“Sircam”病毒四处泛滥的原因

　　
　　 公认“感染速度在日本创下新高”（Trendmicro）的“Sircam”病毒正在全球肆虐。这是一种一经感染便可以将自身添加到邮件附件中到处感染的病毒。

　　 也许很多读者会倍感吃惊：“这种老套的病毒怎么会这么厉害？！”。令人不解的是：只要采取“不要轻易打开附件”的对策就可以防止该病毒，但为什么该病毒会反复流行。但是，如果看一下该病毒的感染手法，便会发现它确有高明之处。

　　 首先是诱惑接收邮件的用户打开附件的技术。Sircam病毒可添加到感染者的“我的文档”中的某个文本文件之中发送出去，而邮件的主题就是这个附加文件的名称。

　　 比如对象文件如果是“建议书.doc”的话，邮件的主题就是“建议书”。邮件发送方的地址通常是显示感染者的地址，这样就会使接收方错误地以为是收到了来自感染者的“建议书”文件。附件的文件名为“建议书.doc.exe”。扩展名有时也会是.pif、bat等，其目的是为了瞒过用户的眼睛。

　　 如果用户打开这个附件，Sircam病毒在感染该用户的电脑之后，就象什么事情也没有发生一样显示建议书.doc文件的画面。目前该病毒四处漫延就充分证明有很多用户就是这样被病毒骗过的。

　　 另外，Sircam病毒甚至可以成功地“欺骗”一部分防病毒软件。比如说，Sircam病毒成功地躲过了防病毒软件的大型开发商Symantec及Trendmicro的邮件网关型杀毒软件（Trendmicro仅Windows NT版本）。

　　 Sircam病毒自身具有邮件软件的功能，以被称为MIME(Multipurpose Internet Mail Extension) 的形式建立附件并发送病毒邮件，这种MIME的形式同因特网标准规格不同。因此，邮件网关型杀毒软件无法识别附件，以致病毒得以逃过检查。

　　 本来如果这种MIME的形式是完全不合规律的话，邮件的接收者就不会打开附件，病毒也就不会扩散。但是，正因为这种MIME形式的正确性“还算过得去”，因此Outlook等多种邮件软件可以识别并显示附件。这种微妙的MIME形式“也许是故意设计出的”（Symantec）。唯一的解决办法就是使用开发商提供的补丁程序。

　　 面对如此巧妙的病毒，应采取怎样的对策呢？当然，最基本的要求是“不要轻易打开邮件的附件”。由于在公司内部难以得到全面贯彻，希望进一步“强制升级杀毒软件的病毒样式文件”。

　　 但是在今后也许仅仅这样是不够的。也许会象此次的邮件网关型杀毒软件一样，出现意料之外的问题。这也是难免的，但切不可忘记“在信息收集方面马虎不得”。


　　
　　日经BP社