這是一種典型的開機型病毒,會感染軟碟的開機記錄和硬碟的主開機記錄。它像是潛伏在系統深處的小偷,靜靜佔據640KB記憶體中的2KB空間,幾乎不留痕跡。
真正特別的是它的啟動時機。與其他立刻發作的病毒不同,米開朗基羅病毒只在特定的一天行動——每年的3月6日。當天一旦開機,病毒就會開始隨機覆寫硬碟上的資料,使檔案無法讀取。這樣的設計,使它被歸類為惡性病毒。
這個病毒之所以叫「米開朗基羅」,並不是因為在程式碼中藏有這個名字,而是早期的分析人員發現,它發作的日子正好是藝術家米開朗基羅的生日。這個名字於是就被沿用了下來。
那時,每天都有新病毒被發現。但米開朗基羅的不同之處在於,它不只是實驗室裡的樣本,而是真的出現在用戶的電腦上。更引人關注的是,它的破壞行動會在某一天集中發作,這讓人更加不安。
隨著1992年3月6日的到來,媒體與防毒產業開始大量報導這起事件。新聞播報、報紙頭條紛紛預告它的威脅,有些預測甚至說可能會有上百萬台電腦受影響。
但真正的那一天到來時,並沒有如預期般出現災難場面。根據 IBM 的一篇研究指出,這些預測顯然過於誇張。事實上,那天因為硬體故障而壞掉的電腦數量,和因米開朗基羅病毒導致資料損毀的數量差不多。
雖然確實有一些系統受到病毒影響,但能夠確認的案例並不多,大部分地區甚至找不到具體的受害者。
儘管如此,這場被稱為「米開朗基羅恐慌」的事件,還是帶來了實質的改變。人們開始大量購買防毒軟體,有些地方甚至排起長隊。許多用戶也第一次主動檢查自己的電腦是否感染病毒。
那段期間,病毒報告數量激增。但這不是因為病毒突然爆發,而是因為大家開始認真檢查系統,反而讓很多潛伏已久的病毒被提早發現。研究也顯示,當時被找到的病毒中,最常見的其實是另一種叫「石頭」(Stoned)的病毒,它的發現率甚至是米開朗基羅的三倍。
在這場風波之後的幾個月內,病毒事件的報告數反而下降了。許多原本可能過幾個月才被發現的感染,在三月初就被清除,某種程度上減緩了病毒的擴散。
米開朗基羅病毒也是早期少數使用「定時炸彈」機制的病毒之一,會在特定日期啟動破壞。這類技術後來也常被用來躲避安全分析。資安專家為此發展出多種對應方式,例如虛擬機模擬與行為記錄分析。
雖然最終這場恐慌和實際情況有落差,但這段經歷仍帶來不少啟發。IBM 的研究也指出,防毒產業在發布警告時應更加審慎,媒體報導也需要多一分查證與判斷。
如今,米開朗基羅病毒的原始碼已經公開,可以在網路上找到。例如 Valerio Capello(別名 Elf Qrin)在1992年用 MS-DOS 組語註解的版本,就被保存在他的 Hacking Lab 網站上,成為一段歷史紀錄。
Tags
主題筆記