rundll32.exe病毒(一種“浪漫”的電腦病毒丨專欄)

一、讖曰

大東：小白，今天考你一個問題，你知道Melissa病毒嗎？

小白：東哥，今天你真考住我了，這是什么病毒，我還真的沒有聽說過。我以為一共就那么幾種病毒呢……

大東：那你可想錯了，病毒種類還是非常多的。

小白：我就知道幾個知名的病毒，你快給我講講這次這個病毒吧！

二、話說事件

大東：1999年，當David L Smith 在美國新澤西州為一家公司工作的時候，創造了Melissa病毒。這是一個浪漫的愛情故事。一個男孩遇到了一個女孩。女孩靠跳舞賺錢，男孩回家為那個女孩編寫計算機病毒，并以這個女孩的名字命名了這個病毒——梅麗莎（Melissa）。這個計算機病毒后來流傳了出去，造成了數以百萬美元計的損失。這是我們這個時代的“羅密歐與朱麗葉”。

小白：還真“浪漫”……

大東：那年3月26日, 第一種通過Microsoft Exchange和Outlook自動散發“郵件垃圾”的W97M/Melissa“梅麗莎”病毒首先在美國被發現，并透過互聯網迅速蔓延，包括Microsoft和Intel在內的許多世界著名的IT業巨頭，都被迫暫時關閉了其Outgoing郵件服務器。

郵件病毒（圖片來源于網絡）

小白：Microsoft 和Intel兩大巨頭都受到了攻擊？那這個病毒還挺厲害呢！

大東：到3月31日0時，北美超過5萬個、德國2000多個、日本1500多個企業遭到該病毒的感染，在香港特別行政區，100多個企業也未幸免于難。

小白：短短時間內影響這么大？

大東：1999年4月1日，美國政府將大衛·史密斯捉拿歸案。這位30歲的新澤西州男子，人稱“電腦小子”，是一家電腦公司的網絡程序員。他被指控包括妨礙公共通信在內的多項罪名。

小白：天網恢恢，疏而不漏！

大東：警方發言人維爾尼羅說，在美國在線的幫助下，辦案人員獲取了史密斯連入互聯網的歷史記錄，并最終查獲到他將病毒送上網時使用的電話線路。維爾羅尼稱，史密斯這么做，不過是為了出名。史密斯最大的夢想就是能有一種成就感，現在他終于“成功”了。

小白：他也要為這個“成功”付出代價了。

大東：2002年5月7日，美國聯邦法院判決這個病毒的制造者入獄20個月和附加處罰，這是美國第一次對重要的電腦病毒制造者進行嚴厲懲罰。在5月1日的聯邦法庭上，控辯雙方均認定“梅麗莎”病毒造成的損失超過8000萬美元，編制這個病毒的史密斯也承認，設計電腦病毒是一個“巨大的錯誤”，自己的行為“不道德 ”。

小白：這個病毒真的不容小視了，造成了這么大的損失……

三、大話始末

小白：“梅麗莎”這個病毒到底是什么呢？

大東：“梅麗莎”是一種快速傳播的能夠感染那些使用MS Word 97 和 MS Office 2000 的計算機宏病毒，寄生在Word的模板文檔normal.dot中。病毒通過E－mail傳播，傳播速度非?？?，從1999年3月26日首次發現到3月29日，它已經感染了100000多個計算機。一些站點不得不讓他們的主系統離線。據某站點稱，他們的系統在45分鐘之內就收到了32,000份包括Melissa病毒的郵件信息。

郵件病毒（圖片來源于網絡）

小白：原來是郵件傳播，那我們不點開不就沒有事了？

大東：Melissa病毒通常以“Important Message From……（來自……的重要信息）”為主題。從表面上看，像是熟人或朋友發來的郵件。郵件的正文上寫道：“Here is the message you asked for…… don't tell anyone else ;－)”（這是你向我要的那份文件……不要讓別人看到）。一旦收件人打開郵件，病毒就會自我復制，向用戶通訊錄的前50位好友發送同樣的郵件。因為它發出大量的郵件形成了極大的電子郵件信息流，可能會使企業或其它郵件服務端程序停止運行，盡管Melissa病毒不會毀壞文件或其它資源。

小白：原來他把自己偽裝起來了……這操作可真煩人了！

大東：Melissa病毒還有兩個變種喲！

小白：什么變種？

大東：這兩個新變種叫做梅麗莎U和梅麗莎V，它們將電子郵件的主題分別改為“pictures”或“My Pictures”，其后緊跟發送者注冊的 Word 97 或 Word 2000 用戶名。梅麗莎U將郵件內容改為“What's up？”，而梅麗沙 V的郵件內容則為空。病毒感染Word的模板文件NORMAL.DOT，并影響到以后使用的Word文檔。與早先的梅麗莎病毒發作情況一樣，郵件地址簿被打開， 然后帶有病毒的郵件被送往地址簿列表中的頭四個地址。偶爾梅麗莎U還給文檔做上“Please Check Outlook Inbox Mail”的標記。

四、小白內心說

小白：如果很不幸感染了Melissa病毒要怎么清除呢？

大東：感染了Melissa病毒后，可以用最新的防治計算機病毒的軟件來查殺，如果手上一時沒有病毒防治軟件的話，對于感染宏病毒的word文件也可有通過手工操作的方法來處理。

小白：手工怎么操作呢？

大東：（1）在Administrator用戶下，打開我的電腦，選擇“工具-文件夾選項-查看”，選中“顯示系統文件夾的內容”和“顯示所有文件和文件夾”選項，取消“隱藏受保護的操作系統文件”選項，確定后搜索NORMAL.DOT文件。注意在搜索時要將“更多高級選項”下的“搜索系統文件夾”和“搜索隱藏的文件和文件夾”都勾上，待搜索完畢后，將找到的NORMAL.DOT文件全部刪除，并清空回收站。

小白：這就可以了？

大東：別急，還沒完呢?。?）打開注冊表編輯器，搜索所有鍵名稱為“Melissa”的項，全部刪除。

小白：那怎樣才能有效預防這種病毒呢？

大東：這種病毒我們可以把它歸納為郵件病毒?！班]件病毒”其實和普通的電腦病毒一樣，只不過由于它們的傳播途徑主要是通過電子郵件，所以才被稱為“郵件病毒”?！班]件病毒”主要是為了讓用戶的計算機感染病毒，或者是成為黑客手中的“肉雞”。

小白：原來如此。那我們怎么預防呢？

大東：我們可以從以下幾方面進行防范。在收到信的時候，不管是認識的還是不認識的，附件一定先不要打開，雖然有些E-mail在上傳附件的時候都進行了殺毒，不怕一萬就怕萬一。除非，你和他正在研究郵件病毒，或者在制造郵件病毒。

郵件病毒（圖片來源于網絡）

小白：這點我記住了，還有嗎？

大東：記住自己常用的一些注冊網站的管理員郵箱，或者記住他們的郵箱后綴。在看見這些郵件的時候一點要仔細核對這些信息，使用社會工程學的人一定會偽造一個極像的或者一字之差的郵箱與你溝通。例如，前一段時間有一個病毒文件的計算機進程，如下：rundll32.exe（真實的）rund1l32.exe（病毒）rund1132.exe（病毒），你不認真看，還真有點看不出來。這樣的郵件不管三七二十一，統統不要。

小白：這個還真是考察人的眼力！東哥，我還知道一點，那就是不要隨便打開陌生的郵件！

大東：你說的沒錯！