1.1.3 計算機病毒的產(chǎn)生與發(fā)展

馮·諾伊曼是20世紀最杰出的數(shù)學家之一，在他的一篇論文《復(fù)雜自動裝置的理論及組織的進行》中，早已勾勒出病毒程序的藍圖。不過，在當時大多數(shù)的計算機專家都無法想象會有這種能自我繁殖的程序。1975年，美國科普作家約翰·布魯勒爾（John Brunner）寫了一本名為《震蕩波騎士》（Shock Wave Rider）的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。1977 年，托馬斯·捷·瑞安在其科幻小說《P-1的春天》（也是當年的美國的暢銷書）中就描寫了一種可以在計算機中互相傳染的病毒，病毒最后控制了7000 臺計算機，造成了一場災(zāi)難。而幾乎在同一時間，美國著名的AT&T貝爾實驗室中，3個年輕人在工作之余，很無聊地玩起了一種游戲：彼此編寫出能夠吃掉別人程序的程序來互相作戰(zhàn)。這個叫做“磁芯大戰(zhàn)”的游戲，進一步將計算機病毒的概念體現(xiàn)了出來。

1983年11月3日，弗雷德·科恩博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼（Len Adleman）將它命名為計算機病毒（computer viruses），并在每周一次的計算機安全討論會上正式提出，8小時后專家們在 VAX11/750 計算機系統(tǒng)上運行了它，第一個病毒實驗成功，一周后又獲準進行5個實驗的演示，從而在實驗上驗證了計算機病毒的存在。1986年初，在巴基斯坦的拉合爾（Lahore），巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan 病毒，即C-BRAIN，該病毒在一年內(nèi)便流傳到了世界各地。由于當?shù)乇I拷軟件的風氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。只要有人盜拷他們的軟件，C-BRAIN就會發(fā)作，將盜拷者的硬盤剩余空間給吃掉。業(yè)界認為，這是真正具備完整特征的計算機病毒的始祖。

1988年3月2日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止了工作，顯示器只顯示“向所有蘋果電腦的使用者宣布和平”的信息，以慶祝蘋果機生日。1988年11月2日，美國6000多臺計算機被病毒感染，導(dǎo)致Internet不能正常運行。這是一次非常典型的計算機病毒入侵計算機網(wǎng)絡(luò)的事件，該事件迫使美國政府立即作出反應(yīng)，國防部成立了計算機應(yīng)急行動小組。這次事件中遭受攻擊的涉及5個計算機中心和12個地區(qū)結(jié)點，連接著政府、大學、研究所和擁有政府合同的250000臺計算機。在這次病毒事件中，計算機系統(tǒng)直接經(jīng)濟損失達9600萬美元。這個病毒程序的設(shè)計者羅伯特·莫里斯（Robert T.Morris），當年23歲，是在康乃爾（Cornell）大學攻讀學位的研究生，其設(shè)計的病毒程序便利用了系統(tǒng)存在的弱點。由于羅伯特·莫里斯是入侵ARPANET網(wǎng)的最大的電子入侵者，而獲準參加康乃爾大學的畢業(yè)設(shè)計，并獲得哈佛大學Aiken中心超級用戶的特權(quán)，但他也因此被判3年緩刑，罰款1萬美元，還被勒令進行400小時的社區(qū)服務(wù)。

計算機病毒并不是來源于突發(fā)或偶然的原因。一次突發(fā)的停電或偶然的錯誤，會在計算機磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的。而計算機病毒是一種比較完美的，精巧嚴謹?shù)拇a。這些代碼按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的。因此實際上計算機病毒是人為的特制程序。現(xiàn)在流行的病毒都是為了達到一定目的而由人為故意編寫的。多數(shù)病毒可以找到作者信息和產(chǎn)地信息。通過大量的資料統(tǒng)計分析來看，病毒作者主要目的一般是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，而特制的一些惡作劇程序，從中尋找整蠱的快感。而另一些則為了達到一定目的，如對上司的不滿、為了好奇、為了報復(fù)，或者為了謀取非法利益而編寫具有隱藏，偷竊等行為的病毒。當然也有因政治、軍事、宗教、民族、專利等方面需求而專門編寫的，其中也包括一些病毒研究機構(gòu)和黑客的測試病毒。計算機病毒的產(chǎn)生是計算機技術(shù)和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。其產(chǎn)生的過程為：程序設(shè)計、傳播、潛伏、觸發(fā)、運行、實行攻擊。究其產(chǎn)生的原因不外乎以下幾種。

（1）一些程序設(shè)計者出于好奇或興趣，也有的是為了滿足自己的表現(xiàn)欲或者一些搞計算機的人員和業(yè)余愛好者的惡作劇、尋開心故意編制出一些特殊的計算機程序。這些程序讓別人的計算機出現(xiàn)一些動畫，或播放聲音，或別的惡作劇，以顯示自己的才干。而這種程序流傳出去就演變成了計算機病毒，此類病毒破壞性一般不大。例如，像圓點一類的良性病毒。

（2）軟件公司及用戶為保護自己的軟件被非法復(fù)制而采取的報復(fù)性懲罰措施。因為他們發(fā)現(xiàn)對軟件上鎖，不如在其中藏有病毒對非法復(fù)制的打擊大。于是就運用加密技術(shù)編寫一些特殊程序附著在正版軟件上，如遇到非法使用，則此類程序自動被激活，于是又會產(chǎn)生一些新病毒，如巴基斯坦病毒。這更加助長了各種病毒的傳播。

（3）旨在攻擊和摧毀計算機信息系統(tǒng)和計算機系統(tǒng)而制造的病毒——就是蓄意進行破壞。例如，1987年底出現(xiàn)在以色列耶路撒冷西伯萊大學的猶太人病毒，就是雇員在工作中受挫或被辭退時故意制造的。它針對性強，破壞性大，產(chǎn)生于內(nèi)部，防不勝防。

（4）用于研究或有益目的而設(shè)計的程序，由于某種原因，失去控制或產(chǎn)生了意想不到的效果。

（5）產(chǎn)生于游戲。編程人員在無聊時互相編制一些程序輸入計算機，讓程序去銷毀對方的程序，如最早的“磁芯大戰(zhàn)”。這樣，新的病毒又產(chǎn)生了。

（6）產(chǎn)生于個別人的報復(fù)心理，如臺灣地區(qū)的學生陳盈豪，就是屬于這種情況。他以前曾購買了一些殺毒軟件，但是，拿回家使用時發(fā)現(xiàn)，并不像廠家所說的那么厲害，殺不了什么病毒，于是他就想親自編寫一個能避過各種殺毒軟件的病毒，這樣，CIH就誕生了。這種病毒對計算機用戶曾造成一度的災(zāi)難。

（7）由于政治、商業(yè)和軍事等特殊目的。一些組織或個人也會編制一些程序用于進攻對方系統(tǒng)，給對方造成災(zāi)難或直接性的經(jīng)濟損失。

計算機病毒發(fā)展是伴隨著計算機硬件、軟件技術(shù)，尤其操作系統(tǒng)的發(fā)展而發(fā)展的。筆者簡要列舉一下計算機病毒如下的主要發(fā)展過程。

• 1977年由美國著名科普作家——雷恩，在一部科幻小說《P1的青春》中，首次提出了“計算機病毒”這一概念。
• 1983年美國計算機安全專家——考因，首次通過實驗證明了病毒的可實現(xiàn)性。
• 1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等，面對計算機病毒的突然襲擊，眾多計算機用戶甚至專業(yè)人員都驚慌失措。
• 1988年爆發(fā)了針對蘋果機的計算機病毒，這是由美國康奈大學的研究生——羅特·莫里斯制作的蠕蟲病毒導(dǎo)致網(wǎng)絡(luò)上6000多臺計算機受到感染。同年，我國也出現(xiàn)了能夠感染硬盤和軟盤引導(dǎo)區(qū)的Stoned病毒。
• 1989年全世界的計算機病毒攻擊十分猖獗，我國也未幸免。其中“米開朗基羅”病毒給許多計算機用戶造成了極大損失。
• 1991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)，在空襲巴格達的戰(zhàn)斗中，成功地破壞了對方的指揮系統(tǒng)，使之癱瘓，保證了戰(zhàn)斗的順利進行，直至最后勝利。
• 1992年出現(xiàn)針對殺毒軟件的“幽靈”病毒，如One-half。
• 1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。
• 1997年該年被公認為是計算機反病毒界的“宏病毒”年，“宏病毒”主要感染W(wǎng)ord、Excel等文件。如Word宏病毒，早期是用一種專門的Basic語言即WordBasic所編寫的程序，后來使用Visual Basic語言。與其他計算機病毒一樣，它能對用戶系統(tǒng)中的可執(zhí)行文件和數(shù)據(jù)文本類文件造成破壞。常見的如Twno.1（臺灣一號）、Setmd、Consept、Mdma等。
• 1998年出現(xiàn)針對Windows 95/98系統(tǒng)的病毒，如CIH（1998年被公認為是計算機反病毒界的CIH病毒年）。CIH病毒是繼DOS病毒、Windows病毒、宏病毒后的第四類新型病毒。這種病毒與DOS下的傳統(tǒng)病毒有很大不同，它使用面向Windows的VXD技術(shù)編制。1998年8月份從臺灣地區(qū)傳入內(nèi)地，共有三個版本：1.2版/1.3版/1.4版，發(fā)作時間分別是4月26日/6月26日/每月26日。該病毒是第一個直接攻擊、破壞硬件的計算機病毒，是迄今為止破壞最為嚴重的病毒。它主要感染W(wǎng)indows 95/98的可執(zhí)行程序，病毒發(fā)作時，硬盤驅(qū)動器不停地旋轉(zhuǎn)，硬盤上所有數(shù)據(jù)（包括分區(qū)表）被破壞，必須重新分區(qū)方有可能挽救硬盤；同時，對于部分廠家的主板（如技嘉和微星等），會將Flash BIOS中的系統(tǒng)程序破壞，造成開機后系統(tǒng)無反應(yīng)。
• 1999年Happy99等完全通過Internet傳播的病毒的出現(xiàn)標志著Internet病毒將成為病毒新的增長點。其特點就是利用Internet的優(yōu)勢，快速進行大規(guī)模的傳播，從而使病毒在極短的時間內(nèi)遍布全球。梅莉莎為首種混合型的巨集病毒——它通過襲擊MS Word作臺階，再利用MS Outlook及Outlook Express內(nèi)的地址簿，將病毒往電子郵件廣泛傳播。同年四月，CIH 病毒爆發(fā)，全球超過6000萬臺電腦被破壞。
• 2000年拒絕服務(wù)（Denial of Service）和戀愛郵件（Love Letters）“I Love You”拒絕服務(wù)襲擊，威力很大，致使雅虎、亞馬遜書店等主要網(wǎng)站服務(wù)癱瘓。同年，附著“I Love You”電郵傳播的Visual Basic腳本病毒，更被廣泛傳播，終令不少計算機用戶明白了小心處理可疑電郵的重要性。同年八月，也出現(xiàn)了首個只運行于Palm作業(yè)系統(tǒng)的木馬（Trojan）程序——“自由破解（Liberty Crack）”。這個木馬程序以破解Liberty （一個運行于Palm 作業(yè)系統(tǒng)的Game boy 模擬器）作為誘餌，致使用戶在無意中把這病毒通過紅外線資料交換或以電郵的形式在無線網(wǎng)中廣泛傳播。
• 2001年9月18日“尼姆達”病毒在全球蔓延，侵襲了830萬部電腦，造成近6億美元的損失。對于個人用戶的電腦，“尼姆達”可以通過郵件、網(wǎng)上即時通信工具和FTP程序同時進行傳染；對于服務(wù)器，“尼姆達”則采用和“紅色代碼”病毒相似的途徑，即攻擊微軟服務(wù)器程序的漏洞進行傳播。由于該病毒在自身傳染的過程中占用大量的網(wǎng)絡(luò)帶寬和計算機的內(nèi)部資源，因此許多企業(yè)的網(wǎng)絡(luò)受到了很大的影響，有的甚至癱瘓。
• 2002年 強勁多變的混合式病毒：求職信（Klez）及FunLove爆發(fā)。“求職信”是典型的混合式病毒，它除了會像傳統(tǒng)病毒般感染電腦文案外，同時亦擁有蠕蟲（worm）及木馬程序的特征。它利用微軟郵件系統(tǒng)自動運行附件的安全漏洞，耗費大量的系統(tǒng)資源，造成電腦運行緩慢直至癱瘓。該病毒除了以電子郵件作傳播途徑外，也可通過網(wǎng)絡(luò)傳輸和電腦硬碟共享把病毒散播。

自1999年以來，F(xiàn)unlove 病毒已為服務(wù)器及個人電腦帶來了很大的煩惱，受害者中不乏著名企業(yè)。一旦被其感染，計算機便處于帶毒運行狀態(tài)，它會再創(chuàng)建一個背景工作線程，搜索所有本地驅(qū)動器和可寫入的網(wǎng)絡(luò)資源，繼而在網(wǎng)絡(luò)中完全共享的文件中迅速地傳播。

• 2003年沖擊波（Blaster）and大無極（SOBIG）蔓延。“沖擊波”病毒于當年8月開始爆發(fā)，它利用了微軟操作系統(tǒng)Windows 2000 及Windows XP的安全、漏洞，取得完整的使用者權(quán)限，在目標計算機上執(zhí)行任何的程序代碼，并通過因特網(wǎng)，繼續(xù)攻擊網(wǎng)絡(luò)上仍存有此漏洞的計算機。由于防毒軟件也不能過濾這種病毒，病毒迅速蔓延至多個國家，造成大批電腦癱瘓和網(wǎng)絡(luò)連接速度減慢。繼“沖擊波”病毒之后，又發(fā)生了第六代的“大無極”計算機病毒（SOBIG.F）肆虐，并通過電子郵件擴散。該“大無極”病毒不但會偽造寄件人身份，還會根據(jù)計算機通信錄內(nèi)的資料，發(fā)出大量以‘Thank you!’、‘Re: Approved’等為主旨的電郵，此外，它也可以驅(qū)使染毒的計算機自動下載某些網(wǎng)頁，使編寫病毒的作者有機會竊取計算機用戶的個人及商業(yè)資料。
• 2004年1月下旬出現(xiàn)悲慘命運（MyDoom），它利用電子郵件作傳播媒介，以“Mail Transaction Failed”、“Mail Delivery System”、“Server Report”等字眼作電郵主旨，誘使用戶開啟帶有病毒的附件文檔。受感染的計算機除會自動轉(zhuǎn)發(fā)病毒電郵外，還會令電腦系統(tǒng)開啟一道后門，供黑客用作攻擊網(wǎng)絡(luò)的中介。它還會對一些著名網(wǎng)站（如SCO及微軟）作分散式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS），其變種更阻止染毒電腦訪問一些著名的防毒軟件廠商網(wǎng)站。由于它可在三十秒內(nèi)發(fā)出多達一百封電子郵件，令許多大型企業(yè)的電子郵件服務(wù)被迫中斷，在電腦病毒史上，其傳播速度創(chuàng)下了新紀錄。
• 2005年的灰鴿子病毒是國內(nèi)一款著名的后門，早在2001年便嶄露頭角。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。當在合法情況下使用時，灰鴿子是一款優(yōu)秀的遠程控制軟件，但如果拿它做一些非法的事，灰鴿子就成為很強大的黑客工具。它以服務(wù)的形式啟動使得難以調(diào)試分析，它通過攔截API調(diào)用隱藏自身文件及注冊表項，并注入所有進程，造成查殺困難。
• 2006年我國爆發(fā)了大規(guī)模的“熊貓燒香”病毒，它是一種蠕蟲病毒的變種，而且是經(jīng)過多次變種演化而來的。尼姆亞變種W(Worm.Nimaya.w)之所以被稱為“熊貓燒香”病毒，是由于被它中毒電腦的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案。用戶電腦中毒后可能會出現(xiàn)藍屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象。同時，該病毒的某些變種還可以通過局域網(wǎng)進行傳播，進而感染局域網(wǎng)內(nèi)所有的計算機系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓，無法正常使用。它能感染系統(tǒng)中的exe、com、pif、src、html、asp等文件，被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。它還能中止大量的反病毒軟件進程，并且會刪除擴展名為gho的文件（該文件是一系統(tǒng)備份工具GHOST的備份文件），使用戶的系統(tǒng)備份文件丟失。
• 2007年出現(xiàn)的AV終結(jié)者（帕蟲/U盤寄生蟲）是一系列主動攻擊殺毒軟件的病毒，感染用戶近十萬。該病毒可感染移動存儲設(shè)備并修改所有磁盤分區(qū)的打開方式，運行后會產(chǎn)生一個由數(shù)字和字母隨機組成的8位名稱的病毒進程，關(guān)閉多款殺毒軟件、防火墻和安全工具進程，并利用IFEO劫持技術(shù)禁用多種安全工具、強行關(guān)閉帶有“病毒”及各殺毒軟件和安全工具名稱字樣的網(wǎng)頁，破壞系統(tǒng)的安全模式，禁用系統(tǒng)自動更新和監(jiān)控注冊表防止被刪，還會下載數(shù)百種木馬病毒。
• 2008年造成較大危害并廣泛流傳的有機器狗、磁碟機等病毒。機器狗是一個木馬下載器，通過網(wǎng)頁、第三方軟件漏洞傳播，感染后會自動從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶賬號的安全。機器狗運行后會釋放一個驅(qū)動文件，與原系統(tǒng)中還原軟件驅(qū)動進行硬盤控制權(quán)的爭奪，可穿透目前技術(shù)條件下的任何軟件硬件還原，并通過替換userinit.exe等系統(tǒng)文件，實現(xiàn)開機啟動，新變種還可利用IFEO劫持技術(shù)禁用殺毒軟件并破壞殺毒軟件的API hook。

“磁碟機”（磁盤精靈）是一個感染型下載者蠕蟲，最早出現(xiàn)在2007年2月，起初威脅并不大，后來病毒作者參照其他病毒長處、不斷改進，使得對該病毒的查殺越來越困難。該病毒可通過移動存儲設(shè)備、網(wǎng)頁、ARP欺騙傳播，運行后首先會在C盤根目錄下釋放驅(qū)動以恢復(fù)SSDT，破壞殺毒軟件的主動防御功能，然后釋放并運行病毒文件，修改所有磁盤分區(qū)的打開方式，感染非系統(tǒng)分區(qū)的可執(zhí)行程序及網(wǎng)頁文件（包括壓縮包內(nèi)），掛全局鉤子注入所有進程，破壞顯示受系統(tǒng)保護文件，破壞安全模式，下載其他木馬，并且在關(guān)機時會將自身寫入啟動項。與其他病毒不同的是，它通過向窗口發(fā)送大量垃圾消息的方式使多種殺毒軟件、安全工具打開即崩潰，無法使用。

• 2009年出現(xiàn)了Conficker，也被稱為Downup、Downadup或Kido的蠕蟲。該病毒是2008年11月20日被發(fā)現(xiàn)的，是一款以微軟的Windows操作系統(tǒng)為攻擊目標的計算機蠕蟲病毒，迄今為止已出現(xiàn)了A、B、C、E四個版本，目前全球已有超過1500萬臺電腦受到感染。Conficker主要利用Windows操作系統(tǒng)MS08-067漏洞來傳播，同時也能借助任何有USB接口的硬件設(shè)備來感染。2009年2月12日，微軟公司懸賞25萬美元，征集有關(guān)Conficker網(wǎng)絡(luò)病毒制造者的信息。微軟官方表示，之所以重金懸賞，是為了能夠重獎之下出勇夫，但目前還沒被發(fā)現(xiàn)Conficker的制造者，該病毒制造者把病毒程序發(fā)送到世界各地，只要有人試圖破解它，它就會自動更新。面對這樣一種病毒，網(wǎng)絡(luò)安全專家都為此抓狂。美國ABC新聞網(wǎng)在廣泛征求賽門鐵克、美國司法部、全美白領(lǐng)犯罪中心（the National White Collar Crime Center）以及其他幾家著名的科技咨詢機構(gòu)意見的基礎(chǔ)上，在綜合考慮Conficker蠕蟲的影響范圍、經(jīng)濟損失、影響力等因素。據(jù)統(tǒng)計Conficker蠕蟲自2008年11月20日被發(fā)現(xiàn)以來，目前全球已有超過1500萬臺電腦受到感染。如果其制造者身份得以弄清楚，其制造者將躋身全球最著名5大黑客之列。
• 2010年的極虎病毒是由是金山毒霸云安全實驗室首家發(fā)現(xiàn)的，它是一款集磁碟機、AV終結(jié)者、中華吸血鬼、貓癬下載器為一體的混合病毒。由于該病毒可利用IE極光ODAY漏洞進行傳播，又是虎年的第一個重大惡性病毒，因此得名“極虎”。它的危害超越熊貓燒香，對殺毒軟件的破壞力相當于AV終結(jié)者、磁碟機，對系統(tǒng)的破壞力更是史無前例，會下載各種盜號木馬、流氓軟件，盜賬號，彈廣告，刷流量，可謂無惡不作。極虎病毒擁有以下傳播方式：

① 網(wǎng)頁掛馬傳播，會利用極光0day等系統(tǒng)漏洞傳播；

② 局域網(wǎng)共享傳播，通過弱口令在局域網(wǎng)內(nèi)滲透；

③ 通過U盤、數(shù)碼存儲卡、手機卡、移動硬盤等移動設(shè)備傳播；

④ 軟件捆綁，欺騙下載，在盜版電影下載站、游戲外掛下載站捆綁下載；

⑤ 感染網(wǎng)頁格式的文件進行二次傳播，如果不幸某網(wǎng)頁中招，就可能造成網(wǎng)站的來訪者中毒；

⑥ 感染可執(zhí)行exe文件（很多人計算機中毒，沒辦法就會用GHOST鏡像恢復(fù)系統(tǒng)，或格盤重裝，但一般不是全部格式化，這樣重裝后，肯定會再次中毒）；

⑦ 感染rar壓縮包內(nèi)的可執(zhí)行程序（這一招會令電腦運行變慢，進程中發(fā)現(xiàn)多個rar.exe在運行，并且無法結(jié)束，或結(jié)束后重新生成）；

⑧ 部分變種在系統(tǒng)文件夾創(chuàng)建usp10.dll和lpk.dll（與貓癬病毒的傳播手法一致）。

● 2010年還出現(xiàn)了一種利用微軟Lnk漏洞（快捷方式漏洞）的病毒，它是影響范圍最大的一次微軟漏洞事件，可以讓黑客實現(xiàn)“看一眼就中毒”的傳播感染方式，是最需要緊急防御的安全漏洞。漏洞存在于“Windows Shell”組件中，當受影響系統(tǒng)用戶點擊或者Windows Shell試圖加載經(jīng)過精心構(gòu)造的惡意快捷方式圖標時，由于Windows Shell沒有正確地驗證指定的參數(shù)，可導(dǎo)致惡意代碼在本地運行。

微軟Lnk漏洞就是利用了系統(tǒng)解析的機制，攻擊者惡意構(gòu)造一個特殊的Lnk（快捷方式）文件，精心構(gòu)造一串程序代碼來騙過操作系統(tǒng)。當Shell32.dll解析到這串編碼的時候，會認為這個“快捷方式”依賴一個系統(tǒng)控件（dll文件），于是將這個“系統(tǒng)控件”加載到內(nèi)存中執(zhí)行。如果這個“系統(tǒng)控件”是病毒，那么Windows在解析這個lnk（快捷方式）文件時，相當于把潛伏的病毒激活了。

到目前為止，網(wǎng)絡(luò)上已有數(shù)以萬計的計算機病毒，種類繁多，數(shù)量極大。如針對網(wǎng)絡(luò)銀行，在線游戲的盜號、盜竊裝備的木馬大量誕生，著實給計算機使用者帶來嚴重的安全隱患。

每當一種新的計算機技術(shù)廣泛應(yīng)用的時候，總會有相應(yīng)的病毒隨之出現(xiàn)。例如，隨著微軟宏技術(shù)的應(yīng)用，宏病毒成了簡單而又容易制作的流行病毒之一；隨著Internet網(wǎng)絡(luò)的普及，各種蠕蟲病毒如愛蟲、SirCAM等瘋狂傳播。21世紀初甚至產(chǎn)生了集病毒和黑客攻擊于一體的病毒，如“紅色代碼（CordRed）”病毒、Nimda病毒和“沖擊波”病毒等。從某種意義上說，21世紀是計算機病毒與反病毒激烈角逐的時代。在網(wǎng)絡(luò)技術(shù)飛速發(fā)展的今天，病毒的發(fā)展呈現(xiàn)出以下趨勢。

1.病毒與黑客技術(shù)相結(jié)合

網(wǎng)絡(luò)的普及與網(wǎng)速的提高，計算機之間的遠程控制越來越方便，傳輸文件也變得非常快捷，正因如此，病毒與黑客技術(shù)結(jié)合以后的危害更為嚴重，病毒的發(fā)作往往在侵入了一臺計算機后，又通過網(wǎng)絡(luò)侵入其他網(wǎng)絡(luò)上的機器。

2.蠕蟲病毒更加泛濫

其表現(xiàn)形式是郵件病毒、網(wǎng)頁病毒，利用系統(tǒng)存在漏洞的病毒會越來越多，這類病毒由受到感染的計算機自動向網(wǎng)絡(luò)中的計算機發(fā)送帶毒文件，然后執(zhí)行病毒程序。

3.病毒破壞性更大

計算機病毒不再僅僅以侵占和破壞單機的資源為目的。木馬病毒的傳播使得病毒在發(fā)作的時候有可能自動聯(lián)絡(luò)病毒的創(chuàng)造者（如愛蟲病毒），或者采取DoS（拒絕服務(wù)）的攻擊（如最近的“紅色代碼”病毒）。一方面可能會導(dǎo)致本機機密資料的泄露，另一方面會導(dǎo)致一些網(wǎng)絡(luò)服務(wù)的中止。而蠕蟲病毒則會搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞（如最近的Nimda病毒），如有可能，還會破壞本地的資料（如針對911恐怖事件的Vote病毒）。

4.制作病毒的方法更簡單

可以說能夠?qū)懖《镜娜硕际羌夹g(shù)水平很高的人，或者可以稱為專家。然而這樣的人并不多，所以寫出的病毒數(shù)字也不可能很驚人。但是網(wǎng)絡(luò)的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強大而易學的編程工具使用戶可以輕松編寫一個具有極強殺傷力的病毒程序。并且當前已經(jīng)誕生專用來生成具有各種功能病毒的病毒生成器，而且這類工具已經(jīng)泛濫。正是由于這種工具的出現(xiàn)使得一般的計算機使用人員都可以利用它制造病毒，只需要通過簡單的操作就可以生成具有破壞性的病毒。所以現(xiàn)在新病毒出現(xiàn)的頻率超出以往的任何時候。

5.病毒傳播速度更快，傳播渠道更多

目前上網(wǎng)用戶已不再局限于收發(fā)郵件和網(wǎng)站瀏覽，此時，文件傳輸成為病毒傳播的另一個重要途徑。隨著網(wǎng)速的提高，在數(shù)據(jù)傳輸時間變短的同時，病毒的傳送時間會變得更加微不足道。同時，其他的網(wǎng)絡(luò)連接方式如ICQ、IRC也成為了傳播病毒的途徑。

6.病毒的檢測與查殺更困難

病毒可能采用一些技術(shù)防止被查殺，如變形、對源程序加密、攔截API函數(shù)、甚至主動攻擊殺毒軟件等，使人們更難以檢測與查殺病毒。