再论病毒（三）

----附录：99年流行病毒一览表

美丽杀手病毒

1999年3月26日国际计算机安全权威机构发布最新病毒公告, 发现了一种新型的名为“W97M/Melissa”的宏病毒, 该病毒传染Word97 和Word2000。并已通过电子邮件这一传染途径在全球迅速传播开来。Melissa病毒的具体表现症状是：当用户打开的文件传染有该病毒时，用户的Word 系统中所有打开的文件将被传染。此病毒从OutLook的全域地址表中获取成员地址信息, 将下列信息以电子邮件方式, 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。 邮件主题为: "Important Message From – "

正文为:"Here is that document you asked for ... don’t show anyone else ;-)".

之后病毒将已传染有该病毒的文件作为附件，附加到该信息后面发送出去。当机器系统的分钟值与当前的日期相同时，打开一个被传染的文件, 病毒将在当前的光标位置插入下列信息：

" Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."

HAPPY 99病毒

1999年3月 Happy99在网络上悄然出现，该病毒为蠕虫程序。通常该程序会以邮件的附件形式传递开来，或者从一些程序组中下载而来。当第一次执行Happy99染毒文件时，它会在屏幕显示一幅放礼花的图像；同时在WINDOWS的系统目录下建立文件：SKA.EXE 及SKA.DLL两个文件，此后修改WINDOWS下与网络通信功能相关的重要文件WSOCK32.DLL将Connect(连接）,Send（发送邮件）这两个函数的入口地址改为新的功能调用。当系统调用“Connect”或“Send”函数中的任意一个时，Happy99就会装载SKA.DLL然后以与用户要发送邮件相同的地址发送一份病毒自己的副本给该接收用户，以达到传播扩散目的。该邮件没有任何内容，只有一个附件：Happy99.exe 文件。

CIH病毒

CIH病毒是第一种能够破坏计算机系统硬件的恶性病毒。这个病毒于98年6月产自台湾，最早随国际两大盗版集团贩买的盗版光盘在欧美等地广泛传播，随后进一步通过Internet和电子邮件传播到全世界各个角落。CIH病毒只感染Windows 95/98操作系统。CIH病毒驻留内存，所有计算机内的32位可执行文件运行之后都会被CIH病毒感染。在执行被感染文件后，CIH病毒将其自身代码拆分为多个片段，然后将这些片段放到Windows文件尚未使用的磁盘空间里。

CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。权威病毒搜集网目前报导的CIH病毒，“原体”加“变种”一共有七种之多，CIH病毒“变种” 不但不增长受感染文件，同时还有很强的破坏性，这个病毒有3个主要变种（ CIHv1.2：四月二十六日发作，CIHv1.3：六月二十六日发作，CIHv1.4：每月二十六日发作）。

其它近期具有影响力的新病毒有：

圣诞杀手病毒（Win32.Kriz.3862），12月25日发作，这种病毒具有与CIH 病毒相同的破坏机制，即能够破坏计算机硬件，使计算机系统根本无法启动。

癞蛤蟆病毒（又名Toadie.6585、Toad.12），此病毒具有两种传播途径，传染性很强，一种是通过在线聊天系统（IRC）进行传播，不断感染进入聊天室的机器；另一种则是通过E-mail进行传播。

新型网络病毒WinNT.Tenta，这一病毒旨在向Windows NT网络环境发起进攻，从而形成了对NT网络病毒安全防护体系的又一大考验。

霍乱病毒(Cholera)，是一种可以使邮件系统超载的新型自我复制病毒。其传播方式与美丽杀手病毒异曲同工，但是传播面积及速度比美丽杀手更为广泛。

笨驴病毒（BadAss），此病毒属于通过电子邮件进行广泛传播的蠕虫病毒，由于它能够以诡秘的方式在后台打开用户Outlook通讯簿，窃取用户所有联系人地址，将自身附着于电子邮件发送出去，因此，传播速度很快。

文件杀手蠕虫病毒（Suppl.A），此病毒是一个附着于电子邮件进行广泛传播的Word宏蠕虫病毒，而且此病毒还会破坏Windows系统文件，造成系统瘫痪。

YAI（backdoor秘密）病毒，此病毒是一个文件型病毒，通过软盘和因特网传播，主要以邮件附件的形式传递。此病毒运行后直接导致文件无法使用，系统会出现很多异常情况甚至无法正常工作，例如系统会提示出错信息：“系统执行非法操作，请求关闭”或“您需要更多的内存和系统资源，请关闭一些窗口再重试”。病毒发作时，该程序的图标将无法正常显示，颜色变得模糊不清。一些文档（如execl，word）和图形文件（如*.bmp）的图标会丢失。KILL98国内病毒监测网已经收到数百例染毒报告，是继CIH病毒爆发之后，今年在国内收到染毒报告最多的一次。