剿灭“美丽杀手”Melissa

近一段时间，“美丽杀手(Melissa)”成了继小羊“多莉”以
来又一个特别出名的“人物”。它的正式名称是W97M_Melissa,就是它在1999年3月27日晚间,通过Microsoft Outlook自动散播垃圾邮件攻陷了全球数以千计的Mail Server,短短数天内像燎原之火一样席卷全美国，并以飞快的速度向全世界蔓延。
病毒档案
“美丽杀手”
利用微软的Word宏和Outlook，从OutLook的全域地址表中获取成员地址信息，将下列信息以电子邮件方式， 自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。发送载有80个色情文学网址的列表，它可感染Word 97或Word 2000。该病毒的传播方式颇为隐秘。其主题为：“来自XX的重要信息”，其中XX是发件人的名字。正文中写道：“这是你索要的文件……不要给其他人看;-)。”此外，该邮件还包括一个名为list.doc的Word文档附件，其中包含大量的色情网址。
该病毒对被感染的计算机似乎并不造成任何危害。除非在少数情况下，即在当前时间的分钟数与日期数相同时，例如在3月26日的下午3:26时，病毒将在使用者的Active控件中插入Bart Simpson的一段话：“二十二点，加上三倍字数得分，再加上阅读我的信件所需的五十点。游戏结束。我要到这儿了。”病毒可以将自己复制到使用者发送地址单中的成千上万个联络人那里，并且，病毒很可能漏过邮件服务器。
表现症状
当用户打开已传染有该病毒的文件时，Melissa便传染用户系统，同时，病毒通过用户收发带毒的文件互相传染，传染过程非常隐蔽。Melissa病毒的具体表现症状是：
1．当用户打开的文件传染有该病毒时，病毒首先检查注册表中是否有Melissa的注册信息, 若有则表明系统已被传染，否则，在注册表中创建一条注册项如下：
HKEY_CURRENT_USER\Software\Microsoft\Office\"Melissa? = ... by Kwyjibo"
2．利用Visual Basic指令建立一个OutLook对象，从OutLook的全域地址表中获取成员地址信息，将下列信息以电子邮件方式，自动发送到地址表中的前50 个邮箱(一次发送50封邮件)。其中：邮件主题为:“Important Message From - <User Name>” 正文为：“Here is that document you asked for ... don't show anyone else ;-)”。
之后病毒将已传染有该病毒的文件作为附件，附加到该信息后面发送出去。目前较为流行的一种附件的文件名为“list.DOC”（注意附件的文件名并不只有这一种）。
3．当用户接收到带毒的邮件并打开时，用户的Word系统中所有打开的文件将被传染。当机器系统的分钟值与当前的日期相同时，打开一个被传染的文件，病毒将在当前的光标位置插入下列信息：
“Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.”
4．值得注意的是Melissa病毒在传染Office 2000时，首先从注册表中检查其安全保护级别，如果注册表中HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security\"Level"的值是否为0,如不为0病毒将禁用菜单中的“MACRO/SECURITY”选项。如果用户使用的系统是Word 97，则病毒禁用菜单中“TOOLS/MACRO”选项。Melissa宏病毒代码中包括下列注释：
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!
PAPA（怕怕病毒）
为掩人耳目，“美丽杀手”病毒还有叫做“怕怕（Papa）”的变种，它可以使整个网络瘫痪，而不仅仅是干扰邮件服务器。与 Melissa通过Word文件传播不一样，它是通过邮寄Excel文件而传播的。每次该病毒被激活后，它就会向用户电子邮件地址本中的头60个电子邮件地址将自己发送出去。它还可以向一个外部网站发送网络请求，这样就会占用大量的带宽而拖跨企业网络。　
查杀与预防
针对“美丽杀手”，很多反病毒公司都竞相推出自己的查杀与预防措施。本文总结了比较知名的反病毒软件公司针对“美丽莎”病毒的软件升级版及这些公司的网站地址，有兴趣的读者可以到相关网站下载软件或了解更多关于该病毒的知识。
1．美国网络联盟NAI公司
NAI公司的全无敌TVD套件家族产品的4.x、7.x、3.x版本均可以对付来势汹汹的“美丽杀手”。只要被感染的用户与NAI的网站相连，下载相关软件，问题就会迎刃而解。方法如下：
（1）最新版本的安装
1）确保VirusScan4.0.2已安装在系统上
在屏幕右下角的VirusScan Shield图标上按鼠标右键，会有一个对话框弹出，上面会显示目前的VirusScan的版本。
2）确保安装最新的版本
如果你现在的版本低于VirusScan4.0.2，那么需要你连接http://internal.nai.com/departments/is/swdown.asp#VS。
从菜单中选VirusScan4.0.2版本选项，然后按说明安装。
（2）利用VirusScan的自动更新功能将DAT文档升级
在屏幕右下角的VirusScan Shield图标上按鼠标右键，会有对话框弹出。选择自动DAT更新任务项，并点击绿色的进行键开始执行任务。
（3）检测你是否有最新的病毒定义文件4.0.4019
在屏幕右下角的VirusScan Shield图标上按鼠标右键，选About会有对话框弹出。病毒定义文件的内容会显示在屏幕上。
除此以外，NAI还提供了全面实时的技术支持，在工程和顾问人员的帮助下用户实施NAI的GroupShield Exchange并进行了系统备份。目前该病毒已经得到控制，NAI的技术人员还在继续观测，并随时待命提供技术支持。
2．北京时代先锋公司
针对“美丽杀手”病毒，北京时代先锋公司建议用户不要使用Word 97 和 Word 2000文字处理软件的“宏”，也不要轻易打开任何可疑电子邮件的附件，因为其中可能隐藏着这种极具自我繁殖力与破坏力的“美丽杀手”或“怕怕”病毒；对于企业而言最好将文件加密，这样可以保证企业机密信息不被泄露。已经拥有“行天98”的用户可以放心，因为“行天98”已经完全可以防治这两种病毒了，但请用户注意开启“病毒过滤器”功能和“在线监控”功能；网络用户请参照本企业具体情况采用“行天98”网络反病毒系统进行防治；如有疑问可到网站（http://www.sdxf.com）中的“病毒讨论”区留言。
3．北京冠群金辰公司（http://www.kill.com.cn）
该公司于3月28日～29日连续推出Kill 98 的4.19E版、4.19F版、4.19G版专门针对Melissa病毒的最新版本、新的类似变种及怕怕病毒。
4.北京瑞星公司(http://www.rising.com.cn)
3月27日，推出最新版的瑞星杀毒软件9.0(9)版。
5.北京乐亿阳趋势公司
3月26日上午研制了第一个可以防治“美丽杀手”病毒的疫苗，并开始向用户提供病毒码升级和免费线上扫毒House Call服务。其产品PC-cillin98已通过中国国家考核合格实验室针对Melissa病毒的专项评测。

·背景资料·

“美丽杀手”之父落网记
鉴于“美丽杀手”病毒对全世界的计算机系统造成了巨大破坏。美国联邦调查局（FBI）下令全力搜索该病毒的作者,它的56个地方分局都参加了这一行动。
追踪这样一个具有高超计算机水平的病毒编写者原本是很困难的，但这次追查因为微软 Office软件中那个引起争议的序列（ID）号而变得相对容易了些。研究人员很快感觉到他们似乎已经找到了“美丽杀手”病毒的编写者。有两位软件工程师认为从他们在“美丽杀手”病毒中提取的信息来看，这件事和“美国在线”的一个账号及一个网站有关，这些资料使执法人员最终找到了“美丽杀手”病毒的编写者。
那个被称之为“全球唯一识别符（GUID）”的序列号，包含在Office软件和其他一些应用软件生成的文件中。仅在几周之前，该序列号还曾经引起保护个人隐私积极分子的责难，他们认为它能够被用来追踪某一确定文件的作者。
而上面提及的这两位软件工程师所做的正是这样一件事。他们通过追踪那个具有唯一性的序列号，追踪到了一个确定的网站，发现被插入到 Word 宏中的“美丽杀手”病毒上的电子“指纹”，和那些张贴在该网站上文件中的电子“指纹”一模一样（所谓电子“指纹”，又叫作“媒体访问控制”地址，是一台 PC 机以太网卡上一个具有唯一性的ID号）。
这个被追查出来的网站属于一个用心歹毒的电脑怪客。这个电脑怪客还是其他好几种病毒工具的编写者，拥有好几个化名，包括 VicodinES，Sky Roket，John Holmes 和 Johnny "One Leg" Johnson等等，其中，Sky Roket 是其在“美国在线”上使用的用户名，也正是那个最先把含有“美丽杀手”病毒的电子邮件张贴在 alt.sex 新闻组上的人的名字。Sky Roket 这个用户名的控制者已经有较长的病毒张贴史，至少有三种张贴于1997年晚些时候的病毒采用了同样的传播方式。那两位软件工程师中的一位称，从 Word 文件“全球唯一识别符”中提取的“媒体访问控制”地址和众多网站上注册人为 VicodinES 和 Sky Roket 所编写文件中的“媒体访问控制”地址吻合。
这一“疏忽”对于“美丽杀手”病毒的编写者来说，代价是非常大的。4月2日，美国新泽西州司法部长的发言人宣布，制造和传播电子邮件病毒“美丽杀手”的史密斯已于1日晚间被捕。据报道，今年30岁的史密斯是被由美国联邦和州特工人员组成的电脑突击队在“美国在线”公司的协助下逮捕的。被逮捕的时候，史密斯正在他的兄弟位于伊顿敦附近的房子里。史密斯是AT&T公司实验室的系统维护员，并受雇于CGS计算机同仁公司，他在阿伯丁他自己的住处制造电子邮件病毒，“蒙丽莎”这一“商标”则来自于佛罗里达的一位脱衣舞女子的姓名。
FBI正试图起诉史密斯，请求法庭对其罚款35万美元并判处5到10年的监禁。4月3日，史密斯在缴纳了10万美元的保证金后获释。
美国国家基础设施保护中心的负责人Michael Vatis表示，根据美国法律规定，任何蓄意编写、传播这种会吞噬大量网络和计算机资源的恶意病毒并造成破坏的个人或团体，最高将受到40年的监禁处罚，并处48万美元的罚金。Vatis拒绝进一步提供评论，不过他补充说：“受此病毒影响的公司数目可能已有成千上万，这个问题已经造成了国际影响”。