5.2 恶意代码的发展历史
1981—1982年,计算机病毒第一次出现并被报道:至少有三个独立的病毒,其中包括在AppleⅡ计算机系统的游戏中被发现的Elk Cloner,尽管“病毒”(Virus)这个词在当时还没有用于描述这种恶意代码。
1983年11月3日,弗雷德·科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序并将计算机病毒定义为“可以通过修改其他程序,使其包含该程序可能演化的版本的程序”。这种破坏性程序被伦·艾德勒曼(Len Adleman)命名为计算机病毒(Computer Viruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在VAX 11/750计算机系统上成功运行该程序。有史以来第一个恶意代码就这样实验成功,这是人们第一次真正意识到计算机病毒的存在。
1986年年初,巴锡特(Basit)和阿姆杰德(Amjad)两兄弟编写了Pakistan病毒,即Brain。Brain是第一个感染PC的恶意代码。
1990年,第一个多态的计算机病毒出现:为了避开反病毒系统,在每次运行时这些病毒都会变换自己的表现形式,从而揭开了多态病毒代码的序幕,今天人们仍在研究开发这种病毒。
1991年在“海湾战争”中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗前成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至最后胜利。
1995年首次发现宏(Macro)病毒:这个病毒让人们特别厌恶和紧张,它使用Microsoft Word的宏语言编写实现,用于感染文档文件,并且波及其他程序的其他宏语言。
1996年首次出现针对微软公司Office的宏病毒。宏病毒的出现使病毒的编写不再局限于晦涩难懂的汇编语言,由于编写简单,越来越多的恶意代码出现了。
1997年被公认为信息安全界的“宏病毒年”。宏病毒主要感染Word、Excel等文件。如Word宏病毒,早期是用一种专门的Basic语言,即Word Basic所编写的程序,后来使用Visual Basic编写。与其他计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的宏病毒有Taiwan NO.1(台湾一号)、Setmd、Consept、Mdma等。
1998年,第一个Java病毒StrangeBrew出现,该病毒可以感染其他Java程序。
2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。其中美国和韩国这两个互联网发达的国家受害最严重。韩国70%的网络服务器处于瘫痪状态,与网络连接的成功率低于10%,并且整个网络速度极慢。美国不仅公众网络受到了破坏性攻击,甚至连银行网络系统也遭到了破坏,全国1.3万台自动取款机处于瘫痪状态。
2004年是蠕虫病毒泛滥的一年,根据中国计算机病毒应急中心的调查显示,2004年十大流行恶意代码都是蠕虫病毒,它们包括网络天空(Worm.Netsky)、高波(Worm.Agobot)、爱情后门(Worm.Lovgate)、震荡波(Worm.Sasser)、诺维格(Worm.Novarg)、冲击波(Worm.BIaster)、恶鹰(Worm.BbeagIe)、小邮差(Worm.Mimail)、求职信(Worm.KIez)、大无极(Worm.SoBig)。
2005年是特洛伊木马病毒流行的一年。在经历了操作系统漏洞升级、杀毒软件技术改进后,对蠕虫病毒的防范效果已经大大提高,真正有破坏作用的蠕虫病毒已经销声匿迹。然而,病毒制作者(Vxer)永远不甘寂寞,他们又开辟了新的高地——特洛伊木马病毒。2005年的木马病毒既包括安全领域耳熟能详的经典木马病毒(如BO2K、冰河、灰鸽子等),也包括很多新鲜的木马病毒,简单举例如下。
(1)闪盘窃密者(Trojan.Udisk Thief):该木马病毒会判断计算机上移动设备的类型,自动把U盘里所有的资料都复制到计算机C盘的“test”文件夹下,这样可能造成某些公用计算机用户的资料丢失。
(2)证券大盗(Trojan/PSW.Soufan):该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,使得被盗号的股民账户存在被人恶意操纵的可能。
(3)外挂陷阱(Trojan.Lineage.hp):该木马病毒可以盗取多个网络游戏的用户信息,如果用户通过登录某个网站,下载安装所需外挂程序后,便会发现外挂程序实际上是经过伪装的恶意代码,这时恶意代码便会自动安装到用户计算机中。
(4)我的照片(Trojan.PSW.MyPhoto):该木马病毒试图窃取热血江湖、传奇、天堂2、工商银行、中国农业银行等数十种网络游戏及网络银行的账号和密码。该木马病毒发作时,会显示一张照片,使用户对其放松警惕。
2007年年初,熊猫烧香病毒爆发:熊猫烧香其实是一种蠕虫病毒的变种,而且是经过多次变种而来的,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”。这是中国警方破获的首例计算机病毒大案。
2010年,震网病毒(英文名为Stuxnet)席卷全球工业界,这种病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的蠕虫病毒,如核电站、水坝、国家电网。
计算机恶意代码给政府和个人带来了巨大的损失,表5.1将一部分恶意代码造成的影响展示出来,简单说明一些重大的恶意代码带来的危害程度(其中较难确定数量或数额的用“—”代替)。
表5.1 部分恶意代码造成危害程度表
续表
以上所述的都是计算机端的恶意代码发展史。而在近些年来兴起的移动智能终端上,也发展出很多类型的恶意代码,以下列举Android移动智能终端的恶意代码发展历史,如图5.1所示。
图5.1 Android移动智能终端的恶意代码发展史