安全科普:改變世界的十大計算機病毒
電腦病毒自其誕生之日起,就如同幽靈一般,伴隨著人類計算機技術的發展而不斷變化身形,破壞電腦的正常運行,下面我們就細數一下史上迄今為止破壞程度最為嚴重的十大病毒:
1986年,第一個電腦病毒C-BRAIN終于誕生了(這似乎不是一件值得慶賀的事)。一般而言,業界都公認這是真正具備完整特征的電腦病毒始祖。這個病毒程序是由一對巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)所寫的,他們在當地經營一家販賣個人電腦的商店,由于當地盜拷軟件的風氣非常盛行,因此他們的目的主要是為了防止他們的軟件被任意盜拷。
只要有人盜拷他們的軟件,C-BRAIN就會發作,將盜拷者的硬盤剩余空間給吃掉。
這個病毒在當時并沒有太大的殺傷力,但后來一些有心人士以C-BRAIN為藍圖,制作出一些變形的病毒。而其他新的病毒創作,也紛紛出籠,不僅有個人創作,甚至出現不少創作集團(如NuKE,Phalcon/Skism,VDV)。各類掃毒、防毒與殺毒軟件以及專業公司也紛紛出現。一時間,各種病毒創作與反病毒程序,不斷推陳出新,如同百家爭鳴。
一個設計缺陷,可以成為一個無傷大雅的玩笑但也可變成一個破壞性的武器。圣誕樹病毒使計算機系統在圣誕節時顯示問候的話語并在屏幕上出現圣誕樹的畫面,然后把自身副本發送給目標的電子郵件聯系人列表中的每個人。由于該蠕蟲的運行環境必須在IBM大型機中,所以它并沒有超越這些網絡進行更廣泛的傳播,歷時6天之后,它終于被清除。
蠕蟲病毒的始作俑者——羅伯特·莫里斯是美國康乃爾大學一年級研究生羅特·莫里斯。這個程序只有99行,利用了Unix系統中的缺點,用Finger命令查聯機用戶名單,然后破譯用戶口令,用Mail系統復制、傳播本身的源程序,再編譯生成代碼。最初的網絡蠕蟲設計目的是當網絡空閑時,程序就在計算機間“游蕩”而不帶來任何損害。當有機器負荷過重時,該程序可以從空閑計算機“借取資源”而達到網絡的負載平衡。而莫里斯蠕蟲不是“借取資源”,而是“耗盡所有資源”。
1990年5月5日,紐約地方法庭根據羅伯特·莫里斯設計病毒程序,造成包括國家航空和航天局、軍事基地和主要大學的計算機停止運行的重大事故,判處莫里斯三年緩刑,罰款一萬美金,義務為新區服務400小時。莫里斯事件震驚了美國社會乃至整個世界。而比事件影響更大、更深遠的是:黑客從此真正變黑,黑客倫理失去約束,黑客傳統開始中斷,大眾對黑客的印象永遠不可能回復。而且,計算機病毒從此步入主流。
這個病毒專門針對微軟的電子郵件服務器和電子郵件收發軟件,它隱藏在一個Word97格式的文件里,以附件的方式通過電子郵件傳播,善于侵襲裝有Word97或Word2000的計算機。它可以攻擊Word97的注冊器并修改其預防宏病毒的安全設置,使它感染的文件所具有的宏病毒預警功能喪失作用。
在發現Melissa病毒后短短的數小時內,該病毒即通過因特網在全球傳染數百萬臺計算機和數萬臺服務器, 因特網在許多地方癱瘓。1999年3月26日爆發,感染了15%-20%的商業PC,給全球帶來了3億-6億美元的損失。許多公司不得不關掉自己的互聯網網關,以恢復其系統的控制。#p#
2000年5月3日,“我愛你” 首次在香港被發現。
蠕蟲病毒又稱情書或愛蟲。它是一個Visual Basic腳本,設計精妙,還有令人難以抗拒的誘餌——愛的諾言。
“我愛你”蠕蟲病毒病毒通過一封標題為“我愛你(ILOVEYOU)”、附件名稱為“Love-Letter-For-You.TXT.vbs”的郵件進行傳輸。和梅利莎類似,病毒也向Microsoft Outlook通訊簿中的聯系人發送自身,但它的傳播大約比梅利莎快15倍的,它還大肆復制自身覆蓋音樂和圖片文件。更可氣的是,它還會在受到感染的機器上搜索用戶的賬號和密碼,并發送給病毒作者。
據美國報道,“我愛你”至少使50萬臺電腦感染,并切斷互聯網接入的許多大型組織,并引發大量的批評和模仿性感染。
由于當時菲律賓并無制裁編寫病毒程序的法律,“我愛你”病毒的作者因此逃過一劫。
“紅色代碼”是一種計算機蠕蟲病毒,能夠通過網絡服務器和互聯網進行傳播。2001年7月13日,紅色代碼從網絡服務器上傳播開來。它是專門針對運行微軟互聯網信息服務軟件的網絡服務器來進行攻擊。極具諷刺意味的是,在此之前的六月中旬,微軟曾經發布了一個補丁,來修補這個漏洞。
“紅色代碼”還被稱為Bady,設計者蓄意進行最大程度的破壞。被它感染后,遭受攻擊的主機所控制的網絡站點上會顯示這樣的信息:“你好!歡迎光臨www.worm.com!”。隨后,病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續大約20天,之后它便對某些特定IP地址發起拒絕服務(DoS)攻擊。在短短不到一周的時間內,這個病毒感染了近40萬臺服務器,據估計多達100萬臺計算機受到感染。
SQL Slammer也被稱為“藍寶石”(Sapphire),2003年1月25日首次出現。它是一個非同尋常的蠕蟲病毒,給互聯網的流量造成了顯而易見的負面影響。有意思的是,它的目標并非終端計算機用戶,而是服務器。它是一個單包的、長度為376字節的蠕蟲病毒,它隨機產生IP地址,并向這些IP地址發送自身。如果某個IP地址恰好是一臺運行著未打補丁的微軟SQL服務器桌面引擎(SQL Server Desktop Engine)軟件的計算機,它也會迅速開始向隨機IP地址的主機開火,發射病毒。正是運用這種效果顯著的傳播方式,SQL Slammer在十分鐘之內感染了7.5萬臺計算機。龐大的數據流量令全球的路由器不堪重負,如此循環往復,更高的請求被發往更多的路由器,導致它們一個個被關閉。
據媒體報告,由于SQL Slammer爆發的日期是星期六,破壞所造成的金錢損失并不大。盡管如此,它仍然沖擊了全球約50萬臺服務器,韓國的在線能力癱瘓長達12小時。
該蠕蟲,使用Perl腳本語言寫成,利用 PHPBB 2.0.10以前版本存在的PHPBB遠程URL解碼函數輸入確認漏洞(PHPBB Remote URLDecode Input Validation Vulnerability,也叫 Highlight漏洞),進行SQL注入,從而執行Perl感染代碼。該蠕蟲傳播是通過Google,搜索關鍵字“viewtopic.php”實現的(而目前Google已經封了來自Santy的搜索,所以Santy已不會傳播),搜索到可能存在漏洞的網頁后,則嘗試溢出攻擊:
攻擊成功后會將自身復制到感染機器,命為:m1ho2of。然后運行這個文件。病毒內包含一個記錄器,記錄蠕蟲運行的次數(NeverEverNoSanity WebWorm generation 12.)。并嘗試替換 ".htm", ".php", ".asp", ".shtm", ".jsp" 和 ".phtm" 的頁面內容。#p#
Conficker,也被稱作Downup,Downadup或Kido,Conficker蠕蟲最早于2008年11月20日被發現的以微軟的windows操作系統為攻擊目標的計算機蠕蟲病毒。迄今已出現了A、B、C、E四個版本,目前全球已有超過1500萬臺電腦受到感染。Conficker主要利用Windows操作系統MS08-067漏洞來傳播,同時也能借助任何有USB接口的硬件設備來感染。
紐約時報報道,直到二零零九年一月二十二日conficker感染了九百萬臺計算機
而衛報估計三百五十萬計算機被感染。而殺毒軟件廠商F-Secure報告說被conficker感染的計算機達到九百萬到二零零九年一月二十六日,它感染了超過一千五百萬計算機使它成為最近感染最廣泛的病毒。
二零零九年二月十二日,微軟宣布成立一個科技產業合作,以打擊Conficker的影響。合作組織涉及Microsoft,Afilias, ICANN, Neustar, Verisign, CNNIC, Public Internet Registry,Global Domains International, Inc., M1D Global, AOL, Symantec,F-Secure, ISC, researchers from Georgia Tech, The ShadowserverFoundation, Arbor Networks and Support Intelligence.
微軟正試圖給一年中惡劣影響的蠕蟲病毒犯罪予壓力,提供二十五萬美元的獎金給提供制造Conficker作者信息,讓conficker作者定罪的人。微軟希望幫助當局捕獲這個病毒的責任人。獎金在任何一個國家的法律都有效,因為網絡病毒影響全世界的網絡。Conficker病毒的信息應該按照國際法的相關細則辦理,至目前為此,其制造者一直是個迷,如果其制造者身份得以弄清楚,其制造者將躋身全球最著名5大黑客。
超級工廠病毒是世界上首個專門針對工業控制系統編寫的破壞性病毒,能夠利用對windows系統和西門子SIMATIC WinCC系統的7個漏洞進行攻擊。特別是針對西門子公司的SIMATIC WinCC監控與數據采集 (SCADA) 系統進行攻擊,由于該系統在我國的多個重要行業應用廣泛,被用來進行鋼鐵、電力、能源、化工等重要行業的人機交互與監控。 傳播途徑:該病毒主要通過U盤和局域網進行傳播。歷史“貢獻”:曾造成伊朗核電站推遲發電。 2010-09-25,進入中國。
【編輯推薦】
