文章总结： 文章回顾了1991年出现的Tequila龙舌兰病毒，这是首个真正意义上的多态病毒。它通过变化引擎和随机加密改变代码特征，导致传统特征码杀毒软件失效。这一事件迫使反病毒行业从静态特征匹配转向启发式分析和虚拟机技术，开启了算法对抗时代，对网络安全防御产生了深远影响。 综合评分： 80 文章分类： 恶意软件,二进制安全,安全大事件,安全意识

【第五空间简史】第14节 第一个CERT的成立

原创

千里

东方隐侠安全团队

2025年12月23日 22:31 江苏

各位少侠幸会，我是千里。

1988年莫里斯蠕虫给互联网打了一记闷棍，让大家意识到联网有风险，1991年出现的Tequila（龙舌兰）病毒，更是直接把反病毒软件（AV）送进了一场长达三十年的“军备竞赛”泥潭。

在此之前，杀毒软件的工作逻辑非常简单，因为那时候的病毒大多是僵硬的代码块，像一张固定的通缉令。杀毒软件只需要在文件里搜索特征码，只要对上了，就像警察抓小偷一样，手到擒来。

但在1991年的瑞士，两个花名为“各自为政”和“疯狂狂人”的黑客兄弟，倒出了一杯让全世界安全专家都宿醉难醒的烈酒：Tequila。

这是人类历史上第一个真正意义上的多态病毒。从此，病毒不再死板，而变成了一个会随时整容、变声、甚至改变指纹的万花筒。

当病毒学会了“易容术”

01

1991年4月，欧洲的系统管理员们开始发现一些奇怪的现象。有些机器莫名其妙地变慢，重启后，屏幕上会突然蹦出一个粗糙的ASCII字符画，那是一个并不怎么好笑的笑话，落款写着：“龙舌兰，请喝一杯”。

当时人们还没意识到这杯“酒”有多辣。当第一批样本被送到反病毒实验室时，研究员们彻底懵了。

通常情况下，我们要查杀一个病毒，只需要提取它最核心的作恶的十六进制串。但Tequila邪门的地方在于：你从A机器上提取的病毒特征，放到B机器上竟然完全匹配不上。

这在当时的技术观里简直是“降维打击”。研究员们拆解了代码后才发现，这两个瑞士小伙子在病毒里塞了一个精巧的“变化引擎”。

每当Tequila感染一个新文件，它都会给自己穿上一层全新的、用随机密钥加密的“马甲”。它的头部（解密器）每次都会重写，逻辑顺序被打乱，填充了一些毫无意义的指令（垃圾指令）。

这意味着，尽管病毒的核心功能没变，但它的物理表现——也就是杀毒软件赖以生存的字节序列——每一次都是全新的。这就像你明明知道凶手就在屋子里，但他每进出一个房间就换一套衣服、改一次脸型。

那个让 AV 怀疑人生的引擎

02

Tequila的设计精巧得令人叹息，它采用的是全隐蔽式和多态的双重结合。它不仅会变脸，还会“骗人”。当你试图用系统工具查看被感染的扇区时，它会拦截你的请求，反手给你展示一个干净的、虚假的备份。

但真正改变历史的是它的加密算法。

在此之前，也有病毒会加密，但解密器（Decryptor）往往是固定的。杀毒软件只要盯着那段固定的解密器代码杀就行了。可Tequila厉害就在于：它的解密器本身也是多态的。

它利用了汇编语言中“殊途同归”的特性。比如，想要让寄存器加上1，你可以用 INC AX，也可以用ADD AX, 1，还可以用 SUB AX, -1 。Tequila内部自带了一个数学逻辑库，它能随机组合这些指令。

对于1991年的杀毒软件来说，这简直是降维打击。原本只需要几行代码就能搞定的特征库，现在必须写成复杂的、带有模糊逻辑的算法。这一年，反病毒行业被迫告别了简单的“查表时代”，正式进入了“算法对抗时代”。

被逼出来的“启发式分析”

03

Tequila的爆发，直接导致了反病毒技术的一次大清洗。

当时的杀毒软件鼻祖们，比如刚成立不久的赛门铁克（Symantec）和 McAfee，他们都意识到，如果继续死磕特征码，特征码库就算填满也无济于事，因为仍旧有新的特征码在生成。

于是，1991年成为了启发式扫描和虚拟机技术出现的关键一年。

• 启发式分析：不再找“通缉令”上的名单，而是开始观察行为。如果你看到一个人在大热天戴着墨镜、口罩，还鬼鬼祟祟地在银行门口掏钥匙，不管他长什么样，他大概率有问题。
• 虚拟机/模拟器：既然病毒会解密自己，那我们就先在内存里造一个沙箱，假装让病毒运行。等它自己脱掉马甲、露出真面目的那一刻，再一刀封喉。

这个思考逻辑至今仍是现代杀毒软件的底层逻辑。你现在电脑里装的防护软件，其核心防御思想，其实都是被30多年前这杯“龙舌兰”给逼出来的。

黑客的“黑色幽默”

04

我经常在想，1991年的那两个瑞士黑客写下Tequila时，到底在想什么？

那个时代的病毒作者，往往带着一种古怪的、近乎破坏性的幽默感。他们不为钱（那时候没有真正意义的勒索软件，也没有比特币），只为了证明自己比那些拿着高薪的杀毒软件专家更聪明。

Tequila病毒在感染成功后，偶尔会在屏幕上显示一句话：

“Welcome to Tequila’s world!”（欢迎来到龙舌兰的世界！）

这其实是对当时整个计算机工业界的一声嘲讽：你们以为你们掌控了系统，但其实我才是那个规则制定者。

由于Tequila是在瑞士这种中立国被制造出来的，当时的跨国执法难度极大，它也迅速通过软盘传遍了全球。

这杯酒，我们喝了三十年

05

回望1991年，Tequila病毒的出现，是网络安全史从静态防御向动态博弈转型的分水岭。它打破了安全是确定性的不切实际的幻想，让我们知道，这个世界，唯一不变的就是变化本身。

今天我们已经在谈论AI生成恶意软件、变体木马，但其实本质上都是Tequila的远房亲戚。当时那个瑞士小伙子播下的种子，如今已长成一片遮天蔽日的森林。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队 千里《【第五空间简史】第14节 第一个CERT的成立》