文章总结： VirusTotal创始人贝尔纳多·金特罗经过33年调查，最终确认1992年马拉加病毒作者是已故程序员安东尼奥·恩里克·阿斯托加（昵称Kike）。通过分析病毒代码中的KI签名和后续变种中的KIKESOYYO签名，以及社区帮助和与作者儿子会面，金特罗解开了这个历史谜团，而这个学生时代的病毒作品无意中激发了他的网络安全职业生涯。 综合评分： 85 文章分类： 恶意软件,漏洞分析,安全大事件,娱乐吃瓜,其他

传奇黑客 ｜ 马拉加病毒作者之谜

天御攻防实验室

2025年12月21日 11:59 广东

传奇黑客，VirusTotal（VT）创始人贝尔纳多·金特罗历经33年调查，最终揭开1992年马拉加病毒作者之谜：已故程序员安东尼奥·恩里克·阿斯托加（家人昵称Kike），其学生时代作品无意中激发了金特罗的网络安全职业生涯，并通过与作者儿子会面闭合了这一历史循环。

以下为正文：

33年前，在马拉加理工大学的实验室中，一个2610字节的病毒让个人电脑陷入混乱。我的老师（阿道夫·西德）挑战我清理它，以换取大学第一年成绩的提升。我接受了挑战。而我当时并不知晓，这一挑战已成为通往VirusTotal之路以及将谷歌引入马拉加的首批奠基石之一。

谜团、社区号召……以及缺失的那一块

几天前，我在LinkedIn上发布了一则“寻人启事”，向任何在上世纪90年代初在马拉加就读的人寻求帮助。我寻求的是怀旧、人才，向其作者致谢（感谢他带给我的挑战以及对我职业生涯的推动），更重要的是，闭合这个循环。

媒体也报道了这一故事，帮助它传播到更多人（感谢《马拉加今日报》、《马拉加舆论报》和Xataka）。反响极为热烈。衷心感谢整个社区。

在收到各种评论、推测和名字的同时，我利用假期再次深入代码。我直觉认为，一定有作者的某种迹象被我忽略了——当时我18岁，创建反病毒程序时，主要专注于理解感染机制以便检测和消毒，几乎仅此而已。此次，我逐指令、逐字节地检查，寻找线索。

18岁时未察觉的有效载荷

我发现病毒内部隐藏着一些字符串，当时作为青少年的我完全忽略了它们。表面上看，它们像是无意义的字符。但当满足条件——1992年或之后，且任意月份的1日——时，会激活一个例程，读取这些字节，减去100，并显示在屏幕上。结果：两行反对ETA的讯息。

这就是有效载荷。病毒的“效果”。

我意识到，这一细节将有助于验证陆续传来的所谓作者故事。真正的作者必须确切知道病毒显示的内容以及隐藏方式。

“KI”：两个注视着你的字节

但决定性线索更为微妙，且从一开始就存在：两个字节，4B 49（ASCII中的“KI”）。它们并非任何指令。置于病毒代码中，正好位于感染磁盘引导扇区的镜像段之前。无疑是一种签名。

马拉加病毒.2610的十六进制转储片段

KI代表什么？首字母？随意标记？起初，我想到各种可能：例如“卡洛斯·伊格莱西亚斯”。但组合太多。尽管如此，我的直觉坚持：这与作者相关。就像一个对真正用心查看的人的眨眼致意。

在整个调查过程中，我回忆起一件事：三年前，我首次尝试解开谜团时，何塞·路易斯·兰多·卡尔沃给我写信。他也曾在理工大学就读，也为“那個”病毒创建过反病毒程序。他从一个5¼英寸软盘中恢复了笔记和汇编反病毒程序，并发给了我。

我承认：看到那段汇编代码时，我想：“做这种事的人不多……会不会就是他？”但他否认了。而且我看到了自己的影子：我那时也因对病毒了解过多而被怀疑。

这里出现了技术转折：阅读他的反病毒程序后，我明白……我们讨论的并非完全相同的病毒。兰多处理的是后续变种，一年后出现的。

我在VirusTotal中搜索（拥有业内最大恶意软件数据库的优势），找到了它：Panda命名为“Málaga II”的变种。更小（2385字节）。显然是对原版的优化/迭代。于是我下载了该样本，重复深度分析过程。

然后……“KIKESOYYO”

“Málaga II”有所改进。有效载荷不再仅在1日触发：每月15日也会激活。

但让我兴奋的是到达签名区域。原本“KI”的地方，现在更为明确： “KIKESOYYO”

肾上腺素飙升。因为这不再像是巧合。不再像是随意首字母。这听起来像是有人在说：“我在这里”。

突然，我的搜索有了名字：Kike。在我脑海中，我已将他想象成理工大学走廊中的另一位学生，可能高我几个年级，汇编时间多于睡眠时间。

五位嫌疑人被排除……以及一则私信改变了这一切

在我沉浸于汇编时，名字陆续传来。很多。我逐一排除，因为细节不符。

直到阿道夫·阿里萨·鲁兹通过LinkedIn私信给我。他说他认识作者：他们在1989至1995年间是理工大学的同学和朋友，他亲眼见证了创作过程：

“他是一位杰出的程序员，尤其精通汇编……他会告诉我进展和版本迭代。”

这与我代码中看到的相符。但接下来他透露了一个让我震惊的细节：

“他从未意图作恶，仅为显示那些反对ETA的讯息并挑战自己作为程序员。”

我顿时明白：这个人知道真实情况。因为我从未公开过这一细节。

然后他给了我名字：安东尼奥·阿斯托加。而且，一个悲伤的消息：他已去世。

如冷水浇头。因为在我脑海中，这与“KIKE”仍不匹配。而且我已无法向他提问。

尽管如此，这是33年来最佳线索。于是我做了唯一擅长的事：继续拉扯线索。

不可能的巧合：他在我家乡工作

我搜索后发现一个让我疯狂的事实：安东尼奥·阿斯托加曾在托雷德尔马尔的I.E.S. Miraya del Mar担任信息技术教师，距我家仅4公里。他去世后，学校以他的名字命名了信息技术教室。

这一巧合让我彻底崩溃：不久前，我的学校Zona Sur也以我的名字命名了一个信息技术教室。

太多“近距离”元素。太多对称。

我找到了他妹妹的联系方式，通过WhatsApp冷联系，发了一段简短总结故事的文字。几小时后她回复：既不确认也不否认，但说晚上20:30后我们可以电话交谈。

时间到了。她想了解更多。她警告说自己不懂信息技术。我解释了背景、那段代码对我意味着什么，以及我仅想感谢作者无意中对我的生活影响。

大约15分钟后，我带着疑虑，几乎羞怯地问：

“Kike”这个名字对你哥哥安东尼奥有何意义？

然后来了剧情反转：

“当然……他总是用第一个名字。但实际上是复合名：安东尼奥·恩里克。只有家人叫他KIKE。”

沉默。兴奋。鸡皮疙瘩。

闭合循环……与他儿子交谈

他妹妹告诉我，家庭闲聊中她隐约记得病毒故事，但从未重视。而且她还说：他的一个儿子刚刚完成信息技术专业（像他父亲），或许能告诉我更多。她给了我联系方式。

昨晚23:18，我与塞尔吉奥·阿斯托加·塞戈维亚通话。这是一段奇妙而美好的对话：我向他解释，他父亲的一个大学实验，无人知晓，却成为我职业起点的一部分。他惊讶而自豪，试图拼凑一个仅听闻的故事。

他记得小时候父亲提过，但无细节。仅仅几年后，癌症夺走了他。

今天上午，我们亲自见面。得以从容交谈。我更深入了解了KIKE：一位值得被认可为马拉加网络安全先驱的杰出同行。他无意识中，帮助唤醒了我定义整个职业生涯的热情。

塞尔吉奥·阿斯托加在马拉加谷歌办公室

塞尔吉奥和我将继续见面。他刚刚在马拉加大学完成软件工程专业，同时通过联合国教育距离大学攻读数学。他对网络安全和量子计算感兴趣。我们一定会比想象中更多相遇。

他父亲学生时代留在代码中的那两个字节，已获得新维度。KIKE，无论你在何处：我找到了你的召唤，找到了你的签名，这不会白费。

感谢一切。

也感谢所有人与我共同推动这一故事。真心感谢。

来源：

https://www.linkedin.com/pulse/dos-bytes-un-autor-y-33-a%C3%B1os-la-historia-completa-del-quintero-ronfe

推荐阅读

闲谈

1. 中国网络安全行业出了什么问题？
2. 国内威胁情报行业的五大“悲哀”
3. 对威胁情报行业现状的反思
4. 安全产品的终局
5. 老板，安全不是成本部门！！！

威胁情报

1.威胁情报 – 最危险的网络安全工作 2.威胁情报专栏 | 威胁情报这十年（前传） 3.网络威胁情报的未来 4.情报内生？| 利用威胁情报平台落地网空杀伤链的七种方法 5.威胁情报专栏 | 特别策划 – 网空杀伤链 6.以色列情报机构是如何远程引爆黎巴嫩传呼机的？ 7.对抗零日漏洞的十年（2014～2024） 8.零日漏洞市场现状（2024）

APT

1. XZ计划中的后门手法 – “NOBUS”
2. 十个常见的归因偏见（上）
3. 抓APT的一点故事
4. 揭秘三角行动（Operation Triangulation）一
5. 闲话APT报告生产与消费
6. 一名TAO黑客的网络安全之旅
7. NSA TAO负责人警告私营部门不要搞“黑回去”
8. 我们为什么没有抓到高端APT领导者的荷兰AIVD
9. 抓NSA特种木马的方法
10. 美中央情报局（CIA）网络情报中心

入侵分析与红队攻防

1. 入侵分析与痛苦金字塔
2. 资深红队专家谈EDR的工作原理与规避
3. TTP威胁情报驱动威胁狩猎

天御智库

1. 独家研判：五眼情报机构黑客纷纷浮出水面
2. 美军前出狩猎并不孤单，美国网络外交局优先事项分析
3. 《国际关系中的网络冲突》
4. 首发 | 特朗普政府对华网络政策评估

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：天御攻防实验室 《传奇黑客 ｜ 马拉加病毒作者之谜》