这个杀手不美丽 李学凌 1999年 第13期 01版 最近两天,有关W97M_MELISSA病毒(国内译为“美丽杀手”)的新闻已经成为继北约野蛮轰炸南联盟之后的特大新闻。全美电视台、电台几乎都播发了有关“美丽杀手”病毒在各大企业发作的消息,《纽约时报》甚至以“前所未有的INTERNET病毒风暴”来形容W97M_MELISSA病毒的大泛滥。 #1 “美丽杀手”来了! 1999年3月26日,星期五,上午8点30分。 著名反病毒公司NAI的一位专家所罗门博士(Solomons)在一个著名的“性讨论新闻组”里发现了一个极不寻常的“贴子”,并在其文档中发现了编写精致的宏病毒。 这个病毒专门针对微软的电子邮件服务器MS Exchange和电子邮件收发软件Outlook Express,是一种Word宏病毒,利用微软的Word宏和Outlook Express发送载有80个色情文学网址的列表,它可感染Word97或Word2000。当用户打开一个受到感染的Word 97或Word 2000文件时,病毒会自动通过被感染者的MS Exchange和OutlooK Express的通讯录,给前50个地址发出带有W97M_MELISSA病毒的电子邮件。 如果某个用户的电子信箱感染了“美丽杀手”病毒,那么,在他的信箱中将可以看到标题为“Important message from XX(来自XX的重要信息)”的邮件,其中XX是发件人的名字。正文中写道,“这是你索要的文件……不要给其他人看;-)。”此外,该邮件还包括一个名为list.doc的Word文档附件,其中包含大量的色情网址。 由于每个用户的邮件目录中大都留有部分经常通信的朋友或客户的地址,“美丽杀手”病毒便得以以几何级数向外传播,直至“淹没”电子邮件服务器,使大量电子邮件服务器瘫痪。据计算,如果“美丽杀手”能够按照理论上的速度传播,只需要繁殖5次就可以让全世界所有的网络用户都收到一份。由于病毒自动地进行自我复制,因而属于蠕虫类病毒。“美丽杀手”的作者显然对此颇为得意,他在病毒代码中写道:“蠕虫类?宏病毒?Word97病毒?还是Word2000病毒?你们自己看着办吧!” “美丽杀手”最令人恐怖之处,还不在于“瘫痪”邮件服务器,而是大量涉及企业、政府和军队的核心机密有可能通过电子邮件的反复传递而扩散出去,甚至受损害的用户连机密被扩散到了哪里都不知道。由此看来,“美丽杀手”较之1988年谈之色变的“莫里斯蠕虫病毒”和1998年的“BO黑客程序”,更加险恶。 #1 红色警报! 1999年3月28日,美国国家设施保护中心(简称NIPC)正式发出警告:“美丽杀手”病毒正通过互联网快速散布,NIPC敦促微软Office用户不要打开任何可疑的附件文件。NIPC与联邦调查局已接获多起商业、政府及军方系统遭到攻击的报告。美国YAHOO、AOL等,就因为“美丽杀手”“灌满”了他们的邮件服务系统,不得不终止邮件服务。美国联邦调查局(FBI)也发出紧急警告:“美丽杀手”正在大流行。美联社3月27日报道:卡内基·梅隆大学受国防部资助的“电脑紧急反应小组”在3月26日下午发布了紧急公告,自“电脑紧急反应小组”在十年前成立以来,这是它第二次认为某种病毒重要到需要发布公告的地步。第一次是在1994年,那是为了提醒人们注意一种使得电脑窃贼能收集口令的病毒。 #1 来不及了! 病毒警报响彻整个互联网,可是已经来不及了。大量的垃圾邮件像洪水一样蔓延到互联网。据NAI估计,截至星期一,该病毒已经感染上数以百万计的计算机。美国国家基础设施保护中心的负责人迈克尔·瓦蒂斯(Michael A.Vatis)表示,微软、英特尔、摩托罗拉、朗讯等大公司及数十所大学已经感染了“美丽杀手”,部分公司亦已宣告暂时关机。同时,美国俄勒冈州波特兰市政府的网络,马里兰州洛克希德-马丁公司的电子邮件网络出现过载。 据证实,“美丽杀手”已经瘫痪了五万部电脑主机和数十万部电脑,包括美国政府、企业和军方的电子邮件都遭到侵袭,造成网络严重“塞车”。据卡内基大学“电脑紧急反应小组”技术负责人杰夫.卡朋特(Jeff Carpenter)指出,3月28日晚间已有超过100个站点遭到攻击,无法收发电子邮件。另一位专家也表示,“美丽杀手”正以极罕见的速度蔓延。 据报道,3月26日微软公司因受到“美丽杀手”的攻击,被迫关闭Exchange Server电子邮件服务器,暂停电子邮件出入。微软成为最大的“牺牲者”,他们正平心静气地等待事件落幕。在许多地方INTERNET已经瘫痪,这在历史上是第二次,而第一次是“莫里斯蠕虫”大发作。 有媒体称,对付此病毒最简便的方式是,用户在电脑询问是否要开启MS Word宏指令时,选“No”。但是,据调查,有40%的用户习惯选“YES”。 #1 病毒变异了! 正当网络安全专家们夜以继日地工作,试图阻止MELISSA的传播时,MELISSA开始变异了。病毒已经产生了可以躲开针对它的反病毒软件的附加功能。趋势公司负责人斯奇拉德(Schrader)说,周末在www.sendmail.com上发布的预防“美丽杀手”病毒的补丁很快就失效了。一些计算机安全专家警告说,“美丽杀手”病毒的变种能够很容易地携带更多的“致命”附带文件。 正当企业用户紧急动员起来严防“美丽杀手”病毒时,1999年3月30日又出现了另一个同样会迅速扩散的病毒,它的名字叫“怕怕”(PAPA)——另一种Excel宏病毒,它能够绕开网络管理员上周末设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒类似,但它们的区别是“怕怕”可以使整个网络瘫痪,而不仅仅是干扰邮件服务器。美国加州网络协会的官员沙尔。维埃罗斯(Sal Viveros)说,Papa病毒被激活后,它就会随用户电子邮件地址簿中的前60个地址发送出去。它还可以向一个外部网站发送网络请求,这样就会占用大量的带宽而拖跨企业网络。据维埃罗斯说,“怕怕”病毒最初出现在alt.bondage新闻组。维埃罗斯不认为“怕怕”病毒和“美丽杀手”是同一个人写的,他说“怕怕”只是用了与“美丽杀手”相同的复制手段。与“美丽杀手”病毒一样,“怕怕”病毒可以使它感染的文件所具有的宏病毒预警功能丧失作用。计算机安全官员们担心,由于黑客们不断改变其代码,这两种宏病毒会具有多重特性,它们的“变种”将在不同的电子邮件软件中采用不同的方法进行传播,而最初的“美丽杀手”病毒只是针对微软公司的Outlook Express邮件软件设计的。 #1 能否找到“杀手”之父? 有报道说,“美丽杀手”病毒编写者可能已被查出,这多亏了微软Office软件中那个引起争议的序列ID号,那个被称之为“全球唯一识别符”(GUID)的序列ID号,包含在使用Office软件和其它一些应用软件(如Visual Basic)生成的文件中。仅仅在几周之前,该序列号还引起了保护个人隐私积极分子的责难,认为它能够被用来追踪某一确定文件的作者。研究人员似乎已经找到了“美丽杀手”病毒的编写者。两位软件工程师从“美丽杀手”病毒中提取的信息看起来和AOL(美国在线)的一个用户及一个网站有关,这些资料显示出“美丽杀手”病毒的编写者在AOL上使用的用户名是Sky Roket。Roket已经有较长的散发病毒历史,他在1997年底采用同样的方式散发了至少三个病毒。据美国国家基础设施保护中心主任称,美国联邦调查局(FBI)如果起诉“美丽杀手”病毒的编写者,可以请求法庭对他罚款35万美元,并判处5~10年的监禁。 目前,FBI的56个地方分局已张开了天罗地网,全力搜捕这位病毒作者。这是闻所未闻的举动。