您真的瞭解電腦病毒？

趨勢科技全球資訊安全協理 紀孟宏

緣起

在連續幾天陰雨綿綿之後，難得出現了一個陽光燦爛的日子，隨著窗外的不時幻化的藍天白雲，Steve 的心情也跟著飛揚起來，想起今天即將 Release 的產品，心情更是 High 到了極點，一進公司正打算把最新的 Source Code 燒錄到 CD 備份起來，但眼前所看到的事實卻讓他怎麼也不敢相信自己的眼睛，居然所有原始程式碼的檔案長度都變成０個位元組，再檢查一下花了一個月所完成的技術文件，竟然長度也都變成 0。這突如其來的結果讓 Steve 一時之間不知所措，原本還抱有一線希望，也許是坐隔壁的 Jenny知道發生了什麼事，但是在 MIS 專家檢查的結果之下，竟然是公司內部有一台電腦感染了『TROJ_EXPLOREZIP 探險蟲』病毒，這隻病毒開始透過公司的內部網路爬行，入侵一部又一部的電腦，摧毀一個又一個檔案，而 Steve 的原始程式碼就因為存放在一個 Share 出來給所有工程師的伺服器上，所有重要的程式碼及文件檔全都無一倖免。

電腦病毒新趨勢

事後 Steve 回想自己到底疏忽了什麼，他既不隨便安裝盜版軟體，也極少執行及開啟來路不明的檔案或文件，自己電腦裡的防毒軟體也都經常更新，為什麼所有的原始程式碼還是會被破壞掉？ Steve 的心裡一直存在這個疑問，一直到看了探險蟲病毒的分析報告之後，才發現原來自己對電腦病毒的瞭解已經成為過去式了，許多以前認為不可能的管道，現在都已經成為電腦病毒覬覦的對象。除了傳統的磁片、檔案伺服器以外，到底還有那些新型態病毒的主要感染管道呢?

一、以合法管道進行非法存取
在傳統的觀念裡，電腦病毒必須先藉由某種方式入侵電腦，然後伺機感染這部電腦的其它檔案，在經過一段潛伏期後，最後在某個特定日子進行破壞，乍聽之下好像是電影ID4 中的情節，不過事實上電腦病毒就是如此。以上面所舉的『TROJ_EXPLOREZIP探險蟲』為例，它開創了另一種新的病毒行為模式，『探險蟲』病毒會以受感染的電腦為源頭，透過網路自動向外擴散，並嚐試進入將資料夾分享(Share)出來的電腦、刪除該電腦中的資料。這樣的行為對於電腦作業系統而言，是完全合法的，因為只要權限足夠，我們可以對任何設定為資源分享的資料夾做存取的動作，而這也是為什麼『探險蟲』病毒的災情，在過去幾個月中不斷在世界各地傳出的主要原因。

二、閱讀E-MAIL時自動散播
以往我們認為在使用電子郵件時，只要不執行或開啟附件（Attachment）就不會遭受病毒感染，但『VBS_BUBBLEBOY泡泡男孩』這隻由VBScript語言所寫成的病毒，卻打破了這個觀念，即使是僅開啟電子郵件也可能遭受到病毒的威脅。『泡泡男孩』是以電子郵件的型態在網路上傳播。郵件的主旨為"BubbleBoy is back!"，同時郵件的內容為"The BubbleBoy Incident，pictures and sounds."及一個由"bblboy.htm"結尾的沒有意義的網址。當我們收到這封不含有任何附件的E-mail 時，不論我們是直接開啟這封郵件或是在預覽窗格中看這封郵件，其實泡泡男孩病毒已經開始執行了，泡泡男孩被執行後，會自動尋找使用者的通訊錄，再把同樣的郵件自動寄給通訊錄內的地址，當你的朋友正在閱讀你的來信時，其實泡泡男孩病毒又從你朋友的電腦開始散播給其他人了。

三、藉由E-MAIL主動散播
談到能藉由 E-MAIL 主動散播的病毒，就非『梅莉莎』病毒莫屬了。想必大家對於這隻曾經驚動美國聯邦調查局（ＦＢＩ）的文件巨集病毒一定耳熟能詳，梅莉莎病毒是首隻會透過 Outlook 大量並以等比級數的速度散播的巨集病毒，短短一週內毒性襲捲全球，許多知名大企業的郵件伺服器 (E-MAIL Server) 也都因梅莉莎病毒所引起的郵件風暴，導致伺服器不堪負荷而紛紛當機。

真正的防毒之道

一、全面圍堵
從前我們總認為只要99%企業內部的電腦做好防毒措施，就表示該企業至少是99%安全的。但是自從『探險蟲』病毒出現之後，這樣的理論很快的就被推翻了，因為事實證明只要有1%的電腦未做好防毒措施，表示該企業還是有99%的機會遭受的病毒的侵襲，所以將每一台個人電腦做好防護措施是最基本的一個原則。

二、從根本解決問題
以『梅莉莎』病毒為例，它會透過e-mail 一傳十、十傳百的大量散播，縱使我們可以在安裝有防毒軟體的個人電腦上攔截到病毒，但是帶有病毒的郵件仍然在郵件伺服器中流竄。根據這種特性，如果我們可以把防毒軟體安置在郵件伺服器(E-Mail Server)中或是網際網路的閘道(Internet Gateway)上，那麼進出的每一封電子郵件甚至檔案都可以在『入口』處就先進行檢查，如此一來不但可以大幅減低用戶端受病毒感染的機會，更可從根本解決電腦病毒的問題。

三、中央控管
對於一個大型機構而言，數十部甚至上百部伺服器是常有的事，雖然我們可以在檔案伺服器、郵件伺服器、網際網路閘道以及每部個人電腦上安裝防毒軟以達到『滴水不漏』的目標，但是將防毒軟體安裝在不同的機器上，在小企業可能還不是太大的問題，可是對於擁有上百部或上千部電腦的大型企業，資訊管理人員根本無從管理起這樣龐大的系統。如果每一部安裝有防毒軟體的個人電腦以及伺服器都可以主動將掃瞄結果、防毒元件更新狀況主動回報到一個中央控管中心，那麼 MIS 人員便可以輕鬆的透過單一介面來掌握或指揮任何一部伺服器。

尾聲

電腦病毒其實和真實世界的病毒並沒有什麼太大的差異，誰也沒辦法預測繼世紀黑死病 AIDS之後，還會什麼樣足以威脅人類生命安全的病毒出現。同樣的我們也很難去預測下一代的電腦病毒將會長成什麼樣子、將會利用那些新的感染管道。因為電腦病毒的趨勢其實是跟隨著整個資訊產業在起伏，從1987年的『(C)Brain開機型病毒』、1989年的『耶路撒泠DOS檔案型病毒』、1995年的『Concept文件巨集病毒』到1996年『BOSZ視窗型病毒』其實正明白而完整的呈現了這十年來的軟體發展史。所以我們唯有保持高度警覺，隨時更新對電腦病毒的認知，以及調整企業防毒的步伐，才能做到企業防毒的最佳化。