2001年10月病毒观察

virusview.net

从事反病毒软件和服务业务的美国Central Command于美国当地时间9月1日公布了有关2001年8月受电脑病毒侵害情况的调查结果。
最经常被检测出的12种最流行病毒如下∶
1. I-Worm.Sircam.A 49.8%
2. Win32.Magistr.A@mm 9.8%
3. Win95.CIH 5.7%
4. VBS.HappyTime.A@mm 5.1%
5. Win32.FunLove.4099 3.7%
6. I-Worm.Qaz 3.2%
7. Trojan.VirtualRoot 2.9%
8. Win95.Spaces 2.2%
9. Win32.Weird.10240.A 2.0%
10. Win95.MTX 1.9%
11. I-Worm.Msinit.B 1.6%
12. I-Worm.Choke 1.1%
Others 11.0%

调查显示，流行最广泛的病毒是“Sircam”，在上一期中我们已经为大家介绍了这个厉害的蠕虫病毒。据Central Command公司产品经理Steven Sundermeier讲：“Sircam也许是到目前为止繁殖力最强，渗透到家庭用户中造成危害最严重的病毒”。在我们分析了这个病毒之后，不禁感叹如今病毒已经打起了心理攻坚战。由于这个病毒把自己的蠕虫体叠加入一个用户的文件的前面，再在原来的文件名后加上.PIF .LNK .BAT .COM这样的缀名，因为后缀名.PIF和.LNK在WIN32系统下即使取消了“隐藏已知文件后缀名”的选项，还是看不到的只能在DOS下才可以看到。之后病毒将这个文件作为附件传播出去，并把文件名作为邮件的标题。而且根据WIN32系统机理的一个安全性漏洞，即使是以这样的后缀名命名的文件，系统如果发现它是一个WIN32可执行程序，系统就会自动执行。由此可以看出WIN32平台的“智能”反而成为了安全的隐患。例如，一个名为“日记.DOC.LNK”的文件在WINDOWS98 系统下，被用户看到的只是“日记.DOC”。这样当一个用户收到了一封来自自己熟悉的人、而且附件标题为“日记”的WORD文档，我想很多人都会禁不住好奇心的驱使去打开这个附件的。

前面12种国际流行病毒中有半数以上的是可以通过电子邮件来传播的病毒。在国内，据国际计算机安全协会公布的《2000年度病毒传播趋势报告》显示，电子邮件目前已跃升为计算机病毒最主要的传播媒介，感染率由1998年的32％大幅度增长至2000年的87％。这种快速、大规模的传播方式使企业和个人防不胜防。

病毒为什么这样的青睐电子邮件呢？是因为病毒通过电子邮件传播比较以传统文件作为载体具有以下两个优点：

（1）速度快，范围广。绝大多数通过电子邮件传播的病毒都具有自我复制的能力，这正是它们的危险之处。它们能够主动选择用户邮箱地址簿中的地址发送邮件或用户发送邮件时，将被病毒感染的文件附到邮件上一起发送。这种成倍数增长的传播速度可以使病毒在很短的时间内遍布整个Internet领域。“Sircam”病毒在爆发的第一天便有6万台以上的计算机被感染，在其后的短短一个星期里，互联网便经历了一场罕见的“病毒风暴”。到目前为止I-Worm.Sircam.A仍然继续蔓延着。awei自己就曾收到了不止一封的夹有Sircam的邮件、和关于感染Sircam病毒的求救信。
（2）一般的用户并不具备应付蠕虫病毒的常识，也不知道应该如何正确的对待收到的电子邮件中的附件。多数人都是选择了直接打开。

这就是蠕虫病毒能否迅速传播的关键。如果大家都能用有效的预防蠕虫病毒的手段来保护自己的话，蠕虫病毒将决不会如此猖獗。那么我们该如何有效的防御电子邮件的病毒呢？首先大家需要知道，Sircam也好，HAPPYTIME也好，在通过邮件传播时，都是通过电子邮件的附件传播的。如果用户没有运行或打开附件，病毒是不会被激活的。当然因为一些邮件客户端的邮件预览功能是调用IE来实现的，附件中的脚本程序可能在预览的时候已经被执行了。因此出现了免执行附件邮件病毒，例如“BUBBLE BOY（泡沫男孩）”。对于这种情况建议大家还是关掉电子邮件收发软件的预览功能。所以，对于那些来自来历不明的发件人信件和没有事先约定的朋友发来的附件尽量不要打开，这里好奇心千万不能有。而且如果一定要打开的话对于可执行文件或WORD、EXCEL等附件文件之前首先必须确保文件没有携带病毒。可以先把附件另存出来，之后用反病毒软件查一下来，以确保没有病毒。而且现在已经有一些反病毒产品已经具备了对邮件系统的病毒的检测功能。这里awei再次提醒大家要记得经常更新你的反病毒软件的病毒库。因为电子邮件蠕虫病毒传播的非常迅速，你收到的时候可能是刚刚开始蔓延，如果你的病毒库没有及时更新，那么即使你检查了也未必会发现病毒。


最后还需要提醒大家，有些蠕虫病毒不仅仅可以通过电子邮件附件的方式来传播。例如Sircam，它还可以在局域网中进行自我复制。请大家注意。

本栏目由www.virusview.net病毒观察站和计算机应用文摘杂志合办