98’PC风云之病毒实录

余小强

原作者致词：Happy New Year！本文发表在《电脑》99年第1期。但由于篇幅的缘故，被砍掉了不少。虽然可以理解媒体的做法，但作为一份回顾来说，有些内容少了就不完整了。故将原稿全文登出，供各位对病毒感兴趣的人士参考。由于赶时间，本文完稿于12月初，以致以后出现的一些病毒如由VicodinES编写的首个Office 2000宏病毒、NT病毒Remote Explorer没有列到里面。尽管如此，本文应该还是能全面反映了98年病毒界及业界的全貌。我从事病毒方面文章写作已经有2年，在《羊城晚报》和《电脑》上占了不少篇幅（包括头版和全版）。在99年，希望能再接再厉，完成一篇《计算机病毒发展史》，目前所缺的就是有关国内的病毒情况，如果有了解这方面的用户，希望能给我提供有关资料。我也希望国内的业余人士能象台湾的Sscan、VT等的作者一样，创造出有水平的AV软件，向那些华而不实的国产商业软件叫板。

yuxiaoqiang@usa.net

　

98’PC风云之病毒实录

（完整版）

－1998年病毒与抗病毒回顾

余小强

　

本文旨在回顾1998年病毒及反病毒业界发展动向，所有观点纯属个人意见。

　

ICSA：不容乐观的病毒形势

1998年，世界病毒形势依然险峻，病毒总数已超过20,000，并以每月300-350个的速度出现。根据美国国际计算机安全协会ICSA的《ICSA 1998病毒流行调查报告》，在全球电脑最普及的北美地区，计算机病毒形势不容乐观。

ICSA对北美300个大中企业（包括了581,458个工作站和12,122个服务器）所作的调查结果指出：几乎所有的大中型企业均经历过电脑病毒感染事件。（>99%）。尽管有91的服务器和98%的工作站都采用了反病毒的措施（97年为73%）。每月每1,000台电脑的病毒感染例仍然达到了86.5，而97年为62.5。

病毒以E-mail为感染途径由96年的9%，97年的26%上升至32% ，其他包括软盘、网上下载等感染途径，都呈下降趋势。说明Internet已日益成为主要的感染途径。

　

宏病毒：风景这边独好

在ICSA报告中，宏病毒一支独秀，再次高踞首位。独占10大病毒感染事件的72%，在 10大病毒中占了5席交椅：WM/Concept、WM/Cap、WM/Wazzu、WM/Npad和XM/Laroux。

宏病毒在98年的发展可谓五花八门，全面开花，在各个领域都出现了突破，甚至宏病毒WorldCup 98还籍世界杯之机，在媒体上风光了一回。根据DataFellow公司每天特征码升级的F-Macro所检测宏病毒数目，至12月3日本文脱稿时达到了3,332个，而在97年12月31日才是1,821个，增长率为45.35%。在笔者写《宏病毒演义》（《电脑》98年9-12期）一文时，对近100个98年出现的宏病毒曾作过一次测试（11月），F-Macro只达到了68.85%的检测率。

98年1月，印尼NoMercy组织的Foxz编写了第一个Excel宏病毒创作机Nomercy Excel Generator。3月，Diffusion组织的Jerk1N在新闻组上推出了首个Access 97宏病毒AccessiV。

Access没有使用模板，也很少人交换数据库文件，即使病毒作者本身也承认Access病毒难以扩散。但Access病毒的出现给业界出了新的难题：如何检测和消除数据库中的病毒而不影响数据的完整性。故在Access宏病毒出现了很长一段时间，业界才推出相应的对策。但至今，大部分的反病毒产品仍不具备检测Access病毒的能力。

至年底为止，已有 7 个Access宏病毒存在。还出现了由Ultras编写的第一个Access病毒创造机Access Macro Generator。

Codebreakers组织的VicodinES编写了第一个感染Word Class Object的宏病毒Class，此类病毒已成了98年宏病毒创作的一个趋势。

98年以前，Word宏病毒只能感染Word文档，Excel宏病毒也不能跨越工作表格范围。这使得某些反病毒软件可基于Word或者Excel宏来检测宏病毒。但在98年4月，一切都发生了改变。VicodinES编写的宏病毒Cross。可分别感染以及交叉感染Access 97数据库和Word 97文档，成为首个跨应用程序（Access/Word）感染的宏病毒。

Cross是世界上最大的宏病毒，结构非常复杂，编写也并非很成功，但对那些只基于应用程序宏的反病毒软件带来了新的问题：我们能彻底消灭这些“狡兔三窟”的宏病毒吗？

另一个跨应用程序感染宏病毒－第一个感染Excel/Word的宏病毒Strange Days是由29A的Reptile所编写。之后，又出现了另一个感染Excel/Word的宏病毒Shiver。情况看来会越来越复杂。

宏病毒是Microsoft的宏产物，“解铃还需系铃人”，要全面、彻底解决宏病毒问题，恐怕少了Microsoft会比较困难。不过，Microsoft的前期努力，无论是Scanprot还是Office 97的预警系统似乎都未能达到理想的效果。在97年底推出的Office 97 Service Release 1（SR1）修正版中，Microsoft悄悄地修改了部分代码，令传统的宏指令OrganizerCopy和MacroCopy无法将宏病毒复制出去，抑制了大部分宏病毒在SR1下的传播。此事Microsoft秘而不宣，在任何文档上都找不到有关描述，Microsoft也拒绝对此新功能发布任何声明。不过好景不长，ALT -F11编写的宏病毒Groovie在98年突破了这一限制。Groovie具有SR-1兼容性，同时不需要依赖Normal.dot来进行传播。真可谓“道高一尺，魔高一丈”。

98年还发现了首个以Excel 4的Formula编写的宏病毒Paix。首个可利用Agent将自己发送到新闻组的宏病毒PolyPoster等等。最新的地下情报是法国宏病毒作者ZeMacroKiller98编写了宏病毒Bios Killer，病毒可调用一段VB代码来破坏BIOS，如果这情况属实，那么下一步的发展将不容乐观。

另外还有几则来自病毒作者VX的消息，供大家享玩：一是上面谈到的如日中天的病毒作者Jerk1N和VicodinES相继宣布退出病毒界。二是世界最大的病毒收藏站点Cicatix Station宣布不再放置病毒，有意思的是，作者称是受到多方来自病毒界而非反病毒业界的批评而导致产生这样的念头。

　

引导型病毒：他乡的冷落

长期以来，引导型病毒虽然数目较少（约占5%），但一直据流行病毒的首位（约占85%的感染率），Windows 95问世以后，这种状况发生了彻底的扭转。主板上引导次序的可调节抑制了引导型病毒的传播，而32位的GUI操作系统更使已经到位的病毒成了被“计划生育”的特洛伊木马，只得乖乖地拱手让位。直到98年这种情况才有了突破，第一个Windows 95 compatible的引导型病毒Ravage BSV悄然面世。但看来大势已去，回天乏术。98年Trend推出的新产品防毒芯片TCAV（Trend ChipAway Virus）已被包括宏基Acer、华硕ASUS、大众FIC、微星MSI等世界十大主机板生产厂商所采用。看来完全摆脱引导型病毒指日可待。

　

Bug：抓不完的臭虫

98年传出有关安全漏洞方面bug的报道频频，《Another Day, Another bug》这是一份外刊文章的标题，可能是对这场由于不负责任、匆匆登场的竞争而带来的问题的最恰当的描述。Bug新闻中以病毒相关的也不少，我们从中挑选以下几个：

首先是反病毒专家Padgett Peterson发现病毒可在用户运行Microsoft的Outlook 98（测试版）的E-mail时进行传播。Microsoft后来宣布已经在将推出的Outlook 98中加入安全机制，解决了这一问题。

接下来是芬兰Oulu大学安全编程研究小组的惊人发现：它涉及到包括Outlook、Outlook Express、Netscape的Communicator和Eduora Pro等E-mail软件。问题出现在用户试图下栽、运行和浏览过长文件名的文件附件时。超过一定字符的文件名能造成E-mail软件停止工作。黑客很可能在过长文件名中嵌入恶性码进行破坏。

消息一传出，在媒体中引起了轰动，仿佛Good Times马上谣言成真。事情真的这么可怕吗？我们还敢使用E-mail吗？对这种媒体造成的恐慌，专门从事破解计算机之秘的反病毒专家Rob Rosenberger嗤之以鼻，他对此评论道：“破坏者可以利用这一新发现来使你的E-mail软件系统或者甚至操作系统崩溃吗?Yes他能很容易做到这一点吗？Yes。破坏者能利用这一新发现在你的电脑上运行恶意代码吗？Yes。他能很容易做到这一点吗？No!这些还只是理论上的威胁，仅有一些“我证明了自己的观点”的实例。”

事实上，这种由于“Buffer Overflow”而引起的Bug过去在Unix系统也曾被发现。不过并没有出现什么问题。这次也不例外，各有关公司匆忙发布了补丁，一阵喧闹之后，一切又回复平静。

　

Java病毒：一次写成，到处运行？

8月，Symantec宣布发现了第一个感染Java Applet及Java应用程序的病毒Strange Brew。这一用Java编写的病毒，既能感染Java应用程序，也可以感染Jave applet，但仅能通过Java应用程序进行传播。因为浏览器内的Java虚拟机具有内部安全限制，不允许Java applet访问硬盘或修改应用程序等。Strange Brew无法进行进一步的传播。但Java应用程序没有那样的限制，它们可以执行磁盘访问等功能，这就可能带来危险。Strange Brew并未能造成任何实际上的威胁，因为它还未能突破浏览器的安全限制，还只是一只“笼”中的鸟，同时Java应用程序还没有成为我们的主要软件。但这是一个概念突破，一个不容忽视的危险信号：如果有一天，Java真的成为我们应用程序的主要编写语言，我们的病毒难说也会“一次写成，到处运行”，成为真正意义上的“跨平台”病毒。Sun的脸上一定很难看！

　

HTML：我们在浏览病毒吗？

AVP宣布发现了首例HTML病毒HTML.Internal。病毒可通过Microsoft的Internet Explorer浏览器感染HTML文件，但不会影响Navigator、Opera等其它浏览器。病毒使用Visual Basic Script运行，感染该病毒的HTML文件的文件头包含对病毒主程序脚本的引用，并在Intenet Explorer访问被感染文件时自动执行－搜索当前及上级目录中的所有HTM和HTML文件并感染之：将文件的主体后移，然后将自身代码写入文件的开始段。这是一个没有破坏作用的展示病毒，

由于病毒使用Visual Basic Script而不是二进制代码。因此，它无法在Internet Explorer以外的浏览器上运行。同时，只有在Internet Explorer的安全性设置允许Script程序访问硬盘文件时（非缺省设置），该病毒才能进行复制，故暂时不足为害。98年已出现了多个使用VB Script编写的病毒，引起媒体再度的E-mail病毒恐慌，甚至还有些专家根据没有确认的假设，认为Outlook用户也会受影响。对此，Rob Rosenberger认为：“我应该担心HTML病毒吗，No!”

　

文件型病毒：平淡无奇的大路货

由于DOS的开放性和透明度，加上大量现有病毒创造机的存在，DOS文件型病毒还是占了98新病毒的大部分。尽管Windows 95并不拒绝DOS程序的运行，但32位应用程序的层出不穷，使得传统DOS文件型病毒的空间变得越来越小。

在98出现的文件型病毒中，基本上都是一些大路货，难见精品，流行的大部分还是过去的明星。唯一可能值得一提的是Slam组织的Raid编写的Creed系列。病毒可运行于各种操作平台，不留驻内存。由于使用了复杂的加密方式，一度难倒了不少专家。病毒作者也曾在新闻组上向某软件公开叫板，在新闻组上曾引起一段热烈的讨论。

　

32位PE病毒：D-day旋风

自95年第一个32位PE病毒Boza面世后，32位病毒终于在98年登堂入室，引人注目。据AVP online病毒资料库的不完全统计，至98年，已经出现了多达31种感染Win 95/98的PE文件格式病毒，7种感染Win 95/NT病毒、16种Win 31病毒和1种多平台感染病毒（均不含变体，而王江民在一篇文章提到，只知道存在12种）。其中好几个病毒不但登上了Joe Well的Wild List甚至成为媒体的主角。

首先是来自Panda公司报告的HPS，与刚发行的Win 98挂上了钩，引起了媒体的注意。但HPS不算什么，因为它并没有实际广泛流行。另外还有局部区域流行的Anxiety.poppy.II病毒以及Vecna/29A的首个Win32混合型病毒Inca。但所有病毒在下面“哼哈二将”目前都黯然失色：

Marburg，来自29A病毒组织GriYo。可以感染Win 95/98和Win NT的PE格式可执行文件，但不能在Win NT下传播。这是一个非留驻内存的直接作用病毒，一个“缓慢感染者”，仅在被感染文件被执行时进行感染：感染当前目录、Windows目录及 Windows System 目录下的所有Win32应用程序及屏幕保护程序，然后将控制权交回给宿主文件。病毒具有对抗反病毒软件的能力并可避免感染部分的反病毒软件，并具有相对复杂的变形能力，是第一个变形Win 32病毒。7 月号的英国 PC Gamer Magazine附赠光碟，便惨遭毒手。

另一个就是大名鼎鼎的、被西方媒体称为“Mother of all viruses（病毒之母）”的CIH。一个令众多用户谈之色变的“快速感染者”。

这个出自台湾大同工学院学生之手的病毒，可感染Win 95/98可执行文件，但无法在Win NT下传播。病毒具有Ring 0存取能力，利用直接串联IFS的系统服务，对文件进行感染。在技术上，CIH与先前台湾流行的Anxiety. poppy.II有相似之处，只是增加了填码技术和破坏BIOS的功能。作者在5月底将病毒附于一些流行软件如汉化ICQ、WinAmp等之上，然后投放到台湾各大BBS站供下栽。6月6日，台湾个人免费软件Super Scan率先推出查杀CIH版本，跟着，PC-cillin、AVP等也纷纷进行了版本升级。病毒迅速扩散，6月7日，国内网易BBS首次登出了关于CIH的帖子，而15日的帖子表明CIH已经登陆国内。在整个6-8月，无论是国外的媒体还是新闻组都登出了大量关于CIH的文章，国内BBS站上也有不少帖子出现。西方病毒网站上还出现了CIH的样本和源代码。而直至8月4日，号称第一个发现并查杀CIH的瑞星才收到第一个样本，到21日才进行了版本升级。 8月31日，公安部如梦初醒，发出通告要求全社会做好CIH病毒的预防工作。同一天，中央电视台也罕见地对此作了详细报道。消息传出，引起了轰动，媒体纷纷加入了报道的行列。用《计算机世界》的话来描述，“几乎所有的媒体，尤其是大众媒体，对CIH病毒表现出少有的关注，并进行了超乎寻常的报道。”

CIH最引人注意的是其改写 Flash BIOS的攻击手段，即所谓的“破坏硬件”。从理论上讲，BIOS 仍然属于软件，CIH 对计算机的破坏只不过是“软件的破坏造成计算机不能启动”罢了。破坏BIOS可怕吗？让我们看一下Rob Rosenberger的评论：“如果强迫我在破坏硬盘和破坏BIOS之间二者挑一的话，我会问我自己：我还有备份吗？如果有，那我宁愿选择破坏BIOS”是啊，如果鸡蛋还在，篮子甚至架子打破了又有什么关系。值得注意的应该是CIH对硬盘的破坏，因为这关系着你的宝贵的数据、你的心血。本来，主板上的BIOS升级都应该有Jumper保护，但长期的“平安无事”使得硬件商麻痹大意，取消了Jumper保护或者形如虚设，以致悲剧发生。

公安部的通告虽说是“亡羊补牢”，但修改时间的逃避方法值得商磋。因为修改病毒代码以逃避检测很难，但修改发作时间恐怕是最容易的了。其后出现的各种在不同时间发作的变体就是一个例证。

　

病毒谣言：斩不断，理还乱

98年，来自Internet的E-mail病毒谣言尤如漫天飞花，渗进我们生活的每个角落。在《电脑报》、搜狐、甚至11月的《计算机世界》（实在令人遗憾，英文版的PC World绝对不会闹这样的笑话）都可以看到这些无孔不入的E-mail病毒谣言身影。 年初，一些地方的政府机构及安全部门居然煞有介事地发出了预防如Join the Crew等E-mail病毒的通告，真让人哭笑不得。个别电脑杂志还刊登了描述如“Cache病毒”这样一类可笑的文章。作者是无知还是别有用心不得而知，但我们的编辑们水平则实在不敢恭维（同志！请把好关！）。诚然，计算机病毒是一门在大学里学不到的专业学科。但要补上这一门课也不是不可能的。有条件的话，到清华BBS病毒版去浏览一下精华区的内容，对我们当中的大多数人来说，都有助于提高自身的识别能力。

谈到这类僵尸不死的病毒谣言，有一个很有意思的、值得研究的“中国特色”现象：在国外，业界总是孜孜不倦地致力于消除这些病毒谣言，几乎在所有业界的网站，你都可以看到关于病毒谣言Hoax的资料。而在中国，本应是专家的业界却“沉默是金”，公安部也一言不发。剩下地方政府在瞎忙乎。业界是不屑一顾、还是根本就分不清楚（瑞星的刘旭就曾在访谈中大谈GIF病毒、E-mail病毒），又或是“天下大乱，形势大好”，耐人寻味。

　

兼并：难以阻挡的潮流

年初，Symantec与Trend结束了专利方面的长期纷争，达成授权协议，彼此分享防毒专利技术及彼此交流病毒样本。

5月，兼并高手Symantec和IBM签订协议，获取了IBM的反病毒技术及客户。令人感叹不已：IBM是最早从事反病毒的厂商之一，可谓人才济济。但IBM AntiVirus却一直曲居于二流角色，最后落得被人收购的下场。这是不是值得令人深思呢？

这头话音刚落，那厢Nai又收购了Dr. Solomon公司。在业界引起了强烈的轰动。在那段日子里，alt.comp.virus新闻组每天都有上百份帖子对此进行讨论，用户直言不帏、淋漓尽致地就这一事件抒发自己的感情。

Symantec得理不饶人，跟着又收购了Intel的LANDesk Virus Protect反病毒业务（Trend技术），并获得许可把Intel的系统管理软件LANDesk捆绑在Symantec的反病毒软件中。接着收购了Quarterdeck（其反病毒软件采用以色列Eliashim公司ViruSafe引擎）。

这一系列兼并行为使Nai和Symantec成为西方反病毒业界的两大巨头，其他诸强均无以项背。

　

狼来了：一个真实的故事

长期以来，中国反病毒业界一直强调发展民族软件，用国产软件查杀国产病毒，即所谓的本地化。在年初的一次计算机安全会议中，甚至还有人提出如何防止国产病毒样本外泄的问题。尽管此间Cheyenne的InocuLAN、Trend的PC-cillin等也已进入国内市场，但并未能真正引起注意。狼来了，只是喊喊而已！但到了98年，狼真的来了！西方业界两大巨头Nai和 Symantec 相继通过公安部的鉴定，获得了中国市场的“入场券”。

更惊人的消息是5月，原国内老大Kill-北京金辰公司和CA公司合资，将CA旗下的InocuLAN改头换面为Kill 98认证版。Kill的合资宣告了中国反病毒产业本地化概念的破产。在Internet日益成为病毒传播主渠道的今天，我们已经不能再闭关自守、沾沾自喜了，只有加强反病毒业界的国际交流和引进国外先进技术，才能迎接新的挑战。Kill合资的另一层含意是我们在安全领域中将不再死守我们自己的民族软件。为了支持民族软件，你尽可以用WPS而不用Office，继续运行UCDOS而不攀Windows。但考虑到安全问题时，你只能选择那些具有“真功夫”的软件，如果民族软件不能满足你的要求，你只能把它扔出去！病毒不分国界，中国的病毒早已名扬世界。外国的病毒也在国内扎根多时，台湾病毒也早已实现了“三通”。你还能坚持本地化吗？

Kill选择了CA，虽然王庚廉是华人，可谓“近水楼台先得月”。但从另一角度看问题，InocuLAN的强项在于网络系统方面，而在个人桌面上只属二流角色。看来Kill已打算离开个人桌面系统的缠斗，转向主打网络系统。让我们看一下战场情况：

“本地姜”出场的有KV300、RAV、VRV、AV9X等，“八国联军”则云集了几乎世界上所有的精英：VirusScan（含Dr. Solomon）、NAV、PC-cillin、加上国内用户早已熟知的AVP、F-Prot、TBAV等共享软件，一场混战，在所难免。“鹿死谁手”，难以预料。

当然，网络方面也不容乐观，Symantec、Trend和Nai都宣布是直奔网络而来，由于本地软件在此领域几乎是空白，看来只是大户们将竞争战场由国外搬到了中国而已。

“来者不善，善者不来”，Nai马上启动，在5大城市开始为期一个月的“义诊”，而Trend则多渠道发放30天试用版本。我们的本地软件能否即将来临的战火中保住自己的风水宝地呢？试看下回分解。

商机：浮躁不安的市场

经过一番兼并，世界市场几乎被Nai和Symantec两大巨头瓜分。根据Dataquest于11月30日公布的统计结果：Nai占了市场份额50 %。而Symantec和Trend随后，分别占25%和7%。

反病毒软件一向是中国软件产业的风水宝地之一。销售额保持旺盛的突飞猛进之势。上半年达到了5.6个亿。其中KV300一马当先，占了大部分的市场份额。以瑞星为首领的RAV、VRV等第二军团紧随其后，不断向KV300发起挑战。瑞星的“捆绑”战术在98年取得了空前的成功，除了和联想、方正、长城、实达等多家国内主力PC厂商“捆绑”外，还登上了Toshiba笔记本电脑以及被Compaq在中国推广的DeskPro EP系列台式机所采用。以至这一关于中国业界的新闻首次出现在国外业界的E-mail Newsletter上，也算风光了一回，内容当然删除了原来瑞星新闻中所提到的率先查杀CIH病毒和恶性病毒快速反应机制的字句（如果看一下上面CIH时间表，4日到21日，不知有什么快速可言！）。由于CIH恐慌，下半年反病毒软件的销量估计还会飚升（《电脑报》戏言：病毒的味道令人们胃口大开）。

对病毒的恐慌，带来了无限的商机，也加剧了业界之间的竞争。籍10月22日《中国计算机报》Info CD 10月号的CIH病毒感染事件，Kill异军突起，将原Info CD采用的AV95斩于马下。商场如战场，一点不假，大意不得。

公安部的通告导致了全民皆兵、谈毒色变！各软件公司纷纷粉墨登场，广告喧天染地，大吹大擂：你首先杀除，他实时防御，还是我最了得，除了查杀CIH外，还可以查杀XX病毒！还有什么国际XX病毒已经到了无解的程度，而我独家杀除，什么“智能、广谱、百分之百、全面查杀、彻底查杀”等等，如此高超的技术，看来足以令国外的同行汗颜。吹捧之余，还不忘在媒体上互相攻击。整个市场充满了华而不实的浮躁之风。一个应该由技术、安全性等理性因素主导的市场，为什么会出现这种情况，委实令人担忧，也使人对即将出台的《计算机病毒防治产品检测标准》充满了期待，希望我们能有一个令国内外业界和用户都信赖的公平、合理标准，更希望我们能建立一套健全的独立监测制度以抑制商业炒作。

　

未来展望：明天还是要继续

在这前所未有的计算机病毒狂潮中，我们即将送走难忘的1998年。明天会怎样？我们能安下心吗？我们的反病毒业界能帮助我们抑制病毒吗？这里，我们看到来自业界的两种绝然相反的观点：瑞星的刘旭认为反病毒将是一场持久战；而王江民则认为“近期的未知病毒已经被我们这些杀毒产品越杀越少了”（真是令人叹服！），大有“放马南山”之意。我们认为，计算机病毒是一种程序，要完全区分并消除之，至少是很困难的。无论那种系统，只要它成为主流，便可能引起病毒作者的注意，便很难不被攻破。不管怎样，Tomorrow is another day，无论病毒多也好，少也好。对于我们用户来说，关键是要擦亮眼睛，不要轻易相信那些华而不实的广告宣传，精心选购有“真功夫”的反病毒软件来保护我们的电脑。同时最重要的是务必注意时时备份你的宝贵数据，病毒也就无奈我何！