精华区文章阅读

发信人: Kernel (有点累，无路可退.), 信区: Virus
标题: 电脑病毒编年史
发信站: BBS 哈工大紫丁香站 (Wed Jul 14 17:04:18 2004)

声明：为安全起见，已隐去编著者。
-------------------------------------------------
电脑病毒编年史

谁打开了潘多拉的魔盒

显然，在巴贝奇的差分机上不存在任何病毒，早期基于电子管的电子计算机，比如说埃利
亚特，也不可能有电脑病毒存在。但是Univac 1108，一个很古老的公司，一种很古老的机
器，以及IBM360/370机器上，已经有一些可以看成是病毒的程序存在，比如“流浪的野兽
”（Pervading Animal）和 “圣诞树”（Christmas tree），因此，可以认为最早的病
毒出现在七十年代初甚至六十年代末，虽然那时候没有任何人称这些程序为病毒。

一般意义上的病毒(可以运行在IBM PC机及其兼容机上)一般认为是在1986年左右出现的。
从那以后的十五年时间里，出现了大概6万余种病毒，病毒的数量不断增大，和病毒制作的
技术也逐步提高，从某种意义上，病毒是所有软件中最先利用操作系统底层功能，以及最
先采用了复杂的加密和反跟踪技术的软件之一，病毒技术发展的历史，就是软件技术发展
的历史。

下面我们将尽可能详细的描述病毒发展历史上的重要事件，以及这些事件的背景。

萌芽时期，磁芯大战

五十年代末六十年代初，在著名的美国电话电报公司（AT&T）下设的贝尔实验室里，三个
年轻的程序员：道格拉斯、维索斯基和罗伯特•莫里斯，在工作之余编制了一个叫“
磁芯大战” (core war)的游戏。“磁芯大战”基本的玩法就是想办法通过复制自身来摆脱
对方的控制并取得最终的胜利，这可谓病毒的第一个雏形。虽然由于这种自我复制是在一
个特定的受控环境下进行的，所以不能认为是真正意义上的病毒，但是这些软件的基本行
为和后来的电脑病毒已经非常类似了。

六十年代晚期到七十年代早期：

这个时候是大型电脑的时代，就是那种占据了几个房间的大家伙。在大型电脑时代，由于
开发人员的错误或者是出于恶作剧的目的，一些程序员制作了被称为“兔子”的程序，他
们在系统中分裂出替身，占用系统资源，影响正常的工作，但是这些“兔子”很少在系统
之间相互拷贝。

这个时期，在一种型号的大型电脑—Univax 1108系统上，首次出现了和现代病毒本质上是
一样的东西，一个叫做“流浪的野兽”（Pervading Animal）的程序可以将自己附着到其
它程序的最后！

七十年代上半叶：

“爬行者”病毒，出现在一种叫做泰尼克斯（Tenex）的操作系统上，这个病毒可以通过网
络进行传播（又一个伟大的进步，当然不是现在意义上的因特网，那个时代的网络就是一
对一的，通过调制解调器—就是你上网用的“猫”，将一台电脑和另外一台相连接）。一
种叫做“清除者”（Reeper）的程序也被开发出来专门对付“爬行者”，这可能就是病毒
和反病毒的第一次战争。

八十年代早期

电脑已经在国外变得非常普遍了，出现了最早的独立程序员，他们在为公司工作的同时，
出于兴趣的原因，写了很多游戏或者其他的小程序，这些程序可以通过电子公告板（BBS）
自由的流传，窃取帐号和密码成了所有爱好者所梦寐以求的事情，也是体现他们在这个社
区独特价值的最好机会，所以在这一时期诞生了无数的特洛伊木马（Trojan horses），他
们尽力将自己伪装得和真正的登录程序和提示程序一模一样，这样就可以骗取不明真相用
户的密码了。

BBS电子公告板：BBS（Bulletin Board Service）是Internet上的一种电于信息服务系统
。它提供一块公共电子白板，每个用户都可以在上面书写，可发布信息或提出看法。大部
分BBS由教育机构，研究机构或商业机构管理。象日常生活中的黑板报一样，电子公告牌按
不同的主题、分主题分成很多个布告栏，布告栏设立的依据是大多数BBS使用者的要求和喜
好，使用者可以阅读他人关于某个主题的最新看法（几秒钟前别人刚发布过的观点），也
可以将自己的想法毫无保留地贴到公告栏中。同样地，别人对你的观点的回应也是很快的
（有时候几秒钟后就可以看到别人对你的观点的看法）。如果需要私下的交流，也可以将
想说的话直接发到某个人的电子信箱中。如果想与正在使用的某个人聊天，可以启动聊天
程序加人闲谈者的行列，虽然谈话的双方素不相识，却可以亲近地交谈。在BBS里，人们之
间的交流打破了空间、时间的限制。在与别人进行交往时，无须考虑自身的年龄、学历、
知识、社会地位、财富、外貌、健康状况，而这些条件往往是人们在其他交流形式中无可
回避的。同样地，也无从知道交谈的对方的真实社会身份。这样，参与BBS的人可以处于一
个平等的位置与其他人进行任何问题的探讨。这对于现有的所有其他交流方式来说是不可
能的。

BBS连入方便，可以通过Internet登录，也可以通过电话网拨号登录。BBS站往往是由一些
有志于此道的爱好看建立，对所有人都免费开放。而且，由于BBS的参与人众多，因此各方
面的话题都不乏热心者。可以说，在BBS上可以找到任何你感兴趣的话题。在Internet没有
广泛流行的时期，BBS基本上就是电脑网络的全部，人们利用BBS交流信息，发布程序，当
然也包括传播病毒和木马程序。

1981年

在苹果机上，诞生了最早的引导区病毒——“埃尔科克隆者”（Elk Cloner）这个病毒将
自己附着在磁盘的引导扇区上。这个病毒有很强的表现欲望，再发作的时候，她会尽力引
起你的注意，关掉显示器、让显示的文本闪烁或者显示一大堆乱七八糟的信息。

1986

最早运行在IBM PC兼容机上的病毒“大脑”（Brain）开始流行。这是一种感染360K软盘的
病毒（不是我们现在使用的软盘，是很古老的5.25英寸的大盘，而且容量只有360K，现在
在一些老型号的机器上还可以见到），由于所有的人对于电脑病毒都没有任何心理准备，
所以这种病毒在制造出来之后，立刻在世界范围内迅速传播。巴基斯坦的两兄弟：巴斯特
(Basit)和埃姆佳德(Amjad Farooq Alvi)制造了这个病毒，他们在病毒中留下一条信息，
其中有他们的名字、地址甚至还有电话号码（我想现在不会有人这么干了，因为警察会在
第二天就造访你留下的地址！）。

根据作者的说法，他们是软件开发商，制作这个病毒的目的是为了检验一下盗版问题在巴
基斯坦的严重程度，也就是说，如果你使用了他们开发未经授权的软件，其中可能就包括
了这个病毒，考察这个病毒的流行程度就知道盗版问题的严重程度了。遗憾的是病毒的蔓
延远远超过了制造者的预计，这一病毒成为世界性的问题，也宣告了一个拥有病毒和反病
毒软件的电脑时代的到来。 “大脑”病毒还首次使用了巧妙的手段来伪装自己，如果你想
要查看被病毒感染的地方，她会提供一个完好无损的东西给你。

同样在1986年，一个名叫莱夫•伯格（Ralph Burger）的程序员发现可以写出这样的
程序：将自己复制之后然后加在一个DOS可执行程序的后面，在1986年12月，他首次发布了
使用这一原理的病毒“VirDem”——“病毒魔鬼”？这可以认为是DOS文件型病毒的起源。

在中国，这一年公安部成立了计算机病毒研究小组，并派出专业技术人员到中科院计算所
和美国、欧洲进修、学习计算机安全技术。

1987

这是电脑病毒技术飞速发展的一年，特别是DOS环境下的文件型病毒，在这一年得到了长足
的进步。

“维也纳”（Vienna）病毒出现，这个病毒不是莱夫•伯格编写的，但是他得到这个
病毒之后，对它进行了分析，并在他出的书《计算机病毒：高技术的瘟疫》中公布了分析
的结果。这本书使得病毒制造的技术变得大众化了，书中详细的阐述了如何制造病毒，以
及一些病毒构造的思路，在书出版以后，成百上千的病毒被这本书的读者们制造出来。

在这一年中，更多的IBM PC兼容机上的病毒出现了，这里面比较著名的有：“里海”（Le
high），仅仅感染COMMAND.COM；“西瑞夫一号”（Suriv-1），又叫做”四月一号”感染
所有的COM文件，“西瑞夫二号”（ Suriv-2）：感染EXE文件，值得一提的是，这是首个
感染EXE文件的病毒，还有“西瑞夫三号”（Suriv-3），首次既感染COM文件又感染EXE文
件。还有一些引导型病毒，比如出现在美国的“耶鲁”（Yale）病毒，新西兰的“石头”
（Stoned）病毒和意大利的“乒乓”（PingPong）病毒。

另外，首次能够自我加密解密的病毒“小瀑布”（Cascade）也在这一年出现了。

这一年中，同样有一些非IBM PC兼容机上的病毒出现，比如在苹果机和土星机上的病毒。

1987年12月份，第一个网络病毒“圣诞树”（Christmas Tree）开始流行，这是一个使用
REXX语言编写的病毒，在VM/CMS操作系统下传播。12月9号，“圣诞树”首次在西柏林大学
的内部网络出现，然后通过网关（连接网络和网络之间的一种装置）进入欧洲学术研究网
络，随后采用同样的方式进入IBM公司的内部网络。四天以后，由于不受节制的自我复制，
整个网络充满了这个病毒的拷贝，从而造成了系统瘫痪。“圣诞树”病毒在运行之后，在
屏幕上显示一个圣诞树的图象，然后把自己拷贝到当前所有的网络用户的机器上。

REXX语言，一种脚本语言，类似于DOS环境下的批处理程序。在IBM的操作系统中得到广泛
的使用，是IBM版本的Unix—AIX环境下一种重要的开发工具。

1988

1988年，13号星期五，一些国家的公司和大学遭到了“耶鲁撒冷”（Jerusalem）病毒的拜
访。在这一天，病毒摧毁了电脑上所有想要执行的文件。从某种意义上，“耶路撒冷”病
毒首次通过自己的破坏引起了人们对电脑病毒的关注。从欧洲到美洲以及中东都有“耶路
撒冷”病毒的报告，该病毒因攻击了耶路撒冷大学而得名。

在1988年，“耶路撒冷”、“小瀑布”、“ 石头”和“维也纳”病毒在人们没有注意的情
况下感染了大量的电脑，这是因为当时反病毒软件远没有今天这么普遍，即使是电脑专家
，也有很多人根本不相信电脑病毒的存在。皮特.诺顿，著名的诺顿工具软件的开发者，就
宣称电脑病毒是不存在的，象纽约下水道的鳄鱼一样荒谬（不过具有讽刺意味的是，诺顿
的公司仍然在数年以后推出了自己的杀毒软件）。

同时，利用人们对电脑病毒的恐惧，大量有关电脑病毒的笑话和恶作剧开始流行。最早一
个恶作剧应该是麦克.罗齐埃里（Mike RoChenle）完成的，他在BBS上发布了一系列消息，
描述了一种病毒可以在以2400波特率连线的时候，从一台机器复制到另外一台机器上。这
个玩笑使得大量BBS用户放弃比较快的2400波特率，而使用1200波特率连接到BBS上。

波特率：上网速度的一种单位，每秒钟可以传送的数据的位数。波特率为2400表示每秒钟
可以传送2400位，我们常用的文件大小的单位是字节，一个字节是8位，这样把波特率除以
8就得到每秒传送的字节数，波特率为2400意味着每秒钟可以传送300个字节。现在一般通
过猫上网的速度是56k，也就是波特率为56，000，除以8，我们就可以知道每秒钟传送的字
节是7000字节，大概每秒钟7k左右，这是理想的速度，一般实际的传送速度会稍低于这个
值，大概在每秒5－6k左右。

1988年11月：在这个月里，发生了一起重大的事件，“莫里斯的蠕虫”（Morris ‘s Wor
m），第一个因特网的病毒出现，该病毒在美国感染了超过6000台电脑（包括美国国家航空
和航天局研究院的电脑），并使他们部分瘫痪，由于网络瘫痪造成的损失，预计超过9千6
百万美元。“莫里斯的蠕虫”利用了VAX和SUN公司开发的Unix系统上的漏洞，使自己可以
繁殖和传播（关于莫里斯是有意利用了这一漏洞还是还是程序本身的错误还存在争议，但
是我倾向于认为是程序员有意的行为，这种自我繁殖带给制造者的满足感可能是这个病毒
的作者最根本的动机了）。这一病毒同时还进行密码偷窃和权限修改等工作，可以认为这
是最早木马类病毒的一次尝试。

1988年12月：在DEC.Net上也出现了蠕虫病毒，这个病毒的名字叫“嗨.来吧”（HI.COM）
，病毒在屏幕上输出一个云杉的图像，并告诉用户他们“不要继续工作了，回家享受好时
光吧！”。同样在这个时候，反病毒软件已经开始成熟了，所罗门公司的反病毒工具（Do
ctors Solomon's Anti-virus Toolkit）成为当时最强大的反病毒软件。

1989年

新病毒“数据罪犯”（Datacrime）、“弗曼楚”（FuManchu）出现，病毒家族也开始出现
，比如说“杨基”（Yankee）病毒，这个病毒在荷兰和英国造成了极大的恐慌，因为从10
月13号到12月31号，它会格式化硬盘，摧毁所有的数据。

1989年9月，IBM进入反病毒软件市场，推出了IBM反病毒软件。

1989年10月，DECNet上出现新的蠕虫病毒，“手淫蠕虫”(WANK WORM)。

1989年12月：叫做“艾滋病”(AIDS)的特洛伊木马出现，大约2万张上面写着“艾滋病信息
磁盘版本2.0”的磁盘被发放，启动90次以后，这个木马程序会加密磁盘上的所有文件名，
设置属性为不可见，除了还有一个文件是可读的，其中包含了一张189美元的帐单，以及邮
寄的的地址：巴拿马邮政信箱7＃。当然，这一拙劣的敲诈行为使作者很快被起诉并送进了
监狱。

1989年，大量的病毒流进俄罗斯，在这种情况下，俄罗斯的一些程序员开始开发自己的杀
毒软件，著名的AVP软件（反病毒工具）在这一年首次发布。

1989年，引导型病毒“小球”和“石头”通过香港和美国进入中国内地，并在很少的一些
大型企业和研究机构之间开始流行。有报道的大陆第一起病毒报告来自西南铝加工厂，是
“小球”病毒的感染报告。

1989年7月，公安部计算机管理监察局监察处病毒研究小组推出了中国最早的杀毒软件 Ki
ll版本6.0，这一版本可以检测和清除当时在国内出现的六种病毒。KILL软件在随后的很长
一段时间内一直由公安部免费发放。

1990

这一年发生了一些重要的事情，首先是第一个多态病毒“变色龙”(Chameleon)出现（又叫
做“V2P1”、“V2P2”和“V2P6”），在此之前，杀毒软件都是使用“带掩码的特征比较
法”，将病毒的片段和一些预先采样的数据片段进行比较来判断一个文件是不是被病毒感
染，当“变色龙”出现以后，杀毒软件不得不寻找新的方法来检测和发现病毒。其次是“
病毒制造工厂”(virus production factory)的出现，保加利亚的程序员开发了这样一个
可以用于开发病毒的工具软件，使得不计其数的新病毒在保加利亚被制造出来，包括了“
马铃薯”(Murphy)、“野兽”(Beast)以及修改过的“埃迪”(Eddie)病毒。有一个叫做“
黑暗复仇者”(Dark Avenger)的家伙或者组织在这一年特别活跃，制造了很多病毒，它制
造的病毒使用了一些新的算法进行感染，并且在系统中隐藏自己的行踪。

这一年同样是在保加利亚，第一个专门为病毒制造者而开的电子公告板建立了，这个电子
公告板的主要任务就是进行病毒信息交流和病毒的交换。

在1990年7月，英国的一个电脑杂志：“今日个人电脑”(PC Today)所附赠的软磁盘被名叫
“磁盘杀手”(DiskKiller)的病毒感染，这份杂志售出了超过50，000份。

电脑病毒技术本身在这一年也得到了长足的发展，在1990年下半年，两个著名的病毒“费
雷多”(Frodo)和“鲸”(Whale)出现，它们使用了一些非常复杂的方法来隐藏自己的存在
，特别是大小为9K字节的“鲸”，使用了多级加密解密和反跟踪技术来隐藏自己。

1990年，中国，深圳华星公司推出基于硬件的反病毒系统——华星防病毒卡，迎合了当时
人们对有形的卡的盲目崇拜，认为磁盘上的东西不值钱、不可靠，只有插在电脑里面的东
西才值得花钱购买，取得不错的销售业绩。

1991

电脑病毒的数量持续上升，在这一年已经增加到几百种，杀毒软件这一行业也日益活跃，
两个重要的工具软件开发商：“赛门铁克”（Symantec）和“中心点”（Central Point）
公司推出了自己的杀毒软件。实际上，这两家公司都是收购了早期很小的杀毒软件公司之
后，将小公司的人员和产品一锅端，然后打上自己的品牌，从而进入这个市场的，这也是
大公司进入新市场的一条主要途径。“赛门铁克”公司以“诺顿”工具软件，最重要的是
“诺顿磁盘医生”（Norton Disk Doctor）而知名，“中心点”公司以产品“个人电脑工
具集”（PCTools）而知名。

4月份，一次大规模的病毒事件爆发，这次的主角是一个能够同时感染文件和引导区的复合
病毒“蒸馏酒”（Tequila），同年9月，采用了同样的原理，一个名叫“变形虫”（Amoe
ba）的病毒开始流行。

1991年夏天，“目录二代”（DIRII）病毒开始流行，和其他一些病毒不一样的是，“目录
二代”病毒不存在于某个文件或者引导扇区中，他把自己分成小块，然后放在磁盘上的多
个扇区中，运行的时候再进行组装和执行。

1991年11月：中国瑞星公司成立，并推出瑞星防病毒卡。

1992

在这一年，非IBM PC兼容机或者非DOS兼容的病毒基本上被遗忘了，网络上的漏洞得到了修
补，错误被改正，大量的蠕虫病毒不再能够快速的复制和传播。运行在微软DOS操作系统下
的文件型、引导型以及文件／引导复合型病毒，随着DOS的广泛流行，变成电脑病毒故事里
面的主角。电脑病毒的数量以几何级数增长，几乎每天都会发生新的病毒感染事件，人们
开发出各种各样的杀毒软件，大量书籍和杂志中出现关于电脑病毒的内容。

1992年早期，第一个多台病毒生成器“MtE”开发出来，病毒爱好者利用这个生成器生成了
很多新的多态病毒，“Mte”也是随后很多多态病毒生成器的原型系统。

原型系统：计算机科学中常见的一个术语，一般指首先实现了某种功能或者验证了某种概
念的系统，原型系统一般比较简陋，功能比较单一而且不很完善，但是原型系统往往开创
了一系列新的、完善系统的先例。

1992年3月：“米开朗基罗”（Michelangelo）病毒和随之而来由反病毒软件厂商造成的歇
斯底里是这个月的标志。从某种意义上，这是第一个对病毒进行炒作并且获得成功的案例
，反病毒软件厂商学会夸大病毒造成的威胁，不去实际告诉用户如何保护自己的数据，而
是想方设法让他们把目光集中到自己的产品上，这一切的原因只有一个——利润。一家美
国公司声称3月6号，超过5百万台电脑上的数据将会被破坏，而实际上真正遭遇“米开朗基
罗”病毒的电脑只有大概10，000台。成功的炒作得到的效果就是很多家反病毒厂商的利润
都增长了好几倍。

1992年7月：第一个病毒构造工具集（virus construction sets），“病毒创建库”（Vi
rus Create Library）开发成功，这是一个非常著名的病毒制造工具，实际上，直到1999
年，国内还有一些个人和组织利用这一工具制造病毒。这个工具的成功同时还刺激了新的
、更加强大和完善的病毒制造工具不断的被开发出来。

1992年晚期：第一个视窗病毒开发成功，实际上，大量DOS环境下的病毒在视窗环境下仍然
能够成功的运行，称这个病毒是第一个视窗病毒是因为该病毒首次对视窗操作系统独特的
可执行文件格式进行感染，这个病毒的出现宣告了病毒发展历史上新的一页的到来。

这一年，“目录2”病毒开始大规模进入中国，

中国，南京信源自动化技术有限公司成立，推出DOS环境下的内存驻留反病毒软件“硬盘卫
士”（HD GUARD）和DOS杀毒软件VRV（Virus RemoVer）。

1993

在这一年里，病毒制造者除了制造大量普通的病毒、使用多态生成器／病毒构造机构造一
系列的病毒以外，他们开始进行更加严重的破坏活动，使用一些新的方法感染文件并且将
病毒注入系统。这一年中比较典型的病毒有：

“保护模式是简单的”（PMBS），工作在英特尔80386芯片保护模式下的病毒。

"陌生"（Strange），一个自我隐藏技术的杰作，通过对硬件中断0Dh和76H的模拟实现隐
藏自身。

“影子卫士”（Shadowgard）和“红宝石”（Carbuncle）极大地拓展了共生病毒的概念。
（共生病毒，一种病毒如果可以表现为不同的形态则称为共生病毒，例如同时感染引导区
和文件，或者同时感染Office 文档和普通的可执行文件）

“埃米”（Emmie）、“梅提里卡”（Metallica）、“炸弹人”（Bomber）、“乌拉圭”
（Uruguay）和“咬嚼者”（Cruncher）病毒相继出现，它们使用了一些非常新颖的技术进
行感染，这样，杀毒软件很难在被感染文件中找到病毒代码。

1993年春天，微软发行了自己的反病毒软件——微软反病毒软件（MSAV），这是微软购买
了“中心点”公司的CPAV之后发布的微软版CPAV。但这是一次不成功的尝试，微软很快就
认识到作为一个通用软件厂商，如此深入的进入一个非常专业的领域是非常不明智的，比
尔.盖茨很快就放弃了这一产品。

1993年6月，中国，公安部正式决定将KILL的所有有形和无形资产、开发人员移交公安部所
属的中国金辰安全技术实业公司进行商品化销售。此时，KILL的版本号为V68，产品形式分
为5寸磁盘和3寸磁盘两种。

在这一年，瑞星的防病毒卡占据了80%以上的反病毒市场，达到了防病毒卡销售的顶峰。

1994

病毒通过光盘进行传播在这一年变得非常普遍，在随后的几年，直到因特网的广泛使用之
前，光盘迅速成为最主要的病毒传播渠道。大量的光盘在制造的时候，由于使用的母盘中
包括了病毒，所以压制出来的光盘也包括了病毒，由于光盘中的内容是不能被改写的，所
以这些病毒无法清除，唯一的解决方法只能是将这些感染了病毒的光盘销毁。

在1994年早期，英国发现了两种极其复杂的多态病毒：“SMEG.病原体”和“SMEG.Queeg”
（直到今天，仍然有大量的反病毒软件不能完全检测他们的所有变体！），由于病毒的作
者将感染的文件放到了电子公告板上，所以这两种病毒在公众媒体造成了很大的恐慌。

另外一次恐慌是一个并不存在的病毒“好时光”（GoodTimes）造成的（注意不是我们在后
面将要描述的“欢乐时光”），谣传说这种病毒可以通过电子邮件进行传染。这种不存在
病毒的恐慌和欺骗后来称之为“好时光欺骗”。稍后在DOS下面真的出现了很普通的一个病
毒里面包括了文本信息“好时光”，但是一般认为这个DOS病毒是响应“好时光欺骗”专门
制造出来的，和那种谣传接收电子邮件就会被感染的病毒没有任何关系。

电脑病毒所引发的法律问题也变得非常普遍，各国都开始尝试将病毒制造者定罪。1994年
夏天，“SMEG”病毒的作者被捕，差不多同时，英国也逮捕了一个病毒制造者团伙，这个
团伙自称为“真正残酷的病毒协会”，在挪威也有一些病毒的作者被捕。这些病毒的作者
之所以被捕其实很简单，他们继承了早期病毒制造者的好传统，在病毒中包括了自己的联
系信息，或者在通过电子公告板首次发布的时候，很得意的宣布了作者的详细创意和联系
方法，因此警方可以很方便的找到他们，在后来的病毒制作和发布中，病毒制造者就谨慎
了许多，警方很难轻易的找到一个病毒的真正作者。

本年度也有一些值得一提的病毒：

1994年1月：“移动者”（Shifter）病毒，首次感染对象模块文件(OBJ文件)，“幻影1”
（Phantom1），第一个首次在莫斯科流行的多态病毒。

对象模块文件：和高级语言开发工具密切相关，当在DOS环境或者视窗环境下开发程序的时
候，C或者其他语言的编译器会生成多个OBJ中间文件，然后将所有的这些OBJ中间文件组合
成一个可执行的文件。

1994年3月：“源代码病毒”（SrcVir）：首次感染C语言和帕斯卡（PASCAL）语言源代码
的病毒.

1994年6月：“一半”（OneHalf）病毒出现，在俄罗斯和中国最流行的病毒之一。

1994年9月：“3APA3A”，一种新的引导型病毒出现，使用了一种非常特殊的方法进入DOS
操作系统并进行感染，当时所有的杀毒软件对于这种新病毒都无能为力。

1994年春天，最早的杀毒软件厂商的领导者之一，“中心点”公司结束了自己的运做，被
“赛门铁克”公司收购，“赛门铁克”公司在这段时间内收购了大量的杀毒软件厂商，包
括“皮特.诺顿计算”（Peter Norton Computing）、“第五代系统”（ Fifth Generati
on Systems）等公司。

1994年2月，国务院发布了《中华人民共和国计算机信息系统安全保护条例》将计算机信息
系统安全（包括防病毒软件）划归公安部管理。

1994年7月，王江民推出了“超级巡警”——KV100杀毒软件，并首次提出了广谱病毒码的
概念，首次在《软件报》上公布《反病毒公告》，开创了用印刷的形式让用户进行手工升
级的先河，虽然对这种升级方式的有效性仍然存在很多争论，但是KV100依靠这种方式极大
地提高了知名度，为后来KV300的成功打下了良好的基础。

1995

DOS病毒技术的发展在这一年中基本上陷于停滞，我所说的停顿是指技术本身的停顿，也就
是说没有什么新的感染或者隐藏等病毒相关技术的出现，但是病毒的数量和传播并没有停
顿，在这一年中仍然出现了很多非常复杂的病毒例如“死亡坠落”（Night Fall）、“胡
桃钳子”（Nutcracker）等，以及一些很有趣的病毒例如“两性体”（bisexual）、“RN
MS”等。这一年中，DOS批处理病毒 "视窗启动"（WinStart）和“死硬2”（DieHard2）病
毒在世界范围内广泛的流传。

1995年1月：微软的视窗95演示盘被病毒“表格”（Form）感染，微软将演示盘发送给测试
者，其中一个可能是过于勤劳的测试者对这些磁盘进行了病毒检测，结果很吃惊的发现了
病毒。这是微软第一次在发行的光盘中包含了病毒，当然这远远不是最后一次。

1995年春天：两家著名的杀毒软件公司“雷霆字节反病毒”（ThunderBYTE Anti-virus）
和“诺曼第数据防护”（Norman Data Defense）公司宣布将联合进行反病毒系统的开发。

1995年秋天：病毒和反病毒发展历史的一个转折点，第一个能够保存在WORD文件中，运行
在微软字处理软件里的病毒“概念”（Concept）病毒开始在世界范围内流行，这一病毒的
出现宣告了一种新形态的病毒的出现——宏病毒。在很长一段时间里，这一病毒在所有的
病毒感染统计中一直占据最重要的位置。

1996

1996年1月，第一个视窗95病毒出现——“博扎”（Win95.Boza）

1996年3月：第一个开始大规模流行的视窗版本3病毒，“触角”（Tentacle）病毒首次被
发现，这一病毒首次出现在法国一家医院和一些研究机构的网络中。在这一病毒出现之前
，虽然有很多的视窗病毒被制造出来，但是这些制造出来的病毒都只在病毒收集者之间、
电子公告板或者一些专门的杂志上出现，“触角”病毒实际上是第一个真正流行起来的视
窗病毒。

1996年6月：第一个真正OS/2操作系统下的病毒，“AEP”病毒出现，在此之前的OS/2病毒
只能使用病毒文件替换原来的文件，或者以伴随病毒的形式出现，这一病毒首次可以将自
己附着在OS/2可执行文件的后面，实现了病毒的真正定义——感染。

1996年7月：第一个微软电子数据表病毒“拉若克斯”（Laroux）病毒出现，这一病毒首次
发现是在两家石油公司，一家在阿拉斯加，另外一家在南非，所以我们猜想是一个石油勘
探软件的程序员制作了这个病毒。和先前的字处理程序病毒一样，这一病毒利用了在电子
数据表格软件中可以变成的某种宏语言。任何微软的电子数据表或者字处理文档中都可以
包括这种语言所编写的程序，当然也可以包括这种语言所编写的病毒。随着微软操作系统
的日益复杂，各种宏语言慢慢变成统一的BASIC语言（VBA ：专门为应用软件设计的可视化
BASIC语言），功能也变得越来越强大，使用这种语言编写的病毒功能也随之越来越强大。

BASIC语言：BASIC是初学者通用符号指令代码（Beginner's All-purpose symbolic inst
ruction Code）的缩写，是国际上广泛使用的一种计算机高级语言。BASIC简单、易学，目
前仍是计算机入门的主要学习语言之一。BASIC语言自其问世经历了以下四个阶段：第一阶
段：（1964年～70年代初）1964年BASIC语言问世。第二阶段：（1975年～80年代中）微机
上固化的BASIC，ROM BASIC，第三阶段：（80年代中～90年代初）结构化BASIC语言，以T
rue BASIC为代表，第四阶段：（1991年以来）以可视化的BASIC为代表，在因特网时代这
一古老的语言又焕发了新的青春。

1996年12月：视窗95下的第一个内存驻留病毒，“打孔机”（Punch）病毒出现，该病毒驻
留在视窗95的内存中，以一个Vxd驱动程序的形式存在，拦截所有的文件操作并进行传染，
这种原理在随后的CIH病毒中得到应用和发展并且造成了极大地破坏。由于程序设计中的明
显缺陷，“打孔机”病毒不能在正常的视窗95环境进行感染中，所以这种革命性的病毒并
没有真正流行起来。

实际上1996年是新一轮病毒进化的开始，在这一年中，随着微软新的操作系统视窗95、视
窗NT和微软办公软件（Office）的流行，病毒制造者不得不面对一个新的环境，他们在这
一年中开始使用一些新的感染和隐藏方法，制造出在新的环境下可以自我复制和传播的病
毒，随后，病毒制造者的技术水平日益提高，他们对新的操作系统环境（视窗95和视窗NT
）和应用系统环境（Office，包括字处理和电子数据表格软件等）的掌握也越来越深，他
们开始在病毒中增加多态、反跟踪等技术手段，在新的技术层次上重复了早期在DOS操作系
统环境下病毒的进化过程，和DOS环境下漫长的进化相比，在新的环境下病毒的进化过程要
快得多。

1997

1997年2月：第一个Linux环境下的病毒“上天的赐福”（Bliss）出现，Linux在此之前还
是一个没有被病毒感染过的乐土。

1997年2月到3月：随着微软办公软件从版本6升级到版本97，宏病毒也升级到版本97。最早
针对微软办公软件97的宏病毒都是直接从较早期版本转换过来的，但是病毒制造者对新技
术的跟踪速度是惊人的，他们很快就推出了专门为微软办公软件97定制的宏病毒。

1997年3月：针对微软字处理软件版本6和版本7的宏病毒“分享欢乐”（ ShareFun）病毒
出现，这种病毒的特殊之处在于除了通常的通过字处理文档传播之外，“分享欢乐”还可
以通过微软的邮件程序发送自己。

1997年4月：第一个使用文件传输协议（FTP）进行传播的蠕虫病毒，“本垒打”（ Homer
）病毒出现。

文件传输协议：（File Transfer Protocol）使用这一协议，人们可以在主机和自己家庭
的电脑之间交换文件。这是最简单的因特网应用协议之一，可以列出远程目录，对文件名
字进行拷贝、删除、改名等操作，最重要的是，可以将硬盘上的文件上传到远程的主机上
，或者将远程主机上的文件下载到自己的硬盘上。

1997年6月：视窗95环境下第一个可以自我加密／解密的病毒出现，这一病毒最先出现在莫
斯科，在一些电子公告板上公布后造成了一些慌乱。

1997年11月：“世界语”（ Esperanto）病毒出现，正如名字所表示的那样，这一病毒的
开发者想让它成为病毒世界的世界语—同时感染DOS、视窗和苹果的麦克机操作系统。幸运
的是，由于软件中存在的一些缺陷，“世界语”没有实现它的设计目标。

1997年12月：一种新的病毒形态，“mIRC蠕虫”出现，“mIRC”是视窗环境下最常见的一
种IRC客户端程序，在当时发布的mIRC版本中存在一个漏洞，利用这个漏洞，病毒可以通过
IRC的频道复制和传播自己。后来的IRC版本中堵住了这个漏洞，“mIRC蠕虫”病毒也就随
之慢慢的消失了。

IRC客户端：IRC是因特网INTERNET RELAY CHAT的缩写，意思是通过因特网中转的聊天，通
过特殊的协议(RFC1459 IRC协议)，大家连到一台或者多台IRC服务器上进行聊天。和普通
的使用浏览器进行的聊天相比，它最大的特点是速度快(正常情况下一秒钟内你就可以看到
对方的“讲话”),功能多，和类似QQ的即时聊天系统相比，IRC可以实现多对多的群体聊天
功能。

要实现IRC聊天需要IRC服务器和IRC客户端，IRC服务器在网上有很多，IRC客户端就是你在
视窗环境下实际进行聊天的程序，其中最著名的就是mIRC程序。

1997年在美国和欧洲的主要杀毒软件厂商中，发生了一些丑闻。两家非常著名的杀毒软件
厂商开始了一场口水大战，首先是McAfee公司宣布他们的专家在所罗门公司出品的杀毒软
件中发现了一个很有意思的特性：所罗门公司的病毒检测软件可以工作在两种模式下面，
正常模式和高级模式，正常模式的速度很快，但是对于某些少见的病毒可能无法检测，高
级模式的速度比较慢，但是检测的病毒数量更多，他们发现，所罗门公司的软件可以在这
两种模式之间自动切换，当软件发现自己象是在检测一个测试用的病毒库的时候，会自动
切换到高级模式，而在检测普通文件的时候会切换到正常模式，这样，杀毒软件既得到了
非常快的检测速度，也可以得到非常好的病毒检出率。

随后，所罗门公司开始反击，指责McAfee公司发布了非法的广告，其中有直接攻击所罗门
公司的内容。同时，好像是觉得不够热闹似的，McAfee和趋势公司闹上了法庭，他们争论
的焦点有关因特网和电子邮件病毒检测技术的专利；随后是赛门铁克公司，也跳出来指责
McAfee公司使用了赛门铁克公司的代码。

这一点充分证明了国外的消费者观念和国内消费者观念的巨大差别，对于国外用户来说，
在产品中没有充分实现你的承诺就是一种欺骗行为，换句话来说，在用户不知情的情况下
为了某种性能或者评测数据的考虑自动的切换工作模式是某种意义上的商业欺骗。而在国
内，我相信没有任何消费者会因为这样一种技术上的处理对杀毒软件厂商提出怀疑或者责
难。实际上，国内厂商使用的模式切换、性能增强措施，甚至某些通过提高误报率来迎合
用户希望查到病毒的心理的技术手段，远远超过了国外所谓的“欺骗”的范畴。但是至今
还没有用户或者厂商对此提出过指责。

这一年McAfee和“网络将军”公司完成了他们的合并，新成立的公司成为一家信息安全服
务和产品的提供商，新公司的名称是“网盟”（NAI）。

这一年，在中国发生了著名的毒岛论坛事件，有好事者在美国的地球村免费网站上建立了
一个叫做“毒岛论坛”的站点，专门讨论反病毒技术，评比国内的反病毒软件和提供它们
的的解密程序。1997年的下半年，“毒岛论坛”宣称KV 300软件中有病毒！并且迅速在网
上公布了病毒的反汇编代码（由于KV 300软件是经过加密的，因此一般人无法简单地看到
这一段代码）。数天之后，出于种种考虑，数家反病毒软件公司在京召开了记者招待会，
声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”，不是病毒。只有使用了盗版
软件的用户，才有可能数据被破坏。
事情最后以江民公司被认定违反了《计算机安全管理条例》，罚款3000元告终，而KV 300
似乎没有受到太大的影响，“毒岛论坛”还因此被查封。
在1994年防病毒卡的销售达到最高峰之后，瑞星1995、1996年销售业绩大幅度下降，公司
到了生死存亡的边缘，1997年开始，瑞星通过OEM和低价策略开始二次创业。

1997年，南京信源公司首次推出具有实时病毒防护功能的病毒防火墙，NetVRV软件。

1997年，出现了一家风靡一时的反病毒软件公司，华美星际，在当年推出的“病毒克星”
产品获得很大的成功（“病毒克星”实际上是OEM “VRV”之后生产的产品），但是由于运
作原因，该公司在1997年之后就销声匿迹了。

1998

病毒的数量和技术继续发展，特别是随着因特网的广泛使用，人们对于能够窃取口令和更
改权限的木马程序有了更多的兴趣。视窗环境下的病毒“CIH”和“青猴病”（Marburg）
通过一些电脑杂志附带的光盘广泛传播，这些光盘在制作的时候被病毒感染。

这一年中，一种新的病毒“HLLP.DeTroie”出现，这种病毒除了能够感染普通的视窗可执
行文件以外还能够收集被感染机器的信息并且发送到病毒的所有者手中。应该感到幸运的
是，这一病毒仅仅感染法语版的视窗操作系统，所以基本上没有在我国造成影响。

1998年一月：一种新的感染微软电子数据表的病毒“派克斯”（Paix）出现，这种感染表
格的病毒同样实现了自我复制和传播的特性。

1998年2月到3月：“青猴病”（Marburg）病毒，第一个在32位视窗环境下运行的多态病毒
被发现并且开始流行起来。这种病毒的出现给杀毒软件开发者出了一道难题，就像当初在
DOS环境下遇到多态型病毒一样，他们不得不重新设计自己的病毒扫描引擎，从而可以识别
出这种病毒和相应的变种。

1998年3月：“埃克塞斯4”（ AccessiV）病毒，第一个针对微软数据库软件的病毒出现，
这个病毒本身没有造成很大的影响，因为随着字处理和电子数据表病毒的出现，人们知道
出现这样一个病毒只是迟早的事情，所有的杀毒软件厂商对此已经有了充分的准备。

1998年3月：“十字架”（ Cross）病毒出现，这个病毒首次实现了对不同微软办公软件的
感染，数据库和字处理软件。也就是说你的字处理文档和你的数据库文件中可能同时包括
了这种病毒，在这种病毒之后，越来越多的，同时感染多种微软办公软件的病毒开始出现
。

1998年5月：“红色队伍”（ RedTeam）病毒出现，这种病毒可以感染通常的视窗可执行文
件，同时还可以通过一种电子邮件软件进行传播。

1998年6月：CIH病毒出现，CIH病毒是有史以来影响最大的病毒之一，最早出现在台湾，然
后通过美国在台湾的海外办公室传播到美国，感染了一些因特网上的游戏服务器，直接引
发了持续一年的恐慌（在中国CIH的恶梦是在下一年才真正开始的），CIH病毒所取得的巨
大影响是因为它的破坏性，在某些电脑上，CIH病毒甚至可以损坏你的硬件。

1998年8月：非常好的远程控制工具“后门”（Back Orifice）出现，在“后门”之后，还
出现了“网络公共汽车”（NetBus）、“阶段”(Phase)等类似的软件。

远程控制工具：通过网络控制某台机器的软件，包括客户端和服务器两个部分，服务器运
行在被控制的电脑上，一般在后台运作，接收远程发来的命令并执行操作，客户端运行在
网络的另外一边，控制者利用客户端发布命令。只要在一台联网的电脑上安装了远程控制
的服务器端软件，你可以在任何一台联网的电脑上使用客户端软件，实现数据收集（包括
口令和其他机密的文件），鼠标和键盘控制，击键记录等功能。由于远程控制软件的强大
功能，人们往往利用远程控制软件作为木马程序，实现对系统非法存取的目的。

1998年8月：第一个感染“爪哇”（Java）可执行文件的病毒“陌生的酿造”（Strange B
rew）问世，这一病毒没有什么实际的危害，因为“爪哇”语言在安全性上的一些预防措施
，病毒不能复制并且传播到远程的电脑上。但是“陌生的酿造”至少证明了因特网浏览器
被病毒感染的可能性。

这一年，南北信源反目为仇，先是划江而治，划分成北方市场和南方市场，然后由于市场
和经营观念的冲突以及公司内部矛盾，开始相互起诉和争斗，两家公司都因此元气大伤，
市场份额和影响急剧下降。

1998年11月：一种新的使用VB脚本语言编写的病毒“兔子”（Rabbit）诞生了，这种病毒
充分利用了VB脚本语言专门为因特网所设计的一些特性。很自然的是，随着HTML语言本身
开始具有编程能力，纯粹的HTML语言病毒“内在”也开始流行。很明显，病毒制造者将他
们的注意力集中在网络蠕虫上，他们开始充分利用视窗系统强大的脚本语言，而且这种语
言还可以和网络紧密的结合，制造大量的，可以通过网页、电子邮件传播的病毒。

在这一年中，杀毒软件厂商开始大规模的整合，1998年3月，赛门铁克和IBM宣布合并他们
的反病毒业务部门，IBM随后放弃了自己独立开发杀毒软件。所罗门和网盟很快作出了反应
，通过一桩上亿美元的交易，所罗门公司不复存在，网盟成功的收购了他的死敌所罗门公
司，这桩交易给反病毒行业带来了非常大的震动，这样两家一直打斗得你死我活的公司居
然采取这样一种方式结束了自己数年的竞争。

1998年5月：中国金辰安全技术实业公司和世界第二大软件公司美国CA公司在公安部举行签
字仪式，双方共同合资成立北京冠群金辰软件有限公司。同时宣布在北京成立产品研发中
心。1998年7月，冠群金辰公司发布KILL认证版。产品虽然名称还是叫做KILL，但基本核心
已经完全使用了CA公司的技术。

1999年：这一年，病毒制造者很好的掌握了视窗操作系统下各种新的文件格式的感染方法
，在视窗环境下隐藏自己的技术也得到了很大的进步，通过邮件进行病毒传播开始成为病
毒传播的主要途径。宏病毒在这一年仍然是最流行的病毒。

1999年3月，一个名为“梅丽莎”(Melissa)的计算机病毒席卷欧、美各国的计算机网络。
这种病毒利用邮件系统大量复制、传播，造成网络阻塞，甚至瘫痪。并且，这种病毒在传
播过程中，还会造成泄密。

1999年6月，中国最大的通用软件厂商，金山公司首次发布金山毒霸的测试版，开始尝试进
入杀毒软件市场。

1999年12月，“FunLove”病毒出现，这一病毒是一个设计非常巧妙的PE病毒，它的最大特
点是感染能力强，清除非常困难，直到今天还是在国内广泛流行的病毒之一。

2000年，随着微软视窗操作系统逐步的COM化和脚本化，脚本病毒成为这一年的主流，大量
使用脚本技术的病毒出现，脚本病毒和传统的病毒、木马程序相结合，给病毒技术带来了
一个新的发展高峰。

2000年5月：“爱虫”(LoveLetter)病毒出现。“爱虫”病毒是一种脚本病毒，它通过微软
的电子邮件系统进行传播。这一病毒的邮件主题为“I Love You”，包含一个附件“Love
-Letter-for-you.txt.vbs”，一旦在微软电子邮件中打开这个附件，系统就会自动复制并
向用户通讯簿中所有的电子邮件地址发送这一病毒，其传播速度比“梅莉沙”病毒还要快
好几倍。

2000年11月：金山毒霸正式上市，金山正式进入反病毒软件市场。

2000年12：恶作剧程序“麦当劳女鬼”在网络上大规模流行并造成影响，根据报道，中国
香港地区有职员被这个恶作剧程序惊吓致死。

前面部分摘自《一个真实的病毒世界》

▲２００１年１月２１日

一种变形的“梅丽莎”病毒侵袭麦金塔（Ｍａｃｉｎｔｏｓｈ）电脑。这种病毒能感染Ｍ
ａｃ文件，病毒产生的大量电子邮件可以堵塞服务器，修改微软Ｗｏｒｄ程序的设置，感
染文件和模板。携带这种“梅丽莎”病毒的电子邮件附件名叫“Ａｎｎｉｖ．ＤＯＣ”。
这是这种类型的病毒第一次将矛头指向了麦金塔电脑。

▲２００１年２月２日

通过映射驱动器和在线聊天系统传播的“萨利姆”（Ｗ９７Ｍ／Ｓａｌｉｍ．Ａ）病毒被
发现。“萨利姆”是一个宏病毒和通过在线聊天系统传播的蠕虫，它在传播过程中截取文
档内容。“萨利姆”蠕虫依靠文档事件处理程序来运行，当一个已感染的文档被打开时，
宏病毒就被激活，“萨利姆”病毒将尝试感染被Ｗｏｒｄ打开的所有文档。

▲２００１年２月１５日

荷兰警方１３日逮捕了一名自称发明了“库尔尼科娃”电脑病毒的２０岁男子。此人要面
临坐牢４年的处罚。通过电子邮件传播的“库尔尼科娃”病毒１２日在欧洲、美洲和亚洲
发作，大量垃圾邮件积压在电子邮件系统内，系统速度明显变慢，有的公司干脆关闭了电
子邮件系统。这名荷兰男子自称是１９岁的俄罗斯网球女星安娜·库尔尼科娃的球迷，这
个病毒的作者说，他不是编程专家，不过是从互联网上下载了病毒，然后编写程序完成的
。

▲２００１年３月６日

美国Ｓｙｍａｎｔｅｃ软件公司的反病毒研究中心指出，一种与此前出现的“库尔尼科娃
”病毒类似、代号为“裸妻”的病毒现已攻击了至少３０个相关机构和一家政府部门。这
种以电子邮件形式进行攻击的病毒所携带的主题为“ＦＷ：裸妻”，它几乎可以将计算机
内所有重要的系统文件全部删除，另外还可以通过电子邮件的形式向任何一位网络用户传
播。这种病毒有可能来自巴西，因为其源代码中的信息提到了ＡＧＦ巴西，这是巴西一家
保险公司的名字。这种病毒的电子邮件中带有一个名为“ＮａｋｅｄＷｉｆｅ．ｅｘｅ”
执行文件的附件，就像所有类似病毒一样，一旦用户打开这一附件，其电脑系统一定会遭
到病毒入侵。

▲２００１年３月２０日

名为Ｍｙ－ｂａｂｙｐｉｃ的病毒通过可爱宝宝的照片传播病毒，虽然“毒性”不强，但
发作起来也会造成电脑文件被破坏。该病毒的发作过程是，网民会收到一封主题为“Ｍｙ
ｂａｂｙｐｉｃ”的邮件，附件为“ＭｙＢａｂｙＰｉｃ．ｅｘｅ”，网民运行该程序后
，屏幕会显示一张可爱宝宝的照片和一个不明对话框，等网民关掉图片、对话框后，这种
病毒就会复制到Ｗｉｎｄｏｗｓ操作系统的Ｓｙｓｔｅｍ目录下并修改登录数据库，使用
者每次开机时这种病毒就会发作一次。

▲２００１年３月２４日

称为“ＶＢＳ．Ｌｉｎｄａ．Ａ＠ＭＭ”（琳达）的病毒，专攻人们好奇及好色的心理。
病毒以电子邮件传播，收件者会先收到一封附有ＫｅｌｌｙＩｎ－Ｗｈｉｔｅ．ｊｐｇ．
ｖｂｓ档案的邮件，意即身穿白色的Ｋｅｌｌｙ。“琳达”会搜寻微软Ｏｕｔｌｏｏｋ地
址簿上的记录，发出有毒的邮件进一步传播。

▲２００１年４月２６日

ＣＩＨ病毒在我国第三度爆发。截至２６日２０时，仅瑞星公司技术服务部就接到求助电
话１０００多个，接收并修复被损坏硬盘１００多块，均接近ＣＩＨ病毒前两次爆发时的
水平。据了解，其它反病毒企业也收到大量用户计算机被ＣＩＨ病毒损坏的信息。据这些
公司的专业人员分析，此次ＣＩＨ病毒爆发的波及面和损害程度虽然比前两度略小，但仍
造成相当大的破坏。

▲２００１年５月６日

一种新的恶性电脑病毒“欢乐时光”（Ｈａｐｐｙｔｉｍｅ／ＶＢＳＨａｐｐｙｔｉｍｅ
．Ａ．Ｗｏｒｍ）已在中国开始传播。“欢乐时光”病毒很可能是一种国产病毒，它是类
似“爱虫”的蠕虫类病毒。用户通过美国微软公司办公套件（Ｏｕｔｌｏｏｋ）收取带有
“欢乐时光”病毒的邮件时，无论用户是否打开邮件，只要鼠标指向带毒的邮件，“欢乐
时光”病毒即被激活，随后立即传染硬盘中的文件。感染“欢乐时光”病毒后，如果电脑
时钟的日期和月份之和为１３，则该病毒将逐步删除硬盘中的ＥＸＥ和Ｄｌｌ文件，最后
导致系统瘫痪。

▲２００１年５月１１日

新病毒“主页”正在全球传播，这种被称作“ＨｏｍｅＰａｇｅ”的病毒被看作是“库尔
尼科娃”病毒的“远亲”。携带这种电脑病毒的邮件题目为“主页”，邮件正文写道：“
嗨，你应该看看这个网页，它确实很酷。”邮件中夹带着一个名为“ＨＯＭＥＰＡＧＥ．
ＨＴＭＬ．ＶＢＳ”的附件。用户一旦打开附件，病毒第一步先自我复制，并向微软Ｏｕ
ｔｌｏｏｋ地址簿中的每一个地址发去一封携毒邮件。然后搜索Ｏｕｔｌｏｏｋ收件箱，
将其中名为“主页”的信件统统删除，同时打开数个色情网页。值得庆幸的是，上述病毒
没有造成太大的破坏，不到１万台电脑受此影响陷入了瘫痪。由于时差的关系，美国地区
的防病毒公司在接到来自东半球的消息后，对病毒加以防范，成功抵制了病毒进一步扩散
。

▲２００１年６月１９日

一种名为“上帝信使”（ＧｏｄＭｅｓｓａｇｅ）的病毒创作工具引起防病毒专家们的关
注。已经有两种利用该工具编写的新的病毒变种出现。这种工具使得编写病毒程序变得更
为容易。而一旦这种工具普及开来，计算机安全问题也就更加严重了。ＧｏｄＭｅｓｓａ
ｇｅ可以从黑客网站上下载，该工具允许黑客将ＡｃｔｉｖｅＸ代码置入到网页上。当Ｉ
Ｅ浏览器用户访问被病毒感染的网页时，浏览器就会自动下载一个压缩程序，驻留在用户
本地硬盘上，等待下次启动时解压缩。不过迄今为止并未收到有关ＧｏｄＭｅｓｓａｇｅ
所产生的代码造成恶性事件的报告。

▲２００１年７月２６日

新病毒偷窥先生（Ｓｉｒｃａｍ）虽刚现身不久，却已迅速窜升至全球十大病毒排行榜的
第二名，世界各地皆有感染灾情传出。Ｓｉｒｃａｍ病毒主要是利用电子邮件进行散播，
用户一旦执行电子邮件所夹带的附件，电脑即遭病毒的感染。病毒会随着通讯簿中的名单
一一寻找，并自动发送病毒邮件，由于此病毒的邮件主题与附件的名称并不固定，用户相
当难以防范，而邮件内容又有英文及西班牙文两种版本。

▲２００１年８月１日

一种恶意网页病毒“蛤蟆病毒”爆发。“蛤蟆病毒”是一种恶意网页病毒，主要感染Ｗｉ
ｎ９５／９８／２０００操作系统。用户一旦点击该网页，其嵌在网页内部的脚本程序将
自动执行，并通过修改系统注册表进行破坏。启动Ｗｉｎｄｏｗｓ系统，屏幕上就会出现
“欢迎来到万花谷！请与ｏｉｃｑ：９３３００７青蛙联系。你中了※蛤蟆奇毒※”，同
时浏览器的标题也被修改为带有“欢迎来到万花谷！请与ｏｉｃｑ：４０４０４６５联系
！”字符串的后缀。这以后每当打开一个网页都将出现此信息。接下来Ｃ盘将会丢失，开
始菜单中的“运行”、“注销”、“关闭”系统三项命令也不复存在，就连ＡＬＴ＋Ｆ４
功能键都失去了效果，直至最后无法关机；此外，ＭＳ－ＤＯＳ方式也被病毒封杀，于是
在ＤＯＳ下访问Ｃ盘更成为了妄想；最后强行关机重启机器后，还将发现注册表也受到了
保护，连手动恢复也不行。

▲２００１年８月２日

美国电脑专家表示，全球至少１０万台电脑受“红色代码”?ＣｏｄｅＲｅｄ　侵袭。美国
国防部电脑网络受到“红色代码”发作的影响，网速变慢，全球至少有８万部电脑的伺服
器遭受“红色代码”的袭击。“红虫”病毒主要攻击网络服务器，安装Ｗｉｎｄｏｗｓ２
０００和ＷｉｎｄｏｗｓＮＴ的电脑最易受感染。“红虫”于７月１９日首次爆发时，影
响超过２５万部电脑的伺服器，其中包括美国政府的电脑。

▲２００１年８月１３日

８月１１日，国内已经在北京、浙江、广州、江苏、四川等２０多个省市发现了代号红色
二代病毒，大量网络因服务器遭受攻击而瘫痪，其中包括多家部委机关的网络。不少人反
映，国内部分网站的电子邮件传输速度明显下降，有的延迟达２４小时以上。“代号红色
Ⅱ”的攻击行为是罕见的“病毒加黑客”。病毒通过网络释放出一个木马程序，为入侵者
大开方便之门。“代号红色Ⅱ”病毒木马程序释放后，意味着计算机黑客可以对被感染的
计算机进行全程遥控。

▲２００１年９月７日

一种名为Ｗｏｒｍ．ＩＩＳ．ＣｏｄｅＢｌｕｅ（即“蓝色代码”）的新型恶性网络蠕虫
病毒９月５日开始在我国计算机用户中出现。“蓝色代码”是一种专门攻击Ｗｉｎｄｏｗ
ｓ２０００系统的恶性网络蠕虫病毒。该病毒比“红色代码ＩＩ”有更强大的攻击性，计
算机一旦感染该病毒，将大量占用系统内存，导致系统运行速度下降直至系统瘫痪。

▲２００１年９月２０日

一种传播迅速，破坏性极强的新型病毒“尼姆达”病毒Ｗ３２．Ｎｉｍｄａ．Ａ＠ｍｍ正
在互联网上肆虐，Ｎｉｍｄａ蠕虫病毒按字母的顺序反过来读就是“ａｄｍｉｎ”，是系
统管理员的意思。它是利用了微软的ＵｎｉｃｏｄｅＷｅｂＴｒａｖｅｒｓａｌｅｘｐｌ
ｏｉｔ．漏洞编写的通过电子邮件传播的新型蠕虫病毒，病毒通过不断搜索局域网内共享
的网络资源，将病毒文件复制到没有打补丁的微软ＩＩＳＷｅｂＳｅｒｖｅｒ，病毒利用
被感染计算机中用户的通讯簿发送带毒邮件，邮件带有一个ＲＥＡＤＭＥ．ＥＸＥ的附件
，但收件人无法看到该附件；大规模的邮件发送将导致网络阻塞甚至瘫痪，同时病毒用自
身的文件代替系统中的正常文件，改变系统的安全设置，导致系统出现重大安全隐患、无
法正常工作甚至宕机。至今“尼姆达”病毒已使得全球数十万台电脑被攻击。

▲２００１年０９月２５日

一种乔装成让用户就美国政府是否应该针对９·１１恐怖事件向阿富汗动武进行表决、但
实际上目的在于删除用户计算机中的文件的新病毒在互联网上出现。这种名为“战争投票
”的病毒到目前为止尚未全面传播开来，它通过电子邮件的形式蔓延，主要攻击装有微软
Ｏｕｔｌｏｏｋ电子邮件系统的计算机。

▲２００１年１０月２６日

我国计算机病毒应急处理中心陆续接到用户报告，反映计算机染上一种未知的新型病毒—
—“求职信”病毒。这种病毒通过电子邮件感染计算机，邮件用英文书写，内容与求职有
关。该病毒通过电子邮件、磁盘、局域网三种方式传播。

▲２００１年１１月４日

冠群联想公司提醒用户注意一种新型邮件病毒Ｒｅｄｅｓｉ。据悉，该病毒通过伪装成微
软产品的安全补丁或其它多种形式来借助电子邮件传播，一旦受其感染，该病毒会在１１
月１１日发作并格式化受染用户的Ｃ盘，造成用户计算机不能正常启动和大批数据文件的
丢失。计算机用户还是应该及早安装专业防病毒软件和及时更新反病毒代码库，保护自己
的计算机，远离病毒的破坏。

▲２００１年１１月９日

从今年９月中旬开始在网络上肆虐的“尼姆达”病毒近日出现新变种。这个新变种名为“
尼姆达·Ｅ”。这个新病毒与原病毒的破坏效果一样，但病毒中的一些文件已经被重新命
名，而且病毒的作者还在其中加入了一封信。电脑病毒作者的信很像普通软件中的版权声
明，作者还恶作剧式地指出，他不喜欢自己设计的这种电脑病毒被称为“尼姆达”，而希
望它被叫做“概念病毒”。

▲２００１年１１月１１日

中国出现破坏性极强的“本·拉登”病毒。作为恶性网络蠕虫尼姆达?中国一号　病毒的变
种，传染能力和破坏性极强。病毒制造者针对一些杀毒软件查杀尼姆达病毒的解决方案，
对原病毒程序做了修改，并采用压缩和加密技术，将病毒信息加密，并在病毒中声称“这
不是尼姆达”病毒。病毒可感染用户使用的微软视窗操作系统。该病毒利用微软ＯＵＴＬ
ＯＯＫ的漏洞，当用户浏览含有病毒的邮件时，病毒就会对用户的电脑进行感染和破坏。
一旦用户将鼠标箭头移到带有病毒体的邮件名上时，便受到该网络蠕虫的感染，被感染的
电脑会自动发送大量带有病毒的电子邮件。专家指出，这一病毒的破坏性等于“欢乐时光
”和“蓝色代码”两个恶性网络蠕虫病毒的总和。

▲２００１年１１月２７日

一种名为“Ｂａｄｔｒａｎｓ”（坏透了）病毒开始迅速蔓延。这种病毒英文名为Ｉ－Ｗ
ＯＲＭ／Ｂａｄｔｒａｎｓ．ｂ，通过微软的Ｏｕｔｌｏｏｋ侵入电脑系统，它还能够进
行自我复制，并将复制的病毒传给微软Ｏｕｔｌｏｏｋ地址簿当中的其它邮件地址。病毒
携带一种键盘记录程序，它可以记录人们通过键盘录入的信息，从而跟踪用户密码或信用
卡号码。

▲２００１年１２月５日

一种名为“无可救药”的新型计算机病毒正在发作，这种病毒通过电子邮件传播，具有很
强的破坏力。“无可救药”病毒是通过带有附件的且主题为“你好”的邮件进行传播的，
附件是写有“你好吗？”字样的屏幕保护。它甚至能够破坏计算机内的杀毒软件，因此破
坏能力很强。

▲２００１年１２月６日

一种以电子邮件传播的新电脑病毒“Ｇｏｎｅｒ”（将死者），伪装成一种屏幕保护程序
，正快速入侵企业及个人电子邮件信箱，删除和安全相关软件的档案。这种在附件上发现
的病毒以“ＧＯＮＥ．ＳＣＲ”的文件名潜伏在被感染的电脑内地址簿的所有名字中，一
旦这个附件被打开，病毒就会自行寄给地址薄上的所有人，尝试关闭正在运作的程序，及
删除一些系统档案，包括防病毒软件。

▲２００１年１２月１１日

以色列警方逮捕了４名涉嫌制造并传播新电脑病毒“将死者”?Ｇｏｎｅｒ　的少年。

▲２００１年１２月１５日

一种名为Ｇｏｋａｒ的群发邮件蠕虫病毒开始在网上蔓延，大企业网络系统如果感染该病
毒，可能会陷入瘫痪。

▲２００１年１２月２０日

一种新发现的电脑病毒“Ｒｅｅｅｚａｋ”开始在欧美传播，它藏在“祝你新年快乐”的
电子邮件内，预计会在圣诞和新年期间肆虐，令电脑用户的“新年不快乐”。该病毒也称
Ｗ３２．Ｚａｃｋｅｒ．Ｃ和Ｗ３２．Ｍａｌｄａｌ．Ｃ。它与最近出现的Ｇｏｎｅｒ病
毒很相似，会摧毁视窗操作系统和微软的Ｏｕｔｌｏｏｋ程序。

▲2002年1月

这个月benny又有新作问世，这一次他的目光不再是跨win32和linux平台，而把目光转向了
，微软的C#和.NET。

这个病毒长度为8k，运行后感染当前目录所有.net的可执行文件，病毒的症状是弹出一个
对话框：

This cell has been infected by dotNET virus!

.NET.dotNET by Benny/29A

这个病毒并不驻留内存，通过行为来看，其传播能力有限，活跃的vxer中，benny是比较温
和的，很少见到他编写的病毒大泛滥，这次他依旧传承以往风格，没有散布病毒，而是直
接提供给了反病毒企业。

也许类似benny这样的邪派高手，也有几分正气和自己的原则，只是为了证明，反病毒技术
趋势是在我的引导下前进。但不论如何，反病毒产品和安全技术，确实是在与恶意程序与
攻击手段的不断对抗中发展进步的的，这种对抗将贯穿信息技术发史，可能永远不会终结
。

▲2002年2月

第一个感染FLASH文件的病毒，就在本月诞生，与以往病毒不同的是，这是一个触发式的“
被动病毒”，长度为926个字节，这种新病毒利用了某个Flash播放器漏洞，当播放器播放
一个受感染的文件时，就会产生错误，释放出一个926个字节的v.com，并感染目录下其他
flash文件。显然，这是接见了类似buffer overflow的手法，事实上，通过对各种播放器
和编辑器的深入分析，都可能找到类似的漏洞。

这个月另一个看点是myparty,虽然在国外传的很猛的myparty在国内没有创造新高，不过也
值得提防。

从俄罗斯进入的I-worm.myparty也用了类似的手法，而且有所“创新”，他把附件命名为
www.myparty.yahoo.com，伪装成了一个网址，诱骗用户点击，事实上，.com为扩的文件是
可以被直接执行的，而且在微软win32平台下，没有dos下严格的文件名限制，一个pe可执
行程序，无论扩展名，为.bat、.exe、.com、.pif、.lnk等都可以直接运行。

I-worm.myparty此招一出，顿时有人效仿，马上蹦出了一个附件名为http.www.sex.com的
病毒。可能网民中的SOSEX一族又要吃些苦头了。

▲2002年3月

这个时候一个模仿成微软更新公告的蠕虫正在网上传播，风格象是一个典型的微软安全公
告，甚至还提及到几周前微软发布的一个真正的安全更新信息。他要求用户执行名为“q2
16309.exe”的附件，附件被执行后，蠕虫在用户系统上开放后门，并象以往的Outlook蠕
虫那样，通过用户地址列表传播。

不过要说大毒还是I-Worm.Hybris蠕虫的变种，这个蠕虫的变形能力堪称一绝，其发送标题
为Snowhite and the Seven Dwarfs的邮件，sexy virgin.src（18944字节）,看起来似乎
是一个屏保而且附件题目对男性颇有诱惑！！

▲2002年4月

这个绝相对平静一些：

i-worm.porkis。这是一个通过Outlook来传播的Internet蠕虫病毒，它把自己做为附件：
Porkis.exe发送地址薄中的所有联系人。这个附件一旦运行，蠕虫会用意大利语显示一个
消息框。

此蠕虫病毒不仅拷贝自身到windows目录，并建立一个新文件dllmgr.exe，还会修改注册表
以便在系统下次启动时自动运行。在重新启动后，蠕虫经过短暂的延迟，它会试图连接到
系统默认的SMTP服务器，并发送自己给所有地址薄中的联系人。

此病毒主要危害为侵占系统资源，造成大量的垃圾邮件。

▲2002年5月

中文"求职信"

一个以中文作为病毒主要伪装信息的恶性邮件病毒出现，带毒邮件附件名为hello.exe，在
伪装信息和传播方式上与目前正在流行的“求职信”病毒非常相似，不同之处在于，“求
职信中文版”可以自动删除扩展名为exe、dll、dat、mp3、doc的文件。

第一种通过Kazaa文件交换系统传播的恶意程序。

5月17日，有人报告发现了Benjamin蠕虫。该蠕虫对数据的破坏性不大，它不删除信息，只
是狂吃硬盘空间使得数据传输通道受阻，让Kazza网络用户的通讯出现困难。

Benjamin病毒的传播方式是：创建对Kazaa网其他用户开放的目录，然后在这个目录里使用
病毒自身携带的名称列表大量（可能数以千计）地进行复制。当网络用户搜索的名称刚好
和病毒携带的假名相同时，用户就在不知不觉中从被感染的电脑上下载了病毒。下载以后
，Benjamin 病毒发出一个假错误报告，警告用户文件可能已被破坏，然后它却在系统目录
里面自行复制，并在系统注册表里面创建两个键。

除了吞噬硬盘空间之外，Benjamin 病毒还打开名为benjamin.xww.de的网页，并展示广告
。5月20日上午，Benjamin.xww.de网站表示，它的域名被盗用，现已关闭。

该病毒很容易清除，只要删除被感染文件即可。

5月20日，安全服务公司Riptech提醒用户说，一种攻击微软公司SQL服务器数据库的新型蠕
虫目前正在互联网上蔓延。

赛门铁克、Network Associates公司和SecurityFocus公司也报导了该蠕虫的蔓延现象，这
种蠕虫目前有多个名字，如SQLSnake、DoubleTap,专家称该蠕虫并不会造成大范围的破坏
。

微软一名发言人说，这种蠕虫只会影响运行SQL服务器7.0版本的系统，因为该版本的系统
管理员的口令在默认设置时为空。而SQL服务器2000则没有设定默认口令为空，因此这些系
统也就不会受到攻击。

微软于21日在公告中向企业客户建议了一系列步骤，第一步就是要确保系统管理员口令不
再为空。微软表示，如果客户安装了4月17日发布的补丁程序，他们的计算机就会免遭这种
蠕虫的攻击，该补丁程序可以从微软网站上下载。

Riptech公司建议用户检查所有系统的配置，立即禁用任何运行SQL服务器的配置。另外，
它还提醒他们千万不要远程接入MSSQL 守护程序，因为只有Web服务器、内部应用程序和其
它可信系统才有权直接与SQL服务器交互。

该蠕虫病毒是使用Microsoft Visual Basic写的，病毒的大小是28KB。病毒执行时它会查
看系统是否装有MSN Messenger，病毒会发响应的信息到MSN Messenger。信息如下：

（Hej ... Kan vi inte ha c6 ? ... sn?lla ?）

5月21日，Macfee证实专挑SQL服务器为攻击对象的蠕虫（Worm）：SQLSPIDA.B已于菲律宾
现身。该病毒会搜集相关信息并寄给特定的电子邮件地址，这将使得攻击者可以借着后门
程序，远程取得SQLServer的所有资料。

趋势科技建议使用者立即更新至最新病毒代码并使用防毒软件扫描，若是发现系统当中有
TROJ_SQLSPIDA.B、BAT_SQLSPIDA.B和JS_SQLSPIDA.B等程序，需立即将其删除，并且彻底
移除非内部授权的系统管理者。

SQLSPIDA.B是JavaScrip蠕虫，它是由几个Component文件所构成，SQLSPIDA.B会复制相关
组件至SQLServer系统，以危害系统安全。其中的一个Component文件夹是BAT_SQLSPIDA.B
，这个批处理文件主要是用来窃取IPaddress和随机数产生password，以入侵SQL服务器。
另外一个文件夹是Trojan_SQLSPIDA.B木马程序，它会通过TCPport1433扫描SQLServers的
IPaddresses。由于它会使用100个线程（thread）进入这个Port，并试图产生1万次的连接
以致造成局域网络带宽受阻。

一旦SQLSPIDA.B成功地完成所有动作，它将会在现行目录下产生一个“.OK”的文件夹，否
则将产生“.FAIL”文件夹。从某些组件文件夹中，可以发现以下病毒作者留下的字符串，
看来他还想跟热门电影SpiderMan蜘蛛侠沾上边呢！

▲2002年6月

VBS/Chick-F，来踢球！！

据Sophos抗病毒公司称，“VBS/Chick-F”病毒以电子邮件的形式传播，它作为压缩的HTM
L文件以附件存在。邮件的主题为：“回复：韩日世界杯赛事结果”，一旦该附件被执行，
此时计算机屏幕将显示“利用activeX（微软倡导的activeX网络化多媒体对象技术）浏览
韩日世界杯赛事结果。”

如果ActiveX被激活，病毒将对在计算机的所有硬盘上搜索IRC可执行文件。一旦文件被搜
索到，该病毒将作为“koreajapan.chm”文件被自动复制到C盘中。此后，该病毒将向“M
icrosoft Outlook”通讯簿中的第一个用户发送同样主题的电子邮件。

Sophos公司高级技术顾问Graham Culley表示：“病毒的作者正是看准了球迷想了解比赛结
果的急切心理。”Sophos公司亚洲常委董事Charles Cousins称，到目前为止，公司还没有
接到有关计算机感染的报告。但自从本周四以来，陆续有用户向支持中心咨询该病毒。目
前，Sophos公司尚未检测到病毒的发源地，但公司表示，这种病毒不会大规模爆发。

早在5月份Sophos公司就警告球迷，世界杯期间不要随下下载文件，以免遭病毒的入侵。

据悉，世界杯期间最恶毒的病毒产生于1998年法国世界杯。这种病毒要求用户在两支球队
之间选择比赛胜负结果，如果用户选错结果，就会引发病毒代码，并导致硬盘的所有文件
丢失。

与此同时微软传出消息，他们被病毒感染了！！

全球第一大软件制造商美国微软公司表示，该公司在不经意中发布了一个韩语版的在线服
务开发软件，这个韩语版的在线服务开发软件被臭名昭著的尼姆达病毒感染了。

微软公司称，他们是在韩语版的微软Visual Studio .NET开发软件中发现这个病毒的。微
软公司表示，这个病毒预计不会造成任何破坏，因为它实际上是处于睡眠状态的，这个病
毒所在的位置是在软件一个相对安全的地方，不会出现被激活的危险。微软公司产品部门
经理克里斯托弗-弗劳莱斯(Christopher Flores)表示，公司已经发布了补丁软件和干净的
、没有病毒的新版本软件。

弗劳莱斯称，这个病毒是微软公司的一个员工在5月末发现的，病毒藏身于一个压缩的、不
经常使用的文件中。这个文件来自一家帮助微软公司开韩语版在线服务开发软件的公司，
由于这个软件投放市场还不到90天，因此它不会造成大的危害。弗劳莱斯表示，“我们已
经对产品开发过程采取了严肃的监控步骤，保证此类问题不再发生。我们对这家公司的产
品过于信任，没有详细检查这个文件的内容。”

6月6日下午，一种新的智能型病毒“中国黑客”病毒被瑞星、金山、江民等公司发现。在
分析之后发现，它是继“中文求职信”之后的又一个国内病毒编写者制造的“高级”病毒
，其传染力与“红色代码”不相上下。

据某公司技术副总经理谈文明介绍，这是一个罕见的“智能型”病毒，目前被截获的只是
该病毒的初级版本，许多实质性的破坏程序并没有加载在病毒上，但是病毒的编写者已经
准备好所有的程序接口，病毒随时通过各种方法来传染，而且速度极快，能够绕过杀毒软
件的层层关卡进入机器内存。由于该病毒通过邮件传染（生成以被感染机器名开头的.eml
文件），具备自启动功能，在Outlook中一旦被点中就会自动启动，它会把自身拷贝到Win
dows/system 32的目录下，并命名为Runouce.exe机器，同时启动这个文件。

6月13日，McAfee 向新闻界发布了有关 W32/Perrun病毒的消息。McAfee称，该病毒是第一
个感染JPEG文件的病毒。用户和反病毒软件销售商对McAfee Security的这个做法提出了质
疑。

McAfee 称，从病毒作者那里得到的Perrun 病毒利用可执行文件感染图像文件，然后再试
图扩大感染至同文件夹的其它图像文件。该病毒依赖于可执行文件，没有该类文件便无法
发作。

当时，McAfee 反病毒应急小组（McAfee AVERT）高级主管Vincent Gullotto称，该病毒的
发现有可能导致重新制作反病毒程序。该病毒也有可能因此会出现变种，它们将把病毒的
可执行部分嵌在图像文件或网络中。

自从 McAfee 发布该病毒以来，浏览网页和电子邮件列表的用户对Gullotto 所说的可执行
文件可能被嵌入JPEG文件的说法争论不休。

甚至Gullotto的一些反病毒界的同事也持有不同意见。McAfee的竞争对手Sophos PLC 反病
毒公司当时也对新闻界发表了看法，认为该病毒没有那么严重。Sophos 在McAfee宣布发现
该病毒前就已经在实验室将此病毒研究了两天，但他选择了沉默，因为该病毒“真的只是
为了证明一种概念，它看似严重，却不会造成什么后果。”

Gullotto 承认，目前，将可执行文件嵌入JPEG文件可能无法成功。但他强调，McAfee 更
关心的还是将来。因为随着软件和文件类型的改变，图像文件和其它数据文件有可能会增
加运行可执行文件的能力，这就会使该病毒成为一个问题。

6月20日左右

一种神秘的手机病毒在山东省淄博市首次被发现。

在联通公司客户服务中心的受理记录上，记载了王先生这款诺基亚5110型手机瞬间失灵的
过程：王先生的手机在不到1分钟时间内连续接收到3条短信息，在未阅读的情况下，这3条
短信息自动进行了存储。后来，王先生在打开这3条短信息的操作过程中，手机突然失灵，
键盘不能操作。

据联通公司技术人员介绍，正常情况下，手机收到短信息后，手机屏幕会显示“×条新信
息”，需要机主按显示键阅读，而这3条短信息发来后，手机却自动进行了储存。技术人员
在征得王先生的同意后，对手机进行了拆解，设法打开了这3条短信息，手机显示屏上显示
，这3条短信息全部是乱码。随后，技术人员将3条短信息删掉，重新组装后，手机恢复正
常。

经查询相关资料，技术人员确认，这款诺基亚手机遭受了病毒侵害，目前尚不知道该病毒
的名称、发作规律、对手机的损害程度。据技术人员介绍，该病毒主要传播途径是“点对
点”发送短消息和从网上下载铃声。

▲2002年7月

英文名为W32/Lavehn.A的蠕虫病毒传入国内，这个蠕虫病毒会删除被感染主机上的以.xls
, .doc, .mdb, .mp3, .rpt, 或.dwg等为扩展名的所有文件。当这个病毒运行时，它会发
送自己到被感染主机上的Microsoft Outlook地址簿中的所有联系人。该病毒通过修改系统
注册表来达到自动执行病毒文件的目的，它会把自己拷贝到windows系统目录下，通过把值
%System%\UNHEVAL.EXE添加到以下注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices ，达到
系统启动时自动执行病毒的目的。

美国东部时间7月15日(北京时间7月16日)，一种名为“Frethem.J”的新型计算机病毒开始
在互联网上传播。

现在我们已经揭开了Frethem.J神秘面纱，它是一个新的电子邮件蠕虫病毒。作为主要的特
征，这个蠕虫能够自动运行电子邮件中的附件，因为它利用的是IE5.01和5.5所存在的漏洞
。

Frethem.J会通过e-mail发送到你的电脑，主题是Re: Your password!邮件内容如下：

ATTENTION!

You can access very important information by this password DO NOT SAVE

password to disk use your mind now press cancel(“你可以通过这一密码获得非常重
要的信息，请不要保存密码，记下它然后点击取消键。”)这封邮件包括两个文件passwor
d.txt和decrypt-password.exe 后面这个文件一般包含病毒。

由于IE的漏洞，不管用户是不是手动打开这个文件，这个文件都会被运行，它会常驻到内
存，在进程里面会有一个taskbar 的进程。

此后，Frethem.J会从注册表和Outlook Express中收集它所要攻击的帐号信息。另外，它
还会寻找电脑的e-mail服务器的配置信息，来建立与它之间的直接连接,因此用户就无法察
觉他的电脑正在向外发送带毒邮件。

最后，Frethem.J会在注册表里面建立一个入口，当系统重启的时候能够保证它的活动不受
干扰。

(Win32.Hezhi) 病毒，这种病毒较以往的最大的不同之处就是，该病毒采用了很高的加密
及反跟踪技术，因而不但具有很强的隐蔽性，且不易为一般防病毒软件所查杀。该病毒还
有几个别名：Win32.Flagger、Win95/Gundam.12618、Win32.Hezhi。

Win95.Flagger是一个驻留内存的多变型病毒，可感染 Windows 95/98/NT/2000系统的 PE
可执行文件。可通过任何无保护的网络共享进行传播，因此病毒会最先感染共享目录中的
可执行文件，并且它还会将自身登记为一个服务进程，使用户在断网时病毒仍然能够工作
（只在Windows 9x下）。另外，由于在Windows 9x系统中该病毒使用了虚拟设备驱动（Vx
D）技术，因此病毒的执行效率较高。在被激活的情况下，用户只需进行打开或右键点击或
刷新图标等动作，病毒就可以进行感染。在11月20日，该病毒会将对可执行文件的感染操
作改为删除，而且该病毒会删除任何以AVCONSOL开始的文件。

▲2002年8月

重大病毒没有出现——看样子病毒也休暑假！！

▲2002年9月

这个绝好像没有太有特色的新病毒。

不过此时的TaiChi病毒发作日期将近，这个病毒比以往的病毒特殊一些，是一个纯种的Wi
nNT病毒，技术上有SFCpatch和NTPatch以及LSApatch，应该说是功能上集合数款病毒之常
的东西，值得一提的是他的NT专用感染方式使感染变得更加快速，不可预测.其发作症状是
把WinNT的开机画面换成一个29A的图像。该病毒出自29A的Ratter之手。

▲2002年10月

Thursday, October 17 2002 5:34 PM Bugbear病毒（也叫Tanatos）可能不是某种全新的
蠕虫病毒；它看起来象去年的Badtrans病毒的一个变种。但它却是目前互联网上传播最快
的病毒。（ps::只疯狂了两个星期就开始下台了！！）

在度过了几个没有大的病毒爆发的平静月份之后，反病毒公司提醒计算机用户小心一个类
似尼姆达病毒的复杂的病毒。但是，Bugbear其实是一段并不特别恶意的针对Windows病毒
代码，却成为近日大家瞩目的焦点，它怎么能够这么快就有这么广泛的影响呢？

首先，Bugbear病毒非常具有欺骗性。被感染的电子邮件被冠以诸如“Get 8 free issues
--no risk”或者“My eBay ads”这样的标题，这样它们就会冒充普通的垃圾邮件进入你
的收件箱。和Sircam蠕虫病毒一样，Bugbear病毒对于回复地址进行了伪装，所以你不能够
找出是谁把这封被感染的电子邮件发送给你的。

该病毒对被感染的电子邮件的附件的后缀名也进行了伪装，这样用户可能会以为附件是某
种类型的文件，而实际上它却是另外一种文件。所以，比如说附件的后缀名可能表示它是
个“.jpg”文件，可实际上它却是个“.exe”文件。

即使不打开附件，Bugbear病毒也可以通过利用一个已知的微软IE的漏洞来感染你的电脑。
由于Outlook使用IE来查看HTML格式的邮件，所以只要在Outlook中预览这个邮件就足以使
你的电脑受到感染了。IE 6.0的用户不会受到Bugbear病毒的感染。对于IE 5.01和5.5的用
户，微软在18个月前提供了一个补丁：MS01-020。尼姆达病毒在一年前也是利用了同样的
漏洞。

其次，Bugbear病毒的传播速度非常之快。在一个网络中，它只需要一个可被感染的系统就
有了立足点。一旦它感染了一个未被保护的系统，它就可以传播到另一台电脑--甚至打印
机--通过137端口开放的NETBIOS文件共享。如果Bugbear病毒感染了一台网络打印机，它将
导致该打印机不能正常工作，比如打印很多张只有一行内容的纸。去年的尼姆达病毒也会
影响打印机。

第三，Bugbear病毒非常难以被清除。一旦该病毒感染了一个网络，除非所有的病毒传播路
径都被切断了，否则IT部门的维护人员根本不可能把它清除。几个IT部门报告说当他们在
五楼清除该病毒的时候，它流窜到了四楼，或者某个卫星办公室之中。

第四，和今年早些时候发作的Klez病毒一样，Bugbear病毒关掉了几乎所有主要的桌面防火
墙和杀毒软件。如果你不能够确定自己的机器是否感染了Bugbear病毒，请检查一下你的放
火墙和防病毒软件是否工作正常。

Bugbear病毒最危险之处在于它包含了一个可以记录你键盘输入的特洛伊木马软件。这就意
味着这个病毒的编写者可以通过监听TCP端口36794来获取你在你被感染了的机器键盘上所
进行的所有操作的信息，包括你的信用卡号码和你的密码。这个特洛伊木马软件让恶意用
户可以远程接入你的机器，删除或者添加文件而不须经过你的许可。而且，恶意用户可以
调动全世界范围内被感染的机器进行一场协作分布式拒绝服务攻击。不过到目前为止，还
没有明显证据表明已经有人成功地这样做了

▲2002年12月

12月27日，趋势科技发布WORM_WINEVAR.A中度风险病毒警报。这只名为四角兽「WORM_WIN
EVAR.A」的新病毒，利用电子邮件方式，迅速在全球各地扩散。尤以欧洲地区最为严重，
目前已有数千台计算机受感染，在韩国、美国也有零星灾情传出。此病毒感染行径类似日
前掀起轩然大波的求职信系列病毒。

WORM_WINEVAR.A病毒攻击手法和先前造成轩然大波的WORM_KLEZ求职信系列病毒类似，不需
执行邮件附件，只要预览此病毒信件，就会受到病毒感染，而且一旦不小心中毒，病毒便
会大量寄发邮件给通讯簿中的人，造成服务器的负荷。此外，此「WORM_WINEVAR.A」病毒
行为诡谲，专找IE漏洞，冒名大量发送电子邮件，还会卸载防毒软件以及监控程序。用户
一但中毒后，下次再次开机时，会让用户硬盘中所有资料瞬间化为乌有，此外在桌面会出
现一个explorer.pif的图标，最狡猾的是，病毒信件发件人为：「计算机系统注册的名字
或收件者」，主题是：「N`4_被感染计算机所登记的组织名字」，由于主题只有N`4是固定
的，后面则会随机变化，所以不易被防毒软件拦截，并且不易防范，用户容易误以为是某
组织所寄送出来的通知信，一时不察开启此信件后便中毒了。

▲2003年1月

巨无霸”Worm. SoBig.65536★★★★传播方式：邮件

蠕虫“巨无霸”惊现。最近发现并引起人们注意的邮件蠕虫病毒是W32/Sobig.A，Message
Labs1月9号在荷兰首先发现了该病毒，并迅速在全球各地蔓延开来，由于病毒邮件的发件
人总是big@boss.com，该病毒被命名为Sobig。病毒是一个带有SMTP引擎的大规模邮件病毒
，也可以通过网络共享方式传播，还会从Geocities的一个网站下载一个TXT文件，该文件
包括一个URL可以用来下载木马程序。还可以通过在感染者硬盘上搜索特定文件来获得大量
邮件地址，也可以搜集地址簿和收件箱中的邮件地址发送病毒邮件。该病毒全称Worm. So
Big.65536，传播速度极快，危害性更是超过了前一段时间闹的很汹的“硬盘杀手”。

“巨无霸”病毒感染后会修改注册表中的系统启动项，让病毒程序自动加载，病毒邮件的
主题是"Re: Movies","Re: Sample","Re: Document","Re: Here is that sample"...，附
件名为"Movie_0074.mpeg.pif","Sample.pif","Document003.pif","Untitled1.pif"...，
邮件内容为：”Attached file:”。有经验的网管可以编缉相应的邮件规则，在服务器端
拒收此类邮件，可免遭“撒旦”的攻击。

DDos攻击Hack.DDoSer.63600★★传播方式：文件

这是一个用VC++编写的黑客程序，程序采用UPX1.08压缩，是连接很多人对目标机器进行D
Dos攻击的工具。传播速度一般，具有一定的危害性，运行后会不断的访问网络对目标机器
进行工具，除了耗一些资源和占用带宽外，对本机无害，会修改注册表的启动项，指向系
统目录的文件Kernel32.exe。手工清除的方法：直接删除该文件，恢复注册表即可。

密码圣手1.0服务端Trojan.mmss10Srv.20992★★传播方式：文件

这是一个用VC++编写的黑客程序，程序采用UPX压缩，主要针对现在所流行的网络游戏所编
写，适用游戏:Oicq,传奇,奇迹,精灵,武魂,红月,决战,倚天,魔力宝贝,石器时代,边峰,大
话西游,千年,遗忘传说,天使,等。有一定的传播速度，对游戏玩家造成很大的危害。此病
毒驻留内存，拦截游戏密码，然后把密码发送到下毒者的邮箱，邮箱地址位于木马程序的
0x64a位置,没有使用加密机制。手工清除的方法：直接删除该文件即可。

修理你Joke.Fixyou.294912

★★传播方式：文件

这是一个用VC++的MFC编写的玩笑程序，程序的注释中标明：整人专家之精灵卫士，既可当
作电脑安全卫士(防止他人乱动您的电脑)，也可当作一恶作剧程序(用它来整人。当然，前
提是对方不知道关闭它的方法)。软件关闭有两种方法：第一种是按下Ctrl键，同时点鼠标
右键(Ctrl+鼠标右键)。第二种是按下Alt键，同时按F8键(Alt+F8)既可关闭。传播速度和
危害性都比较小。运行后会有一只灰白的熊在屏幕上爬动，所有的键盘操作被停止，包括
Ctrl+Alt+Delete键。手工清除的方法：关闭该程序后，直接删除该文件即可。

2003年1月25日，互联网遭遇到全球性的病毒攻击。这个病毒名叫Win32.SQLExp.Worm，病
毒体极其短小,却具有极强的传播性，它利用Microsoft SQL Server的漏洞进行传播,由于
Microsoft SQL Server在世界范围内都很普及，因此此次病毒攻击导致全球范围内的互联
网瘫痪，在中国80%以上网民受此次全球性病毒袭击影响而不能上网，很多企业的服务器被
此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家
的互联网也受到严重影响。这是继红色代码、尼姆达，求职信病毒后又一起极速病毒传播
案例。所以“蠕虫王”蠕虫的出现，应该成为一个传奇……

▲2003年2月

硬盘杀手新变种 Worm.OpaSoft.18432.g ★★★★ 传播方式：文件

此病毒运行之后所作的第一件事情就是删除原来流行的“opasoft”病毒，从文件到注册表
，清理得倒是干干净净。不过也不奇怪，这个病毒本来就是屏幕保护病毒的一个变种。

▲2003年3月

恶邮差 Worm.Supnot.78858.c ★★★★ 传播方式：邮件

四级恶性蠕虫病毒“恶邮差”英文名称Worm.Supnot.78858.c，是蠕虫Supnot的最新变种，
且改进了以前版本通过邮件传播方面的性能，手段极其“恶毒”。

“恶邮差”病毒典型破坏行为是能够根据收件箱中的邮件内容自动回复邮件，每封邮件的
附件中均携带病毒副本。由于接收者看到的是对已发送邮件的回信，很可能会打开过该邮
件导致中招。由此邮件服务器可能会在极短时间内不堪重负而崩溃。病毒运行后会搜索本
地目录，通过收件箱中的邮件地址向外发送带毒邮件传播自身。病毒会根据收件箱里面的
邮件回复带毒邮件给原始发件人，这时的带毒邮件的主题和内容就跟原始邮件有关。

口令蠕虫 Worm.DvLdr ★★★ 传播方式：探测445端口连接穷举破解密码

该蠕虫主要攻击系统为NT/2000平台，通过探测445端口方式穷举管理员密码，并殖入一个
后门程序使得该机器的安全性降低到0。金山毒霸反病毒应急处理中心紧急提醒大家，一定
要给自己的超级用户设定一个安全、强壮的密码。

病毒类型：PE蠕虫。

该病毒体较大，包含数个可执行文件。主体程序为DvLdr32.exe，为VC++6编写，并采用as
pack压缩过。病毒自带了两份命令行工具，分别是psexesvc和Remote process launcher，
均为sysinternals发布的正常网络工具。并附带有一份安装包，负责在攻击成功之后，在
宿主机器上安装VNC远程控制工具。

该蠕虫运行后，随机选择两个IP段，连接对方445端口，该端口为Samba为和NT系统进行文
件共享而开设端口。如果蠕虫连接此端口成功，则使用自身附带的一份字典进行穷举探测
对方的administrator用户密码，一旦探测成功获得对方超级用户密码，则拷贝自身进入系
统。

红色代码变种 CodeRed.F ★★★ 传播方式：IIS

红色代码的最新变种病毒，主要是利用微软IIS远程缓存溢出漏洞获得系统权限。然后在这
个感染的Web服务器上植入木马程序，给攻击者完全的访问权限，并严重威胁网络安全。该
最新变种对Windows 95, 98和ME系统不会造成危害，对Windows NT、2000系统上没有安装
使用IIS的用户也没有危害。该变种病毒只攻击没有打微软MS01-033补丁的IIS服务器。与
红色代码前辈的区别仅在于，该变种病毒在低于34952的年份都可以运行。

一旦遭受感染，网络安全就会受到严重威胁。但只有没有安装最后的IIS service pack的
系统才会受影响。CodeRed.F是2001年出现的CodeRedII的变种，仅作一点修改。

▲2003年4月　　

经过了1-3月的闹腾，终于静下来了，不过更大的危机在后面

▲2003年5月

5月19日，Worm.SoBig.b，是1月11日在网络上首次泛滥的“大无极病毒（Worm.sobig）”
的一个新变种。该病毒发源于荷兰，已于5月19日在美国、英国大面积泛滥

　

▲2003年6月

发现新的蠕虫，Tanatos 变种“Tanatos.b” (aka Bugbear.b)。该版含有大量的破坏性功
能，它可以感染保存在硬盘上很多程序的执行文件，同时还可以使被感染计算机上的机密
信息外流。目前已发现了大量被感染案例。蠕虫为Windows应用程序（PE EXE文件），大约
72Kb（用UPX大包）。展开尺寸170Kb。是用Microsoft Visual C++写成。

6月5日下午：：一个来势迅猛的蠕虫病毒，命名为“姆玛”(Bat.muma)。该病毒采用批处
理命令编写，并携带端口扫描工具，采用猜密码的方式暴力破解局域网中的其它的计算机
，而且程序使用一个死循不停的扫描局域网中的计算机，由于病毒自身的BUG，一旦在循环
中出错，就会不停的弹出出错的对话框，使本地系统资源巨量消耗，直至死机。如果破解
成功便疯狂的复制自身，造成网络的资源的极大浪费，最终阻塞网络。
---
时间过半，任务过半。

※ 来源:·哈工大紫丁香 http://bbs.hit.edu.cn·[FROM: 218.75.124.146]

Virus 版 (精华区)