传奇黑客，VirusTotal（VT）创始人贝尔纳多·金特罗历经33年调查，最终揭开1992年马拉加病毒作者之谜：已故程序员安东尼奥·恩里克·阿斯托加（家人昵称Kike），其学生时代作品无意中激发了金特罗的网络安全职业生涯，并通过与作者儿子会面闭合了这一历史循环。

以下为正文：

33年前，在马拉加理工大学的实验室中，一个2610字节的病毒让个人电脑陷入混乱。我的老师（阿道夫·西德）挑战我清理它，以换取大学第一年成绩的提升。我接受了挑战。而我当时并不知晓，这一挑战已成为通往VirusTotal之路以及将谷歌引入马拉加的首批奠基石之一。

谜团、社区号召……以及缺失的那一块

几天前，我在LinkedIn上发布了一则“寻人启事”，向任何在上世纪90年代初在马拉加就读的人寻求帮助。我寻求的是怀旧、人才，向其作者致谢（感谢他带给我的挑战以及对我职业生涯的推动），更重要的是，闭合这个循环。

媒体也报道了这一故事，帮助它传播到更多人（感谢《马拉加今日报》、《马拉加舆论报》和Xataka）。反响极为热烈。衷心感谢整个社区。

在收到各种评论、推测和名字的同时，我利用假期再次深入代码。我直觉认为，一定有作者的某种迹象被我忽略了——当时我18岁，创建反病毒程序时，主要专注于理解感染机制以便检测和消毒，几乎仅此而已。此次，我逐指令、逐字节地检查，寻找线索。

18岁时未察觉的有效载荷

我发现病毒内部隐藏着一些字符串，当时作为青少年的我完全忽略了它们。表面上看，它们像是无意义的字符。但当满足条件——1992年或之后，且任意月份的1日——时，会激活一个例程，读取这些字节，减去100，并显示在屏幕上。结果：两行反对ETA的讯息。

这就是有效载荷。病毒的“效果”。

我意识到，这一细节将有助于验证陆续传来的所谓作者故事。真正的作者必须确切知道病毒显示的内容以及隐藏方式。

“KI”：两个注视着你的字节

但决定性线索更为微妙，且从一开始就存在：两个字节，4B 49（ASCII中的“KI”）。它们并非任何指令。置于病毒代码中，正好位于感染磁盘引导扇区的镜像段之前。无疑是一种签名。

马拉加病毒.2610的十六进制转储片段

KI代表什么？首字母？随意标记？起初，我想到各种可能：例如“卡洛斯·伊格莱西亚斯”。但组合太多。尽管如此，我的直觉坚持：这与作者相关。就像一个对真正用心查看的人的眨眼致意。

在整个调查过程中，我回忆起一件事：三年前，我首次尝试解开谜团时，何塞·路易斯·兰多·卡尔沃给我写信。他也曾在理工大学就读，也为“那個”病毒创建过反病毒程序。他从一个5¼英寸软盘中恢复了笔记和汇编反病毒程序，并发给了我。

我承认：看到那段汇编代码时，我想：“做这种事的人不多……会不会就是他？”但他否认了。而且我看到了自己的影子：我那时也因对病毒了解过多而被怀疑。

这里出现了技术转折：阅读他的反病毒程序后，我明白……我们讨论的并非完全相同的病毒。兰多处理的是后续变种，一年后出现的。

我在VirusTotal中搜索（拥有业内最大恶意软件数据库的优势），找到了它：Panda命名为“Málaga II”的变种。更小（2385字节）。显然是对原版的优化/迭代。于是我下载了该样本，重复深度分析过程。

然后……“KIKESOYYO”

“Málaga II”有所改进。有效载荷不再仅在1日触发：每月15日也会激活。

但让我兴奋的是到达签名区域。原本“KI”的地方，现在更为明确： “KIKESOYYO”

肾上腺素飙升。因为这不再像是巧合。不再像是随意首字母。这听起来像是有人在说：“我在这里”。

突然，我的搜索有了名字：Kike。在我脑海中，我已将他想象成理工大学走廊中的另一位学生，可能高我几个年级，汇编时间多于睡眠时间。

五位嫌疑人被排除……以及一则私信改变了这一切

在我沉浸于汇编时，名字陆续传来。很多。我逐一排除，因为细节不符。

直到阿道夫·阿里萨·鲁兹通过LinkedIn私信给我。他说他认识作者：他们在1989至1995年间是理工大学的同学和朋友，他亲眼见证了创作过程：

“他是一位杰出的程序员，尤其精通汇编……他会告诉我进展和版本迭代。”

这与我代码中看到的相符。但接下来他透露了一个让我震惊的细节：

“他从未意图作恶，仅为显示那些反对ETA的讯息并挑战自己作为程序员。”

我顿时明白：这个人知道真实情况。因为我从未公开过这一细节。

然后他给了我名字：安东尼奥·阿斯托加。而且，一个悲伤的消息：他已去世。

如冷水浇头。因为在我脑海中，这与“KIKE”仍不匹配。而且我已无法向他提问。

尽管如此，这是33年来最佳线索。于是我做了唯一擅长的事：继续拉扯线索。

不可能的巧合：他在我家乡工作

我搜索后发现一个让我疯狂的事实：安东尼奥·阿斯托加曾在托雷德尔马尔的I.E.S. Miraya del Mar担任信息技术教师，距我家仅4公里。他去世后，学校以他的名字命名了信息技术教室。

这一巧合让我彻底崩溃：不久前，我的学校Zona Sur也以我的名字命名了一个信息技术教室。

太多“近距离”元素。太多对称。

我找到了他妹妹的联系方式，通过WhatsApp冷联系，发了一段简短总结故事的文字。几小时后她回复：既不确认也不否认，但说晚上20:30后我们可以电话交谈。

时间到了。她想了解更多。她警告说自己不懂信息技术。我解释了背景、那段代码对我意味着什么，以及我仅想感谢作者无意中对我的生活影响。

大约15分钟后，我带着疑虑，几乎羞怯地问：

“Kike”这个名字对你哥哥安东尼奥有何意义？

然后来了剧情反转：

“当然……他总是用第一个名字。但实际上是复合名：安东尼奥·恩里克。只有家人叫他KIKE。”

沉默。兴奋。鸡皮疙瘩。

闭合循环……与他儿子交谈

他妹妹告诉我，家庭闲聊中她隐约记得病毒故事，但从未重视。而且她还说：他的一个儿子刚刚完成信息技术专业（像他父亲），或许能告诉我更多。她给了我联系方式。

昨晚23:18，我与塞尔吉奥·阿斯托加·塞戈维亚通话。这是一段奇妙而美好的对话：我向他解释，他父亲的一个大学实验，无人知晓，却成为我职业起点的一部分。他惊讶而自豪，试图拼凑一个仅听闻的故事。

他记得小时候父亲提过，但无细节。仅仅几年后，癌症夺走了他。

今天上午，我们亲自见面。得以从容交谈。我更深入了解了KIKE：一位值得被认可为马拉加网络安全先驱的杰出同行。他无意识中，帮助唤醒了我定义整个职业生涯的热情。

塞尔吉奥·阿斯托加在马拉加谷歌办公室

塞尔吉奥和我将继续见面。他刚刚在马拉加大学完成软件工程专业，同时通过联合国教育距离大学攻读数学。他对网络安全和量子计算感兴趣。我们一定会比想象中更多相遇。

他父亲学生时代留在代码中的那两个字节，已获得新维度。KIKE，无论你在何处：我找到了你的召唤，找到了你的签名，这不会白费。

感谢一切。

也感谢所有人与我共同推动这一故事。真心感谢。

来源：

https://www.linkedin.com/pulse/dos-bytes-un-autor-y-33-a%C3%B1os-la-historia-completa-del-quintero-ronfe