誰打開了潘多拉的魔盒
顯然,在巴貝奇的差分機上不存在任何病毒,早期基於電子管的電子計算機,比如說埃利亞特,也不可能有電腦病毒存在。但是Univac 1108,一個很古老的公司,一種很古老的機器,以及IBM360/370機器上,已經有一些可以看成是病毒的程序存在,比如“流浪的野獸”(Pervading Animal)和“聖誕樹”(Christmas tree),因此,可以認爲最早的病毒出現在七十年代初甚至六十年代末,雖然那時候沒有任何人稱這些程序爲病毒。
一般意義上的病毒(可以運行在IBM PC機及其兼容機上)一般認爲是在1986年左右出現的。從那以後的十五年時間裏,出現了大概6萬餘種病毒,病毒的數量不斷增大,和病毒製作的技術也逐步提高,從某種意義上,病毒是所有軟件中最先利用操作系統底層功能,以及最先採用了複雜的加密和反跟蹤技術的軟件之一,病毒技術發展的歷史,就是軟件技術發展的歷史。
下面我們將儘可能詳細的描述病毒發展歷史上的重要事件,以及這些事件的背景。
萌芽時期,磁芯大戰
五十年代末六十年代初,在著名的美國電話電報公司(AT&T)下設的貝爾實驗室裏,三個年輕的程序員:道格拉斯、維索斯基和羅伯特•莫里斯,在工作之餘編制了一個叫“磁芯大戰”(core war)的遊戲。“磁芯大戰”基本的玩法就是想辦法通過複製自身來擺脫對方的控制並取得最終的勝利,這可謂病毒的第一個雛形。雖然由於這種自我複製是在一個特定的受控環境下進行的,所以不能認爲是真正意義上的病毒,但是這些軟件的基本行爲和後來的電腦病毒已經非常類似了。
六十年代晚期到七十年代早期:
這個時候是大型電腦的時代,就是那種佔據了幾個房間的大傢伙。在大型電腦時代,由於開發人員的錯誤或者是出於惡作劇的目的,一些程序員製作了被稱爲“兔子”的程序,他們在系統中分裂出替身,佔用系統資源,影響正常的工作,但是這些“兔子”很少在系統之間相互拷貝。
這個時期,在一種型號的大型電腦—Univax 1108系統上,首次出現了和現代病毒本質上是一樣的東西,一個叫做“流浪的野獸”(Pervading Animal)的程序可以將自己附着到其它程序的最後!
七十年代上半葉:
“爬行者”病毒,出現在一種叫做泰尼克斯(Tenex)的操作系統上,這個病毒可以通過網絡進行傳播(又一個偉大的進步,當然不是現在意義上的因特網,那個時代的網絡就是一對一的,通過調制解調器—就是你上網用的“貓”,將一臺電腦和另外一臺相連接)。一種叫做“清除者”(Reeper)的程序也被開發出來專門對付“爬行者”,這可能就是病毒和反病毒的第一次戰爭。
八十年代早期
電腦已經在國外變得非常普遍了,出現了最早的獨立程序員,他們在爲公司工作的同時,出於興趣的原因,寫了很多遊戲或者其他的小程序,這些程序可以通過電子公告板(BBS)自由的流傳,竊取帳號和密碼成了所有愛好者所夢寐以求的事情,也是體現他們在這個社區獨特價值的最好機會,所以在這一時期誕生了無數的特洛伊木馬(Trojan horses),他們盡力將自己僞裝得和真正的登錄程序和提示程序一模一樣,這樣就可以騙取不明真相用戶的密碼了。
BBS電子公告板:BBS(Bulletin Board Service)是Internet上的一種電於信息服務系統。它提供一塊公共電子白板,每個用戶都可以在上面書寫,可發佈信息或提出看法。大部分BBS由教育機構,研究機構或商業機構管理。象日常生活中的黑板報一樣,電子公告牌按不同的主題、分主題分成很多個布告欄,布告欄設立的依據是大多數BBS使用者的要求和喜好,使用者可以閱讀他人關於某個主題的最新看法(幾秒鐘前別人剛發佈過的觀點),也可以將自己的想法毫無保留地貼到公告欄中。同樣地,別人對你的觀點的迴應也是很快的(有時候幾秒鐘後就可以看到別人對你的觀點的看法)。如果需要私下的交流,也可以將想說的話直接發到某個人的電子信箱中。如果想與正在使用的某個人聊天,可以啓動聊天程序加人閒談者的行列,雖然談話的雙方素不相識,卻可以親近地交談。在BBS裏,人們之間的交流打破了空間、時間的限制。在與別人進行交往時,無須考慮自身的年齡、學歷、知識、社會地位、財富、外貌、健康狀況,而這些條件往往是人們在其他交流形式中無可迴避的。同樣地,也無從知道交談的對方的真實社會身份。這樣,參與BBS的人可以處於一個平等的位置與其他人進行任何問題的探討。這對於現有的所有其他交流方式來說是不可能的。
BBS連入方便,可以通過Internet登錄,也可以通過電話網撥號登錄。BBS站往往是由一些有志於此道的愛好看建立,對所有人都免費開放。而且,由於BBS的參與人衆多,因此各方面的話題都不乏熱心者。可以說,在BBS上可以找到任何你感興趣的話題。在Internet沒有廣泛流行的時期,BBS基本上就是電腦網絡的全部,人們利用BBS交流信息,發佈程序,當然也包括傳播病毒和木馬程序。
1981年
在蘋果機上,誕生了最早的引導區病毒——“埃爾科克隆者”(Elk Cloner)這個病毒將自己附着在磁盤的引導扇區上。這個病毒有很強的表現慾望,再發作的時候,她會盡力引起你的注意,關掉顯示器、讓顯示的文本閃爍或者顯示一大堆亂七八糟的信息。
1986
最早運行在IBM PC兼容機上的病毒“大腦”(Brain)開始流行。這是一種感染360K軟盤的病毒(不是我們現在使用的軟盤,是很古老的5.25英寸的大盤,而且容量只有360K,現在在一些老型號的機器上還可以見到),由於所有的人對於電腦病毒都沒有任何心理準備,所以這種病毒在製造出來之後,立刻在世界範圍內迅速傳播。巴基斯坦的兩兄弟:巴斯特(Basit)和埃姆佳德(Amjad Farooq Alvi)製造了這個病毒,他們在病毒中留下一條信息,其中有他們的名字、地址甚至還有電話號碼(我想現在不會有人這麼幹了,因爲警察會在第二天就造訪你留下的地址!)。
根據作者的說法,他們是軟件開發商,製作這個病毒的目的是爲了檢驗一下盜版問題在巴基斯坦的嚴重程度,也就是說,如果你使用了他們開發未經授權的軟件,其中可能就包括了這個病毒,考察這個病毒的流行程度就知道盜版問題的嚴重程度了。遺憾的是病毒的蔓延遠遠超過了製造者的預計,這一病毒成爲世界性的問題,也宣告了一個擁有病毒和反病毒軟件的電腦時代的到來。“大腦”病毒還首次使用了巧妙的手段來僞裝自己,如果你想要查看被病毒感染的地方,她會提供一個完好無損的東西給你。
同樣在1986年,一個名叫萊夫•伯格(Ralph Burger)的程序員發現可以寫出這樣的程序:將自己複製之後然後加在一個DOS可執行程序的後面,在1986年12月,他首次發佈了使用這一原理的病毒“VirDem”——“病毒魔鬼”?這可以認爲是DOS文件型病毒的起源。
在中國,這一年公安部成立了計算機病毒研究小組,並派出專業技術人員到中科院計算所和美國、歐洲進修、學習計算機安全技術。
1987
這是電腦病毒技術飛速發展的一年,特別是DOS環境下的文件型病毒,在這一年得到了長足的進步。
“維也納”(Vienna)病毒出現,這個病毒不是萊夫•伯格編寫的,但是他得到這個病毒之後,對它進行了分析,並在他出的書《計算機病毒:高技術的瘟疫》中公佈了分析的結果。這本書使得病毒製造的技術變得大衆化了,書中詳細的闡述瞭如何製造病毒,以及一些病毒構造的思路,在書出版以後,成百上千的病毒被這本書的讀者們製造出來。
在這一年中,更多的IBM PC兼容機上的病毒出現了,這裏面比較著名的有:“裏海”(Lehigh),僅僅感染COMMAND.COM;“西瑞夫一號”(Suriv-1),又叫做”四月一號”感染所有的COM文件,“西瑞夫二號”( Suriv-2):感染EXE文件,值得一提的是,這是首個感染EXE文件的病毒,還有“西瑞夫三號”(Suriv-3),首次既感染COM文件又感染EXE文件。還有一些引導型病毒,比如出現在美國的“耶魯”(Yale)病毒,新西蘭的“石頭”(Stoned)病毒和意大利的“乒乓”(PingPong)病毒。
另外,首次能夠自我加密解密的病毒“小瀑布”(Cascade)也在這一年出現了。
這一年中,同樣有一些非IBM PC兼容機上的病毒出現,比如在蘋果機和土星機上的病毒。
1987年12月份,第一個網絡病毒“聖誕樹”(Christmas Tree)開始流行,這是一個使用REXX語言編寫的病毒,在VM/CMS操作系統下傳播。12月9號,“聖誕樹”首次在西柏林大學的內部網絡出現,然後通過網關(連接網絡和網絡之間的一種裝置)進入歐洲學術研究網絡,隨後採用同樣的方式進入IBM公司的內部網絡。四天以後,由於不受節制的自我複製,整個網絡充滿了這個病毒的拷貝,從而造成了系統癱瘓。“聖誕樹”病毒在運行之後,在屏幕上顯示一個聖誕樹的圖象,然後把自己拷貝到當前所有的網絡用戶的機器上。
REXX語言,一種腳本語言,類似於DOS環境下的批處理程序。在IBM的操作系統中得到廣泛的使用,是IBM版本的Unix—AIX環境下一種重要的開發工具。
1988
1988年,13號星期五,一些國家的公司和大學遭到了“耶魯撒冷”(Jerusalem)病毒的拜訪。在這一天,病毒摧毀了電腦上所有想要執行的文件。從某種意義上,“耶路撒冷”病毒首次通過自己的破壞引起了人們對電腦病毒的關注。從歐洲到美洲以及中東都有“耶路撒冷”病毒的報告,該病毒因攻擊了耶路撒冷大學而得名。
在1988年,“耶路撒冷”、“小瀑布”、“石頭”和“維也納”病毒在人們沒有注意的情況下感染了大量的電腦,這是因爲當時反病毒軟件遠沒有今天這麼普遍,即使是電腦專家,也有很多人根本不相信電腦病毒的存在。皮特.諾頓,著名的諾頓工具軟件的開發者,就宣稱電腦病毒是不存在的,象紐約下水道的鱷魚一樣荒謬(不過具有諷刺意味的是,諾頓的公司仍然在數年以後推出了自己的殺毒軟件)。
同時,利用人們對電腦病毒的恐懼,大量有關電腦病毒的笑話和惡作劇開始流行。最早一個惡作劇應該是麥克.羅齊埃裏(Mike RoChenle)完成的,他在BBS上發佈了一系列消息,描述了一種病毒可以在以2400波特率連線的時候,從一臺機器複製到另外一臺機器上。這個玩笑使得大量BBS用戶放棄比較快的2400波特率,而使用1200波特率連接到BBS上。
波特率:上網速度的一種單位,每秒鐘可以傳送的數據的位數。波特率爲2400表示每秒鐘可以傳送2400位,我們常用的文件大小的單位是字節,一個字節是8位,這樣把波特率除以8就得到每秒傳送的字節數,波特率爲2400意味着每秒鐘可以傳送300個字節。現在一般通過貓上網的速度是56k,也就是波特率爲56,000,除以8,我們就可以知道每秒鐘傳送的字節是7000字節,大概每秒鐘7k左右,這是理想的速度,一般實際的傳送速度會稍低於這個值,大概在每秒5-6k左右。
1988年11月:在這個月裏,發生了一起重大的事件,“莫里斯的蠕蟲”(Morris ‘s Worm),第一個因特網的病毒出現,該病毒在美國感染了超過6000臺電腦(包括美國國家航空和航天局研究院的電腦),並使他們部分癱瘓,由於網絡癱瘓造成的損失,預計超過9千6百萬美元。“莫里斯的蠕蟲”利用了VAX和SUN公司開發的Unix系統上的漏洞,使自己可以繁殖和傳播(關於莫里斯是有意利用了這一漏洞還是還是程序本身的錯誤還存在爭議,但是我傾向於認爲是程序員有意的行爲,這種自我繁殖帶給製造者的滿足感可能是這個病毒的作者最根本的動機了)。這一病毒同時還進行密碼偷竊和權限修改等工作,可以認爲這是最早木馬類病毒的一次嘗試。
1988年12月:在DEC.Net上也出現了蠕蟲病毒,這個病毒的名字叫“嗨.來吧”(HI.COM),病毒在屏幕上輸出一個雲杉的圖像,並告訴用戶他們“不要繼續工作了,回家享受好時光吧!”。同樣在這個時候,反病毒軟件已經開始成熟了,所羅門公司的反病毒工具(Doctors Solomon's Anti-virus Toolkit)成爲當時最強大的反病毒軟件。
1989年
新病毒“數據罪犯”(Datacrime)、“弗曼楚”(FuManchu)出現,病毒家族也開始出現,比如說“楊基”(Yankee)病毒,這個病毒在荷蘭和英國造成了極大的恐慌,因爲從10月13號到12月31號,它會格式化硬盤,摧毀所有的數據。
1989年9月,IBM進入反病毒軟件市場,推出了IBM反病毒軟件。
1989年10月,DECNet上出現新的蠕蟲病毒,“手淫蠕蟲”(WANK WORM)。
1989年12月:叫做“艾滋病”(AIDS)的特洛伊木馬出現,大約2萬張上面寫着“艾滋病信息磁盤版本2.0”的磁盤被髮放,啓動90次以後,這個木馬程序會加密磁盤上的所有文件名,設置屬性爲不可見,除了還有一個文件是可讀的,其中包含了一張189美元的帳單,以及郵寄的的地址:巴拿馬郵政信箱7#。當然,這一拙劣的敲詐行爲使作者很快被起訴並送進了監獄。
1989年,大量的病毒流進俄羅斯,在這種情況下,俄羅斯的一些程序員開始開發自己的殺毒軟件,著名的AVP軟件(反病毒工具)在這一年首次發佈。
1989年,引導型病毒“小球”和“石頭”通過香港和美國進入中國內地,並在很少的一些大型企業和研究機構之間開始流行。有報道的大陸第一起病毒報告來自西南鋁加工廠,是“小球”病毒的感染報告。
1989年7月,公安部計算機管理監察局監察處病毒研究小組推出了中國最早的殺毒軟件 Kill版本6.0,這一版本可以檢測和清除當時在國內出現的六種病毒。KILL軟件在隨後的很長一段時間內一直由公安部免費發放。
1990
這一年發生了一些重要的事情,首先是第一個多態病毒“變色龍”(Chameleon)出現(又叫做“V2P1”、“V2P2”和“V2P6”),在此之前,殺毒軟件都是使用“帶掩碼的特徵比較法”,將病毒的片段和一些預先採樣的數據片段進行比較來判斷一個文件是不是被病毒感染,當“變色龍”出現以後,殺毒軟件不得不尋找新的方法來檢測和發現病毒。其次是“病毒製造工廠”(virus production factory)的出現,保加利亞的程序員開發了這樣一個可以用於開發病毒的工具軟件,使得不計其數的新病毒在保加利亞被製造出來,包括了“馬鈴薯”(Murphy)、“野獸”(Beast)以及修改過的“埃迪”(Eddie)病毒。有一個叫做“黑暗復仇者”(Dark Avenger)的傢伙或者組織在這一年特別活躍,製造了很多病毒,它製造的病毒使用了一些新的算法進行感染,並且在系統中隱藏自己的行蹤。
這一年同樣是在保加利亞,第一個專門爲病毒製造者而開的電子公告板建立了,這個電子公告板的主要任務就是進行病毒信息交流和病毒的交換。
在1990年7月,英國的一個電腦雜誌:“今日個人電腦”(PC Today)所附贈的軟磁盤被名叫“磁盤殺手”(DiskKiller)的病毒感染,這份雜誌售出了超過50,000份。
電腦病毒技術本身在這一年也得到了長足的發展,在1990年下半年,兩個著名的病毒“費雷多”(Frodo)和“鯨”(Whale)出現,它們使用了一些非常複雜的方法來隱藏自己的存在,特別是大小爲9K字節的“鯨”,使用了多級加密解密和反跟蹤技術來隱藏自己。
1990年,中國,深圳華星公司推出基於硬件的反病毒系統——華星防病毒卡,迎合了當時人們對有形的卡的盲目崇拜,認爲磁盤上的東西不值錢、不可靠,只有插在電腦裏面的東西才值得花錢購買,取得不錯的銷售業績。
1991
電腦病毒的數量持續上升,在這一年已經增加到幾百種,殺毒軟件這一行業也日益活躍,兩個重要的工具軟件開發商:“賽門鐵克”(Symantec)和“中心點”(Central Point)公司推出了自己的殺毒軟件。實際上,這兩家公司都是收購了早期很小的殺毒軟件公司之後,將小公司的人員和產品一鍋端,然後打上自己的品牌,從而進入這個市場的,這也是大公司進入新市場的一條主要途徑。“賽門鐵克”公司以“諾頓”工具軟件,最重要的是“諾頓磁盤醫生”(Norton Disk Doctor)而知名,“中心點”公司以產品“個人電腦工具集”(PCTools)而知名。
4月份,一次大規模的病毒事件爆發,這次的主角是一個能夠同時感染文件和引導區的複合病毒“蒸餾酒”(Tequila),同年9月,採用了同樣的原理,一個名叫“變形蟲”(Amoeba)的病毒開始流行。
1991年夏天,“目錄二代”(DIRII)病毒開始流行,和其他一些病毒不一樣的是,“目錄二代”病毒不存在於某個文件或者引導扇區中,他把自己分成小塊,然後放在磁盤上的多個扇區中,運行的時候再進行組裝和執行。
1991年11月:中國瑞星公司成立,並推出瑞星防病毒卡。
1992
在這一年,非IBM PC兼容機或者非DOS兼容的病毒基本上被遺忘了,網絡上的漏洞得到了修補,錯誤被改正,大量的蠕蟲病毒不再能夠快速的複製和傳播。運行在微軟DOS操作系統下的文件型、引導型以及文件/引導複合型病毒,隨着DOS的廣泛流行,變成電腦病毒故事裏面的主角。電腦病毒的數量以幾何級數增長,幾乎每天都會發生新的病毒感染事件,人們開發出各種各樣的殺毒軟件,大量書籍和雜誌中出現關於電腦病毒的內容。
1992年早期,第一個多臺病毒生成器“MtE”開發出來,病毒愛好者利用這個生成器生成了很多新的多態病毒,“Mte”也是隨後很多多態病毒生成器的原型系統。
原型系統:計算機科學中常見的一個術語,一般指首先實現了某種功能或者驗證了某種概念的系統,原型系統一般比較簡陋,功能比較單一而且不很完善,但是原型系統往往開創了一系列新的、完善系統的先例。
1992年3月:“米開朗基羅”(Michelangelo)病毒和隨之而來由反病毒軟件廠商造成的歇斯底里是這個月的標誌。從某種意義上,這是第一個對病毒進行炒作並且獲得成功的案例,反病毒軟件廠商學會誇大病毒造成的威脅,不去實際告訴用戶如何保護自己的數據,而是想方設法讓他們把目光集中到自己的產品上,這一切的原因只有一個——利潤。一家美國公司聲稱3月6號,超過5百萬臺電腦上的數據將會被破壞,而實際上真正遭遇“米開朗基羅”病毒的電腦只有大概10,000臺。成功的炒作得到的效果就是很多家反病毒廠商的利潤都增長了好幾倍。
1992年7月:第一個病毒構造工具集(virus construction sets),“病毒創建庫”(Virus Create Library)開發成功,這是一個非常著名的病毒製造工具,實際上,直到1999年,國內還有一些個人和組織利用這一工具製造病毒。這個工具的成功同時還刺激了新的、更加強大和完善的病毒製造工具不斷的被開發出來。
1992年晚期:第一個視窗病毒開發成功,實際上,大量DOS環境下的病毒在視窗環境下仍然能夠成功的運行,稱這個病毒是第一個視窗病毒是因爲該病毒首次對視窗操作系統獨特的可執行文件格式進行感染,這個病毒的出現宣告了病毒發展歷史上新的一頁的到來。
這一年,“目錄2”病毒開始大規模進入中國,
中國,南京信源自動化技術有限公司成立,推出DOS環境下的內存駐留反病毒軟件“硬盤衛士”(HD GUARD)和DOS殺毒軟件VRV(Virus RemoVer)。
1993
在這一年裏,病毒製造者除了製造大量普通的病毒、使用多態生成器/病毒構造機構造一系列的病毒以外,他們開始進行更加嚴重的破壞活動,使用一些新的方法感染文件並且將病毒注入系統。這一年中比較典型的病毒有:
“保護模式是簡單的”(PMBS),工作在英特爾80386芯片保護模式下的病毒。
"陌生"(Strange),一個自我隱藏技術的傑作,通過對硬件中斷0Dh和76H的模擬實現隱藏自身。
“影子衛士”(Shadowgard)和“紅寶石”(Carbuncle)極大地拓展了共生病毒的概念。(共生病毒,一種病毒如果可以表現爲不同的形態則稱爲共生病毒,例如同時感染引導區和文件,或者同時感染Office 文檔和普通的可執行文件)
“埃米”(Emmie)、“梅提裏卡”(Metallica)、“人”(Bomber)、“烏拉圭”(Uruguay)和“咬嚼者”(Cruncher)病毒相繼出現,它們使用了一些非常新穎的技術進行感染,這樣,殺毒軟件很難在被感染文件中找到病毒代碼。
1993年春天,微軟發行了自己的反病毒軟件——微軟反病毒軟件(MSAV),這是微軟購買了“中心點”公司的CPAV之後發佈的微軟版CPAV。但這是一次不成功的嘗試,微軟很快就認識到作爲一個通用軟件廠商,如此深入的進入一個非常專業的領域是非常不明智的,比爾.蓋茨很快就放棄了這一產品。
1993年6月,中國,公安部正式決定將KILL的所有有形和無形資產、開發人員移交公安部所屬的中國金辰安全技術實業公司進行商品化銷售。此時,KILL的版本號爲V68,產品形式分爲5寸磁盤和3寸磁盤兩種。
在這一年,瑞星的防病毒卡佔據了80%以上的反病毒市場,達到了防病毒卡銷售的頂峯。
1994
病毒通過光盤進行傳播在這一年變得非常普遍,在隨後的幾年,直到因特網的廣泛使用之前,光盤迅速成爲最主要的病毒傳播渠道。大量的光盤在製造的時候,由於使用的母盤中包括了病毒,所以壓制出來的光盤也包括了病毒,由於光盤中的內容是不能被改寫的,所以這些病毒無法清除,唯一的解決方法只能是將這些感染了病毒的光盤銷燬。
在1994年早期,英國發現了兩種極其複雜的多態病毒:“SMEG.病原體”和“SMEG.Queeg”(直到今天,仍然有大量的反病毒軟件不能完全檢測他們的所有變體!),由於病毒的作者將感染的文件放到了電子公告板上,所以這兩種病毒在公衆媒體造成了很大的恐慌。
另外一次恐慌是一個並不存在的病毒“好時光”(GoodTimes)造成的(注意不是我們在後面將要描述的“歡樂時光”),謠傳說這種病毒可以通過電子郵件進行傳染。這種不存在病毒的恐慌和欺騙後來稱之爲“好時光欺騙”。稍後在DOS下面真的出現了很普通的一個病毒裏面包括了文本信息“好時光”,但是一般認爲這個DOS病毒是響應“好時光欺騙”專門製造出來的,和那種謠傳接收電子郵件就會被感染的病毒沒有任何關係。
電腦病毒所引發的法律問題也變得非常普遍,各國都開始嘗試將病毒製造者定罪。1994年夏天,“SMEG”病毒的作者被捕,差不多同時,英國也逮捕了一個病毒製造者團伙,這個團伙自稱爲“真正殘酷的病毒協會”,在挪威也有一些病毒的作者被捕。這些病毒的作者之所以被捕其實很簡單,他們繼承了早期病毒製造者的好傳統,在病毒中包括了自己的聯繫信息,或者在通過電子公告板首次發佈的時候,很得意的宣佈了作者的詳細創意和聯繫方法,因此警方可以很方便的找到他們,在後來的病毒製作和發佈中,病毒製造者就謹慎了許多,警方很難輕易的找到一個病毒的真正作者。
本年度也有一些值得一提的病毒:
1994年1月:“移動者”(Shifter)病毒,首次感染對象模塊文件(OBJ文件),“幻影1”(Phantom1),第一個首次在莫斯科流行的多態病毒。
對象模塊文件:和高級語言開發工具密切相關,當在DOS環境或者視窗環境下開發程序的時候,C或者其他語言的編譯器會生成多個OBJ中間文件,然後將所有的這些OBJ中間文件組合成一個可執行的文件。
1994年3月:“源代碼病毒”(SrcVir):首次感染C語言和帕斯卡(PASCAL)語言源代碼的病毒.
1994年6月:“一半”(OneHalf)病毒出現,在俄羅斯和中國最流行的病毒之一。
1994年9月:“3APA3A”,一種新的引導型病毒出現,使用了一種非常特殊的方法進入DOS操作系統並進行感染,當時所有的殺毒軟件對於這種新病毒都無能爲力。
1994年春天,最早的殺毒軟件廠商的領導者之一,“