当时规模最大的病毒被揭示：Sobig蠕虫肆虐的一天

扩展阅读

Sobig蠕虫病毒是一种计算机蠕虫病毒，在2003年8月感染了数百万台连接互联网的微软Windows电脑。尽管有迹象表明早在2002年8月就对这种蠕虫进行了测试，但Sobig.A在2003年1月首次在野外被发现。Sobig.B于2003年5月18日发布。它最初被称为Palyh，但后来在反病毒专家发现它是新一代Sobig后改名为Sobig.B。Sobig.C于5月31日发布，并修复了Sobig.B.Sobig.D中的计时错误，几周后Sobig.D在6月25日发布。8月19日，Sobig.F开始出名，并创造了电子邮件数量的记录。

Sobig.F是另一种群发邮件蠕虫的最新变种，它利用Windows 95、98、ME、NT、2000和XP平台上的Microsoft Outlook电子邮件客户端中的漏洞，通过发送带有伪造返回地址的邮件来复制自身。它被认为是当时最具破坏性的蠕虫之一，据报道损失总额达371亿美元。它在传播能力方面也创下了纪录，包括随附电子邮件发送的数量。

最早的计算机病毒Creeper(根据老卡通片《史酷比(Scooby Doo )》中的一个形象命名)出现在1971年。当然在那时，Creeper还尚未被称为病毒，因为计算机病毒尚不存在。Creeper由BBN技术公司程序员罗伯特·托马斯(Robert Thomas)编写，通过阿帕网( ARPANET，互联网前身)从公司的DEC PDP-10传播，显示

“我是Creeper，有本事来抓我呀!(I'm the creeper， catch me if you can!)”。

Creeper在网络中移动，从一个系统跳到另外一个系统并自我复制。但是一旦遇到另一个Creeper，便将其注销。

我是爬行者

为了对付“爬行者”，有人便写出了“收割者（Reaper）”。它的唯一生存目的便是找到爬行者，把它们毁灭掉。当所有爬行者都被收割掉之后，收割者便执行程序中最后一项指令：毁灭自己，从电脑中消失。

“我是爬行者：如果可以的话，请抓住我。” 这个消息听起来像是从维多利亚时代的童谣中直接传出来的，是1971年编程历史上第一个病毒Creeper展示的。今天，我们会告诉你一切！

爬行者的目标

Creeper由BBN Technologies 的开发人员Bob Thomas 创建，BBN Technologies处于新兴技术行业的前沿。托马斯编程爬行器测试是否可以创建一个程序在计算机之间移动。换句话说，他的想法并不是破坏个人电脑，实际上，仅仅几年之后，Creeper才认为是病毒，因为直到80年代这个概念才被应用到电脑上。

爬行者通过ARPANET （美国国防部使用的第一个计算机网络之一）传播并复制到系统中，在那里显示我在本文开头写的信息。一旦显示，它就开始打印文件，但随后停止并切换到另一台PC，并进行相同的处理。

尽管它在第一次出现时感染了电脑，但效果并没有持续太久：跳到下一台电脑，它从前一台电脑中消失，依此类推。

今天，这可能看起来像一个失败，但在1971年，鲍勃托马斯的实验得到了很多关注，因为在没有人为干预的情况下，获得程序在PC之间跳转的壮举是不可能实现的。他的成功是创建了一个从个人电脑到个人电脑快速运行的程序...... 并且是创建第一个防病毒 程序的原因！

收割者：爬行者的敌人

Creeper之后，来到Reaper（完美的工具来切断爬行者）。该程序创建于1973年，从系统中删除了爬行者“病毒”，因此它可被视为第一个“防病毒程序”。

再一次，尽管这更像是一个现代概念，但我们可以称之为防病毒软件，因为它执行的功能与防病毒软件的功能相同。

我们不确定的是编程Reaper的人。有人说这是鲍勃托马斯本人，他决定控制他的“生物”。其他人则认为其创建者是Ray Tomlinson，这位开发人员在多年后将创建电子邮件。

爬行者和收割者的遗产

虽然Creeper没有达到其目标的100％，Reaper是一款非常简单的 杀毒软件，但都标志着计算机历史上的里程碑。

1973年，Reaper创立的同一年，作者和编剧Michael Crichton 率先将“病毒”概念应用于科技领域。他在电影“ 西部世界”（Westworld） 中做过这样的事情，游乐园里的人形机器人就像他们不应该这样做。是的，最近的HBO系列是基于这部传奇电影。

在1974年创建Rabbit时谈论这类PC病毒。Rabbit是一个不间断复制的程序，在单台计算机上复制自身，直到阻止其系统，降低其性能并最终将其清除。是的，在这里我们看到坏意图开始出现。

几年之后，1981年，Elk Cloner 被创建， 这是一种影响Apple II的病毒（是的，苹果过去并不是很安全）。

而在1986年，我们向“Brain”病毒问好，这是第一个大型病毒，影响了当时庞大的20,000台PC（这次是ibm）。我是爬行者

在计算术语中，宏病毒是用宏语言编写的病毒，宏语言是嵌入软件应用程序中的编程语言。某些应用程序(如Microsoft Office、Excel、PowerPoint)允许在文档中嵌入宏程序，以便在打开文档时自动运行宏，这提供了一种独特的机制，恶意计算机指令可通过该机制传播。这是在电子邮件中打开意外附件可能很危险的原因之一。许多防病毒程序都可以检测到宏病毒；但是，宏病毒的行为仍然很难检测到。

第一个通过Microsoft Word在野外传播的宏病毒是Concept，它是在1995年7月发现的。1995年8月，微软向数百家公司运送了一张名为“微软兼容性测试”的CD-ROM，意外地将该病毒包含在光盘中。

该概念在受感染的Word文档中传播到计算机，电子邮件中附加了.doc扩展名。从那里，病毒感染了使用另存为命令保存的Word 6.0或Word 95文档的英文版本。Concept没有在受影响的计算机中执行任何破坏性操作；它只是在感染文档时在屏幕上显示一条消息。

宏是自动触发软件程序中特定功能的一系列命令。宏可以安装在Microsoft Word等程序中，以便执行程序无法自动执行的复杂任务。例如，公司可以使用宏将设计的信头或预先设计的表格自动插入到Microsoft Word页面模板中，或者使用程序本身无法提供的自定义页面格式。

宏病毒的编码具有传播能力-很像病毒感染人、自我复制并传播给其他人的方式。宏病毒可以在用户不知情或未经用户同意的情况下在计算机上复制和安装材料。如果通过垃圾电子邮件发送，它通常会自动发送给用户地址簿中的每个人。

扩展阅读

Stuxnet又名“震网”，是针对微软系统以及西门子工业系统的最新病毒，目前已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。曾造成伊朗核电站推迟发电的全球首个“超级工厂病毒”Stuxnet在2010-09-25侵入我国。瑞星12年9月25日发布的预警显示，国内已有近500万网民及多个行业的领军企业遭Stuxnet蠕虫病毒攻击，而且由于安全制度上的缺失，该病毒还存在很高的大规模传播风险。

瑞星安全专家介绍，Stuxnet蠕虫病毒是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，由于该系统在我国的多个重要行业应用广泛，被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。到2013年已感染多个国家及地区的工业系统和个人用户，此病毒可通过网络传播，与以往病毒不同，其代码非常精密。

据报道，Stuxnet摧毁了伊朗纳坦兹铀浓缩设施中的许多离心机，导致这些离心机自行烧毁。随着时间的推移，其他团体对病毒进行了改造，使其成为目标设施，包括水处理厂、发电厂和天然气管道。

我们不知道 Stuxnet 的作者是谁，只知道大概是在2005年至2010年间编写的。

Stuxnet是一种多部件的蠕虫病毒，它在USB上传播，并在微软的Windows计算机上传播。当 U 盘插入 PC，它会自动运行，将自已复制到该 PC。它至少有三种自动运行的方法。如果某种方法行不通，就尝试另一种。其中的两种运行方法是全新的，使用了 Windows 的两个无人知晓的秘密 Bug。

该病毒在每台受感染的PC机上搜索西门子第7步软件的迹象，该软件是作为PLC的工业计算机，用于自动化和监控机电设备。在找到一台PLC计算机后，恶意软件攻击在互联网上更新了它的代码，并开始向PC控制的机电设备发送导致损坏的指令。同时，病毒向主控制器发送错误反馈信息。任何监视这些设备的人在设备开始自毁之前都不会发现有问题。

一旦蠕虫进入 PC ，它会尝试获得该 PC 的管理员权限，使用的也是前面提到的那两个无人知道的秘密 Bug。然后，它把自己留下的痕迹全部清除，不让防病毒软件检测到它的存在，用户不会看到任何东西。这种蠕虫隐藏得很好，出现后一年多，没有任何一家安全公司发现它的存在。

Stuxnet在2010年6月被发现，专门用来接管某些可编程工业控制系统，使这些系统运行的设备发生故障，同时向系统监控器提供虚假数据，表明设备按预期运行。在2010年被发现后引起了媒体的广泛关注，因为它是已知的第一种能够破坏硬件的病毒，也是因为它似乎是由美国国家安全局、中央情报局和以色列情报机构制造的。

计算机安全世界各地的专家，Stuxnet针对的是某些“监控与数据采集“(SCADA)系统由德国电气公司制造西门子公司控制机械受雇于发电厂和类似设施。更具体地说，这种蠕虫病毒只针对西门子SCADA系统，这些系统与变频器驱动器、控制工业电机速度的设备一起使用，甚至只有芬兰和伊朗的某些制造商制造的驱动器才能以非常特定的高速运行电机。这一组合向分析人士表明，Stuxnet可能的目标是在伊朗-或位于NaṭANZ的铀浓缩厂或a核反应堆在Būshhr或两者兼而有之，这一结论得到了数据的支持，数据显示，截至2010年底，在受Stuxnet感染的大约100,000台计算机中，60%以上位于伊朗。

这种蠕虫至少从2009年年中就一直在传播，事实上，在那一年的下半年，在NaṭANZ工厂，大量的离心机(以极高速度旋转浓缩铀的机器)被拆除并更换。伊朗的核计划，大多数外国政府认为这是在努力生产。核武器，即使在发现蠕虫之后，也继续遭受技术上的困难。

直到2010年夏天，全世界有13万台电脑受到Stuxnet的影响。这一努力没有奏效；到2011年初，伊朗的产量已经恢复，美国和以色列的情报部门正在努力发现可能会减缓伊朗生产努力的潜在新目标。
到2012年6月，Stuxnet程序已经停止，但是代码的副本逃脱了预定的目标。黑客进行了修改，Stuxnet现在被认为是下一个最大的安全威胁的基础。