计算机病毒的历史要点课件.ppt

1,计算机病毒及其防治Computer Virus Analysis and Antivirus,2,计算机病毒的历史,3,世界上第一台计算机诞生,1946年2月14日，宾夕法尼亚大学莫尔电气学院（Moore School of Electrical Engineering）的莫克利教授（John Mauchly）和埃克特工程师（J. Presper Eckert, Jr.）设计制造出了世界上第一台计算机ENIAC（Electronic Numerical Integrator And Computer）。,John Mauchly,J. Presper Eckert,4,5,“病毒”概念的最早出现,1945年约翰冯诺依曼（John Von Neumann）提交了改进ENIAC的EDVAC（Electronic Discrete Variable Automatic Computer）设计方案，引入了运算器、逻辑控制装置、存储器、输入和输出设备的概念。1949年，冯诺依曼在复杂自动装置的理论及组织(Theory and Organization of Complicated Automata)中提出了计算机程序能够在内存中自我复制。,John Von Neumann,6,Von Neumann and his IAS(Institute of Advance Study),IAS today,7,Darwin游戏,60年代初，AT&T公司的贝尔实验室（Bell Labs）中，三个年轻的小伙儿道格拉斯麦耀莱（Douglas McIlroy）、维特维索斯基（Victor A. Vyssotsky）和罗伯特莫里斯（Robert T. Morris, Sr.）编制出了一个运行在IBM 7090机器上、叫做Darwin(达尔文)的游戏。,Douglas McIlroy,IBM 7090,8,“Worm”程序,1982年，施乐（Xerox）公司研究中心的约翰肖奇（John F. Shoch）和乔恩贺普（Jon A. Hupp）设计出了能够占用其它机器空闲资源的Worm程序。爬行者 (Creeper) ，每一次把它读出时，它便自己复制一个副本。爬行者的唯一生存目的就是繁殖。 “收割者”(Reaper)，它的唯一生存目的便是找到爬行者，把它们毁灭掉。当所有爬行者都被收割掉之后，收割者便执行最后一项指令：毁灭自己，从电脑中消失。,9,“磁芯大战”（Core War）,磁芯大战（Core War）是1984年由杜特尼（A. K. Dewdney）和琼斯（D. G. Jones）设计出来的，吸取了Darwin游戏和Worm的思想。,Alexander Keewatin Dewdney,10,虚幻的计算机战争,1975年，美国科普作家约翰布鲁勒尔(John Brunner)写了一本震荡波骑士(The Shockwave Rider)，成为当年最畅销书之一。书中描述一个极端主义政府利用超级计算机网络控制民众，自由主义战士利用一种称为“tapeworm”的程序，感染了整个网路，致使政府不得不关闭这个网络，最终打败了极端主义政府。,John Brunner,11,“计算机病毒”概念的提出,1977年夏天，托马斯捷瑞安（Thomas J. Ryan）的科幻小说P-1的青春（The Adolescence of P-1）成为美国的畅销书。作者幻想了世界上第一个计算机病毒（P-1），可以从一台计算机传染到另一台计算机，最终控制了7000台计算机，酿成了一场灾难。Computer Virus这个词就是在这部科幻小说中首次出现的。,12,第一例个人计算机的病毒,1982年，运行在Apple II计算机上的病毒Elk Cloner被发现Richard Skrenta编写，当时9年级。病毒感染磁盘，然后驻留内存，感染任何插入磁盘驱动器的软盘。如果用被感染的磁盘启动达到50次，会在屏幕上出现： Ref.：http:/,Rich Skrenta,Elk Cloner: The program with a personalityIt will get on all your disks It will infiltrate your chips Yes its Cloner!It will stick to you like glue It will modify ram too Send in the Cloner!,13,实验室中的病毒,1983年11月3日，当时在南加州大学（USC：University of Southern California）攻读博士的弗雷德科恩（Fred Cohen）研制出一种在运行过程中可以复制自身的程序。他的导师伦艾德勒曼（Leonard M. Adleman）将这种程序命名为“Virus”。,Fred Cohen,14,实验室中的病毒,经过8小时的努力，病毒代码在VAX 11/750计算机系统上编写完成，一周内获得试验许可，并进行了5次试验。11月10日F. Cohen将病毒程序演示给安全讨论会成员，从而在实验上验证了计算机病毒的存在。病毒程序被称为vd，看上去为图形化展示目录内容的功能，实际上感染了该病毒的程序运行中将获得系统权限，并将权限传递给其他用户。1984年，科恩以Computer Virus - Theory and Experiments为博士毕业论文，阐述了计算机病毒实际存在，引起世界的广泛关注。,15,第一例特洛伊木马程序,1985年，出现了第一例特洛伊木马程序（Trojan horse）：EGABTR该程序通过mailbox传播，伪装成图形增强程序，描述文字说可以提高你的IBM EGA显示性能，但实际上运行后即删除磁盘上的FAT表，并在屏幕上显示Arf! Arf! Got you!,16,第一例IBM PC病毒,1986年初，在巴基斯坦(Pakistan)的拉合尔(Lahore)，巴锡特（Basit Farooq Alvi）和阿姆杰德（Amjad Farooq Alvi）两兄弟编写了“Brain病毒”又称为(C)Brain病毒、大脑病毒、巴基斯坦大脑病毒、Pakistan病毒，等1987年，这个病毒流传到了世界各地。它也是世界上第一例广泛传播的病毒。,17,更多关于Brain病毒的信息,初衷是为了保护自己搭卖的软件不被非法拷贝。也有一种说法是为了扩大知名度故意编了这个病毒。只感染软盘，将卷标修改为(C) BRAIN，并显示：现在的Brain公司：http:/www.brain.pk,Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS. Contact us for vaccination. $#%$!,18,x86上首例试验型COM文件病毒,1986年，德国的程序员Ralf Burger发现了通过在COM文件里加特定代码，使程序可以自己复制的方法。这个程序的试验版本被称作VirdemBurger本人在1986年12月在汉堡开的黑客们的地下计算机专栏Chaos Computer Club里，专门演示了Virdem的性能。当时，Chaos Computer Club的主要会员，都是VAX/VMS系统的黑客，对会员中的一人专门研究IBM兼容机表示了失望。1987年，基于Virdem思想的Vienna病毒流行。调查显示，Franz Svoboda是从 Ralf Burger那里拿到这个病毒的。但是，Ralf Burger坚持病毒是从Franz Svoboda那里拿到的。,19,最差劲的预言,1988年，当时的著名程序员Peter Norton在被采访时说，计算机病毒只是一个神话，引起了不少争议。Peter Norton是著名的Norton Utilities的作者。有趣的是，当他把他的公司卖给赛门铁客公司（Symantec）以后，Symantec用Norton这个品牌出品了不少软件。其中就包括著名的反病毒软件Norton AntiVirus,20,首例可感染硬盘的病毒,1988年，出现感染引导扇区的Stoned病毒感染的磁盘启动时会显示：“Your computer is now stoned.”或者Your PC is now Stoned! 后来出现90多个变种，包括可以感染主引导记录(MBR)的变种,21,我国的第一例病毒感染事件,1988年底据计算机世界报道，在我国的统计部门多台计算机上发现的“小球病毒”，也称为PingPong病毒小球病毒发作后，在电脑屏幕上生成一个上下跳跃的小球“小球病毒”是我国报道的首例计算机病毒感染事件,22,“莫里斯蠕虫”事件,1988年11月2日，就读于康奈尔大学（Cornell University）的罗伯特莫里斯（Robert Tappan Morris, Jr.）选择从MIT大学节点向Internet网络释放了一个自动寻找主机并向新的主机不断复制自己的程序，这就是著名的“莫里斯蠕虫”（Morris Worm）。“莫里斯蠕虫”事件现在已被认定是计算机病毒发展史上极具影响力的事件。,Robert T. Morris, Jr,23,“莫里斯蠕虫”事件后续报道,2天内包括5个计算机中心和12个地区结点，连接着政府、大学和研究所的大约6,0009,000台计算机系统遭受攻击，造成Internet不能正常运行。有评估说这次事件造成的直接经济损失大约在每个计算机系统$200$53,000之间，总合大约9600万美元。小罗伯特莫里斯被判3年缓刑，罚款1万美元，进行400小时的社区服务。一个月后，CERT/CC组织成立。,24,病毒被第一次用于实战,1991年1月，在第一次海湾战争“沙漠风暴”行动（Operation：Desert Storm）前，美军特工将计算机病毒植入伊拉克作战指挥系统，旨在破坏伊拉克防空系统。这是计算机病毒第一次用于实战。AF/91：一种说法是通过植入打印机的特定芯片传播；另一种说法是美国专家通过分析找到伊拉克国家通讯网的接口，然后将具有神经网络细胞式自我变异的病毒程序传播进去。伊拉克也使用了“犹太人”病毒和“大麻”病毒 。,25,DOS年代的病毒,1991年发现首例网络计算机病毒GPI，它突破了NOVELL Netware网络安全机制。1992年出现实现机理与以文件型病毒有明显区别的DIR II病毒。1994年5月，南非第一次多种族全民大选的记票工作，因计算机病毒的破坏而停顿达30余小时，被迫推迟公布选举结果。,26,宏病毒的出现,1995年，随着MS Windows 95的发布，微软Windows操作系统和MS Office办公自动化软件占据了主导地位。1995年，出现第一个针对微软MS Word软件的宏病毒（Macro Virus）“Concept”病毒，又称为Prank病毒。同时，第一例感染中文Word的宏病毒“台湾1号”（Taiwan No.1）也出现了。1997年，随着Office 97的发布，宏病毒进入空前泛滥的阶段，这一年被公认为计算机“宏病毒”年。,27,“病毒生产机”出现,1996年我国出现专门用来生成病毒的“病毒生产机”“病毒生产机”的出现，使得计算机病毒的编制变得非常容易。病毒进入了“批量生产”的阶段由于技术所限，“病毒生产机”所能够产生的病毒仅限于DOS病毒“病毒生产机”的代表：G2、IVP、VCL其实国外早在1992年就出现了类似软件,28,首例造成硬件故障的计算机病毒,1998年，出现直接攻击和造成计算机硬件系统故障的CIH病毒。三个重要的版本：CIH 1.2(每年4/26发作)，CIH 1.3(每年6/26发作），CIH 1.4（改为每月26日发作）1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。,陈盈豪,29,1998年，在这一年,8月，出现首个具有自我复制能力的Java程序病毒Java.StrangeBrew，感染.class文件出现首例感染HTML文件的病毒HTML Internal，仅能通过IE进行传播。11月，出现首例利用VBS进行传播的脚本病毒VBScript.Rabbit，感染.vbs文件,30,1999年，在这一年,3月26日，出现第一例通过email进行传播的Melissa病毒（梅丽莎病毒）。挂接协议栈（wsock32.dll）进行传播的Happy99病毒Win32_PE格式破坏力极强的Funlove病毒大量通过邮件系统传播的病毒，如PrettyPark（美丽公园）、ExplorerZip等。,31,2000年，在这一年,Win2000.Installer病毒，只能在Windows 2000系统下感染。2000年5月，LoveLetter（“爱虫”）病毒在全世界爆发。,32,2001年，在这一年,“红色代码”、“蓝色代码”、“Nimda”等大量针对IIS漏洞的病毒伪装成明星照片的“库尔尼科娃”病毒国产的HappyTime（“欢乐时光”）病毒通过P2P软件进行传播的Gnutelman木马第一例跨Windows和Linux操作系统感染的PEElf病毒,33,2002年，在这一年,通过ICQ的联系人名单传播的Klez病毒（“求职信”病毒）感染flash文件的SWF.LFM病毒通过电子邮件偷偷向外发送Office文档的SirCam病毒BugBear病毒（监控键盘输入，杀掉反病毒程序进程）,34,2003年，在这一年,年初，出现攻击数据库系统的SQLSlammer（SQL蠕虫）病毒史上传播最快的大无极(SoBig)病毒8月12日，出现利用RPC漏洞进行传播的Blaster（冲击波）病毒，也被称为lovesan病毒，原定8月16日攻击Windows Update网站，但是微软在那一天临时关闭了网站。8月19日出现专门针对Blaster的Welchia病毒，能够自动安装到感染了Blaster的机器上，并自动打补丁。以毒攻毒，但最终用户只有受害，没有受益。,35,2004年，在这一年,QQ小尾巴、MSN.Funny（MSN小尾巴）病毒，利用即时通信软件传播，导致网站不可访问5月，SASSER（震荡波）病毒6月14日，出现第一个利用蓝牙技术进行传播的手机病毒EPOC.Cabir（食人鱼病毒）第一例感染PocketPC系统（WinCE）的概念型病毒Dust第一例64位操作系统上的Rugrat病毒，该病毒无法在32位操作系统上运行。MAC机的木马MP3Concept，伪装成MP3文件3月3日短时间内出现大量Netsky、 Mydoom、Beagle等蠕虫病毒的变种。这是病毒制造者们“黑帮火拼”的结果，一方是Netsky的作者，一方是Mydoom和Beagle的作者。,36,2005年，在这一年,通过MSN传播的MSN.DropBot（MSN“性感鸡”）病毒利用微软操作系统中即插即用服务漏洞的Zobot（极速波）病毒出现感染Nokia使用Sybian操作系统智能手机的SYMBOS_COMWAR病毒病毒逐渐体现出混合式攻击（Malware Tandem）的特点：木马式的隐藏入侵、蠕虫式的迅速传播、间谍软件式的伪装和信息盗取针对反间谍软件、反病毒软件防护进行破坏,37,2006年，在这一年,病毒数量大幅增加，突出表现为木马、间谍软件等恶意代码数量持续增长 “熊猫烧香”、“维金”、“灰鸽子”等混合式攻击病毒给互联网造成了严重的威胁间谍软件呈现出商业化、集团化，带有明显的利益特征，有窃取个人资料、各种帐号密码等行为流氓软件被炒得沸沸扬扬采用加壳、Rootkits、网站挂马等技术进行传播和对抗杀毒软件,