1146.txt

文本分类,使用贝叶斯分类系统,训练集和测试集

　　反病毒液一时也打破长久沉寂，大大红火了一把。
　　刹那间，全世界防、查、杀CIH病毒的呼声昏天黑地。
　　可时到今日，CIH病毒还在大面积继续传播，大量的PC机在CIH的肆虐中一批批倒下
，SINA电脑论坛中“哭”声响彻天际。
　　1999年4月26日，这一幽灵再次出现，寻找自己的猎物，CIH全面发作。这一天简直
成了PC用户的灾难日：开机，屏幕没有任何显示，只有死一般的沉寂。
　　CIH病毒到底是什么病毒？这一怪兽究竟来自何方？
　　CIH病毒原本属文件型病毒，其别名有Win95．CIH。SPacefiller、Win32CIH、PE－
CIH 它主要感染Windowsgi98下的可执行文件（PE格式，POrtableExecutableFo。mat）
，目前的版本不感染DOS以及WIN3X（NE格式，WindowsandOSZWin彻ws3。lexecutionFil
eFormat）下的可执行文件，并且在WinNT中无效。其发展过程经历了VI．0，VI．，VI．
2，VI．3，VI、4总共5个版本，目前最流行的是VI，2版本。
　　而台湾工学院学生陈盈豪是它的缔造者。这一“学生电脑专家”莫名其妙的恶作剧
打开了“潘多拉的魔盒”。陈盈豪在网上新闻组发表公开信，称其编写的计算机CIH系列
病毒‘给大家造成了不便”，为此他“深表歉意”。
　　据报道，这名台湾的大学生在公开信中说，由他编写的CIH病毒是1998年5月底突然
由其宿舍迅速扩散到各大网站的。因为网络四通八达，同时病毒的感染力甚强，于是造
成了始料不及的灾难。
　　《行天98》反病毒软件发明者刘杰说，CIH病毒的作者是个台湾人，CIH这三个英文
字母很可能与他的姓名有关。事实证明陈盈豪正是用他的名字命名了这种病毒。
　　陈盈豪本人也有这样的自白：“相信不少人很想砍我”、“我现在说什么都没有用
，实在很抱歉”、“什么人工智慧、防未知病毒入侵，全是唬人……防毒公司的广告，
根本就是骗人的，这次的事情，就可以看得出来。”
　　CIH病毒的各种不同版本随时间的发展还在不断完善，其基本发展历程为：
　　CIH病毒VI．0版本：
　　最初的VI．0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结
构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsof
tWindowsPE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH 不
具有破坏性。
　　CIH病毒VI．l版本：
　　病毒长度为796字节，此版本的CIH病毒具有可判断WinNT软件的功能，一旦判断用户
运行的是WinNT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了
更加优化的代码，以缩减其长度。此版本的CIH另外一个优点在于其可以利用WinPE类可
执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文
件中，这样做的优点是在感染大部分WinPE类文件时，不会导致文件长度增加。
　　CIH病毒VI．2版本：
　　当其发展到VI．2版本时，除了改正了一些VI．l版本的缺陷之外，同时增加了破坏
用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本
的CIH 病毒体长度为1003字节。
　　CIH病毒VI．3版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件（ZI。。If
 －extractorsfile）时，将导致此ZIP压缩包在自解压时出现：
　　whz…SI－Exlraclo山eadercom…·
　　NSsiblecause：dlskoriletranslererror．的错误警告信息。VI．3版本的CIH病毒
显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件
是WinZip 类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。

　　VI．3版本的CIH病毒长度为1010字节。
　　CIH病毒VI．4版本：
　　此版本的CIH病毒改进了上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改
了发作日期及病毒中的版权信息（版本信息被更改为：“CIHVI．4TATUNG”，在以前版
本中的相关信息为“CIHVI．XrtIT’），此版本的长度为互019字节。
　　从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有VI．2VI．3．
VI．4这3个版本的病毒具有实际的破坏性，其中VI．2版本的CIH病毒发作日期为每年的
4月26日，这也就是当前最流行的病毒版本，VI．3版本的发作日期为每年的6月26日，而
CIHVI．4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加
了其的破坏性。
　　最令人恐惧的则是CIH病毒居然产生了变种“切尔诺贝利”（ChernobyD病毒，该病
毒1999年4月26日，袭击了全世界的计算机，它能删除硬盘上的数据，甚至在某些计算机
上导致不能正常启动的后果。尽管受到该病毒攻击的机器数目要比近期受到Melissa病毒
感染的机器数目要少许多，但对这些少数不幸的人来说，新病毒的攻击更加具有危险性
。
　　其中一位女士的诗集已经快要完成，但是却在这次病毒狂噬中完全丢失了。一位先
生的博士论文也丢失了，芬兰赫尔辛基一家计算机安全公司DataFellows的kkoHermanni
Hypponen 这样说道。最严重的破坏似乎发生在亚洲和欧洲的部分地区。在这些地区，防
病毒体系较为薄弱，而且泛滥的盗版软件成为了携带动病毒的载体。DataFellows报道了
病毒在香港，新加坡，印度，芬兰，新西兰，英国，瑞典，日本和马耳他造成的破坏，
几百台机器甚至在开始业务的时候就已受到攻击。大量被感染的计算机都是在亚洲发现
的。CarnegieMellon大学的计算机应急小组（CERT）说，他们仅得知几十台计算机受到
该病毒的攻击。“实际上事情并没有那么严重，”该小组的一位案例工作人员说。但是
Cher－nobyl病毒在美国小范围的影响并不能安慰那些受到感染的人们。DataFellows的
Hypponen说，修复的费用将高达几百万美元。“跟Melissa病毒不同，这种病毒能导致真
正的问题并给某些人带来严重损失，”他说。但计算机厂商没有做出反应，说多少用户
正在寻求帮助；因此他们是否对该问题负有责任还不清楚。CERT说，一项数据恢复服务
也许能够恢复丢失的数据。CERT在他的网站上发布了销售商信息和其他一些常见问题。

　　CERT说：如果病毒发出了攻击，数据将是“可能无法恢复”的；要使计算机重新工
作，必须重新安装软件。但这一工作不是大多数家庭电脑用户所能做到的。该病毒于26
日那天早晨攻击了位于ChestnutHill和Massachus。tis的Boston大学的校园，清除了大
的100名学生的硬盘，其中很多人正在准备学期论文，该学校的发言人JackDunn说。
　　计算机专家指出，如果用户26日那天不启动机器或者重新设置日期，就可以避免病
毒的攻击，因为该病毒在计算机系统到达每月26目的时候被激活。
　　虽然从去年开始，该病毒就一直于每月26日发作，但这次的变种是流行最广和最危
险的一种。1999年4月份的CIH病毒之所以被叫作Chernobyl病毒，是因为它的发作时期是
苏联核事故的周年纪念日，那次事故是一次最严重的技术灾难。大多数防病毒软件都能
发现这个病毒，并且最近很多公司为了防范Melissa病毒都升级了他们的保护体系。
　　CIH病毒的阴影已经笼罩全球网络业，如何灭CIH，或者如何防止CIH的攻击成为了网
民关注的头等重要大事。
　　国内各杀毒软件厂商，如：瑞星、时代先锋、北信源。冠群金辰等纷纷研制生产其
最新软件产品，时代先锋、北信源、冠群金展的产品带有防火墙，可以实时监控，防毒
产品也具有杀CIH的功能。这些软件产品无疑对CIH病毒具有一定的封堵查杀作用，但仅
通过软件不足以防止住CIH的攻击。
　　身受CIH毒害的人们已经由恐慌而成愤怒，也许离彻底消灭CIH尚有一段距离，但在
各方的共同努力下，必将使CIH不再如此猖獗。
　　瘟神“梅利莎”
　　1999年3月26日，对于全世界的计算机用户来说是一个灾难的开始，美国西部时间星
期五上午8：00，一种被称为“梅利莎”刚elissa）的电脑病毒像瘟疫般开始在全球蔓延
。
　　“梅利莎”病毒源起西欧的一个色情站点新闻讨论组，第一个向NSI报告发现“梅利
莎”病毒的大客户当天就有6万台机器感染上了此种病毒。在“梅利莎”开始蔓延后的1
2－16个小时，这种病毒席卷了全球互联网络。其速度规模之大称得上举世空前。
　　但有人认为“梅利莎”的传输手段并不新鲜，但很狡猾。“你会拒绝接收来自不认
识的人的邮件，但是，这种病毒来自你信任的亲朋好友的邮件中，使人防不胜防。”这
就是“梅利莎”的诀窍。
　　微软公司也是受害者之一。其发言人称，微软的电子邮件是严格控制的，此次病毒
侵袭并未发生泄密事件。但此后包括微软公司在内的数十家跨国公司不得不关闭了他们
的邮件服务器。NAI虽然没有接到非Exchange系统受到感染的报告，但依然认为其他的系
统也极有可能被感染。美国国家基础设施保护中心（NIPC）的负责人说：“受此病毒影
响的公司数目可能已有成千上万2像微软、朗讯和英特尔这样的技术公司也在此列，并且
造成了国际影响。
　　其实“梅利莎”病毒只是一个宏病毒，隐藏在一个微软Word97格式的文件里，以附
件的方式通过电子邮件传播。邮件的主题是“ImportantMessageFr（。。xx”，在这里
xxx就是邮件发送者的姓名。邮件的内容包括两部分：第一部分是文本格式的句子：“H
e。isthatd。urn。ntyouask，dfor…dontshowanyon，els。；－）’。第二部分是一个
名叫“list．doc”的word文件，文件的内容是互联网上的色情站点的网址，当用户在允
许运行“宏”的局部下打开这个文件，病毒首先会降低运行“宏”时安全性的设置，让
用户以后打开‘宏”时不会出现提示，然后在注册表中创建以下键：
　　“HKEY一Current－UserSwareMrosMOlllceKJls－sa？”，键值一般是“byKwyjbo”
。随后病毒会查找用户的outlook或者outlookexpress，自动地把感染的文件发送给用户
地址簿中的前50个人。当这50个人再次打入已被感染的文件时，病毒如法炮制，使受感
染人数激增。
　　美国CERT星期五下午得到关于“梅利莎”病毒的报告，组织成员连夜分析病毒的组
成并寻找病毒源。
　　CERT的管理员说：‘“我们一下子得到来自世界各地的发现该病毒的报告。我们肯
定，这将在星期一成为席卷世界计算机的大灾难。”’她将有关此病毒的信息记录下来
。
　　CERT10年前曾经有过此类记录，这是美国第2次大范围的发布计算机病毒的公告和详
尽的病毒报告。（1994年是第一次，提醒人们警惕一种允许计算机窃贼收集密码的病毒
。）美国联邦调查局和美国国家设施保护中心（NIPC）也随即发出病毒警报。
　　许多公司的技术人员放弃了他们的周末，以应付“梅利莎”可能带来的意外情况。
很快，技术人员总结出来“梅利莎”病毒的一些特征，并在因特网上公布了一些杀毒方
法。但狡猾的“梅利莎”病毒并未就此被剿灭，而是幸运地一次又一次的逃脱了法网。
正当企业用户紧急动员起来，严防“梅利莎”时，这种病毒又出现了新的变种——“疯
牛”（Madcow）。
　　这种新的“疯牛”病毒在电子邮件主题中显示的内容是“Madcoeqoke”，邮件正文
中包含有“bewareofthesPeedoftheMadcow”字样，附带的Word文件名叫“madcow．doc
”TrendMicro 反病毒公司称，这种“疯牛”病毒和“梅利莎”病毒非常相似：当用户打
开一个电子邮件中附带的Word文件时，病毒就会自动向其Outlook地址簿中的地址发送电
子邮件。虽然“疯牛”病毒一次只自动发送20封电子邮件，但它代码储存在一个Word文
件的不同部分，使其更难被侦测出来。
　　1999年的3月30日，另一种由“梅利莎”变种的“爸爸”（Papa）也出现了。这种病
毒可以挫败电子过滤器，附在微软的EXcelspreadsheet中。并可以躲开许多针对它的反
病毒软件补丁。此后又出现了W97M－Melissa等变异的病毒。
　　由于病毒以极快速度进行着自身的变异，技术人员在w＿．send防止com上发布的防
“梅利莎”病毒补丁很快就失效了。尽管病毒并不会对个人计算机本身造成损失，但是
由于这种病毒可以自动地快速复制并通过电子邮件发送，这将使大量的垃圾邮件像洪水
一样蔓延到互联网，最终邮件服务器将因不堪重负而导致死机。
　　“梅利莎”病毒惹下滔天大锅，美国联邦调查局（FBI）也组织人马全力搜捕该病毒
的作者。FBI的56个地方分局均参与这一行动。
　　美国联邦调查局有专家发现，编写“梅利莎”病毒的电子‘指纹”与两个病毒信息
网站有关。
　　1999年3月30日，与“梅利莎”病毒有牵连的病毒信息网站——Codebreakers．oyg
 和Sourceof’kaos。corn被美国联邦调查局强制关闭。这两个网站使用“AIX－Fll”和
‘“VicodinES”编写的病毒——“Shiver”和“PSD2000’中，含有和“梅利莎”病毒
一楼一样的电子指纹。而““＊u一FI广是h加b＿。卜rs病毒交换组织的成员之一，Vlc