中国计算机病毒狂潮回顾

中国计算机病毒狂潮回顾

　　计算机病毒，是一段附着在其他程序上的，可以实现自我繁殖的程序代码。自从1985年在美国被当众证明其存在性之后，计算机病毒技术得到了突飞猛进的发展；各路高手出于种种目的，纷纷编写了各式各样的计算机病毒，在Win-Intel平台上掀起了一股股计算机病毒狂潮。在这股狂潮中，作为一个计算机技术高速发展中的国家，中国首当其冲，受到了猛烈的冲击。

崭露头角

　　大约是在1988年，随着软件交流，石头和小球病毒跟随软盘悄悄地通过香港和美国进入了中国内地，并在人们的懵懵懂懂之间在大型企业和研究所间广为传播。直到病毒发作，人们才猛然惊醒：“狼来了”！目前一般认为，小球病毒是国内发现的第一个计算机病毒。由于当时普遍使用软盘来启动系统，因此这两个系统病毒在大江南北广为流传，成了可能是国内最流行的计算机系统病毒。跟随系统病毒之后，各路文件病毒也迅速登陆，巴基斯坦、维也纳和雨点等病毒令国人大为震惊之余，对其精湛的编程技艺，也有耳目一新的感觉。

风声鹤唳

　　1989到1991年是计算机病毒在中国取得全面胜利的阶段，各色病毒揭竿而起，在中国大陆上全面降落，遍地开花。那时由于家庭电脑尚未普及，因此各家研究所和高等院校等计算机密集的地区成了计算机病毒的重灾区。记得当年在华南理工大学，真是有机必有毒，而且是往往是多种不同病毒反复交叉感染。
　　米开朗琪罗和黑色星期五这两个文件病毒首开破坏软件系统之先河，在神州大地上大肆破坏。当时，这两个病毒都堂而皇之地登上了〖深圳特区报〗、〖羊城晚报〗、〖参考消息〗、〖法制日报〗以至于中央电视台新闻联播等各大新闻媒体的版面，声势之大，一时无两，决不逊色于现在的CIH病毒。社会上谈毒色变，甚至出现了“带口罩防计算机病毒传染”的笑话。
　　更可怕的是，国内的各路高手在经过短暂的迷惑之后，通过剖析病毒体，迅速掌握了病毒的编写技术，广州一号、中国炸弹、“六·四”和毛毛虫等各种国产病毒纷纷登场亮相。这个时期出版的各种剖析计算机病毒的书刊，不能说不起了推波助澜的作用；而好奇的大学生们，则成为了国产病毒的最先试制者。
　　例如广州一号，就是广州大学一位在校学生研究病毒的副产品。不过，随着软件技术的发展，国人逐渐了解和掌握了计算机病毒，计算机病毒已不再神秘；SCAN和TBAV等反病毒软件纷纷从国外引入，雷军等人也开始尝试自己编写一些国产反病毒软件。而华星等硬件防病毒卡更是风行一时，其硬件防病毒技术当时即使在全世界范围内也是处于领先地位的。

巅峰之作

　　在人们逐渐掌握反计算机病毒的之后，计算机病毒开始试图通过各种方式来掩饰自己。长达4K的世纪病毒，通过全面地接管系统功能调用，做到了在带毒环境下，除了反汇编内存之外，其他软件都丝毫不能觉察病毒的存在，可以说是一个编写得最认真的病毒。
　　到了1992年，旧的计算机病毒技术已经完全被掌握，一些防病毒卡甚至宣称可以防范所有的已知和未知的病毒，人们似乎已经看到了计算机病毒的末日了。此时，一个叫做DIR II的病毒横空出世。这个病毒编写得是如此之巧妙，短短的512个字节的程序代码，就钻入了DOS操作系统的核心，实现了加密、解密和传染的功能，而且巧妙地躲过了各种防病毒软件和防毒卡的防线，达到增一分则太多，减一分则太少的境界。其高超的编程技术令人叹为观止，至今仍为计算机病毒的典范之作。DIR II病毒迅速摧毁了各种防病毒卡，为防病毒软件开辟了一条新的道路。
　　人们开始认识到，反计算机病毒是一个漫长而曲折的过程，而防病毒软件因为其良好的兼容性，低廉的价格和方便的升级能力而逐渐得到了广大用户的认可。

末路狂奔

　　1993年以后，随着DIR II病毒被彻底识穿，以及在KILL、SCAN和KVXXX系列等各种反病毒软件的一路穷追猛打下，计算机病毒在中国似乎已经穷途末路了。各种新病毒都只能是昙花一现，再也不能掀起什么大的波澜。值得注意的是，1995年以后，由于家用电脑的普及和盗版光盘的兴起，一些病毒也借助于盗版光盘这股“春风”，星星之火，形成燎原之势。最著名的是夜贼病毒，当时几乎在所有的盗版光盘上都有它的影踪。笔者当年就为了带毒安装光盘上的软件（光盘上的病毒可是无法杀除的），特地编写了一个ANTI1150程序。不过，火山爆发总是在沉寂之中酝酿的。此时，国外出现了各种专门讨论计算机病毒技术的地下站点，他们编写病毒杂志，散发IVP、VCL和G2000等各种专门的计算病毒引擎。借助于这些工具，任何懂得简单的汇编语言的人，都可以编写出自己需要的计算机病毒。1997年，以上这几个计算病毒引擎软件都通过互连网络和盗版光盘传入中国，并带来一定的危害。在这个时期，病毒的数量呈现了几何数级的增长，截至止1996年，估计各种病毒及其变体就超过了一万种。

死灰复燃

　　1996年，计算机病毒技术又有了突飞猛进，为了躲避反病毒软件的监视，新的变形病毒应运而生。以前例如雨点等病毒只是运用简单的一维变形技术来掩饰自己，现在，二维变形以至于无穷变形病毒开始出现，以前那种采用特征代码串来标识计算机病毒的技术又开始失效。真是道高一尺，魔高一丈。
　　最先传入中国的是“幽灵”，随后是“猴子”等两栖（同时感染系统和文件）变形病毒，这些病毒先后在一定范围内流行。不过由于反病毒软件的及时跟进，以及国人已经习惯于综合使用各种反病毒软件，因此这些病毒都没有能掀起太大的风浪。不过令人担忧的是，随着国际互连网络的普及，计算机病毒编写者开始通过互连网络来交流编程技术和心得体会。网上也出现了专门的变形病毒引擎，引用这些引擎，任何人都可以编写出带无穷变形的计算机病毒。国内的福州大学系列变形病毒就是这些变形引擎的产品。
　　值得庆幸的是，随着计算机硬件的提高，Windows以至于Windows 95逐渐成为国人通用的操作系统。与DOS系统技术彻底被掌握不同，Windows以及 Windows 95完全没有被公开，其中的很多系统功能和特点尚未被一般人掌握，因此针对Windows和Windows 95的病毒很少见，以前一直只在一些地下站点看见过，而且都是一些试验产品，技术尚未完全成熟。在Windows平台下，系统和文件病毒的数量要大大减少了。

黄昏插曲

　　提到中国的病毒浪潮，就不能不提以下的这一段插曲。
　　1997年，有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛” 的站点，专门讨论反病毒技术，评比国内的反病毒软件和提供它们的的解密程序。这年有一只不甚起眼，但是不能不提的888病毒，这是一个系统病毒，实际上并不流行，只是因为某一软件公司的大肆宣扬，才使之在业界广为人知。虽然业界盛传某公司利用制毒、放毒和杀毒来宣传自己，但是事实一直没有什么端倪。到了97年的下半年，一个晴天霹雳响起，“毒岛论坛”宣称KV 300 软件中有病毒！并且迅速在网上公布了病毒的反汇编代码（由于KV 300软件是经过加密的，因此一般人无法简单地看到这一段代码）。数天之后，出于种种考虑，数家反病毒软件公司在京召开了记者招待会，声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”，不是病毒。
　　笔者迅速自己反汇编了相关的代码，发现“逻辑锁”的机理与以前宣传的888病毒完全相同！它利用了微软的MS-DOS编程上的一个小错误，导致系统启动时进入死循环。其实早在1992年就有人在〖电脑〗杂志上介绍了这个问题，并把它用于加密硬盘。而IBM的PC-DOS就没有这个错误（我始终认为IBM的技术是一流的，就象我现在的硬盘虽然装了Win98，但是还可以用PC-DOS 7.0启动一样）。
　　事情最后以江民公司被认定违反了〖计算机安全管理条例〗，罚款3000元告终，而KV 300似乎没有受到太大的影响，“毒岛论坛”还因此被查封。不过业界公司应该从中吸取经验教训，如果此事发生在国外，则违法的公司很可能被客户告得倾家荡产。

异军突起

　　1997年，在沉寂了一小段时间以后，病毒又找到了新的突破点，这次是微软的文书处理和电子表格软件Word和Excel成了牺牲品。高手门利用了功能强大的宏语言，编制了各色各样的宏病毒。随后是各种各样的好奇者，简单地利用宏编辑器改造了自己的产品！现在，编写病毒程序已经不是一门“阳春白雪”的技艺，任何“下里巴人”只要拿一个现成的宏病毒，甚至微软的用户手册看一下，就可以编写出一只新病毒来！据一些反病毒软件站点报告，全世界一个星期就有近千只新病毒出现，而其中绝大部分是宏病毒。
　　在这一场宏病毒大战中，我国台湾的各路高手充分展示了自己的身手，台湾一号病毒甚至跑到了微软的正版光盘上。国人们向世界显示，我们的电脑技术是先进的！同时，一大批反病毒软件开发者为了搞清楚微软密不公开的Word 文档格式而搞得焦头烂额。最后，通过苦干加巧干，国内各家反病毒软件公司总算又通过了这一关；不过因为没有微软的支持，误杀或者杀坏Word文件也是常有的事。反倒是此时冯志宏闲庭信步，轻而易举地就完成了Word 97以前各版本的Word文件的密码自动解除工作。

风云再起

　　1997年下本年，一个叫做SPY的可以攻击NE（16位Windows格式可执行文件）格式程序的病毒，曾经在南方流行一时，敲响了Windows病毒进攻的警钟。此病毒是随着盗版光盘，从港台传入的。盗版光盘再次扮演了一个可耻而可怕的角色。
　　到了1998年的年中，Win95.CIH病毒终于攻破了Windows95平台。这个病毒创造了几个之最：CIH病毒是第一个流行的攻击PE格式32位保护模式程序的病毒；CIH病毒是第一个可以破坏计算机硬件的病毒。以前的病毒最多只能破坏软件系统，而CIH病毒不但利用直接利用IOS指令摧毁硬盘数据（这种方法导致就算你的主板具有防病毒功能，也无能为力），更加通过清洗存储在Flash EPROM中的BIOS指令，导致系统主板无法工作，彻底破坏机器。CIH病毒利用VXD技术逃过了目前所有的反病毒软件的监测，并且令目前所有宣称可以防病毒的主板大失颜面。从中我们可以体会到，反病毒技术的研究是永无止境的。
　　值得庆幸的是，这一次社会各界反映及时，各新闻媒体纷纷报道，各反病毒软件公司迅速升级自己的产品，使之可以监测和清除CIH病毒。
　　据网上的一封道歉信报道，CIH病毒是台湾一个叫做陈盈豪的学生编写的。通过反编译发现，这个病毒系利用SIDT指令来获取系统的核心级执行权限，进而截获系统的核心功能调用。这实际上可以说是Windows95系统（Windows98 同样有这个问题）的一个漏洞。所幸的是Windows NT已经封锁了这一条指令，因此CIH病毒无法在Windows NT下兴风作浪。笔者反编译了著名的Synmatec（即生产Norton Antivirus的公司）提供的 Kill_Cih程序后发现，原来Synmatec就是照搬CIH病毒的原理，实行以毒攻毒，同样利用SIDT指令来获取系统的核心级执行权限，以达到检测、杀除和预防CIH病毒的目的。可以说，病毒和反病毒这一正一反两种技术，就是在这种互相推动中不断前进的。

不是尾声

　　现在，KILL98和VRV都提供了可以检测和清除CIH病毒的升级版本， http://www.symantec.com/avcenter/更提供了独立的专门清除和预防CIH病毒的软件。可以说，CIH病毒事件已基本告一段落。但是，事情绝对不是就到此为止了。据公安部的最新统计，到目前为止，国内已经发现了CIH病毒的九个变种，利用CIH病毒的技术，Windows9.X的潘多拉大门就算是彻底打开了，又有大把人可以编写自己的Windows9.X病毒啦。关于CIH病毒的更详细资料，有兴趣的读者可以到http://personal.gz168.net/water_tang/virus/win32cih.htm网页浏览。
　　CIH病毒的浪潮还没有完全过去，Java病毒就已经开始悄悄地向网虫们走来了。暂时，计算机病毒是没有尾声的。

反病毒软件厂商站点精选
http://www.kill.com.cn/公安部出品，必属精品。如果一个病毒能够被KILL发现，就放心地用它去杀毒吧，我用KILL这么久了，还从来没有杀坏过文件的。新版的KILL98有了CA这个全球第二大软件厂商作靠山，更是如虎添翼。现在KILL98已经可以分析ZIP和ARJ文件包中的程序了。

http://www.keenvim.com/AV95是国内计算机反病毒软件的后起之秀，它采用了AVP的引擎，具有虚拟机自动跟踪和模糊分析功能，是最强的DOS病毒检测软件。

http://www.symantec.com/avcenter/这里有全球最出名的Norton Antivirus，作为著名的计算机软件工具生产厂商，Synmatec的产品是值得信赖的。

http://www.mcafee.com/Mcafee是业界的老大哥了，说起SCAN软件，又有谁人不晓？不过这个软件对付国产病毒的能力要差一些。

http://www.avp.ch/这是国外一个非常出名的反病毒软件厂商，他的杀毒引擎是最先进的引擎之一，AV95采用的就是它的杀毒引擎。如何逃避AVP的检测，是一些地下计算机病毒站点的重点话题。

(摘自深圳特区报)