一、谶曰
米开朗基罗
大东:小白最近忙些什么呢?
小白:当然是不断地学习完善我这颗小白的脑子啊。
大东:哈哈,倒是有点自知之明啊……诶,你这个迷你版“大卫”哪里来的?
小白:网购是万能的。我可是米开朗基罗的忠粉,有的是复刻。东哥,你要不要?
大东:看不出小白还是个文艺青年,说起米开朗基罗,我倒想起了发生在1991年的一件事。
小白:东哥,你没搞错吧?米开朗基罗可是文艺复兴时期的巨匠,上个世纪九十年代他早就过世了啊!
大东:你个小白啊,每次都急吼吼地打断我的话,就不能认真地听我说完?
小白:嘿,东哥你还不了解我么?就是急性子。
二、话说事件
引导型病毒
大东:我要讲的可不是文艺复兴啊,而是一件轰动一时的网安事件。
小白:诶?和米开朗基罗有关系的网安事件?
大东:对。“米开朗基罗病毒”也叫“米氏病毒”,于1991年4月被发现。之所以叫它“米开朗基罗病毒”,是因为它的爆发时间是每年3月6日,而那天则为著名油画家、雕刻家、建筑家米开郎基罗的生日,所以称为米开朗基罗病毒。
小白:哎呀,这个病毒的编写者该不也是米开朗基罗的粉丝吧?
大东:……这可就无处可查了。
三、大话始末
小白:听起来这个病毒还是挺有意思的,我以前也听过类似定时爆发的病毒。
大东:定时触发的病毒也有很多,而这个病毒在当时引起不小的轰动。当时国内外媒体争相报道,一时之间米氏病毒名声大噪,超过了此前著名的“小球病毒”和“大麻病毒”。
小白:这么厉害啊。快快快,我已经搬好了小板凳。
大东:“米氏病毒”来自瑞典或荷兰。当3月6日启动PC机,“米氏病毒”将会发作,除了像本来一样进行传染外,还会把硬盘和当时插在软驱中的软盘数据破坏掉。这种故意破坏性写盘的病毒就是恶性病毒。“米氏病毒”在PC机用户中造成的影响是巨大的。每当3月6日来临时,世界各国的报刊和电台就发布消息警告使用PC机的人们,要么在那天不要开机,要么把电脑的日期调过3月6日,以避免由米氏病毒造成的损失。
小白:这么凶?
大东:哈哈。通过病毒体的剖析,它是修改过的“大麻病毒”的变种。它的传染性、隐蔽性、破坏性都要高于“大麻病毒”,是一个恶性的引导区型病毒。
小白:引导区型病毒?那是什么?
“大麻病毒”
大东:引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。
小白:明白了,除了“米开朗基罗病毒”之外还有哪些常见的引导型病毒?
大东:主引导记录病毒感染硬盘的主引导区,如“大麻病毒”、“2708病毒”、“火炬病毒”等;分区引导记录病毒感染硬盘的活动分区引导记录,如“小球病毒”、“Girl病毒”等。
小白:这分的还挺多啊。
大东:“米氏病毒”是驻留内存的,占640KB之内的2KB高端内存。感染软盘的DOS引导扇区和硬盘的主引导扇区。对高密度和低密度的软盘上,“米氏病毒”在感染时,都将原引导扇区回写到软盘中,但扇区位置是不一样的。在360KB的低密软盘上,原引导扇区被覆盖写到根目录的最后一个扇区,与“大麻病毒”的方法是一样的。但对高密的1.2MB软盘,原引导扇区被写到第27扇区,落在根目录中,因此会造成损失。
小白:和“大麻病毒”有什么相似之处么?
大东:硬盘的主引导扇区也像“大麻病毒”一样被写到0面0道7扇区。当3月6日启动PC机,“米氏病毒”将会发作,除了像本来一样进行传染外,还将把硬盘和当时插在软驱中的软盘数据破坏掉。
小白:可以恢复么?
大东:值得一提的是,这是一个不可逆的破坏。这也就是为什么说它破坏性极强的原因。
四、小白内心说
小白:东哥,可以帮我总结一下嘛,听得我有点乱……
大东:好呀,从上面的分析可得到如下的结论。1.用含有“米氏病毒”的软盘引导,不管是不是系统盘,都将传染硬盘,并将病毒驻留内存,若日历条件满足,则丢失盘上的所有数据。2.若用染毒硬盘引导系统,病毒将被引导并驻留内存,若日历条件满足,则摧毁硬盘上的全部信息。3.驻留内存高端的病毒,通过INT 13H中断被激活,并在读写A盘时传染A盘。4.染毒软盘所存的文件目录超过临界值时,或者丢失部分文件及程序,或者启动时造成死机,使系统盘不能引导。
小白:这个“米开朗基罗病毒”也太不省心了,这么厉害怎么防?
大东:“米氏病毒”的检测和清除可以采用手工方法和清毒软件自动处理。早期每当3月6日来临时,世界各国的报刊和电台就发布消息警告使用PC机的人们,要么在那天不要开机,要么把电脑的日期调过3月6日,以避免由“米氏病毒”造成的损失。
小白:啊?就没有别的办法?
大东:当然有了,我国公安部推出的SCAN.EXE 3.0和KILL.EXE37.06都可以有效清除。随着不断革新,上个世纪九十年代曾大肆流行于早期DOS系统的病毒,随着操作系统软件更新换代逐渐销声匿迹。
来源:中国科学院计算技术研究所