IT人员的困绕：互联网早期的病毒传播

 

以下介绍几类令人印象深刻的病毒：

 

1.引导区病毒boot.polyboot（瑞星叫boot.wyx）

 

因为Windows9x仍然没有完全摆脱DOS，操作系统的启动可以理解为先启动DOS7，再加载Windows外壳。软驱仍是电脑的标配，企业办公网内交换数据，除了邮件之外，比较多的使用软盘。很多人用软盘时有个不良习惯：他的软驱中总有一张盘塞在里面，不管这个盘是不是引导盘。在这种情况下，引导区病毒就会在交换使用软盘的过程中广泛传播。

 

一台正常的计算机仅读取带boot.polyboot病毒的软盘是不会染毒的，风险在于，这台计算机下次启动时，如果这张有毒的软盘仍在软驱里，开机时，软盘里的病毒就进入内存，感染硬盘。接下来，所有在这台计算机上写入过数据的软盘都将会polyboot引导区病毒感染。这些软盘，再去感染更多的硬盘。

 

重启是引导区病毒感染的重要时机，而那个时候的Windows9x（包括Windows95/98/me）特别不争气，动不动就给你来张大蓝脸，重启了。这个引导区病毒不发作，系统不会有任何异常，一旦发作，病毒会将正常的硬盘分区表和主引导记录改写，导致系统不能启动或者分区丢失，数据因此不能访问。

 

杀毒软件对引导区病毒通常不敢轻易处置。因引导区病毒比较多，每种破坏分区表的情况不完全一致，用户的使用水平也参差不齐，如果处理不当，又会造成分区无法访问数据丢失的严重后果。杀毒软件处理这种病毒时，一般会建议用户备份损坏的分区表，然后才去执行清除操作。

 

至今我仍记得用下面这种通用的办法对付引导区病毒：使用干净的Windows9x命令行，执行format a:/s创建干净的Windows9x启动软盘，软盘启动，执行fdisk/mbr，再执行sysc:来搞定引导区病毒。Windows2000或Windows XP就用光盘引导至故障恢复控制台（一个类似DOS的界面），执行fixmbr和fixboot。

 

现在，也有改写主引导记录的特殊病毒，比如鬼影、TDSS rootkit，这两个病毒都造成了十分恶劣的影响。鬼影寄生在MBR上，启动病毒木马下载器，中毒电脑会下载很多盗号木马，安装流氓软件。TDSS rootkit是技术高超的后门程序，全球范围内构造了超过300万台PC组成的僵尸网络，感染之后，完全隐藏自身，极难清除，病毒现在主要做广告营销，同时极其危险，被控制的僵尸电脑随时可以用作特殊目的。

 

2.感染型病毒（funlove，CIH）

 

funlove病毒会感染这台机器上所有的EXE文件，包括局域网内有可写权限的共享路径（我很奇怪那个时候怎么有很多网管使用共享服务时，习惯于使用完全共享，而不是授权访问和只读共享）。感染后的EXE文件长度会增大，启动被感染的程序时，运行速度会变慢。反复中毒，反复杀毒。结果很快这些EXE就完全损坏，运行就报告错误的win32程序。那个时候，最困扰的问题就是反复中毒，用户因为没有解决防毒的根本问题而反复中毒，对杀毒软件的抱怨也比较多。

 

类似的感染型病毒，杀毒软件通常显示的病毒名前辍为“win32.”，表示，这是一个Windows32位平台下运行的病毒，中了感染型病毒的特点就是会发现很多EXE中了同一种win32病毒。大部分系统程序文件在感染型病毒后，使用杀毒软件修复到基本正常可用的状态，但也并不都是如此。

 

有的感染型病毒会出现某些意外，比如熊猫烧香病毒。因李俊同学的程序存在BUG，使得每一个被熊猫烧香病毒感染的EXE文件都有一个熊猫的图标，这其实并非作者李俊故意用图标招摇，实际是感染动作存在BUG，这个图标让李俊同学一举成名。

 

有一些技术实力很强的感染型病毒，比如Virut，这是个罕见的技术型病毒，病毒会尝试加密变形，使每次感染造成的破坏不尽相同，杀毒软件要想修复被破坏的EXE，就得仔细分析感染原理，这个virut病毒折磨珠海最NB的毒霸分析员boom好几天没睡觉。据说珠海金山后来对病毒分析师增加了一项考核，加薪升职必须满分通过：完整分析病毒virut。

 

还有一些概念型的感染型病毒，至今杀毒厂商都不能修复。这些病毒是那些技术高超的病毒作者刻意和杀毒厂商的工程师叫板，这类概念型病毒，也没有蓄意大规模传播。有些病毒作者没有设计复杂的感染动作，而是用病毒自身覆盖了大量EXE程序文件，染毒文件本身已经没有修复价值。杀毒软件对这类感染型，只能删除解决。

 

3.宏病毒

 

自从微软的Office成为办公软件的统治者之后，宏病毒就困绕着办公一族。在软盘时代，很多公文是通过软盘交换的。早期计算机病毒多用机器语言编写，掌握病毒程序开发有较高门槛。而宏病毒使用VBA语言编写，那时候学习VB的人非常多。在处理大量办公业务时，宏功能是文档分析师们的大爱。可以根据业务需要，编写宏功能自动完成一些重复操作。而喜欢恶作剧的人，就用VBA写了大量宏病毒。

 

大多数宏病毒是出于恶搞的目的，比如，办公的时候，弹出一个数学题让你做，做对了关闭，做错了，就继续下一道题。或自动打开很多文档，把计算机资源耗尽。但也有非常恶劣的宏病毒，其中有个杀手13的宏病毒就设定为日期＋月份＝13时（5月8日，6月7日等）发作，发作后，病毒创建一个批处理autoexec.bat，deltreec:\*.*/y,就在你下次开机的时候，删除C盘的所有文件。