摘要：计算机病毒的传播和计算机的应用密切相关，在整个Windows 9x时代，CDROM和软盘在病毒传播中起着至关重要的作用。网络应用也日益兴旺，那应该是中国互联网产业最初的创业潮。

　　软件店里最火的商品，除了杀毒软件，还有一样东西，估计现在的网民都不一定见过。那是各个不同ISP出售的上网卡，卡片上写着如何用Windows 95，Windows 98，或Windows Me来创建拨号网络，拨不同的号，计费标准和网速不一样。
　　
　　以下介绍几类令人印象深刻的病毒：
　　
　　1.引导区病毒boot.polyboot（瑞星叫boot.wyx）
　　
　　因为Windows9x仍然没有完全摆脱DOS，操作系统的启动可以理解为先启动DOS7，再加载Windows外壳。软驱仍是电脑的标配，企业办公网内交换数据，除了邮件之外，比较多的使用软盘。很多人用软盘时有个不良习惯：他的软驱中总有一张盘塞在里面，不管这个盘是不是引导盘。在这种情况下，引导区病毒就会在交换使用软盘的过程中广泛传播。
　　
　　一台正常的计算机仅读取带boot.polyboot病毒的软盘是不会染毒的，风险在于，这台计算机下次启动时，如果这张有毒的软盘仍在软驱里，开机时，软盘里的病毒就进入内存，感染硬盘。接下来，所有在这台计算机上写入过数据的软盘都将会polyboot引导区病毒感染。这些软盘，再去感染更多的硬盘。
　　
　　重启是引导区病毒感染的重要时机，而那个时候的Windows9x（包括Windows95/98/me）特别不争气，动不动就给你来张大蓝脸，重启了。
　　
　　这个引导区病毒不发作，系统不会有任何异常，一旦发作，病毒会将正常的硬盘分区表和主引导记录改写，导致系统不能启动或者分区丢失，数据因此不能访问。
　　
　　杀毒软件对引导区病毒通常不敢轻易处置。因引导区病毒比较多，每种破坏分区表的情况不完全一致，用户的使用水平也参差不齐，如果处理不当，又会造成分区无法访问数据丢失的严重后果。杀毒软件处理这种病毒时，一般会建议用户备份损坏的分区表，然后才去执行清除操作。
　　
　　至今我仍记得用下面这种通用的办法对付引导区病毒：使用干净的Windows9x命令行，执行format a:/s创建干净的Windows9x启动软盘，软盘启动，执行fdisk/mbr，再执行sysc:来搞定引导区病毒。Windows2000或Windows XP就用光盘引导至故障恢复控制台（一个类似DOS的界面），执行fixmbr和fixboot。
　　
　　现在，也有改写主引导记录的特殊病毒，比如鬼影、TDSS rootkit，这两个病毒都造成了十分恶劣的影响。鬼影寄生在MBR上，启动病毒木马下载器，中毒电脑会下载很多盗号木马，安装流氓软件。TDSS rootkit是技术高超的后门程序，全球范围内构造了超过300万台PC组成的僵尸网络，感染之后，完全隐藏自身，极难清除，病毒现在主要做广告营销，同时极其危险，被控制的僵尸电脑随时可以用作特殊目的。
　　
　　2.感染型病毒（funlove，CIH）
　　
　　funlove病毒会感染这台机器上所有的EXE文件，包括局域网内有可写权限的共享路径（我很奇怪那个时候怎么有很多网管使用共享服务时，习惯于使用完全共享，而不是授权访问和只读共享）。感染后的EXE文件长度会增大，启动被感染的程序时，运行速度会变慢。
　　
　　反复中毒，反复杀毒。结果很快这些EXE就完全损坏，运行就报告错误的win32程序。
　　
　　那个时候，最困扰的问题就是反复中毒，用户因为没有解决防毒的根本问题而反复中毒，对杀毒软件的抱怨也比较多。
　　
　　类似的感染型病毒，杀毒软件通常显示的病毒名前辍为“win32.”，表示，这是一个Windows32位平台下运行的病毒，中了感染型病毒的特点就是会发现很多EXE中了同一种win32病毒。大部分系统程序文件在感染型病毒后，使用杀毒软件修复到基本正常可用的状态，但也并不都是如此。
　　
　　有的感染型病毒会出现某些意外，比如熊猫烧香病毒。因李俊同学的程序存在BUG，使得每一个被熊猫烧香病毒感染的EXE文件都有一个熊猫的图标，这其实并非作者李俊故意用图标招摇，实际是感染动作存在BUG，这个图标让李俊同学一举成名。
　　
　　有一些技术实力很强的感染型病毒，比如Virut，这是个罕见的技术型病毒，病毒会尝试加密变形，使每次感染造成的破坏不尽相同，杀毒软件要想修复被破坏的EXE，就得仔细分析感染原理，这个virut病毒折磨珠海最NB的毒霸分析员boom好几天没睡觉。据说珠海金山后来对病毒分析师增加了一项考核，加薪升职必须满分通过：完整分析病毒virut。
　　
　　还有一些概念型的感染型病毒，至今杀毒厂商都不能修复。这些病毒是那些技术高超的病毒作者刻意和杀毒厂商的工程师叫板，这类概念型病毒，也没有蓄意大规模传播。
　　
　　有些病毒作者没有设计复杂的感染动作，而是用病毒自身覆盖了大量EXE程序文件，染毒文件本身已经没有修复价值。杀毒软件对这类感染型，只能删除解决。
　　
　　3.宏病毒
　　
　　自从微软的Office成为办公软件的统治者之后，宏病毒就困绕着办公一族。在软盘时代，很多公文是通过软盘交换的。早期计算机病毒多用机器语言编写，掌握病毒程序开发有较高门槛。而宏病毒使用VBA语言编写，那时候学习VB的人非常多。在处理大量办公业务时，宏功能是文档分析师们的大爱。可以根据业务需要，编写宏功能自动完成一些重复操作。而喜欢恶作剧的人，就用VBA写了大量宏病毒。
　　
　　大多数宏病毒是出于恶搞的目的，比如，办公的时候，弹出一个数学题让你做，做对了关闭，做错了，就继续下一道题。或自动打开很多文档，把计算机资源耗尽。但也有非常恶劣的宏病毒，其中有个杀手13的宏病毒就设定为日期＋月份＝13时（5月8日，6月7日等）发作，发作后，病毒创建一个批处理autoexec.bat，deltreec:\*.*/y,就在你下次开机的时候，删除C盘的所有文件。
　　
　　宏病毒刚刚兴起时，据传微软并不公布Office文档的格式，杀毒厂商必须得摸着石头过河，自己分析Office文档。对宏病毒处理效果差的杀毒软件，会将病毒和文档一起消灭。办公一族中，交换DOC、XLS是非常普遍的行为。病毒发作时，会发现办公室里所有的机器都不能正常处理文档。
　　
　　宏病毒的泛滥直到Office升级到Office2003之后才逐步减少，微软修补了一些安全漏洞，在打开Office文档时提醒是否运行宏，默认将宏的运行等级提高，使宏功能的应用受限。最重要的原因，是病毒作者的兴趣点转移，不再以折腾Office为乐了。但宏病毒并未就此消失，在Office文档作为标准文档流转的企业网络，仍然有一定的感染量。
　　
　　现在，有一类特别的通过Office文档传播的攻击程序，它的实质并不是宏病毒，而是寄生在Office文档中的木马程序。病毒的攻击方式是利用Office程序的0day漏洞或Flash Player的0day漏洞，将特别构造的内嵌攻击代码的Office文档通过电子邮件发送给攻击目标。接收者打开这种文档，内嵌的攻击程序即被激活。防止这类危险程序只能靠及时升级Office程序，或升级Flash Player。
　　
　　今天回顾的是互联网的早期，对网络信赖不太严重的时代影响较大的三类病毒。而在局域网应用和电子邮件应用比较普及的企业，则是完全不一样的另类风景，这个就是下回要讨论的蠕虫病毒。
　　
　　责任编辑：Lily