病毒地缘性的产生:由于计算机病毒的传播,是受到介质和条件限制的,因此在不同的历史阶段形成了不同的地缘性特性。
以下因素是病毒地缘性产生的主要原因:
1、病毒编制者的生活空间
最早的PC病毒,由于完全依靠软盘介质传播,传播速度比较慢,除了一些大批量的信息介质由于不慎(或有意破坏)被感染计算机病毒,可能造成瞬间的大面积传播外,一般病毒的传播,与病毒编制者初始的"播种"地点为中心,缓慢的向周围扩散。
一般来说,病毒只有寄生与主流操作系统,才有望火的比较强的生命力,因此,由于不同地域人群的对系统环境的选择,会使希望在当地播撒病毒的VXER有不同的考虑,比如某处freebsd系统比较流行,则可能会流传bsd系统的蠕虫。
不仅对操作系统如此,一些可能传播病毒的特殊软件环境也如此,类似宏病毒、irc.worm、p2p.worm、outlook等特殊环境的蠕虫,都依赖于他们特定的环境,甚至软件的版本。
3、定向性攻击和条件传播
服务性网络蠕虫与传统病毒不同,其可以根据IP地址范围作定向性的扫描,同时病毒还可以根据运行的操作系统的语言或者其他特性判别是否感染,定向性攻击和条件传播是传统病毒以扩散点为中心的特性,变得更为复杂。
中国本土病毒的几个发展阶段
中国大陆地区流入的第一个PC病毒是pingpong家族,即所谓的小球病毒,当时是1988年,当时这个病毒已经在一些国家和地区流行了一年之久。中国1989年,陆续出现了一些病毒,如国内命名的火炬、64、中国炸弹、等等,这些病毒基本都是针对国外一些主流病毒如Jerusalem、stone等等进行的改造所产生的变种。
当时病毒对用户是比较神秘的,由于病毒以磁盘为主要介质,流行速度比较慢。 一些病毒的对抗,是依靠一些一对一的疫苗实现。
后来出现的一些杀毒软件(包括国内盗版的国外反病毒产品)和防毒卡的出现,逐步改变这些状况。其间由于政策性和其他的因素,国内反病毒产品和国外没有实际的竞争。无论是国内的反病毒工作者,还是少数病毒的制造者,都处在摸索阶段。
随着对抗的发展,在DOS病毒时代,几个独立病毒的家族在中国本土的出现表明国内当时的病毒制造技术已经比较成熟,比较有代表性的品种是zhengzhou系列(郑州、wolf/狼)、和shanghai_II(上海2)系列等等,这些病毒都比较完整的综合了一些新的技术手段。纵观DOS时代,与中国大陆具有亲缘关系的病毒,总数比较少,也基本没有出现那种几十,乃至上百种变种的庞大家族。
这些病毒中,良性病毒居多。
这些国产病毒的陆续出现,客观上增加了用户对国内产品的信任。当时,国内用户除了并非是国外主流产品的cpav(该产品只是由于被微软OEM而名声大噪)外,对国外产品缺乏了解,虽然有盗版光盘流入,但用户难以升级。
同时当时多数国外产品在国内确实没有代理机构,也并没有样本采集的触角,对国内样本的搜集也比较迟钝,因此,当时的国内几个主要的反病毒产品和国外的盗版反病毒产品的在对用户使用偏好的争夺上,确实占了上风。
到了宏病毒出现后,情况骤然变化,编写传统病毒,需要编制这对于文件系统、中断调用、文件结构等有比较深入地了解,而宏病毒采用VB的子集word basic编写,编写非常容易,加上Macro.Word.Concept的源码迅速被公开,宏病毒数量瞬间呈级数增长。而亚太地区的一个重要的病毒出产基地,就是我国的台湾省,当时很多流入中国大陆的宏病毒是在台湾先流行起来的,由于两岸信息交流开始频繁,流入大陆的时间也比较快。 其中,非常有代表性的是Macro.Word.TWNO family。传播范围非常广,变种也很多。
由于微软OFFICE文档的2进制结构是不公开的,当时国内几家反病毒企业的与MS相关谈判都以失败告终,因此有的不得不暂时使用以宏杀宏的临时措施,有的则采用简单的搜索auto open的位置,然后将其后20个字节清零以使宏病毒失效的土方法。依靠这些比较粗糙的方法争取时间,以力求通过逆向工程破解office文档的2进制结构。
而当时国外一些企业如MCAFEE等则很容易的从微软等处取得了office文档结构,应该说,这是企业的"地缘性"差异,却让中国反病毒企业在自己的门口第一次感受到了压力。
