我們將與病毒長(cháng)久共存(續）(轉載)

　　 三 病毒的發(fā)展過(guò)程 ┃

　　 20世紀60年代初，美國貝爾實(shí)驗室里，三個(gè)年輕的程序員編寫(xiě)了一個(gè)名為“磁芯大戰”的游戲，游戲中通過(guò)復制自身來(lái)擺脫對方的控制，這就是所謂“病毒”的第一個(gè)雛形。

　　 20世紀70年代，美國作家雷恩在其出版的<<P1的青春>>一書(shū)中構思了一種能夠自我復制的計算機程序，并第一次稱(chēng)之為“計算機病毒”。

　　 1983年11月，在國際計算機安全學(xué)術(shù)研討會(huì )上，美國計算機專(zhuān)家首次將病毒程序在VAX/750計算機上進(jìn)行了實(shí)驗，世界上第一個(gè)計算機病毒就這樣出生在實(shí)驗室中。

　　 20世紀80年代后期，巴基斯坦有兩個(gè)編軟件為生的兄弟，他們?yōu)榱舜驌裟切┍I版軟件的使用者，設計出了一個(gè)名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤(pán)引導。這就是最早在世界上流行的一個(gè)真正的病毒。

　　 1988年至1989年，我國也相繼出現了也能感染硬盤(pán)和軟盤(pán)引導區的Stoned(石頭)病毒，該病毒體代碼中有明顯的標志“Your PC is now Stoned!”、“LEGALISE MARIJUANA！”，也稱(chēng)為“大麻”病毒”等。該病毒感染軟硬盤(pán)0面0道1扇區，并修改部分中斷向量表。該病毒不隱藏也不加密自身代碼，所以很容易被查出和解除。類(lèi)似這種特性的還有“小球、Azusa/Hong-Kong/2708、 Michaelangelo，這些都是從國外傳染進(jìn)來(lái)的。而國產(chǎn)的有Bloody、 Torch、Disk Killer等病毒，實(shí)際上它們大多數是Stoned病毒的翻版。

　　 20世紀90年代初，感染文件的病毒有Jerusalem（黑色13號星期五）、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。這類(lèi)病毒修改了部分中斷向量表，被感染的文件明顯的增加了字節數，并且病毒代碼主體沒(méi)有加密，也容易被查出和解除。 這些病毒中， 略有對抗反病毒手段的只有Yankee Doole病毒， 當它發(fā)現你用DEBUG工具跟蹤它的話(huà)，它會(huì )自動(dòng)從文件中逃走。

　　 接著(zhù)， 又一些能對自身進(jìn)行簡(jiǎn)單加密的病毒相繼出現，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它們加密的目的主要是防止跟蹤或掩蓋有關(guān)特征等。

　　在內存有1741病毒時(shí)， 用DIR列目錄表，病毒會(huì )掩蓋被感染文件所增加的字節數，使看起來(lái)字節數很正常。

　　 而1345-64185病毒卻每傳染一個(gè)目標就增加一個(gè)字節， 增到64185個(gè)字節時(shí)，文件就被破壞。

　　 以后又出現了引導區、文件型“雙料”病毒，這類(lèi)病毒既感染磁盤(pán)引導區、又感染可執行文件，常見(jiàn)的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸彈、3584/鄭州(狼)、3072(秋天的水）、ALFA/3072-2、Ghost/One_Half/3544(幽靈)、Natas(幽靈王)、TPVO/3783等，如果只解除了文件上的病毒，而沒(méi)解除硬盤(pán)主引導區的病毒，系統引導時(shí)又將病毒調入內存，會(huì )重新感染文件。如果只解除了主引導區的病毒，而可執行文件上的病毒沒(méi)解除，一執行帶毒的文件時(shí)，就又將硬盤(pán)主引導區感染。

　　 Flip/Omicron（顛倒）、XqR（New century新世紀）這兩種病毒都設計有對抗反病毒技術(shù)的手段，Flip（顛倒）病毒對其自身代碼進(jìn)行了隨機加密，變化無(wú)窮，使絕大部分病毒代碼與前一被感染目標中的病毒代碼幾乎沒(méi)有三個(gè)連續的字節是相同的，該病毒在主引導區只潛藏了少量的代碼，病毒另將自身全部代碼潛藏于硬盤(pán)最后６個(gè)扇區中，并將硬盤(pán)分區表和DOS引導區中的磁盤(pán)實(shí)用扇區數減少了６個(gè)扇區，所以再次起動(dòng)系統后， 硬盤(pán)的實(shí)用空間就減少了6個(gè)扇區。這樣，原主引導記錄和病毒主程序就保存在硬盤(pán)實(shí)用扇區外，避免了其它程序的覆蓋，而且用DEBUG的L命令也不能調出查看，就是用FORMAT進(jìn)行格式化也不能消除病毒，可見(jiàn)，病毒編制者用意深切！與此相似的還有Denzuko病毒。

　　 XqR(New century新世紀)病毒也有它更狡猾的一面，它監視著(zhù)INT13、INT21中斷有關(guān)參數，當你要查看或搜索被其感染了的主引導記錄時(shí)，病毒就調換出正常的主引導記錄給你查看或讓你搜索，使你認為一切正常，病毒卻蒙混過(guò)關(guān)。病毒的這種對抗方法，我們在此稱(chēng)為：病毒在內存時(shí)，具有“反串”（反轉）功能。這類(lèi)病毒還有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽靈)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等，現在的新病毒越來(lái)越多的使用這種功能來(lái)對抗按裝在硬盤(pán)上的抗病毒軟件，但用無(wú)病毒系統軟盤(pán)引導機器后，病毒就失去了“反串”（反轉）功能。

　　 1345、 1820、PCTCOPY-2000病毒卻直接隱藏在COMMAND.COM文件內的空閑(0代碼)部位，從外表上看，文件一個(gè)字節也沒(méi)增加。

　　 INT60(0002)病毒隱藏的更加神秘，它不修改主引導記錄， 只將硬盤(pán)分區表修改了兩個(gè)字節，使那些只檢查主引導記錄的程序認為完全正常，病毒主體卻隱藏在這兩個(gè)字節指向的區域。硬盤(pán)引導時(shí)，ROM-BIOS程序糊理糊涂的按這兩個(gè)字節的引向，將病毒激活。病毒太狡猾了，只需兩個(gè)字節，就可以牽著(zhù)機器的鼻子走！

　　 Monkey（猴子）、PC_LOCK（加密鎖）病毒將硬盤(pán)分區表加密后再隱藏起來(lái)， 如果輕易將硬盤(pán)主引導記錄更換，或用FDISK/MBR格式輕易將硬盤(pán)主引導記錄更換， 那么，就再進(jìn)不了硬盤(pán)了，數據也取不出來(lái)了，所以，不要輕易使用FDISK/MBR格式。

　　 1992年以來(lái)，DIR2-3、DIR2-6、NEW DIR2病毒以一種全新的面貌出現，具有感染力極強，無(wú)任何表現，不修改中斷向量表，而直接修改系統關(guān)鍵中斷的內核，修改可執行文件的首簇數， 將文件名字與文件代碼主體分離。 在系統有此病毒的情況下，一切就象沒(méi)發(fā)生一樣。而在系統無(wú)病毒時(shí)，你用無(wú)病毒的文件去覆蓋有病毒的文件，災難就會(huì )發(fā)生，全盤(pán)所有被感染的可執行文件內容都是剛覆蓋進(jìn)去的文件內容。這是病毒“我死你也活不成”的罪惡伎倆。該病毒的出現，使病毒又多了一種新類(lèi)型。

　　 20世紀內，決大多數病毒是基于DOS系統的，有80％的病毒能在WINDOWS中傳染。TPVO/3783病毒是“雙料性”、（傳染引導區、文件）“雙重性”（DOS、WINDOWS）病毒，這是病毒隨著(zhù)操作系統發(fā)展而發(fā)展。當然，Internet的廣泛應用，Java惡意代碼病毒也出現了。

　　 腳本病毒“HAPPYTIME快樂(lè )時(shí)光”是一種傳染能力非常強的病毒。

　　 該病毒利用體內VBScript代碼在本地的可執行性（通過(guò)Windows Script Host進(jìn)行），對當前計算機進(jìn)行感染和破壞。即，一旦我們將鼠標箭頭移到帶有“HAPPYTIME快樂(lè )時(shí)光”病毒體的郵件名上時(shí)，不必打開(kāi)信件，就能受到HAPPYTIME“快樂(lè )時(shí)光”病毒的感染，該病毒傳染能力很強。

　　 近幾年，出現了近萬(wàn)種WORD(MACRO宏)病毒，并以迅猛的勢頭發(fā)展，已形成了病毒的另一大派系。由于宏病毒編寫(xiě)容易，不分操作系統，再加上Internet網(wǎng)上用WORD格式文件進(jìn)行大量的交流，宏病毒會(huì )潛伏在這些WORD文件里，被人們在Internet網(wǎng)上傳來(lái)傳去。

　　 早在1995年時(shí)，出現了一個(gè)更危險的信號，在我們對眾多的病毒剝析中，發(fā)現部分病毒好象出于一個(gè)家族，其“遺傳基因”相同，簡(jiǎn)單的說(shuō)，是“同族”病毒。但絕不是其他好奇者簡(jiǎn)單的修改部分代碼而產(chǎn)生的“改形”病毒。

　　 “改形”病毒的定義此應簡(jiǎn)單的說(shuō)，與“原種”病毒的代碼長(cháng)度相差不大，絕大多數病毒代碼與“原種”的代碼相同， 并且相同的代碼其位置也相同， 否則就是一種新的病毒。

　　 大量具有相同“遺傳基因”的“同族”病毒的涌現，使人不的不懷疑“病毒生產(chǎn)機”軟件已出現。1996年下半年在國內終于發(fā)現了“G2、IVP、VCL”三種“病毒生產(chǎn)機軟件”，不法之徒，可以用來(lái)編出千萬(wàn)種新病毒。目前國際上已有上百種“病毒生產(chǎn)機”軟件。

　　 這種“病毒生產(chǎn)機”軟件可不用絞盡腦汁的去編程序，便會(huì )輕易的自動(dòng)生產(chǎn)出大量的“同族”新病毒。這些病毒代碼長(cháng)度各不相同，自我加密、解密的密鑰也不相同，原文件頭重要參數的保存地址不同，病毒的發(fā)作條件和現象不同，但是，這些病毒的主體構造和原理基本相同。

　　 “病毒生產(chǎn)機”軟件，其“規格”有專(zhuān)門(mén)能生產(chǎn)變形病毒的、有專(zhuān)門(mén)能生產(chǎn)普通病毒的。目前，國內發(fā)現的、或有部分變形能力的病毒生產(chǎn)機有“G2、 IVP、VCL病毒生產(chǎn)機等十幾種。具備變形能力的有CLME、DAME-SP/MTE病毒生產(chǎn)機等。它們生產(chǎn)的病毒都有“遺傳基因”于相同的特點(diǎn)，沒(méi)有廣譜性能的查毒軟件，只能是知道一種，查一種，難于應付“病毒生產(chǎn)機”生產(chǎn)出的大量新病毒。

　　 據港報載， 香港已有人也模仿歐美的Mutation Eneine(變形金剛病毒生產(chǎn)機)軟件編寫(xiě)出了一種稱(chēng)為CLME(Crazy Lord Mutation Eneine)即“瘋狂貴族變形金剛病毒生產(chǎn)機”， 已放出了幾種變形病毒， 其中一種名為CLME.1528。 國內也發(fā)現了一種名為CLME.1996、DAME-SP/MTE的病毒。 更令人可惡的是，編程者公然在BBS站和國際互聯(lián)網(wǎng)Internet中縱恿他人下傳。“病毒生產(chǎn)機”的存在，隨時(shí)就有可能存在著(zhù)“病毒暴增”的危機！

　　 危機一個(gè)接一個(gè)，網(wǎng)絡(luò )蠕蟲(chóng)病毒I-WORM.AnnaKournikova，就是一種VBS/I-WORM病毒生產(chǎn)機生產(chǎn)的，它一出來(lái)，短時(shí)間內就傳便了全世界。這種病毒生產(chǎn)機也傳到了我國。

　　 Windows9x、win2000操作系統的發(fā)展，也使病毒種類(lèi)和樣隨其變化而變化。以下例舉幾個(gè)點(diǎn)型的WINDOWS病毒。

　　 WIN32.CAW.1XXX病毒是駐留內存的Win32病毒，它感染本地和網(wǎng)絡(luò )中的PE格式文件。該病毒的產(chǎn)生是來(lái)源一種32位的Windows“CAW病毒生產(chǎn)機”， 該“CAW病毒生產(chǎn)機”是國際上一家有名的病毒編寫(xiě)組織開(kāi)發(fā)的。

　　 “CAW病毒生產(chǎn)機”能生產(chǎn)出來(lái)各種各樣的CAW病毒，有加密的和不加密的，其字節數一般在1000至2000內。目前在國內流行的有：CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等，在國際上流行的CAW.1XXX病毒種類(lèi)更多。

　　 病毒有以下幾項破壞：

　　 1、當病毒駐留內存時(shí)，病毒會(huì )在每日的整點(diǎn)時(shí)間，如1:00, 6:00, 10:00,...，病毒就會(huì )刪除一些特定的文件，如：.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE。

　　 2、當7月7日的時(shí)候CAW病毒就會(huì )發(fā)作，刪除硬盤(pán)上的所有文件。

　　 3、某些CAW.1XXX病毒有缺陷，被傳染上該病毒的文件被破壞了，殺毒后文件也無(wú)法修復，只能用正常文件覆蓋壞文件。病毒還有一個(gè)缺陷，即重復多層次感染文件，容易將文件寫(xiě)壞了。

　　 WIN32.FunLove.4099病毒感染本地和網(wǎng)絡(luò )中的PE-EXE文件。

　　 病毒本身就是只具有’.code’部分PE格式的可執行文件。

　　 當染毒的文件被運行時(shí)，該病毒將在Windows\system目錄下創(chuàng )建FLCSS.EXE文件，在其中只寫(xiě)入病毒的純代碼部分，并運行這個(gè)生成的文件。

　　 一旦在創(chuàng )建FLCSS.EXE文件的時(shí)候發(fā)生錯誤，病毒將從染毒的主機文件中運行傳染模塊。該傳染模塊被作為獨立的線(xiàn)程在后臺運行，主機程序在執行時(shí)幾乎沒(méi)有可察覺(jué)的延時(shí)。

　　 傳染模塊將掃描本地從 C: to Z:的所有驅動(dòng)器，然后搜索網(wǎng)絡(luò )資源，掃描網(wǎng)絡(luò )中的子目錄樹(shù)并感染具有.OCX, .SCR or .EXE擴展名的PE文件。

　　 這個(gè)病毒類(lèi)似Bolzano病毒那樣修補NTLDR和WINNT\System32\ntoskrnl.exe，被修補的文件不可以恢復只能通過(guò)備份來(lái)恢復。

　　 WIN32.KRIZ.4250病毒已大面積傳播, 這是一個(gè)變形病毒, 變化多端, 每年的12月25日象CIH病毒一樣破壞硬盤(pán)數據與主板BIOS，該病毒目前也有許多字節數不同的變種。

　　 病毒的種類(lèi)、傳染和攻擊的手法越來(lái)越高超，一種流傳到國內的“子母彈”病毒Demiurg，被北京江民公司反病毒應急中心捕獲。

　　 該病毒被激活后，會(huì )象“子母彈”一樣，分裂出多種類(lèi)型的病毒來(lái)分別攻擊并感染計算機內不同類(lèi)型的文件。

　　 該病毒分裂時(shí)，會(huì )在C盤(pán)根目錄下產(chǎn)生出幾個(gè)具有獨立傳染能力和傳染各不相同文件性質(zhì)的子病毒。它們的名字是：DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的啟動(dòng)子目錄內的XLSTART.XLS，這些都是子病毒，分別傳染各自不同的文件。

　　 該病毒感染文件的類(lèi)型比較多，它既感染DOS可執行程序、批處理文件、WINDOWS的可執行程序，而且還感染EXCEL97/2000文件。

　　 該病毒感染的文件的具體類(lèi)型有：DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及WINDOWS下的PE格式的可執行文件、NE格式的可執行文件、內核文件KERNEL32.DLL等文件。

　　 該病毒感染EXCEL97/2000文件的長(cháng)度為16354字節,感染W(wǎng)IN_PE文件的長(cháng)度為17408字節, 感染DOS的.COM、.EXE文件的長(cháng)度為27552字節左右。

　　 該病毒感染EXCEL文檔的過(guò)程是將一個(gè)受感染的文件放在EXCEL的啟動(dòng)子目錄XLSTART目錄下，同時(shí)在系統的根目錄下建立一個(gè)文件DEMIURG.SYS,每次EXCEL啟動(dòng)時(shí)，EXCEL會(huì )自動(dòng)調用\XLSTART子目錄下的受病毒感染的文件，進(jìn)而感染別的EXCEL文件。

　　 Internet網(wǎng)的發(fā)展，激發(fā)了病毒更加廣泛的活力。病毒通過(guò)網(wǎng)絡(luò )的快速傳播和破壞，為世界帶來(lái)了一次一次的巨大災難。

　　 1999年2月，“美麗殺”病毒席卷歐美大陸，是世界上最大的一次病毒浩劫，也是最大的一次網(wǎng)絡(luò )蠕蟲(chóng)大泛濫。

　　 1998年2月，臺灣省的陳盈豪，編寫(xiě)出了破壞性極大的Windows惡性病毒CIH-1.2版，并定于每年的4月26日發(fā)作破壞，然后，悄悄的潛伏在網(wǎng)上的一些供人下載的軟件中。

　　 可是，兩個(gè)月的時(shí)間，被人下載的不多，到了4月26日，病毒只在臺灣省少量發(fā)作，并沒(méi)引起重視。心理扭曲的陳盈豪不甘心，又炮制了CIH-1.3版，并將破壞時(shí)間設在6月26日。

　　 可是，還是兩個(gè)月的時(shí)間，1.3版被人下載的不多，6月26日也沒(méi)多大破壞。心理扭曲到極點(diǎn)的陳盈豪有點(diǎn)惱怒，沒(méi)看到很大的破壞，心理很不痛快。7月，又炮制出了CIH-1.4版。這次，他干脆將破壞時(shí)間設為每個(gè)月的26日，他要月月看到人們遭殃。

　　 就在那一年，很不巧的是，當時(shí)在國內外上映的臺灣電視劇的女主角“小龍女”的肖像被廣泛用在計算機中的屏幕保護程序中，CIH-1.2、CIH-1.4病毒也被悄悄注進(jìn)該程序中，大量的用戶(hù)從網(wǎng)上下載使用，同時(shí)，該程序也被廣泛的裝進(jìn)各種各樣的盜版光盤(pán)中，三種版本的CIH病毒被廣泛的擴散，當時(shí)的反病毒公司也沒(méi)有及時(shí)的發(fā)現。

　　 因此，這種全新的Windows病毒到處傳播，危機的陰影迅速的籠罩著(zhù)四方。

　　 一個(gè)月后，也就是到了1998年8月26日，CIH-1.4病毒首先跳出來(lái)發(fā)作，我國部分地區遭到襲擊，但損害面積不大。事后，為了必免更大災害，我國政府職能部門(mén)公安部發(fā)出了通緝三種CIH病毒的通告。可是，使用正版殺毒軟件的意識不被一些用戶(hù)重視，又不經(jīng)常保持升級殺毒軟件，CIH-1.2病毒又經(jīng)過(guò)一年的傳播，已傳遍全世界，世界性的巨大殺機潛伏下來(lái)了，一場(chǎng)人類(lèi)史無(wú)前例的信息大卻難即將暴發(fā)。

　　 1999年4月26日，一個(gè)計算機行業(yè)難以忘卻的日子，也就是到了CIH-1.2病毒第二年的發(fā)作日，人們起早一上班便輕松的打開(kāi)計算機準備工作，可是，打開(kāi)一臺計算機后，只看到屏幕一閃便就黑暗一片。再打開(kāi)另外幾臺，也同樣一閃后就再也啟動(dòng)不起來(lái)了...，計算機史上，病毒造成的又一次巨大的浩劫發(fā)生了。

　　 一大早，反病毒軟件公司所有的電話(huà)鈴聲急急不斷的振耳，急促促的報警電話(huà)蜂擁而來(lái)。門(mén)外，需求修復數據而手持硬盤(pán)和抬著(zhù)機器的人們象一條長(cháng)龍一樣，從樓上到樓下，一直排到大街上。“誰(shuí)能給我修好數據，我出高價(jià)！”的叫喊聲到處可聽(tīng)見(jiàn)。

　　 據報導，此次病毒的浩劫，在東方的亞州國家最嚴重。歐美國家嘲笑東方國家，一說(shuō)盜版嚴重而帶來(lái)，二說(shuō)反病毒軟件落后。可是，在此前的一個(gè)月，歐美的“美麗殺”病毒在西方造成了更為嚴重的災難，其經(jīng)濟損失遠遠超過(guò)CIH病毒對亞洲造成的損失，而CIH病毒造成的破壞，絕大部分則可以修好。

　　 由于歐美國家先一個(gè)月發(fā)生“美麗殺”病毒災難，引起歐亞國家媒體暴炒“美麗殺”病毒，在一定程度上起了誤導作用。國內的老牌反病毒公司北京江民公司，通過(guò)在國內強大的病毒反饋網(wǎng)，以靈敏的嗅覺(jué)，警惕到CIH-1.2病毒要在4月26日大發(fā)作！便不昔重金在報紙上用廣告和文章形式在4月26前連篇提醒人們重視防范CIH病毒。這在當時(shí)可能是國內唯一的一家提醒人們重視防范CIH病毒的反病毒公司。但是，還是被淹沒(méi)在暴炒“美麗殺”病毒的文章中。只有部分看到防范CIH病毒的報紙后，并即時(shí)的升級查殺了CIH病毒，才幸免遇難。事后，<<軟件報>>在一篇文章中給予了北京

　　江民公司極高的評價(jià)。

　　 “美麗殺”病毒對歐美的破壞，比CIH病毒對亞洲的破壞要大的多。“美麗殺”病毒對亞洲沒(méi)什么破壞，而“CIH”病毒同樣對歐美有較大的破壞。歐美所謂先進(jìn)的反病毒軟件也不堪一擊，所謂全球病毒監測網(wǎng)如同虛構。

　　 隨著(zhù)Internet網(wǎng)的發(fā)展，使病毒傳播更加方便、更加廣泛，網(wǎng)絡(luò )蠕蟲(chóng)病毒已成為病毒主力，這應使我們嚴加防犯。

　　 四 網(wǎng)絡(luò )蠕蟲(chóng)病毒的發(fā)展 ┃

　　 最早的網(wǎng)絡(luò )蠕蟲(chóng)病毒作者是美國的小莫里思，他編寫(xiě)的蠕蟲(chóng)病毒是在美國軍方的局域網(wǎng)內活動(dòng)，但是，必需事先獲取局域網(wǎng)的權限和口令。

　　 世界性的第一個(gè)大規模在Internet網(wǎng)上傳播的網(wǎng)絡(luò )蠕蟲(chóng)病毒是1998年底的Happy99網(wǎng)絡(luò )蠕蟲(chóng)病毒，當你在網(wǎng)上向外發(fā)出信件時(shí)，HAPPY99網(wǎng)絡(luò )蠕蟲(chóng)病毒會(huì )頂替你的信件或隨你的信件從網(wǎng)上跑到你發(fā)信的目標出，到了1月1日，收件人一執行，便會(huì )在屏幕上不斷暴發(fā)出絢麗多彩的禮花，機器就不在干什么了。

　　 1999年3月歐美暴發(fā)了“美麗殺”網(wǎng)絡(luò )蠕蟲(chóng)宏病毒，歐美最大的一些網(wǎng)站頻頻遭受到堵塞，造成巨大經(jīng)濟損失。

　　 2000年至今，是網(wǎng)絡(luò )蠕蟲(chóng)開(kāi)始大鬧互聯(lián)網(wǎng)的發(fā)展期。

　　 2000年，在歐美還暴發(fā)了I-WORM/Love Letter“愛(ài)蟲(chóng)”網(wǎng)絡(luò )蠕蟲(chóng)病毒，又使歐美最大的一些網(wǎng)站和企業(yè)及政府的服務(wù)器頻頻遭受到堵塞和破壞，造成了比“美麗殺”病毒破壞還大的經(jīng)濟損失。目前，該病毒以有十多種變種產(chǎn)生，不斷的到處破壞。

　　 2001后，有更多的網(wǎng)絡(luò )蠕蟲(chóng)出現。

　　 I-WORM.NAVIDAD網(wǎng)絡(luò )蠕蟲(chóng)。該病毒能引發(fā)大規模的郵件泛濫。其傳播機制不同于一般的網(wǎng)絡(luò )蠕蟲(chóng)程序（如愛(ài)蟲(chóng)、美麗公園等），該網(wǎng)絡(luò )蠕蟲(chóng)程序具有較大的迷惑性：用戶(hù)通過(guò)OUTLOOK EXPRESS 收到的是一封來(lái)自你曾經(jīng)發(fā)送過(guò)的人的回復信件，內容與您發(fā)送的完全一致，郵件的主題、郵件的正文都一樣，只是增加了一個(gè)電子郵件的附件，該附件的文件名稱(chēng)是：NAVIDAD.EXE文件，文件的大小是：32768字節。該附件就是該網(wǎng)絡(luò )蠕蟲(chóng)程序的主體文件。該郵件只是在微軟的OUTLOOK EXPRESS郵件系統下自動(dòng)傳播，它會(huì )自動(dòng)地給您的收件箱(而不是地址簿)的所有人發(fā)送一份該網(wǎng)絡(luò )蠕蟲(chóng)程序。

　　 由于病毒修改該注冊表項目的文件名稱(chēng)的錯誤，WINDOWS系統在啟動(dòng)，讀取可執行EXE文件時(shí)，會(huì )因為找不到WINSVRC.EXE文件而不能正常啟動(dòng)WINDOWS 系統。

　　 I_WORM.Blebla.B網(wǎng)絡(luò )蠕蟲(chóng)。該病毒是通過(guò)電子郵件的附件來(lái)發(fā)送的，文件的名稱(chēng)是：xromeo.exe 和xjuliet.chm，該蠕蟲(chóng)程序的名稱(chēng)由此而來(lái)。

021yin.com p.virus 新聞組。該蠕蟲(chóng)程序是以一個(gè)EMAIL附件的形式發(fā)送的，信件的主體是以HTML語(yǔ)言寫(xiě)成的，并且含有兩個(gè)附件：xromeo.exe及xjuliet.chm.收件人本身看不見(jiàn)什么郵件的內容。

　　 該蠕蟲(chóng)程序的危害性還表現在它還能修改注冊表一些項目，使得一些文件的執行，必須依賴(lài)該蠕蟲(chóng)程序生成的在WINDOWS目錄下的SYSRNJ.EXE文件,由此可見(jiàn)對于該病毒程序的清除不能簡(jiǎn)單的將蠕蟲(chóng)程序刪除掉,而必需先將注冊表中的有關(guān)該蠕蟲(chóng)的設置刪除后,才能刪除這些蠕蟲(chóng)程序。

　　 I_WORM/EMANUEL網(wǎng)絡(luò )蠕蟲(chóng)。該病毒通過(guò)MICROSOFT的OUTLOOK EXPRESS來(lái)自動(dòng)傳播給受感染計算機的地址薄里的所有人，給每人發(fā)送一封帶有該附件的郵件。該網(wǎng)絡(luò )蠕蟲(chóng)長(cháng)度16,896-22000字節，有多個(gè)變種。

　　 在用戶(hù)執行該附件后，該網(wǎng)絡(luò )蠕蟲(chóng)程序在系統狀態(tài)區域的時(shí)鐘旁邊放置一個(gè)“花”一樣的圖標，如果用戶(hù)點(diǎn)擊該“花“圖標，會(huì )出現一個(gè)消息框,大意是不要按此按鈕.如果按了該按鈕的話(huà),會(huì )出現一個(gè)以Emmanuel為標題的信息框, 當您關(guān)閉該信息框時(shí)又會(huì )出現一些別的:諸如上帝保佑您的提示信息.

　　還有一個(gè)網(wǎng)絡(luò )蠕蟲(chóng)I-Worm/Hybris的最明顯的特征是, 當您打開(kāi)帶有該網(wǎng)絡(luò )蠕蟲(chóng)程序的附件時(shí), 您的計算機的屏幕就會(huì )被一個(gè)始終位于最上方的圖象所覆蓋,該圖象是活動(dòng)的、轉動(dòng)的、黑白相見(jiàn)的螺旋狀的圓形圖形。

　　 該網(wǎng)絡(luò )蠕蟲(chóng)程序與其他常見(jiàn)的網(wǎng)絡(luò )蠕蟲(chóng)程序一樣,是通過(guò)網(wǎng)絡(luò )上的電子郵件系統OUTLOOK來(lái)傳播的, 同樣是修改WINDOWS系統下的主管電子郵件收發(fā)的文件wsock32.dll文件。它與別的網(wǎng)絡(luò )蠕蟲(chóng)程序的不同之處在于它不斷可以通過(guò)網(wǎng)絡(luò )自動(dòng)發(fā)送網(wǎng)絡(luò )蠕蟲(chóng)程序本身，而且發(fā)送的文件的名稱(chēng)是變化的。

　　該病毒是世界上第一個(gè)可自我將病毒體分解成多個(gè)大小可變化的程序塊（插件），分別潛藏計算機內的不同位置，以便躲避查毒軟件。該病毒具有將這些碎塊聚合成一個(gè)完整的病毒，再進(jìn)行傳播和破壞。早在1997年王江民先生在〈〈計算機病毒的發(fā)展趨勢與對抗手段〉〉一文中就有一段話(huà)預言會(huì )有這種病毒出現。

　　 I_WORM/HTML.Little Davinia網(wǎng)絡(luò )蠕蟲(chóng)。這是一個(gè)破壞性極大的網(wǎng)絡(luò )蠕蟲(chóng)，可以清除硬盤(pán)上的所有數據，它利用WORD2000的漏洞、EMAIL等來(lái)傳播。該網(wǎng)絡(luò )蠕蟲(chóng)程序是復合型的, 是HTML（網(wǎng)頁(yè)語(yǔ)言）形式的、VBS文件結構、帶有宏的網(wǎng)絡(luò )蠕蟲(chóng)程序。

　　 該病毒還能修改系統的注冊表，一旦修改注冊表成功，該病毒就會(huì )自動(dòng)搜索所有的本地硬盤(pán)、網(wǎng)絡(luò )盤(pán)、以及所有目錄下的文件，采用覆蓋的方式將發(fā)現的文件寫(xiě)上一些含有一些雜亂信息的文字，被損壞的文件很難修復！

　　 I_WORM.MTX網(wǎng)絡(luò )蠕蟲(chóng)病毒已大面積傳播, 超過(guò)了CIH的感染率,但破壞性沒(méi)CIH大。

　　 它是一個(gè)變形病毒, 變化無(wú)窮。該網(wǎng)絡(luò )蠕蟲(chóng)的郵件比較特殊，它沒(méi)有主題、正文，只有一個(gè)附件文件，附件的文件名是變化的。

　　 I-WORM.AnnaKournikova網(wǎng)絡(luò )蠕蟲(chóng)程序是使用了一個(gè)病毒制造機程序VBSWG制造并加密。該蠕蟲(chóng)程序發(fā)送的郵件的附件是：

　　 AnnaKournikova.jpg.vbs（俄羅斯體育選手的名稱(chēng)命名的文件名稱(chēng)），它是一個(gè)VBS程序文件。當郵件用戶(hù)不小心執行了該附件，那么該網(wǎng)絡(luò )蠕蟲(chóng)程序會(huì )給OUTLOOK地址薄里的所有人發(fā)送一份該網(wǎng)絡(luò )蠕蟲(chóng)程序，郵件的附件文件名稱(chēng)：

　　 AnnaKournikova.jpg.vbs（俄羅斯網(wǎng)球女明星的圖片文件）

　　 該網(wǎng)絡(luò )蠕蟲(chóng)程序的長(cháng)度是2853字節左右。

　　 如果機器的日期是1月26日的話(huà)，該網(wǎng)絡(luò )蠕蟲(chóng)程序會(huì )自動(dòng)將您指向一個(gè)位于荷蘭的計算機商店的網(wǎng)絡(luò )地址。

　　 該網(wǎng)絡(luò )蠕蟲(chóng)程序會(huì )給所有地址薄里的所有用戶(hù)發(fā)送網(wǎng)絡(luò )蠕蟲(chóng)程序來(lái)看，它和轟動(dòng)一時(shí)的“愛(ài)蟲(chóng)程序”有相似之處。

　　 I-Worm.Magistr網(wǎng)絡(luò )蠕蟲(chóng)惡性病毒可通過(guò)互聯(lián)網(wǎng)上電子郵件或在局域網(wǎng)內進(jìn)行傳播。可通過(guò)Outlook、Netscape Messenger等其他電子郵件軟件和新聞組在內的軟件讀取其中地址簿中的地址發(fā)送帶毒電子郵件進(jìn)行傳播。

　　 該病毒隨機在當前機上找一個(gè).EXE或.SCR文件和一些.DOC或.TXT文件作為附件發(fā)出去，如果你的機中.DOC或.TXT文件是機密文件，肯定會(huì )被發(fā)在互聯(lián)網(wǎng)上到處都是。

　　 目前，該病毒已有許許多多的變種。病毒發(fā)作時(shí)間是在病毒感染系統一個(gè)月后。病毒會(huì )改寫(xiě)本地機和局域網(wǎng)中電腦上的文件，文件內容全部被改寫(xiě)，這將導致文件不能恢復！

　　 如果在WIN9X環(huán)境下，該病毒會(huì )象CIH病毒一樣，破壞BIOS和清除硬盤(pán)上的數據，是危害性一非常大的一種病毒。

　　 該病毒采用了多變形引擎和兩組加密模塊，病毒感染文件的中部和尾部，將中部的原文件部分代碼加密后潛藏在病毒體內，病毒長(cháng)為24000-30000字節。 病毒使用了非常復雜的感染機制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件，病毒每傳染一個(gè)目標，就變化一次，具有無(wú)窮次變化，其目的是使反病毒軟件難以發(fā)現和清除。

　　 病毒在發(fā)展，網(wǎng)絡(luò )在發(fā)展，網(wǎng)絡(luò )又促進(jìn)了病毒的發(fā)展，復雜的病毒又超著(zhù)變形病

　　毒發(fā)展。

　　 五 變形病毒

　　 早先，國內外連續發(fā)現多種更高級的能變換自身代碼的“變形”病毒，其名字有:Stea lth(詭秘)病毒、Mutation Engine(變形金鋼或稱(chēng)變形病毒生產(chǎn)機)、Fear(恐怖)`Satan(惡魔)、 Tremor(地震)、 Casper(卡死脖幽靈)、One_Half/3544(幽靈)、NATAS/4744(拿他死幽靈王)、NEW DIR2病毒等。 特別是Mutation Engine，它遇到普通病毒后并能將其改造成為變形病毒。這些變形病毒具有多態(tài)性、多變性，甚至沒(méi)有一個(gè)連續的字節是相同的，從而使以往的搜索病毒方法不知去搜索什么。1992年，我們首次發(fā)現了國內第一例變形病毒，病毒名字為“Doctor”(醫生)。

　　 目前， 我國已發(fā)現了許許多多變形病毒， 其名字稱(chēng)為“Doctor” (醫生)、NewFlip(顛倒屏幕)、Casper(卡死脖幽靈)、Ghost/One_Half/3544(幽靈)、VTech、NATAS/4744(拿他死幽靈王)、1982/(福州大學(xué)HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1號變形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2臺灣2號變形王、MADE-SP、HEFEI（合肥1號，2號）、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR（馬吉思）等病毒。

　　 這些變形病毒能將自身的代碼變換成億萬(wàn)種樣貼附在被感染的文件中，其Casper(卡死脖幽靈)、Ghost/One_Half/3544(幽靈)、1982/(福州大學(xué)HXH)病毒可變代碼為數千億種，N(xiāo)ATAS/4744(拿他死幽靈王)、 HYY/3532(HYY/3532(福州1號變形王)、HEFEI變形鬼魂、CONNIE2臺灣2號變形王、MADE－SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代碼可變無(wú)窮次。這使的一些病毒掃描軟件產(chǎn)生漏查漏殺現象。其中，CONNIE2臺灣2號變形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR變形病毒變形復雜，幾乎達到了不可解除的狀態(tài)。

　　 通過(guò)以上例子來(lái)看，計算機病毒在不斷發(fā)展，手段越來(lái)越高明，結構越來(lái)越特別。目前，對出現的上萬(wàn)種引導區病毒和普通的文件型病毒以及宏病毒已有了較好的對策，但變形病毒將會(huì )是今后病毒發(fā)展主要方向之一，這應當引起我們的警惕。那么變形病毒是什么樣呢?

　　 六 變形病毒的基本類(lèi)型

　　 病毒都具有一定的基本特性，這些基本特性主要指的是病毒的傳染性、繁殖性、破壞性、惡作劇等其它表現，這是普通病毒所應具備的基本特性。

　　 過(guò)去，一些教科書(shū)里對病毒的基本定義簡(jiǎn)單的說(shuō)是“具有傳染性質(zhì)的一組代碼，可稱(chēng)為‘病毒’”。即病毒從一個(gè)文件傳染到另一個(gè)文件上，許多文件會(huì )染毒。引導區病毒從一個(gè)磁盤(pán)傳染到另一個(gè)磁盤(pán)上。

　　 而在互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò )會(huì )在互聯(lián)網(wǎng)上通過(guò)一臺機器自動(dòng)傳播到另一臺機器上，一臺機器中只有一個(gè)蠕蟲(chóng)病毒，當然，也有的蠕蟲(chóng)可以在當前機器中感染大量文件。

　　 現在應發(fā)展一下對病毒的基本定義。即對病毒的基本定義簡(jiǎn)單的說(shuō)是“具有傳播性質(zhì)的一組代碼，可稱(chēng)為‘病毒’”。

　　 病毒的這些基本特性不能用來(lái)決定病毒是屬于第幾代的。能用變化自身代碼和形狀來(lái)對抗反病毒手段的變形病毒才是下一代病毒首要的基本特征。我們通過(guò)多年的反病毒研究，對變形病毒做了以下定義:

　　 變形病毒特征主要是，病毒傳播到目標后，病毒自身代碼和結構在空間上、時(shí)間上具有不同的變化。我們以下簡(jiǎn)要劃分的變形病毒種類(lèi)分為四類(lèi)。

　　 第一類(lèi)變形病毒的特性是：具備普通病毒所具有的基本特性，然而，病毒每傳播到一個(gè)目標后，其自身代碼與前一目標中的病毒代碼幾乎沒(méi)有三個(gè)連續的字節是相同的，但這些代碼其相對空間的排列位置是不變動(dòng)的, 這里稱(chēng)為：一維變形病毒。

　　 在一維變形病毒中, 個(gè)別的病毒感染系統后，遇到檢測時(shí)能夠進(jìn)行自我加密或脫密，或自我消失。有的列目錄時(shí)能消失增加的字節數，或加載跟蹤時(shí)，病毒能破壞跟蹤或者逃之夭夭。

　　 第二類(lèi)變形病毒的特性是：除了具備一維變形病毒的特性外，并且那些變化的代碼相互間的排列距離(相對空間位置),也是變化的，這里稱(chēng)為：二維變形病毒。

　　 在二維變形病毒中， 有如前面提到的MADE-SP病毒等，能用某種不動(dòng)聲色特殊的方式或混載于正常的系統命令中去修改系統關(guān)鍵內核，并與之溶為一體，或干脆另創(chuàng )建一些新的中斷調用功能。有的感染文件的字節數不定，或與文件溶為一體。

　　 第三類(lèi)變形病毒的特性是：具備二維變形病毒的特性，并且能分裂后分別潛藏在幾處，當病毒引擎被激發(fā)后都能自我恢復成一個(gè)完整的病毒。病毒在附著(zhù)體上的空間位置是變化的，即潛藏的位置不定。比如：可能一部分藏在第一臺機器硬盤(pán)的主引導區，另外幾部分也可能潛藏在幾個(gè)文件中，也可能潛藏在覆蓋文件中，也可能潛藏在系統引導區、也可能另開(kāi)墾一塊區域潛藏...等等。而在下一臺被感染的機器內，病毒又改變了其潛藏的位置。這里稱(chēng)為：三維變形病毒。

　　 第四類(lèi)變形病毒的特性是：具備三維變形病毒的特性，并且，這些特性隨時(shí)間動(dòng)態(tài)變化。比如，在染毒的機器中，剛開(kāi)機時(shí)病毒在內存里變化為一個(gè)樣子，一段時(shí)間后又變成了另一個(gè)樣子，再次開(kāi)機后病毒在內存里又是一個(gè)不同的樣子。還有的是這樣一類(lèi)病毒，其本身就是具有傳播性質(zhì)的“病毒生產(chǎn)機”病毒，它們會(huì )在計算機內或通過(guò)網(wǎng)絡(luò )傳播時(shí)，將自己重新組合代碼生成于前一個(gè)有些代碼不同的變種新病毒，這里稱(chēng)為：四維變形病毒。

　　 四維變形病毒大部分具備網(wǎng)絡(luò )自動(dòng)傳播功能，在網(wǎng)絡(luò )的不同角落里到處隱藏。

　　 還有一些這類(lèi)高級病毒不再持有以往絕大多數病毒那種“惡作劇”的目的，它可能主要是，人類(lèi)在信息社會(huì )投入巨資研究出的、可擾亂破壞社會(huì )的信息、政治、經(jīng)濟制序等、或是主宰戰爭目的的一種“信息戰略武器”病毒。它們有可能接受機外遙控信息，也可以向外發(fā)出信息。比如在多媒體機上可通過(guò)視頻、音頻、無(wú)線(xiàn)電或互聯(lián)網(wǎng)收發(fā)信息。也可以通過(guò)計算機的輻射波，向外發(fā)出信息。也可以潛藏在聯(lián)接Internet網(wǎng)的計算機中，收集密碼和重要信息，再悄悄的隨著(zhù)主人通信時(shí)，將重要信息發(fā)出去（I-WORM/MAGISTR（馬吉思）病毒就有此功能），這些變形病毒的智能化程度相當高。

　　 以上，我們把變形病毒劃分定義為一維變形病毒、二維變形病毒、三維變形病毒、四維變形病毒。這樣，可使我們站在一定的高度上對變形病毒有一個(gè)較清楚的認識，以便今后針對其采取強而有效的措施進(jìn)行診治。

　　 以上的四類(lèi)變形病毒可以說(shuō)是病毒發(fā)展的趨向，也就是說(shuō)：病毒主要朝著(zhù)能對抗

　　反病毒手段和有目的方向發(fā)展。目前，已發(fā)展到了一維、二維、三維變形病毒。

　　 七 特絡(luò )依木馬與有害代碼

　　 互聯(lián)網(wǎng)的發(fā)展，使病毒、黑客、后門(mén)、漏洞、有害代碼等相互結合起來(lái)，對信息社會(huì )造成極大的威脅。

　　 國際上最早最有名的Backdoor.BO1.2、BO2K和國產(chǎn)的“冰河”的客戶(hù)端程序是一個(gè)可潛伏在用戶(hù)機中的后門(mén)程序，它可將用戶(hù)上網(wǎng)后的計算機大開(kāi)后門(mén)，任意進(jìn)出。可以記錄各種口令信息，獲取系統信息，限制系統功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統熱鍵及鎖定注冊表等多項功能限制；還可遠程文件操作：包括創(chuàng )建、上傳、下載、復制、修改、刪除文件或目錄、文件壓縮、快速瀏覽文件、遠程打開(kāi)文件等多項文件操作功能；還可對注冊表操作：包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫(xiě)等所有注冊表操作功能。這在當時(shí)，影響極大。

　　 國產(chǎn)類(lèi)似上述的后門(mén)程序有“冰河”一系列版本，被散發(fā)的面積很大，有相當多的用戶(hù)在不知不覺(jué)中使機器中“毒”。

　　 這是一個(gè)基于TCP/IP協(xié)議和WINDOWS操作系統的網(wǎng)絡(luò )工具，可用于監控遠程計算機和配置服務(wù)器程序。但是，其被監控端后臺監控程序在被執行時(shí)，沒(méi)有明顯的告誡警示不明用戶(hù)的安裝界面和安裝路徑及其屏幕右下角沒(méi)有最小化托盤(pán)圖標，而是悄悄的就安裝在用戶(hù)機中了，為用戶(hù)帶來(lái)潛在的危害。所以，被所有反病毒公司的反病毒軟件做為“后門(mén)有害程序”而殺掉。

　　 類(lèi)似這類(lèi)的國內外程序還有，YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。主要的特絡(luò )依木馬有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。

　　 其中OICQ.KEY、NETHISF一種可將IP地址、系統密碼等發(fā)出去的特絡(luò )依木馬，被不軌人悄聲捆綁在某OICQ在線(xiàn)聊天程序中，結果被人下載了幾十萬(wàn)多次，真不知有多少人受到傷害。

　　 還有那些直接就破壞的惡性程序，如shanghai.TCBOMB（上海TC炸彈），放在網(wǎng)上供人下載。不知情的用戶(hù)一執行后，瞬間硬盤(pán)就不能用了，數據就取不出來(lái)了，這會(huì )使受害者茹痛不生。還有HARM/DEL-C，這個(gè)程序被人用了一個(gè)響亮的名字，一執行后，C盤(pán)下的文件全被刪除了。這類(lèi)惡意程序還有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。

　　 還有那些不破壞的惡作劇，出現一幅嚇人的畫(huà)面，或死機，或屏幕抖動(dòng)等等。這類(lèi)程序有JOKE/GHOS（女鬼）、TBLUEBOMB、FLUKE、JOKEWOW等等。

　　 攻擊類(lèi)的黑客程序，它是行為人（黑客）使用的工具，一般的反病毒軟件不去查它，留給“網(wǎng)絡(luò )防火墻”來(lái)處理。

　　 網(wǎng)絡(luò )的廣泛使用和漫無(wú)邊際的交流，為破壞者提供了場(chǎng)所。一些惡性破壞程序和惡作劇等各種各樣的有害代碼被人在網(wǎng)上傳播和供人下栽，或以美麗獵奇的標題誘人上當。這些有害代碼也成了反病毒軟件的任務(wù)。

　　 目前，國內外的后門(mén)、漏洞、有害代碼等成了反病毒軟件要對付的主攻方向，已有了2000多種，僅次于7500多種宏病毒。有害代碼程序會(huì )越來(lái)越多，而查毒軟件對其沒(méi)有任何先知的智能化的查找方法，最多也只能在其行為上（破壞時(shí)）進(jìn)行“實(shí)時(shí)監測”。

　　 八 病毒的種類(lèi)與數量

　　 目前，病毒到底有多少ⅶ 各反病毒公司說(shuō)法不一。筆者于2000年12月參加了在日本東京舉行的“亞洲計算機反病毒大會(huì )”，幾乎世界各國的反病毒專(zhuān)家和著(zhù)名的反病毒廠(chǎng)家也參加了會(huì )議。大會(huì )對2000年11月以前的病毒種類(lèi)和數量作出了初步的報告。如下：

　　 DOS病毒： 40000 種

　　 WIN32病毒： 15 種

　　 WIN9x病毒： 600 種

　　 WINNT/WIN2000病毒： 200 種

　　 WORD宏病毒： 7500 種

　　 EXCEL宏病毒： 1500 種

　　 PowerPoint病毒： 100 種

　　 Script腳本病毒： 500 種

　　 Macintos蘋(píng)果機病毒： 50 種

　　 Linux病毒： 5 種

　　 手機病毒： 2 種

　　 合計: 55000 種

　　 國際上有名的病毒編寫(xiě)組織有：

　　 29A

　　 Linezero

　　 MetaPhase

　　 隨著(zhù)計算機的不斷發(fā)展，和歷史原因，以及軟件、硬件上技術(shù)的壟斷與操作系統、辦公集成系統在習慣上根深蒂固的壟斷及延續，造成了計算機所固有的脆弱性。 比如，因芯片或硬盤(pán)(或光盤(pán))或軟件在技術(shù)上的被壟斷， 壟斷部門(mén)有可能把“病毒”設計進(jìn)芯片或硬盤(pán)(或光盤(pán))或軟件的非正常區域。或在硬件、軟件中留有“后門(mén)”，非常時(shí)期時(shí)再通過(guò)某種方式將“病毒”激活, 或將“后門(mén)”打開(kāi)，施行毀滅性的打擊，真是神不知鬼不覺(jué)。

　　 比如說(shuō)：CPU等芯片，它的功能和構造比我們身上帶的BP機要強大和復雜的多，誰(shuí)能說(shuō)它里面沒(méi)有“后門(mén)”或“病毒”呢！它是否能象BP機一樣通過(guò)主板上的導線(xiàn)接收外來(lái)的無(wú)線(xiàn)信息這不是太容易了嗎ⅶ 一但接收到了外來(lái)信息，它是否會(huì )放出“病毒”或開(kāi)啟“后門(mén)”或發(fā)出破壞指令呢，或令“死機”！哪后果可想而知...

　　 我們已發(fā)現某一廣泛使用的操作系統中的一處“缺陷”！這是“缺陷”ⅶ 還是“后門(mén)”? 我們還發(fā)現某操作系統中隱藏有一處非常危險的邏輯錯誤，是“錯誤”ⅶ還是隱藏的“炸彈”ⅶ 為什么至今連續幾年的新版本都不改掉！為什么另一家相同功能的操作系統中就沒(méi)有這一“錯誤”！這一“錯誤”（后門(mén)）如果在信息戰中被利用，計算機將徹底癱瘓！這一現狀，必應引起我們的高度重視，小規模的信息化戰爭和對抗已不斷出現。比如說(shuō)，94年4月，南非的黑人領(lǐng)袖在競選總統時(shí)獲得較大優(yōu)勢，但是，最后在統計選票的關(guān)鍵時(shí)刻，出現了計算機病毒的嚴重事件，機器被病毒搞癱瘓了，迫使選票結果推遲了幾天，險些使大選結果遭到毀滅性破壞。這一事件的產(chǎn)生過(guò)程，直到現在還是個(gè)謎。中美黑客對抗和攻擊引發(fā)我們深思...。

　　 大規模的信息戰爭也將一觸即發(fā)。所以，我們必須加強反病毒手段的研究和全方位信息安全的研究。

　　 國際互聯(lián)網(wǎng)Internet的廣泛發(fā)展，雖然加速了病毒的傳播速度和廣度，但是，各國的老病毒由于其本身的局限性還不會(huì )在全球廣泛傳播。只有本地化和地域性的新型病毒隨著(zhù)國與國信息的頻繁往來(lái)交流，將上升為全球性病毒。新病毒對各國來(lái)說(shuō)都是新的，這就要看誰(shuí)具備了快速的反病毒手段，誰(shuí)具備了快速為用戶(hù)能解除病毒的條件。

　　 另外，在網(wǎng)絡(luò )上抗病毒（防火墻）和對網(wǎng)絡(luò )性能要求成反比，所以，總會(huì )有漏網(wǎng)的病毒，目前，各國都在研究各種各樣的防火墻（防病毒是防火墻內的功能之一），但在網(wǎng)絡(luò )上還沒(méi)有完美無(wú)缺的抗病毒方法和產(chǎn)品。據實(shí)驗，最好的防病毒產(chǎn)品，對新病毒的漏網(wǎng)率為20％，那么，10個(gè)新病毒就可能有2個(gè)漏網(wǎng)，100個(gè)新病毒就可能有20個(gè)病毒漏網(wǎng)，這多可怕！而往往有時(shí)用戶(hù)的機器中也就染上了那么一兩種病毒，而就這一兩種病毒就使機器不能正常工作了，而也就在這時(shí)，這一兩種病毒使那些能殺1千種、1萬(wàn)種、5萬(wàn)種的殺毒軟件的威風(fēng)不知道哪去了。也就為了殺除這一兩種病毒，用戶(hù)到處尋求有效的反病毒解決方案！