第2章 計算機病毒發展史

2.1 計算機病毒的起源及其發展過程

人類創造了電子計算機之后，也制造了計算機病毒。1983年計算機病毒首次被確認，到1987年，計算機病毒才開始受到世界范圍內的普遍重視。我國于1989年在計算機界發現病毒。至今，全世界已發現病毒30多萬種，而且這個數字還在高速增長。

病毒的花樣不斷翻新，編程手段越來越高，令人防不勝防。特別是由于互聯網在人們的生活、學習和工作中的廣泛應用，使得各種病毒空前活躍，網絡蠕蟲病毒傳播得更快更廣，Windows病毒更加復雜，帶有黑客性質的病毒和特洛伊木馬等有害代碼大量涌現。

計算機剛剛誕生時就有了計算機病毒的概念。1949年，計算機之父馮·諾依曼在《復雜自動機組織論》一書中便定義了計算機病毒的概念——即一種“能夠實際復制自身的自動機”。1960年，美國的約翰·康維在編寫“生命游戲”程序時，首先實現了程序自我復制技術。他編寫的游戲程序運行時，屏幕上有許多“生命元素”圖案在運動變化。當這些元素過于擁擠時會因缺少生存空間而死亡；如果元素過于稀疏會由于相互隔絕失去生命支持系統導致死亡；只有處于合適環境的元素才能非?；钴S，它們能夠自我復制并進行傳播。

20世紀60年代初，在美國的貝爾實驗室里，三個年輕人編寫了一個名為“磁心大戰”的游戲，這就是“病毒”的第一個雛形。玩這個游戲的兩個人編制了許多能自身復制并可保存在磁心存儲器中的程序，然后發出信號。雙方的程序在指令控制下就會竭力去消滅對方的程序。在預定的時間內，誰的程序繁殖得多，誰就得勝。這種有趣的游戲很快就傳播到其他計算機中心。

對于計算機病毒理論的構思可追溯到科幻小說。在20世紀70年代，美國作家雷恩所著的《P1的青春》一書中構思了一種能夠自我復制、利用通信進行傳播的計算機程序，并稱之為計算機病毒。

1983年11月，在國際計算機安全學術研討會上，美國計算機專家首次將病毒程序在VAX/750計算機上進行了實驗，世界上第一個計算機病毒就這樣誕生了。

20世紀80年代起，IBM公司的PC系列微機因為性能優良、價格便宜逐漸成為全球微型計算機市場上的主要機型。但是由于IBM PC系列微型計算機自身的弱點，尤其是DOS操作系統的開放性，給計算機病毒的制造者提供了可乘之機。因此，裝有DOS操作系統的微型計算機成為病毒攻擊的主要對象。1983年出現了研究性計算機病毒的報告。

20世紀80年代后期，巴基斯坦有兩個以編軟件為生的兄弟，他們為了打擊那些盜版軟件的使用者，設計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導區。這就是最早在全球流行的真正的計算機病毒。

1987年世界各地的計算機用戶幾乎同時發現了形形色色的計算機病毒，如“大麻”、“IBM圣誕樹”、“黑色星期五”等。面對計算機病毒的突然襲擊，眾多計算機用戶甚至是專業人員都感到驚慌失措。

1988年3月2日，一種攻擊蘋果機的計算機病毒發作，這天受感染的蘋果機都停止了工作，只顯示“向所有蘋果計算機的使用者宣布和平的信息”。

但計算機病毒開始大肆流行是在1988年11月2月。美國康乃爾大學23歲的研究生羅特·莫里斯制作了一個蠕蟲病毒，并將其投放到互聯網上，致使計算機網絡中的6000多臺計算機受到感染，許多聯網計算機被迫停機，直接經濟損失達9600萬美元。

1988年至1989年，中國也相繼出現了產于新西蘭的能感染硬盤和軟盤引導區的Stoned（石頭）病毒，該病毒體代碼中有明顯的標志“Your PC is now Stoned!”或“LEGALISE MARIJUANA！”。這種病毒也稱為“大麻”病毒。

1989年全世界的計算機病毒攻擊十分猖獗，中國也未能幸免。其中“米開朗基羅”病毒給許多計算機用戶造成了極大損失。

20世紀90年代初，感染文件的病毒有“Jerusalem”（黑色星期五）、“Yankee Doole”、“Liberty、1575”、“Traveler”、“1465”、“2062”、“4096”等，這些病毒主要感染.COM和.EXE文件。這類病毒修改了部分中斷向量表，使被感染的文件增加了字節數。因為這類病毒代碼主體沒有加密，因此容易被查出和解除。這些病毒中，略有對抗反病毒手段能力的只有Yankee Doole病毒，當它發現有人用Debug工具跟蹤它的話，則會自動從文件中“逃走”。

接著，有一些能對自身進行簡單加密的病毒相繼出現，它們是“1366（DaLian）”、“1824”（N64）、“1741”（Dong）、“1100”等病毒。這些病毒加密的目的主要是防止被跟蹤或掩蓋有關特征等。當內存感染了1741病毒時，即使用DIR列出目錄表，病毒也會掩蓋被感染文件所增加的字節數，使字節數看起來很正常。

后來又出現了引導區、文件型的“雙料”病毒，這類病毒既感染磁盤引導區，又感染可執行文件。

1991年發現了首例網絡計算機病毒“GPI”，它突破了NOVELL公司的Netware網絡安全機制。同年，在海灣戰爭中，美軍第一次將計算機病毒用于實戰，在空襲巴格達的過程中，成功地破壞了對方的指揮系統，使之癱瘓。

1992年以來，DIR2-3、DIR2-6和New DIR2病毒以一種全新的面貌出現，具有極強的感染力。這些病毒沒有任何表現，不修改中斷向量表而是直接修改系統關鍵中斷的內核，修改可執行文件的首簇數，將文件名字與文件代碼主體分離。如果系統被這類病毒感染，表面上就像什么都沒發生一樣。但當你用無病毒的文件去覆蓋有病毒的文件時，災難就會發生，系統中所有被感染的可執行文件內容都被剛覆蓋進去的文件內容所替代。該病毒的出現使病毒又多了一種新類型。20世紀中絕大多數病毒是基于DOS系統的，有80%的病毒可在Windows中傳染。TPVO-3783病毒是一個具有“雙料性”（傳染引導區和文件）和“雙重性”（傳染DOS和Windows）的病毒，這個病毒是隨著操作系統的發展而發展的。

1995年時，出現了一個更危險的信號，人們通過對眾多病毒的剖析，發現部分病毒好像出自于一個家族，其“遺傳基因”相同，簡單地說，就是“同族”病毒。然而這些病毒絕不是其他好奇者簡單的通過修改部分代碼而產生的“變形”病毒。

變形病毒的定義與“原種”病毒的代碼長度相差不大，絕大多數病毒代碼與“原種”病毒的代碼相同，并且相同代碼的位置也相同，否則就是一種新的病毒。

大量具有相同“遺傳基因”的“同族”病毒的涌現，使人們不得不懷疑“病毒生產機”軟件已經出現。終于在1996年下半年，中國發現了“G2”、“IVP”、“VCL”三種“病毒生產機軟件”，不法之徒可以利用它們編出千萬種新病毒。目前國際上已有上百種“病毒生產機”軟件。

這種“病毒生產機”軟件使病毒制造者不用絞盡腦汁地編寫程序便可輕易地制造出大量的“同族”新病毒。這些病毒代碼的長度各不相同，用來自我加密、解密的密鑰也不相同，此外，原文件頭重要參數的保存地址不同，病毒的發作條件和現象也不同，但是，這些病毒的主體構造和原理基本相同。

危機一個接一個地出現，網絡蠕蟲病毒I-WORM.AnnaKournikova就是一種VBS/I-WORM病毒生產機生產的，它在短時間內就傳遍了全世界。與此同時，這種病毒生產機也傳到了中國。

Windows 9x、Windows 2000操作系統的發展也使病毒種類發生了變化。病毒的種類、傳染和攻擊的手法越來越高超。一種流傳到中國的“子母彈”病毒Demiurg被反病毒應急中心捕獲。該病毒被激活后，會像“子母彈”一樣分裂出多種類型的病毒來分別攻擊并感染計算機內不同類型的文件。

該病毒感染文件的類型比較多，它既可以感染DOS可執行程序、批處理文件、Windows的可執行程序，也可以感染Excel 97、Excel 2000文件。

Internet的發展使病毒的流傳更加廣泛。病毒通過網絡的快速傳播和破壞，給世界帶來了一次又一次的巨大災難。

1996年出現了針對微軟公司Office的“宏病毒”。1997年被公認為計算機反病毒界的“宏病毒”年。“宏病毒”主要感染Word、Excel等文件，是自1996年9月開始在中國出現并逐漸流行的病毒。如Word宏病毒，該病毒早期是用一種專門的Basic語言（即Word Basic）編寫的程序，后來改用Visual Basic編寫。與其他計算機病毒一樣，它能對用戶系統中的可執行文件和數據文本類文件造成破壞。常見的有：Tw no.1（臺灣一號）、Setmd、Concept、Mdma等。

1998年2月，“美麗莎”病毒席卷歐美大陸。它是全球最大的一次病毒浩劫，也是最大的一次網絡蠕蟲大泛濫。

1998年2月，中國臺灣省的陳盈豪編寫出了破壞性極大的Windows惡性病毒CIH-1.2版，此病毒悄悄地潛伏在網上的一些供人下載的軟件中，并定于每年的4月26日發作、破壞?？墒?，兩個月時間內下載的人并不多，到了4月26日，病毒只在臺灣省少量發作，并沒引起人們的重視。然后，陳盈豪又炮制了CIH-1.3版病毒，并將破壞時間設在6月26日。7月，他又炮制出了CIH-1.4版。這次，他干脆將破壞時間設為每個月的26日。

不巧的是，那一年，正在上映的電視劇女主角“小龍女”的肖像被廣泛用在計算機的屏幕保護程序中，CIH-1.2、CIH-1.4病毒也被悄悄注進該程序。由于大量用戶從網上下載使用該屏保程序，致使三種版本的CIH病毒被廣泛擴散。加之當時的反病毒公司沒有及時發現該病毒，導致這種全新的Windows病毒到處傳播，使人們感到危機四伏。

一個月后，也就是到了1998年8月26日，CIH-1.4病毒發作，給當時的計算機界帶來了一次極大的沖擊。

1998年，Back Orifice讓黑客可以通過互聯網在未授權的情況下遙控另一部電腦，此病毒的命名也開了微軟Microsoft's Back Office產品的一個玩笑。

1999年4月26日是一個計算機業界難以忘卻的日子。也就是到了CIH-1.2病毒第二年的發作日，人們早晨一上班輕松打開一臺計算后，只看到屏幕一閃就變成黑暗一片。再打開另外幾臺，也同樣一閃后就再也啟動不起來了……計算機史上，病毒造成的又一次巨大的浩劫發生了。

千禧之年（2000年）中出現了拒絕服務（Denial of Service）和戀愛郵件（Love Letters）“I Love You”。這次拒絕服務襲擊規模很大，致使雅虎、亞馬遜書店等主要網站服務癱瘓。同年，附著有“I Love You”電子郵件傳播的Visual Basic腳本病毒被更廣泛地傳播，使不少電腦用戶明白了小心處理可疑電郵的重要性。該年8月，首個運行于Palm作業系統的木馬（Trojan）程序“自由破解（Liberty Crack）”也終于出現。這個木馬程序以破解Liberty（一個運行于Palm作業系統的Game boy模擬器）作誘餌，致使用戶會在無意中把這個病毒透過紅外線資料交換或以電郵的形式在無線網中進行傳播。

2002年，多變的混合式病毒——“求職信”（Klez），以及FunLove病毒席卷全球?！扒舐毿拧笔堑湫偷幕旌鲜讲《荆藭駛鹘y病毒般感染電腦檔案外，同時也擁有蠕蟲（worm）及木馬程序的特征。它利用了微軟郵件系統自動運行附件的安全漏洞，借著耗費大量的系統資源，造成電腦運行緩慢直至癱瘓。該病毒除了將電子郵件作為傳播途徑外，也可透過網絡傳輸和電腦硬盤共享傳播病毒。

2003年，沖擊波（Blaster）病毒于8月開始暴發，它利用了微軟作業系統Windows 2000及Windows XP的保安漏洞，取得了完整的使用者權限，可在目標電腦上執行任何的程序代碼，并通過互聯網繼續攻擊網絡上仍存有此漏洞的電腦。由于防毒軟件不能過濾這種病毒，致使該病毒迅速蔓延至多個國家，造成大批電腦癱瘓和網絡連接速度減慢的情況出現。

繼“沖擊波”病毒之后，第六代的“大無極”電腦病毒（SOBIG.F）肆虐，并通過電子郵件擴散。這種病毒不但會偽造寄件人身份，根據電腦通信錄內的資料，發出大量以“Thank you!”、“Re:Approved”等為主旨的電郵外，還可以使染毒的電腦自動下載某些網頁，使編寫病毒的作者有機會竊取電腦用戶的個人及商業資料。

2004年，“MyDoom”、“網絡天空”（NetSky）及“震蕩波”（Sasser）病毒出現?！癕yDoom”病毒于2004年1月下旬出現，它利用電子郵件作為傳播媒介，以“Mail Transaction Failed”、“Mail Delivery System”、“Server Report”等作為電郵標題，誘使用戶開啟帶有病毒的附件。受感染的電腦除了會自動轉寄病毒電郵外，還會令電腦系統開啟一道后門，供黑客用做攻擊網絡的中介。它還會對一些著名網站（如SCO及微軟）進行分散式拒絕服務攻擊（Distributed Denial of Service，DDoS），其變種還會阻止染毒電腦訪問一些著名的防毒軟件廠商網站。由于它可在30秒內寄出100封電子郵件，因此曾令許多大型企業的電子郵件服務被迫中斷。在電腦病毒史上，其傳播速度創下了新紀錄。

“震蕩波”病毒與較早前出現的沖擊波病毒雷同，都是利用了微軟Windows操作系統的保安漏洞，而且不需要依賴電子郵件作為傳播媒介。它利用系統內的緩沖溢位漏洞，導致電腦連續地重新開機并不斷感染互聯網上的其他電腦。它用短短18天的時間就取代了“沖擊波”病毒，創下了修補程序公布后達到最短攻擊周期的紀錄。

2008年，根據瑞星公司截獲新病毒樣本數據統計，2008年截獲的新病毒是去年同期的12.16倍。其中“網頁掛馬”所傳播的木馬、后門等病毒占據90%以上。盜號木馬、Rootkits驅動、木馬下載器等新型病毒有了巨量增長，黑客“犯罪圖財”的特征非常明顯。從木馬病毒的編寫、傳播到出售，整個病毒產業鏈已經完全互聯網化，這是導致病毒數量暴增和危害增大的根本原因。

2009年，病毒傳播途徑仍然以網頁掛馬為主。掛馬者主要通過微軟以及其他第三方軟件漏洞為攻擊目標，如：Flash等第三方軟件漏洞等。2009年各種病毒比例中，木馬仍占首要位置，所占比例為66%，蠕蟲病毒占12%，后門程序占8%，Windwos病毒占9%，廣告程序以及漏洞攻擊代碼、腳本病毒、寄生蟲病毒占余下的5%。

到了2010年，在病毒與反病毒技術對抗過程中，病毒技術的發展又出現新的特點。

第一，病毒行為趨于“操作合法化”，利用看似“合法化”的操作實現病毒行為。例如，修改用戶IE首頁病毒，讓電腦不斷訪問黑客指定頁面，為黑客賺取大量金錢。病毒代表：“流氓主頁木馬”，病毒會采用生成一個與正常IE瀏覽器圖標一摸一樣的IE快捷方式，通過修改快捷方式的方法，實現修改用戶的默認首頁，病毒制作者采用了這種看似是一種“正常操作的方法”躲避殺毒軟件，使多數殺毒軟件對此無能為力。

隨著此類病毒的不斷變種，互聯網上通過修改快捷方式、文件默認關聯、軟件圖標等方式，引導網民到惡意網站的病毒已經越來越多，一些安全軟件對如此頻繁的變化根本無法有效解決，專家建議用戶選擇專業的瑞星殺毒軟件和卡卡上網安全助手，有效處理以上問題。

第二，病毒利用假桌面或假關機等方式，切斷殺毒軟件與用戶之間的交互，從而使殺毒軟件失效。通常殺毒軟件在攔截或查殺病毒的時候都需要一個與用戶交互的平臺，而這個平臺就是用戶電腦桌面，當一個病毒運行后，殺毒軟件監控進行攔截，不論是按照默認設置或彈出窗口提示都是基于電腦桌面的，如果這個桌面沒有了，所有的這些攔截就無法生效，也就是說殺毒軟件沒有用了。例如，桌面閃客病毒（Trojan.PSW.Win32.DesktopFlasher.a），該病毒運行后會自己建立一個桌面把用戶正常桌面替換，從而使殺毒軟件失效。

第三，“特種木馬”在政府機關等單位的網絡中肆虐。這種類型的木馬病毒會將U盤中的文檔復制到電腦中，然后通過整個局域網傳播，將文檔復制到網絡中的每一臺機器上，并發送給黑客，從而使國家機密或企業內部重要文檔遭到泄露。

2.2 計算機病毒大事記

20世紀50年代末～60年代初

在美國的電話電報公司（AT&T）下設的貝爾實驗室里，三個年輕的程序員（道格拉斯、維索斯基和羅伯特·莫里斯）在工作之余編制了一個叫“磁心大戰”（core war）的游戲，這可謂病毒的第一個雛形。雖然由于這種自我復制是在一個特定的受控環境下進行的，因此不能將其稱為真正意義上的病毒，但是這些軟件的基本行為與后來的電腦病毒已經非常相似了。

20世紀60年代晚期～70年代早期

這個時期，在與Univax 1108系統上首次出現了和現代病毒本質上一樣的程序，即一個叫做“Pervading Animal”的程序可以將自己附著到其他程序的后面。

20世紀70年代

“爬行者”出現在一種叫做泰尼克斯（Tenex）的操作系統上，這個病毒可以通過網絡進行傳播。一種叫做“清除者”（Reeper）的程序也被開發出來以專門對付“爬行者”，這可能就是病毒和反病毒的第一次爭戰。

20世紀80年代早期

電腦的使用已經在發達國家變得非常普遍了，此間出現了最早的獨立程序員，他們在為公司工作的同時，出于興趣的原因，寫了很多游戲或者其他的小程序，這些程序可以通過電子公告板（BBS）自由傳播，竊取賬號和密碼成了所有愛好者夢寐以求的事情，他們認為這是體現他們在這個社區具有獨特價值的最好機會，所以在這一時期誕生了無數的特洛伊木馬（Trojan horses），這些病毒盡力將自己偽裝得和真正的登錄程序、提示程序一模一樣，這樣就可以騙取不明真相的用戶的密碼了。

1981年

在蘋果機上誕生了最早的引導區病毒——Elk Cloner。這個病毒將自己附著在磁盤的引導扇區上。這個病毒有很強的表現欲，再發作的時候，它會盡力引起你的注意，關掉顯示器、使顯示文本閃爍或者顯示一大堆亂七八糟的信息。

1986年

最早運行在IBM PC兼容機上的病毒——“大腦”（Brain）開始流行。這是一種感染360KB軟盤的病毒（不是我們現在使用的軟盤，是很古老的5.25英寸的軟盤，現在在一些老型號的機器上還可以見到），由于所有的人對于電腦病毒都沒有心理準備，所以這種病毒在制造出來之后，立刻在世界范圍內得到傳播。巴基斯坦的兩兄弟巴斯特（Basit）和埃姆佳德（Amjad Farooq Alvi）制造了這個病毒，他們在病毒中留下一條信息，其中有他們的名字、地址甚至還有電話號碼（我想現在不會有人這么干了，因為警察會在第二天就會“造訪你”?。?/p>

根據制造者的說法，他們是軟件開發商，制作這個病毒的目的是為了檢驗一下盜版問題在巴基斯坦的嚴重程度，也就是說，如果你使用了他們開發的未經授權的軟件，很可能就感染了這個病毒，考察這個病毒的流行程度就知道盜版問題的嚴重程度了。遺憾的是，病毒的蔓延遠遠超過了制造者的預計，這一病毒成為了世界性的問題，也宣告了一個具有病毒和反病毒軟件的電腦時代的到來。

“大腦”病毒還首次使用了巧妙的手段來偽裝自己，如果用戶想要查看被病毒感染的地方，它會給用戶提供一組完好無損的信息。

那一年，我國公安部成立了計算機病毒研究小組，并派出專業技術人員到中科院計算所和美國、歐洲進修，學習計算機安全技術。

1987年

這是電腦病毒技術飛速發展的一年，特別是DOS環境下的文件型病毒在這一年發展很快。也是在這一年，“維也納”（Vienna）病毒出現，這個病毒雖然不是萊夫·伯格編寫的，但是他得到這個病毒之后對其進行了分析，并在他的書（《計算機病毒——高技術的瘟疫》）中公布了分析結果。這本書使得病毒制造技術變得大眾化了，書中詳細闡述了如何制造病毒以及一些病毒構造的思路，在該書出版以后，成百上千的病毒被這本書的讀者們制造出來。

在這一年中，更多的IBM PC兼容機上的病毒出現了，其中比較著名的有：“里?！保↙ehigh），該病毒只感染COMMAND.COM文件；“西瑞夫一號”（Suriv-1），又叫“四月一號”，感染所有的COM文件；“西瑞夫二號”（Suriv-2），感染EXE文件，值得一提的是，這是首個感染EXE文件的病毒；“西瑞夫三號”（Suriv-3），該病毒是第一種既感染COM文件又感染EXE文件的病毒；此外還有一些引導型病毒，比如出現在美國的“耶魯”（Yale）病毒、新西蘭的“石頭”（Stoned）病毒及意大利的“乒乓”（PingPong）病毒。

這一年中，還出現了一些非IBM PC兼容機上的病毒，比如蘋果機上的病毒。

1987年12月，第一個網絡病毒——“圣誕樹”（Christmas Tree）開始流行，這是一個使用REXX語言編寫的病毒，在VM/CMS操作系統下傳播。這一年的12月9日，“圣誕樹”首次在西柏林大學的內部網上出現，然后通過網關（連接網絡和網絡之間的一種裝置）進入了歐洲學術研究網，隨后采用同樣的方式進入了IBM公司的內部網絡。4天以后，由于不受節制的自我復制，整個網絡都充滿了這個病毒的復制，從而造成系統癱瘓?！笆フQ樹”病毒運行之后，在屏幕上顯示一個圣誕樹的圖像，然后把自己復制到當前所有網絡用戶的機器上。

1988年

1988年的某一天，既是13日又逢星期五，一些國家的公司和大學遭到了“耶路撒冷”（Jerusalem）病毒的攻擊。在這一天，病毒摧毀了電腦上所有想要執行的文件。從某種意義上說，“耶路撒冷”病毒首次通過自己的破壞力引起了人們對電腦病毒的關注。從歐洲到美洲甚至在中東都有“耶路撒冷”病毒的報告，該病毒因攻擊了耶路撒冷大學而得名。

在1988年，“耶路撒冷”、“小瀑布”、“石頭”和“維也納”病毒在人們沒有注意的情況下感染了大量電腦，這是因為當時反病毒軟件遠沒有今天這么普遍，即使是電腦專家，也有很多人根本不相信電腦病毒的存在。皮特·諾頓（著名的諾頓工具軟件的開發者）就宣稱電腦病毒是不存在的，就像紐約下水道存在鱷魚一樣荒謬（不過具有諷刺意味的是，諾頓的公司仍然在數年以后推出了自己的殺毒軟件）。

此間，利用人們對電腦病毒的恐懼，大量有關電腦病毒的笑話和惡作劇開始流行。最早的一個惡作劇應該是麥克·羅齊埃里（Mike RoChenle）完成的，他在BBS上發布了一系列消息，描述了一種病毒可以在以2400 b/s波特率連線的時候從一臺機器復制到另外一臺機器上。這個玩笑使得大量BBS用戶放棄了2400 b/s波特率，而使用1200 b/s波特率連接到BBS上。

1988年11月發生了一起重大事件，即“莫里斯的蠕蟲”（Morris's Worm）出現。這是第一個因特網病毒，該病毒在美國感染了超過6000臺的電腦（包括美國國家航空和航天局研究院的電腦）并使其部分癱瘓，由此造成的損失預計超過9600萬美元。“莫里斯的蠕蟲”利用了VAX和SUN公司開發的UNIX系統上的漏洞，使自己得以繁殖和傳播（關于該病毒是有意利用了這一漏洞還是程序本身的錯誤還存在爭議，但是我認為是程序員有意的行為，這種自我繁殖帶給制造者的滿足感可能是這個病毒作者最根本的動機）。這一病毒同時還進行密碼偷竊和權限修改等工作，可以認為這是木馬類病毒的最早一次嘗試。

1988年12月在DEC.Net上也出現了蠕蟲病毒，這個病毒的名字叫“嗨.來吧”（HI.COM）。該病毒在屏幕上輸出一個云杉的圖像，并告訴用戶“不要繼續工作了，回家享受好時光吧！”。而此時反病毒軟件已經開始成熟，所羅門公司的反病毒工具（Doctors Solomon's Anti-virus Toolkit）成為當時最強大的反病毒軟件。

1989年

1989年9月，IBM進入反病毒軟件市場，推出了IBM反病毒軟件。

1989年10月，DEC.NET上出現了新的蠕蟲病毒，即“手淫蠕蟲”（WANK WORM）。

1989年12月，稱做“艾滋病”（AIDS）的特洛伊木馬出現，大約2萬張上面寫著“艾滋病信息磁盤版本2.0”的磁盤被發放，啟動90次以后，這個木馬程序會加密磁盤上的所有文件名，將屬性設置為“不可見”，只有一個文件是可讀的，其中包含了一張189美元的賬單，以及郵寄的地址——巴拿馬郵政信箱7#。當然，這一拙劣的敲詐行為使病毒制造者很快被起訴并投進了監獄。

1989年，引導型病毒“小球”和“石頭”通過香港和美國進入中國內地，并在一些大型企業和研究機構之間開始流行。被報道的大陸第一起病毒報告來自西南鋁加工廠，是“小球”病毒的感染報告。

1990年

這一年發生了一些重要的事情，首先是第一個多態病毒——“變色龍”（Chameleon）（又叫做“V2P1”、“V2P2”和“V2P6”）的出現。在此之前，殺毒軟件都是使用“帶掩碼的特征比較法”將病毒片段和一些預先采樣的數據片段進行比較來判斷一個文件是否被病毒感染，當“變色龍”出現以后，殺毒軟件不得不尋找新的方法來檢測和發現病毒。其次是“病毒制造工廠”（virus production factory）的出現，保加利亞的程序員開發了這個可以用于開發病毒的工具軟件，使得不計其數的新病毒在保加利亞被制造出來，其中包括“馬鈴薯”（Murphy）、“野獸”（Beast）以及修改過的“埃迪”（Eddie）病毒。這一年還有一個叫做“黑暗復仇者”（Dark Avenger）的家伙或者組織特別活躍，制造了很多病毒，這些病毒使用了一些新的算法進行感染，并能在系統中隱藏自己的行蹤。

1991年

1991年夏天，“目錄二代”（DIRII）病毒開始流行。和其他一些病毒不一樣的是，“目錄二代”病毒不存在于某個文件或者引導扇區中，而是把自己分成小塊，然后存在于磁盤上的多個扇區中，運行時再進行組裝和執行。

1992年

在這一年，非IBM PC兼容機或者非DOS兼容的病毒基本上被遺忘了，網絡上的漏洞得到了修補，錯誤被改正，大量的蠕蟲病毒不再能夠快速復制和傳播。隨著DOS的廣泛流行，運行在微軟DOS操作系統下的文件型、引導型以及文件/引導復合型病毒變成電腦病毒的主角。電腦病毒的數量以幾何級數增長，幾乎每天都會發生新的病毒感染事件，人們開發出各種各樣的殺毒軟件，許多書籍和雜志中也出現了關于電腦病毒的內容。

1992年早期，第一個多臺病毒生成器“Mte”被開發出來，病毒愛好者利用這個生成器生成了很多新的多態病毒，“Mte”也是后來很多多態病毒生成器的原型系統。

1992年3月，“米開朗基羅”（Michelangelo）病毒和隨之而來的由反病毒軟件廠商造成的恐慌成了這個月的標志。從某種意義上講，這是第一個對病毒進行炒作并且獲得成功的案例。反病毒軟件廠商刻意夸大病毒造成的威脅，并且不告訴用戶如何保護自己的數據，而是想方設法讓人們把目光集中到自己的產品上。他們做的這一切只有一個原因——利潤。一家美國公司聲稱在3月6日，超過500萬臺電腦上的數據將會被破壞，而實際上真正遭遇“米開朗基羅”病毒的電腦只有大概10000臺。成功炒作的效果就是很多反病毒廠商的利潤增長了好幾倍。

1992年7月，第一個病毒構造工具集（virus construction sets）——“病毒創建庫”（Virus Create Library）開發成功，這是一個非常著名的病毒制造工具。實際上，直到1999年，國內還有一些個人和組織利用這個工具制造病毒。這個工具的成功刺激了新的、更加強大和完善的病毒制造工具不斷地被開發出來。

1992年晚期，第一個視窗病毒開發成功。實際上，大量DOS環境下的病毒在視窗環境下仍然能夠成功運行，之所以稱這個病毒是第一個視窗病毒是因為該病毒首次對視窗操作系統獨特的可執行文件格式進行感染，這個病毒的出現翻開了病毒發展歷史上新的一頁。

這一年，“目錄2”病毒開始大規模進入中國。

1993年

在這一年中，病毒制造者除了制造大量普通的病毒，使用多態生成器、病毒構造機構造一系列病毒以外，還開始進行更加嚴重的破壞活動，使用一些新的方法感染文件并且將病毒注入系統。這一年中比較典型的病毒有：“IBM圣誕樹”等。

1994年

這一年，病毒通過光盤進行傳播變得非常普遍，在從這一年開始直到因特網被廣泛使用之前，光盤成為最主要的病毒傳播渠道。大量的光盤在制造的時候，由于使用的母盤含有病毒，所以壓制出來的光盤也包含病毒。由于光盤中的內容是不能被改寫的，所以這些病毒無法被清除，唯一的解決方法只能是將這些感染了病毒的光盤銷毀。

在1994年早期，英國出現了兩種極其復雜的多態病毒，即“SMEG.病原體”和“SMEG.Queeg”（直到今天，仍然有許多反病毒軟件不能完全檢測出它們的所有變體）。由于病毒制造者將感染的文件放到了電子公告板上，所以這兩種病毒給公眾帶來了很大恐慌。

1994年6月，“一半”（OneHalf）病毒出現，它是在俄羅斯和中國最流行的病毒之一。

1994年9月，“3APA3A”（一種新的引導型病毒）出現。該病毒使用了一種非常特殊的方法進入DOS操作系統并進行感染，當時所有的殺毒軟件對于這種新病毒都無能為力。

1995年

DOS病毒技術的發展在這一年中基本上陷于停滯。這里所說的停滯是指技術本身的停滯，也就是說沒有什么新的感染或隱藏等技術出現，但是病毒的數量和傳播并沒有停頓。在這一年中出現了很多非常復雜的病毒，例如“死亡墜落”（Night Fall），“胡桃鉗子”（Nutcracker），以及一些諸如“兩性體”（Bisexual）及“RNMS”等很有趣的病毒。這一年中，DOS批處理病毒“視窗啟動”（WinStart）和“死硬2”（DieHard2）病毒在世界范圍內廣泛流傳。

1995年1月，微軟的Widows 95演示盤被“表格”（Form）病毒感染。關于病毒的發現有這樣一種說法：微軟將演示盤發送給測試者，而勤快的測試者對這些光盤進行了病毒檢測，結果真的發現了病毒。這是微軟第一次發行含有病毒的光盤，然而卻不是最后一次。

1995年秋是病毒和反病毒發展史上的一個轉折點，第一個能夠保存在Word文件中且運行在微軟字處理軟件里的病毒——“概念”（Concept）開始在世界范圍內流行。這一病毒的出現宣告了一種新形態病毒（即宏病毒）的誕生。在很長一段時間里，這種病毒在所有的病毒感染統計中一直排在最重要的位置。

1996年

1996年7月，第一個微軟電子數據表病毒——“拉若克斯”（Laroux）出現。這種病毒最早是在兩家石油公司（一家在阿拉斯加，另外一家在南非）被發現的，所以我們猜想是一個編寫石油勘探軟件的程序員制作了這個病毒。同以前的字處理程序病毒一樣，這個病毒利用了電子數據表格軟件中的某種宏語言。任何微軟的電子數據表或者字處理文檔中都可以包括這種語言所編寫的程序，當然也可以包括這種語言所編寫的病毒。隨著微軟操作系統的日益復雜，各種宏語言慢慢變成統一的Basic語言（即VBA——專門為應用軟件設計的可視化Basic語言），功能也變得越來越強大，使用這種語言編寫的病毒功能也隨之越來越強大。

1996年是新一輪病毒進化的開始，在這一年中，隨著微軟新的操作系統Windows 95、Windows NT和微軟辦公軟件（Office）的流行，病毒制造者不得不面對一個新的環境。他們在這一年開始使用一些新的感染和隱藏方法，制造出在新環境下可以自我復制和傳播的病毒。隨后，病毒制造者的技術水平日益提高，他們對新的操作系統環境（Windows 95和Windows NT）和應用系統環境（Office——包括字處理和電子數據表格軟件等）也越來越熟悉，從而開始在病毒中增加了多態、反跟蹤等技術手段，在新的技術層面上重復了早期在DOS操作系統環境下病毒的進化過程。同DOS環境下漫長的進化過程相比，病毒在新環境下的進化過程要快得多。

1997年

1997年2月，第一個Linux環境下的病毒——“上天的賜福”（Bliss）出現。在此之前，Linux還是一片沒有被病毒感染過的樂土。

1997年2月至3月，隨著微軟辦公軟件（Office）從版本4.X升級到版本97，宏病毒也升級到版本97。最早針對版本97的微軟辦公軟件的宏病毒都是直接從早期版本轉換過來的，但是病毒制造者對新技術的跟蹤速度非常驚人，他們很快就推出了專門針對版本97的微軟辦公軟件定制的宏病毒。

1997年3月，針對微軟字處理軟件（Word）版本6.0和版本7.0的宏病毒——“分享歡樂”（ShareFun）病毒出現。這種病毒的特殊之處在于除了通過字處理文檔傳播之外，還可以通過微軟的郵件程序發送病毒。

1997年6月，Windows 95環境下第一個可以自我加密、解密的病毒出現。這種病毒最先出現在莫斯科，在一些電子公告板上被公布后造成了一些慌亂。

1998年

1998年3月，一個名為“梅麗莎”（Melissa）的計算機病毒席卷歐美各國的計算機網絡。這種病毒利用郵件系統大量進行復制和傳播，造成網絡阻塞，甚至癱瘓。此外，這種病毒在傳播過程中還會造成泄密。

1998年6月，CIH病毒出現。CIH病毒是有史以來影響最大的病毒之一，最早出現在臺灣，然后通過美國在臺灣的海外辦公室傳播到美國，感染了一些因特網上的游戲服務器，引發了持續一年的恐慌（在中國內地，CIH的噩夢是在接下來的一年才真正開始的）。CIH病毒造成的巨大影響是因為其具有強大的破壞性，它甚至可以損壞某些電腦的硬件。

1998年8月，遠程控制工具——“后門”（Back Orifice）出現，在此之后，還出現了“網絡公共汽車”（NetBus）和“階段”（Phase）等類似的病毒軟件。

1998年11月，一種更新的使用VB腳本語言編寫的叫做“兔子”（Rabbit）的病毒誕生了，這種病毒充分利用了VB腳本語言專門為因特網所設計的一些特性。隨著HTML語言本身開始具有編程能力，純粹的HTML語言病毒——“內在”也開始流行。很明顯，病毒制造者將他們的注意力集中在網絡蠕蟲上，他們開始充分利用Windows系統強大的腳本語言，而且這種語言還可以和網絡緊密結合，制造大量可以通過網頁和電子郵件傳播的病毒。

1999年

1999年，病毒制造者熟悉掌握了Windows操作系統下各種新的文件格式的感染方法，并且對在Windows環境下隱藏自己的技術也有很大進步，通過郵件進行病毒傳播開始成為病毒傳播的主要途徑。宏病毒在這一年仍然是最流行的病毒。

1999年12月，“FunLove”病毒出現。這種病毒是一個設計非常巧妙的PE病毒，它的最大特點是感染能力強、清除非常困難，直到今天它還是在國內廣泛流行的病毒之一。

2000年

2000年，隨著Windows操作系統逐步地COM化和腳本化，腳本病毒成為這一年的主流。腳本病毒和傳統病毒及木馬程序相結合，讓病毒技術走向了一個新的發展高峰。

2000年5月，“愛蟲”（LoveLetter）病毒出現?！皭巯x”病毒是一種腳本病毒，它通過微軟的電子郵件系統進行傳播。這種病毒的郵件主題為“I Love You”，其中包含一個名為“Love-Letter-for-you.txt.vbs”的附件，一旦在微軟電子郵件中打開這個附件，系統就會自動復制并向用戶通信簿中所有的電子郵件地址發送這一病毒，其傳播速度比“梅麗莎”病毒還要快好幾倍。

2001年

2001年1月21日，一種變形的“梅麗莎”病毒侵襲了Macintosh電腦。這種病毒可以感染Mac文件，其產生的大量電子郵件可以堵塞服務器，修改微軟Word程序的設置，感染文件和模板。攜帶這種“梅麗莎”病毒的電子郵件的附件名叫“Anniv.doc”。

2001年2月13日，荷蘭警方逮捕了一名自稱發明了“庫爾尼科娃”電腦病毒的20歲的男子，此人要面臨4年監禁的處罰。通過電子郵件傳播的“庫爾尼科娃”病毒于2月12日在歐洲、美洲和亞洲發作，大量垃圾郵件積壓在電子郵件系統內，致使系統速度明顯變慢，有的公司干脆關閉了電子郵件系統。這名荷蘭男子自稱是19歲的俄羅斯網球女星安娜·庫爾尼科娃的球迷，他曾解釋說自己不是編程專家，只不過是通過從因特網上下載病毒，然后編寫了一些程序而已。

2001年3月6日，美國Symantec軟件公司的反病毒研究中心指出，一種與此前出現的“庫爾尼科娃”病毒類似的代號為“裸妻”的病毒已攻擊了至少30個相關機構和一家政府部門。這種以電子郵件形式進行攻擊的病毒幾乎可以將計算機內所有重要的系統文件全部刪除，另外還可以通過電子郵件的形式向任何一位網絡用戶進行傳播。這種病毒有可能來自巴西，因為其源代碼中的信息提到了AGF巴西，這是巴西一家保險公司的名字。這種病毒的電子郵件中帶有一個名為“NakedWife.exe”可執行文件的附件，就像所有類似病毒一樣，一旦用戶打開了這個附件，其電腦系統一定會遭到病毒入侵。

2001年4月26日，CIH病毒在中國第三度暴發。據了解，許多反病毒企業也收到大量用戶計算機被CIH病毒損壞的信息。據這些公司的專業人員分析，此次CIH病毒發作的波及面和損害程度雖然比前兩次略小，但仍然造成了很大損失。

2001年5月6日，一種新的惡性電腦病毒“歡樂時光”（Happy Time）在我國開始傳播。“歡樂時光”病毒很可能是一種國產病毒，它是類似“愛蟲”的蠕蟲類病毒。用戶通過美國微軟公司辦公套件（Outlook Express）收取帶有“歡樂時光”病毒的郵件時，無論用戶是否打開郵件，只要鼠標指向帶毒的郵件，“歡樂時光”病毒即被激活，隨后立即傳染硬盤中的文件。感染“歡樂時光”病毒后，如果電腦時鐘的日期和月份之和為13，則該病毒將逐步刪除硬盤中的EXE和D11文件，最終導致系統癱瘓。

2001年7月，“紅色代碼”（Code Red）以及“紅色代碼二代”（Code Red II）出現。它們主要針對的是因特網上的服務器。該病毒能夠迅速傳播，并造成大范圍的訪問速度下降甚至阻斷。“紅色代碼”造成的破壞主要是涂改網頁，對網絡上的其他服務器進行攻擊，被攻擊的服務器又可以繼續攻擊其他服務器。

2001年8月2日，全球至少有10萬臺電腦受到“紅色代碼”（Code Red）病毒的侵襲。美國國防部電腦網絡由于受到“紅色代碼”發作的影響，致使網速變慢。此外，全球至少有8萬臺電腦的伺服器遭受“紅色代碼”的襲擊。另外，“紅蟲”病毒主要攻擊網絡服務器，安裝Windows 200/NT的電腦最易受到感染?！凹t蟲”于7月19日第一次暴發時，25萬臺電腦的伺服器受到攻擊，其中包括美國政府部門的電腦。

2001年9月20日，一種傳播迅速、破壞性極強的新型病毒“尼姆達”（W32.Nimda.A@mm）正肆虐因特網。Nimda蠕蟲病毒反過來讀就是“admin”，即系統管理員的意思。它是利用微軟的UnicodeWebTraversalexploit的漏洞編寫的通過電子郵件傳播的新型蠕蟲病毒，該病毒通過不斷搜索局域網內共享的網絡資源，將病毒文件復制到沒有打補丁的微軟IISWebServer上，利用被感染計算機中用戶的通信簿發送帶毒郵件，該郵件帶有一個名為README.EXE的附件，但收件人無法看到該附件。大規模的郵件發送會導致網絡阻塞甚至癱瘓，同時病毒用自身的文件代替系統中的正常文件，改變系統的安全設置，導致系統出現重大安全隱患，無法正常工作甚至宕機?！澳崮愤_”病毒至今已使得全球數十萬臺電腦受到攻擊。

2001年10月26日，中國計算機病毒應急處理中心陸續接到用戶報告，反映計算機染上了一種未知的新型病毒——“求職信”病毒。這種病毒通過電子郵件感染計算機，郵件用英文書寫，內容與求職有關。該病毒通過電子郵件、磁盤及局域網三種方式傳播。

2001年11月11日，我國出現破壞性極強的“本·拉登”病毒。作為惡性網絡蠕蟲“尼姆達（中國一號）”病毒的變種，其傳染能力和破壞性極強。病毒制造者針對一些殺毒軟件查殺“尼姆達”病毒的解決方案，對原病毒程序做了修改，并采用壓縮和加密技術將病毒信息進行加密，而且在病毒中聲稱“這不是尼姆達”病毒。病毒可感染用戶使用的Windows操作系統。該病毒利用微軟Outlook的漏洞，當用戶瀏覽含有病毒的郵件時，病毒就會對用戶的電腦進行感染和破壞。一旦用戶將鼠標箭頭移到帶有病毒體的郵件名上時，便會受到該網絡蠕蟲的感染，被感染的電腦會自動發送大量帶有病毒的電子郵件。專家指出，這種病毒的破壞力相當于“歡樂時光”和“藍色代碼”這兩個惡性網絡蠕蟲病毒的總和。

2002年

2002年，“求職信”病毒無疑是當年毒王，它是病毒傳播和感染特性的集大成者。它不但利用電子郵件進行傳播，而且還感染局域網的遠程共享目錄，給眾多企業及個人用戶造成巨大損失。其破壞方式多種多樣，如刪除殺毒軟件進程、造成網絡流量阻塞、刪除重要文件等惡意破壞。“求職信”利用的是IE瀏覽器和Outlook存在的漏洞，用戶收到該郵件后，無需雙擊附件，病毒就自動運行。“求職信”病毒傳播方式及其隱蔽，不但變種繁多，病毒每次發送自身時，郵件主題和內容都是隨機的，并且發作時還釋放不同的其他病毒，如CIH，Win32/ELKern等，給計算機帶來多重危害。

“新歡樂時光”病毒采用VBScript語言編寫，在互聯網上通過電子郵件進行傳播，也可以通過文件感染；感染后的機器系統資源被大量消耗，速度變慢；利用Windows系統的“資源管理器”進行寄生與感染。

2003年

2003年，蠕蟲病毒成為網絡安全最大威脅，其中“沖擊波”已經取代2002年的“求職信”，成為2003年的“毒王”。它感染Windows 2000/XP系統，通過DCOM RPC漏洞向網絡上特定段的機器進行攻擊。小郵差（Worm_mimail）病毒通過微軟的電子郵件客戶端程序傳播、感染。郵件的主題是可能變化的字符串。該蠕蟲是以ZIP壓縮包的形式來傳播。

2004年

2004年2月，“網絡天空”病毒（I-WORM/NERSKY.B）被截獲，此后該病毒幾乎每天都是最高上報率?！熬W絡天空”（I-WORM/NERSKY.B）及其變種均是通過網絡傳播的蠕蟲，感染病毒后，病毒首先在windir創建自身文件，有時還會在共享文件夾中生成自身復制，并修改注冊表啟動項，使病毒在Windows啟動時就得以自動運行，甚至會刪除多個重要的注冊表鍵值，達到影響系統運行的目的。該病毒在感染計算機的硬盤和網絡映射驅動器上搜索電子郵件地址，利用其自帶的SMTP引擎通過發送電子郵件傳播。帶毒電子郵件的主題、內容和附件名稱隨機變化，根據收信人郵件地址的域名，使用包括英語、法語、意大利語等9種不同語言。病毒在被感染計算機上打開后門端口，接收并運行黑客發送的任何程序文件并會在特定期間對某些網站發動拒絕服務（DoS）攻擊。該病毒的表現形式也非常跟隨潮流，它通過網絡的郵件來傳播，甚至充當震蕩波變種b的專殺工具。

2004年五一期間及其后的短短10幾天內，“震蕩波”蠕蟲病毒席卷了全球，數千萬的計算機癱瘓，數億的財產在這次浩劫中付諸東流。“震蕩波”同屬于網絡蠕蟲，感染Windows 2000、Windows Server 2003、Windows XP系統，它是利用微軟的MS04-011漏洞，通過互聯網進行傳播，但不通過郵件傳播。蠕蟲能自動在網絡上搜索含有漏洞的系統，在含有漏洞的系統的TCP端口5554建立FTP文件服務器，自動創建腳本文件，并運行腳本，該腳本能自動引導被感染的機器下載執行蠕蟲程序，用戶一旦感染后，病毒將從TCP的1068端口開始搜索可能傳播的IP地址，系統將開啟上百個線程去攻擊他人，導致計算機運行異常緩慢、網絡不暢通，并讓系統不停地重啟。

2005年

2005年，“灰鴿子”病毒影響最廣，“灰鴿子”病毒的文件名由攻擊者任意制定，病毒還可以注入正常程序進行隱藏，Windows的任務管理器看不到病毒存在，需要借助第三方工具軟件查看。中“灰鴿子”病毒后的計算機會被攻擊者遠程控制，具備和你一樣的管理權限，遠程黑客可以輕易地復制、刪除、上傳、下載保存在你計算機上的文件，機密文件在你毫不知情的情況下被竊取。病毒還可以記錄每一個單擊鍵盤的操作，你的QQ號、網絡游戲賬號、網上銀行賬號可以被遠程攻擊者輕松獲得。“灰鴿子”傳播的途徑：網頁傳播、郵件傳播、IM聊天工具傳播、非法軟件傳播。

2006年

2006年“熊貓燒香”病毒無人不知，它能感染系統中exe，com、pif、src、html、asp等文件，它還能終止大量的反病毒軟件的進程，刪除擴展名為GHO的文件，該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份丟失。被感染的用戶系統中所有exe可執行文件全部被改成“熊貓燒香”的圖標。

病毒每隔一秒尋找桌面窗口，并關閉窗口標題中含有以下字符的程序：QQKav、QQAV、防火墻、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統配置實用程序、Uuba、木馬輔助查找器等。

2007年

2007年，“帕蟲”（Worm.Pabug）病毒泛濫，它通過U盤傳播，會造成多種殺毒軟件、個人防火墻無法正常使用，同時還可造成計算機無法進入安全模式。該病毒出現多種變種，危害較大。它是在win9x/NT/2000/XP系統上運行的蠕蟲病毒，病毒運行后會將自身復制到各個分區根目錄下，以通過U盤傳播。該病毒會刪除注冊表中安全模式的相關鍵值，造成系統無法進入安全模式。它會將Windows系統的自動更新和Windows XP系統的安全中心關閉，降低用戶計算機的安全級別。同時該病毒還會自動從后臺下載其他的病毒木馬并運行，給用戶的計算機帶來威脅。

2008年

2008年，某數碼論壇上的“股民手機集體中毒事件”，一時間成為了大量網民關注的焦點。整個事件的制造者通過“wm2008”這一ID號碼在論壇上傳播所謂的“證券軟件”，實則別有用心地在證券軟件內捆綁了“mservice.exe”木馬程序，誘騙用戶下載，這一事件引起了社會對“移動安全”的擔憂。

2009年

2009年，“灰鴿子”病毒死灰復燃，“灰鴿子二代”及其變種橫行網絡，該病毒采用高級語言編寫，并且經過加殼保護處理，會將釋放出來的惡意DLL組件插入到系統IE瀏覽器進程“IEXPLORE.EXE”中加載運行，并在后臺執行惡意操作，如果被感染的計算機上已安裝并啟用了防火墻，則該后門會利用防火墻的白名單機制來繞過防火墻的監控，從而達到隱蔽通信的目的。

2.3 計算機病毒的發展趨勢

從某種意義上說，21世紀是計算機病毒與反病毒激烈角逐的時代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀電腦病毒的發展趨勢。

2.3.1 智能化

與傳統計算機病毒不同的是，許多新病毒（包括蠕蟲、黑客工具和木馬等惡意程序）是利用當前最新的編程語言與編程技術實現的，它們易于修改以產生新的變種，從而逃避反病毒軟件的搜索。例如，“愛蟲”病毒是用VB Script語言編寫的，只要通過Windows下自帶的編輯軟件修改病毒代碼中的一部分，就能輕而易舉地制造出病毒變種，從而可以躲避反病毒軟件的追擊。

另外，新病毒利用Java、Active X、VB Script等技術，可以潛伏在HTML頁面里，在上網瀏覽時觸發?！癒akworm”病毒雖然早在2004年1月就被發現，但它的感染率一直居高不下，原因就是由于它利用ActiveX控件中存在的缺陷進行傳播，因此裝有IE5或Office 2000的電腦都可能被感染。這個病毒的出現使原來不打開帶毒郵件附件而直接予以刪除的防郵件病毒的方法完全失效。更令人擔心的是，一旦這種病毒被賦予其他計算機病毒的特性，其危害很有可能超過任何現有的計算機病毒。

2.3.2 人性化

更確切地說，也可以將人性化稱為誘惑性?，F在的計算機病毒越來越注重利用人們的心理因素，如好奇、貪婪等。前一陣肆虐一時的“裸妻”病毒郵件的主題就是英文的“裸妻”，郵件正文為“我的妻子從未這樣”，郵件附件中攜帶一個名為“裸妻”的可執行文件，用戶一旦執行這個文件，病毒就被激活。最近出現的My-babypic病毒是通過可愛的寶寶照片傳播病毒的。而“庫爾尼科娃”病毒的大流行則是利用了“網壇美女”庫爾尼科娃難以抵擋的魅力。

2.3.3 隱蔽化

相比較而言，新一代病毒更善于隱藏和偽裝自己。其郵件主題會在傳播中改變，或者具有極具誘惑性的主題和附件名。許多病毒會偽裝成常用程序，或者在將病毒代碼寫入文件內部的同時不改變文件長度，使用戶防不勝防。

主頁病毒的附件homepage html vbs并非一個HTML文檔，而是一個惡意的VB腳本程序，一旦被執行，就會向用戶地址簿中的所有電子郵件地址發送帶毒的電子郵件副本。再比如“維羅納”病毒，該病毒將病毒寫入郵件正文，而且主題和附件名極具誘惑性，其主題眾多，更替頻繁，使用戶很容易由于麻痹大意而感染。此外，matrix等病毒會自動隱藏和變形，甚至阻止受害用戶訪問反病毒網站和向記錄病毒的反病毒地址發送電子郵件，無法下載經過更新和升級后的相應殺毒軟件或發布病毒警告消息。

2.3.4 多樣化

在新病毒層出不窮的同時，老病毒依然充滿活力，并呈現多樣化的趨勢。1999年對普遍發作的電腦病毒分析顯示，雖然新病毒不斷產生，但較早的病毒發作仍很普遍。1999年報道最多的病毒是1996年就首次發現并到處傳播的宏病毒Laroux。新病毒具有可執行程序、腳本文件、HTML網頁等多種形式，并正向電子郵件、網上賀卡、卡通圖片、ICQ、OICQ等發展。

更為棘手的是，新病毒的手段更加陰狠，破壞性更強。據計算機經濟研究中心的報告顯示，在2000年5月“愛蟲”病毒大流行的前5天，病毒就已經造成了67億美元的損失。而該中心1999年的統計數據顯示，到1999年末病毒損失只是120億美元。

2.3.5 專用病毒生成工具的出現

以前的病毒制作者都是專家，編寫病毒的目的是想表現自己高超的技術。但是“庫爾尼科娃”病毒的設計者不同，他只是修改了下載的VBS蠕蟲孵化器。據報道，VBS蠕蟲孵化器被人們從VX Heavens上下載了15萬次以上。正是由于這類工具太容易得到，使得現在新病毒出現的頻率超出以往的任何時候。

2.3.6 攻擊反病毒軟件

病毒發展的另一個趨勢表現為專門攻擊反病毒軟件和其他安全措施的病毒的出現。目前被發現的“求職信”病毒就能夠使許多反病毒軟件癱瘓。越來越多的病毒能夠在反病毒軟件對其查殺之前獲取比反病毒軟件更高的運行等級，從而阻礙反病毒軟件的運行并使之癱瘓。

正如計算機病毒的出現本身就是人禍而非天災一樣，目前病毒泛濫的一個很重要的原因就是計算機用戶的防范意識薄弱，因此一定要防患于未然，及時掌握反病毒知識，更新自己的反病毒軟件及病毒庫。

2.3.7 病毒的互聯網化

從2008年開始，由于病毒的互聯網化，網頁瀏覽已經成為病毒傳播的最主要渠道，網頁掛馬占到病毒傳播總量90%以上。而且，由于應用軟件漏洞、瀏覽器插件漏洞等頻發，僅僅依靠網民自身的安全意識，很難應對復雜多變，花樣翻新的病毒入侵渠道。