绿盟安全月刊->第3期->专题报道 新病毒“BubbleBoy”惊骇反病毒专家

日期：1999-11-15


　　我们经常听到计算机病毒专家这样的劝告：“不要轻易打开邮件的附件，小心病毒。”我们同时也在暗自庆幸：“可疑的附件我一个不开，病毒能奈我何！”
　　但是一种新病毒的出现，使我们无法再得意。全球最大的从事网络安全和管理的独立软件公司。美国网络联盟公司(Network Associates, Inc.，缩写为NAI)日前宣布，他们发现了一种名为“BubbleBoy”的新病毒，虽然尚未接到任何“BubbleBoy”造成破坏的报告，但这种病毒却足已使任何反病毒专家坐立不安，因为它已不再需要以邮件附件的形式传播，只要使用者打开邮箱就可以被感染，这种前所未有的隐蔽性使反病毒专家们惊呼：“计算机病毒的新时代已经到来了！”
　　让我们先来看看“BubbleBoy”的典型特征：
　　该病毒通过互联网传播，目前只感染安装了带有Windows Scriping Host功能的Internet Explorer 5浏览器的系统。Windows Scriping Host是Windows系统的一项附加功能，用以编写脚本帮助Windows中的任务自动运行。该功能在Windows 98和Windows 2000的安装过程中属于标准安装已选项。但在Windows 95的默认安装过程中，该功能属于备选项。同时该病毒不能感染Windows NT系统。
　　此种互联网病毒是以Visual Basic Script语言编写代码并隐藏在HTML格式的电子邮件文档中，其中包含两个变量，“.b”变量经过加密处理。该病毒不以任何邮件附件的形式存在。
　　在MS Outlook中，打开任一被感染邮件即激活此病毒；在MS OutlookExpress中，甚至无需打开邮件，只要使用“预览框”功能，该病毒就会被激活。病毒激活后，内嵌在HTML文档中的VBScript命令会将自身附于Outlook的地址簿中，并向地址列表中的每一个地址发送此邮件。
　　如果在Windows系统的“Internet”设置选项中将IE5的安全级别设置为“高级”，系统不会感染该病毒。针对病毒的这一弱点，微软公司已经发布一个IE安全补丁程序，利用该程序可在不改变系统现有安全设置的前提下保证系统不受该病毒的感染。 　　 “BubbleBoy”一词来源于某一电视连续剧中的情节：一个因免疫功能缺乏而不得不生活在氧气罩(bubble)里的小男孩是著名喜剧演员Jerry Seinfeld的狂热崇拜者。Jerry和他的一个朋友George去看望这个“BubbleBoy”。在游戏中，“BubbleBoy”与George发生了冲突，最后故事以George不小心碰破“BubbleBoy”的氧气罩而结束。
　　 NAI公司反病毒专家称，当地时间本周一晚十点左右，他们收到了据怀疑是病毒作者发来的病毒样本，或许是出于炫耀的目的，该作者还将此病毒发到一些网站上。NAI市场部主管Sal Viveros说：“以往人们一贯认为，只要不打开附件，就不会被邮件病毒感染。但‘BubbleBoy’的出现已经彻底改变了这一观念。特别是对于使用MS Outlook软件的用户来说，他们必须采取某种措施，否则阅读邮件就会变成一件危险的事。”
　　与以往通过互联网传播的恶性病毒“探索虫(ExploreZip worm)”、“梅丽莎”不同，“BubbleBoy”目前的危害性不大，当它发作时，只是向用户发出一个主题为：“Bubbleboy is Back！”的邮件，并附以Seinfeld 情节剧中的图片与声音片断。NAI公司目前也只把定为“低度危险”级。前两者由于删除被感染系统的文件、数据而被人们深恶痛绝。但是“BubbleBoy”产生的影响却是异常深远的。它意味着计算机病毒的传播已经找到了一种全新的途径，更加隐蔽，更加迅速，同时也意味着通过电子邮件传递信息的危险性在增加。可以想象，当越来越多的病毒依靠这一原理制造出来并且无声无息地传播，并在不被察觉的情况下删除文件、破坏系统，这对于用户而言，无异于恶梦一场。回顾一下普通用户对抗病毒的历史，无奈中总还有些办法：当病毒通过软盘传播时，可以拒用来历不明的软盘；当病毒通过邮件附件传播时，可以不打开来历不明的软件。然而当一种新病毒通过电子邮件本身传播时，难道就只能回到笔纸通信的时代了吗？
　　但愿这仅仅是作者的杞人忧天。病毒制造者与反病毒专家之间的斗争向来是“道高一尺，魔高一丈”，我们期待后者的胜利。