谁打开了潘多拉的魔盒

显然，在巴贝奇的差分机上不存在任何病毒，早期基于电子管的电子计算机，比如说埃利亚特，也不可能有电脑病毒存在。但是Univac 1108，一个很古老的公司，一种很古老的机器，以及IBM360/370机器上，已经有一些可以看成是病毒的程序存在，比如“流浪的野兽”（Pervading Animal） 和 “圣诞树”（Christmas tree），因此，可以认为最早的病毒出现在七十年代初甚至六十年代末，虽然那时候没有任何人称这些程序为病毒。

一般意义上的病毒(可以运行在IBM PC机及其兼容机上)一般认为是在1986年左右出现的。从那以后的十五年时间里，出现了大概6万余种病毒，病毒的数量不断增大，和病毒制作的技术也逐步提高，从某种意义上，病毒是所有软件中最先利用操作系统底层功能，以及最先采用了复杂的加密和反跟踪技术的软件之一，病毒技术发展的历史，就是软件技术发展的历史。

下面我们将尽可能详细的描述病毒发展历史上的重要事件，以及这些事件的背景。

萌芽时期，磁芯大战

五十年代末六十年代初，在著名的美国电话电报公司（AT&T）下设的贝尔实验室里，三个年轻的程序员：道格拉斯、维索斯基和罗伯特·莫里斯，在工作之余编制了一个叫“磁芯大战”(core war)的游戏。“磁芯大战”基本的玩法就是想办法通过复制自身来摆脱对方的控制并取得最终的胜利，这可谓病毒的第一个雏形。虽然由于这种自我复制是在一个特定的受控环境下进行的，所以不能认为是真正意义上的病毒，但是这些软件的基本行为和后来的电脑病毒已经非常类似了。

六十年代晚期到七十年代早期：

这个时候是大型电脑的时代，就是那种占据了几个房间的大家伙。在大型电脑时代，由于开发人员的错误或者是出于恶作剧的目的，一些程序员制作了被称为“兔子”的程序，他们在系统中分裂出替身，占用系统资源，影响正常的工作，但是这些“兔子”很少在系统之间相互拷贝。

这个时期，在一种型号的大型电脑—Univax 1108系统上，首次出现了和现代病毒本质上是一样的东西，一个叫做“流浪的野兽”（Pervading Animal）的程序可以将自己附着到其它程序的最后！

七十年代上半叶：：

爬行者”病毒，出现在一种叫做泰尼克斯（Tenex）的操作系统上，这个病毒可以通过网络进行传播（又一个伟大的进步，当然不是现在意义上的因特网，那个时代的网络就是一对一的，通过调制解调器—就是你上网用的“猫”，将一台电脑和另外一台相连接）。一种叫做“清除者”（Reeper）的程序也被开发出来专门对付“爬行者”，这可能就是病毒和反病毒的第一次战争。

八十年代早期：：

电脑已经在国外变得非常普遍了，出现了最早的独立程序员，他们在为公司工作的同时，出于兴趣的原因，写了很多游戏或者其他的小程序，这些程序可以通过电子公告板（BBS）自由的流传，窃取帐号和密码成了所有爱好者所梦寐以求的事情，也是体现他们在这个社区独特价值的最好机会，所以在这一时期诞生了无数的特洛伊木马（Trojan horses），他们尽力将自己伪装得和真正的登录程序和提示程序一模一样，这样就可以骗取不明真相用户的密码了。

BBS电子公告板：BBS（Bulletin Board Service）是Internet上的一种电于信息服务系统。它提供一块公共电子白板，每个用户都可以在上面书写，可发布信息或提出看法。大部分BBS由教育机构，研究机构或商业机构管理。象日常生活中的黑板报一样，电子公告牌按不同的主题、分主题分成很多个布告栏，布告栏设立的依据是大多数BBS使用者的要求和喜好，使用者可以阅读他人关于某个主题的最新看法（几秒钟前别人刚发布过的观点），也可以将自己的想法毫无保留地贴到公告栏中。同样地，别人对你的观点的回应也是很快的（有时候几秒钟后就可以看到别人对你的观点的看法）。如果需要私下的交流，也可以将想说的话直接发到某个人的电子信箱中。如果想与正在使用的某个人聊天，可以启动聊天程序加人闲谈者的行列，虽然谈话的双方素不相识，却可以亲近地交谈。在BBS里，人们之间的交流打破了空间、时间的限制。在与别人进行交往时，无须考虑自身的年龄、学历、知识、社会地位、财富、外貌、健康状况，而这些条件往往是人们在其他交流形式中无可回避的。同样地，也无从知道交谈的对方的真实社会身份。这样，参与BBS的人可以处于一个平等的位置与其他人进行任何问题的探讨。这对于现有的所有其他交流方式来说是不可能的。

BBS连入方便，可以通过Internet登录，也可以通过电话网拨号登录。BBS站往往是由一些有志于此道的爱好看建立，对所有人都免费开放。而且，由于BBS的参与人众多，因此各方面的话题都不乏热心者。可以说，在BBS上可以找到任何你感兴趣的话题。在Internet没有广泛流行的时期，BBS基本上就是电脑网络的全部，人们利用BBS交流信息，发布程序，当然也包括传播病毒和木马程序。

1981年

在苹果机上，诞生了最早的引导区病毒——“埃尔科克隆者”（Elk Cloner）这个病毒将自己附着在磁盘的引导扇区上。这个病毒有很强的表现欲望，再发作的时候，她会尽力引起你的注意，关掉显示器、让显示的文本闪烁或者显示一大堆乱七八糟的信息。

1986年

最早运行在IBM PC兼容机上的病毒“大脑”（Brain）开始流行。这是一种感染360K软盘的病毒（不是我们现在使用的软盘，是很古老的5.25英寸的大盘，而且容量只有360K，现在在一些老型号的机器上还可以见到），由于所有的人对于电脑病毒都没有任何心理准备，所以这种病毒在制造出来之后，立刻在世界范围内迅速传播。巴基斯坦的两兄弟：巴斯特(Basit)和埃姆佳德(Amjad 

Farooq Alvi)制造了这个病毒，他们在病毒中留下一条信息，其中有他们的名字、地址甚至还有电话号码（我想现在不会有人这么干了，因为警察会在第二天就造访你留下的地址！）。

根据作者的说法，他们是软件开发商，制作这个病毒的目的是为了检验一下盗版问题在巴基斯坦的严重程度，也就是说，如果你使用了他们开发未经授权的软件，其中可能就包括了这个病毒，考察这个病毒的流行程度就知道盗版问题的严重程度了。遗憾的是病毒的蔓延远远超过了制造者的预计，这一病毒成为世界性的问题，也宣告了一个拥有病毒和反病毒软件的电脑时代的到来。

“大脑”病毒还首次使用了巧妙的手段来伪装自己，如果你想要查看被病毒感染的地方，她会提供一个完好无损的东西给你。

 同样在1986年，一个名叫莱夫?伯格（Ralph Burger）的程序员发现可以写出这样的程序：将自己复制之后然后加在一个DOS可执行程序的后面，在1986年12月，他首次发布了使用这一原理的病毒“VirDem”——“病毒魔鬼”？这可以认为是DOS文件型病毒的起源。

在中国，这一年公安部成立了计算机病毒研究小组，并派出专业技术人员到中科院计算所和美国、欧洲进修、学习计算机安全技术。

1987年

这是电脑病毒技术飞速发展的一年，特别是DOS环境下的文件型病毒，在这一年得到了长足的进步。

“维也纳”（Vienna）病毒出现，这个病毒不是莱夫?伯格编写的，但是他得到这个病毒之后，对它进行了分析，并在他出的书《计算机病毒：高技术的瘟疫》中公布了分析的结果。这本书使得病毒制造的技术变得大众化了，书中详细的阐述了如何制造病毒，以及一些病毒构造的思路，在书出版以后，成百上千的病毒被这本书的读者们制造出来。

在这一年中，更多的IBM PC兼容机上的病毒出现了，这里面比较著名的有：“里海”（Lehigh），仅仅感染COMMAND.COM；“西瑞夫一号”（Suriv-1），又叫做”四月一号”感染所有的COM文件，“西瑞夫二号”（Suriv-2）：感染EXE文件，值得一提的是，这是首个感染EXE文件的病毒，还有“西瑞夫三号”（Suriv-3），首次既感染COM文件又感染EXE文件。还有一些引导型病毒，比如出现在美国的“耶鲁”（Yale）病毒，新西兰的“石头”（Stoned）病毒和意大利的“乒乓”（PingPong）病毒。

另外，首次能够自我加密解密的病毒“小瀑布”（Cascade）也在这一年出现了。

这一年中，同样有一些非IBM PC兼容机上的病毒出现，比如在苹果机和土星机上的病毒。

1987年12月份，第一个网络病毒“圣诞树”（Christmas Tree）开始流行，这是一个使用REXX语言编写的病毒，在VM/CMS操作系统下传播。12月9号，“圣诞树”首次在西柏林大学的内部网络出现，然后通过网关（连接网络和网络之间的一种装置）进入欧洲学术研究网络，随后采用同样的方式进入IBM公司的内部网络。四天以后，由于不受节制的自我复制，整个网络充满了这个病毒的拷贝，从而造成了系统瘫痪。“圣诞树”病毒在运行之后，在屏幕上显示一个圣诞树的图象，然后把自己拷贝到当前所有的网络用户的机器上。

REXX语言，一种脚本语言，类似于DOS环境下的批处理程序。在IBM的操作系统中得到广泛的使用，是IBM版本的Unix—AIX环境下一种重要的开发工具。

1988

1988年，13号星期五，一些国家的公司和大学遭到了“耶鲁撒冷”（Jerusalem）病毒的拜访。在这一天，病毒摧毁了电脑上所有想要执行的文件。从某种意义上，“耶路撒冷”病毒首次通过自己的破坏引起了人们对电脑病毒的关注。从欧洲到美洲以及中东都有“耶路撒冷”病毒的报告，该病毒因攻击了耶路撒冷大学而得名。

在1988年，“耶路撒冷”、“小瀑布”、“ 石头”和“维也纳”病毒在人们没有注意的情况下感染了大量的电脑，这是因为当时反病毒软件远没有今天这么普遍，即使是电脑专家，也有很多人根本不相信电脑病毒的存在。皮特.诺顿，著名的诺顿工具软件的开发者，就宣称电脑病毒是不存在的，象纽约下水道的鳄鱼一样荒谬（不过具有讽刺意味的是，诺顿的公司仍然在数年以后推出了自己的杀毒软件）。

同时，利用人们对电脑病毒的恐惧，大量有关电脑病毒的笑话和恶作剧开始流行。最早一个恶作剧应该是麦克.罗齐埃里（Mike RoChenle）完成的，他在BBS上发布了一系列消息，描述了一种病毒可以在以2400波特率连线的时候，从一台机器复制到另外一台机器上。这个玩笑使得大量BBS用户放弃比较快的2400波特率，而使用1200波特率连接到BBS上。

波特率：上网速度的一种单位，每秒钟可以传送的数据的位数。波特率为2400表示每秒钟可以传送2400位，我们常用的文件大小的单位是字节，一个字节是8位，这样把波特率除以8就得到每秒传送的字节数，波特率为2400意味着每秒钟可以传送300个字节。现在一般通过猫上网的速度是56k，也就是波特率为56，000，除以8，我们就可以知道每秒钟传送的字节是7000字节，大概每秒钟7k左右，这是理想的速度，一般实际的传送速度会稍低于这个值，大概在每秒5－6k左右。

1988年11月：在这个月里，发生了一起重大的事件，“莫里斯的蠕虫”（Morris ’s Worm），第一个因特网的病毒出现，该病毒在美国感染了超过6000台电脑（包括美国国家航空和航天局研究院的电脑），并使他们部分瘫痪，由于网络瘫痪造成的损失，预计超过9千6百万美元。“莫里斯的蠕虫”利用了VAX和SUN公司开发的Unix系统上的漏洞，使自己可以繁殖和传播（关于莫里斯是有意利用了这一漏洞还是还是程序本身的错误还存在争议，但是我倾向于认为是程序员有意的行为，这种自我繁殖带给制造者的满足感可能是这个病毒的作者最根本的动机了）。这一病毒同时还进行密码偷窃和权限修改等工作，可以认为这是最早木马类病毒的一次尝试。

1988年12月：在DEC.Net上也出现了蠕虫病毒，这个病毒的名字叫“嗨.来吧”（HI.COM），病毒在屏幕上输出一个云杉的图像，并告诉用户他们“不要继续工作了，回家享受好时光吧！”。同样在这个时候，反病毒软件已经开始成熟了，所罗门公司的反病毒工具（Doctors Solomon’s Anti-virus Toolkit）成为当时最强大的反病毒软件。

1989年

新病毒“数据罪犯”（Datacrime）、“弗曼楚”（FuManchu）出现，病毒家族也开始出现，比如说“杨基”（Yankee）病毒，这个病毒在荷兰和英国造成了极大的恐慌，因为从10月13号到12月31号，它会格式化硬盘，摧毁所有的数据。

1989年9月，IBM进入反病毒软件市场，推出了IBM反病毒软件。

1989年10月，DECNet上出现新的蠕虫病毒，“手淫蠕虫”(WANK WORM)。

1989年12月：叫做“艾滋病”(AIDS)的特洛伊木马出现，大约2万张上面写着“艾滋病信息磁盘版本2.0”的磁盘被发放，启动90次以后，这个木马程序会加密磁盘上的所有文件名，设置属性为不可见，除了还有一个文件是可读的，其中包含了一张189美元的帐单，以及邮寄的的地址：巴拿马邮政信箱7＃。当然，这一拙劣的敲诈行为使作者很快被起诉并送进了监狱。

1989年，大量的病毒流进俄罗斯，在这种情况下，俄罗斯的一些程序员开始开发自己的杀毒软件，著名的AVP软件（反病毒工具）在这一年首次发布。

1989年，引导型病毒“小球”和“石头”通过香港和美国进入中国内地，并在很少的一些大型企业和研究机构之间开始流行。有报道的大陆第一起病毒报告来自西南铝加工厂，是“小球”病毒的感染报告。

1989年7月，公安部计算机管理监察局监察处病毒研究小组推出了中国最早的杀毒软件 Kill版本6.0，这一版本可以检测和清除当时在国内出现的六种病毒。KILL软件在随后的很长一段时间内一直由公安部免费发放。

1990

这一年发生了一些重要的事情，首先是第一个多态病毒“变色龙”(Chameleon)出现（又叫做“V2P1”、“V2P2”和“V2P6”），在此之前，杀毒软件都是使用“带掩码的特征比较法”，将病毒的片段和一些预先采样的数据片段进行比较来判断一个文件是不是被病毒感染，当“变色龙”出现以后，杀毒软件不得不寻找新的方法来检测和发现病毒。其次是“病毒制造工厂”(virus production factory)的出现，保加利亚的程序员开发了这样一个可以用于开发病毒的工具软件，使得不计其数的新病毒在保加利亚被制造出来，包括了“马铃薯”(Murphy)、“野兽”(Beast)以及修改过的“埃迪”(Eddie)病毒。有一个叫做“黑暗复仇者”(Dark Avenger)的家伙或者组织在这一年特别活跃，制造了很多病毒，它制造的病毒使用了一些新的算法进行感染，并且在系统中隐藏自己的行踪。

这一年同样是在保加利亚，第一个专门为病毒制造者而开的电子公告板建立了，这个电子公告板的主要任务就是进行病毒信息交流和病毒的交换。

在1990年7月，英国的一个电脑杂志：“今日个人电脑”(PC Today)所附赠的软磁盘被名叫“磁盘杀手”(DiskKiller)的病毒感染，这份杂志售出了超过50，000份。

电脑病毒技术本身在这一年也得到了长足的发展，在1990年下半年，两个著名的病毒“费雷多”(Frodo)和“鲸”(Whale)出现，它们使用了一些非常复杂的方法来隐藏自己的存在，特别是大小为9K字节的“鲸”，使用了多级加密解密和反跟踪技术来隐藏自己。

1990年，中国，深圳华星公司推出基于硬件的反病毒系统——华星防病毒卡，迎合了当时人们对有形的卡的盲目崇拜，认为磁盘上的东西不值钱、不可靠，只有插在电脑里面的东西才值得花钱购买，取得不错的销售业绩。

1991

电脑病毒的数量持续上升，在这一年已经增加到几百种，杀毒软件这一行业也日益活跃，两个重要的工具软件开发商：“赛门铁克”（Symantec）和“中心点”（Central Point）公司推出了自己的杀毒软件。实际上，这两家公司都是收购了早期很小的杀毒软件公司之后，将小公司的人员和产品一锅端，然后打上自己的品牌，从而进入这个市场的，这也是大公司进入新市场的一条主要途径。“赛门铁克”公司以“诺顿”工具软件，最重要的是“诺顿磁盘医生”（Norton Disk Doctor）而知名，“中心点”公司以产品“个人电脑工具集”（PCTools）而知名。

4月份，一次大规模的病毒事件爆发，这次的主角是一个能够同时感染文件和引导区的复合病毒“蒸馏酒”（Tequila），同年9月，采用了同样的原理，一个名叫“变形虫”（Amoeba）的病毒开始流行。

1991年夏天，“目录二代”（DIRII）病毒开始流行，和其他一些病毒不一样的是，“目录二代”病毒不存在于某个文件或者引导扇区中，他把自己分成小块，然后放在磁盘上的多个扇区中，运行的时候再进行组装和执行。

1991年11月：中国瑞星公司成立，并推出瑞星防病毒卡。

1992

在这一年，非IBM PC兼容机或者非DOS兼容的病毒基本上被遗忘了，网络上的漏洞得到了修补，错误被改正，大量的蠕虫病毒不再能够快速的复制和传播。运行在微软DOS操作系统下的文件型、引导型以及文件／引导复合型病毒，随着DOS的广泛流行，变成电脑病毒故事里面的主角。电脑病毒的数量以几何级数增长，几乎每天都会发生新的病毒感染事件，人们开发出各种各样的杀毒软件，大量书籍和杂志中出现关于电脑病毒的内容。

1992年早期，第一个多台病毒生成器“MtE”开发出来，病毒爱好者利用这个生成器生成了很多新的多态病毒，“Mte”也是随后很多多态病毒生成器的原型系统。

原型系统：计算机科学中常见的一个术语，一般指首先实现了某种功能或者验证了某种概念的系统，原型系统一般比较简陋，功能比较单一而且不很完善，但是原型系统往往开创了一系列新的、完善系统的先例。

1992年3月：“米开朗基罗”（Michelangelo）病毒和随之而来由反病毒软件厂商造成的歇斯底里是这个月的标志。从某种意义上，这是第一个对病毒进行炒作并且获得成功的案例，反病毒软件厂商学会夸大病毒造成的威胁，不去实际告诉用户如何保护自己的数据，而是想方设法让他们把目光集中到自己的产品上，这一切的原因只有一个——利润。一家美国公司声称3月6号，超过5百万台电脑上的数据将会被破坏，而实际上真正遭遇“米开朗基罗”病毒的电脑只有大概10，000台。成功的炒作得到的效果就是很多家反病毒厂商的利润都增长了好几倍。

1992年7月：第一个病毒构造工具集（virus construction sets），“病毒创建库”（Virus Create Library）开发成功，这是一个非常著名的病毒制造工具，实际上，直到1999年，国内还有一些个人和组织利用这一工具制造病毒。这个工具的成功同时还刺激了新的、更加强大和完善的病毒制造工具不断的被开发出来。

1992年晚期：第一个视窗病毒开发成功，实际上，大量DOS环境下的病毒在视窗环境下仍然能够成功的运行，称这个病毒是第一个视窗病毒是因为该病毒首次对视窗操作系统独特的可执行文件格式进行感染，这个病毒的出现宣告了病毒发展历史上新的一页的到来。

这一年，“目录2”病毒开始大规模进入中国，

中国，南京信源自动化技术有限公司成立，推出DOS环境下的内存驻留反病毒软件“硬盘卫士”（HD GUARD）和DOS杀毒软件VRV（Virus RemoVer）。

1993

在这一年里，病毒制造者除了制造大量普通的病毒、使用多态生成器／病毒构造机构造一系列的病毒以外，他们开始进行更加严重的破坏活动，使用一些新的方法感染文件并且将病毒注入系统。这一年中比较典型的病毒有：

“保护模式是简单的”（PMBS），工作在英特尔80386芯片保护模式下的病毒。

"陌生"（Strange） ， 一个自我隐藏技术的杰作，通过对硬件中断0Dh和76H的模拟实现隐藏自身。

“影子卫士”（Shadowgard）和“红宝石”（Carbuncle）极大地拓展了共生病毒的概念。（共生病毒，一种病毒如果可以表现为不同的形态则称为共生病毒，例如同时感染引导区和文件，或者同时感染Office 文档和普通的可执行文件）

“埃米”（Emmie）、“梅提里卡”（Metallica）、“炸弹人”（Bomber）、“乌拉圭”（Uruguay）和“咬嚼者”（Cruncher）病毒相继出现，它们使用了一些非常新颖的技术进行感染，这样，杀毒软件很难在被感染文件中找到病毒代码。

1993年春天，微软发行了自己的反病毒软件——微软反病毒软件（MSAV），这是微软购买了“中心点”公司的CPAV之后发布的微软版CPAV。但这是一次不成功的尝试，微软很快就认识到作为一个通用软件厂商，如此深入的进入一个非常专业的领域是非常不明智的，比尔.盖茨很快就放弃了这一产品。

1993年6月，中国，公安部正式决定将KILL的所有有形和无形资产、开发人员移交公安部所属的中国金辰安全技术实业公司进行商品化销售。此时，KILL的版本号为V68，产品形式分为5寸磁盘和3寸磁盘两种。

在这一年，瑞星的防病毒卡占据了80%以上的反病毒市场，达到了防病毒卡销售的顶峰。

1994

病毒通过光盘进行传播在这一年变得非常普遍，在随后的几年，直到因特网的广泛使用之前，光盘迅速成为最主要的病毒传播渠道。大量的光盘在制造的时候，由于使用的母盘中包括了病毒，所以压制出来的光盘也包括了病毒，由于光盘中的内容是不能被改写的，所以这些病毒无法清除，唯一的解决方法只能是将这些感染了病毒的光盘销毁。

在1994年早期，英国发现了两种极其复杂的多态病毒：“SMEG.病原体”和“SMEG.Queeg”（直到今天，仍然有大量的反病毒软件不能完全检测他们的所有变体！），由于病毒的作者将感染的文件放到了电子公告板上，所以这两种病毒在公众媒体造成了很大的恐慌。

另外一次恐慌是一个并不存在的病毒“好时光”（GoodTimes）造成的（注意不是我们在后面将要描述的“欢乐时光”），谣传说这种病毒可以通过电子邮件进行传染。这种不存在病毒的恐慌和欺骗后来称之为“好时光欺骗”。稍后在DOS下面真的出现了很普通的一个病毒里面包括了文本信息“好时光”，但是一般认为这个DOS病毒是响应“好时光欺骗”专门制造出来的，和那种谣传接收电子邮件就会被感染的病毒没有任何关系。

电脑病毒所引发的法律问题也变得非常普遍，各国都开始尝试将病毒制造者定罪。1994年夏天，“SMEG”病毒的作者被捕，差不多同时，英国也逮捕了一个病毒制造者团伙，这个团伙自称为“真正残酷的病毒协会”，在挪威也有一些病毒的作者被捕。这些病毒的作者之所以被捕其实很简单，他们继承了早期病毒制造者的好传统，在病毒中包括了自己的联系信息，或者在通过电子公告板首次发布的时候，很得意的宣布了作者的详细创意和联系方法，因此警方可以很方便的找到他们，在后来的病毒制作和发布中，病毒制造者就谨慎了许多，警方很难轻易的找到一个病毒的真正作者。

本年度也有一些值得一提的病毒：

1994年1月：“移动者”（Shifter）病毒，首次感染对象模块文件(OBJ文件)，“幻影1”（Phantom1），第一个首次在莫斯科流行的多态病毒。

对象模块文件：和高级语言开发工具密切相关，当在DOS环境或者视窗环境下开发程序的时候，C或者其他语言的编译器会生成多个OBJ中间文件，然后将所有的这些OBJ中间文件组合成一个可执行的文件。

1994年3月：“源代码病毒”（SrcVir）：首次感染C语言和帕斯卡（PASCAL）语言源代码的病毒.

1994年6月：“一半”（OneHalf）病毒出现，在俄罗斯和中国最流行的病毒之一。

1994年9月：“3APA3A”，一种新的引导型病毒出现，使用了一种非常特殊的方法进入DOS操作系统并进行感染，当时所有的杀毒软件对于这种新病毒都无能为力。

1994年春天，最早的杀毒软件厂商的领导者之一，“中心点”公司结束了自己的运做，被“赛门铁克”公司收购，“赛门铁克”公司在这段时间内收购了大量的杀毒软件厂商，包括“皮特.诺顿计算”（Peter Norton Computing）、“第五代系统”（ Fifth Generation Systems）等公司。

1994年2月，国务院发布了《中华人民共和国计算机信息系统安全保护条例》将计算机信息系统安全（包括防病毒软件）划归公安部管理。

1994年7月，王江民推出了“超级巡警”——KV100杀毒软件，并首次提出了广谱病毒码的概念，首次在《软件报》上公布《反病毒公告》，开创了用印刷的形式让用户进行手工升级的先河，虽然对这种升级方式的有效性仍然存在很多争论，但是KV100依靠这种方式极大地提高了知名度，为后来KV300的成功打下了良好的基础。

1995

DOS病毒技术的发展在这一年中基本上陷于停滞，我所说的停顿是指技术本身的停顿，也就是说没有什么新的感染或者隐藏等病毒相关技术的出现，但是病毒的数量和传播并没有停顿，在这一年中仍然出现了很多非常复杂的病毒例如“死亡坠落”（Night Fall）、“胡桃钳子”（Nutcracker）等，以及一些很有趣的病毒例如“两性体”（bisexual）、“RNMS”等。这一年中，DOS批处理病毒"视窗启动"（WinStart）和“死硬2”（DieHard2）病毒在世界范围内广泛的流传。

1995年1月：微软的视窗95演示盘被病毒“表格”（Form）感染，微软将演示盘发送给测试者，其中一个可能是过于勤劳的测试者对这些磁盘进行了病毒检测，结果很吃惊的发现了病毒。这是微软第一次在发行的光盘中包含了病毒，当然这远远不是最后一次。

1995年春天：两家著名的杀毒软件公司“雷霆字节反病毒”（ThunderBYTE Anti-virus）和“诺曼第数据防护”（Norman Data Defense）公司宣布将联合进行反病毒系统的开发。

1995年秋天：病毒和反病毒发展历史的一个转折点，第一个能够保存在WORD文件中，运行在微软字处理软件里的病毒“概念”（Concept）病毒开始在世界范围内流行，这一病毒的出现宣告了一种新形态的病毒的出现——宏病毒。在很长一段时间里，这一病毒在所有的病毒感染统计中一直占据最重要的位置。

1996

1996年1月，第一个视窗95病毒出现——“博扎”（Win95.Boza）

1996年3月：第一个开始大规模流行的视窗版本3病毒，“触角”（Tentacle）病毒首次被发现，这一病毒首次出现在法国一家医院和一些研究机构的网络中。在这一病毒出现之前，虽然有很多的视窗病毒被制造出来，但是这些制造出来的病毒都只在病毒收集者之间、电子公告板或者一些专门的杂志上出现，“触角”病毒实际上是第一个真正流行起来的视窗病毒。

1996年6月：第一个真正OS/2操作系统下的病毒，“AEP”病毒出现，在此之前的OS/2病毒只能使用病毒文件替换原来的文件，或者以伴随病毒的形式出现，这一病毒首次可以将自己附着在OS/2可执行文件的后面，实现了病毒的真正定义——感染。

1996年7月：第一个微软电子数据表病毒“拉若克斯”（Laroux）病毒出现，这一病毒首次发现是在两家石油公司，一家在阿拉斯加，另外一家在南非，所以我们猜想是一个石油勘探软件的程序员制作了这个病毒。和先前的字处理程序病毒一样，这一病毒利用了在电子数据表格软件中可以变成的某种宏语言。任何微软的电子数据表或者字处理文档中都可以包括这种语言所编写的程序，当然也可以包括这种语言所编写的病毒。随着微软操作系统的日益复杂，各种宏语言慢慢变成统一的BASIC语言（VBA ：专门为应用软件设计的可视化BASIC语言），功能也变得越来越强大，使用这种语言编写的病毒功能也随之越来越强大。

BASIC语言：BASIC是初学者通用符号指令代码（Beginner’s All-purpose symbolic instruction Code）的缩写，是国际上广泛使用的一种计算机高级语言。BASIC简单、易学，目前仍是计算机入门的主要学习语言之一。BASIC语言自其问世经历了以下四个阶段：第一阶段：（1964年～70年代初）1964年BASIC语言问世。第二阶段：（1975年～80年代中） 微机上固化的BASIC，ROM BASIC，第三阶段：（80年代中～90年代初）结构化BASIC语言，以True BASIC为代表，第四阶段：（1991年以来）以可视化的BASIC为代表，在因特网时代这一古老的语言又焕发了新的青春。

1996年12月：视窗95下的第一个内存驻留病毒，“打孔机”（Punch）病毒出现，该病毒驻留在视窗95的内存中，以一个Vxd驱动程序的形式存在，拦截所有的文件操作并进行传染，这种原理在随后的CIH病毒中得到应用和发展并且造成了极大地破坏。由于程序设计中的明显缺陷，“打孔机”病毒不能在正常的视窗95环境进行感染中，所以这种革命性的病毒并没有真正流行起来。

实际上1996年是新一轮病毒进化的开始，在这一年中，随着微软新的操作系统视窗95、视窗NT和微软办公软件（Office）的流行，病毒制造者不得不面对一个新的环境，他们在这一年中开始使用一些新的感染和隐藏方法，制造出在新的环境下可以自我复制和传播的病毒，随后，病毒制造者的技术水平日益提高，他们对新的操作系统环境（视窗95和视窗NT）和应用系统环境（Office，包括字处理和电子数据表格软件等）的掌握也越来越深，他们开始在病毒中增加多态、反跟踪等技术手段，在新的技术层次上重复了早期在DOS操作系统环境下病毒的进化过程，和DOS环境下漫长的进化相比，在新的环境下病毒的进化过程要快得多。

1997

1997年2月：第一个Linux环境下的病毒“上天的赐福”（Bliss）出现，Linux在此之前还是一个没有被病毒感染过的乐土。

1997年2月到3月：随着微软办公软件从版本6升级到版本97，宏病毒也升级到版本97。最早针对微软办公软件97的宏病毒都是直接从较早期版本转换过来的，但是病毒制造者对新技术的跟踪速度是惊人的，他们很快就推出了专门为微软办公软件97定制的宏病毒。

1997年3月：针对微软字处理软件版本6和版本7的宏病毒“分享欢乐”（ ShareFun）病毒出现，这种病毒的特殊之处在于除了通常的通过字处理文档传播之外，“分享欢乐”还可以通过微软的邮件程序发送自己。

1997年4月：第一个使用文件传输协议（FTP）进行传播的蠕虫病毒，“本垒打”（ Homer）病毒出现。

文件传输协议：（File Transfer Protocol）使用这一协议，人们可以在主机和自己家庭的电脑之间交换文件。这是最简单的因特网应用协议之一，可以列出远程目录，对文件名字进行拷贝、删除、改名等操作，最重要的是，可以将硬盘上的文件上传到远程的主机上，或者将远程主机上的文件下载到自己的硬盘上。

1997年6月：视窗95环境下第一个可以自我加密／解密的病毒出现，这一病毒最先出现在莫斯科，在一些电子公告板上公布后造成了一些慌乱。

1997年11月：“世界语”（ Esperanto）病毒出现，正如名字所表示的那样，这一病毒的开发者想让它成为病毒世界的世界语—同时感染DOS、视窗和苹果的麦克机操作系统。幸运的是，由于软件中存在的一些缺陷，“世界语”没有实现它的设计目标。

1997年12月：一种新的病毒形态，“mIRC蠕虫”出现，“mIRC”是视窗环境下最常见的一种IRC客户端程序，在当时发布的mIRC版本中存在一个漏洞，利用这个漏洞，病毒可以通过IRC的频道复制和传播自己。后来的IRC版本中堵住了这个漏洞，“mIRC蠕虫”病毒也就随之慢慢的消失了。

IRC客户端：IRC是因特网INTERNET RELAY CHAT的缩写，意思是通过因特网中转的聊天，通过特殊的协议(RFC1459 RC协议)，大家连到一台或者多台IRC服务器上进行聊天。和普通的使用浏览器进行的聊天相比，它最大的特点是速度快(正常情况下一秒钟内你就可以看到对方的“讲话”),功能多，和类似QQ的即时聊天系统相比，IRC可以实现多对多的群体聊天功能。要实现IRC聊天需要IRC服务器和IRC客户端，IRC服务器在网上有很多，IRC客户端就是你在视窗环境下实际进行聊天的程序，其中最著名的就是mIRC程序。

1997年在美国和欧洲的主要杀毒软件厂商中，发生了一些丑闻。两家非常著名的杀毒软件厂商开始了一场口水大战，首先是McAfee公司宣布他们的专家在所罗门公司出品的杀毒软件中发现了一个很有意思的特性：所罗门公司的病毒检测软件可以工作在两种模式下面，正常模式和高级模式，正常模式的速度很快，但是对于某些少见的病毒可能无法检测，高级模式的速度比较慢，但是检测的病毒数量更多，他们发现，所罗门公司的软件可以在这两种模式之间自动切换，当软件发现自己象是在检测一个测试用的病毒库的时候，会自动切换到高级模式，而在检测普通文件的时候会切换到正常模式，这样，杀毒软件既得到了非常快的检测速度，也可以得到非常好的病毒检出率。

随后，所罗门公司开始反击，指责McAfee公司发布了非法的广告，其中有直接攻击所罗门公司的内容。同时，好像是觉得不够热闹似的，McAfee和趋势公司闹上了法庭，他们争论的焦点有关因特网和电子邮件病毒检测技术的专利；随后是赛门铁克公司，也跳出来指责McAfee公司使用了赛门铁克公司的代码。

这一点充分证明了国外的消费者观念和国内消费者观念的巨大差别，对于国外用户来说，在产品中没有充分实现你的承诺就是一种欺骗行为，换句话来说，在用户不知情的情况下为了某种性能或者评测数据的考虑自动的切换工作模式是某种意义上的商业欺骗。而在国内，我相信没有任何消费者会因为这样一种技术上的处理对杀毒软件厂商提出怀疑或者责难。实际上，国内厂商使用的模式切换、性能增强措施，甚至某些通过提高误报率来迎合用户希望查到病毒的心理的技术手段，远远超过了国外所谓的“欺骗”的范畴。但是至今还没有用户或者厂商对此提出过指责。

 这一年McAfee和“网络将军”公司完成了他们的合并，新成立的公司成为一家信息安全服务和产品的提供商，新公司的名称是“网盟”（NAI）。

这一年，在中国发生了著名的毒岛论坛事件，有好事者在美国的地球村免费网站上建立了一个叫做“毒岛论坛”的站点，专门讨论反病毒技术，评比国内的反病毒软件和提供它们的的解密程序。1997年的下半年，“毒岛论坛”宣称KV 

300软件中有病毒！并且迅速在网上公布了病毒的反汇编代码（由于KV 300软件是经过加密的，因此一般人无法简单地看到这一段代码）。数天之后，出于种种考虑，数家反病毒软件公司在京召开了记者招待会，声讨这种行为。而江民公司自己则辩称这是一个“逻辑锁”，不是病毒。只有使用了盗版软件的用户，才有可能数据被破坏。

 事情最后以江民公司被认定违反了《计算机安全管理条例》，罚款3000元告终，而KV 300似乎没有受到太大的影响，“毒岛论坛”还因此被查封。

在1994年防病毒卡的销售达到最高峰之后，瑞星1995、1996年销售业绩大幅度下降，公司到了生死存亡的边缘，1997年开始，瑞星通过OEM和低价策略开始二次创业。

1997年，南京信源公司首次推出具有实时病毒防护功能的病毒防火墙，NetVRV软件。

1997年，出现了一家风靡一时的反病毒软件公司，华美星际，在当年推出的“病毒克星”产品获得很大的成功（“病毒克星”实际上是OEM “VRV”之后生产的产品），但是由于运作原因，该公司在1997年之后就销声匿迹了。

1998

病毒的数量和技术继续发展，特别是随着因特网的广泛使用，人们对于能够窃取口令和更改权限的木马程序有了更多的兴趣。视窗环境下的病毒“CIH”和“青猴病”（Marburg）通过一些电脑杂志附带的光盘广泛传播，这些光盘在制作的时候被病毒感染。

这一年中，一种新的病毒“HLLP.DeTroie”出现，这种病毒除了能够感染普通的视窗可执行文件以外还能够收集被感染机器的信息并且发送到病毒的所有者手中。应该感到幸运的是，这一病毒仅仅感染法语版的视窗操作系统，所以基本上没有在我国造成影响。

1998年一月：一种新的感染微软电子数据表的病毒“派克斯”（Paix）出现，这种感染表格的病毒同样实现了自我复制和传播的特性。

1998年2月到3月：“青猴病”（Marburg）病毒，第一个在32位视窗环境下运行的多态病毒被发现并且开始流行起来。这种病毒的出现给杀毒软件开发者出了一道难题，就像当初在DOS环境下遇到多态型病毒一样，他们不得不重新设计自己的病毒扫描引擎，从而可以识别出这种病毒和相应的变种。

1998年3月：“埃克塞斯4”（ AccessiV）病毒，第一个针对微软数据库软件的病毒出现，这个病毒本身没有造成很大的影响，因为随着字处理和电子数据表病毒的出现，人们知道出现这样一个病毒只是迟早的事情，所有的杀毒软件厂商对此已经有了充分的准备。

1998年3月：“十字架”（ Cross）病毒出现，这个病毒首次实现了对不同微软办公软件的感染，数据库和字处理软件。也就是说你的字处理文档和你的数据库文件中可能同时包括了这种病毒，在这种病毒之后，越来越多的，同时感染多种微软办公软件的病毒开始出现。

1998年5月：“红色队伍”（ RedTeam）病毒出现，这种病毒可以感染通常的视窗可执行文件，同时还可以通过一种电子邮件软件进行传播。

1998年6月：CIH病毒出现，CIH病毒是有史以来影响最大的病毒之一，最早出现在台湾，然后通过美国在台湾的海外办公室传播到美国，感染了一些因特网上的游戏服务器，直接引发了持续一年的恐慌（在中国CIH的恶梦是在下一年才真正开始的），CIH病毒所取得的巨大影响是因为它的破坏性，在某些电脑上，CIH病毒甚至可以损坏你的硬件。

1998年8月：非常好的远程控制工具“后门”（Back Orifice）出现，在“后门”之后，还出现了“网络公共汽车”（NetBus）、“阶段”(Phase)等类似的软件。

远程控制工具：通过网络控制某台机器的软件，包括客户端和服务器两个部分，服务器运行在被控制的电脑上，一般在后台运作，接收远程发来的命令并执行操作，客户端运行在网络的另外一边，控制者利用客户端发布命令。只要在一台联网的电脑上安装了远程控制的服务器端软件，你可以在任何一台联网的电脑上使用客户端软件，实现数据收集（包括口令和其他机密的文件），鼠标和键盘控制，击键记录等功能。由于远程控制软件的强大功能，人们往往利用远程控制软件作为木马程序，实现对系统非法存取的目的。

1998年8月：第一个感染“爪哇”（Java）可执行文件的病毒“陌生的酿造”（Strange Brew）问世，这一病毒没有什么实际的危害，因为“爪哇”语言在安全性上的一些预防措施，病毒不能复制并且传播到远程的电脑上。但是“陌生的酿造”至少证明了因特网浏览器被病毒感染的可能性。

这一年，南北信源反目为仇，先是划江而治，划分成北方市场和南方市场，然后由于市场和经营观念的冲突以及公司内部矛盾，开始相互起诉和争斗，两家公司都因此元气大伤，市场份额和影响急剧下降。

1998年11月：一种新的使用VB脚本语言编写的病毒“兔子”（Rabbit）诞生了，这种病毒充分利用了VB脚本语言专门为因特网所设计的一些特性。很自然的是，随着HTML语言本身开始具有编程能力，纯粹的HTML语言病毒“内在”也开始流行。很明显，病毒制造者将他们的注意力集中在网络蠕虫上，他们开始充分利用视窗系统强大的脚本语言，而且这种语言还可以和网络紧密的结合，制造大量的，可以通过网页、电子邮件传播的病毒。

在这一年中，杀毒软件厂商开始大规模的整合，1998年3月，赛门铁克和IBM宣布合并他们的反病毒业务部门，IBM随后放弃了自己独立开发杀毒软件。所罗门和网盟很快作出了反应，通过一桩上亿美元的交易，所罗门公司不复存在，网盟成功的收购了他的死敌所罗门公司，这桩交易给反病毒行业带来了非常大的震动，这样两家一直打斗得你死我活的公司居然采取这样一种方式结束了自己数年的竞争。

1998年5月：中国金辰安全技术实业公司和世界第二大软件公司美国CA公司在公安部举行签字仪式，双方共同合资成立北京冠群金辰软件有限公司。同时宣布在北京成立产品研发中心。1998年7月，冠群金辰公司发布KILL认证版。产品虽然名称还是叫做KILL，但基本核心已经完全使用了CA公司的技术。

1999年：这一年，病毒制造者很好的掌握了视窗操作系统下各种新的文件格式的感染方法，在视窗环境下隐藏自己的技术也得到了很大的进步，通过邮件进行病毒传播开始成为病毒传播的主要途径。宏病毒在这一年仍然是最流行的病毒。

1999年3月，一个名为“梅丽莎”(Melissa)的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播，造成网络阻塞，甚至瘫痪。并且，这种病毒在传播过程中，还会造成泄密。 

1999年6月，中国最大的通用软件厂商，金山公司首次发布金山毒霸的测试版，开始尝试进入杀毒软件市场。

1999年12月，“FunLove”病毒出现，这一病毒是一个设计非常巧妙的PE病毒，它的最大特点是感染能力强，清除非常困难，直到今天还是在国内广泛流行的病毒之一。

2000年，随着微软视窗操作系统逐步的COM化和脚本化，脚本病毒成为这一年的主流，大量使用脚本技术的病毒出现，脚本病毒和传统的病毒、木马程序相结合，给病毒技术带来了一个新的发展高峰。

2000年5月：“爱虫”(LoveLetter)病毒出现。“爱虫”病毒是一种脚本病毒，它通过微软的电子邮件系统进行传播。这一病毒的邮件主题为“I Love You”，包含一个附件“Love-Letter-for-you.txt.vbs”，一旦在微软电子邮件中打开这个附件，系统就会自动复制并向用户通讯簿中所有的电子邮件地址发送这一病毒，其传播速度比“梅莉沙”病毒还要快好几倍。

2000年11月：金山毒霸正式上市，金山正式进入反病毒软件市场。

2000年12：恶作剧程序“麦当劳女鬼”在网络上大规模流行并造成影响，根据报道，中国香港地区有职员被这个恶作剧程序惊吓致死。

2001年6月：“齿轮先生”（SirCAM）病毒出现，该病毒是一种首发于英国的恶性网络蠕虫病毒，对计算机具有较高的危害能力，它主要通过电子邮件附件进行传播，用户一旦打开带有病毒的附件，病毒就会自动发作，并随意选择机器硬盘中的文件向外发送，导致机器内的重要文件对外公开；病毒同时自动删除Ｃ盘中所有文件；病毒还会自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。

2001年7月：“红色代码”（Code Red）以及“红色代码二代”（Code Red II）出现。主要针对因特网上的服务器，该病毒能够迅速传播，并造成大范围的访问速度下降甚至阻断。“红色代码”造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击，被攻击的服务器又可以继续攻击其它服务器。

2001年9月：“尼姆达”（Nimda）病毒出现。