关于美丽沙病毒的发散对话

系统：我们的女主持人小小出场了。

小小：今天的电脑安全话题我依旧请太阳岛站信息安全讨论区版主江海客和来自我国南方的程序员天机神棒老人为我们谈谈。都没来么！等一下。

系统：我们的男嘉宾江海客出场了

小小：海客早

江海客：早

江海客：天机还没来

小小：谁知道他呢，等一下吧

江海客：好的

... ...

系统：我们的男嘉宾天机神棒老人出场了

天机神棒老人：不好意思，，

小小：我们言归正传，今天主要希望二位谈一谈有关美丽沙病毒的问题

江海客：天机，你来晚了，先说吧。
天机神棒老人：小小，你说的这种美丽沙病毒，英文名字叫做Melissa，国内的译名好象有几种，比如美丽杀手、蒙丽沙、蜂花等等吧，不过无论病毒还是黑客，从媒体到出产安全产品的公司，都有夸大其作用的积习。比如给病毒起个如何如何恐怖的命名，是吧，海客。

江海客：没错，一般是造成一个魔如何如何高的气氛，从媒体增加了吸引力，从公司好衬托自己道更高。不过可以看出，美丽沙病毒来势确实凶猛，大家注意没有，在近来短短的一周时间之中，许多著名杀毒软件公司，如AVP、CA都连续3-4次升级，这在以往是比较少见的。

小小：哦！

天机神棒老人：是的，应该说Melissa病毒的流行，显示出了一些问题。不过，因为我最近情况了解的比较少，情况又比较突然，我只能说个大概。MELISSA病毒极其变种从根本上来说，是一种宏病毒，也就是说，其作用机理依旧是利用MS的WORD、EXCEL等软件有宏的功能，并且宏可以自动打开这一特点。但是，与传统的宏病毒不同，它不仅通过宏来感染WORD或EXCEL文挡，而且通过发送邮件，把自身夹带为附件这一手段，产生自身的COPY。而后者，恰恰是其相当有危害的地方，一方面可能暴露一些私人的或企业内部信息，另一方面，由于产生了邮件风暴，造成网络的堵塞和邮件SERVER的崩溃。海客，你能说一下具体情况么。


江海客：这种病毒传播的机理应该说以前无论从理论上还是实践上都有人探讨尝试，但是，已知的例子好象都是由于技术不过关而没有流传开来。应该说，MELISSA可以说是第一种成功通过网络邮件方式大规模流行的宏病毒。

小小：为什么特意强调是宏病毒。

江海客：因为如HAPPY99等已经实现了此类功能。我详细说一下MELISSA，目前，我并没有收到病毒的样本，因此我也是从有关反病毒公司的资料中取得的信息。首先，他可能是作为电子邮件附件的形式发送给你的，是一个WORD的DOC文挡，目前，基于EXCEL的的类似病毒也产生了，这个文挡中包含了病毒宏。如果你打开了这个附件，MELISSA首先要在你的注册表中打一个标记，这在以往的宏病毒中不多见。另外，他发送自身Copy的方式是，生成一个OUTLOOK的对象，然后把自身发送给你地址列表中的前50个人。

小小：好象病毒是以某某某给你的一封信为题，某某某就是当前这个用户。

江海客：对，这比通过一些通过新闻组乱发EMAIL的早一些的类似的特络绎木马什么的都有效果，另外邮件的正文我COPY过来"Here is that document you asked for ... don't show anyone else ;-).
因为，以前象杀毒软件公司也好，我们也好，都是对网友说，不要打开陌生人发来的邮件的附件，但这次是熟人来的附件，一般用户有什么理由不打开呢。另外，这个带毒的文件是一个色情站点列表。看来，这个作者不仅有很高的编程技巧，也把握了一定的人文技巧。

天机神棒老人：“人文技巧”，哈哈，，

小小：还是问一个个人用户比较关心的问题吧，如何预防美丽沙的侵害呢。

天机神棒老人：首先还是要加强安全意识，无论是木马程序还是Melissa,如果用户没有运行附件是不会被激活的。一定要注意是，除了可执行文件.com、.exe甚至.bat可能包含有害操作之外，有宏功能的许多软件的存盘文件都有必要小心，象MS的WORD、EXCEL、POWERPOINT ，LOTUS的WORD PRO等，都有对应的宏病毒存在。我的建议是陌生的有附件的文件删了就行了。必须要保存或打开的要先检查。特别希望网友，选择比较可靠的杀毒软件，象AVP、NAV、MCAFEE、CA（KILL98）等等，当然，国内AV98我感觉也是不错的。同时再次表明，没有在线能力的杀毒软件以及没有虚拟机机制的杀毒软件，其实用价值比较小。

江海客：另外，杀毒软件要及时升级，象我刚才提到的病毒软件近期的连续升级，用户要接受。



小小：海客，我记得上次工大BBS有人说EMAIL病毒，你还说人“一派胡言”呢！

江海客：那个人说的EMAIL病毒，是垃圾信笺所散发的谣言--“XXX题目的邮件会格式化你的硬盘”，即使现在MELISSA可否应该称做EMAIL病毒，还是值得商榷。

天机神棒老人：胡言当然还是胡言，关于打开一封题目为XXX的邮件就会格式化你的硬盘依旧依照目前的软硬件条件不能实现，因为邮件本身是文本，无论你对文本做如何处理，如何做到使文本可执行。恰恰相反的是，我觉得这些垃圾信笺的传播，为Melissa病毒作者之流提供了思路。

江海客：对，因为对病毒的命名，一直是以宿主或感染对象为一个体系，如引导区病毒、可执行文件病毒等等，宏病毒的命名可以看做是，对象与手段的结合。但邮件是一个媒介。如果说可以用把传播媒介来命名病毒，那CIH能称为盗版光盘病毒么？而且关键是时至今日，电子邮件本身，还不能传播病毒。而附件，与一般文件并没有什么区别呀。

小小：原来是这样，那么如何看待病毒与媒介之间的关系呢！

天机神棒老人：小小，不知道你是否看了海客和我关于剖析反病毒一些历史争论的什么“科学与工程的对话”，该文中，是把媒介看成病毒生命力的平方正比因素的。随着软硬件环境的变化，病毒的生命力是不断变化的，病毒的生命力是有些宏观的制约因素的，比如，病毒自身技术水准、病毒对主流OS的兼容性等等都是正比因素，用户的安全意识和技术水平，破坏力、破坏频率等都是反比因素。值得注意的是，病毒的流行与主流介质的关系很大。象国内CIH的大流行，与D版光盘的泛滥是分不开的。应该说带毒的D版光盘的泛滥过程，本身是CIH主动自我复制之外的被动复制过程。


小小：文章我没看，文章中还有那些观点呢？

江海客：比如，病毒的生命力的重要关键不在于如何更好的隐藏和对抗杀毒软件，而在于如何更快更有效的完成自我复制。有效，重要一点，就是可能把自身复制到当前用户的控制能力之外，象MELISSA基本上就是完全有效的复制。因此，一旦找到有效的突破口，“蠕虫”式的病毒，要比传统的病毒流行速度快的多。另外一点，就是电子信息的传播通道，都会被研究，有漏洞，很难不被发现，被发现了，一定会被利用。还有一些，当然，这些观点不是什么新观点，但是，却是一些被忽视的观点。

小小：为什么说被忽视了呢。

江海客：我COPY来一段原话，
反病毒产品的巨大成功，是与其完成了由科学界让位于工程界，由政府行为让位于企业行为，由民间自发让位于商业自觉是分不开的。但是又由于这三个转变，不同程度的导致了反病毒产品，缺乏科学的预见、缺乏政府的规范、缺乏民间的监督；后两者，在我国特别明显。而前者，即使在对镜外卓越的反病毒公司，依然也是存在的。而由于对科学界和理论界的完全屏弃，使反病毒界忙于对病毒的应付，反病毒界不该满足于虚拟机的成功，和对新发现病毒的反映速度，也应该投入一些先见性的研究，先于病毒的作者发现病毒可能借助的新的渠道、方式，提供预防的可能，给出工程性的解决。之所以说研究是科学性的，是说这种研究不仅是微观性的、技巧性的。也是宏观的，有理论可以指导的。

天机神棒老人：就象是Melissa出现一样，由于WORD病毒是WORD BASIC完成的解释型病毒，易分析，易改动，这种机理一旦突破，就会衍生大量类似的病毒，使杀毒软件公司面临应付的尴尬局面。

小小：时间要到了，我再问个问题，我觉得两位都应该属于工程界的，为什么会提出代表科学届的观点呢。

江海客：见笑了，只能说，代表科学界没那个资格，属于工程届没哪个水平，如果说表明某种观点，那么，就算是一种民间观点吧。谢谢小小。

天机神棒老人：谢谢主持人，再会

小小：谢谢二位，再见。