谁能告诉我木马病毒是什么时候研发的，研发人又是谁？

计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。

简述病毒与木马的相同点与不同点，还有病毒和木马的代表事件

木马不是病毒

木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴

区别：

计算机病毒具有如下几个特征：感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性

病毒是最早出现的计算机恶意程序

所以我们以病毒为标杆，拿其他类型的恶意程序来对比一下就知道有什么区别了

首先是您关心的木马：

木马并不具有感染性，木马并不会使那些正常的文件变成木马，但病毒可以感染正常文件使其成为病毒或者病毒传播的介质

木马不具有隐藏性和潜伏性，木马程序都是我们看得到的，并没有把自己隐藏起来，也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作，木马只是伪装成一个你想要使用的正常程序，甚至具有正常程序的一切功能，当你使用这些正常的功能的同时，木马的行为也就同时发作了。

木马没有破坏性，纯粹的木马旨在盗取用户资料，取得用户的信息，并不会破坏用户的系统。

从上面几点就能很清楚的看出木马和病毒的区别了

蠕虫不感染、不隐藏、不破坏计算机，它是通过阻塞网络或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃

后门程序则本身是正常程序，或出于某种恶意的设计或出于疏忽大意，这些正常程序中留有可能被利用来破坏计算机的漏洞，就成为了后门程序……前些时间被炒的沸沸扬扬的暴风影音后门事件就是暴风影音处于商业利益诱导留的一个后门，最终被黑客利用制造了极大的破坏。

虽说有区别，不过这些区别只是理论定义上的。木马制造者可不会因为定义上说木马不破坏计算机，他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了，这种木马其实是木马和病毒的混合体，同样的，也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可，他们之间的界限正在慢慢模糊～

至于代表事件

传统的计算机病毒分类是根据感染型态来区分，以下为各类型简介：

• 开机型

米开朗基罗病毒，潜伏一年，"硬"是要得（这个没看懂）

• 文件型

(1)非常驻型

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

(2)常驻型

Friday 13th黑色（13号）星期五-"亮"出底细

• 复合型

Flip 翻转-下午4：00 屏幕倒立表演准时开始

• 隐形飞机型

FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表

• 千面人

PE_MARBURG -掀起全球"战争游戏"

• 文件宏

Taiwan NO.1 文件宏病毒-数学能力大考验

• 特洛伊木马病毒 VS.计算机蠕虫

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

• 黑客型病毒

Nimda 走后门、发黑色信件、瘫痪网络

认识计算机病毒与黑客

2.1开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 ＠实例

Michelangelo米开朗基罗病毒-潜伏一年，"硬"是要得

发病日： 3月6日

发现日：1991.3

产地：瑞典（也有一说为台湾）

病征：米开朗基罗是一只典型的开机型病毒，最擅长侵入计算机硬盘机的硬盘分割区（Partition Table）和开机区（Boot Sector），以及软盘的开机区（Boot Sector），而且它会常驻在计算机系统的内存中，虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径，事实上只有一种，那就是使用不当的磁盘开机，如果该磁盘正好感染了米开朗基罗，于是，不管是不是成功的开机，可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘，平常看起来计算机都颇正常的，一到3月6日使用者一开机若出现黑画面，那表示硬盘资料已经跟你说 Bye Bye 了。

历史意义：文件宏病毒发迹前，连续数年蝉联破坏力最强的毒王宝座

Top

2.2文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时，就会尝试去传染给另一个或多个文件。

@实例：

Datacrime II 资料杀手-低阶格式化硬盘，高度破坏资料

发病日：10月12日起至12月31日

发现日：1989.3

产地：荷兰

病征：每年10月12日到12月31号之间，除了星期一之外DATA CRIME II 会在屏幕上显示：*DATA CRIME II VIRUS*

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后，会听到BEEP一声当机，从此一蹶不振。

历史意义：虽然声称为杀手，但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中，其行为就好象是寄生在各类的低阶功能一般(如 Interrupts)，由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。

@实例：

Friday 13th黑色（13号）星期五-"亮"出底细

发病日： 每逢13号星期五

发现日：1987

产地：南非

病征：十三号星期五来临时，黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快，其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒，如：Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异，其中Friday 13th-C病毒，当它进行感染文件时，屏幕上会显示一行客套语："We hope we haven''t inconvenienced you"

历史意义：为13号星期五的传说添加更多黑色成分

Top

2.3复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件，也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病，其破坏的程度将会非常可观！

＠实例:

Flip 翻转-下午4：00 屏幕倒立表演准时开始

发病日：每月2日

发现日：1990.7

产地：瑞士(也有一说为西德)

病征：每个月 2 号，如果使用被寄生的磁盘或硬盘开机时，则在16 时至16时59分之间，屏幕会呈水平翻动。

历史意义：第一只使具有特异功能的病毒

Top

2.4隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量，把所有受其感染的文件"假还原"，再把"看似跟原来一模一样"的文件丢回给 DOS。

@实例

FRODO 福禄多 -"毒"钟文件配置表

别 名：4096

发现日：1990.1

发病日：9月22日-12月31日

产地：以色列

病征：4096病毒最喜欢感染.COM, .EXE和.OVL文件，顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括：COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时，会发现速度慢很多，因为FAT (文件配置表) 已经被破坏了。此外，9月22日-12月31日会导致系统当机。

历史意义：即使你用DIR 指令检查感染文件，其长度、日期都没有改变，果真是伪装秀的始祖。

Top

2.5千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说，无疑是一个严重的考验！有些高竿的千面人病毒，几乎无法找到相同的病毒码。

＠实例

PE_MARBURG -掀起全球"战争游戏"

发病日：不一定（中毒后的3个月）

发现日：1998.8

产地：英国

病征：Marburg 病毒在被感染三个月后才会发作，若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点，若该应用程序在12月15日上午11点再次被执行)，则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。

历史意义：专挑盛行的计算机光盘游戏下毒，1998年最受欢迎的 MGM/EA「战争游戏」，因其中有一个文件意外地感染 Marburg 病毒，而在8 月迅速扩散。

感染 PE_ Marburg 病毒后的 3 个月，即会在桌面上出现一堆任意排序的 "X" 符号

2.6宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。

＠实例：

Taiwan NO.1 文件宏病毒- 数学能力大考验

发病日：每月13日

发现日：1996.2

产地：台湾

病征：出现连计算机都难以计算的数学乘法题目，并要求输入正确答案,一旦答错，则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。

历史意义：1.台湾本土地一只文件宏病毒。2. 1996年年度杀手，1997年三月踢下米开朗基罗，登上毒王宝座。3. 被列入ICSA（国际计算机安全协会）「In The Wild」病毒数据库。（凡难以驯服、恶性重大者皆会列入此黑名单）

2.7特洛伊木马病毒 VS.计算机蠕虫

特洛依木马（ Trojan ）和计算机蠕虫（ Worm ）之间，有某种程度上的依附关系，有愈来愈多的病毒同时结合这两种病毒型态的破坏力，达到双倍的破坏能力。

特洛伊木马程序的伪装术

特洛依木马（ Trojan ）病毒是近年崛起的新品种，为帮助各位读者了解这类病毒的真面目，我们先来看一段「木马屠城记」的小故事：

话说风流的特洛伊王子，在遇上美丽的有夫之妇希腊皇后后，竟无法自拔的将其诱拐回特洛伊国，此举竟引发了为期十年的特洛依大战。然而，这场历经九年的大战，为何在最后一年会竟终结在一只木马上呢？原来，眼见特洛伊城久攻不下，于是希腊人便特制了一匹巨大的木马，打算来个"木马屠城计"！希腊人在木马中精心安排了一批视死如归的勇士，借故战败撤退，以便诱敌上勾。果然，被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计，当晚便把木马拉进城中，打算来个欢天喜地的庆功宴。哪知道，就在大家兴高采烈喝酒欢庆之际，木马中的精锐诸将，早已暗中打开城门，一举来个里应外合的大抢攻。顿时之间，一个美丽的城市就变成了一堆瓦砾、焦土，而从此消失在历史中。

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序，我们便称之为「特洛伊木马型」或「特洛伊型」病毒。

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件，特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中，然后伺机执行其恶意行为，例如格式化碟、删除文件、窃取密码等。

计算机蠕虫在网络中匍匐前进

计算机蠕虫大家过去可能比较陌生，不过近年来应该常常听到，顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行，从一台计算机爬到另外一台计算机，方法有很多种例如透过局域网络或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如：" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot（此为计算机病毒特性），而且会通过 Outlook E-mail 大量散播（此为计算机蠕虫特性）。

事实上，在真实世界中单一型态的恶性程序其实愈来愈少了，许多恶性程序不但具有传统病毒的特性，更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"（ExploreZip）。探险虫会覆盖掉在局域网络上远程计算机中的重要文件（此为特洛伊木马程序特性），并且会透过局域网络将自己安装到远程计算机上（此为计算机蠕虫特性）。

＠实例：

" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力

发病日： 不一定

发现日：1999.6.14

产地：以色列

病征：通过电子邮件系统传播的特洛依病毒，与梅莉莎不同之处是这只病毒除了会传播之外，还具有破坏性。计算机受到感染后，其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下，自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下：Hi Recipient Name!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时，这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒，它会存取使用者的C:到Z:磁盘驱动器，寻找以下扩展名的文件，并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).asm (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)

历史意义：

• 开机后再生，即刻连锁破坏

--传统病毒：立刻关机，重新开机，停止它正进行的破坏行动--探险虫：不似传统病毒，一旦重新开机，即寻找网络上的下个受害者

2.8 黑客型病毒

-走后门、发黑色信件、瘫痪网络

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一样，具有难以抹灭的历史意义。

如同网络安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为。果不其然，在造成全球 26.2 亿美金的损失后， 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在网络上大量散播，包含： 电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的 Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

每一台中了Nimda 的计算机，都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据，形成无限循环的 DoS阻断式攻击。另外，若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁网络安全的新型态病毒，将会是 MIS 人员最大的挑战。"

实例：Nimda

发现日：2001.9

发病日：随时随地

产地：不详

病征：通过eMail、网络芳邻、程序安全漏洞，以每 15 秒一次的攻击频率，袭击数以万计的计算机，在 24 小时内窜升为全球感染率第一的病毒

历史意义：

计算机病毒与黑客并肩挑衅，首创猛爆型感染先例，不需通过潜伏期一台计算机一台计算机感染，瞬间让网络上的计算机几乎零时差地被病毒攻击

认识计算机病毒与黑客

防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙 」(Firewall)，这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让恐怖份子进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞，大肆为所欲为。

--宽带大开方便之门

CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件，其中之一的关键因素是宽带网络（Broadband）的"always-on" (固接，即二十四小时联机)特性特性所打开的方便之门。

宽带上网，主要是指 Cable modem 与 xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的电话拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，"雀屏中选"的机率便大幅提升了。

当我们期望Broadband（宽带网络）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界。

计算机及网络家电镇日处于always-on的状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接上网络，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事（见表一），然而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题

到底是什么时候开始有木马病毒的？

电脑病毒的起源

电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯?诺伊曼（John Von Neumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。

1975年，美国科普作家约翰?布鲁勒尔（John Brunner）写了一本名为《震荡波骑士》（Shock Wave Rider）的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。

1977年夏天，托马斯?捷?瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。

而差不多在同一时间，美国著名的ATT贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"（core war）的游戏，进一步将电脑病毒"感染性"的概念体现出来。

1983年11月3日，一位南加州大学的学生弗雷德?科恩（Fred Cohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。

不过，这种具备感染与破坏性的程序被真正称之为"病毒"，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的专栏作家在讨论"磁芯大战"与苹果二型电脑（别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影）时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个"病毒"的名字可以称呼了。

第一个真正的电脑病毒

到了1987年，第一个电脑病毒C-BRAIN终于诞生了（这似乎不是一件值得庆贺的事）。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特（Basit）和阿姆捷特（Amjad）所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。

这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团（如NuKE,Phalcon/Skism,VDV）。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。

DOS时代的著名病毒

所谓"DOS时代的病毒"，意思是说这是从DOS时代就有的老古董，诸位读者可别以为您现在已经进入Windows 95/98的年代，就不会感染DOS时期的病毒。其实由于Windows 95/98充其量不过是一套架构在DOS上的操作系统，因此即使是处在Windows 95/98之下，一不小心还是会惹火上身的！

耶路撒冷（Jerusalem）

这个古董级病毒其实有个更广为人知的别称，叫做"黑色星期五"。为什么会有这么有趣的别称？道理很简单:因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程序，症状相当凶狠。

米开朗基罗（Michelangelo）

米开朗基罗的名字，对于一些早一点的电脑使用者而言，真可说是大名鼎鼎，如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日（这也就是它为什么叫做"米开朗基罗"的原因）时，这个病毒就会以Format硬盘来为这位大师祝寿。于是乎，你辛苦建立的所有资料都毁于一旦，永无翻身之日。

猴子（Monkey）

Monkey据说是第一个"引导型"的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬盘的分区表，让你一开机就会出现"Invalid drive specification"的信息。比起"文件型"病毒只有执行过受感染文件才会中毒的途径而言，Monkey的确是更为难缠了。

音乐虫病毒（Music Bug）

这个发作时会大声唱歌，甚至造成资料流失、无法开机的病毒，正是台湾土产的病毒。所以，当你听到电脑自动传来一阵阵音乐声时，别以为你的电脑比别人聪明，那很有可能是中毒了。

其实这种会唱歌的病毒也不少，有另一个著名的病毒（叫什么名字倒忘了）发作时还会高唱着"两只老虎"呢！

DOS时期的病毒，种类相当繁杂，而且不断有人改写现有的病毒。到了后期甚至有人写出所谓的"双体引擎"，可以把一种病毒创造出更多元化的面貌，让人防不胜防！而病毒发作的症状更是各式各样，有的会唱歌、有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。不过幸运的 是，这些DOS时期的古董级病毒，由于大部分的杀毒软件都可以轻易地扫除，所以杀伤力已经大不如前了。

Windows时期的来临

随着Windows 3.1在全球的风行，正式宣告了个人电脑操作环境进入Windows时代。紧接着，Windows 95/98的大为畅销，使得现在几乎所有个人电脑的操作环境都是在Windows状态下。而在Windows环境下最为知名的，大概就属"宏病毒"与"32位病毒"了。

宏病毒

随着各种Windows下套装软件的发展，许多软件开始提供所谓"宏"的功能，让使用者可以用"创造宏"的方式，将一些繁琐的过程记录成一个简单的指令来方便自己操作。然而这种方便的功能，在经过有心人士的设计之后，终于又使得"文件型"病毒进入一个新的里程碑:传统的文件型病毒只会感染后缀为exe和com的执行文件，而宏病毒则会感染Word、Excel、AmiPro、Access等软件储存的资料文件。更夸张的是，这种宏病毒是跨操作平台的。以Word的宏病毒为例，它可以感染DOS、Windows 3.1/95/98/NT、OS/2、麦金塔等等系统上的Word文件以及通用模板。

在这些宏病毒之中，最为有名的除了后面要讲的Melissa就是令人闻之色变的Taiwan NO.1B 。这个病毒的发作情形是：到了每月的十三号，只要您随便开启一份Word文件，屏幕上会出现一对话窗口，询问你一道庞杂的算数题。答错的话（这种复杂的算数大概只有超人可以很快算出来吧）就会连续开启二十个窗口，然后又出现另一道问题，如此重复下去，直到耗尽系统资源而死机为止。

虽然宏病毒有很高的传染力，但幸运的是它的破坏能力并不太强，而且解毒方式也较容易，甚至不需杀毒软件就可以自行手动解毒。

32位病毒

所谓"32位病毒"，则是在Windows 95之后所产生的一种新型态文件型病毒，它虽然同样是感染exe执行文件，但是这种病毒专挑Windows的32位程序下手，其中最著名的就是去年大为流行的CIH病毒了。

CIH病毒的厉害之处，在于他可以把自己的本体拆散塞在被感染的文件中，因此受感染的文件大小不会有所变化，杀毒软件也不易察觉。而最后一个版本的CIH病毒，除了每个月26日发作，将你的硬盘Format掉之外，有时候还会破坏主板BIOS内的资料，让你根本无法开机！虽然目前大部分的杀毒软件都有最新的病毒码可以解决这只难缠的病毒，不过由于它的威力实在强大，大家还是小心为上。（CIH又可能在今年4月26发作，你不会有事吧？）

Internet的革命

有人说Internet的出现，引爆了新一波的信息革命。因为在因特网上，人与人的距离被缩短到极小的距离，而各式各样网站的建立以及搜寻引擎的运用，让每个人都很容易从网络上获得想要的信息。

Internet的盛行造就了信息的大量流通，但对于有心散播病毒、盗取他人帐号、密码的电脑黑客来说，网络不折不扣正好提供了一个绝佳的渠道。也因此，我们这些一般的使用者，虽然享受到因特网带来的方便，同时却也陷入另一个恐惧之中。

病毒散播的新捷径

由于因特网的便利，病毒的传染途径更为多元化。传统的病毒可能以磁盘或其他存储媒体的方式散布，而现在，你只要在电子邮件或ICQ中，夹带一个文件寄给朋友，就可能把病毒传染给他；甚至从网络上下载文件，都可能收到一个含有病毒的文件。

不过虽然网络使得病毒的散布更为容易，但其实这种病毒还是属于传统型的，只要不随便从一些籍籍无名的网站下载文件(因为有名的网站为了不砸了自己的招牌，提供下载的文件大都经过杀毒处理)，安装杀毒软件，随时更新病毒码，下载后的文件不要急着执行，先进行查毒的步骤(因为受传统病毒感染的程序，只要不去执行就不会感染与发作)，多半还是可以避免中毒的情形产生。

第二代病毒的崛起

前面所谈的各式各样的病毒，基本上都是属于传统型的病毒，也就是所谓"第一代病毒"。会有这样的称呼方式，主要是用来区分因为Internet蓬勃发展之后，最新出现的崭新病毒。这种新出现的病毒，由于本质上与传统病毒有很大的差异性，因此就有人将之称为"第二代病毒"。

第二代病毒与第一代病毒最大的差异，就是在于第二代病毒传染的途径是基于浏览器的，这种发展真是有点令人瞠目结舌！

原来，为了方便网页设计者在网页上能制造出更精彩的动画，让网页能更有空间感，几家大公司联手制订出Active X及Java的技术。而透过这些技术，甚至能够分辨你使用的软件版本，建议你应该下载哪些软件来更新版本，对于大部分的一般使用者来说，是颇为方便的工具。但若想要让这些网页的动画能够正常执行，浏览器会自动将这些Active X及Java applets的程序下载到硬盘中。在这个过程中，恶性程序的开发者也就利用同样的渠道，经由网络渗透到个人电脑之中了。这就是近来崛起的"第二代病毒"，也就是所谓的"网络病毒"。

兵来将挡，水来土掩

目前常见的第二代病毒，其实破坏性都不大，例如在浏览器中不断开启窗口的"窗口炸弹"，带着电子计时器发出"咚咚"声的"闹闹熊"等，只要把浏览器关闭后，对电脑并不会有任何影响。但随着科技的日新月异，也难保不会出现更新、破坏性更大的病毒。

只是，我们也不需要因为这种趋势而太过悲观，更不用因噎废食地拒绝使用电脑上网。整个电脑发展史上，病毒与杀毒软件的对抗一直不断的持续进行中，只要小心一点，还是可以愉快地畅游在因特网的世界里。

木马病毒是谁发明的

自从美国学生弗里德-科恩以测试计算机安全为目的编写首个电脑病毒以来，全球电脑 病毒到本周迎来了二十周岁的“生日”，目前世界上约有6万多种电脑病毒，它们已经从最初给用户带来小麻烦发展到严重威胁电脑和网络的安全。 病毒写手已经开始利用最新的技术，而且病毒也开始通过网络进行更加快速的传播并引发混乱。科恩在南加州大学攻读博士学位期间编写了世界上第一个电脑病毒，他将病毒加载到了一个名为VD的图形软件中，然后病毒隐藏在VD软件中并通过电脑系统进行传播。 科恩编写这一电脑病毒的最初目的仅仅是为了实验，他发现自己的病毒可在不到一个小时内传播到系统的各个部分，最快的传播速度是5分钟。 科恩1983年11月10日在一个电脑安全研讨会上公布了自己的研究结果，科恩在论文中充满预见性地指出：“病毒可在电脑网络中象在电脑之间一样传播，这将给许多系统带来广泛和迅速的威胁。” 电脑病毒首先针对IBM电脑编写，此类电脑病毒中最早的一个是1986年出现的“Brain”病毒，它来自巴基斯坦，很明显编写人是为了监视对他们电脑程序的盗版行为。随着“Brain”电脑病毒的出现，此后名为“Lehigh”、“Jerusalem”、“Cascade”和“Miami”的病毒也纷纷问世。

希望采纳

"木马病毒" "木马"这个典故出自哪儿

古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动

它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，往往只能望“马”兴叹。

所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

从木马的发展来看，基本上可以分为两个阶段。

最初网络还处于以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

而后随着WINDOWS平台的日益普及，一些基于图形操作的木马程序出现了，用户界面的改善，使使用者不用懂太多的专业知识就可以熟练的操作木马，相对的木马入侵事件也频繁出现，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

所以所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。

鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，希望大家对特洛伊木马这种攻击手段有一个透彻的了解。

原 理 篇

基础知识

在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。

一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。

谁创造木马病毒的？何年何月何日？怎么想到的？

死，今天居然遇到了一件很电脑倒霉的事。原来我的电脑里的病毒已经很多了，居然我家的卡巴斯基都被它干掉了，后来从安装时，才安装了一半，那病毒就将它再次干掉，我真佩服它的，我想说：哥们，你太强大了！后来用360查杀病毒，不查不知道，一查吓一跳，我家电脑里居然有67个木马病毒！！！！！！靠，杀了半天终于将它杀了，可是电脑还有漏洞，啊啊啊，居然弄不起来，我真郁闷~~~~~~~帮我弄电脑的人说，你将电脑弄成这样你已经很好很强大了.....- -|||

哎，真郁闷，那人因为有事情，就先走一步了，要我自己接着弄，我没办法，就小心翼翼的弄，我很怕怕的啊~~~~

好在我开学就被禁网了，等我毕业了，我家人答应给我买个笔记本电脑~哈哈哈哈，吼吼吼吼，HOHOHOHO（不过真是漫长岁月呀- -）

我现在已经不知道可以说什么了，只觉得自己确实很“强大”了- -

啊啊啊啊，我的电脑~~~~

我正在弄着，同志们，是人的就希望我凯旋呀，不是人的就呆在一边吹凉风去吧~~~~~`

1

2

3

4

5

............

时间正匆匆的过去，我还在弄着，晕，我到底要弄到何年何月？？？

我正在耐心的等待它修复，幸好那人跟我又弄了个卡巴...但是，我怎么弄了半天都没安装OK？？？（我靠...）

幸好我有耐心，否则我早就将电脑KO了。

Oh, my god，你就将我的电脑给弄弄好吧，我就等着这个暑假好好耍呢！！

好了，我就说到这里了，我要慢慢的等....慢慢的等.....

N分钟过去....

我C，什么玩意？怎么还没好？不就2个漏洞？你搞什么搞，怎么还没好？

N分钟过去...

终于弄好了...下面，我就要搞卡巴斯机了，哈哈哈！！！

我K，刚杀完的病毒，又冒出来了，还是65个木马病毒...

N分钟过去...

啊哈哈哈哈，终于杀死了一个- -||||

世界上第一个发明病毒木马的哪个家伙？

电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯·诺伊曼(John Von Neumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。

1975年，美国科普作家约翰·布鲁勒尔(John Brunner)写了一本名为《震荡波骑士》(Shock Wave Rider)的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。

1977年夏天，托马斯·捷·瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1)成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。

而差不多在同一时间，美国著名的ATT贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"(core war)的游戏，进一步将电脑病毒"感染性"的概念体现出来。

1983年11月3日，一位南加州大学的学生弗雷德·科恩(Fred Cohen)在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。

不过，这种具备感染与破坏性的程序被真正称之为"病毒"，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论"磁芯大战"与苹果二型电脑(别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们熟悉的PC根本还不见踪影)时，开始把这种程序称之为病毒。从此以后我们对于这种具备感染或破坏性的程序，终于有一个"病毒"的名字可以称呼了。

第一个真正的电脑病毒

到了1987年，第一个电脑病毒C-BRAIN终于诞生了(这似乎不是一件值得庆贺的事)。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特(Basit)和阿姆捷特(Amjad)所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。

这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团(如NuKE,Phalcon/Skism,VDV)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。