巴黎到罗马飞机:求：最近一年的关于黑客的重要事件和新闻

楼主确实比较懒了一点，不过很多真正有含量的黑客事件媒体报道的很少的，看看楼上各位贴的就知道了，大部分都是利用实习啊内部工作人员啊，老实说，那些是为了钱利用职务之便犯罪，跟黑客扯不上多少关系吧

现在的媒体是越来越无聊，只要利用计算机进行的犯罪似乎都成了黑客，搞笑！我要是银行内部工作人员，我也可以随便开个几十亿支票给希望小学。

江民的KV软件知道吧，目前国内最好的反病毒软件公司，至于它为什么没有瑞星和金山毒霸之类的垃圾有名，那是因为它不是公安部嫡系，2005年不是照样被黑，一天内黑了3次之多

公安部够厉害了吧，还不是一样被黑，而且是来回被黑，飘雨冷雪是直到今年过年时才被抓住的，觉得耻辱吗？如果真的打信息战，中国的网络能生存吗？我是觉得100%不可能，就算一触即溃我都不会感到一点点吃惊！

这种事听说过的人很少吧，只有一些不怕死的网站还能找到这些报道，幸好我当时第一时间去看过，不然被政府一吹，还以为是莫须有呢，丢人啊！

懒得多说了，中国现在社会太浮躁，媒体基本都是脑子进水的一帮人在弄，老百姓能接触到多少真相呢？

月 VBS.TQLL.A@mm 该病毒是一个VBS病毒，主要通过邮件进行传播，邮件的内容如下：邮件主题:“ New Year !” ；消息主体:“ Wow Happy New Year !” ；附件名称: “Happynewyear.txt.vbs”。 随机 一旦执行了附件happynewyear.txt.vbs则将导致恶意程序的产生-—3k.exe，该程序会被安装到Windows目录中并自动执行，它是一个恶意木马程序。
2月 库尔尼科娃 该病毒别名为VBS_Kalamar或Onthefly.A，是又一个用VB Script编写的病毒，通过邮件或网络进行广泛传播。 随机 一旦用户打开附件，出现一种能够通过Outlook 进行大肆传播的病毒。由于该病毒通过Outlook产生并发送大量电子邮件，很快将导致网络超负荷，严重将导致服务器瘫痪。此外，每年当系统日期为1月26日时，病毒还将自行启动浏览器连接到站点www.dynabyte.nl。
3月 马吉斯 马吉斯(W32.Margistr.B)病毒是目前见到的用汇编语言写的最庞大而复杂的病毒，约30KB，病毒内包含两个变形引擎，并利用了很多反跟踪技巧。 随机 病毒感染后，首先，它能够禁止使用鼠标访问桌面上的图标；其次，当鼠标指针移到一个图标时，图标将移离。当病毒感染计算机一个月之后，在Windows 9x系统下，病毒会利用类似于CIH的方式进入系统，利用直接端口操作删除CMOS、Flash和硬盘数据，烧毁可擦写式BIOS；在Windows NT/2000操作系统下，它会用“YOUARESHIT”字符串覆盖所有本地和网络驱动器上的磁盘文件。
Win32.Winux 截至目前，它是首例跨平台的病毒，可以在Windows系统和Linux系统下正常工作，虽然此病毒没有发作部分，但其已经成功展示了在不同系统平台下运行的新技术，因此对于今后的病毒发展来说，可算是起到一个推波助澜的作用。 随机
4月 CIH 该病毒包含两个破坏模块，每个都可以在4月26日被触发。一旦被触发，病毒将企图用一些随机数据覆盖系统硬盘，并且使数据恢复相当困难。它同时试图通过垃圾数据存储到快闪BIOS中来对系统进行永久性破坏。 4月26日
5月 Funlove 它主要感染本地及网络中的PE-EXE文件，由于在局域网内，服务器或其他某些机器必须长期保持开机状态，一旦被“Funlove”感染，电脑便长期处于带毒运行状态，始终无法彻底清除。 随机 当Funlove侵入网络管理员所在的电脑后，将导致通过这台被感染的电脑前来访问的所有用户拥有与网络管理员同样的权限，从而使任何人都可以随意删改整个系统的安全设置，危及整个局域网内的信息资料安全。
爱虫 病毒通常以主题为“ILOVEYOU”的邮件传播。当用户运行附件时病毒将发作，同时修改注册值项以便每当系统启动时蠕虫能自动运行。 随机 此病毒会搜索所有与该机器连接的驱动器并用病毒代码副本替换JPG与JPEG文件，然后在原文件名后增加扩展名VBS；同样，蠕虫还会用病毒代码覆盖VBS、VBE、SCT、JS等等文件，并将文件名改为*.vbs。
6月 世界小姐 世界小姐蠕虫病毒（W32.MsWorld@mm）是一个乱发邮件的VBS蠕虫，它装作Macromedia Flash电影文件来隐藏它恶意攻击的目的。 随机
7月 欢乐时光 欢乐时光(Happy Time)属于蠕虫病毒，通过电子邮件传播，但不是作为邮件附件，而是作为邮件内容。每当计算机系统的月份和日期相加之和为13时，欢乐时光病毒将大规模爆发并进行破坏，逐步删除硬盘中的EXE和DLL文件，最后导致系统瘫痪。 随机 当计算机系统的月份与日期之和为13，病毒将删除从 C 盘找到的EXE 或DLL 文件，将其替换为病毒代码。此外，病毒还将修改桌面墙纸设置，修改后的文件中都带有病毒代码。
CAM先生 CAM先生（W32.Sircam.Worm@mm）病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。 10月16日 一旦打开带毒附件，病毒将随意选择用户机器硬盘内的文件作为附件并向外发送，导致机器内重要文件对外公开；同时病毒发作时将自动删除C盘所有文件，并在每一次系统启动时自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。
8月 红色代码 红色代码（CodeRed）蠕虫病毒利用了一个缓冲区溢出漏洞进行传播（未加限制的Index Server ISAPI Extension缓冲区使Web服务器变得不安全）。蠕虫只存在于内存中，并不向硬盘中拷文件。 随机 该病毒主要有如下特征：入侵IIS服务器，会将www英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”。“红色代码”驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其他的服务器。
9月 蓝色代码 蓝色代码（Worm.IIS.CodeBlue）程序为破坏性黑客程序，由远端客户端利用系统漏洞复制放在C盘根目录下，命名为svchost.exe。 随机 “蓝色代码”病毒感染Windows NT/2000系统服务器，即使没有安装IIS的服务器也同样感染，并植入名为SVCHost的程序运行，该病毒使得服务器被重复感染，最终导致系统运行缓慢，甚至瘫痪。
10月 尼姆达 尼姆达（W32.Nimda.A@mm）病毒可通过四种方式传播，即通过感染文件、乱发带毒邮件、网络蠕虫、局域网传播。 随机 该蠕虫通过邮件将自己以附件形式发送出去，然后感染所有运行微软IIS服务器软件的包含漏洞的Web服务器，并在网页上添加JavaScript，使人们浏览网页时，自动下载此蠕虫。
11月 求职信 求职信（I-worm.kiez）病毒邮件中含有英文“我必须找到一份工作来供养我的父母”信息，故将其命名为“求职信”病毒。该病毒主要感染Windows 95/98/Me/2000系统，如果感染的是Windows 2000系统，将试图让远程计算机自动运行该病毒。 随机，特别关注奇数月13日 用户只需预览邮件正文其带毒附件便能自动执行，具有极强的传染能力。该病毒分为两部分，是病毒和蠕虫的混合体，主要感染系统可执行文件，定时搜索电脑中的所有文件，耗费大量系统资源，造成电脑运行缓慢直至瘫痪。遇到奇数月13日时病毒会自动发作，将所有系统文件加长一倍，重新写回硬盘，浪费大量硬盘空间。
尼姆达II 尼姆达II（Worm.Nimda.2）病毒是尼姆达病毒的变种，同样通过E-mail、共享网络资源、IIS服务器传播并感染本地文件。“尼姆达II”病毒对“尼姆达”本身缺陷进行了修缮，还修改了病毒内部标识以逃避反病毒软件的监测。 随机 “尼姆达II”病毒在C、D、E盘根目录下和IIS的Scripts目录下生成httpodbc.dll和cool.dll文件。Worm.Nimda.2病毒不但发送染毒邮件，还会感染可执行文件。
12月 ？？ 在圣诞节期间还会有病毒发作：Win32.Kriz.3862。病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序，在12月25日将被激活。

2005年中国网络安全十大热点事件
2005年，总有一些事件震撼人心，总有一些东西备受瞩目。这些关键词的背后，不仅仅是我们曾经关注的焦点，更是留给我们长久思考：2005年，我们的网络生活一起经历了什么？
2005年，总有一些事件震撼人心，总有一些东西备受瞩目。这些关键词的背后，不仅仅是我们曾经关注的焦点，更是留给我们长久思考：2005年，我们的网络生活一起经历了什么？

“MSN性感鸡”，网络提前遭遇“禽流感”

2005年，禽流感席卷全球，让人闻鸡色变。而网络上的“禽流感”更是早于现实，从2月3日开始，席卷全球互联网。

2月3日上午，金山、瑞星、江民等国内多家安全软件厂家，接到大量MSN用户中毒信息，一个名为“MSN性感鸡”的病毒迅速在互联网上疯狂传播。msn用户感染后会向所有好友发送病毒文件。MSN性感鸡除了利用MSN向外界发送病毒文件、消耗系统资源外，还会在中毒电脑里放置后门程序，使黑客可以远程控制该电脑，从而使用户面临极大的安全威胁。

在相对平静的2005年网络环境中，“MSN性感鸡”造成危害最严重的一个病毒。随着各大门户网站的即时通讯工具的推出，以及金山加加、盛大圈圈等的加入，病毒制造者利用IM（即时通讯工具）做为传播，已经成为了病毒传播的首选方式。金山毒霸反病毒服务中心整个2005年接到的感染报告中，通过IM工具传播的病毒高达270万次，排在所有病毒之首。这也使的国内IM厂家高度重视，腾讯推出的QQ2005，就在业界率先与杀毒厂商合作，与金山公司合作推出了国际首创的“QQ安全中心”。

金融机构成为网络钓鱼最青睐对象

2005年，美国超过300万的信用卡用户资料外斜，导致用户财产损失，同时，中国工商银行、中国银行等金融机构先后成为黑客们模仿的对象，设计了类似的网页，通过网络钓鱼的形式获取利益。这一现象在2005年以平均每个月73％的数字增长，使很多用户对于网络交易的信心大减。导致年底各家银行对于网络交易安全提高重视。

针这些对愈演愈烈的网上银行诈骗事件，中国人民银行于10月30日向社会公布《电子支付指引（第一号）》，对银行从事电子支付活动提出了指导性要求，对银行针对不同客户在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。

各杀毒厂家纷纷披露主动防御计划反病毒欲改被动劣势

5月，业界一条以“网络安全惊曝黑幕”为题的报道，在原本还算平静的网络安全行业搅起千层巨浪。这篇报道毫不客气地将杀毒软件比做“过期药”，更将信息安全厂商们斥之为贩卖“过期药”的贩子。随后，国内著名信息安全厂商金山公司对外宣布，其杀毒软件“主动防御（ADP）”业已完成第二层（网络自防御）计划，并且证实该计划已经应用到当天发布的金山毒霸2005中小企业版当中。至此，包括金山、瑞星在内的国内主流信息安全厂商均做出高调反应，表明中国的信息安全厂商正试图扭转在与病毒竞争中长期被动的局面。

“主动防御”更像是一个贴身的保镖，勤勤恳恳、认认真真的监视着周围的可疑人物，让危险总能在最后一刻之前化解。“主动防御”以事实为依据，掌握用户计算机真实的安全状况，在用户还没有意识到之前，能给予用户更多的提示与建议，帮助用户构筑专家级水准的计算机安全防线。它是传统杀毒软件的超集，虽然它也需要传统方法的补充，但它的理念已经超越了单纯的杀毒，而是全面保护用户计算机的安全。它是安全软件未来的发展方向。

流氓软件引起公愤，人人喊打

6月21日，北京市网络行业协会联合新浪、搜狐、金山、瑞星等16家网络和软件企业联合起草了《软件产品行为安全自律公约》，联合承诺共同防范“流氓软件”带给网民的麻烦。随后，在北京市网络行业协会的网站上，接受网民的投诉，引起众多网民的关注与投诉。7月11日，网络行业协会根据网民的投诉，点名公布了10家流氓软件名单，包括了3721、淘宝、e趣、DUDU等家加知名软件。

2005年，间谍软件已经大面积闯入了我们的网络生活中。间谍软件从以前单一的收集用户信息和盗取有价账号等方式扩展到恶意广告。恶意广告的典型特征为：悄悄安装；不易卸载；保护自己使用低层技术与多种软件冲突；随时随地弹出骚扰广告。而目前在国内用户被侵扰最多的间谍软件就是恶意广告和盗号木马。90％以上的网民都直间或间接的受到此类间谍软件的侵扰。
狙击波，与时间赛跑的病毒

8月15日，金山公司率先截获了被称为历史上最快利用微软漏洞攻击电脑的病毒“狙击波”，危害程度直指当年的震荡波。在随后的24小时内，变种迅速，出现多个变种，给相对平静的2005年网络环境，带来阵阵涟漪。该病毒源自欧洲芬兰，之后在欧洲迅速流传。其中在美国蔓延，美国国会、美国有线电视台（CNN）、美国广播公司（ABC）、纽约时报等重要企业和政府机构遭受此次蠕虫狂潮的袭击，并造成部分网络瘫痪。在国内，华南地区尤其是广州地区的个人及企业用户中毒的较多。

名人、热点新闻成为病毒载体

2005年8月30日，被全国关注的“超级女声”总决赛进行之际，一个借着“超级女声”的名气传播的QQ病毒现身网络，盗窃用户的信息。“超级女声”也成为了2005年带毒的明星、热点事件最为突出的事件，其前后，包括：拉登、羽泉、周杰伦、禽流感、伦敦地铁爆炸等等，也成为了一个特别的现象。每当网上出现热点新闻或者热点人物的时候，各病毒监测中心的精神也都高度集中，不知道下一个遭毒手的会是哪一个？

手机病毒过百

11月15日，金山反病毒监测中心向国内智能手机用户发出预警在手机上传播的病毒已经跨越100个大门，达到102个。自从2004年6月第一次发现在手机上传播的病毒以后，手机恶意程序的数量大幅提升。目前手机病毒主要采用蓝牙、电子邮件、链接PC以及浏览互联网下载安装软件等多种方式传播。以损坏联系人名单、损耗电池、盗取资料和浪费话费等破坏为多。

为了应对越来越猖狂的手机病毒，金山公司于11月7日在国内率先推出了自主研发的手机杀毒软件——金山毒霸手机版（KingsoftMobileSecrity）杀毒软件，广大用户可以通过金山毒霸手机版专题免费下载，软件试用期为3个月。金山毒霸手机版具备运行在 PC上的杀毒软件所有的必备功能，支持WindowsMobile与Symbian手机操作系统，不仅仅可以查、杀流行的手机病毒，对运行在手机上的宏病毒也能彻底清除。此外，金山毒霸手机版已经开始酝酿手机短信诈骗防范功能。

中国安全软件与国际接轨

11月17日，国际安全软件行业的重要会议，AVAR反病毒大会第八届年会在天津经济技术开发区举行。这次AVAR反病毒大会在国信办、公安部和天津市政府的支持下，由国家计算机病毒应急处理中心、天津经济技术开发区、天津市信息办、天津市科委和天津市公安局等单位承办，这是AVAR年会首次在中国大陆举行。今年反病毒大会的主题是“从有线拓展到无线安全，从技术追求蜕变为网络犯罪”。来自美国、俄罗斯、法国、日本、冰岛、韩国等反病毒领域的专家做了精彩的报告。

在国际业界更多的关注中国安全事业的同时，国内通用软件也积极的走出国门，与世界接轨。9月14日，国内安全软件的重要厂商金山公司，率先走出国门，宣布正式进入日本市场，并同时发布了金山毒霸日文版。日本媒体对于金山公司此次大规模进军日本市场给予了高度关注。会场座无虚席，包括日本NHK 电视台、日经新闻社等八十多家主流媒体参加了发布会并予以报道。日本最大的电视台NHK在当晚以高度的关注的态势介绍了这次新闻发布会的情况，足见其对中国通用软件公司第一次进入日本市场的重视程度。该新闻以“日本用户接触到大量中国品牌的软件产品的日子，已经不远了”作为结束语。截至2005年11月，金山毒霸在日本的安装量已经超过50万。

金山、瑞星、赛门铁克集体转向互联网应用

12月6日，金山、瑞星、赛门铁克三家杀毒厂商不约而同地选择了同一天作为新品发布日期。几大杀毒厂商经过对2005年的病毒趋势分析，在2006年新品发布中，纷纷加大了针对互联网的应用产品。

回顾2005年的“安全状况”，除了“MSN性感鸡”、“狙击波”引起一定的关注之外，在2005年利用漏洞的病毒已经逐渐不再唱主角了。对电脑用户安全的最大威胁已经让位于以商业为目的，以欺骗用户为手段，严重干扰人们日常工作、数据安全和个人隐私的各类间谍软件。据《金山2005年安全报告》显示，间谍软件的危害已经超越传统病毒，成为互联网安全最大的威胁，感染率由2004年30％激增到2005年的90％。网络钓鱼事件更是层出不穷，这使得杀毒软件的发展方向将由传统的反病毒机制转向了捍卫全面的互联网安全。

中国互联网协会反垃圾邮件工作委员会成立

2005年12月9日，中国互联网协会在“中国互联网协会反垃圾邮件协调小组”的基础上正式成立中国第一个在行业内最具代表性的反垃圾邮件组织——“中国互联网协会反垃圾邮件工作委员会”，该工作委员会的成立意味着中国反垃圾邮件事业迈上了新的台阶。反垃圾邮件工作委员会由政府、商务网站共同创立。来自安全软件业界的金山公司、诺顿公司成为了理事会成员，为工作委员会提供技术方面的支持。

垃圾邮件的泛滥，占用了网民们本来就不大的信箱空间，使得真正有用的E-mail要么因为信箱已满而进不来，要么淹没在一大堆的垃圾邮件中。为了处理这些垃圾邮件还得让网民搭上不少宝贵的上网时间，总之空耗大家的时间、精力和钱财。更重要的是，垃圾邮件往往散布一些不确切的、夸大其词的消息，干一些骗人钱财的勾当，有的已经触犯了法律，它们对现实社会的危害也随着网络的日益普及而逐渐显现出来。

来自罗马尼亚的黑客组织Pentaguard在1月22日同时袭击了英国、澳大利亚和美国三个国家的政府网站，自称是“向政府和军队网站发起的规模最大的一次袭击。”这一次攻击为2005年黑客事件拉开了序幕，其强大的国际性，似乎预示着2005年黑客事件的不平凡。2月8日，中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究研被黑，首页页头被加上“这里是信息产业部邮科院的网站，但已经被黑”的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位，其网站被黑引起了社会的广泛关注，据称也引起了国家信息的注意。这是2005年国内第一次有影响的黑客事件。紧接着，2月20日，通港网络(中国电信)、北京电信发展总公司、北京移动、北京寻呼、中国地图出版社、华建集团等40余家网站被黑，其大面积的攻击让国内网站再一次感受到了黑客的力量。

尽管黑客在二月大出风头，但是本月被警方抓获的两名黑客却让我们看到了一些黑客的真面目。26日，厦门与昆明警方合力逮住一电脑黑客，嫌疑人林其灿承认其在厦门某银行实习期间，利用其工作用的电脑登录并采取黑客手段攻击中国电子商务信息网的事实；27日，江西警方抓获修改湖口之窗主页的黑客，发现黑客竟是一个中学生。以上两个黑客都是学生，其中更有一个中学生，黑客真的那么厉害吗？网站管理员们应该问问自己。

国外网络法律方面，我们隐约看到了各国对黑客事件的力度和决心。 21岁的英国网络工程师阿什赫斯特因非法侵入阿拉伯联合酋长国国家电信公司的计算机系统而被起诉，并可能被判处6个月监禁或2725美元的罚款；同月，为了专门对付网络黑客，阿联酋首都阿布扎比警方专门培训出了首批网络特警。饱受非议的的《2000年恐怖主义法令》19日在英国正式生效，其最大的亮点是将黑客列入恐怖分子的名单。

除了以上影响较大的“严肃”黑客事件以外，我们在二月还可以看到很多有趣的“黑客事件”。传闻黑客可以修改网上四六级全国英语考试成绩让校园里的学子大掉眼镜；聂棋圣在网上下棋时被赶下座位并自动认输让人对黑客无奈的同时也会心一笑。
计算机病毒的分类
从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统 计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4 -6种/月的速度递增。不过，孙悟空再厉害，也 逃不过如来佛的手掌心，病毒再多，也逃不出下列种类。病毒分类是为了更好地了解它们。 按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。

1．按照计算机病毒攻击的系统分类
（1）攻击DOS系统的病毒。这类病毒出现最早、最多，变种也最多，目前我国出现的计算机病毒基本上都是这类病 毒，此类病毒占病毒总数的99％。
（2）攻击Windows系统的病毒。由于Windows的图形用户界面（GUI）和多任务操作系统深受用户的欢迎， Windows 正逐渐取代DOS，从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
（3）攻击UNIX系统的病毒。当前，UNIX系统应用非常广泛，并且许多大型的操作系统均采用 UNIX作为其主要的操 作系统，所以UNIX病毒的出现，对人类的信息处理也是一个严重的威胁。
（4）攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒，它虽然简单，但也是一个不祥之兆。

2．按照病毒的攻击机型分类
（1）攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
（2）攻击小型机的计算机病毒。小型机的应用范围是极为广泛的，它既可以作为网络的一个节点机， 也可以作为 小的计算机网络的主机。起初，人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰，但 自1988年11月份Internet网络受到worm程序的攻击后，使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
（3）攻击工作站的计算机病毒。近几年，计算机工作站有了较大的进展，并且应用范围也有了较大的发展， 所以 我们不难想象，攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。

3．按照计算机病毒的链结方式分类 由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击，计算机病毒所攻击的对象是计算机系统可执 行的部分。
（1）源码型病毒 该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的 一部分。
（2）嵌入型病毒 这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病 毒是难以编写的）一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将 给当前的反病毒技术带来严峻的挑战。
（3）外壳型病毒 外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现， 一般测试文件的大小即可知。
（4）操作系统型病毒 这种病毒用它自己的程序意图加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。 圆点病毒和大麻病毒就是典型的操作系统型病毒。 这种病毒在运行时，用自己的逻辑部分取代操作系统的合法程序模块，根据病毒自身的特点和被替代的操作系统中 合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

4。按照计算机病毒的破坏情况分类 按照计算机病毒的破坏情况可分两类：
（1）良性计算机病毒 良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行 扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然，认为这只是 恶作剧，没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后，会导致整个系统运行效率降低， 系统可用内存总数减少，使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权， 时时导致整个系统 死锁，给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象，一个文件不停地反复被几种病毒所感染。 例如原来只有10KB的文件变成约90KB，就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间，而 且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
（2）恶性计算机病毒 恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。 这类病毒是很多的，如米开朗基罗病毒。当米氏病毒发作时，硬盘的前17个扇区将被彻底破坏，使整个硬盘上的数据无 法被恢复，造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的，这 是其本性之一。因此这类恶性病毒是很危险的，应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识 别出计算机病毒的存在与否，或至少发出警报提醒用户注意。

5．按照计算机病毒的寄生部位或传染对象分类 传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，也即根据计算机病毒传染方式进行分类，有以下 几种：
（1）磁盘引导区传染的计算机病毒 磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其 他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权， 其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息，如果对磁盘上被移走的正常引导记录不进行保护， 则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多，例如，“大麻”和“小球”病毒就是这类病 毒。
（2）操作系统传染的计算机病毒 操作系统是一个计算机系统得以运行的支持环境，它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传 染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常，这类病毒作为操作系统的一部 分，只要计算机开始工作，病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能 性与传染性提供了方便。操作系统传染的病毒目前已广泛存在，“黑色星期五”即为此类病毒。
（3）可执行程序传染的计算机病毒 可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将 自身驻留内存，然后设置触发条件，进行传染。 对于以上三种病毒的分类，实际上可以归纳为两大类：一类是引导扇区型传染的计算机病毒；另一类是可执行文件 型传染的计算机病毒。

6．按照计算机病毒激活的时间分类 按照计算机病毒激活的时间可分为定时的和随机的。 定时病毒仅在某一特定时间才发作，而随机病毒一般不是由时钟来激活的。

7．按照传播媒介分类 按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。
（1）单机病毒 单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。
（2）网络病毒 网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。

8．按照寄生方式和传染途径分类 人们习惯将计算机病毒按寄生方式和传染途径来分类。
计算机病毒按其寄生方式大致可分为两类，一是引导型病毒， 二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写（即一般所说的“感染”）磁盘上的引导扇区（BOOT SECTOR）的内容， 软盘或硬盘都有可能 感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。
引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。 引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理地址为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序被执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒己隐藏在系统中伺机 传染、发作。
有的病毒会潜伏一段时间， 等到它所设置的日期时才发作。 有的则会在发作时在屏幕上显示一些带有“宣示”或 “警告”意味的信息。这些信息不外是叫您不要非法拷贝软件，不然就是显示特定的图形，再不然就是放一段音乐给您听……。病毒发作后，不是摧毁分区表，导致无法启动，就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠，不会破坏硬盘数据，只是搞些“声光效果”让您虚惊一场。 引导型病毒几乎清一色都会常驻在内存中，差别只在于内存中的位置。（所谓“常驻”，是指应用程序把要执行的 部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻，以提高效率）。
引导型病毒按其寄生对象的不同又可分为两类，即MBR（主引导区）病毒， BR（引导区）病毒。 MBR病毒也称 为分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻（Stoned）、2 708等。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区（即0面0道第1个扇区）。典型的病毒有Brain、 小球 病毒等。
顾名思义，文件型病毒主要以感染文件扩展名为 .COM、.EXE和，OVL等可执行程序为主。它的安装必须借助于病毒 的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无 法执行。有些文件遭感染后，一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头 或结尾处。这会造成已感染病毒文件的长度变长，但用户不一定能用DIR命令列出其感染病毒前的长度。 也有部分病毒 是直接改写“受害文件”的程序码，因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后，病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒，会在每次进行感染的时候，针对其新宿主的状况而编写新的病毒码，然后才进行感染，因此，这种病毒没有固定的病毒码—以扫描病毒码的 方式来检测病毒的查毒软件，遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展，针对这种 病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的，若不进行汇编、链接则 无法传染扩散。嵌入型病毒是嵌入在程序的中间，它只能针对某个具体程序，如dBASE病毒。 这两类病毒受环境限制尚 不多见。目前流行的文件型病毒几乎都是外壳型病毒，这类病毒寄生在宿主程序的前面或后面，并修改程序的第一个执 行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。混合型病毒综合系统型和文件型病毒的特性，它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透 过这两种方式来感染，更增加了病毒的传染性以及存活率。不管以哪种方式传染，只要中毒就会经开机或执行程序而感 染其他的磁盘或文件，此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲，破坏性较大，但为数较少，直到90年代中期，文件型病毒还是最流行的病毒。但 近几年情形有所变化，宏病毒后来居上，据美国国家计算机安全协会统计，这位“后起之秀”已占目前全部病毒数量的 80％以上。另外，宏病毒还可衍生出各种变形变种病毒，这种“父生子子生孙”的传播方式实在让许多系统防不胜防， 这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及，病毒家族又出现一种新成员， 这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移 到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户 打开了感染病毒的文档，宏病毒又会转移到他的计算机上。
( 摘自陈立新《计算机病毒防治百事通》清华大学出版社)

cnsir 2005-12-04 02:18
计算机病毒的生命周期
计算机病毒的产生过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。计算机病毒拥有一个生命周期，从生成开 始到完全根除结束。下面我们描述病毒生命周期的各个时期。
开发期：在几年前，制造一个病毒需要计算机编程语言的知识。但是今天有一点计算机编程知识的人都可以制造一个病毒。通常计算机病毒是一些误人歧途的、试图传播计算机病毒和破坏计算机的个人或组织制造的。
传染期：在一个病毒制造出来后，病毒的编写者将其拷贝并确认其已被传播出去。通常的办法是感染一个流行的程序， 再将其放入BBS站点上、校园和其他大型组织当中分发其复制物。
潜伏期：病毒是自然地复制的。一个设计良好的病毒可以在它活化前长时期里被复制。这就给了它充裕的传播时间。这时病毒的危害在于暗中占据存储空间。
发作期：带有破坏机制的病毒会在遇至（某一特定条件时发作，一旦遇上某种条件，比如某个日期或出现了用户采取的某特定行为，病毒就被活化了。没有感染程序的病毒属于没有活化，这时病毒的危害在于暗中占据存储空间。
发现期：这一段并非总是这样做，但通常如此。当一个病毒被检测到并被隔离出来后，它被送到计算机安全协会或反病毒厂家，在那里病毒被通报和描述给反病毒研究工作者。通常发现病毒是在病毒成为计算机社会的灾难之前完成的。
消化期：在这一阶段，反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。这段时间的长短取决于开发人员的素质和病毒的类型。
消亡期：若是所有用户安装了最新版的杀毒软件，那么任何病毒都将被扫除。这样没有什么病毒可以广泛地传播，但有一些病毒在消失之前有一个很长的消亡期。至今，还没有哪种病毒已经完全消失，但是某些病毒已经在很长时间里不再是一个重要的威胁了。

来自罗马尼亚的黑客组织Pentaguard在1月22日同时袭击了英国、澳大利亚和美国三个国家的政府网站，自称是“向政府和军队网站发起的规模最大的一次袭击。”这一次攻击为2005年黑客事件拉开了序幕，其强大的国际性，似乎预示着2005年黑客事件的不平凡。2月8日，中央企业工作委员会直属的高新技术企业集团武汉邮电科学研究研被黑，首页页头被加上“这里是信息产业部邮科院的网站，但已经被黑”的字样。由于武汉邮电科学研究院在我国光纤研究领域和在武汉市的地位，其网站被黑引起了社会的广泛关注，据称也引起了国家信息的注意。这是2005年国内第一次有影响的黑客事件。紧接着，2月20日，通港网络(中国电信)、北京电信发展总公司、北京移动、北京寻呼、中国地图出版社、华建集团等40余家网站被黑，其大面积的攻击让国内网站再一次感受到了黑客的力量。

尽管黑客在二月大出风头，但是本月被警方抓获的两名黑客却让我们看到了一些黑客的真面目。26日，厦门与昆明警方合力逮住一电脑黑客，嫌疑人林其灿承认其在厦门某银行实习期间，利用其工作用的电脑登录并采取黑客手段攻击中国电子商务信息网的事实；27日，江西警方抓获修改湖口之窗主页的黑客，发现黑客竟是一个中学生。以上两个黑客都是学生，其中更有一个中学生，黑客真的那么厉害吗？网站管理员们应该问问自己。

国外网络法律方面，我们隐约看到了各国对黑客事件的力度和决心。 21岁的英国网络工程师阿什赫斯特因非法侵入阿拉伯联合酋长国国家电信公司的计算机系统而被起诉，并可能被判处6个月监禁或2725美元的罚款；同月，为了专门对付网络黑客，阿联酋首都阿布扎比警方专门培训出了首批网络特警。饱受非议的的《2000年恐怖主义法令》19日在英国正式生效，其最大的亮点是将黑客列入恐怖分子的名单。

除了以上影响较大的“严肃”黑客事件以外，我们在二月还可以看到很多有趣的“黑客事件”。传闻黑客可以修改网上四六级全国英语考试成绩让校园里的学子大掉眼镜；聂棋圣在网上下棋时被赶下座位并自动认输让人对黑客无奈的同时也会心一笑。

1月 VBS.TQLL.A@mm 该病毒是一个VBS病毒，主要通过邮件进行传播，邮件的内容如下：邮件主题:“ New Year !” ；消息主体:“ Wow Happy New Year !” ；附件名称: “Happynewyear.txt.vbs”。 随机 一旦执行了附件happynewyear.txt.vbs则将导致恶意程序的产生-—3k.exe，该程序会被安装到Windows目录中并自动执行，它是一个恶意木马程序。
2月 库尔尼科娃 该病毒别名为VBS_Kalamar或Onthefly.A，是又一个用VB Script编写的病毒，通过邮件或网络进行广泛传播。 随机 一旦用户打开附件，出现一种能够通过Outlook 进行大肆传播的病毒。由于该病毒通过Outlook产生并发送大量电子邮件，很快将导致网络超负荷，严重将导致服务器瘫痪。此外，每年当系统日期为1月26日时，病毒还将自行启动浏览器连接到站点www.dynabyte.nl。
3月 马吉斯 马吉斯(W32.Margistr.B)病毒是目前见到的用汇编语言写的最庞大而复杂的病毒，约30KB，病毒内包含两个变形引擎，并利用了很多反跟踪技巧。 随机 病毒感染后，首先，它能够禁止使用鼠标访问桌面上的图标；其次，当鼠标指针移到一个图标时，图标将移离。当病毒感染计算机一个月之后，在Windows 9x系统下，病毒会利用类似于CIH的方式进入系统，利用直接端口操作删除CMOS、Flash和硬盘数据，烧毁可擦写式BIOS；在Windows NT/2000操作系统下，它会用“YOUARESHIT”字符串覆盖所有本地和网络驱动器上的磁盘文件。
Win32.Winux 截至目前，它是首例跨平台的病毒，可以在Windows系统和Linux系统下正常工作，虽然此病毒没有发作部分，但其已经成功展示了在不同系统平台下运行的新技术，因此对于今后的病毒发展来说，可算是起到一个推波助澜的作用。 随机
4月 CIH 该病毒包含两个破坏模块，每个都可以在4月26日被触发。一旦被触发，病毒将企图用一些随机数据覆盖系统硬盘，并且使数据恢复相当困难。它同时试图通过垃圾数据存储到快闪BIOS中来对系统进行永久性破坏。 4月26日
5月 Funlove 它主要感染本地及网络中的PE-EXE文件，由于在局域网内，服务器或其他某些机器必须长期保持开机状态，一旦被“Funlove”感染，电脑便长期处于带毒运行状态，始终无法彻底清除。 随机 当Funlove侵入网络管理员所在的电脑后，将导致通过这台被感染的电脑前来访问的所有用户拥有与网络管理员同样的权限，从而使任何人都可以随意删改整个系统的安全设置，危及整个局域网内的信息资料安全。
爱虫 病毒通常以主题为“ILOVEYOU”的邮件传播。当用户运行附件时病毒将发作，同时修改注册值项以便每当系统启动时蠕虫能自动运行。 随机 此病毒会搜索所有与该机器连接的驱动器并用病毒代码副本替换JPG与JPEG文件，然后在原文件名后增加扩展名VBS；同样，蠕虫还会用病毒代码覆盖VBS、VBE、SCT、JS等等文件，并将文件名改为*.vbs。
6月 世界小姐 世界小姐蠕虫病毒（W32.MsWorld@mm）是一个乱发邮件的VBS蠕虫，它装作Macromedia Flash电影文件来隐藏它恶意攻击的目的。 随机
7月 欢乐时光 欢乐时光(Happy Time)属于蠕虫病毒，通过电子邮件传播，但不是作为邮件附件，而是作为邮件内容。每当计算机系统的月份和日期相加之和为13时，欢乐时光病毒将大规模爆发并进行破坏，逐步删除硬盘中的EXE和DLL文件，最后导致系统瘫痪。 随机 当计算机系统的月份与日期之和为13，病毒将删除从 C 盘找到的EXE 或DLL 文件，将其替换为病毒代码。此外，病毒还将修改桌面墙纸设置，修改后的文件中都带有病毒代码。
CAM先生 CAM先生（W32.Sircam.Worm@mm）病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。 10月16日 一旦打开带毒附件，病毒将随意选择用户机器硬盘内的文件作为附件并向外发送，导致机器内重要文件对外公开；同时病毒发作时将自动删除C盘所有文件，并在每一次系统启动时自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。
8月 红色代码 红色代码（CodeRed）蠕虫病毒利用了一个缓冲区溢出漏洞进行传播（未加限制的Index Server ISAPI Extension缓冲区使Web服务器变得不安全）。蠕虫只存在于内存中，并不向硬盘中拷文件。 随机 该病毒主要有如下特征：入侵IIS服务器，会将www英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”。“红色代码”驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其他的服务器。
9月 蓝色代码 蓝色代码（Worm.IIS.CodeBlue）程序为破坏性黑客程序，由远端客户端利用系统漏洞复制放在C盘根目录下，命名为svchost.exe。 随机 “蓝色代码”病毒感染Windows NT/2000系统服务器，即使没有安装IIS的服务器也同样感染，并植入名为SVCHost的程序运行，该病毒使得服务器被重复感染，最终导致系统运行缓慢，甚至瘫痪。
10月 尼姆达 尼姆达（W32.Nimda.A@mm）病毒可通过四种方式传播，即通过感染文件、乱发带毒邮件、网络蠕虫、局域网传播。 随机 该蠕虫通过邮件将自己以附件形式发送出去，然后感染所有运行微软IIS服务器软件的包含漏洞的Web服务器，并在网页上添加JavaScript，使人们浏览网页时，自动下载此蠕虫。
11月 求职信 求职信（I-worm.kiez）病毒邮件中含有英文“我必须找到一份工作来供养我的父母”信息，故将其命名为“求职信”病毒。该病毒主要感染Windows 95/98/Me/2000系统，如果感染的是Windows 2000系统，将试图让远程计算机自动运行该病毒。 随机，特别关注奇数月13日 用户只需预览邮件正文其带毒附件便能自动执行，具有极强的传染能力。该病毒分为两部分，是病毒和蠕虫的混合体，主要感染系统可执行文件，定时搜索电脑中的所有文件，耗费大量系统资源，造成电脑运行缓慢直至瘫痪。遇到奇数月13日时病毒会自动发作，将所有系统文件加长一倍，重新写回硬盘，浪费大量硬盘空间。
尼姆达II 尼姆达II（Worm.Nimda.2）病毒是尼姆达病毒的变种，同样通过E-mail、共享网络资源、IIS服务器传播并感染本地文件。“尼姆达II”病毒对“尼姆达”本身缺陷进行了修缮，还修改了病毒内部标识以逃避反病毒软件的监测。 随机 “尼姆达II”病毒在C、D、E盘根目录下和IIS的Scripts目录下生成httpodbc.dll和cool.dll文件。Worm.Nimda.2病毒不但发送染毒邮件，还会感染可执行文件。
12月 ？？ 在圣诞节期间还会有病毒发作：Win32.Kriz.3862。病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序，在12月25日将被激活。

1月 VBS.TQLL.A@mm 该病毒是一个VBS病毒，主要通过邮件进行传播，邮件的内容如下：邮件主题:“ New Year !” ；消息主体:“ Wow Happy New Year !” ；附件名称: “Happynewyear.txt.vbs”。 随机 一旦执行了附件happynewyear.txt.vbs则将导致恶意程序的产生-—3k.exe，该程序会被安装到Windows目录中并自动执行，它是一个恶意木马程序。
2月 库尔尼科娃 该病毒别名为VBS_Kalamar或Onthefly.A，是又一个用VB Script编写的病毒，通过邮件或网络进行广泛传播。 随机 一旦用户打开附件，出现一种能够通过Outlook 进行大肆传播的病毒。由于该病毒通过Outlook产生并发送大量电子邮件，很快将导致网络超负荷，严重将导致服务器瘫痪。此外，每年当系统日期为1月26日时，病毒还将自行启动浏览器连接到站点www.dynabyte.nl。
3月 马吉斯 马吉斯(W32.Margistr.B)病毒是目前见到的用汇编语言写的最庞大而复杂的病毒，约30KB，病毒内包含两个变形引擎，并利用了很多反跟踪技巧。 随机 病毒感染后，首先，它能够禁止使用鼠标访问桌面上的图标；其次，当鼠标指针移到一个图标时，图标将移离。当病毒感染计算机一个月之后，在Windows 9x系统下，病毒会利用类似于CIH的方式进入系统，利用直接端口操作删除CMOS、Flash和硬盘数据，烧毁可擦写式BIOS；在Windows NT/2000操作系统下，它会用“YOUARESHIT”字符串覆盖所有本地和网络驱动器上的磁盘文件。
Win32.Winux 截至目前，它是首例跨平台的病毒，可以在Windows系统和Linux系统下正常工作，虽然此病毒没有发作部分，但其已经成功展示了在不同系统平台下运行的新技术，因此对于今后的病毒发展来说，可算是起到一个推波助澜的作用。 随机
4月 CIH 该病毒包含两个破坏模块，每个都可以在4月26日被触发。一旦被触发，病毒将企图用一些随机数据覆盖系统硬盘，并且使数据恢复相当困难。它同时试图通过垃圾数据存储到快闪BIOS中来对系统进行永久性破坏。 4月26日
5月 Funlove 它主要感染本地及网络中的PE-EXE文件，由于在局域网内，服务器或其他某些机器必须长期保持开机状态，一旦被“Funlove”感染，电脑便长期处于带毒运行状态，始终无法彻底清除。 随机 当Funlove侵入网络管理员所在的电脑后，将导致通过这台被感染的电脑前来访问的所有用户拥有与网络管理员同样的权限，从而使任何人都可以随意删改整个系统的安全设置，危及整个局域网内的信息资料安全。
爱虫 病毒通常以主题为“ILOVEYOU”的邮件传播。当用户运行附件时病毒将发作，同时修改注册值项以便每当系统启动时蠕虫能自动运行。 随机 此病毒会搜索所有与该机器连接的驱动器并用病毒代码副本替换JPG与JPEG文件，然后在原文件名后增加扩展名VBS；同样，蠕虫还会用病毒代码覆盖VBS、VBE、SCT、JS等等文件，并将文件名改为*.vbs。
6月 世界小姐 世界小姐蠕虫病毒（W32.MsWorld@mm）是一个乱发邮件的VBS蠕虫，它装作Macromedia Flash电影文件来隐藏它恶意攻击的目的。 随机
7月 欢乐时光 欢乐时光(Happy Time)属于蠕虫病毒，通过电子邮件传播，但不是作为邮件附件，而是作为邮件内容。每当计算机系统的月份和日期相加之和为13时，欢乐时光病毒将大规模爆发并进行破坏，逐步删除硬盘中的EXE和DLL文件，最后导致系统瘫痪。 随机 当计算机系统的月份与日期之和为13，病毒将删除从 C 盘找到的EXE 或DLL 文件，将其替换为病毒代码。此外，病毒还将修改桌面墙纸设置，修改后的文件中都带有病毒代码。
CAM先生 CAM先生（W32.Sircam.Worm@mm）病毒是一种首发于英国的恶性网络蠕虫病毒，具有较高的危害程度，主要通过电子邮件附件进行传播。 10月16日 一旦打开带毒附件，病毒将随意选择用户机器硬盘内的文件作为附件并向外发送，导致机器内重要文件对外公开；同时病毒发作时将自动删除C盘所有文件，并在每一次系统启动时自动在硬盘中写入垃圾文件，直至吞噬硬盘所有可用空间，导致系统无法工作。
8月 红色代码 红色代码（CodeRed）蠕虫病毒利用了一个缓冲区溢出漏洞进行传播（未加限制的Index Server ISAPI Extension缓冲区使Web服务器变得不安全）。蠕虫只存在于内存中，并不向硬盘中拷文件。 随机 该病毒主要有如下特征：入侵IIS服务器，会将www英文站点改写为“Hello! Welcome to www.Worm.com! Hacked by Chinese!”。“红色代码”驻留在被攻击服务器的内存中，并借助这个服务器的网络连接攻击其他的服务器。
9月 蓝色代码 蓝色代码（Worm.IIS.CodeBlue）程序为破坏性黑客程序，由远端客户端利用系统漏洞复制放在C盘根目录下，命名为svchost.exe。 随机 “蓝色代码”病毒感染Windows NT/2000系统服务器，即使没有安装IIS的服务器也同样感染，并植入名为SVCHost的程序运行，该病毒使得服务器被重复感染，最终导致系统运行缓慢，甚至瘫痪。
10月 尼姆达 尼姆达（W32.Nimda.A@mm）病毒可通过四种方式传播，即通过感染文件、乱发带毒邮件、网络蠕虫、局域网传播。 随机 该蠕虫通过邮件将自己以附件形式发送出去，然后感染所有运行微软IIS服务器软件的包含漏洞的Web服务器，并在网页上添加JavaScript，使人们浏览网页时，自动下载此蠕虫。
11月 求职信 求职信（I-worm.kiez）病毒邮件中含有英文“我必须找到一份工作来供养我的父母”信息，故将其命名为“求职信”病毒。该病毒主要感染Windows 95/98/Me/2000系统，如果感染的是Windows 2000系统，将试图让远程计算机自动运行该病毒。 随机，特别关注奇数月13日 用户只需预览邮件正文其带毒附件便能自动执行，具有极强的传染能力。该病毒分为两部分，是病毒和蠕虫的混合体，主要感染系统可执行文件，定时搜索电脑中的所有文件，耗费大量系统资源，造成电脑运行缓慢直至瘫痪。遇到奇数月13日时病毒会自动发作，将所有系统文件加长一倍，重新写回硬盘，浪费大量硬盘空间。
尼姆达II 尼姆达II（Worm.Nimda.2）病毒是尼姆达病毒的变种，同样通过E-mail、共享网络资源、IIS服务器传播并感染本地文件。“尼姆达II”病毒对“尼姆达”本身缺陷进行了修缮，还修改了病毒内部标识以逃避反病毒软件的监测。 随机 “尼姆达II”病毒在C、D、E盘根目录下和IIS的Scripts目录下生成httpodbc.dll和cool.dll文件。Worm.Nimda.2病毒不但发送染毒邮件，还会感染可执行文件。
12月 ？？ 在圣诞节期间还会有病毒发作：Win32.Kriz.3862。病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序，在12月25日将被激活。