untitled

會「發呆」的麥金塔病毒——AutoStart 9805 張志燦、蔡政儒

本文章發表於1998年9月18日台灣日報資訊版（21版）

　今年五月，是向來笑看PC族慘遭病毒蹂躪的Mac族空襲警報月；AutoStart 9805病毒（即先前所稱「DB」病毒，或俗稱「發呆病毒」）以極快的速度肆虐香港輸出業者，蔓延之範圍幾乎無一倖免，而台灣也難逃此劫。然而更不幸的是，鬧得滿城風雨的AutoStart 9805病毒竟威脅至今，久久不歇。目前更出現了AutoStart 9805-B、C、D、E、F等變種病毒，新種的AutoStart病毒仍然是利用QuickTime的AutoStart功能作為開始蔓延的工具，而以各類儲存工具（如軟碟、硬碟、MO、Jaz、 ZIP ……等）作為媒介，開始其於麥金塔電腦中的恐怖行動。

　AutoStart 9805 病毒運用了MacOS中的QuickTime自動播放功能來處理啟動磁區（boot block）的資料欄位，以進行其蔓延的地下工作－－大肆複製其隱藏執行檔「DB」及變種的「DELDB」到所有儲存媒體磁碟的根目錄。AutoStart 9805病毒發動攻擊時，會去檢查開機系統硬碟中是否已經感染。假若已感染此病毒，AutoStart 9805會就病毒的新舊程度來新陳代謝；倘若尚未受到感染，AutoStart 9805便複製一份到系統檔案夾中的延伸功能（Extensions）內，並將其檔名更改為「Desktop Print Spooler」或「DELDesktop Print Spooler」並重新開機（變種的AutoStart 9805 病毒則不會）。負責傳染「Desktop Print Spooler」及「DELDesktop Print Spooler」病毒的工作是藉由QuickTime 的CD-ROM AutoPlay功能去自動執行存在於儲存媒體上的「DB」及「DELDB」隱形應用程式來達到散播病毒的目的。

■ 發病症狀

1. AutoStart 9805

　純種AutoStart 9805病毒，其硬碟根目錄中隱藏檔名為「DB」、背景程式（在延伸功能檔案夾內）檔名為「Desktop Print Spooler」。感染後即會執行重新開機的動作，它會每30分鐘發作一次，以結尾「data」、「cod」和「csa」的檔名且資料磁區（data fork）大於100 bytes的檔案和結尾「dat」的檔名且資料磁區大於2MB的檔案作為搜尋對象，進行「慢速」的搜尋。搜尋之後它便會在這些檔案資料區內寫入一些破壞性的亂碼複寫這些資料，損壞這些檔案。

2. AutoStart 9805-B

　AutoStart 9805-B是AutoStart 9805的變種病毒，病毒名與純種AutoStart 9805一樣。不同的是電腦首次感染後不會重新開機。若是同一部電腦已經感染「純種」AutoStart 9805 病毒，AutoStart 9805-B病毒感染後會將「純種」AutoStart 9805 病毒所產生的檔案替換。 AutoStart 9805-B病毒不會感染網路上的硬碟。它以每三分鐘開始自我複製、攻擊、感染其他碟片，每六分鐘損壞硬碟中檔案。 AutoStart 9805 -B病毒會破壞的檔案包括：
超過10242 bytes的JPEG﹑TIFF以及 EPSF 檔。存在延伸功能檔案夾內的Printer Descriptions 檔案夾中的某些檔案，它將會在1998年12月24日後停止自行複製與檔案破壞。

3. AutoStart 9805-C

　它也是AutoStart 9805的變種病毒，硬碟根目錄中隱藏檔名為「DELDB」、背景程式檔名為「DELDesktop Print Spooler」。若是同一部電腦已經感染其他AutoStart 9805 病毒，AutoStart 9805-C病毒感染後會將其他AutoStart 9805 病毒所產生的檔案替換。 AutoStart 9805-C病毒不會感染網路上的硬碟；它以每三分鐘開始自我複製、攻擊、感染其他碟片，每六分鐘損壞硬碟中檔案。它會在1998年 6月8日後停止自行複製與檔案破壞；然而卻不會消失，只是不能作用而已。

4. AutoStart 9805-D

　AutoStart 9805-D與9805-C大體相同，不同的是，它會在1998年12月24日後才會停止自行複製與檔案破壞。

5. AutoStart 9805-E

　AutoStart 9805-E是AutoStart 9805-A和B的變種病毒，病毒名與純種AutoStart 9805一樣。發作方式也與9805-A差不多，而散發病毒方式則仿照9805-B，可怕的是它下了一個相當長的病毒發作區間：1999年6月6日後才會停止自行複製與檔案破壞。

6. AutoStart 9805-F

　AutoStart 9805-F差不多與9805 -A 和9805 -E相同，只是它搜尋的檔案較小而已。

■ 如何掃毒

　無論「DB」、「Desktop Print Spooler」及變種的「DELDB」或「DELDesktop Print Spooler」在正常情況下是無法發現的，當然；它開始發作時假若使用者正好在操作電腦，就會發現電腦如當機一般正在「發呆」（無法操作），此時想要急救也為時已晚。

　若手邊有ResEdit、FileBuddy或Norton Fast Find 等工具，也可用其來搜尋所有軟、硬碟中的隱形 DB（DELDB）及開機系統中延伸功能中的 DesktopPrint Spooler（DELDesktopPrint Spooler）檔案。

　最簡單的方式是使用掃毒程式，如著名的Virex 5.8，來進行全面清查的工作。Virex的使用者可以至其發行公司網站來下載新的病毒定義檔案，更新Virex的辨識功能。目前最新的病毒定義檔的標示日期是1998年8月1日，其可偵測並刪除Autostart 9805 病毒。除了Virex外，香港的Uptown Solutions公司也有一個免費的Autostart 9805病毒偵測軟體「Eradicator」，也頗為好用。

　在沒有任何掃毒軟體的情況下，使用者亦可以用ResEdit等工具，找出所有軟、硬碟中的隱形 DB（DELDB）及開機系統中延伸功能中的 DesktopPrint Spooler（DELDesktopPrint Spooler）檔案後，將之清除後於原處放一個名稱相同、但是被鎖住的空白檔案來騙過病毒，這樣也可以阻擋病毒的蔓延。

■ 以後還會中毒嗎？要如何防範？

　當然，假若停止使用Virex的常駐程式，或有新的變種而未能及時更新病毒定義檔案時，保證照樣中毒不誤。最好的預防方式就是經常更新掃毒程式定義檔案、定期掃毒與將重要檔案定期備份。時常上網造訪一些新聞網站，如「老地方冰果室」，閱讀最新情報也是不錯的時間投資。

相關資訊網址：

Virex的網頁：www.drsolomon.com/products/virex/prodinfo.cfm
香港Uptown Solutions公司：www.uptown.com
老地方冰果室：www.frostyplace.com

回NOU主畫面