1997病毒与抗病毒回顾：分析与反思（二）

余小强

1997病毒与抗病毒回顾：分析与反思（二）
作者：余小强 yuxiaoqiang@usa.net
原文登载《羊城晚报》1月13日《电脑周刊》

在病毒的发展中，宏病毒的速度最快，97年2月，只有300多个。到了6月，已超
过1000。在12月31日，F-Macro检测的已知宏病毒达到了1,821个。还有多少漏网之鱼
呢？因此，我们看到了一个特别的情景：一般病毒定义的升级最多以每周为基础。但
在Data Fellows公司的网址上，F-Macro的级是以天为基础的?

在全球十大流行病毒中，宏病毒占了三个。其中，Concept病毒的感染率已据所
有病毒感染率之首位，占十大流行病毒感染总数的2/3。 96年上半年，Concept感染
率为11,481例，下半年为13,662例，但仅在97年头两个月已有了10,750例。尽管
Microsoft的Office 97增加了某些病毒预警及防治措施，但仍然未能阻止宏病毒增长
的步伐。Office 97问世不久，第一个Office 97病毒NightShade出现。Microsoft的
简体中文版Office 97就曾因为感染了台湾一号宏病毒，险些在中国大陆酿成了一场
风波。除欧美外，台湾、印度尼西亚成了宏病毒创作的主要发源地。据我们手头不完
整的资料统计，台湾的宏病毒已超过130个，而成立于97年4月的印度尼西亚Nomercy病
毒集团就创作了近40个宏病毒。

在病毒发展的同时，病毒生成机及变形引擎也在发展，据不完全统计，到7月份为
止，一共发现了约30个新的病毒生成机及变形引擎。同时宏病毒创造机的数目已达16种
版本。

从技术的角度来看，值得一提的宏病毒是ShareFun，它可以自动通过用户的
Internet Mail将自己以E-mail附件形式传播出去。是第一个采用主动方式传播的宏病
毒。Win 95平台病毒在97年继续涌现，据不完全统计，已出现了15 个Win 95病毒。
29A病毒集团的Jacky在97年推出了首个Win NT病毒Jacky，然后又推出了Win NT.
Cabanas，看来经过这么多年，病毒作者终于突破了Windows NT的技术核心。另一个
29A集团成员Sandman推出了首个多平台病毒Esperanto.4733，它可以感染DOS下的EXE、
COM以及Windows的NE规格、Win 32的PE规格文件，并含有部分用于感染Mac机的代码。
另一个全新的病毒Win32.Navrhar来自斯洛伐克，它是一个新型的混合型病毒，可以感
染MS Word 6/7以及Windows 95的VxD。

随着病毒杂志E-zine的流行，病毒作者之间的交流在不断加剧。病毒设计技术越
来越复杂，给业界带来了新的挑战。最新的病毒警告来自以色列的iRiS公司，声称发
现以Script语言编写的新型病毒，感染登录ChatRoom用户的mIRC程序。 不过，业界最
终将这称为Ananas的病毒定义为mIRC蠕虫，因为它没有改变所感染的程序本身。

97年是一个谣言满天飞的年份。Internet上的链式电子邮件谣言席卷全球，也渗
进中国的大小角落。从《网络化生存》一书到一些计算机专业报刊，都煞有其事地刊
登了如Panpal Greeting、Join the Crew等谣言。这些谣言甚至出现在最不应该出现
的地方－国家信息中心信息安全处CEI网? 上。象这类3年前的Good Times的翻版，稍
有一点常识的人，都很容易判别。一般报刊的编辑水平不高，还讲得过去，但有关权
威部门居然连查询一下国外同行都没有便草草登出，实在太令人感到遗憾！

最引人震惊的莫过于黑客在Yahoo！网址上放置病毒的谣言，一时真假难辨，
Yahoo！访客人心煌煌，计算着炸弹爆炸的倒数时间。业界的各方反应也不尽相同：
Symantec公司声明为谣言。CEI的文章称如果找不到逻辑炸弹放在何处就不能确认这
件事的性质。而Trend Micro则暗示理论上有可能：但我的新版Pc-cillin 97可以防
治一切来自Internet的病毒及其他恶意程序。 幸亏圣诞老人没有带来炸弹礼物！


※ 修改:·bluesea 於 Jan 14 01:06:13 修改本文·[FROM: 202.99.63.210]
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.96.184.45]



BBS水木清华站∶精华区