的收购了他的死敌所罗门公司,这桩交易给反病毒行业带来了非常大的震动,这样两家一直打斗得你死我活的公司居然采取这样一种方式结束了自己数年的竞争。
1998年5月,中国金辰安全技术实业公司和世界第二大软件公司美国CA公司在公安部举行签字仪式,双方共同合资成立北京冠群金辰软件有限公司。同时宣布在北京成立产品研发中心。1998年7月,冠群金辰公司发布KILL认证版。产品虽然名称还是叫做KILL,但基本核心已经完全使用了CA公司的技术。
1999年,这一年,病毒制造者很好的掌握了视窗操作系统下各种新的文件格式的感染方法,在视窗环境下隐藏自己的技术也得到了很大的进步,通过邮件进行病毒传播开始成为病毒传播的主要途径。宏病毒在这一年仍然是最流行的病毒。
1999年3月,一个名为“梅丽莎”(Melissa)的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播,造成网络阻塞,甚至瘫痪。并且,这种病毒在传播过程中,还会造成泄密。
1999年6月,中国最大的通用软件厂商,金山公司首次发布金山毒霸的测试版,开始尝试进入杀毒软件市场。
1999年7月,Back Orifice 2000(BO2K):历时一年,cDc发布了这个完全重写的Back Orifice版本,用于远程控制Windows操作系统。这个新的版本使用了快速点选(point-and-click)接口----应用程序接口(Application Programming Interface,API)扩展它的功能,可以远程控制鼠标、键盘和显示器。
1999年夏末,DOS/DDOS-Denial of Service TFN/ trin00(拒绝服务和分布式拒绝服务工具)发布,TNF(Tribe Flood Network)和Trin00工具,使攻击者可以通过单台客户机控制数十、数百、甚至数千台安装了僵尸程序(zombie)的计算机。通过中央机控制,可以发起一次破坏性极大的分布式泛洪或其它攻击。
1999年11月,Knark内核级Rootkit被一个名叫Creed的人发布,它建立于Linux系统内核控制的早期思想。Knark包含一个用于修改Linux内核的完整工具包,攻击者可以非常有效地隐藏文件、进程和网络行为。
1999年12月,“FunLove”病毒出现,这一病毒是一个设计非常巧妙的PE病毒,它的最大特点是感染能力强,清除非常困难,直到今天还是在国内广泛流行的病毒之一。
一、 [/b]泛滥发展时期:2000年至今[/b]
2000年,随着微软视窗操作系统逐步的COM化和脚本化,脚本病毒成为这一年的主流,大量使用脚本技术的病毒出现,脚本病毒和传统的病毒、木马程序相结合,给病毒技术带来了一个新的发展高峰。
2000年5月,“爱虫”(LoveLetter)病毒出现。“爱虫”病毒是一种脚本病毒,它通过微软的Outlook电子邮件系统的几个漏洞进行传播。这一病毒的邮件主题为“I Love You”,包含一个附件“Love-Letter-for-you.txt.vbs”,一旦在微软电子邮件中打开这个附件,系统就会自动复制并向用户通讯簿中所有的电子邮件地址发送这一病毒,其传播速度比“梅莉沙”病毒还要快好几倍。
2000年11月,金山毒霸正式上市,金山正式进入反病毒软件市场。
2000年12,恶作剧程序“麦当劳女鬼”在网络上大规模流行并造成影响,根据报道,中国香港地区有职员被这个恶作剧程序惊吓致死。
2001年6月,“齿轮先生”(SirCAM)病毒出现,该病毒是一种首发于英国的恶性网络蠕虫病毒,对计算机具有较高的危害能力,它主要通过电子邮件附件进行传播,用户一旦打开带有病毒的附件,病毒就会自动发作,并随意选择机器硬盘中的文件向外发送,导致机器内的重要文件对外公开;病毒同时自动删除C盘中所有文件;病毒还会自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作。
2001年7月,“红色代码”(Code Red)以及“红色代码二代”(Code Red II)出现。主要针对因特网上的服务器,该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。“红色代码”造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。
2001年9月,“尼姆达”(Nimda)病毒出现,“911”恐怖袭击后仅一周,出现了这个极端致命的蠕虫。它有许多种感染Windows计算机的方法,包括Web服务缓存溢出、Outlook电子邮件攻击和文件共享等。
2002年,Setiri后门,尽管从未正式发布,这个特洛伊木马工具能够通过强占成为一个不可见的浏览器而绕过个人防火墙、网络防火墙和网络地址转换设备。
2003年1月,SQL Slammer蠕虫,2003年1月,这个蠕虫迅速蔓延,使得朝鲜的数个Internet服务供应商瘫痪,并一时引起全球性问题。
2003年2月,Hydan可执行Steganography工具发布,该工具为用户提供了可以在Linux、BSD和Windows的可执行程序上使用多态编码技术隐藏数据的功能,这一概念还可以进一步用语逃避反病毒和入侵检测系统。
2004年4月,Sasser(震荡波蠕虫)在迎来5.1节日的时候爆发,给全球带来数千万美元的损失,该蠕虫由德国下萨克森州罗滕堡的18岁少年Sven Jaschan编写。
2006年10月16日,中国湖北武汉的李俊编写了熊猫烧香蠕虫病毒,2007年1月初肆虐网络,它是一种蠕虫病毒的变种,而且经过多次变种而来,由于中毒电脑的可执行文件会出现“熊猫烧香”的图案,所以也被称为“熊猫烧香”病毒。该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中的exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有的.exe可执行文件全部被改成熊猫举着三根香的模样。
2008年11月,Conficker(飞客蠕虫),最早于2008年11月20日被发现的以微软的Windows操作系统为攻击目标的计算机蠕虫病毒。目前我国已有超过1800万台电脑受到感染。Conficker主要利用Windows操作系统漏洞来传播,同时也能借助任何USB硬件设备来感染。目前该病毒出现了新的变种,已经造就了最大的僵尸网络。
2010年6月,Stuxnet蠕虫首次被白俄罗斯安全公司VirusBlokAda发现,它是首个针对工业控制系统的蠕虫病毒,利用西门子控制系统存在的漏洞感染数据采集与监控系统(SCADA),能向可编程逻辑控制器(PLCs)写入代码并将代码隐藏。Stuxnet同时利用包括MS10-046、MS10-061、MS08-067等在内的7个最新漏洞进行攻击。这7个漏洞中,5个针对Windows系统(其中四个属于0day漏洞),2个针对西门子SIMATIC WinCC系统。
这是有史以来第一个包含PLC rootkit的电脑蠕虫,也是已知的第一个以关键基础设施为目标的蠕虫。此外该蠕虫的目标被证实为伊朗使用西门子控制系统的高价值基础设施―伊朗核电站。
这个时期,新病毒的数量呈指数级增长,据不完全统计,仅2010年一年国内新增病毒数量达到900万之多,病毒数量的陡增,对反病毒技术也提出了挑战,新的反病毒理念也不断的被提出并被实现,启发式查毒技术,虚拟机查毒技术,主动防御技术,云防御技术等都被逐步引入到反病毒体系中。然而事情并未就此了结,攻击者继续构思着自己的作品,依据通用的原理提出更新更具有威胁的恶意代码,防御者也在根据病毒的发展趋势相应地调整方法策略。在以后的内容当中我们将分别探究各种恶意代码技术和防御技术。本文出自 “黑*白*灰” 博客,谢绝转载!
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 恶意代码与防护技术----恶意代码发展史(一)
- NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案
- 20145302张薇 《网络对抗技术》 恶意代码伪装技术实践
- 20145325张梓靖 《网络对抗技术》 恶意代码分析
- 恶意代码分析——静态分析高级技术
- 恶意代码的亲密接触之病毒编程技术(3)
- 20145208 蔡野《网络对抗》Exp3 Advanced 恶意代码伪装技术实践
- 20144303石宇森 《网络对抗技术》 恶意代码分析
- Joao恶意样本技术分析与防护方案
- 20145333 《网络对抗技术》恶意代码分析
- 20145238-荆玉茗 《网络对抗技术》恶意代码分析
- 普通恶意代码技术分析与检测
- 恶意代码检测技术的演化
- 20145210姚思羽《网络对抗》恶意代码伪装技术实践
- 20145235李涛《网络对抗技术》- 恶意代码分析
- 20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践
- 传智播客c/c++公开课学习笔记--C语言与木马恶意代码分析和360安全防护揭秘
- 恶意代码检测技术
- 普通恶意代码技术分析与检测
- 20145205武钰 《网络对抗技术》 恶意代码分析