近代病毒的特征是多样化,结合化,跨平台。对社会工程的依赖大于对技术问题的依赖,传播中对于网络的依赖大于对软盘的依赖。种种病毒多数是通过社会工程方法或者漏洞来传播的。此时也大规模的兴起了后门运动。满世界飞的后门造就了很多Cracker,有害代码的破坏力展露无疑。

AD 1998,木马后门首次为大众所知,代表作 Back Orifice,作者 死牛崇拜(Cult Dead Cow)。

贝壳评论:

1998年真是电脑界风云之年,win98出世,BO发布,CIH流行,java病毒出现,到处充满了生机(如果这个算是生机的话)。BO作为木马,不是最早的一个。但是作为近代木马的鼻祖,BO当之无愧。木马自Unix产生以来就出现了,最早是管理员用来方便自己进出的后门,或者诱骗套取密码用。BO发布的木马可以在win9X系统上开个洞,使得别人任意操控机器。当今世界九成以上的破坏性代码(或者说恶意代码),均结合了这个特点,在侵入别人的机器后会留下后门方便作者进出,或者窃取用户各类密码。

说到死牛崇拜,还有个好笑的事情。在美国拉斯维加斯第七届“黑客”周年大会上,黑客组织“死牛崇拜” 推出特洛伊木马型黑客软件Back Orifice 2000。然而15日“死牛帮”证实其推出的正式版“BackOrifice2000”软件光盘确实感染了CIH病毒……

AD 1999,中国木马兴起,代表作 glacier,作者 西安电子科技大学 黄鑫。

冰河为国内相当优秀的木马,即使在国际上也非常有名。现今很多出名的黑客都是利用冰河迈向通往黑客道路的第一步的。黄鑫的冰河让很多人体会了做黑客的快感,更让很多人了解了网络安全的重要性。此人目前为网站“安全焦点” 的工作人员,水平极高。在安焦论坛上经常可以见到,大家不妨去过把名人瘾,要两个签名来留念……

AD 1999,Millenniu蠕虫出现,作者未知。这是迄今为止最没有名气的一种病毒,只有一个人报告受到感染。因此此病毒入选最没有名气病毒奖……

AD 1999,邮件蠕虫兴起,代表作 W97M/Melissa,作者 David L.

Smith。不要被骗了哦,W97M中指的是win97。时间大约是99年(贝壳在symantec的安全响应中心99年才找到它的资料)。

AD 2000.5,邮件蠕虫和脚本病毒的结合,代表作 VBS.LoveLetter,作者未知。

AD 2000.10,嵌入式系统病毒出现,代表作 Palm.Phage.Dropper,作者未知。这是一个感染PlamOS的病毒,感染能力很小。但是代表嵌入设备病毒首次出现。

AD 2000.11,PHP网页病毒出现,代表作 PHP.Pirus,作者未知。

AD 2000,史上最出名的本地漏洞出现,代表作 win2000,作者Bill.Gates。

贝壳评论:

windows2000的输入法漏洞可以号称是计算机史上最出名的漏洞了,直到去年还出现了一种新的表现形式。输入法漏洞以其简洁有效,立竿见影而著称。任何人都可以轻易学会,从而进入不是自己的系统里面去。漏洞总共有三种表现形式。一个是登陆时使用输入法,察看帮助,Internet属性。一个是登陆是等待,直到KV系列杀毒软件跳出来(怎么又是你)。一个是在特定输入法中按特定键序列,导致缓冲溢出。(这个去年才出来) AD 2001,史上最出名网络漏洞,UNICODE绕回漏洞出现,代表作 IIS5,作者Bill.Gates,发现者NSFOCUS。

贝壳评论:

这个漏洞是下面的红码的基础,红码在窜入新的机器前就扫描此漏洞。并且在远程下载病毒执行。漏洞简单来说就是在UNICODE解码的时候检验不严格,导致可以执行任何一个同盘上的文件。严格来说,如果在IIS或者NTFS安全属性上设置过的话,或者使用了安全策略和IPSEC,漏洞都不会作用。但是漏洞之所以出名就是因为连IIS都是大家糊里糊涂装上去的……

其攻击形式大致如下: (此处省略,否则无法发表) 想当年我的IIS上面一半都是这种扫描代码。虽然我开了各种安全配置,而且上了补丁,上了IISLock。不过机器不停跑这种东西还是非常讨厌的,最终导致了贝壳的个人网站的倒站(太麻烦了)。

AD 2001.8,新一代蠕虫,红色代码II出现。

贝壳评论:

红色代码不同于以往蠕虫的是,它不使用感染文件的方法驻留在系统内部,因此可以简单的通过重起解除感染。但是问题在于,如果没有打补丁,重起后会重新感染病毒。这点和Blaster很像,但是Blaster还会定时重起,导致无法下载补丁。由于很多默认安装的个人win2000系统安装了没有必要的IIS组件,导致了该病毒大量感染。其声势不在Morris之下。

AD 2001.9,反蠕虫蠕虫,W32.BlueCode.Worm出现。此病毒的目的是为了解除红码的流行。在利用和红码相同的漏洞入侵系统后,此病毒会去下载补丁并且清除红码。而后寻找下个中毒机器,并且消灭自身。作为反蠕虫蠕虫,早在磁芯大战(Core War)的年代就出来过了。不过其合法和有效性一直没有得到肯定。

近代的结束年月并无法详细划定,不过我将其定为2001年9月。因为此时出现了一种混合型的病毒,结合了蠕虫,后门,病毒的特征。此后的有害代码正向混合化的方向发展。