2007年4月4日星期三

病毒之后

究竟是31号还是1号中的毒,我也不记得了,总之这是个蛮特别的愚人节。感觉,有一点复杂。

虽然裸奔习惯的确不好,可这次事件我就算装了什么病毒监控也一样没用。有人提到说他25号就已经中毒了,那离我在网上找寻解决办法至少有五天。如果是我花了钱,买了一套杀毒软件,却发现不但没有尽到保护责任,反应速度还这么慢,那种感觉肯定很糟。一众杀毒软件商们,看来也就这样了。

在刚发现感染病毒的时候,我并没太当一回事。利用了Windows的新漏洞是挺先锋,可病毒本身并没什么特别的。实际上我用Ruby写的清除程序原始版本,只有50来行。包括分析病毒行为和写代码在内,也不过三、五个小时。

不但如此,我甚至还觉得有一点好玩。毕竟我自己的机器几乎没中过毒,该病毒修改可执行文件的手法也不邪恶,所以刚开始也就没有感到作者很恶意。而且病毒试图在hosts文件里屏蔽的那些网站,都不是什么好去处。过招谈不上,似乎是一种交谈的感觉。他给我弄了点小麻烦,可摊子还没烂到无法收拾。只可惜后续的发展,让事情的味道有了些变化。

先是有很多人在我那篇《遭遇Sysload3.exe》里留言,好像认定了我会放出一个“病毒专杀软件”出来一样。我本来只是想弄个rb2exe,帮帮找到我这里来的人而已。可是留言的人不止一个两个。控制台?命令行?想想也知道那对普通用户来说意味着什么。

既然能帮到那么多人,那这件事就不能不管。而且当时在Google里搜索sysload3.exe,我这里排在搜索结果第一位,就更确定了我的想法。于是去下了一个VB6精简版,花了一个晚上写出第一个版本的rmsl3.exe。真的很久很久没用VB6了,手很生。现在让我写VB6的代码,肯定不太舒服,但怀念的感觉倒是蛮真实的。

为了尽快放出程序,导致界面很简陋,功能也不完善,所以我写了个尽可能详细的说明。用户环境千差万别,没经过什么测试,就对硬盘里成百上千个文件进行读写可不是闹着玩的。我注明了不要随意转载,因为我不想自己写的代码给任何人带来损失。不过还是有人转了,说明也有,就一句话,还有一句对作者的感谢。

我没有责怪那位转载者的意思。在找不到解决办法的情况下发现我的程序,恐怕我说什么都值得试一试。转载如果能帮到更多的人,当然也不违背我的本意。可我仍旧有一种沟通困难的感觉,是理念和角度的不同,还是单纯太毛躁?或许我也不该这么谨小慎微,该对自己的代码更有自信才对。

至于病毒本身和其作者。因为我赶着写程序,直到第一个版本完成了,我才发现这个病毒会篡改php、html等文件的内容。如果跑IIS的Web服务器感染了这个病毒,那可真是一次撂倒一大片。这个发现,让我对病毒作者的感觉有了很大变化。

实际上并不是所有的病毒都只干“坏事”,像CIH那样的毕竟是少数。有些病毒只是占你一点硬盘、耗你一点内存,甚至还有帮你杀其他病毒和堵系统漏洞的病毒。虽然这种未获许可的行为仍然不具有正确性,可我宁愿认为这是高手们的“调皮”。多多少少,我能体会这种感觉。

可是这个病毒篡改php等文件的方法是直接覆盖。这与感染可执行文件的方式不同,是没有办法恢复原始内容的。数据无价,硬盘坏了“想死的心都有”,这话我听过很多次。我认为这是界限,所以“调皮”变成了“恶意”,我甚至有那么点失望的感觉。

不管怎么说,今年的愚人节早就过了。我想这个病毒的作者,应该也看不到我这篇东西。目前rmsl3.exe已被下载了70来次,Google里“sysload3.exe”这个关键字的搜索结果,前三页都没有我的链接,大概不会有多少人找上门来了。所以,这件事情可以告一个段落了。

没有评论 :