1.4.3 病毒的发展过程

1.4.3  病毒的发展过程

相对于操作系统的发展，计算机病毒大致经历了以下阶段。

1. DOS引导阶段

1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”、2708病毒和“石头”病毒。那时的电脑硬件较少，功能简单，经常使用软盘启动和用软盘在计算机之间传递文件。而引导型病毒正是利用了软盘的启动原理工作，修改系统引导扇区，在电脑启动时首先取得控制权，减少系统内存，修改磁盘读写中断，在系统存取磁盘时进行传播。

2. DOS可执行阶段

1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，如“耶路撒冷”、“星期天”等病毒。可执行型病毒的代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。1990年，这种病毒发展成复合型病毒，可同时感染COM和EXE文件。

3. 伴随体型阶段

1992年，伴随型病毒出现，它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒，它感染EXE文件的同时会生成一个和EXE同名而扩展名为COM的伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，总是先加载扩展名为COM的文件，病毒文件会取得控制权，优先执行自己的代码。该类病毒并不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可，非常容易。其典型代表是“海盗旗”病毒，它在得到执行时，询问用户名称和口令，然后返回一个出错信息，并将自身删除。

4. 变形阶段

1994年，汇编语言得到了快速的发展。要实现一种功能，通过汇编语言可以用不同的方式来实现，这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的变形病毒“幽灵病毒”就是利用了这个特点，每感染一次就产生不同的代码。例如，“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，因此加大了查毒的难度。变形病毒是一种综合性病毒，它既能感染引导区，又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

5. 变种阶段

1995年，在汇编语言中，一些数据的运算放在不同的通用寄存器中可运算出同样的结果，随机插入一些空操作和无关命令，也不影响运算的结果。这样，某些解码算法可以由生成器生成不同的变种。其代表——“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时不能使用传统的特征码识别法，而需要在宏观上分析命令，解码后方可查解病毒，大大提高了复杂程度。

6. 蠕虫阶段

蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行蠕动。1995年，随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在Windows操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也存在网络服务器和启动文件中。

7. PE文件病毒

从1996年开始，随着Windows的日益普及，利用Windows进行工作的病毒开始发展，它们修改(LE，PE)文件，典型的代表是1999年出现的CIH，这类病毒利用保护模式和API调用接口工作。

8. 宏病毒阶段

1996年以后，随着MS Office功能的增强及流行，使用Word宏语言也可以编制病毒，这种病毒使用VBasic Script语言，编写容易，感染Word文件和模板。同时也出现了针对Excel和Lotus中的宏的宏病毒。

9. 互联网病毒阶段

1997年以后，因特网发展迅速，各种病毒也开始利用因特网进行传播，一些携带病毒的数据包和邮件越来越多，如果不小心打开了这些邮件或登录了带有病毒的网页，计算机就有可能中毒。典型代表有“尼姆达”、“欢乐时光”和“欢乐谷”等病毒。

以2003年出现的“冲击波”病毒为代表，出现了以利用系统或应用程序漏洞，采用类似黑客手段进行感染的病毒。