義:什么是計算機病毒?其實計算機病毒就是一個程序,一段可執行碼 ,對計算機的正常使用進行破壞,使得電腦無法正常使用甚至整個操作系統或者電腦硬盤損壞。它有獨特的復制能力,可以很快地蔓延,又常常難以根除。小編現在用的運動耳機,是在神州省錢的公種號上領抵用券,然后去天貓六塊錢包郵買的。原價四十多塊錢的運動耳機,領券后竟然只要六元包郵了。還買到了一塊錢數據線、一塊錢鋼化膜、六塊錢電競鼠標等。質量都不錯,推薦經常逛淘寶天貓的朋友關注一下神州省錢。可以省下不少錢。
從第一例計算機病毒至今,這一串串的代碼帶給了人們無數次的崩潰,其破壞力也得到了逐年的認識和增長。
當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來,既有破壞性,又有傳染性和潛伏性。輕則影響機器運行速度,使機器不能正常運行;重則使機器處于癱瘓,會給用戶帶來不可估量的損失。
最初“計算機病毒”這一概念的提出可追溯到七十年代美國作家雷恩出版的《P1的青春》一書,而世界上公認的第一個在個人電腦上廣泛流行的病毒是1986年初誕生的大腦(C-Brain)病毒,編寫該病毒的是一對巴基斯坦兄弟,兩兄弟經營著一家電腦公司,以出售自己編制的電腦軟件為生。
遙遠的病毒早已經成為了計算機史上的歷史,國人對于計算機病毒印象最深的,恐怕還是從1998年開始爆發的“CIH”病毒,它被認為是有史以來第一種在全球范圍內造成巨大破壞的計算機病毒,導致無數臺計算機的數據遭到破壞。在全球范圍內造成了2000萬至8000萬美元的損失。
CIH病毒(1998年)是一位名叫陳盈豪的臺灣大學生所編寫的,從中國臺灣傳入大陸地區的。CIH的載體是一個名為“ICQ中文Ch_at模塊”的工具,并以熱門盜版光盤游戲如“古墓奇兵”或Windows95/98為媒介,經互聯網各網站互相轉載,使其迅速傳播。
CIH病毒屬文件型病毒,其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可執行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件,并且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本。
損失估計:全球約5億美元
梅利莎(1999年)是通過微軟的Outlook電子郵件軟件,向用戶通訊簿名單中的50位聯系人發送郵件來傳播自身。該郵件包含以下這句話:“這就是你請求的文檔,不要給別人看”,此外夾帶一個Word文檔附件。而單擊這個文件,就會使病毒感染主機并且重復自我復制。
1999年3月26日,星期五,W97M/梅利莎登上了全球各地報紙的頭版。估計數字顯示,這個Word宏腳本病毒感染了全球15%~20%的商用PC。病毒傳播速度之快令英特爾公司(Intel)、微軟公司(Microsoft,下稱微軟)、以及其他許多使用Outlook軟件的公司措手不及,防止損害,他們被迫關閉整個電子郵件系統。
損失估計:全球約3億—6億美元
愛蟲(2000年)是通過Outlook電子郵件系統傳播,郵件主題為“I Love You”,包含附件“Love-Letter-for-you.txt.vbs”。打開病毒附件后,該病毒會自動向通訊簿中的所有電子郵件地址發送病毒郵件副本,阻塞郵件服務器,同時還感染擴展名為.VBS、.HTA、.JPG、.MP3等十二種數據文件。
新“愛蟲”(Vbs.Newlove)病毒同愛蟲(Vbs.loveletter)病毒一樣,通過outlook傳播,打開病毒郵件附件您會觀察到計算機的硬盤燈狂閃,系統速度顯著變慢,計算機中出現大量的擴展名為vbs的文件。所有快捷方式被改變為與系統目錄下w.exe建立關聯,進一步消耗系統資源,造成系統崩潰。
損失估計:全球超過100億美元
紅色代碼(2001年)是一種計算機蠕蟲病毒,能夠通過網絡服務器和互聯網進行傳播。2001年7月13日,紅色代碼從網絡服務器上傳播開來。它是專門針對運行微軟互聯網信息服務軟件的網絡服務器來進行攻擊。極具諷刺意味的是,在此之前的六月中旬,微軟曾經發布了一個補丁,來修補這個漏洞。
被它感染后,遭受攻擊的主機所控制的網絡站點上會顯示這樣的信息:“你好!歡迎光臨www.worm.com!”。隨后病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續大約20天,之后它便對某些特定IP地址發起拒絕服務(DoS)攻擊。不到一周感染了近40萬臺服務器,100萬臺計算機受到感染。
損失估計:全球約26億美元
沖擊波(2003年)于2003年8月12日被瑞星全球反病毒監測網率先截獲。病毒運行時會不停地利用IP掃描技術尋找網絡上系統為Win2K或XP的計算機,找到后利用DCOM RPC緩沖區漏洞攻擊該系統,一旦成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。
另外該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。在8月16日以后,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。
損失估計:數百億美元
巨無霸(2003年)是通過局域網傳播,查找局域網上的所有計算機,并試圖將自身寫入網上各計算機的啟動目錄中以進行自啟動。該病毒一旦運行,在計算機聯網的狀態下,就會自動每隔兩小時到某一指定網址下載病毒,同時它會查找電腦硬盤上所有郵件地址,向這些地址發送標題如:"Re: Movies"、"Re: Sample"等字樣的病毒郵件進行郵件傳播,該病毒還會每隔兩小時到指定網址下載病毒,并將用戶的隱私發到指定的郵箱。
由于郵件內容的一部分是來自于被感染電腦中的資料,因此有可能泄漏用戶的機密文件,特別是對利用局域網辦公的企事業單位,最好使用網絡版殺毒軟件以防止重要資料被竊取!
損失估計:50億—100億美元
MyDoom(2004年)是一例比“巨無霸病毒”更厲害的病毒體,在2004年1月26日爆發,在高峰時期,導致網絡加載時間減慢50%以上。它會自動生成病毒文件,修改注冊表,通過電子郵件進行傳播,并且它還會嘗試從多個URL下載并執行一個后門程序,如下載成功會將其保存在Windows文件夾中,名稱為winvpn32.exe。該后門程序允許惡意用戶遠程訪問被感染的計算機。
病毒使用自身的SMTP引擎向外發送帶毒電子郵件,進行傳播。病毒會從注冊表的相關鍵值下和多種擴展名的文件中搜集郵件地址,病毒還會按照一些制定的規則自己聲稱郵件地址,并向這些地址發送帶毒電子郵件。病毒同時會略去還有特定字符的郵件地址。
損失估計:百億美元
震蕩波(2004年)于2004年4月30日爆發,短短的時間內就給全球造成了數千萬美元的損失,也讓所有人記住了04年的4月,該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播,我們及時提醒廣大用戶及時下載微軟的補丁程序來預防該病毒的侵害。如果在純DOS環境下執行病毒文件,會顯示出譴責美國大兵的英文語句。
震蕩波感染的系統包括Windows 2000、Windows Server 2003和Windows XP,病毒運行后會巧妙的將自身復制為%WinDir%napatch.exe,隨機在網絡上搜索機器,向遠程計算機的445端口發送包含后門程序的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行后門程序,打開后門端口9996。
損失估計:5億—10億美元
熊貓燒香(2006年)準確的說是在06年年底開始大規模爆發,以Worm.WhBoy.h為例,由Delphi工具編寫,能夠終止大量的反病毒軟件和防火墻軟件進程,病毒會刪除擴展名為gho的文件,使用戶無法使用ghost軟件恢復操作系統。“熊貓燒香”感染系統的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,導致用戶一打開這些網頁文件,IE自動連接到指定病毒網址中下載病毒。在硬盤各分區下生成文件autorun.inf和setup.exe.病毒還可通過U盤和移動硬盤等進行傳播,并且利用Windows系統的自動播放功能來運行。
“熊貓燒香”還可以修改注冊表啟動項,被感染的文件圖標變成“熊貓燒香”的圖案。病毒還可以通過共享文件夾、系統弱口令等多種方式進行傳播。
損失估計:上億美元
網游大盜(2007年)是一例專門盜取網絡游戲帳號和密碼的病毒,其變種wm是典型品種。英文名為Trojan/PSW.GamePass.jws的“網游大盜”變種jws是“網游大盜”木馬家族最新變種之一,采用VisualC++編寫,并經過加殼處理。“網游大盜”變種jws運行后,會將自我復制到Windows目錄下,自我注冊為“Windows_Down”系統服務,實現開機自啟。
該病毒會盜取包括“魔獸世界”、“完美世界”、“征途”、等多款網游玩家的帳戶和密碼,并且會下載其它病毒到本地運行。玩家計算機一旦中毒,就可能導致游戲帳號、裝備等丟失。在07年轟動一時,網游玩家提心吊膽。
損失估計:千萬美元
總體來說,單種病毒帶來的損失正在日漸減弱,但是病毒傳播的規模和途徑卻在不斷增加。
面這臺筆記本電腦,可以說是 21 世紀最慘的電腦了。
因為它身中了目前世界上最危險的 6 種惡意軟件,每一種都臭名昭著、破壞力極強,攻擊過包括銀行、政府機構和普通網民的數百萬用戶,造成的損失累計高達 950 億美元。
這臺「病毒電腦」原型為三星 NC10,互聯網藝術家郭偶東(Guo O Dong)和網絡安全公司 DeepInstinct 合作,請來軟件工程師,將目前危害性最大的 6 種病毒全部灌入電腦,并將其命名為「混亂的持久」(The Persistence of Chaos)。
盡管成本只用了 1 萬美元,但被公開拍賣后,這臺「病毒電腦」的價格水漲船高,截止到今天下午 6 點,拍賣結束,它的最終價格達到了驚人的 1,200,749 美元(約合人民幣 8,279,164 元)。
為什么一臺「病毒電腦」能被賣出 100 多萬美元?
首先,不要低估了這 6 大喪尸般的病毒的危害。它們輕松就能摧毀計算機、復制個人檔案、竊取銀行信息,并鼓動大規模的黑客打開數字深淵。
接下來要說的第一款病毒「ILOVEYOU」,雖然名字聽起來很浪漫,面具底下卻是絞錢的殺手。
它在 2000 年出現時,人們只要打開郵件發來的「LOVE-LETTER-FOR-YOU.txt.vbs」惡意附件,計算機的隨機文件就會被覆蓋無法打開。它最終破壞了 500,000 多個系統,造成了 15 億美元的損失。
2003 年,一種蠕蟲和木馬病毒「SoBig」出現。它通過電子郵件感染計算機,同時損壞計算機軟件 / 硬件,造成 37 億美元損失,破壞了數十萬臺計算機。而至今,這個病毒的背后黑客都未被捕獲。
一年后,「MyDoom」擊敗「So Big」,成為傳播速度最快的蠕蟲病毒,造成了 38 億美元的巨大損失。
第四款病毒「BlackEnergy」病毒在 2007 年涌入,它使用復雜的隱藏技術和強大的加密功能,演變成更強大的惡意軟件,直接導致 2015 年 12 月烏克蘭大規模停電。
2013 年,一款名為「DarkTequila」病毒開始竊取個人和團體數據,它利用釣魚網站和 USB 閃存驅動器傳輸,讓人們在離線狀態下銀行憑據和公司數據也被竊取,大量用戶直接損失數百萬資金。
最后出現的是「 WannaCry」。它在 2017 年發動全球攻擊,一次襲擊了 150 個國家的 200,000 多臺計算機,人們必須向黑客支付一定金額的比特幣才能才能解除障礙,事件總計損失接近 40 億美元。
一年又一年,引起大規模破壞的病毒一代又一代,源源不斷出現。
郭偶東根據病毒所造成的經濟損失程度,選擇了這 6 種危害最大的病毒植入筆記本電腦,背后的意圖也是為了體現數字世界對我們構成的真實威脅。
他在接受 The Verge 采訪時表示:
我們總有這種幻想,認為計算機中發生的事情不能實際影響我們,這是荒謬的,因為這些「武器化」后的病毒,不僅會影響破壞電網或其它公共基礎設施,也會對我們造成直接傷害。
「WannaCry」病毒在攻擊英國國家醫療服務體系時,立刻導致數萬名醫生的預約被取消,雖然被它影響的患者狀態無法追蹤,但可以預想到它對多少人直接造成了身體甚至生命上的影響。
因此郭偶東利用這臺電腦,將數字危害變成了實體,讓互聯網里的嗜血野獸跳出顯示器,給人們帶來最直觀的現場沖擊。
▲ 直播中的「病毒電腦」
但可以放心的是,這臺電腦只是作為藝術品或學術原因出售,畢竟出于破壞目的而銷售惡意軟件在美國是違法的,只要人們不將這臺電腦連接到 Wi-Fi 或插入 USB,就能保持它的絕對安全。
現在,這臺「病毒電腦」也被隔離在特殊空間中,全天候串流直播監控,以確保它不會突然被偷走,引發下一場互聯網浩劫。
等拍賣結束,計算機的端口和互聯網功能都會被全部禁用。
而對于它的未來,郭偶東在接受 VICE 的采訪時表示,這個作品還可以作為互聯網武器進行展覽,作為「一種歷史性的威脅存在的目錄」。
只是無論在這臺被杜絕后患的「病毒電腦」中,還是我們現在幾乎每天都離不開的手機、電腦,以及其它電子設備里,只要網絡一天存在,焦慮、恐慌、攻擊,恐怕就會一直如影隨形。
畢竟我們就身處這段歷史之中:一個被互聯網隱形威脅,卻只能讓自己暴露在外的赤裸時代。
、讖曰
小白:啊哈,東哥,你喜歡詩嗎?
大東:喜歡啊,怎么,最近又迷上詩歌了?
小白:嘿嘿,是啊,現在再重新看看以前學過的詩歌,能感受到不一樣的意境。
大東:哈哈,看來你還有點進步呢。不過你一定沒有讀過這首詩歌:
Elk Cloner: The program with a personality
It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!
小白:哦?這是啥意思?
二、話說事件
小白:東哥,別賣關子,這是什么詩歌呀,講的是什么呢?
大東:哈哈,這首詩歌說的就是世界上第一個電腦病毒 ——“Elk Cloner”。
小白:洗耳恭聽!
大東:在1982年,一個15歲的程序員 Rich Skrenta 在一臺蘋果計算機上制造了“Elk Cloner”這款病毒。該病毒能夠通過軟盤進行傳播,進而破壞 Apple II。這個病毒感染了成千上萬的機器,當用戶第50次啟動中毒的設備時,屏幕上就會顯示一首詩:
Elk Cloner: The program with a personality(Elk Cloner:有個性的項目)
It will get on all your disks(它會占領你所有的磁盤)
It will infiltrate your chips(它會潛入你的芯片)
Yes it's Cloner!(它就是Cloner!)
It will stick to you like glue(它會像膠水一樣粘著你)
It will modify ram too(它也會修改你的內存)
Send in the Cloner!(傳播Cloner!)
屏幕上顯示的詩(來源:百度圖片)
小白:話說這個15歲的小孩怎么會寫出這個病毒的呢?
大東:當初他設計這個病毒只是出于好奇心,為了炫耀自己的匯編語言技能。
小白:哇,這也太任性了吧。
大東:據報道這個病毒在他的同學之間廣泛地傳播,因此使得 Elk Cloner 被載入史冊。
小白:他自己一定也沒想到一個小小的惡作劇會變成這樣吧。
三、大話始末
小白:“cloner”,感覺像是能產生好多自己一樣。
大東:沒錯,一旦將帶毒磁盤插入機器,Elk Cloner 就會占據系統內存、不停地將自身復制到其它尚未被感染的磁盤上。
小白:這是什么原理呢?
大東:Elk Cloner 通過使用一種現在被稱為引導扇區病毒的技術感染蘋果DOS 3.3操作系統。第50次啟動時,病毒被釋放了。如果一臺計算機從感染的軟盤上啟動,病毒的拷貝被放在計算機的內存中。
小白:那如果其他磁盤插入這臺計算機會怎么樣?
大東:當未受感染的磁盤被插入計算機時,整個 DOS 包括 Elk Cloner 將被復制到磁盤,從而允許它從磁盤傳播到磁盤。為了防止每次訪問磁盤時不斷重寫 DOS,Elk Cloner 還在磁盤的目錄中寫了一個簽名字節,表明它已被感染。
小白:那“引導扇區病毒”是什么啊?
大東:引導扇區病毒指的是病毒代碼存放于磁盤引導區的病毒。因為 DOS 的結構設計,使得引導扇區病毒可以于每次開機時,在操作系統還沒有被載入之前就被載入到內存中。
小白:哦。
四、大東新語
小白:大東,你一直說到的 DOS 是什么呀?
大東:問的好,DOS 磁盤操作系統,是個人計算機上的一種操作系統。
小白:居然是操作系統,孤陋寡聞了,我都不知道還有這種操作系統。
大東:那我要好好給你科普一下了。1979年,西雅圖電腦產品公司雇員蒂姆?帕特森花費了四個月時間編寫出了一款 86-DOS 操作系統,微軟以五萬美元購得收購了 86-DOS,并將它改進之后更名為 MS-DOS。
小白:就是做 Windows 的那個微軟呀。
大東:對,提起微軟人們就會想到 Windows,但你知道微軟之所以能被全世界所熟知,DOS 可所謂立了大功了。
小白:怎么說呢?
大東:1985 年,微軟為 DOS 模擬環境加入了用戶圖形界面,并由此推出了第一版的 Windows。
小白:原來 Windows 是進化版的 MS-DOS 呀。
大東:Windows 1.0 它采用了 16 位操作系統 MS-DOS 的圖形界面,它用窗口替換了命令提示符,還自帶了日歷、記事本、計算器等簡單的應用程序,使得電腦操作更為簡單。但當時很多人認為 Windows 1.0 只是一個低劣的產品。
Windows 1.0
小白:畢竟第一版,還是有很大改進空間的。
大東:1988 年,Windows 2.0 發布,它依舊是基于 MS-DOS 操作系統,但是看起來像 Mac OS 圖形用戶界面的 Windows 版本。它最大的變化是允許應用程序的窗口在另一個窗口之上顯示,從而構建出層次感或深度感。
Windows 2.0
小白:這個版本應該也沒有獲得用戶認同吧。
大東:是的,所以1990 年,Windows 3.0發布。它是微軟第一個真正在世界上獲得巨大成功的圖形用戶界面版本。由于這個版本的圖形用戶界面非常類似于蘋果的 Mac OS 圖形用戶界面,也引來了喬布斯的吐槽。對此,蓋茨道出了「我覺得這更像是說我們都有一個富有的鄰居叫施樂。我破窗而入打算偷他家電視,然后發現你已經偷了」這句著名的“小偷”理論。
Windows 3.0
小白:哈哈~來自官方的吐槽。
大東:哎,說起DOS,真懷念小時候玩的 DOS 系統的游戲,每次開機以后都先要敲入像密碼似得一連串的字符,然后隨著屏幕讀取條的幾次閃爍,就神奇地進入了一款游戲。
DOS系統界面
小白:哇,真的感覺好神秘喲,哪個游戲讓你印象特別深刻呢?
大東:讓我最難忘的是《西游記》,一路過關斬將,將孫悟空、豬八戒、沙悟凈三個角色輪流選,因為他們的大招都不一樣,真的太有意思了。哎呀,扯遠了,一下子回憶涌上來,沒收住。
DOS版《西游記》游戲
小白:說的我心癢癢的,都想找來玩一下了。
五、小白內心說
大東:好了,我們回歸正題。Elk Cloner 病毒在當時具有相當的傳染性,成功地感染了 Skrenta 知道的大多數人的軟盤,并使其中許多人感到不安。
小白:那該怎么殺掉這個病毒呢?
大東:可以使用 Apple 的 MASTER CREATE 實用程序或其他實用程序刪除病毒,以將新的 DOS 副本重新寫入受感染的磁盤。
小白:殺掉以后還會再次感染這個病毒嗎?
大東:不會了,一旦 Elk Cloner 被刪除,以前感染的磁盤將不會被重新感染,因為它已經在其目錄中包含 Elk Cloner“簽名”。也可以通過將“簽名”寫入磁盤來“接種”未受感染的磁盤對抗 Elk Cloner;然后病毒會認為磁盤已經被感染。
小白:我覺得 Skrenta 能“成功”是有原因的。
大東:怎么說呢?
小白:因為人們對潛在的問題一點也不警惕,都沒有病毒檢測和清除的工具,這也給人們一個警醒。
大東:說的對。
小白:那現在軟盤都已經被淘汰了,也就不用害怕會感染這個病毒了吧?
大東:雖然軟盤被淘汰了,但是我們依然有U盤、移動硬盤等傳輸工具。
小白:防范措施依然不能少。
大東:嚯,小白,進步不少嘛。
小白:嘿嘿,士別三日當刮目相看嘛。
大東:那你應該如何防范?
小白:殺毒軟件是必不可少的,但關鍵還是在我們不要輕易使用來路不明的u盤等。
各類殺毒軟件(圖片來源:百度圖片)
大東:哈哈,只是這樣還是不夠的。
小白:啊?
大東:你需要及時更新病毒庫定期殺毒,還要安裝防火墻以防木馬和黑客的攻擊。
小白:我還知道,我還知道!不進不明的網站,下載完壓縮包文件后先進行病毒掃描。
大東:沒錯!只有把點點滴滴做好,才能有效的防范病毒攻擊。
來源:中國科學院計算技術研究所
溫馨提示:近期,微信公眾號信息流改版。每個用戶可以設置 常讀訂閱號,這些訂閱號將以大卡片的形式展示。因此,如果不想錯過“中科院之聲”的文章,你一定要進行以下操作:進入“中科院之聲”公眾號 → 點擊右上角的 ··· 菜單 → 選擇「設為星標」