“CAM先生”落网记—金山破获Sircam的前前后后(1)
　2001-08-01 15:34:49

　　
　　 7月20日，葛霁象往常一样正在给金山的用户提供咨询和技术支持，还有近百封的求助电子邮件等待他的处理，“用户怎么把自己的工作报告发过来了？”葛霁觉得很奇怪，打开了这个名为“××每日工作进度”的邮件，内文是：

　　Hi! How are you?
　　I send you this file in order to have your advice
　　See you later. Thanks

　　 “可能是用户发错了吧，”本着对用户隐私的尊重，葛霁没有打开这个名为“每日工作进度”的附件。


　　 “怎么又是！”葛霁再一次打开的邮件内文还是这些英文短句，完全相同的邮件内文引起了葛霁的警觉，经过一番统计，今天金山公司客服系统收到的邮件中有近50封都是这样的邮件。“病毒”这两个字出现在金山客服人员的脑海中，立即，金山公司在珠海的反病毒研发中心收到了病毒样本。


　　 20日是周五，正在病毒监测值班的李宇雄在收到病毒的第一时间判断，该病毒具有自动复制大量传播的特性，是一种对互联网有很大危害的电子邮件恶作剧病毒，因为病毒程序中含有Sircam，直接命名为“齿轮先生”。警报发出，反病毒研发中心的信息安全专家迅速集中，正在北京出差的金山毒霸研发经理陈飞舟通过电话不断了解对“齿轮先生”的解析情况，进行指导。

　　 与此同时，北京，金山公司营销中心，在接到技术部门对“齿轮先生”的初步测试评估之后，公司立即召开紧急会议，确定：1.为了用户的信息安全，对“齿轮先生”的查杀一定要迅速，除了金山毒霸的病毒库升级，研制专门的查杀“齿轮先生”的插件程序，为更多的计算机用户提供保护2.在第一时间对金山毒霸病毒库进行升级，确保金山毒霸用户的安全，3.对所有的注册了的金山用户发送预警邮件，同时发送杀毒插件，确保金山用户的安全，4.在包括金山公司网站在内的各大网站提供杀毒插件的自由下载，金山网址：www.kingsoft.net

　　

　　 珠海，对病毒的战斗正在紧张的进行着：

　　 病毒特征分析：

　　 “齿轮先生”是儒虫病毒的一种，特点在于善变、难以防范，其主题及附件名称不固定，主要借邮件进行传播，一旦运行了邮件附件，系统将被感染，病毒将寻找系统中通讯簿中的邮件地址，自动向其它人转发病毒邮件。 它不同于与往的蠕虫病毒是会从“My Documents”中随机寻找一个文件作为附件，并将主题与邮件内容改为与附件文件名相同，所以它没有固定的主题及内容。发作后它将删除系统中的所有文件。

|下一页||尾　页|