病毒的傳播和計算機(jī)的應(yīng)用密切相關(guān)，在整個Windows 9x時代，CDROM和軟盤在病毒傳播中起著至關(guān)重要的作用。網(wǎng)絡(luò)應(yīng)用也日益興旺，那應(yīng)該是中國互聯(lián)網(wǎng)產(chǎn)業(yè)最初的創(chuàng)業(yè)潮。軟件店里最火的商品，除了殺毒軟件，還有一樣?xùn)|西，估計現(xiàn)在的網(wǎng)民都不一定見過。那是各個不同ISP出售的上網(wǎng)卡，卡片上寫著如何用Windows 95，Windows 98，或Windows Me來創(chuàng)建撥號網(wǎng)絡(luò)，撥不同的號，計費標(biāo)準(zhǔn)和網(wǎng)速不一樣。

以下介紹幾類令人印象深刻的病毒：

1.引導(dǎo)區(qū)病毒boot.polyboot（瑞星叫boot.wyx）

因為Windows9x仍然沒有完全擺脫DOS，操作系統(tǒng)的啟動可以理解為先啟動DOS7，再加載Windows外殼。軟驅(qū)仍是電腦的標(biāo)配，企業(yè)辦公網(wǎng)內(nèi)交換數(shù)據(jù)，除了郵件之外，比較多的使用軟盤。很多人用軟盤時有個不良習(xí)慣：他的軟驅(qū)中總有一張盤塞在里面，不管這個盤是不是引導(dǎo)盤。在這種情況下，引導(dǎo)區(qū)病毒就會在交換使用軟盤的過程中廣泛傳播。

一臺正常的計算機(jī)僅讀取帶boot.polyboot病毒的軟盤是不會染毒的，風(fēng)險在于，這臺計算機(jī)下次啟動時，如果這張有毒的軟盤仍在軟驅(qū)里，開機(jī)時，軟盤里的病毒就進(jìn)入內(nèi)存，感染硬盤。接下來，所有在這臺計算機(jī)上寫入過數(shù)據(jù)的軟盤都將會polyboot引導(dǎo)區(qū)病毒感染。這些軟盤，再去感染更多的硬盤。

重啟是引導(dǎo)區(qū)病毒感染的重要時機(jī)，而那個時候的Windows9x（包括Windows95/98/me）特別不爭氣，動不動就給你來張大藍(lán)臉，重啟了。這個引導(dǎo)區(qū)病毒不發(fā)作，系統(tǒng)不會有任何異常，一旦發(fā)作，病毒會將正常的硬盤分區(qū)表和主引導(dǎo)記錄改寫，導(dǎo)致系統(tǒng)不能啟動或者分區(qū)丟失，數(shù)據(jù)因此不能訪問。

殺毒軟件對引導(dǎo)區(qū)病毒通常不敢輕易處置。因引導(dǎo)區(qū)病毒比較多，每種破壞分區(qū)表的情況不完全一致，用戶的使用水平也參差不齊，如果處理不當(dāng)，又會造成分區(qū)無法訪問數(shù)據(jù)丟失的嚴(yán)重后果。殺毒軟件處理這種病毒時，一般會建議用戶備份損壞的分區(qū)表，然后才去執(zhí)行清除操作。

至今我仍記得用下面這種通用的辦法對付引導(dǎo)區(qū)病毒：使用干凈的Windows9x命令行，執(zhí)行format a:/s創(chuàng)建干凈的Windows9x啟動軟盤，軟盤啟動，執(zhí)行fdisk/mbr，再執(zhí)行sysc:來搞定引導(dǎo)區(qū)病毒。Windows2000或Windows XP就用光盤引導(dǎo)至故障恢復(fù)控制臺（一個類似DOS的界面），執(zhí)行fixmbr和fixboot。

現(xiàn)在，也有改寫主引導(dǎo)記錄的特殊病毒，比如鬼影、TDSS rootkit，這兩個病毒都造成了十分惡劣的影響。鬼影寄生在MBR上，啟動病毒木馬下載器，中毒電腦會下載很多盜號木馬，安裝流氓軟件。TDSS rootkit是技術(shù)高超的后門程序，全球范圍內(nèi)構(gòu)造了超過300萬臺PC組成的僵尸網(wǎng)絡(luò)，感染之后，完全隱藏自身，極難清除，病毒現(xiàn)在主要做廣告營銷，同時極其危險，被控制的僵尸電腦隨時可以用作特殊目的。

2.感染型病毒（funlove，CIH）

funlove病毒會感染這臺機(jī)器上所有的EXE文件，包括局域網(wǎng)內(nèi)有可寫權(quán)限的共享路徑（我很奇怪那個時候怎么有很多網(wǎng)管使用共享服務(wù)時，習(xí)慣于使用完全共享，而不是授權(quán)訪問和只讀共享）。感染后的EXE文件長度會增大，啟動被感染的程序時，運行速度會變慢。反復(fù)中毒，反復(fù)殺毒。結(jié)果很快這些EXE就完全損壞，運行就報告錯誤的win32程序。那個時候，最困擾的問題就是反復(fù)中毒，用戶因為沒有解決防毒的根本問題而反復(fù)中毒，對殺毒軟件的抱怨也比較多。

類似的感染型病毒，殺毒軟件通常顯示的病毒名前輟為“win32.”，表示，這是一個Windows32位平臺下運行的病毒，中了感染型病毒的特點就是會發(fā)現(xiàn)很多EXE中了同一種win32病毒。大部分系統(tǒng)程序文件在感染型病毒后，使用殺毒軟件修復(fù)到基本正?？捎玫臓顟B(tài)，但也并不都是如此。

有的感染型病毒會出現(xiàn)某些意外，比如熊貓燒香病毒。因李俊同學(xué)的程序存在BUG，使得每一個被熊貓燒香病毒感染的EXE文件都有一個熊貓的圖標(biāo)，這其實并非作者李俊故意用圖標(biāo)招搖，實際是感染動作存在BUG，這個圖標(biāo)讓李俊同學(xué)一舉成名。

有一些技術(shù)實力很強(qiáng)的感染型病毒，比如Virut，這是個罕見的技術(shù)型病毒，病毒會嘗試加密變形，使每次感染造成的破壞不盡相同，殺毒軟件要想修復(fù)被破壞的EXE，就得仔細(xì)分析感染原理，這個virut病毒折磨珠海最NB的毒霸分析員boom好幾天沒睡覺。據(jù)說珠海金山后來對病毒分析師增加了一項考核，加薪升職必須滿分通過：完整分析病毒virut。

還有一些概念型的感染型病毒，至今殺毒廠商都不能修復(fù)。這些病毒是那些技術(shù)高超的病毒作者刻意和殺毒廠商的工程師叫板，這類概念型病毒，也沒有蓄意大規(guī)模傳播。有些病毒作者沒有設(shè)計復(fù)雜的感染動作，而是用病毒自身覆蓋了大量EXE程序文件，染毒文件本身已經(jīng)沒有修復(fù)價值。殺毒軟件對這類感染型，只能刪除解決。

3.宏病毒

自從微軟的Office成為辦公軟件的統(tǒng)治者之后，宏病毒就困繞著辦公一族。在軟盤時代，很多公文是通過軟盤交換的。早期計算機(jī)病毒多用機(jī)器語言編寫，掌握病毒程序開發(fā)有較高門檻。而宏病毒使用VBA語言編寫，那時候?qū)W習(xí)VB的人非常多。在處理大量辦公業(yè)務(wù)時，宏功能是文檔分析師們的大愛。可以根據(jù)業(yè)務(wù)需要，編寫宏功能自動完成一些重復(fù)操作。而喜歡惡作劇的人，就用VBA寫了大量宏病毒。

大多數(shù)宏病毒是出于惡搞的目的，比如，辦公的時候，彈出一個數(shù)學(xué)題讓你做，做對了關(guān)閉，做錯了，就繼續(xù)下一道題?；蜃詣哟蜷_很多文檔，把計算機(jī)資源耗盡。但也有非常惡劣的宏病毒，其中有個殺手13的宏病毒就設(shè)定為日期＋月份＝13時（5月8日，6月7日等）發(fā)作，發(fā)作后，病毒創(chuàng)建一個批處理autoexec.bat，deltreec:\*.*/y,就在你下次開機(jī)的時候，刪除C盤的所有文件。

宏病毒剛剛興起時，據(jù)傳微軟并不公布Office文檔的格式，殺毒廠商必須得摸著石頭過河，自己分析Office文檔。對宏病毒處理效果差的殺毒軟件，會將病毒和文檔一起消滅。辦公一族中，交換DOC、XLS是非常普遍的行為。病毒發(fā)作時，會發(fā)現(xiàn)辦公室里所有的機(jī)器都不能正常處理文檔。

宏病毒的泛濫直到Office升級到Office2003之后才逐步減少，微軟修補(bǔ)了一些安全漏洞，在打開Office文檔時提醒是否運行宏，默認(rèn)將宏的運行等級提高，使宏功能的應(yīng)用受限。最重要的原因，是病毒作者的興趣點轉(zhuǎn)移，不再以折騰Office為樂了。但宏病毒并未就此消失，在Office文檔作為標(biāo)準(zhǔn)文檔流轉(zhuǎn)的企業(yè)網(wǎng)絡(luò)，仍然有一定的感染量。現(xiàn)在，有一類特別的通過Office文檔傳播的攻擊程序，它的實質(zhì)并不是宏病毒，而是寄生在Office文檔中的木馬程序。

病毒的攻擊方式是利用Office程序的0day漏洞或Flash Player的0day漏洞，將特別構(gòu)造的內(nèi)嵌攻擊代碼的Office文檔通過電子郵件發(fā)送給攻擊目標(biāo)。接收者打開這種文檔，內(nèi)嵌的攻擊程序即被激活。防止這類危險程序只能靠及時升級Office程序，或升級Flash Player。

【編輯推薦】

1. 巧用安全軟件防遭截屏
2. 3G無線市場缺乏有效監(jiān)控措施
3. 計算機(jī)安全之認(rèn)清木馬的原理
4. 移動互聯(lián)網(wǎng)時代下的信息安全
5. 五種方法讓員工成為數(shù)據(jù)安全的保護(hù)神
6. 保護(hù)企業(yè)無線網(wǎng)絡(luò)安全 要采取適當(dāng)措施