病毒在发展，网络在发展，网络又促进了病毒的发展，复杂的病毒又超着变形病毒发展。

五 变形病毒
    早先，国内外连续发现多种更高级的能变换自身代码的“变形”病毒，其名字有:Stea lth(诡秘)病毒、Mutation Engine(变形金钢或称变形病毒生产机)、Fear(恐怖)`Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine，它遇到普通病毒后并能将其改造成为变形病毒。这些变形病毒具有多态性、多变性，甚至没有一个连续的字节是相同的，从而使以往的搜索病毒方法不知去搜索什么。1992年，我们首次发现了国内第一例变形病毒，病毒名字为“Doctor”(医生)。
    目前， 我国已发现了许许多多变形病毒， 其名字称为“Doctor” (医生)、NewFlip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI（合肥1号，2号）、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR（马吉思）等病毒。
    这些变形病毒能将自身的代码变换成亿万种样贴附在被感染的文件中，其Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、1982/(福州大学HXH)病毒可变代码为数千亿种，NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE－SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使的一些病毒扫描软件产生漏查漏杀现象。其中，CONNIE2台湾2号变形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂，几乎达到了不可解除的状态。
    通过以上例子来看，计算机病毒在不断发展，手段越来越高明，结构越来越特别。目前，对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策，但变形病毒将会是今后病毒发展主要方向之一，这应当引起我们的警惕。那么变形病毒是什么样呢?

六 变形病毒的基本类型
    病毒都具有一定的基本特性，这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等其它表现，这是普通病毒所应具备的基本特性。
    过去，一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码，可称为‘病毒’”。即病毒从一个文件传染到另一个文件上，许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。
    而在互联网时代，网络会在互联网上通过一台机器自动传播到另一台机器上，一台机器中只有一个蠕虫病毒，当然，也有的蠕虫可以在当前机器中感染大量文件。
    现在应发展一下对病毒的基本定义。即对病毒的基本定义简单的说是“具有传播性质的一组代码，可称为‘病毒’”。
病毒的这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究，对变形病毒做了以下定义:
    变形病毒特征主要是，病毒传播到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。
    第一类变形病毒的特性是：具备普通病毒所具有的基本特性，然而，病毒每传播到一个目标后，其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码其相对空间的排列位置是不变动的, 这里称为：一维变形病毒。
    在一维变形病毒中, 个别的病毒感染系统后，遇到检测时能够进行自我加密或脱密，或自我消失。有的列目录时能消失增加的字节数，或加载跟踪时，病毒能破坏跟踪或者逃之夭夭。
    第二类变形病毒的特性是：除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的，这里称为：二维变形病毒。
    在二维变形病毒中， 有如前面提到的MADE-SP病毒等，能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核，并与之溶为一体，或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定，或与文件溶为一体。
    第三类变形病毒的特性是：具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台机器硬盘的主引导区，另外几部分也可能潜藏在几个文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称为：三维变形病毒。
    第四类变形病毒的特性是：具备三维变形病毒的特性，并且，这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒，其本身就是具有传播性质的“病毒生产机”病毒，它们会在计算机内或通过网络传播时，将自己重新组合代码生成于前一个有些代码不同的变种新病毒，这里称为：四维变形病毒。
    四维变形病毒大部分具备网络自动传播功能，在网络的不同角落里到处隐藏。
    还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的，它可能主要是，人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息，也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波，向外发出信息。也可以潜藏在联接Internet网的计算机中，收集密码和重要信息，再悄悄的随着主人通信时，将重要信息发出去（I-WORM/MAGISTR（马吉思）病毒就有此功能），这些变形病毒的智能化程度相当高。
    以上，我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样，可使我们站在一定的高度上对变形病毒有一个较清楚的认识，以便今后针对其采取强而有效的措施进行诊治。
    以上的四类变形病毒可以说是病毒发展的趋向，也就是说：病毒主要朝着能对抗反病毒手段和有目的方向发展。目前，已发展到了一维、二维、三维变形病毒。

(责任编辑：adminadmin2008)