中国计算机反病毒20年重要计算机病毒

    1988年,当中国计算机反病毒第一人王江民看到自己编写工控软件的计算机上有一个小球状的图标在跳来跳去的时候,并没有意识到这个小小的东西会给计算机带来多大的麻烦。凭着过硬的汇编功底，王江民很轻松地就把这个现在看来是中国出现的第一个病毒“小球”手工清除了，并把清除病毒的杀毒程序命名为KV1，这就是中国最早的计算机杀毒软件雏形。20年后的今天，计算机病毒已经超过100万种，电脑和操作系统也已经更新升级了一代又一代，而每一个阶段，总会有一些令人印象十分深刻的病毒，病毒在给计算机用户带来了许许多多麻烦，上演着一幕幕虚拟世界的《罪与罚》。

    恶作剧时代

    从1988年出现“小球”病毒起至1992年之前，大部分病毒都是恶作剧式的DOS病毒。他们在电脑用户的屏幕上用各种各样五花八门的花样展现着自己，“小球”病毒在电脑屏幕上跳来跳去，“贪吃蛇”则会吃掉所经过屏幕上的字符，有的会放出缤纷的礼花，干扰用户的电脑操作，但并不对系统造成破坏。其它的还有“米开朗基罗”“黑色星期五”“Stoned(石头)”病毒等等，这些病毒都通过感染硬盘或软盘引导区，感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除。  略有对抗反病毒手段的只有Yankee Doole病毒， 当它发现你用DEBUG工具跟踪它的话，它会自动从文件中逃走。

    接着， 又一些能对自身进行简单加密的病毒相继出现。它们加密的目的主要是防止跟踪或掩盖有关特征等。后来还有一些对抗反病毒技术和隐藏自己的病毒出现，1992年以后，一些病毒开始破坏系统引导区，但由于那时候电脑主要是在高校和科研机关应用，普通家庭根本没有机会接触到电脑，只有少数一些电脑使用者在关注它们，病毒与电脑使用者之间就象是玩一场游戏，在杀与被杀之间斗智斗勇，这是一场只有少数人才有资格参与的游戏。

    “快乐时光”不快乐！

    1995年开始，WINDOWS视窗的推出和INTERNET的应用带来了病毒的繁荣。WINDOWS和INTERNET给人们带来了“快乐时光”，与此同时，一种“快乐时光（happy time）”病毒也在悄然来袭。“快乐时光”能够通过电子邮件迅速传播，发送大量的带毒邮件，而且电脑用户只要将鼠标光标点到这封邮件上，病毒就会被触发，向电脑中所有的联系人发送同样的带毒邮件。

    “快乐时光”使用了微软并利用Outlook Express一个漏洞，该漏洞可以在你没有点击运行附件时就将附件运行。快乐时光能够感染VBS、html 和脚本文件，成为互联网上长期的祸害，后来“快乐时光”又发展成为新“快乐时光”并出现了很多变种，在系统日期月和日加起来等于13的那天发作。一直到2005年才开始退出流行病毒行列。

    那时候，很多电脑用户都不装杀毒软件，在电脑感到运行缓慢的时候，往往会找来江民KV3000等杀毒软件临时杀毒，结果一杀就能杀出数千上万个病毒出来，因为快乐时光是感染型病毒，电脑中有多少脚本和网页文件，病毒就能感染多少，所以出现了杀出一万多个病毒的奇观。

     CIH 中国信息大劫难

    1998年2月，陈盈豪编写出了破坏性极大的Windows恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏，然后，悄悄的潜伏在网上的一些供人下载的软件中。

    一个月后，也就是到了1998年8月26日，CIH-1.4病毒首先跳出来发作，我国部分地区遭到袭击，但损害面积不大。事后，为了避免更大灾害，我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是，使用正版杀毒软件的意识不被一些用户重视，又不经常保持升级杀毒软件，CIH-1.2病毒又经过一年的传播，已传遍全世界，世界性的巨大杀机潜伏下来了，一场人类史无前例的信息大劫难即将暴发。

    1999年4月26日，一个计算机行业难以忘却的日子，也就是到了CIH-1.2病毒第二年的发作日，人们起早一上班便轻松的打开计算机准备工作，可是，打开一台计算机后，只看到屏幕一闪便就黑暗一片。再打开另外几台，也同样一闪后就再也启动不起来了...，计算机史上，病毒造成的又一次巨大的浩劫发生了。第二天早上，上门请求恢复硬盘数据的用户从江民公司的楼上一直排到了公司门前的马路上，江民公司全体员工连夜免费为用户修复电脑硬盘数据，整整忙了一个星期这种情况才有所缓解。

    谈到造成那次计算机浩劫的主要原因，江民反病毒专家严绍文分析说，主要原因是人们没有起码的防范意识。早在98年KV300+就可以清除CIH病毒，但那时许多人掉以轻心，没有及时定期地对计算机进行病毒扫描，还有一部分用户没有升级，加上那时杀毒软件盗版成风，种种原因聚集在一起，导致了99年CIH的大规模爆发。

    对于CIH病毒，江民反病毒中心每年都会病毒发作情况监控，2006年以后，随着使用以DOS为内核的WIN98和WIN ME操作系统的人越来越少，CIH已经失去了发作的系统平台，江民反病毒中心连续几年对CIH病毒发作情况进行了监测，数据表明CIH已经开始退出病毒舞台。

    “梅丽莎” 美丽杀手

    1999年在西方国家大爆发的melissa又称为“梅丽莎”或者美丽杀手，是一种word97宏病毒，专门针对微软的电子邮件服务器ms exchange和电子邮件收发系统outlook。该病毒利用outlook全域地址表来获取信箱地址信息，并自动给表中前50个信箱发送电子邮件，并在其后附加一个被感染的文件list.doc,内含大量的色情网址。该病毒会在每台被感染的电脑上重复这样的动作，在短时间内形成连锁反应，产生大量的电子邮件垃圾，造成邮件服务器严重阻塞以至最后瘫痪。用户可以手工在注册表中添加类似病毒感染的表项，避免病毒的传染，或者在发送电子邮件时不要启动word文字处理系统。“梅丽莎”当年造成了超过8000万美元的经济损失。

    “求职信” 不死毒王

求职信病毒（wantjob）始现于2001年8月，因为病毒中带有特征字句“I want a good job,I must support my parents.（我必须找到一分工作来供养我的父母）”，因此被称之为“求职信”病毒。“家庭”中的几位“重要”的成员，分别是：Worm.WantJob.61440、Worm.WantJob.73744、Worm.WantJob.81936、Win32.Foroux.A

这是一个高危险性的恶性邮件病毒，因为病毒中带有特征字句“I want a good job,I must support my parents.（我必须找到一分工作来供养我的父母）”，因此被称之为“求职信”病毒。它与Nimda病毒同样利用了Iframe ExecCommand漏洞，使没有打IE补丁的用户收到邮件后会自动运行，具有非常强的传播性。

“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能，而且在感染计算机后还不停的查询内存中的进程、检查是否有一些杀毒软件存在。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次，以至于这些杀毒软件无法运行。该病毒每过8小时就搜寻一切可写的网络资源（如局域网的完全共享目录），随机产生一个文件名，加密后把复制过去。因此感染性极强。主要特点是通过电子邮件系统进行传播，感染电脑之后能主动关闭许多杀毒软件的运行，正是这一个特点使得它的传播速度明显快于其他病毒，其次它还能感染通过在局域网与电脑相连接的共享驱动器。

　　求职信病毒如果感染的是Windows NT/2000系统的计算机，即把自己注册为系统服务进程，一般方法很难杀灭。它还不停地向外发送邮件，把自己伪装成”Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg“类型文件中的一种，文件名也是随机产生的，很具隐蔽性。

该病毒将会自动搜索硬盘，用内存中的随机数据覆盖硬盘上的所有文件，因此会给用户数据带来无法估量的损失。

    求职信病毒后来也出现了大量的变种，历经数年而不衰，一段时间被称为是“不死毒王”，直到2005年以后,当木马盗号病毒成为主流,求职信才很少再被提起过。

      SQL杀手  史上最短小、杀伤力最大的蠕虫

    2003年1月25日，江民快速反病毒应急处理中心成功截获造成全球互联网瘫痪的“SQL杀手”（worm.SQL.helkerm）蠕虫病毒。这是一个病毒体极其短小,却具有极强的传播性病毒，病毒只用376个字节的程序，就使全球互联网遭遇到重创。病毒不破坏文件、数据，但是能消耗大量网络带宽资源，使得网络陷入瘫痪。

    江民反病毒专家介绍，此病毒是利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及，因此此次病毒攻击导致全球范围内的互联网瘫痪，在中国80%以上网民受此次全球性病毒袭击影响而不能上网，很多企业的服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的互联网也受到严重影响。这是继红色代码、尼姆达，求职信病毒后又一起极速病毒传播案例。所以“SQL杀手”蠕虫的出现，应该成为一个传奇……

    “SQL杀手”病毒能够大面积传播的奥秘在于，病毒在入侵未受保护的机器后，首先取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，它使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器，而受到感染的电脑又开始进行下一轮攻击，病毒以255的几何级倍级传播，因此能够在短短一小时左右迅速传遍全球。

      冲击波

    2003年8月12日，是继1999年4月26后又一个让电脑用户难以忘记的日子。这天，几乎所有WIN2000以上操作系统的用户一连上网就被提示系统将要在一分钟内重启，局域网用户的电脑也出现同样症状。截止到今年4月份，据微软统计，这个被命名为“冲击波”的病毒已经感染了近千万台电脑。冲击波利用微软操作系统RPC漏洞传播，扫描TCP端口，对所有存在漏洞的机器发送攻击代码，病毒无需进入硬盘，在内存中即可导致被扫描到的机器频繁重启。

    一时间，冲击波病毒在全球范围内的泛滥不可遏止，全国上百万台计算机、上千个局域网被感染，并以极快的速度传播。

   “这次大规模蠕虫病毒的爆发可以说是2-3年以来国内反应最为强烈的一次”，江民科技董事长王江民在接受新浪科技独家采访时表示，“从江民目前的统计来看，本次遭受攻击的电脑系统主要集中在Windows XP及Windows 2000上，大概占到60-70%的比例，另外少量Windows Me及98系统也遭到了不同程度的攻击”。

    12日上午，江民公司率先在国内提交了该病毒的解决方案并及时升级了病毒库，同时向国家公安部等相关部门提交了病毒样本。

    据江民公司的技术人员介绍，冲击波病毒是一种蠕虫病毒，其样本大小为6176字节，感染的操作系统为Windows2000和XP及2003操作系统，病毒会下载并运行病毒文件Msblast.exe，最终将会导致机器停止响应。

    王江民认为，蠕虫病毒将是互联网时期最为肆虐的电脑病毒，而在今后的时间内，可能还会不同程度的爆发。对于本次冲击波病毒，王江民表示，相比之前的CIH病毒，这个病毒的传播能力颇强，就象它自身的名字一样，基本是按指数上升的。

    随着互联网信息时代的到来，网络安全已经成为企业和个人不得不面临的问题，“准确的说，根本没有所谓永久性的安全防护措施，对用户而言，提高防护意识可能更重要！”