Windows电脑已被围困了20年。什么区别这两个几十年。
Windows小时候,病毒跑了从系统到系统,偶尔删除文件——这几乎总是被检索和设置对话框不可理解的内容,像数字1。如今,Windows恶意软件锁你的数据和持有赎金。它操纵你的电脑发动攻击,矿山申请信用卡号码和密码,和集与野生放弃核离心机旋转——讨厌的东西。
(Windows 7巨大影响到商业。但与新的安全威胁和安全方法。信息世界的专家贡献者向您展示如何获得新的操作系统的“Windows 7的安全深度潜水“PDF指南。]
一路上,Windows恶意软件已经催生了一些数十亿美元的反病毒公司,足够的文章来填补亚历山大图书馆的启发,创造就业机会对于许多数以万计的安全专家,并导致超过十亿特大号的头痛。
这些讨厌的程序没有变形从蹒跚学步到kickfighter过夜。已经有明显的继承,方式,方法,和目标随时间变化的明确。与任何技术一样,创新思维指明了前进的方向。来看看如何聪明才智邪恶的目的已经改变了Windows侵入一个数十亿美元的产业,而Windows mailware线索指向未来。
早期的流氓的画廊
一些最具创新和(仍然)普遍的恶意软件技术到达黎明的窗口,与前几年Windows 3.0设置Windows恶意软件的坚实基础。
举个例子,VirDem,第一个病毒感染可执行文件。拉尔夫汉堡病毒于1986年在德国创建坚持自我复制的程序的一个COM文件和原始指令结束移动。随后不久级联出现在1987年作为第一个病毒,使用加密来伪装自己。不幸的是,在所有被感染的文件加密程序是一样的,所以容易扫描仪把它捡起来。#失败。
幽灵球(代码骄傲地宣称“冰岛产品/版权©1989”)两种感染技术相结合,创建第一个多国参加的或混合病毒的威胁。幽灵球高度本身COM文件和传播通过复制其他COM文件本身,但它也寻找一个磁盘a:驱动器,如果找到,副本修改引导扇区病毒到软盘上。
克服级联的先天性缺陷,1990年马克沃什伯恩了1260年,第一个多态病毒。多态病毒改变每次他们——通常改变加密加密程序本身,使检测更加困难。
飞行在雷达的做法是两个病毒于1990年推出,佛罗多和鲸鱼,都被称为隐形病毒,因为他们小心翼翼隐藏自己。弗罗多了Windows撒谎感染COM文件的大小,这样他们看起来好像他们没有感染。鲸——9 kb,迄今为止最大的病毒——弗罗多技术隐藏它的大小和使用1260特色变化本身。无论是节目感染了多少东西,但都擅长隐藏。
二十年后,Windows恶意软件万神殿满满感染可执行文件运行,多国参加的,多态,隐形技术。
微软的崛起宏观病毒
Windows 3.0旗开得胜的5月22日,1990年,很快,会使用平台。除了米开朗基罗,一个普通的引导扇区病毒拿出Windows机器上,短语“计算机病毒”注入地球上几乎每一种语言,和帮助证实了利润丰厚的杀毒行业,病毒创新停滞不前。然后在1995年的夏天,一个顿悟:有人——我们仍然不知道是谁写的一个非常简单的宏使用WordBasic病毒,Microsoft Word背后的宏语言。
文件感染了这种病毒,当打开使用词6,添加四个宏词的默认模板,正常。点,然后感染任何后续Word文档保存。宏有无害的有效载荷,它显示一个奇怪的对话框与数字1。宏代码包含文本”,这足以证明我的观点”,因此,这个名字概念。
闸门破裂。在1995年8月下旬,几个微软员工告诉我,超过80%的个人电脑在校园微软雷德蒙被感染的概念,这在几周内传遍世界。反病毒公司炒,试图防止这种全新的攻击向量,和病毒作者,由宏观病毒辅助施工工具在1996年广泛分布,吵得不亦乐乎。词最初的跳动,但随后Excel电子表格受到攻击,首先与Laroux,然后泛滥的1000多个宏观病毒。
微软Office 97的支撑安全,但病毒作者很快想出了如何规避管制,和许多老病毒自动转换到新系统,使用微软的自动升级工具。潮流才转变杀毒厂商开始占上风,主要是通过蛮力,微软终于感染2000年办公室更加困难。即便如此,Word和Excel宏攻击仍是一个无所不在的微软恶意软件景观的一部分,直到最终改变了默认的文件格式在Office 2007。
本世纪末:通信的攻击
windows恶意软件进入台湾大时候程序员,陈Ing Hau慢性间歇性低氧(又名切尔诺贝利)创建的,因此采取隐形感染到一个新的高度。
使用的变幻莫测可移植可执行文件格式,CIH把自己塞进一个EXE文件的部分之间的主要部分,感染文件在不改变其大小。那些不幸有这些间隙感染在Windows 95、98,或者我系统醒来4月26日,1999年,给电脑。CIH病毒是一个毁灭性的,但它不容易传播。
电子邮件成为有效的交付机制——一个点不是错过的歹徒好时光的骗局(“如果你读消息的主题“好时光”你的硬盘会被摧毁”)害怕数百万。
恶意软件技术的下一个大跳到了烟花,印有一个窗口标题为“1999年新年快乐!”Happy99, aka SKA, infects by hijacking a Windows program, taking over the communications program Wsock32.dll. If you send a message from an infected machine, the bogus Wsock32.dll delivers the message, but then shoots out a second, blank message to the same recipient with an attached file, usually called Happy.exe. If the recipient double-clicks on the file, they're greeted with a fireworks display -- and a nasty infection.
Happy99之前,其他恶意软件连接到Windows使用同样的技术,但Happy99有远见接管通信例程;因此,它丰富地传播。增加了力量:微软停止显示文件名扩展从Windows 95,所以大多数用户接收Happy99。exe文件只看到“Happy99”这个名字,都过于频繁点击它。
大卫·l·史密斯,新泽西州,梅丽莎写道,一个字宏观受感染电脑病毒扫描的Outlook地址簿和本身的副本发送给第一个50个条目。它是第一个成功的许多Windows spam-generating病毒的化身。
梅丽莎非常多产了交换服务器世界各地在3月26日,1999年。CERT说,一个服务器收到32000份梅丽莎在45分钟。史密斯先生为他的努力在联邦监狱服刑20个月。几个月后,另一个破坏性的病毒,ExploreZip,使用Outlook地址簿传播;它有一个坏习惯删除办公文档的覆盖。
20世纪的最后看到恶意软件作者利用Visual Basic脚本运行Windows脚本主机,一个组合将成为未来数年的非常成功。
的BubbleBoy通常病毒提出了第一个成功的驾车袭击。如果有人送你一个感染的消息——没有必要附加文件——打开消息在Outlook或预览Outlook Express,脸红心跳。BubbleBoy利用HTML和前景的倾向运行嵌入式Visual Basic脚本没有警告。
问题的根源?在那些日子里,前景使用Internet Explorer来显示基于html的电子邮件。即使你从未见过IE在行动,在那里,潜伏在背景,运行于程序未经许可。年后,Klez蠕虫使用相同的方法,但是使用不同的安全漏洞。
2000年5月5日,爱虫病毒蠕虫攻击,电脑永远不会是相同的。一个非常有效的社会示范工程技术驱动的恶意软件今天,受感染的文件附加到消息到达。消息的主题:叫LOVE-LETTER-FOR-YOU.TXT.vbs爱虫病毒和依恋。因为Windows藏.vbs文件名扩展,许多人(包括传闻,一个微软高管)双击后似乎是一个TXT文件并拍摄自己的脚,同样的致命缺陷与Happy99蠕虫,许多人感到意外。
爱虫病毒覆盖许多不同种类的文件然后步枪Outlook地址簿,每个地址发送副本本身,就像梅丽莎。5月4日开始蔓延,2000年。5000万年5月13日,电脑被感染。
几个非常成功的恶意软件攻击追随爱虫病毒技术的脚步。在2001年,安娜·库尔尼科娃蠕虫到达一个叫做AnnaKournikova.jpg.vbs电子邮件附件。Sircam抓住一个Word或Excel文件被感染的电脑上,发出了受感染的文件的版本使用相同的技术。许多机密文件去意想不到的接受者。还Sircam传播通过复制自身到网络共享。
僵尸网络的开始
不满足于仅仅通过互联网分发恶意软件,进取程序员开始致力于控制Windows电脑直接使用互联网。
1999年12月,巴西程序员使用名字Vecna释放一个新的木马巴比伦。而将CIH-style间隙感染和Happy99-style Winsock替换巴比伦王国带来了一个重要的新功能,恶意软件基因库:它给家里打电话,一分钟后,和更新本身如果新版本可用。
而其作者声称BackOrifice当然不是发明颠覆系统,它提供这种能力在Windows 95和98系统。就像今天的僵尸网络控制器,BackOrifice提供远程控制,运行一个PC从另一个的能力,在互联网上。BackOrifice不是病毒;相反,它是一个有效载荷等待沉积由病毒或木马。
的Sobig虫创造了第一个商业成功spam-generating僵尸网络,它通过受感染的电子邮件附件。一度,1除以20真的在互联网上电子邮件包含一个太长了。附件f感染。Sobig收集电子邮件地址从受感染的计算机上的文件。
破解到窗户上
到2001年,大多数感染恶意软件传播通过发送文件在互联网上或者通过被感染的网络共享文件。那一年,恶意软件作者扩大他们的视野,直接为安全漏洞在Windows本身。他们也跳起来几个复杂的水平。不再意图破坏数据或玩恶作剧,一些恶意软件作者把相当大的才能赚钱。
编码器臭名昭著的超过300000人感染Windows服务器,使用缓冲区溢出控制IIS和破坏受感染的服务器上的网站。CodeRed-infected机器发送缓冲区溢出数据包随机机器在袭击一个喷雾在互联网上。微软修补洞口编码器出现之前一个月,但管理员没有足够迅速地应用补丁。完全重写,编码器II,不仅从事喷雾攻击,还袭击了当地的机器。
然后尼姆达把蛋糕。过去五个不同感染向量:混合威胁的第一学位。尼姆达感染的电子邮件附件。它感染未受保护的网络共享。它试图记下网站。它在CodeRed-style服务器。它可以使用编码器留下的后门。
SQL监狱报道,2003年,在互联网上感染75000台机器在最初的10分钟,敲出互联网的大片区域。蠕虫利用SQL Server的一个安全漏洞和SQL桌面引擎,修补的六个月以前。它不会给硬盘本身的副本,而是简单地保持内存常驻:重新启动受感染的机器,它不是感染了。
像SQL监狱,爆破工(又名Lovsan)缩放整个互联网速度极快的扫描机器连接到互联网和传递本身。就像监狱一样,它使用了一个利用已修补。不像监狱,导火线攻击每一个Windows XP和Windows 2000电脑。有效载荷试图拿出DDoS攻击微软的windowsupdate.com网站。
今天的钱在哪里
僵尸网络形成年前仍在操作——这一事实现在不在迷失在那些资金丰厚的恶意软件行业。