愛情蟲搶救實錄

趨勢科技技術支援部經理/林錦忠

「 I LOVE YOU」、「 I LOVE YOU」、「 I LOVE YOU」、…..，如果在短時間內同時有一大票認識或不認識的男男女女，同時愛上你，你是不是恨不得抱起螢幕親吻那些以「 I LOVE YOU」為標題的 eMail ? 當你在短時間內同時收到來自四面八方的示愛信函，別以為行情看漲，而心花朵朵開。真實版的"電子情書"，可會讓你聽到「我愛你」這三個字而毛骨悚然。
根據趨勢科技<全球即時監控中心報告http://wtc.trendmicro.com/taiwan/>報告指出，I LOVE YOU在5月4日發病，短短幾天內，截至截稿為止，仍躍居全球病毒感染率第一名。高峰期還達到 6,086,856 個中毒事件。
我們藉由以下這篇文章，來看看趨勢科技處理這個病毒事件的追蹤實錄。

5/4下午4:00-第一隻愛情蟲開始騷動

5/4下午4:00，我還在新竹科學園區和客戶討論如何使用趨勢科技的防毒軟體幫他們建構一個防毒網的各種架構性問題，當大夥兒正談得熱烈時，同行的業務部同事陳鈞輝Osman的行動電話響了，只聽到Osman和客戶說了兩句後，馬上把電話拿給我，他說：Michael，你幫我接一下這個電話，客戶說他們發現一隻新病毒。能不能先處理一下。什麼？您問我是誰？喔！我叫林錦忠或者您也可以叫我Michael，我是趨勢科技台灣區技術支援部經理。一個不穿醫生服卻常常要24小時待命的人。事實上接到客戶說發現病毒的電話對我們來說並不是一件不尋常的事，有可能只是客戶在詢問一些可疑病毒的消息，希望得到證實；有可能是客戶希望了解一些病毒的資訊，不過當我接到這通電話時，我的直覺告訴我，這隻病毒很危險，可能會造成大流行。因此我在電話中只簡單的告訴客戶一件事，請趕快把病毒樣本送給趨勢科技的病毒醫生分析，我們會立刻分析處理。然後我向客戶說聲抱歉，立刻撥電話回公司了解現況。在公司的病毒醫生顏立禕Axl告訴我，他已經收到病毒樣本，而且已經送到趨勢科技位於菲律賓的24小時eDoctor實驗室分析，同時Axl也告訴我，在德國也發現同樣的病毒，看起來是由德國透過電子郵件傳染到台灣的。電子郵件的風行帶動了人與人之間的溝通，可是病毒也透過這個管道達到大量而迅速傳播的目的。台灣和德國有6個小時的時差，因此當各大媒體說德國5/4上午（德國當地時間）發現病毒時，其實台灣幾乎在同一時間的5/4下午（台灣當地時間）也遭受到了傳染。由於可見透過電子郵件傳播的病毒的威力。同時更說明了趨勢科技的eDoctor實驗室能夠保持24小時運作的重要性。隨時可以在第一時間提供最完整的支援。

雖然我人不在公司，不過由於趨勢科技有一個完善的紅色警戒任務編組，當病毒蔓延時，這個機制會自動開始運作，所以其實我並不太擔心，畢竟一個運作完善的機制遠比靠人的運作會更有效率。而事後的檢討也證明趨勢科技的紅色警戒小組發揮了無比的功能。接下來，趨勢科技證實了這是一隻一級警戒的紅色警戒病毒，因此在最短的時間內由eDoctor實驗室準備了病毒報告，及針對這隻"愛情蟲"或是"情書病毒"提出了最新的病毒碼。趨勢科技已經全部動員起來了。所有的人都投入了這場和病毒及時間賽跑的比賽，而目的全是為了保護我們的客戶免於病毒的威脅。

5/4下午4:15愛情蟲病例表出爐

5/4下午4:15，趨勢科技已經對"愛情蟲"作了完整的分析，並將病毒報告送交各分公司。這是一隻利用VB script所寫出來的新病毒，傳播途徑類似去年3月釀成巨災的梅莉莎病毒，主要是透過一封標題為"ILOVEYOU"（我愛你）的電子郵件散播，電子郵件的內容為Kindly check the attached LOVELETTER coming from me（請看一下來自我給你的情書）及一個叫作"LOVE-LETTER-FOR-YOU.txt.vbs"（獻給你的情書）的附加檔案。電腦使用者如果被信件內容所"迷惑"而去執行該附加檔案時，病毒會經由被感染者的Outlook通訊錄的名單發出自動信件，藉以連鎖性的大規模散播，造成企業電子郵件伺服器（mail server）癱瘓。同時病毒會感染並覆寫附檔名為：*.mp3，*.vbs，*.jpg，*.jpeg，*.hta，*.vbe，*.js，*.jse等十種檔案格式；檔案遭到覆寫後，附檔名會改為 *.vbs。例如有一個叫"a.mp3"的檔案如果遭破壞後，會被改成"a.mp3.vbs"，同時這個檔案也被變成另一隻"情書病毒"。

5/4下午4:45病毒碼出爐

5/4下午4:45，趨勢科技已經將最新的病毒碼準備好了，接下來的動作就是要通知所有的客戶緊急應變措施了。病毒的動作很快，所以我們也要爭取第一時間來對抗它。當然我們也通知了趨勢科技的合作夥伴－優網通國際資訊股份有限公司。優網通是目前台灣的eDoctor（電子醫生）的服務中心。透過edoctor的服務，趨勢及優網通可以了解客戶企業內部的病毒活動狀況並提供諮詢服務，讓使用eDoctor的客戶，可以擁有最先進的防毒委外服務。

5/4下午5:00以 eMial 和電話全面警告客戶

5/4下午5:00，趨勢科技開始以電子郵件及電話的方式通知客戶，預作準備，同時把病毒碼放到網站上讓客戶下載及更新。在這個同時，趨勢科技對這隻病毒的運作方式也有更進一步的分析。當時我們發覺，雖然趨勢科技已經是全球第一個將病毒碼提供給客戶的公司，可是由於這隻病毒實在是傳染的太快了。所以可能有一些客戶已經遭到這隻病毒的感染，而一旦感染到這隻病毒，客戶需要一些很繁瑣的程序才能手動將這隻病毒所帶進來的檔案給清除掉。為了服務客戶，技術支援部主任蔡昇欽（Kevin Chai）覺得趨勢應該提供一個專門針對這隻病毒的程式來幫助客戶解決問題。於是Kevin請研發部的大將蔡振庭（Tim）緊急寫了一個程式來清除"愛情蟲"。現在趨勢科技除了原有的病毒專家及技術支援部門外，連我們的developer也加入對抗這隻病毒的戰場了。Tim很快的根據病毒的特性，寫好了一個清除病毒的程式。這隻程式可以刪除病毒帶進來的檔案，修改系統登錄值(registry)，讓系統回復原狀。所有的動作都在短短的兩個小時之內準備完成。趨勢科技的所有員工心理只有一個意念，我們要打贏這一仗，我們要讓趨勢科技的客戶得到最好的服務及免於病毒的威脅。

5/4下午6:00召開記者會，昭告大眾

5/4下午6:00，有鑑於這隻病毒的確帶來很大的威脅。趨勢科技決定召開記者會，讓社會大眾了解嚴重性，並提醒電腦使用者能預作防範。於是由趨勢科技台灣區總經理凌明源主持，對媒體說明了這隻病毒的特性。事後我們檢討事件處理經過時，各方意見一致認為這是很重要的一件事。因為只有透過媒體無遠弗屆的傳播能力，才能有效而迅速的提醒所有電腦用戶正視病毒的嚴重性。

5/4晚上延長客服時間至9：00

事情結束了嗎？還沒有！為了服務廣大的客戶，趨勢科技決定將客戶服務及技術支援部門的服務時間由原來的5:30延長到當天晚上的9:00。在這一段時間內，持續的有客戶來電詢問有關這隻病毒的資訊並尋求協助。而趨勢科技所有的工程師也發揮最大的熱誠來回答並解決問題。在我眼裡看起來，這些工程師都是最優秀的工作夥伴，平時您或許看不到這些工程師的貢獻或是服務的重要性，可是在緊急時刻，這些工程師們都是客戶的守護神。

5/4 夜晚9：00-12：00監控eDoctor客戶，更新病毒碼狀況

九點了，工程師們都已經下班了，所有的客戶都已經通知了。可是還是有一些客戶沒有辦法全部通知到（或許MIS人員已經下班了，或許由於病毒信件的大量傳播，使得我們的警告信無法及時到達客戶的信箱內），不過我們的確希望趨勢的客戶都能免於病毒的威脅。在這個時候，特別可以看出趨勢科技對客戶的承諾是不會打任何折扣的。此時我和幾位同事都還在公司內，待命著。這個時候，eDoctor的產品經理David Chen（陳盈裕）也到我的位置來了解目前的狀況。eDoctor是趨勢科技提供給客戶的防毒委外服務。除了善盡對客戶的告知責任外，我們對eDoctor客戶還有更進一步的承諾。透過eDoctor的監控畫面，我們發現還有部份eDoctor客戶的病毒碼還沒有全部更新。在這種緊急時刻，趨勢科技的網站發揮了最大的功效，不過網路塞車的問題還是可能發生。因此當我們發現這一個現像時，我們即透過eDoctor內建的功能，讓客戶端的軟體持續的和我們的server溝通以取得最新的病毒碼。而我們也持續的監看著客戶的狀況。一直到所有的客戶都得到安全的保護為止。忙碌的晚上就這樣子過去了，雖然辛苦，不過我們希望所有的辛苦都有代價。

5/5上午9:00 危機小組召開檢討會議

5/5上午9:00，經過一夜的辛苦後，該是驗收成果的時候。事實上，當台灣全力動員的時候，其實趨勢科技全球各事業單位也都同步在運作著。此時趨勢的大家長Jenny在她的辦公室內召開了一個小型的會議。我們先對5/4的工作做了一個簡短的檢討。參加的人員有趨勢研發部門主管Terrence Chou（Terrence是eDoctor的父親，在他的帶領下，趨勢才能讓客戶真正的無後顧之憂），全球行銷部的Terry Tsao，台灣Web Team的Efine及台灣地區負責媒體及公關的Yulanda。會中我們發現幾個很重要的現像：

一、 我們發現下載病毒碼及更新防毒元件等工作對網路頻寬是一個很大的挑戰，雖然大家都想做這些事，可是在同一時間內，實在是無法回應這麼多的需求。
二、 大部份的客戶都太依賴趨勢的網站。
三、 趨勢科技在發現"愛情蟲"時，就已經請研發部門寫了一個只有30K左右的小程式，這個程式只能清除"愛情蟲"所帶進來的病毒檔，雖然功能不強，不過在這種緊急時刻，它卻是最好的工具。
四、 雖然經過一個晚上的努力。這隻病毒顯然還沒能完全的控制，同時又發現不同的變種，因此有必要再讓電腦用戶了解事情的緊急及嚴重性。

因此我們做了幾個決定。

一、 改良專解"愛情蟲"的程式。這隻程式是在緊急狀況下寫出來的。因此並不是很完美。所以在Terrence的安排下，我們把這隻程式的程式碼送到美國。讓美國的工程師協力改良。
二、 將改良好的程式送到國內各大知名入口網站。並請客戶下戴。這樣子做有幾個意義：
1. 趨勢科技願意扮演良好的網路公民的角色。在社會需要我們的時候，能善盡網路公民的義務。
2. 善用國內網路資源。讓廣大的電腦用戶可以在最短的時間內，取得解藥。
三、 在解藥準備好之後，再開一次記者會。在這次記者會中，趨勢科技除了提出解藥外，同時我們開放http://wtc.trendmicro.com/wtc網址。在這個網址內，所有的用戶都可以看到即時的病毒擴散情況。並了解各地區的嚴重性。

全球支援體系發揮 2 4小時運作

於是在5/5下午，趨勢科技再次召開記者會。而這次有更多的記者朋友前來了解問題。當記者朋友們對"愛情蟲"有更進一步的了解，我相信所有台灣的朋友們也更能體會防治電腦病毒的重要。

我想"愛情蟲"的出現對所有電腦使用者來說，都得到了寶貴的經驗。雖然只有短短的一天半，不過對趨勢而言，對每一隻病毒，我們都全力以赴。大病毒如此，小病毒也是如此。而目的全是為了我們的承諾。趨勢科技的全球支援體系在整個事件中也扮演了重要的角色。菲律賓TDSC 24小時的運作。趨勢科技研發工程師的接力程式撰寫，都顯示出趨勢科技的優勢。我們不會因為工程師的上班時間，或是時差的影響，而對客戶的服務有所折扣。而對電腦用戶而言，從去年的CIH、梅莉莎到這次的"愛情蟲"病毒。經過這幾次電腦病毒的洗禮，我想防毒觀念應該會逐漸的落實在所有人的心內。