回首二十年 中国计算机病毒发展史

黄昏插曲

提到中国的病毒的发展，就不能不提以下的这一段插曲。

1997年，有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点，专门讨论反病毒技术，评比国内的反病毒软件和提供它们的的解密程序。这年有一种不甚起眼，但是不能不提的888病毒，这是一个系统病毒，实际上并不流行， 只是因为某一软件公司的大肆宣扬，才使之在业界广为人知。虽然业界盛传某公司利用制毒、放毒和杀毒来宣传自己，但是事实一直没有什么端倪。到了97年的下半年，“毒岛论坛”宣称KV300软件中有病毒！并且迅速在网上公布了病毒的反汇编代码（由于KV 300软件是经过加密的，因此一般人无法简单地看到这一段代码）。数天之后，出于种种考虑，数家反病毒软件公司在京召开了记者招待会，声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”，不是病毒。经过反汇编了相关的代码，发现“逻辑锁”的机理与以前宣传的888病毒完全相同！它利用了微软的 MS-DOS编程上的一个小错误，导致系统启动时进入死循环。其实早在1992年就有人在《电脑》杂志上介绍了这个问题，并把它用于加密硬盘。而IBM的PC-DOS就没有这个错误。事情最后以江民公司被认定违反了《计算机安全管理条例》，罚款3000元告终，而KV300似乎没有受到太大的影响，“毒岛论坛”还因此被查封。不过业界公司应该从中吸取经验教训，如果此事发生在国外，则违法的公司很可能被客户告得倾家荡产。

异军突起

1997年，在沉寂了一小段时间以后，病毒又找到了新的突破点，这次是微软的文书处理和电子表格软件Word和 Excel成了牺牲品。高手门利用了功能强大的宏语言，编制了各色各样的宏病毒。随后是各种各样的好奇者，简单地利用宏编辑器改造了自己的产品！现在，编写病毒程序已经不是一门“阳春白雪”的技艺，任何人只要拿一个现成的宏病毒，甚至拿微软的用户手册看一下，就可以编写出一种新病毒来！据一些反病毒软件站点报告，全世界一个星期就有近千种新病毒出现，而其中绝大部分是宏毒。在这一场宏病毒大战中，我国台湾的各路高手充分展示了自己的身手，台湾一号病毒甚至跑到了微软的正版光盘上。国人们向世界显示，我们的电脑技术是先进的！同时，一大批反病毒软件开发者为了搞清楚微软密不公开的Word文档格式而搞得焦头烂额。最后，通过不泄努力，国内各家反病毒软件公司总算又通过了这一关；不过因为没有微软的支持，误杀或者杀坏Word文件也是常有的事。反倒是此时冯志宏闲庭信步，轻而易举地就完成了Word 97以前各版本的Word文件的密码自动解除工作。

风云再起

1997年下半年，一个叫做SPY的可以攻击NE（16位Windows格式可执行文件）格式程序的病毒，曾经在南方流行一时，敲响了Windows病毒进攻的警钟。此病毒是随着盗版光盘，从港台传入的。盗版光盘再次扮演了一个可耻而可怕的角色。到了1998年的年中，Win95.CIH病毒终于攻破了Windows95平台。这个病毒创造了几个之最：CIH病毒是第一个流行的攻击PE格式32位保护模式程序的病毒；CIH病毒是第一个可以破坏计算机硬件的病毒。以前的病毒最多只能破坏软件系统，而CIH病毒不但可以直接利用IOS指令摧毁硬盘数据（这种方法导致就算你的主板具有防病毒功能，也无能为力），更通过清洗存储在FlashEPROM中的BIOS指令，导致系统主板无法工作，彻底破坏机器。CIH病毒利用VXD技术逃过了当时所有的反病毒软件的监测，并且令当时所有宣称可以防病毒的主板大失颜面。从中我们可以体会到，反病毒技术的研究是永无止境的。值得庆幸的是，这一次社会各界反映及时，各新闻媒体纷纷报道，各反病毒软件公司迅速升级自己的产品，使之可以监测和清除CIH病毒。

据网上的一封道歉信报道，CIH病毒是台湾一个叫做陈盈豪的学生编写的。通过反编译发现，这个病毒系利用SIDT指令来获取系统的核心级执行权限，进而截获系统的核心功能调用。这实际上可以说是Windows95系统（Windows98同样有这个问题）的一个漏洞。所幸的是Windows NT已经封锁了这一条指令，因此CIH病毒无法在Windows NT下兴风作浪。 经过反编译了着名的Synmatec（即生产Norton Antivirus的公司）提供的Kill_Cih程序后发现，原来Synmatec就是照搬CIH病毒的原理，实行以毒攻毒，同样利用SIDT指令来获取系统的核心级执行权限，以达到检测、杀除和预防CIH病毒的目的。 可以说，病毒和反病毒这一正一反两种技术，就是在这种互相推动中不断前进的。

群雄逐鹿

如今，计算机病毒变得更加活跃，木马、蠕虫、后门病毒等轮番攻击互联网，甚至出现了06年炒得火热的流氓软件。2000年以来，由于病毒的基本技术和原理被越来越多的人所掌握，新病毒的出现以及原有病毒的变种层出不穷，病毒的增长速度也远远超过的以往任何时期。根据最新的07年上半年病毒总结发现，紧上半年新增病毒就达11万种，其中以盗取用户信息为住的木马程序就占到了7成。

科技的进步，总是带来技术的飞跃，技术的飞跃又总是带来新的课题。计算机技术被迅速掌握的同时，出现了大批以病毒盈利的程序开发者。有专家总结到，病毒发展到今天，开发者已经很少或不再以炫耀自己的技术为主要目的，跟多的是把矛头对准了网络用户的信息，网络犯罪事件大大增加。幸好，如今国内外各大厂商已经十分重视网络安全问题，纷纷出台了不同的安全防范措施。科技的进步必将促进计算机病毒与反病毒技术的快速发展。