11场最具里程碑意义的恶意软件攻击

几十年来，出于险恶或不知名原因传播的病毒和其他恶意软件一直是赛博朋克（cyberpunk）小说和现实新闻报道的主要内容。事实上，早在“因特网”（internet）概念出现之前，计算机病毒就已经存在其中。

本文将着眼于恶意软件演变过程中的一些最重要的里程碑：这些条目中的每一个都代表了一个新颖的想法；一个揭示了重大安全漏洞的巨大突破；或者一个变得特别具有破坏性的攻击。

1. 爬行者病毒Creeper virus（1971）

计算机先驱约翰·冯·诺依曼（John von Neumann）于1966年发表的遗作《自我复制自动机理论》（Theory of Self-Reproducing Automata），提出了计算机代码可以自我复制和传播的想法。5年后，第一个已知的计算机病毒Creeper问世。它是Bob Thomas用PDP-10汇编语言编写的病毒，可以自我复制，并在新生的ARPANET（阿帕网，互联网的前身）中从一台计算机移动到另一台计算机。

Creeper对它所感染的系统没有任何伤害——Thomas将其开发为一个概念验证，它唯一的效果就是会导致连接的电传打字机打印一条消息，上面写着“我是CREEPER：如果你有能力的话就来抓我！”尽管它是良性的，但我们仍将其纳入名单，因为它是第一个已知的计算机病毒，并为随后的所有恶意软件建立了模板。在Creeper问世后不久，以实现第一个电子邮件程序而闻名的Ray Tomlinson编写了一个名为Reaper的竞争程序，该程序能够在计算机之间传播，并消除Creeper的代码。

2. Brain virus（1986）

Creeper旨在跨越计算机网络，但在上世纪70年代和80年代的大部分时间里，感染媒介是有限的，因为大多数计算机都是孤立运行的。在这一代病毒中，最重要的可能是一种于1986年开始在全球传播的“Brain”病毒。

Brain是由计算机程序员Amjad和Basit Farooq Alvi（俩兄弟）开发的，他们住在巴基斯坦，经营着一家销售医疗软件的公司。由于他们的程序经常遭到盗版困扰，为此他们制造了一种病毒，以感染盗版磁盘的启动扇区（boot sector）。该病毒大多是无害的，但其中包含他们的联系方式和“消毒”软件提议。

他们是否真的能“解决”这个问题尚不清楚，但正如他们在25年后解释的那样，他们很快就开始接到来自世界各地的电话，并对Brain传播的速度和范围感到震惊。今天，Brain被广泛认为是第一个IBM PC病毒，因此尽管它是良性的，但我们仍将其列入我们的名单。值得一提的是，兄弟俩仍然保留着与25年前相同的地址和电话号码。

3. 莫里斯蠕虫Morris worm（1988）

1988年出现了一种名为Morris的恶意软件，它可能创造了多项历史第一。它是第一个广泛传播的计算机蠕虫，这意味着它可以在不需要其他程序的情况下进行自我复制；它针对多个漏洞，以帮助其传播得更快、更远。虽然并非旨在造成伤害，但它可能是第一个造成真正实质性经济损失的恶意软件；它以惊人的速度传播——在发布后的24小时内，它感染了10%的联网计算机——并在每台计算机上创建了多个自身副本，导致其中许多计算机停止运行。 对攻击成本的估计高达数百万。

该蠕虫以其创建者罗伯特·莫里斯（Robert Morris）的名字命名，他当时是康奈尔大学的一名研究生，这意味着它是一种概念验证和广泛安全漏洞的演示。Morris没有预料到它会传播得如此之快，或者它多次感染单个计算机的能力会造成如此大的麻烦，他试图帮助挽回损失，但为时已晚。他也成为第一个根据1986年《计算机欺诈和滥用法案》被定罪的人。

4. ILOVEYOU 蠕虫（2000）

与上述提及的恶意软件创建者不同，2000年，时年24岁并居住在菲律宾的Onel de Guzman以直接的犯罪意图制作了他的作品：他买不起拨号服务，因此他制造了一个蠕虫病毒来窃取他人的密码，这样他就可以蹭用他们的帐户。

该恶意软件非常巧妙地利用了Windows 95中的许多缺陷——尤其是Windows自动隐藏电子邮件附件的文件扩展名——因此人们没有意识到他们正在启动可执行文件这一事实。这也导致它像野火一样传播开来，很快地，数百万计算机设备纷纷中招。它还删除了目标计算机上的大量文件，造成了数百万美元的损失，并短暂关闭了英国议会的计算机系统。

de Guzman从未被指控犯罪，因为他所做的一切在当时的菲律宾并不属于违法行为。在20年后的一次采访中，他遗憾地表示自己并未打算让恶意软件传播得这么远。如今的de Guzman已经成为社会工程领域的先驱。该蠕虫之所以得名，是因为它通过主题行中带有“ILOVEYOU”的电子邮件传播。de Guzman解释称，“我发现很多人都想要一个男朋友，他们想要彼此，他们想要爱，所以我便在邮件主题行中加入‘ILOVEYOU’吸引受害者”。

5. Mydoom蠕虫（2004） 

时至今日，Mydoom可能已有将近20年的历史了，但迄今仍保持着诸多记录。Mydoom蠕虫通过电子邮件感染计算机，然后控制受害计算机通过电子邮件发送更多自身的副本，并且这样做非常有效，以至于在其鼎盛时期，它占全球发送的所有电子邮件的四分之一，这是一项从未被超越的壮举。此次感染最终造成了超过350亿美元的损失，根据通货膨胀进行调整，这一数字也从未被超越过。

Mydoom的创造者和最终目的今天仍然是个谜。除了邮寄蠕虫的副本外，受感染的计算机还被用作僵尸网络，对SCO集团（一家积极试图声称对Linux拥有知识产权的公司）和微软发起DDoS攻击，这导致许多人怀疑其创造者是一些流氓开源社区的成员。但没有任何具体的证据予以证明。

6. 宙斯木马Zeus trojan（2007）

Zeus于2007年首次被发现，当时正值Web 1.0时代的尾声，但它为未来的恶意软件指明了方向。通过网络钓鱼和从受感染网站的路过式下载（drive-by download）进行感染的木马不仅仅是一种攻击者；相反地，它还可以充当各种恶意负载的载体。它的源代码和操作手册于2011年泄露，这对安全研究人员和想要利用其功能的犯罪分子都非常有用。

您可能经常会听到Zeus被称为“银行木马”，因为这正是它的变种所专注的领域。例如，2014年的变体设法将自己插入用户和他们的银行网站之间，拦截密码、击键等。不过，Zeus所涉领域并非仅银行领域，还有另一个变体窃取了Salesforce.com的信息。

7. CryptoLocker 勒索软件（2013）

Zeus还可以用来创建受控计算机的僵尸网络，这些计算机被保留用于后续的恶意目的。一个名为Gameover Zeus的僵尸网络控制者用CryptoLocker感染了他们的机器人，CryptoLocker是勒索软件的最早著名版本之一。

CryptoLocker因其快速传播和强大的非对称加密而闻名，在当时非常难以破解。助力它闻名的因素还包括：2014年，美国司法部和海外同行成功控制了Gameover Zeus僵尸网络，并免费恢复了CryptoLocker受害者的档案。不幸的是，CryptoLocker也能通过良好的老式网络钓鱼传播，并且变种至今仍然存在。

8. Emotet木马（2014）

Emotet是另一种恶意软件，其功能在它保持活跃的几年中发生了很多变化。事实上，Emotet是所谓的多态（polymorphic）恶意软件的一个典型例子，它的代码每次被访问时都会略有变化，以更好地避免被端点安全程序识别。 Emotet是一种木马，与此列表中的其他恶意程序一样，主要通过网络钓鱼进行传播（所以我们反复强调：不要打开未知的电子邮件附件）。

Emotet于2014年首次出现，但与Zeus一样，现在是一个模块化程序，最常用于传递其他形式的恶意软件，其中Trickster和Ryuk是两个突出的例子。Emotet非常狡猾且高效，以至于德国联邦信息安全办公室负责人Arne Schoenbohm称其为“恶意软件之王”。

9. Mirai僵尸网络（2016）

到目前为止，我们一直在讨论的所有病毒和其他恶意软件都困扰着我们所认为的“计算机”——我们用于工作和娱乐的个人电脑和笔记本电脑。但进入21世纪，数以百万计的设备的计算能力已经远远超出了Creeper可能感染的任何设备。这些物联网（IoT）设备无所不在且屡遭忽视，而且往往多年未打补丁。

Mirai僵尸网络实际上与我们讨论的一些早期恶意软件相似，因为它利用了一个前所未知的漏洞，造成的破坏远远超过其创建者的预期。在这种情况下，恶意软件发现并接管了未更改默认密码的物联网设备（主要是闭路电视摄像机）。创建Mirai恶意软件的大学生Paras Jha原本打算使用他创建的僵尸网络对《我的世界》（Minecraft）托管服务器进行DoS攻击，以解决自己在该游戏中遇到的难题。但他却意外发动了针对主要DNS提供商的DoS攻击，结果导致一天之内美国东海岸的大部分地区网络瘫痪。

10. Petya勒索软件/NotPetya擦试器（2016/7）

被称为Petra的勒索软件木马于2016年开始席卷全球计算机设备。虽然它有一个巧妙的机制来锁定受害者的数据——它加密了操作系统用来查找文件的主文件表——但它通过传统的网络钓鱼诈骗传播，这一点降低了它的致命性。

如果不是第二年发生的事情，Petra很可能早已被遗忘在历史长河中。2017年，出现了一种新的自我复制蠕虫变种，它利用NSA泄露的EternalBlue和EternalRomance漏洞在计算机之间传播。被称为NotPetya的新变种最初通过流行的乌克兰会计软件包中的后门分发，并迅速在整个欧洲造成严重破坏。最糟糕的是，虽然NotPetya看起来仍然像勒索软件，但它实际上是一个完全旨在破坏计算机的擦试器（wiper）。除了自身造成的巨大破坏外，NotPetya也因证实了国家资助的黑客与网络犯罪黑客团体之间的共生关系而在这份名单上占有一席之地。

11. Clop 勒索软件（2019-至今）

Clop（有时写成Cl0p）是另一种勒索软件变体，于2019年在野发现，并且自那以后开始变得越来越流行，以至于它被称为“2022年的顶级恶意软件威胁之一”。除了阻止受害者访问他们的数据外，Clop还允许攻击者渗漏这些数据。

然而，造成Clop如此有趣且危险的原因不在于它是如何部署的，而在于由谁来部署。它处于“勒索软件即服务”（Ransomware-as-a-Service，RaaS）趋势的最前沿，在这种趋势中，一群专业的黑客为愿意支付足够费用（或分享他们从受害者处榨取的部分勒索软件赎金）的人做所有的工作。

如果说，以前的恶意软件主要由互联网爱好者和“独狼”贡献。那么如今，网络犯罪在很大程度上已经成为政府和专业人士的领域。