如何应对不断出现的病毒变种？

    通过邮件传播感染的“网络天空（Netsky）”和“Bagle（Beagle）”病毒正在流行之中。尤其是网络天空仍在继续肆虐。据日本病毒报告受理机构——信息处理推进机构安全中心（IPA/ISEC）称，3、4两个月，网络天空病毒（包括变种）的报告数量最多，占整个病毒报告量的4成以上。

    这些病毒的新变种一个接一个出现。一般来说，都是通过在病毒名称后面添加的字母表示是病毒是第几个出现的变种。比如，原病毒是网络天空.A，接着就是Netsky.B，Netsky.C……。4月底，上述两种病毒分别已经到了Netsky.Z和Bagle.Z。

    那么，“Z”的下一个变种将会是什么呢？也许很多人都知道，就是“AA”。也就是说用2个字母表示。此后依次将是AB、AC、AD。到了AZ以后，就是BA。谁也不清楚网络天空和Bagle今后将会出现多少变种。但是，用2个字母表示的变种并不少见。有几种病毒甚至存在上百种变种。

    高波病毒有480个变种

    据芬兰杀毒软件开发商“F-Secure”公布的信息，截止到4月27日，“高波（Agobot，或Gaobot、Phatbot）”病毒已经出现“RO”变种。也就是说变种已经超过480种。

    高波是一种使用Windows文件共享传播感染的病毒（蠕虫）。文件共享不设置密码，或者设置了很容易被破解的密码（病毒内部具有的密码）时，高波病毒就会通过网络进行复制感染。另外，高波病毒还能通过Windows安全漏洞（比如“MS03-001”、“ MS03- 007”、“ MS03-026”等）传播感染。有的变种还会通过“Kazaa”等文件交换软件进行传播。

    比较有名的是，1996年出现的Excel宏病毒“Laroux”及2000年出现的VBScript病毒“爱虫（Loveletter）”的变种也很多。据F-Secure称，Laroux出现过“OU”变种，Loveletter出现了“CZ”变种。

    为什么会出现如此大量的变种呢？对于Laroux和Loveletter，估计是因为都是基于脚本的病毒，容易制作变种。宏病毒和VBScript病毒均可用文本编辑器进行编辑。只要对在互联网上获得的，或者发送给自己的宏及VBScript病毒进行改进，即便不是病毒作者，也能制作变种。

    Laroux是一种Excel宏病毒，其实有的Word宏病毒就为出现过大量变种。据F-Secure称，“CAP”病毒到“JM”，“标记者（Marker）”到“LA”，“Npad”到“KB”，“Thus”到“GP”，“Wazzu”到“HM”。

    高波是一种二进制病毒。那么为什么它也出现了大量的变种呢？据SANS Institute（计算机安全组织美国系统网络安全协会）公开的信息，是因为该病毒的源代码被公开了。于是随便一个第三者都可以通过互联网获取源代码、然后制作变种。以前曾听一位防病毒开发商的研究人员说，不只是高波病毒，有不少病毒的源代码都被公开了。关于网络天空和Bagle，其源代码也极有可能已被公开。

    用户及网络管理员应该如何应对？

    在病毒变种不断出现的形势下，用户和管理员应该如何应对呢？此时根本不需惊慌。新种也好，变种也罢，总归都是病毒。只要像平时那样采取防病毒对策即可。比如，“不要打开可疑文件（不要点击可疑链接）”，“充分消除软件的安全漏洞”，“合理地使用防病毒软件”。

    不过，千万不可过分相信防病毒软件。变种病毒只是对原病毒（或其他病毒的变种）的动作内容略加改动，然而在绝大多数情况下防病毒软件都不能检测到新的变种。因为病毒作者都是在用防病毒软件确认它不能被检测出来后才散布出去的。对于病毒作者来说，防病毒软件就是检验工具。在安装新的病毒特征库文件之前，防病毒软件对于新的病毒变种是无能为力的。不仅如此，“只要防病毒软件不发出警告，就没问题”也是一种十分危险的想法。

    在新的变种病毒不断出现的形势下，应当把防病毒软件视为用来判断某文件是否有“嫌疑”的软件，而不是用来判断文件是否“清白”的软件。如果防病毒软件发出了警告，就可以认为该文件已经感染了病毒（或者说该文件就是病毒），但即使没有发出警告，最好也不要认为“文件没有感染病毒”。

    尤其是邮件的附件，最好是把它与放置在可疑网站上的文件一样视为“基本上属于可疑文件”。即使防病毒软件没有发出警告，也禁止轻易地打开。即便邮件发信人的名称是某位名人或著名企业，伪装成发送人的事情也经常发生的。根本无法保证它所显示的发送人是真实的。

    企业的系统管理员也应当多加注意。即使导入了可综合检测邮件的“网关型防病毒软件”， 听说仍有很多企业由于没能及时更新病毒特征库文件，而遭到了网络天空和Bagle病毒变种的入侵。应当呼吁用户“不要过分相信防病毒软件”，提醒他们多加注意。IPA/ISEC一直都在呼吁说“防软件虽然有效，但千万不可过分相信”。

    另外，对于极有可能是病毒的附件，即使防病毒软件没有检测到，也建议用户利用网关软件（邮件服务器）将其删除。具体就是指带有“pif”、“scr”、“bat”、“com”、“cmd”等扩展名的文件。用户几乎不会将具有这类扩展名的文件添加到邮件中进行发送。只要用这类扩展名取代“exe”，可执行文件就可顺利地运行。因此这类扩展名就会被用作病毒的“隐身服”。应当说即便将这类扩展名的文件过滤掉，绝大多数企业也不会由此产生什么问题。

    进一步说，对扩展名为“exe”、“zip”、“lzh”的附件也要多加考虑。当然，有的企业可能会在业务邮件中发送这类扩展名的文件。此时就不能轻易地将它们过滤掉。但是，目前由于利用邮件进行传播的病毒正在大肆蔓延，因此最好是在充分权衡方便性与安全性的基础上，利用扩展名对附件进行过滤。