X

​21 年前的 4 月 26 日:CIH 电脑病毒大爆发

航通社首发原创文章,未经授权禁止转载。微信搜一搜:航通社

书航 4 月 29 日发于北京

刚刚过去的 4 月 26 日是什么日子,你还记得吗?

这一天是“世界知识产权日”。清华大学庆祝了 109 周年校庆。切尔诺贝利核电站事故过去 34 年,如今遗址附近正遭遇一场森林大火,威胁到本就脆弱不堪的防辐射“石棺”。

让更多 80 后记忆犹新的,恐怕不是切尔诺贝利,而是“切尔诺贝利病毒”。

欧美和日本都这么称呼这个电脑病毒,因为它在核事故的纪念日那天爆发。在中国,更多人熟悉病毒的本名,三个英文字母:CIH。

CIH 具备空前的破坏力,让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据,它是历史上第一款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。

1999 年,6000 万台电脑中招

1999 年春节前后,在深圳“瀛海威时空”机房值班的林兴陆,听说有款国内开发的聊天软件叫 OICQ,跟以色列人开发的 ICQ 很像,不同的是它支持很多可爱的卡通头像。

林兴陆下载到一个程序包,但杀毒软件当即发现携带了当时颇为流行的 CIH 电脑病毒,他二话不说就删除了。这次遭遇让他比朋友们晚了将近一年,才开始使用 QQ。

那个春节过后两个多月,CIH 病毒迎来了第一次全球大规模爆发。

CIH 是病毒作者,台湾青年陈盈豪姓名的威妥玛拼音首字母,而将病毒定在 4.26 触发也不是为了纪念切尔诺贝利事故,仅仅因为那是 1.0 版完工的日子:1998 年 4 月 26 日。

在 1998 年剩下来的日子里,CIH 病毒以各种意想不到的方式传播到世界各地。

1998 年 9 月,日本雅马哈公司生产的电脑光驱 CD-R400 被发现驱动程序带有 CIH 病毒。10 月,还没跟暴雪合并的动视(Activision)发现其第一人称射击游戏《原罪》(SiN)一个在网上传播的版本带有 CIH。

1999 年 3 月,IBM 个人电脑品牌 Activa 宣布,它们在美国销售的几千台电脑一出厂就带有 CIH。此时距离 26 日的发作日只有一个月。无人知晓购买这些电脑的用户是否遭受了损失。

这些消息预示着即将到来的爆发是一场巨大的灾难。

事发后第二天的 4 月 27 日,韩国科学技术信息通信部估计该国 800 万台电脑中有 2-3% 感染,即 24 万台电脑。但当地反病毒软件开发商估计中毒电脑多达 60 万台,位于大约 1000 家私企、200 个公共事业单位以及 300 所大学。

新华社称,中国大陆有超过 10 万台电脑受到影响,其中 5% 以上严重受损。中国最大的杀毒软件制造商瑞星总经理、总工程师刘旭说,“从昨天开始,我们所有的电话都忙得不可开交。”报道称国内发现的病毒有三个变种,分别在 4 月 26 日、6 月 26 日和每月 26 日发作。

此外,安防公司 Data Fellow Inc. 初步统计,香港有 100 台机器,新加坡有 200 台,印度有 10 家”大公司”,另有英国、瑞典、日本、马耳他、芬兰和新西兰的客户受到感染。

与亚洲相比,CIH 在欧美造成的破坏总体上不大;但你不要对波士顿学院(Boston College)的学生们这么说,因为他们损失的是期末论文的手稿。

波士顿学院的学生显然没有理会该校 IT 部门几周前发出的警告。爆发是如此糟糕,以至于学校敦促学生在 27 日之前不要打开电脑。一位波士顿学院计算机实验室的员工说,

“午夜刚过,人们开始打电话说‘我的电脑不再知道它是一台电脑了’。谁说这没什么大不了的,我真希望他们过来看看。”

最终统计显示,CIH 病毒造成全球 6000 多万台电脑被破坏,其中包括中国大陆 36 万台计算机和数万台服务器瘫痪,直接经济损失为:事业单位 1.6 亿元、企业损失超过 10 亿元,个人损失 2000 万元(以购买力计算,当时的人民币金额放到现在要乘上 4-7 倍)。

土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地均有不少电脑受损,而损失最为严重的是韩国,有 25 万台电脑中毒,损失超过当时的 2.5 亿美元。

全球 6000 万台,境内 36 万台是什么概念?CNNIC 互联网调查显示,截止 1999 年 7 月,中国大陆全境只有 146 万台联网的电脑。

CIH 的工作原理

CIH 中毒发作时的症状就是突然死机或无法开机,而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据,还有主板 BIOS 固件。

不要说当时了,就算现在看来,如何让一小段代码破坏硬件,也是听来很神奇的一件事。所以社长想花点篇幅,尽可能通俗地讲一下病毒的工作原理。

(1)怎样破坏

BIOS 是在我们熟知的 Windows 等操作系统更下面一层,控制电脑基本输入 / 输出的一段程序,存储在主板上的一个小芯片里。它在开机时最先运行,只有它检测到键盘、显示器等正常工作,你接下来才能正常使用电脑。近几年,BIOS 已经逐渐被更高级的 UEFI 替代,正是这一点让大多数近几年生产的电脑只能安装 Windows 10,而无法降级到 Win7 或者 XP。

90 年代后期,绝大多数电脑采用英特尔“奔腾”处理器(CPU)和 Windows 95/98/ME 系统。在这样的电脑中,一些主板厂商允许在 Windows 里下载和更新 BIOS,这被称为“固件升级”。固件升级存在风险,一旦失败或中途断电,电脑将不能启动。

CIH 病毒发作时,会调用 CPU 的最高权限,尝试将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”,通常就只能更换 BIOS 芯片或者整个主板了。

病毒要想“买通”CPU 必须先经过操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻,但 Windows NT/2000/XP 及以后的系统,提供了针对性的保护机制,所以对 CIH 天然“免疫”。

现在装个微信会吃掉至少 500MB 硬盘空间,但林兴陆那时下载的 OICQ 程序,只有区区 200KB。CIH 通过感染 .exe 结尾的应用程序来传播,所以它更小,只有 800 多个字节。

当它感染程序文件时,甚至会把不到 1KB 的程序代码分割成几个部分,分别写入程序中各段尚未填满的地方。这样一来,带毒的程序跟未染毒时相比,看不出大小的变化。它只能用杀毒软件检测到。因为这个特性,CIH 又有一个绰号叫“空间填充者(Spacefiller)”。

因为杀毒厂商早已第一时间跟进,所以林兴陆可以发现并处理它。但当时的杀毒软件都是收费的,而且运行时会让系统变得很卡顿,很多用户嫌麻烦并不想安装,就让电脑那么“裸奔”着。更不用说,当时盗版的操作系统和软件也广泛流传。

肉眼无法分辨的隐蔽性,加上大多数用户使用 Win9X 系统,缺乏安全意识,共同造成了病毒在 1999 年的大爆发。

(2)如何修复

我们现在知道,CIH 感染电脑的机理并没有那么难以理解,运气好的话,甚至可以恢复绝大部分硬盘数据。但在大爆发刚开始时,人们对它的认识不充分,很多人恐慌性格式化硬盘,造成了进一步损失。

CIH 病毒会在硬盘的第一个分区中从第 0 扇区开始,写入 1MB 字节的空数据。而这最初的 1MB 包含了分区表(MBR)、文件分配表(FAT)、启动扇区等部分。它们介绍了这块硬盘上的空间被如何划分,单个文件又是如何被分配存储在不同的空间里。

如果一块硬盘被分成多个区(即 C、D、E……盘),恢复驱动器的分区表将立即恢复各个分区。虽然 CIH 病毒对第一个分区造成广泛损坏,但后续分区完全完好无损。

在采用更新的 FAT32 文件系统时,其分区表大小比当时流行的 FAT16 大很多,所以在 FAT32 的硬盘分区感染 CIH 还有一定机率会保住第一个分区的数据。

因此,安全专家史蒂夫·吉布森(Steve Gibson)编写了完全免费的硬盘数据恢复工具。他收到了网上雪片一般的感谢信。

但是,病毒侵入 BIOS 芯片会造成永久和不可修复的损坏。好在 BIOS 和硬盘上的数据是相互区隔的。对病毒“易感”的 BIOS 芯片属于英特尔一种特定芯片组的主板,且没有加装阻止随意“刷机”的保护措施。

CIH 事件后,新出的主板一般都加入了硬件跳线,用户要对 BIOS 下手之前必须拆开机箱。技嘉还推出了一款有两块 BIOS 芯片的主板,其中一片纯粹是备用,成为那个时代的特殊记忆。

2000 年之后,CIH 还继续有传播和小规模发作,但总体上,随着专杀工具的普及,FAT32 文件系统和 Windows XP 的流行,病毒走向了自然消亡。

21 年间,公众没怎么吸取教训

要不是众多用户使用旧版、盗版系统,没有杀毒软件,缺乏安全意识,CIH 在 1999 年造成的惨剧是完全可以避免的。

公众对电脑安全的重视可以说是“一阵一阵的”,更多受到他们获取信息的影响。

同一时期,正值“千年虫”(Y2K)问题闹得沸沸扬扬,给媒体渲染得像是世界末日来临。所以当时的电脑大多数都为“千年虫”做了排查。讽刺的是,有些电脑却因为没那么显眼的 CIH 倒在了“黎明前的黑暗”中。

令人遗憾的是,20 多年过去了,人们并没有吸取教训,导致这种漏洞本已被修补,却仍然中招的情况,又重演了多次。

2001 年 7 月,红色代码(Code Red)病毒在不到一周感染了近 40 万台网络服务器,传到多达 100 万台普通电脑上。在发作前一个多月,微软已经针对性地打过补丁。

大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月出现,几天之内就感染了 150 个地区超过 20 万台电脑,黑客索要价值 300 美元的比特币,解锁用户电脑上的文件。

WannaCry 基于 Windows XP 系统的“永恒之蓝”漏洞。当时 Windows XP 已经停止技术支持三年之久,但大多数中招电脑出于种种原因,坚持使用 XP。微软不得不打破惯例,为早已“入土”的 XP 系统打补丁。

发现此漏洞的是美国的情报机构,他们并没有及时告知公众,而是以此为基础开发了一些“电子战”武器。万万没想到,还没等投入实战,同样的漏洞却被野生黑客圈子捕获,并第一时间用作对平民的袭击。

在 WannaCry 的广大受害者当中,包括美国的盟友英国,该国公立医院系统 NHS 损失惨重。《好奇心日报》总结说:“只要漏洞存在就有危险,不管它当初是为谁留的。”

病毒的演进:从炫技到敛财

普通电脑用户的安全意识一如既往地差,但 WannaCry 体现出现代计算机安全威胁和古典病毒时代的巨大差异。

2006 年是计算机病毒发现 20 周年。InformationWeek 做的历史上 10 大最具破坏力的病毒排行中,CIH 名列前茅。同样上榜的“爱虫”(I Love You)、红色代码、冲击波(Blaster)和震荡波(Sasser)都说明蠕虫和宏病毒是当时电脑病毒的绝对主流。

2018 年,英国《每日电讯报》又做了一次十大病毒评选。此时,勒索病毒与挖矿病毒成为了新的关注焦点。新时代的病毒不再着眼于纯粹的恶作剧或文件破坏,而是盗取用户隐私,偷窃账户密码,最终都以赚钱敛财为目的。

如今病毒还进化出更为险恶的新形式:感染供应链。

Xcode 是开发苹果 Mac 和 iOS 软件的必备工具。2015 年 9 月,一些开发者发现其使用的 Xcode 携带恶意代码。经被污染的 Xcode 编译出的 App 将向指定网址回传用户信息,并有弹窗攻击和远程控制的危险。

Xcode 本可通过 Mac 应用商店等官方渠道下载。然而因为众所周知的原因,中国大陆访问苹果官网速度很慢,大小为 8GB 的 Xcode 安装包几乎不可能直接下载,给了不怀好意的国内镜像站以可乘之机。

著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被发现有供应链污染,一周之内累计发现共 692 种手机 App 的 858 个版本曾受到污染,包括了微信、滴滴、网易云音乐、铁路 12306 等著名应用。

2018 年,另一款“微信支付”勒索病毒首先植入被大量开发者使用的“易语言”编程工具,进而进入编写出来的各种软件产品,使用这些软件的 10 多万台终端电脑被感染。该病毒活跃的染毒软件超过 50 款,其中多数是“薅羊毛”类“灰色”软件。

告别草莽英雄,世上再无“善意”病毒作者

1998 年 4 月 30 日,CIH 病毒作者陈盈豪被台北警方带走问话。他时年 23 岁,在服兵役。面对记者的闪光灯包围,他差点瘫倒在地。当时的新闻报道说,办案人员打开了审讯室的电脑让他上网,而他看到电脑就精神焕发,恢复了常态,跟几分钟前判若两人。

陈盈豪日后回忆说,作为实验程序,CIH 被存储在校内自用的主机上,并加上了“病毒”的警告。他的本意并不是为了造成破坏,但在他不知情的状况下,他的同学用了那台电脑,将病毒带出。“不然谁会用自己的名字,去命名一个病毒?”

世纪之交的电脑网络是大人们完全不了解的世界,社会担心孩子沉入电脑世界,与现实生活脱节。报纸上写着《电脑游戏——瞄准孩子的“电子海洛因”》。能上网的孩子,就被家长一直念叨网上有很多坏人,玩 ICQ 聊天室交友要小心。

这种情况下的陈盈豪,被警方认为是:

“通常个性非常偏激,他们不善于人际交往,对社会现状往往也不满意,但一旦进入电脑世界,他们就反应敏捷,表现出超出常人一等的天分。陈盈豪就是这种电脑人,俗称‘电脑自闭症’。这种人如果不能善加辅导,而被不法组织利用的话,那么对社会将会造成巨大的危害。”

2006 年底,另一款造成了大规模破坏的恶性病毒“熊猫烧香”以中国大陆为震中辐射开来。病毒作者李俊也是年轻人,最高学历只有中专。他曾写信给笔友,说最遗憾的事情是“没有上大学”。

李俊去过北京和广州找工作,因为学历被瑞星和金山等许多公司拒之门外。李俊觉得用病毒攻击别人电脑没什么意思,他就是“想打公司的脸”。最初的原版病毒只是恶作剧,并不会破坏数据,病毒是在之后的变异传播过程中变得恶性的。

和陈盈豪类似,李俊在电脑世界也获得了很大的成就感。他曾参加国内黑客组织“中国红客联盟”,在 2001 年中美撞机事件、日本前首相参拜靖国神社期间,与中国其他网络高手联合攻击美国和日本的网站。但李俊在现实世界中并不如意,月收入不足千元。

当时的社会舆论对李俊遭遇的学历歧视感到同情。《中国青年报》评论说:“我们的社会不缺少李俊这样的人才,但我们不希望他们被称为人才的代价是给社会带来危害。”

当年,我们能相信陈盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因为找不到工作不甘心,最重要的是,能相信他们的本意不是坏的。

时光荏苒,公众的安全意识仍然一塌糊涂,但公众的心态却发生了沧海桑田的变化。没有人再会“傻”到去相信一个造成巨大损失的人“不是故意的”。

——啊,还有,你敢同情罪犯?“如果同情了罪犯,谁来同情受害者?”

社交网络基本上实现了把所有人连接在一起的宏愿,但人们的心也被磨得粗粝,失去了对细微情绪的感知和共情。对网上爆出的很多事情,很多“瓜”,我们不再单纯就事论事,而是一定要立场坚定,诉诸动机。你的“屁股”,一定不能是歪的。

对安全事件的当事人,我们现在一定先入为主地认为他有金主、有后台,动机不纯。我们已经无法想象有人会单纯的不为钱不为利,做什么惊天动地的事情。

社长不得不承认,这种不可逆转的心态改变,也是因为其它几个铁一般的事实,教育了原本还单纯的我们。

在陈盈豪被捕的 1999 年,台湾全省甚至找不出有人因为经济损失要起诉的苦主,再加上也没有法律规管这一新生事物,所以他就这么被释放了。2003 年 6 月 25 日,台湾省通过“妨害电脑使用罪”的地方法规,立法过程还参考了陈盈豪本人的意见。

到了 2007 年“熊猫烧香”肆虐时,情况就不一样了。李俊出于炫技和圈子内交流的本意,将病毒原件挂上网出售。买到的人则植入木马,将中毒电脑变为可随意控制的“肉鸡”,其中游戏账号、虚拟物品、货币等被盗取并提现。因为造成重大的经济损失,李俊被判处有期徒刑 4 年。

陈盈豪和李俊在事发后都得到电脑安全厂商的录用邀请,但陈盈豪此后走上人生正道,李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后,他又参与开发了一款有诈骗性质的网络赌博游戏,2013 年再次入狱,2015 年出狱后,在公众视野消失。

对难以通过正规渠道大显身手的民间安全人士而言,像梁山好汉一样做草莽英雄,以非官方之力影响社会的大门,已经关闭。

2016 年 7 月,当时中国最大的计算机漏洞民间提交平台乌云(WooYun)停业,创始人方小顿等“多名高管被抓”。此前,有用户在乌云网提交了关于婚恋网站“世纪佳缘”的漏洞,世纪佳缘站方曾认领漏洞并向平台致谢。但出乎意料的是,世纪佳缘一转头,就报了警。

像乌云、漏洞盒子这样的民间安全平台,其上活跃的人士被称为“白帽子”,与一心搞破坏的“黑帽子”相对。有些时候,“白帽子”选择事先在安全圈内小范围公开漏洞,而不是第一时间联系企业,这会被企业认为是在敲诈。如果“白帽子”验证漏洞时有进入数据库复制信息等擦边球行为,则其行为的“黑白”则更不好界定。

一番争议过后,业界接受了“白帽子”没有存在余地的现实。本来应该活跃在乌云等地的安全专家,大部分被 360、奇安信、腾讯、阿里等厂家“招安”。在大厂的羽翼下,他们把自己的舞台界定为一场场国内外的网络安全大赛,为国争光。

故事的最后,要说一下那个 1999 年在深圳当网管,与 CIH 偶遇的小伙子。

林兴陆加入瀛海威时只有 17 岁,此后他又去了那个“呼机、手机、商务通,一个都不能少”的恒基伟业,再后来跟刘韧等人一起发起了 DoNews。2007 年,他的下一个创业项目 265 导航网址卖给了谷歌。