“爱虫”大灾难 刘宁 2000年 第19期 #1 病毒说:“我爱你”   5月4日,以后人们再谈起这个日子的时候,记得的可能不仅仅是“青年节”了。因为,今年的5月4日,一种叫做“I LOVE YOU”的计算机病毒开始在全球各地迅速传播。美国国防部、中央情报局、英国国会、通用公司……一时间,众多部门和公司的计算机系统纷纷中的落马。据估计,到5月6日,全球约有 4500万台电脑被感染,造成的损失已经达到26亿美元。并且,在病毒疯狂传播的第二天,已经开始出现新面孔的“I LOVE YOU”病毒,让计算机用户和反病毒专家更是防不胜防。迄今为止,至少已经发现了五种这个病毒的变体,但是它们仅仅是简单地将“I LOVE YOU”病毒改头换面而已。例如,将携带病毒的邮件主题由“I LOVE YOU”(我爱你)改为“fwd: Joke”(玩笑),或者是“Mother's Day Order Confirmation”(母亲节订单确认)。据专家估计,业界可能需要两周的时间才能摆脱这种病毒的困扰,在头几天,估计每天会有10亿美元左右的损失。中国在这次病毒狂澜中的损失较小,可以说“五一”长假帮助我们阻止了病毒的蔓延。   “I LOVE YOU”病毒是一种蠕虫型病毒,是用VBScript编制的,其传播方式很像去年的“美丽杀手”病毒。它通过Microsoft Outlook向用户地址簿内所有的地址发送主题为“I LOVE YOU”的邮件,邮件的内容是“kindly check the attached LOVELETTER coming from me”(请你收下这份情书),邮件还有一个名为“LOVE-LETTER-FOR-YOU.TXT.vbs”的带病毒附件,一旦毫无防范的用户打开该附带文件,便激活了隐藏在其中的病毒软件。该病毒不仅可以通过邮件的方式传播,还可以修改mIRC的“script.ini”文件,当用户通过mIRC连接到服务器时,病毒就会给当前频道的所有用户发送一个名为“LOVE-LETTER-FOR-YOU.HTM”的附件以达到传播的目的。   感染该病毒后,用户的邮件系统会变慢,并可能导致整个网络系统崩溃。并且,该病毒感染力极强,可自动寻找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索可以感染的目标。该病毒感染如下扩展名的文件:“vbs”、“vbe”、“js”、“jse”、“css”、“wsh”、“sct”、“hta”“jpg”、“jpeg”、“mp3”和“mp2”。当病毒找到有以上扩展名的文件时,用病毒代码覆盖文件原来的内容,并将后缀修改为vbs,随后毁掉宿主文件。   一旦感染“I LOVE YOU”病毒,带来的恶果将会远远大于去年肆虐的美丽杀手病毒。然而,防止这种病毒的方法也很简单:不要打开这种邮件,将它们删除了事。也就是说,你只要看到邮件主题是“I LOVE YOU”或邮件下面有一个名为“Iloveyou.doc”的附件就别打开它,并立刻将整个邮件删掉。当然,这还是不够的,最好的方法是升级你的防毒软件,彻底断绝可能的病毒变体的入侵。 #1 菲律宾女大学生——制造爱虫的疑犯?   美国联邦调查局(FBI)在获悉消息后立即展开了追踪,在一位19岁的瑞典电脑天才约纳森·詹姆斯的帮助下,FBI很快查出了病毒的作者来自菲律宾。约纳森去年曾经帮助FBI查获美丽杀手病毒的作者,因此一举成名,他在4岁时就开始接触电脑,13岁就能编程序。   5月8日,两位FBI的官员联合国际刑警和菲律宾警方一起来到了马尼拉潘大坎区的一所公寓,突击搜查了一个住所。住在这里的一对夫妇及一位女大学生已被警方认为是制造爱虫病毒的疑犯。当时这对夫妇没有在家,27岁的男主人雷欧内尔·拉莫内斯在住房外面的街道上被捕,但他否认制造和传播了这个病毒。当时他的妻子伊琳娜·德古兹曼正在上班,她打电话告诉警方,她将自己到警察局去。她的妹妹约瑟琳·德古兹曼,是马尼拉一家私人兴办的AMA计算机学院学生,与他们夫妇同住,她与姐姐都被警方暂时逮捕。   搜查中警方在房间里没找到电脑,但有明显迹象表明那里曾摆过各种计算机设备,而且在搜查前全都移走,现场只留下一些零部件。警方觉得更有嫌疑的是23岁的约瑟琳,据邻居们反映,她在学院学的是软件专业,每天都在公寓里鼓捣电脑。而且,据菲律宾国家调查局称,他们在病毒中发现了10个内嵌的密码姓名,这些名字来自AMA计算机学院。AMA计算机学院在8日也发表声明称,该学院已注意到有关本学院学生参与“爱虫”研发的报道,他们不会宽恕这种黑客攻击行为,将积极与政府部门和警方配合。   由于菲律宾没有计算机犯罪的相关法律,因此病毒制造者最后将可能会以“技术诈骗”罪被捕,刑期达20年。而美国也可能提出引渡罪犯的要求。 #1 微软:不是我的错   显然,“I LOVE YOU”病毒是针对微软的Outlook电子邮件系统的漏洞而设计的,它主要攻击微软的Windows系统软件和Outlook电子邮件软件。这种病毒利用微软的宏指令和Visual Basic高级程序语言入侵电脑,进而毁灭整个电脑系统。而Outlook是大多数个人电脑的主要电子邮件软件。实际上,过去已有的包括美丽杀手病毒在内的多种电脑病毒,都是利用微软软件的这种特性,大量传播病毒的。这些病毒之所以能在互联网上横行无阻,根本原因就是:它们以使用电子邮件的形式躲过了网络上的各种防火墙的阻隔,而电子邮件软件Outlook又不对邮件作安全检查。   为此,微软已经受到许多批评,一些计算机专家指责微软公司将Windows系统软件和电子邮件以及Internet浏览器软件捆绑在一起,从而使得用户的系统非常容易遭到病毒的袭击。而且,微软不注重安全问题,也是造成损失的主要原因之一。微软则认为,病毒的制造者正是因为大部分用户使用微软的软件,才选择微软的软件作为攻击对象。同时,微软又对此事表示关注,已经发布了一个新的补丁程序以阻止“I LOVE YOU”病毒的扩散,该程序名为“e-mail attachment security update”,可以从“http://office-update.microsoft.com/2000/downloadDetails/ O2Kattch.htm”免费下载。   将问题归结为程序语言的问题显然是简单化了,这个问题实际上牵扯到微软公司的软件哲学以及它怎么来设计产品。这位软件业巨人的成功,部分地源于它的应用程序之间,以及应用程序与Windows操作系统的紧密联系,但这大大增加了新的安全隐患。一个问题是Outlook的扩展性依赖于Visual Basic,而黑客恰恰也可以利用它;另一个问题是脚本语言可以非常容易地操纵Outlook的地址簿,并且也能很容易绕过其它安全机制,如口令保护。   之所以造成这种结果,基本的原因就是市场要求在软件中加入尽可能多的功能,而这却是以牺牲安全为代价的。当所有的软件公司面对这种来自客户的需求压力时,纵使像微软这样著名的软件巨人也不得不屈从之。对于微软来说,更多的功能远比安全性重要得多。因为对于用户来说,第一位的不是安全性,而是怎么才能更容易地完成他们的工作任务。   一些计算机专家认为,随着越来越多的事务处理计算机化,安全隐患将会越来越大。尽管市场的焦点可能继续是要求微软和其它软件公司提供功能更强大、更容易使用的软件,但是这些计算机公司有责任和义务向用户解释安全的重要性,提高用户的安全意识,从而扭转市场的需求焦点。随着Internet的日益普及和电子商务的开展,人们会越来越认识到安全确实比功能更重要。