​21年前一场电脑病毒大爆发，6000 万台电脑中招，今天我们依然没吸取教训_详细解读_资讯_热点事件

编者按：本文来自微信公众号“航通社”（ID:lifeissohappy），作者：航通社，36氪经授权发布。原题目《21 年前的 4 月 26 日：CIH 电脑病毒大爆发》

刚刚过去的 4 月 26 日是什么日子，你还记得吗？

这是“世界知识产权日”。清华大学庆祝了 109 周年校庆。切尔诺贝利核电站事故过去 34 年，如今遗址附近正遭遇一场森林大火，威胁到本就脆弱不堪的防辐射“石棺”。

让更多 80 后记忆犹新的，恐怕不是切尔诺贝利，而是“切尔诺贝利病毒”。

欧美和日本都这么称呼这个电脑病毒，因为它在核事故的纪念日那天爆发。在中国，更多人熟悉病毒的本名，三个英文字母：CIH。

CIH 具备的破坏力，让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据，它是历史上款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。

1. 1999 年，6000 万台电脑中招

1999 年春节前后，在深圳“瀛海威时空”机房值班的林兴陆，听说有款国内开发的聊天软件叫 OICQ，跟以色列人开发的 ICQ 很像，不同的是它支持很多可爱的卡通头像。

林兴陆下载到一个程序包，但杀毒软件当即发现携带了当时颇为流行的 CIH 电脑病毒，他二话不说就删除了。这次遭遇让他比朋友们晚了将近一年，才开始使用 QQ。

https://mp.weixin.q网站站点" rel="nofollow" />

1999 年 3 月，IBM 个人电脑品牌 Activa 宣布，它们在美国销售的几千台电脑一出厂就带有 CIH。此时距离 26 日的发作日只有一个月。无人知晓购买这些电脑的用户是否遭受了损失。

http://www网站站点" rel="nofollow" />

与亚洲相比，CIH 在欧美造成的破坏总体上不大；但你不要对波士顿学院（Boston College）的学生们这么说，因为他们损失的是期末论文的手稿。

波士顿学院的学生显然没有理会该校 IT 部门几周前发出的警告。爆发是如此糟糕，以于学校敦促学生在 27 日之前不要打开电脑。一位波士顿学院计算机实验室的员工说，

“午夜刚过，人们开始打电话说‘我的电脑不再知道它是一台电脑了’。谁说这没什么大不了的，我真希望他们过来看看。”

https://web.archive网站站点" rel="nofollow" /> 2. CIH 的工作原理

CIH 中毒发作时的症状就是突然死机或无法开机，而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据，还有主板 BIOS 固件。

不要说当时了，就算现在看来，如何让一小段代码破坏硬件，也是听来很奇的一件事。所以社长想花点篇幅，尽可能通俗地讲一下病毒的工作原理。

① 怎样破坏

BIOS 是在我们熟知的 Windows 等操作系统更下面一层，控制电脑基本输入 / 输出的一段程序，存储在主板上的一个小芯片里。它在开机时运行，只有它检测到键盘、显示器等正常工作，你接下来才能正常使用电脑。近几年，BIOS 已经逐渐被更高级的 UEFI 替代，正是这一点让大多数近几年生产的电脑只能安装 Windows 10，而无法降级到 Win7 或者 XP。

90 年代后期，绝大多数电脑采用英特尔“奔腾”处理器（CPU）和 Windows 95/98/ME 系统。在这样的电脑中，一些主板厂商允许在 Windows 里下载和更新 BIOS，这被称为“固件升级”。固件升级存在风险，一旦失败或中途断电，电脑将不能启动。

CIH 病毒发作时，会调用 CPU 的最高权限，尝试将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”，通常就只能更换 BIOS 芯片或者整个主板了。

病毒要想“买通”CPU 必须先经过操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻，但 Windows NT/2000/XP 及以后的系统，提供了针对性的保护机制，所以对 CIH 天然“免疫”。

现在装个微信会吃掉少 500MB 硬盘空间，但林兴陆那时下载的 OICQ 程序，只有区区 200KB。CIH 通过感染 .exe 结尾的应用程序来传播，所以它更小，只有 800 多个字节。

当它感染程序文件时，甚会把不到 1KB 的程序代码分割成几个部分，分别写入程序中各段尚未填满的地方。这样一来，带毒的程序跟未染毒时相比，看不出大小的变化。它只能用杀毒软件检测到。因为这个特性，CIH 又有一个绰号叫“空间填充者（Spacefiller）”。

因为杀毒厂商早已时间跟进，所以林兴陆可以发现并处理它。但当时的杀毒软件都是收费的，而且运行时会让系统变得很卡顿，很多用户嫌麻烦并不想安装，就让电脑那么“奔”着。更不用说，当时盗版的操作系统和软件也广泛流传。

肉眼无法分辨的隐蔽性，加上大多数用户使用 Win9X 系统，缺乏安全意识，共同造成了病毒在 1999 年的大爆发。

② 如何修复

我们现在知道，CIH 感染电脑的机理并没有那么难以理解，运气好的话，甚可以恢复绝大部分硬盘数据。但在大爆发刚开始时，人们对它的认识不充分，很多人恐慌性格式化硬盘，造成了进一步损失。

CIH 病毒会在硬盘的个分区中从第 0 扇区开始，写入 1MB 字节的空数据。而这最初的 1MB 包含了分区表（MBR）、文件分配表（FAT）、启动扇区等部分。它们介绍了这块硬盘上的空间被如何划分，单个文件又是如何被分配存储在不同的空间里。

如果一块硬盘被分成多个区（即 C、D、E……盘），恢复驱动器的分区表将立即恢复各个分区。虽然 CIH 病毒对个分区造成广泛损坏，但后续分区完全完好无损。

在采用更新的 FAT32 文件系统时，其分区表大小比当时流行的 FAT16 大很多，所以在 FAT32 的硬盘分区感染 CIH 还有一定机率会保住个分区的数据。

因此，安全专家史蒂夫·吉布森（Steve Gibson）编写了完全免费的硬盘数据恢复工具。他收到了网上雪片一般的感谢信。

https://www.gr网站站点" rel="nofollow" /> 3. 21 年间，公众没怎么吸取教训

要不是众多用户使用旧版、盗版系统，没有杀毒软件，缺乏安全意识，CIH 在 1999 年造成的惨剧是完全可以避免的。

公众对电脑安全的重视可以说是“一阵一阵的”，更多受到他们获取信息的影响。

同一时期，正值“千年虫”（Y2K）问题闹得沸沸扬扬，给媒体渲染得像是世界末日来临。所以当时的电脑大多数都为“千年虫”做了排查。讽刺的是，有些电脑却因为没那么显眼的 CIH 倒在了“黎明前的黑暗”中。

令人遗憾的是，20 多年过去了，人们并没有吸取教训，导致这种漏洞本已被修补，却仍然中招的情况，又重演了多次。

2001 年 7 月，红色代码（Code Red）病毒在不到一周感染了近 40 万台网络服务器，传到多达 100 万台普通电脑上。在发作前一个多月，微软已经针对性地打过补丁。

大名鼎鼎的勒索病毒 WannaCry，2017 年 5 月出现，几天之内就感染了 150 个地区超过 20 万台电脑，黑客索要价值 300 美元的比特币，解锁用户电脑上的文件。

WannaCry 基于 Windows XP 系统的“永恒之蓝”漏洞。当时 Windows XP 已经停止技术支持三年之久，但大多数中招电脑出于种种原因，坚持使用 XP。微软不得不打破惯例，为早已“入土”的 XP 系统打补丁。

发现此漏洞的是美国的情报机构，他们并没有及时告知公众，而是以此为基础开发了一些“电子战”武器。万万没想到，还没等投入实战，同样的漏洞却被野生黑客圈子捕获，并时间用作对平民的袭击。

在 WannaCry 的广大受害者当中，包括美国的盟友英国，该国公立医院系统 NHS 损失惨重。《好奇心日报》总结说：“只要漏洞存在就有危险，不管它当初是为谁留的。”

https://mp.weixin.q网站站点" rel="nofollow" /> 4. 病毒的演进：从炫技到敛财

普通电脑用户的安全意识一如既往地差，但 WannaCry 体现出现代计算机安全威胁和古典病毒时代的巨大差异。

2006 年是计算机病毒发现 20 周年。InformationWeek 做的历史上 10 大破坏力的病毒排行中，CIH 名列前茅。同样上榜的“爱虫”（I Love You）、红色代码、冲击波（Blaster）和震荡波（Sasser）都说明蠕虫和宏病毒是当时电脑病毒的主流。

https://www.informationwee网站站点" rel="nofollow" />

2018 年，另一款“微信支付”勒索病毒首先植入被大量开发者使用的“易语言”编程工具，进而进入编写出来的各种软件产品，使用这些软件的 10 多万台终端电脑被感染。该病毒活跃的染毒软件超过 50 款，其中多数是“薅羊毛”类”灰色“软件。

https://mp.weixin.q网站站点" rel="nofollow" /> 5. 告别草莽英雄，世上再无“善意”病毒作者

1998 年 4 月 30 日，CIH 病毒作者陈盈豪被台北警方带走问话。他时年 23 岁，在服役。面对记者的闪光灯包围，他差点瘫倒在地。当时的新闻报道说，办案人员打开了审讯室的电脑让他上网，而他看到电脑就精焕发，恢复了常态，跟几分钟前判若两人。

http://safe.zo网站站点" rel="nofollow" />

世纪之交的电脑网络是大人们完全不了解的世界，社会担心孩子沉入电脑世界，与现实生活脱节。报纸上写着《电脑游戏——瞄准孩子的“电子”》。能上网的孩子，就被家长一直念叨网上有很多坏人，玩 ICQ 聊天室要小心。

http://www.peopl网站站点" rel="nofollow" />

当时的社会舆论对李俊遭遇的学历歧视感到同情。《中国青年报》评论说：“我们的社会不缺少李俊这样的人才，但我们不希望他们被称为人才的代价是给社会带来危害。”

当年，我们能相信陈盈豪真的是太沉浸在自我的小世界了，能相信李俊真的是因为找不到工作不甘心，最重要的是，能相信他们的本意不是坏的。

时光荏苒，公众的安全意识仍然一塌糊涂，但公众的心态却发生了沧海桑田的变化。没有人再会“傻”到去相信一个造成巨大损失的人”不是故意的“。

——啊，还有，你敢同情罪犯？“如果同情了罪犯，谁来同情受害者？”

社交网络基本上实现了把所有人连接在一起的宏愿，但人们的心也被磨得粗粝，失去了对细微情绪的感知和共情。对网上爆出的很多事情，很多“瓜”，我们不再单纯就事论事，而是一定要立场坚定，诉诸动机。你的“”，一定不能是歪的。

对安全事件的当事人，我们现在一定先入为主地认为他有金主、有后台，动机不纯。我们已经无法想象有人会单纯的不为钱不为利，做什么惊天动地的事情。

社长不得不承认，这种不可逆转的心态改变，也是因为其它几个铁一般的事实，教育了原本还单纯的我们。

在陈盈豪被捕的 1999 年，台湾全省甚找不出有人因为经济损失要的苦主，再加上也没有法律规管这一事物，所以他就这么被释放了。2003 年 6 月 25 日，台湾省通过“妨害电脑使用罪”的地方法规，立法过程还参考了陈盈豪本人的意见。

https://law.moj.gov.tw/LawClass/LawParaDeatil.aspx?pcode=C0000001&bp=53

到了 2007 年“熊猫烧香”肆虐时，情况就不一样了。李俊出于炫技和圈子内交流的本意，将病毒原件挂上网出售。买到的人则植入木马，将中毒电脑变为可随意控制的“肉鸡”，其中游戏账号、虚拟物品、货币等被并提现。因为造成重大的经济损失，李俊被判处 4 年。

陈盈豪和李俊在事发后都得到电脑安全厂商的录用邀请，但陈盈豪此后走上人生正道，李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后，他又参与开发了一款有诈骗性质的网络游戏，2013 年再次入狱，2015 年出狱后，在公众视野消失。

对难以通过正规渠道大显身手的民间安全人士而言，像梁山好汉一样做草莽英雄，以非官方之力影响社会的大门，已经关闭。

2016 年 7 月，当时中国的计算机漏洞民间提交平台乌云（WooYun）停业，创始人方小顿等“多名高管被抓”。此前，有用户在乌云网提交了关于婚恋网站“世纪佳缘”的漏洞，世纪佳缘站方曾认领漏洞并向平台致谢。但出乎意料的是，世纪佳缘一转头，就报了警。

https://weibo.com/ttarticle/p/show?id=2309351000354002161221567004

像乌云、漏洞盒子这样的民间安全平台，其上活跃的人士被称为“白帽子”，与一心搞破坏的“黑帽子”相对。有些时候，“白帽子”选择事先在安全圈内小范围公开漏洞，而不是时间联系企业，这会被企业认为是在敲诈。如果“白帽子”验证漏洞时有进入数据库信息等擦边球行为，则其行为的“黑白”则更不好界定。

一番争议过后，业界接受了“白帽子”没有存在余地的现实。本来应该活跃在乌云等地的安全专家，大部分被 360、奇安信、腾讯、阿里等厂家“招安”。在大厂的羽翼下，他们把自己的舞台界定为一场场国内外的网络安全大赛，为国争光。

故事的，要说一下那个 1999 年在深圳当网管，与 CIH 偶遇的小伙子。

林兴陆加入瀛海威时只有 17 岁，此后他又去了那个“呼机、手机、商务通，一个都不能少”的恒基伟业，再后来跟刘韧等人一起发起了 DoNews。2007 年，他的下一个创业项目 265 导航网址卖给了谷歌。

航通社首发原创文章，未经授权禁止转载。微信搜一搜：航通社