21年前一场电脑病毒大爆发,6000 万台电脑中招,今天我们依然没吸取教训_详细解读_资讯_热点事件
编者按:本文来自微信公众号“航通社”(ID:lifeissohappy),作者:航通社,36氪经授权发布。原题目《21 年前的 4 月 26 日:CIH 电脑病毒大爆发》
刚刚过去的 4 月 26 日是什么日子,你还记得吗?
这是“世界知识产权日”。清华大学庆祝了 109 周年校庆。切尔诺贝利核电站事故过去 34 年,如今遗址附近正遭遇一场森林大火,威胁到本就脆弱不堪的防辐射“石棺”。
让更多 80 后记忆犹新的,恐怕不是切尔诺贝利,而是“切尔诺贝利病毒”。
欧美和日本都这么称呼这个电脑病毒,因为它在核事故的纪念日那天爆发。在中国,更多人熟悉病毒的本名,三个英文字母:CIH。
CIH 具备的破坏力,让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据,它是历史上款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。
1. 1999 年,6000 万台电脑中招
1999 年春节前后,在深圳“瀛海威时空”机房值班的林兴陆,听说有款国内开发的聊天软件叫 OICQ,跟以色列人开发的 ICQ 很像,不同的是它支持很多可爱的卡通头像。
林兴陆下载到一个程序包,但杀毒软件当即发现携带了当时颇为流行的 CIH 电脑病毒,他二话不说就删除了。这次遭遇让他比朋友们晚了将近一年,才开始使用 QQ。
https://mp.weixin.q网站站点" rel="nofollow" />
1999 年 3 月,IBM 个人电脑品牌 Activa 宣布,它们在美国销售的几千台电脑一出厂就带有 CIH。此时距离 26 日的发作日只有一个月。无人知晓购买这些电脑的用户是否遭受了损失。
http://www网站站点" rel="nofollow" /> 与亚洲相比,CIH 在欧美造成的破坏总体上不大;但你不要对波士顿学院(Boston College)的学生们这么说,因为他们损失的是期末论文的手稿。 波士顿学院的学生显然没有理会该校 IT 部门几周前发出的警告。爆发是如此糟糕,以于学校敦促学生在 27 日之前不要打开电脑。一位波士顿学院计算机实验室的员工说, “午夜刚过,人们开始打电话说‘我的电脑不再知道它是一台电脑了’。谁说这没什么大不了的,我真希望他们过来看看。” https://web.archive网站站点" rel="nofollow" /> CIH 中毒发作时的症状就是突然死机或无法开机,而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据,还有主板 BIOS 固件。 不要说当时了,就算现在看来,如何让一小段代码破坏硬件,也是听来很奇的一件事。所以社长想花点篇幅,尽可能通俗地讲一下病毒的工作原理。 BIOS 是在我们熟知的 Windows 等操作系统更下面一层,控制电脑基本输入 / 输出的一段程序,存储在主板上的一个小芯片里。它在开机时运行,只有它检测到键盘、显示器等正常工作,你接下来才能正常使用电脑。近几年,BIOS 已经逐渐被更高级的 UEFI 替代,正是这一点让大多数近几年生产的电脑只能安装 Windows 10,而无法降级到 Win7 或者 XP。 90 年代后期,绝大多数电脑采用英特尔“奔腾”处理器(CPU)和 Windows 95/98/ME 系统。在这样的电脑中,一些主板厂商允许在 Windows 里下载和更新 BIOS,这被称为“固件升级”。固件升级存在风险,一旦失败或中途断电,电脑将不能启动。 CIH 病毒发作时,会调用 CPU 的最高权限,尝试将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”,通常就只能更换 BIOS 芯片或者整个主板了。 病毒要想“买通”CPU 必须先经过操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻,但 Windows NT/2000/XP 及以后的系统,提供了针对性的保护机制,所以对 CIH 天然“免疫”。 现在装个微信会吃掉少 500MB 硬盘空间,但林兴陆那时下载的 OICQ 程序,只有区区 200KB。CIH 通过感染 .exe 结尾的应用程序来传播,所以它更小,只有 800 多个字节。 当它感染程序文件时,甚会把不到 1KB 的程序代码分割成几个部分,分别写入程序中各段尚未填满的地方。这样一来,带毒的程序跟未染毒时相比,看不出大小的变化。它只能用杀毒软件检测到。因为这个特性,CIH 又有一个绰号叫“空间填充者(Spacefiller)”。 因为杀毒厂商早已时间跟进,所以林兴陆可以发现并处理它。但当时的杀毒软件都是收费的,而且运行时会让系统变得很卡顿,很多用户嫌麻烦并不想安装,就让电脑那么“奔”着。更不用说,当时盗版的操作系统和软件也广泛流传。 肉眼无法分辨的隐蔽性,加上大多数用户使用 Win9X 系统,缺乏安全意识,共同造成了病毒在 1999 年的大爆发。 我们现在知道,CIH 感染电脑的机理并没有那么难以理解,运气好的话,甚可以恢复绝大部分硬盘数据。但在大爆发刚开始时,人们对它的认识不充分,很多人恐慌性格式化硬盘,造成了进一步损失。 CIH 病毒会在硬盘的个分区中从第 0 扇区开始,写入 1MB 字节的空数据。而这最初的 1MB 包含了分区表(MBR)、文件分配表(FAT)、启动扇区等部分。它们介绍了这块硬盘上的空间被如何划分,单个文件又是如何被分配存储在不同的空间里。 如果一块硬盘被分成多个区(即 C、D、E……盘),恢复驱动器的分区表将立即恢复各个分区。虽然 CIH 病毒对个分区造成广泛损坏,但后续分区完全完好无损。 在采用更新的 FAT32 文件系统时,其分区表大小比当时流行的 FAT16 大很多,所以在 FAT32 的硬盘分区感染 CIH 还有一定机率会保住个分区的数据。 因此,安全专家史蒂夫·吉布森(Steve Gibson)编写了完全免费的硬盘数据恢复工具。他收到了网上雪片一般的感谢信。 https://www.gr网站站点" rel="nofollow" /> 要不是众多用户使用旧版、盗版系统,没有杀毒软件,缺乏安全意识,CIH 在 1999 年造成的惨剧是完全可以避免的。 公众对电脑安全的重视可以说是“一阵一阵的”,更多受到他们获取信息的影响。 同一时期,正值“千年虫”(Y2K)问题闹得沸沸扬扬,给媒体渲染得像是世界末日来临。所以当时的电脑大多数都为“千年虫”做了排查。讽刺的是,有些电脑却因为没那么显眼的 CIH 倒在了“黎明前的黑暗”中。 令人遗憾的是,20 多年过去了,人们并没有吸取教训,导致这种漏洞本已被修补,却仍然中招的情况,又重演了多次。 2001 年 7 月,红色代码(Code Red)病毒在不到一周感染了近 40 万台网络服务器,传到多达 100 万台普通电脑上。在发作前一个多月,微软已经针对性地打过补丁。 大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月出现,几天之内就感染了 150 个地区超过 20 万台电脑,黑客索要价值 300 美元的比特币,解锁用户电脑上的文件。 WannaCry 基于 Windows XP 系统的“永恒之蓝”漏洞。当时 Windows XP 已经停止技术支持三年之久,但大多数中招电脑出于种种原因,坚持使用 XP。微软不得不打破惯例,为早已“入土”的 XP 系统打补丁。 发现此漏洞的是美国的情报机构,他们并没有及时告知公众,而是以此为基础开发了一些“电子战”武器。万万没想到,还没等投入实战,同样的漏洞却被野生黑客圈子捕获,并时间用作对平民的袭击。 在 WannaCry 的广大受害者当中,包括美国的盟友英国,该国公立医院系统 NHS 损失惨重。《好奇心日报》总结说:“只要漏洞存在就有危险,不管它当初是为谁留的。” https://mp.weixin.q网站站点" rel="nofollow" /> 普通电脑用户的安全意识一如既往地差,但 WannaCry 体现出现代计算机安全威胁和古典病毒时代的巨大差异。 2006 年是计算机病毒发现 20 周年。InformationWeek 做的历史上 10 大破坏力的病毒排行中,CIH 名列前茅。同样上榜的“爱虫”(I Love You)、红色代码、冲击波(Blaster)和震荡波(Sasser)都说明蠕虫和宏病毒是当时电脑病毒的主流。 https://www.informationwee网站站点" rel="nofollow" /> 2018 年,另一款“微信支付”勒索病毒首先植入被大量开发者使用的“易语言”编程工具,进而进入编写出来的各种软件产品,使用这些软件的 10 多万台终端电脑被感染。该病毒活跃的染毒软件超过 50 款,其中多数是“薅羊毛”类”灰色“软件。 https://mp.weixin.q网站站点" rel="nofollow" /> 1998 年 4 月 30 日,CIH 病毒作者陈盈豪被台北警方带走问话。他时年 23 岁,在服役。面对记者的闪光灯包围,他差点瘫倒在地。当时的新闻报道说,办案人员打开了审讯室的电脑让他上网,而他看到电脑就精焕发,恢复了常态,跟几分钟前判若两人。 http://safe.zo网站站点" rel="nofollow" /> 世纪之交的电脑网络是大人们完全不了解的世界,社会担心孩子沉入电脑世界,与现实生活脱节。报纸上写着《电脑游戏——瞄准孩子的“电子”》。能上网的孩子,就被家长一直念叨网上有很多坏人,玩 ICQ 聊天室要小心。 http://www.peopl网站站点" rel="nofollow" /> 当时的社会舆论对李俊遭遇的学历歧视感到同情。《中国青年报》评论说:“我们的社会不缺少李俊这样的人才,但我们不希望他们被称为人才的代价是给社会带来危害。” 当年,我们能相信陈盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因为找不到工作不甘心,最重要的是,能相信他们的本意不是坏的。 时光荏苒,公众的安全意识仍然一塌糊涂,但公众的心态却发生了沧海桑田的变化。没有人再会“傻”到去相信一个造成巨大损失的人”不是故意的“。 ——啊,还有,你敢同情罪犯?“如果同情了罪犯,谁来同情受害者?” 社交网络基本上实现了把所有人连接在一起的宏愿,但人们的心也被磨得粗粝,失去了对细微情绪的感知和共情。对网上爆出的很多事情,很多“瓜”,我们不再单纯就事论事,而是一定要立场坚定,诉诸动机。你的“”,一定不能是歪的。 对安全事件的当事人,我们现在一定先入为主地认为他有金主、有后台,动机不纯。我们已经无法想象有人会单纯的不为钱不为利,做什么惊天动地的事情。 社长不得不承认,这种不可逆转的心态改变,也是因为其它几个铁一般的事实,教育了原本还单纯的我们。 在陈盈豪被捕的 1999 年,台湾全省甚找不出有人因为经济损失要的苦主,再加上也没有法律规管这一事物,所以他就这么被释放了。2003 年 6 月 25 日,台湾省通过“妨害电脑使用罪”的地方法规,立法过程还参考了陈盈豪本人的意见。 https://law.moj.gov.tw/LawClass/LawParaDeatil.aspx?pcode=C0000001&bp=53 到了 2007 年“熊猫烧香”肆虐时,情况就不一样了。李俊出于炫技和圈子内交流的本意,将病毒原件挂上网出售。买到的人则植入木马,将中毒电脑变为可随意控制的“肉鸡”,其中游戏账号、虚拟物品、货币等被并提现。因为造成重大的经济损失,李俊被判处 4 年。 陈盈豪和李俊在事发后都得到电脑安全厂商的录用邀请,但陈盈豪此后走上人生正道,李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后,他又参与开发了一款有诈骗性质的网络游戏,2013 年再次入狱,2015 年出狱后,在公众视野消失。 对难以通过正规渠道大显身手的民间安全人士而言,像梁山好汉一样做草莽英雄,以非官方之力影响社会的大门,已经关闭。 2016 年 7 月,当时中国的计算机漏洞民间提交平台乌云(WooYun)停业,创始人方小顿等“多名高管被抓”。此前,有用户在乌云网提交了关于婚恋网站“世纪佳缘”的漏洞,世纪佳缘站方曾认领漏洞并向平台致谢。但出乎意料的是,世纪佳缘一转头,就报了警。 https://weibo.com/ttarticle/p/show?id=2309351000354002161221567004 像乌云、漏洞盒子这样的民间安全平台,其上活跃的人士被称为“白帽子”,与一心搞破坏的“黑帽子”相对。有些时候,“白帽子”选择事先在安全圈内小范围公开漏洞,而不是时间联系企业,这会被企业认为是在敲诈。如果“白帽子”验证漏洞时有进入数据库信息等擦边球行为,则其行为的“黑白”则更不好界定。 一番争议过后,业界接受了“白帽子”没有存在余地的现实。本来应该活跃在乌云等地的安全专家,大部分被 360、奇安信、腾讯、阿里等厂家“招安”。在大厂的羽翼下,他们把自己的舞台界定为一场场国内外的网络安全大赛,为国争光。 故事的,要说一下那个 1999 年在深圳当网管,与 CIH 偶遇的小伙子。 林兴陆加入瀛海威时只有 17 岁,此后他又去了那个“呼机、手机、商务通,一个都不能少”的恒基伟业,再后来跟刘韧等人一起发起了 DoNews。2007 年,他的下一个创业项目 265 导航网址卖给了谷歌。 航通社首发原创文章,未经授权禁止转载。微信搜一搜:航通社① 怎样破坏
② 如何修复