文/苗伶

　　2000年11月，金山公司“金山毒霸”首发产品升级盘上，发现不明“病毒僵尸”；2001年7月20日，金山毒霸Ⅱ再次涉嫌染有Win32.Sirsam的蠕虫病毒；2002年4月24日，金山公司“金山毒霸”升级软件包中，再次涉嫌染有Win32.foroux.a(求职信病毒的变种)病毒。

　　网上传出毒霸传毒

　　2002年4月24日21：32分，金山公司的BBS“金山网友沙龙”出现了一张署名“金山毒神”、标题为“金山毒霸的升级包内有病毒”的帖子。内容如下：“我在下载了金山的最新升级包后，我的毒霸.net就报警说有病毒！病毒名是[Win32.foroux.a]！请问这是怎么回事？”

　　当晚21：35分，该BBS版主maldinilbx就回复了帖子，表示对此事很关注，要求该金山毒霸软件的用户提供具体的下载地址。

　　这位署名金山毒神的网友于21：43分回复帖子，给maldinilbx提供了下载涉嫌带毒文件的网址为：ftp://gz2.iduba.net/download/downloadupdate/KV3020424.EXE。

　　21：50分，maldinilbx继续回复该网友的帖子，内容为：您好，谢谢您，我已经联系到毒霸组了，谢谢您。

　　不止是该用户下载了已染毒的升级文件包。当晚21：53分，一位名为“GH388”的网友在相同论坛也贴出了一张帖子：“确实有[Win32.foroux.a]病毒！不能执行升级操作。我只好先用WinZip解压后，再执行升级，然后，4.24版的就把下载的升级程序给干掉了，提示有[Win32.foroux.a]病毒！”

　　一位名为“wgabc”的网友回复道：“我也中招了，有34个文件的修改时间被改，但都查不到病毒。金山也太不小心了吧！”

　　22：45分，该BBS另一位名为“版主-飞雪”的网友回复以上主题内容为：“金山毒霸反病毒应急处理中心已经将4月24日版升级文件撤下了。”

　　事隔不久，以上所列的所有帖子均被该BBS删除，一切风平浪静。

　　求职者傍上了金山毒霸？

　　Win32.foroux.a究竟是什么？为此，记者咨询了在反病毒领域享有盛名的厂商瑞星公司市场部经理郑政先生。郑政回答道：“该病毒是前不久哄动IT界的‘求职信’病毒的一个变种，其隐蔽性更甚于原来的求职信病毒。”

　　在金山公司的主页上，记者查到了关于求职信病毒的报道，此报道时间为去年10月：“求职信”不仅具有“尼姆达”病毒自动发信、自动执行、感染局域网等破坏功能，而且在感染计算机后每隔0. 1秒查询内存中的进程、检查并终止内存中的杀毒软件。该病毒通过电子邮件传播，邮件的主题是不定的，可能是“How about have dinner with me together(跟我一起吃饭如何？)”、“How are you(你好)”、“A free hot porn site(免费色情站点)”或其他名称，附件的名称也是随机的，如“Nxrj.exe”、“Uruo.exe”、“Vws.exe”。如果用户使用微软的Outlook收发电子邮件，那么在预览含有该病毒的邮件时，病毒已经被执行。一旦感染此病毒，系统将变得非常缓慢。该病毒可通过Outlook地址簿中的邮件地址自动传播给其他用户。杀毒技术人员提醒广大计算机用户，在没有解决方案之前，慎重收发电子邮件，以免“求职信”病毒进一步传播。同时关注国家计算机病毒应急处理中心及各方病毒软件生产厂商的网站，以便及时更新杀毒软件，预防该病毒。

　　该报道还提到，金山软件已经能够查杀这种病毒了。

　　经过多方联系，记者找到了关于Win32.foroux.exe病毒较完整的说明：

　　Worm.Klez.L是一种蠕虫病毒，病毒在运行后，会释放出一个名为“Win32.Foroux.exe”的病毒体。该病毒为创建7个病毒线程，并以系统服务的形式驻留内存。病毒的7个线程分别完成以下任务。

　　(1)遍历所有进程，杀掉对它有威胁的进程。

　　(2)在本地硬盘搜索一些著名杀毒软件的数据文件，发现后立即删除，导致它们无法运行。

　　(3)感染注册表中某些已登记安装了的软件，例如Explorer、WinZip、WinRAR、OutLook等，因为这些软件比较常用，可保证病毒被激活。

　　(4)搜索网络邻居文件夹，并将病毒体复制到其中，以便扩大传染面积。

　　(5)通过自带的SMTP客户端程序向用户地址簿的地址发送带毒邮件。

　　(6)将病毒体(Win32 Foroux)释放到Program File目录中，并启动。病毒Win32 Foroux是个典型的文件型病毒，启动后即开始全盘感染可执行文件。

　　(7)在Windows的Internet临时文件夹中搜寻对它有威胁的文件，找到后立即删除，从而阻止用户上网升级或下载对付它的程序。

　　记者又试着登录了金山毒神提供的网址gz2.iduba.net，发现该网站是金山毒霸的专用网站。也就是说，金山毒神是从金山公司自己的下载文件库下载了有带毒嫌疑的升级软件包。

　　4月24日，当晚22：03分，金山网友沙龙，一位为名为“飞鱼”的网友发表了内容为“太漫不经心了吧”的帖子。一位名为“percy”的网友则说：“幸好今天这里停电，没来得及升级毒霸”。23：13分，一位名为“kinghao”的网友发表言论说：“毒霸自己也逃不过病毒的魔掌啊！”

　　23：29，GH388回复道：“现在已经更换了。可是刚才的版本已经把我很多的文件给删除了！有些文件可是孤本啊！刚才的版本肯定有问题！”

　　4月26日开始，记者试着多次拨通金山公司市场部的电话，但一直无人接听。据另一媒体的记者透露，他曾向金山问过此事，得到的回答是他们根本不知道有此事发生。

　　如果不是以上的一些网友言论以及版主的回复，此事就将“烟消云散”了。金山毒霸的市场霸业

　　作为国内有一定知名度的杀病毒软件，金山毒霸虽然出道比较晚，但依靠强大的市场运作能力，其在国内的销量节节攀升。本报记者前不久在采访金山公司营销副总裁王锋时，他曾说过，金山毒霸目前在国内的销售量已经超过江民，排在了第二名。金山公司总裁雷军也表示，今年金山的销售额中，将有35%来自金山毒霸。可以看出，拥有相当长产品线的金山把今年的工作重点放在了金山毒霸上。声称拥有500人研发队伍的金山还将考虑CMM认证等软件生产标准化认证。作为今年的拳头产品，金山此次纰露，可谓出得极不凑巧。杀毒软件的升级包带有病毒，对一个杀毒软件厂商来说，往往是致命的打击。尤其最近以来，“求职信”病毒的泛滥成灾，使得各个杀毒软件厂商纷纷加大力度以查杀此病毒的快速响应大作宣传。

　　4月26日，在新浪网新闻中心首页上有题为“金国紧急投放百万金山毒霸专杀工具，金山、新浪联手防杀求职信病毒新变种”的广告条。点击进入，原来是金山将于近期发放求职信变种病毒专杀工具光盘活动的介绍。粗略估算，每张光盘的硬成本(加包装费)约为1.5元，再加上发放费用、宣传费用等，此次光盘派送，如果达到了金山宣称的“100万”，整个费用将有可能超过200万元。金山一次性拿出如此高昂的费用做市场推广，与免费赠送20万张光盘的瑞星相比，虽然销售额差了一截儿，但市场推广的“烧钱”本领，使得在这次活动中，金山有可能风光无限。

　　不过，有一个比较特殊的地方，近期金山在长沙举办了红红火火的市场推广活动，号称打响了“长沙第一枪”的金山，此次没有把那里列为光盘派送的地点之一，也许是因为那里的市场空间不够大。

　　到这里，记者想起著名笑星赵本山拍的一条广告语：不看广告看什么？

   一首歌声，两份祝福，万张贺卡免费送母亲！
      15秒快速订短信 精彩资讯尽在“掌”握