SirCam成為頭號危險病毒

SirCam病毒還是陰魂不散，它繼續讓安全專家迷惑不解。
SirCam病毒現在已經被所有反病毒公司列為頭號的危險病毒。上週一傍晚，該病毒從已經維持一週的有一定危險性，上升成為最危險的病毒。
一個病毒在人們的郵件信箱中出現整整一週後才被列為最危險的病毒，是非常少見的情形。
「一般來講，所有的病毒在被發現後24小時內就會達到最高危險度。」 F-Secure的加特渥斯（Steve Gottwals）說，「我從未見過有病毒在發現一週後還可以持續造成危害，並且感染率還會加快。」
SecurityPortal的杜漢（Ken Dunham）說，SirCam病毒在上週一和上週二已經「傳播得像燎原之火那樣地迅速」，網路阻塞、際網路網服務受損、網站關閉等的危害已經是人們預料之中的事，但是這一切似乎都還沒有結束。
專家認為，SirCam病毒之所以會對系統造成輕微的危害，是因為它是通過隨機選擇的方式來進行傳播的。
SirCam病毒有多種的攻擊方式，它可以透過自己的郵件程式向自行建立的郵件列表發送郵件，可以刪除硬碟的檔案，也可以用文字檔案填滿硬碟的剩餘空間。如果該病毒每感染一台電腦時都會造成以上的危害，那它肯定會成為歷史上最具智慧、最具破壞性的病毒。
不過，目前SirCam造成的大多數危害只是帶來了無窮無盡含有病毒附件的郵件，讓人心煩不已。
Techserv公司的安迪帕斯（Andrew Antipass）表示，它比1999年3月猖狂於電腦網路的梅麗莎病毒要複雜得多。
安迪帕斯認為，儘管1999年梅麗莎病毒帶來了很大的危害，但是到了今天它已經沒有什麼危害了。
當時的梅麗莎病毒也是非常狡猾的：它隱藏在郵件附件的Word檔案中。當收件人打開檔案時，就會感染上病毒。
但是梅麗莎在感染了電腦後，唯一的危害就是會使用Outlook郵件軟體把自己發送給通訊錄中的前50個郵件地址。
目前的許多病毒都會把自己寄送給通訊錄中的每個收件人，也有像SirCam病毒這樣從使用者訪問過的網頁上收集地址的。
「1999年的時候，並不是所有的伺服器和系統都能像現在這樣處理大量的郵件，人們對病毒也不是非常警惕，因此梅麗莎病毒就非常的成功感染。」安迪帕斯說，「不過現在再出現梅麗莎病毒的話，它將只是網路中的滄海一粟。假如一個病毒只發郵件給50個收件人就了事，那它和現在的工作狂病毒相比，只能算是一個懶鬼。」
然而，SirCam病毒卻讓許多安全專家又愛又恨。
他們很欣賞SirCam複雜的程式碼，他們認為撰寫這個病毒的人一定是個撰寫程式的高手。但是，一個技術高超的人員卻將功夫花在這種危害電腦和網路的病毒上，不禁令人扼腕歎息。
「這是我所見過構思最為精巧的病毒。」 加特渥斯說，「撰寫者在這上面煞費苦心，但它的結果卻只會給人造成危害，真是令人遺憾。」
現在人們認為這個病毒是由一名墨西哥程式設計師撰寫的。
當電腦感染了SirCam後，病毒會為生一個亂數，有1／50的機率該病毒會使用一個文字檔案將受感染電腦的硬碟完全填滿（不過只限於安裝了Windows的硬碟）。
該文字檔案的內容是關於該病毒的製作資訊，其內容如下：
「〔SirCam版本1.0，版權2001，2rP，墨西哥/ Hecho en - Cuitzeo, Michoacan製造〕」（SirCam Version 1.0 Copyright 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico
Cuitzeo是一個離墨西哥Michoacan的首府Morelia城有16英里遠的地名。
安全專家認為，這個病毒資訊呈現出的不一定真是病毒撰寫者的居住所在，但是他們認為可以肯定的一點是SirCam的撰寫者能說流利的西班牙語。
附帶SirCam病毒的電子郵件的正文有英文版，也有西班牙語版。英文版寫的很明顯不是道地的英文。英文版的正文有四種不同的版本：
I send you this file in order to have your advice.
或
I hope you can help me with this file that I send.
或
I hope you like the file that I sendo you.
或
This is the file with the information that you ask for.
但是西班牙語版本的郵件正文卻是非常道地的西班牙文：
Te mando este archivo para que me des tu punto de vista.
或
Espero me puedas ayudar con el archivo que te mando.
或
Espero te guste este archivo que te mando.
或
Este es el archivo con la informacion que me pediste.

加特渥斯和其他專家認為，SirCam之所以沒有能夠在英語國家裡進一步迅速傳播，可能是因為其英文版郵件讀起來頗為不順。
許多SirCam郵件是從西班牙語國家轉發而來的。
「目前我們很幸運，」加特渥斯說，「許多最危險的病毒都是用蹩腳的英語所包裝的。我覺得不順口的英文可能使收到病毒的人感到警惕。」
SecrityPortal的杜漢表示，SirCam還沒有造成網路癱瘓或大範圍的系統降級。
SirCam剛剛出現的時候，一些專家認為，這個病毒會將自己寄給從受感染硬碟上每個郵件程式和所有暫存的網際網路檔案中留下的郵件地址。
現在人們發現SirCam是隨機地從列表中選擇郵件位址，每次感染只會透過自己的SMTP引擎發送十幾份的副本。
「這正是SirCam有趣的地方.」安迪帕斯說，「其他電子郵件病毒，如庫妮可娃病毒和愛蟲病毒，每次感染病毒所完成的行為都是一樣的。而SirCam的病毒行為卻是隨機的。
SirCam既是病毒也是蠕蟲。它可以像蠕蟲那樣的自身複製，也可以像病毒那樣產生破壞。
現在許多防毒軟體公司都向使用者提供防毒工具，幫助他們清除系統中的SirCam。
現在安全專家終於感到可以掌握SirCam病毒的功能了，他們在等待該病毒衍生出變體的出現。
病毒變體是原病毒改寫後的版本。
「這種大的病毒後面必然會有變體出現。」加特渥斯說，「情況總是這樣。不過好在變體的危害總是比原病毒要小。」
加特渥斯還說無論是誰在撰寫病毒的變體，只要不是病毒撰寫者本人，就必須首先懂得該病毒的原程式碼。而SirCam病毒的程式碼是十分複雜的。
「當然，也有不少人是撰寫程式的高手，」加特渥斯說。
SirCam並不是唯一的一個複雜的電子郵件病毒。
Hybris，也稱為七個小矮人病毒（Seven Dwarfs），在2000年10月首次被發現。這個病毒可以從網路上下載小段的程式碼來造成新的破壞。
W32.Magistr病毒是在3月份首次被發現的。它與SirCam有相似之處。Magistr有自己的SMTP程式碼，可以直接和郵件伺服器相連接。它從受感染的電腦上創造出電子郵件的主旨、正文和附件，有時它還會選擇隨機文件附在病毒郵件中。Magistr的程式碼中包含的文字顯示該病毒發源於瑞士，由「法官Disemboweler」所撰寫。
Magistr與Hybris都和愛蟲病毒一樣目前仍然高居最具危害的病毒列表前五名。
「首次出現就產生很大危害的病毒以後總會捲土重來。它們就像吸血鬼一樣，看上去像是死了，但實際上它們只是在冬眠。」安迪帕斯說。