|
突飞猛进的发展 中国计算机病毒发展史(2) 死灰复燃
1996年,计算机病毒技术又有了突飞猛进,为了躲避反病毒软件的监视,新的变种病毒应运而生。以前例如雨点等病毒只是运用简单的一维变形技术来掩饰自己,现在,二维变形以至于无穷变形病毒开始出现,以前那种采用特征代码串来标识计算机病毒的技术又开始失效。真是道高一尺,魔高一丈。最先传入中国的是“幽灵”,随后是“猴子”等两栖(同时感染系统和文件)变形病毒,这些病毒先后在一定范围内流行。不过由于反病毒软件的及时跟进,以及国人已经习惯于综合使用各种反病毒软件,因此这些病毒都没有能掀起太大的风浪。不过令人担忧的是,随着国际互连网络的普及,计算机病毒编写者开始通过互连网络来交流编程技术和心得体会。网上也出现了专门的变种病毒工具,使用这些工具,任何人都可以编写出带无穷变形的计算机病毒。国内的福州大学系列变形病毒就是这些工具的产品。值得庆幸的是,随着计算机硬件的提高,Windows以至于Windows 95逐渐成为国人通用的操作系统。与DOS系统技术彻底被掌握不同, Windows以及Windows 95完全没有被公开,其中的很多系统功能和特点尚未被一般人掌握,因此针对Windows和Windows95的病毒很少见,以前一直只在一些地下站点看见过,而且都是一些试验产品,技术尚未完全成熟。在Windows平台下,系统和文件病毒的数量要大大减少了。
黄昏插曲
提到中国的病毒的发展,就不能不提以下的这一段插曲。
1997年,有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点,专门讨论反病毒技术,评比国内的反病毒软件和提供它们的的解密程序。这年有一种不甚起眼,但是不能不提的888病毒,这是一个系统病毒,实际上并不流行, 只是因为某一软件公司的大肆宣扬,才使之在业界广为人知。虽然业界盛传某公司利用制毒、放毒和杀毒来宣传自己,但是事实一直没有什么端倪。到了97年的下半年,“毒岛论坛”宣称KV300软件中有病毒!并且迅速在网上公布了病毒的反汇编代码(由于KV 300软件是经过加密的,因此一般人无法简单地看到这一段代码)。数天之后,出于种种考虑,数家反病毒软件公司在京召开了记者招待会,声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”,不是病毒。经过反汇编了相关的代码,发现“逻辑锁”的机理与以前宣传的888病毒完全相同!它利用了微软的 MS-DOS编程上的一个小错误,导致系统启动时进入死循环。其实早在1992年就有人在《电脑》杂志上介绍了这个问题,并把它用于加密硬盘。而IBM的PC-DOS就没有这个错误。事情最后以江民公司被认定违反了《计算机安全管理条例》,罚款3000元告终,而KV300似乎没有受到太大的影响,“毒岛论坛”还因此被查封。不过业界公司应该从中吸取经验教训,如果此事发生在国外,则违法的公司很可能被客户告得倾家荡产。
异军突起
1997年,在沉寂了一小段时间以后,病毒又找到了新的突破点,这次是微软的文书处理和电子表格软件Word和 Excel成了牺牲品。高手门利用了功能强大的宏语言,编制了各色各样的宏病毒。随后是各种各样的好奇者,简单地利用宏编辑器改造了自己的产品!现在,编写病毒程序已经不是一门“阳春白雪”的技艺,任何人只要拿一个现成的宏病毒,甚至拿微软的用户手册看一下,就可以编写出一种新病毒来!据一些反病毒软件站点报告,全世界一个星期就有近千种新病毒出现,而其中绝大部分是宏毒。在这一场宏病毒大战中,我国台湾的各路高手充分展示了自己的身手,台湾一号病毒甚至跑到了微软的正版光盘上。国人们向世界显示,我们的电脑技术是先进的!同时,一大批反病毒软件开发者为了搞清楚微软密不公开的Word文档格式而搞得焦头烂额。最后,通过不泄努力,国内各家反病毒软件公司总算又通过了这一关;不过因为没有微软的支持,误杀或者杀坏Word文件也是常有的事。反倒是此时冯志宏闲庭信步,轻而易举地就完成了Word 97以前各版本的Word文件的密码自动解除工作。
风云再起
1997年下半年,一个叫做SPY的可以攻击NE(16位Windows格式可执行文件)格式程序的病毒,曾经在南方流行一时,敲响了Windows病毒进攻的警钟。此病毒是随着盗版光盘,从港台传入的。盗版光盘再次扮演了一个可耻而可怕的角色。到了1998年的年中,Win95.CIH病毒终于攻破了Windows95平台。这个病毒创造了几个之最:CIH病毒是第一个流行的攻击PE格式32位保护模式程序的病毒;CIH病毒是第一个可以破坏计算机硬件的病毒。以前的病毒最多只能破坏软件系统,而CIH病毒不但可以直接利用IOS指令摧毁硬盘数据(这种方法导致就算你的主板具有防病毒功能,也无能为力),更通过清洗存储在FLASH EPROM中的BIOS指令,导致系统主板无法工作,彻底破坏机器。CIH病毒利用VXD技术逃过了当时所有的反病毒软件的监测,并且令当时所有宣称可以防病毒的主板大失颜面。从中我们可以体会到,反病毒技术的研究是永无止境的。值得庆幸的是,这一次社会各界反映及时,各新闻媒体纷纷报道,各反病毒软件公司迅速升级自己的产品,使之可以监测和清除CIH病毒。
| 
