(这条文章已经被阅读了 167 次) 时间:2000-05-21 15:02:34 来源:海德 (heide) 原创-IT
无需神话——评爱虫病毒事件
看完看完中国代码联盟黄冬和李文武发表在新浪科技时代>软件>系统工具>病毒防治“爱虫(I Loveyou)”病毒代码解析和杀毒方法”(http://tech.sina.edu.cn/soft/2000-05-19/321.html)一文后,才对最近被媒体炒得沸沸扬扬的“爱虫”病毒是怎么回事了:
——————————————————————————–
它就是调用了WScript.Shell这个COM组件来操作注册表,调用Outlook.Application对像来操作Outlook(由于Outlook Express在最近的几个版本中已经越来越像Outlook了,所以对一些版本它也会影响到Outlook Express)。调用了MAPI组件来得到地址和发送邮件,在Outlook Express 4.0之后也提供了MAPI组件,所以无论你是安装了Outlook或是Outlook Express都会被调用来发出大量的邮件。如果你是一名熟悉哪简单的VBA(Visual Basic Application用于 Word的宏脚本),哪么这段小程序就一眼看懂了。所以,这么想想,这爱大家的病毒原来也与 Word/Office宏病毒差不多哟。
——————————————————————————–
基本上这是个蠕虫病毒,假设每个人的outlook地址簿有10个email账号,那么在100个人感染该病毒以后,就会在不知不觉中产生10的100次方,也就是1万亿封邮件。假设每封邮件1k大小,那么这时候网络上将会凭空产生至少1000G的数据流,这就是前几天爱虫爆发后网上邮件服务器变慢的原因。
但是爱虫比美丽杀更恶劣的是它为了隐藏自身还破坏文件:
——————————————————————————–
listadriv() ‘扫描整个磁盘,将后缀为.vbs, ..vbe的文件换成自身,将后缀为 .js, .jse, .css, .wsh, .sct, .hta, 的文件改后缀为vbs并写入自身,同时删除原有文件,将后缀为.jpg,.jpeg的在文件名后加.vbs后,写入自身,将后缀为.mp3,mp2的文件名后加.vbs并写入自身,同时将文件属性改为隐藏文件
——————————————————————————–
这就比较招人痛恨了。试想它改的文件不是mp3,而是系统文件,那么很多人的机器不久死翘翘了么?不过heide今天声讨的不是病毒的作者,而是媒体。
爱虫的300多行代码,稍微有一点vb脚本知识的菜鸟(像heide这样)就能看懂,如果熟练一点,在原来代码的基础上改几句,也不是什么难事。估计这几天新出现的几种变体,就是一些闲人手痒痒干的好事。但是,我们看了下面的新闻却感觉不是那么回事:
调查显示:新爱虫病毒尚未造成太大破坏
——————————————————————————–
http://www.sina.com.cn 2000/05/21 11:38 新浪科技
美安全专家警告:一种比“爱虫”更可怕的病毒正在蔓延
当地时间五月二十日,美安全专家称,一种新的、比“爱虫”破坏力更大的病毒正在开始蔓延,虽然目前它的传播速度和范围还不象“爱虫”病毒那样可怕,但其潜力却远比“爱虫”病毒大得多。
据美国著名的计算机安全公司Symantec公司(诺顿系列软件开发商)反病毒研究中心主任文森特-韦弗(VincentWeafer)表示,这种病毒的可怕之处在于,它会毁坏计算机上的所有文件,其破坏力与“爱虫”不可同日而语,该中心已接到了以色列、欧洲和美国大约十家公司遭受这种新型病毒侵袭的报告,目前该中心正在严密注视这种病毒的传播情况。
另有消息称,根据NetworkAssociates公司的最新调查,到目前为止,这种新的病毒尚未造成太大的破坏,这主要是因为“爱虫”病毒的传播使人们提高了防范病毒的意识,并采取了相应的保护措施。该公司表示,有鉴于此,他们相信这种新的病毒不会大肆作怪。
美国联邦调查局下设的国家基础设施保护中心也对此病毒发出了警示性公告,并将其病毒代号标记为“NewLove.VBS”,意即“新爱虫”病毒。该中心目前已开始对这一新病毒展开调查。由于这种病毒与“爱虫”类似,也通过电子邮件传播,因此该中心提醒用户千万不用随意打开你并不知晓的电子邮件的附件。该中心同时提醒说,这种“新爱虫”非常具有欺骗性,它它能够对自身进行修改,并以不同的面目出现在用户的邮箱里,以此逃避病毒扫描软件的监察。
根据美国计算机协会(ComputerAssociates)发布的消息称,这种新型病毒不仅破坏和覆盖用户计算机上原有的文件,而且还会将存储在计算机中的数据、程序甚至操作系统软件统统破坏掉,因此它是一种极为可怕的病毒。该协会称,这种病毒与此前发作的“新爱虫”病毒并无关联。
TrendMicro反病毒公司表示,他们在以色列的办事处发现了这种病毒,但该公司拒绝承认他们认为这种病毒起源于以色列的说法。(王羽中)
——————————————————————————–
连诺顿这样的专业杀毒公司都变得跟蒙古大夫似的,把爱虫吹的神乎其神,就让人觉得不是味了。“但愿人家常无病,哪怕架上药生虫”,我们并不要求杀病毒的公司这么高风亮节,但这么渲染爱虫的高明,除了让heide这样的菜鸟也怀疑你们的水平外,还不免想用小人之心度君子之腹:莫非这是一出双簧?