21年前一场电脑病毒大爆发,6000 万台电脑中招,今天我们依然没吸取教训
编者按:本文来自微信公众号“航通社”(ID:lifeissohappy),作者:航通社,36氪经授权发布。原题目《21 年前的 4 月 26 日:CIH 电脑病毒大爆发》
刚刚过去的 4 月 26 日是什么日子,你还记得吗?
这一天是“世界知识产权日”。清华大学庆祝了 109 周年校庆。切尔诺贝利核电站事故过去 34 年,如今遗址附近正遭遇一场森林大火,威胁到本就脆弱不堪的防辐射“石棺”。
让更多 80 后记忆犹新的,恐怕不是切尔诺贝利,而是“切尔诺贝利病毒”。
欧美和日本都这么称呼这个电脑病毒,因为它在核事故的纪念日那天爆发。在中国,更多人熟悉病毒的本名,三个英文字母:CIH。
CIH 具备空前的破坏力,让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据,它是历史上第一款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。
1. 1999 年,6000 万台电脑中招
1999 年春节前后,在深圳“瀛海威时空”机房值班的林兴陆,听说有款国内开发的聊天软件叫 OICQ,跟以色列人开发的 ICQ 很像,不同的是它支持很多可爱的卡通头像。
林兴陆下载到一个程序包,但杀毒软件当即发现携带了当时颇为流行的 CIH 电脑病毒,他二话不说就删除了。这次遭遇让他比朋友们晚了将近一年,才开始使用 QQ。
https://mp.weixin.qq.com/s/oCf6CuqmpY0P4916cjrvbg
那个春节过后两个多月,CIH 病毒迎来了第一次全球大规模爆发。
CIH 是病毒作者,台湾青年陈盈豪姓名的威妥玛拼音首字母,而将病毒定在 4.26 触发也不是为了纪念切尔诺贝利事故,仅仅因为那是 1.0 版完工的日子:1998 年 4 月 26 日。
在 1998 年剩下来的日子里,CIH 病毒以各种意想不到的方式传播到世界各地。
1998 年 9 月,日本雅马哈公司生产的电脑光驱 CD-R400 被发现驱动程序带有 CIH 病毒。10 月,还没跟暴雪合并的动视(Activision)发现其第一人称射击游戏《原罪》(SiN)一个在网上传播的版本带有 CIH。
1999 年 3 月,IBM 个人电脑品牌 Activa 宣布,它们在美国销售的几千台电脑一出厂就带有 CIH。此时距离 26 日的发作日只有一个月。无人知晓购买这些电脑的用户是否遭受了损失。
http://www.cnn.com/TECH/computing/9904/08/aptivirus.idg/index.html
这些消息预示着即将到来的爆发是一场巨大的灾难。
事发后第二天的 4 月 27 日,韩国科学技术信息通信部估计该国 800 万台电脑中有 2-3% 感染,即 24 万台电脑。但当地反病毒软件开发商估计中毒电脑多达 60 万台,位于大约 1000 家私企、200 个公共事业单位以及 300 所大学。
新华社称,中国大陆有超过 10 万台电脑受到影响,其中 5% 以上严重受损。中国最大的杀毒软件制造商瑞星总经理、总工程师刘旭说,“从昨天开始,我们所有的电话都忙得不可开交。”报道称国内发现的病毒有三个变种,分别在 4 月 26 日、6 月 26 日和每月 26 日发作。
https://web.archive.org/web/20080611075404/http://www.cnn.com:80/TECH/computing/9904/27/computers.asia.virus/
此外,安防公司 Data Fellow Inc. 初步统计,香港有 100 台机器,新加坡有 200 台,印度有 10 家"大公司",另有英国、瑞典、日本、马耳他、芬兰和新西兰的客户受到感染。
与亚洲相比,CIH 在欧美造成的破坏总体上不大;但你不要对波士顿学院(Boston College)的学生们这么说,因为他们损失的是期末论文的手稿。
波士顿学院的学生显然没有理会该校 IT 部门几周前发出的警告。爆发是如此糟糕,以至于学校敦促学生在 27 日之前不要打开电脑。一位波士顿学院计算机实验室的员工说,
“午夜刚过,人们开始打电话说‘我的电脑不再知道它是一台电脑了’。谁说这没什么大不了的,我真希望他们过来看看。”
https://web.archive.org/web/20000817115945/http://www.zdnet.com/zdnn/stories/news/0,4586,2248082,00.html
最终统计显示,CIH 病毒造成全球 6000 多万台电脑被破坏,其中包括中国大陆 36 万台计算机和数万台服务器瘫痪,直接经济损失为:事业单位 1.6 亿元、企业损失超过 10 亿元,个人损失 2000 万元(以购买力计算,当时的人民币金额放到现在要乘上 4-7 倍)。
http://www.people.com.cn/shelunku/dqxy1999/a1220.html
土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地均有不少电脑受损,而损失最为严重的是韩国,有 25 万台电脑中毒,损失超过当时的 2.5 亿美元。
https://www.sophos.com/en-us/press-office/press-releases/2004/04/va_cihfive.aspx
全球 6000 万台,境内 36 万台是什么概念?CNNIC 互联网调查显示,截止 1999 年 7 月,中国大陆全境只有 146 万台联网的电脑。
http://www.cac.gov.cn/files/pdf/hlwtjbg/hlwlfzzkdctjbg004.pdf
2. CIH 的工作原理
CIH 中毒发作时的症状就是突然死机或无法开机,而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据,还有主板 BIOS 固件。
不要说当时了,就算现在看来,如何让一小段代码破坏硬件,也是听来很神奇的一件事。所以社长想花点篇幅,尽可能通俗地讲一下病毒的工作原理。
① 怎样破坏
BIOS 是在我们熟知的 Windows 等操作系统更下面一层,控制电脑基本输入 / 输出的一段程序,存储在主板上的一个小芯片里。它在开机时最先运行,只有它检测到键盘、显示器等正常工作,你接下来才能正常使用电脑。近几年,BIOS 已经逐渐被更高级的 UEFI 替代,正是这一点让大多数近几年生产的电脑只能安装 Windows 10,而无法降级到 Win7 或者 XP。
90 年代后期,绝大多数电脑采用英特尔“奔腾”处理器(CPU)和 Windows 95/98/ME 系统。在这样的电脑中,一些主板厂商允许在 Windows 里下载和更新 BIOS,这被称为“固件升级”。固件升级存在风险,一旦失败或中途断电,电脑将不能启动。
CIH 病毒发作时,会调用 CPU 的最高权限,尝试将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”,通常就只能更换 BIOS 芯片或者整个主板了。
病毒要想“买通”CPU 必须先经过操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻,但 Windows NT/2000/XP 及以后的系统,提供了针对性的保护机制,所以对 CIH 天然“免疫”。
现在装个微信会吃掉至少 500MB 硬盘空间,但林兴陆那时下载的 OICQ 程序,只有区区 200KB。CIH 通过感染 .exe 结尾的应用程序来传播,所以它更小,只有 800 多个字节。
当它感染程序文件时,甚至会把不到 1KB 的程序代码分割成几个部分,分别写入程序中各段尚未填满的地方。这样一来,带毒的程序跟未染毒时相比,看不出大小的变化。它只能用杀毒软件检测到。因为这个特性,CIH 又有一个绰号叫“空间填充者(Spacefiller)”。
因为杀毒厂商早已第一时间跟进,所以林兴陆可以发现并处理它。但当时的杀毒软件都是收费的,而且运行时会让系统变得很卡顿,很多用户嫌麻烦并不想安装,就让电脑那么“裸奔”着。更不用说,当时盗版的操作系统和软件也广泛流传。
肉眼无法分辨的隐蔽性,加上大多数用户使用 Win9X 系统,缺乏安全意识,共同造成了病毒在 1999 年的大爆发。
② 如何修复
我们现在知道,CIH 感染电脑的机理并没有那么难以理解,运气好的话,甚至可以恢复绝大部分硬盘数据。但在大爆发刚开始时,人们对它的认识不充分,很多人恐慌性格式化硬盘,造成了进一步损失。
CIH 病毒会在硬盘的第一个分区中从第 0 扇区开始,写入 1MB 字节的空数据。而这最初的 1MB 包含了分区表(MBR)、文件分配表(FAT)、启动扇区等部分。它们介绍了这块硬盘上的空间被如何划分,单个文件又是如何被分配存储在不同的空间里。
如果一块硬盘被分成多个区(即 C、D、E……盘),恢复驱动器的分区表将立即恢复各个分区。虽然 CIH 病毒对第一个分区造成广泛损坏,但后续分区完全完好无损。
在采用更新的 FAT32 文件系统时,其分区表大小比当时流行的 FAT16 大很多,所以在 FAT32 的硬盘分区感染 CIH 还有一定机率会保住第一个分区的数据。
因此,安全专家史蒂夫·吉布森(Steve Gibson)编写了完全免费的硬盘数据恢复工具。他收到了网上雪片一般的感谢信。
https://www.grc.com/cih-letters.htm
但是,病毒侵入 BIOS 芯片会造成永久和不可修复的损坏。好在 BIOS 和硬盘上的数据是相互区隔的。对病毒“易感”的 BIOS 芯片属于英特尔一种特定芯片组的主板,且没有加装阻止随意“刷机”的保护措施。
CIH 事件后,新出的主板一般都加入了硬件跳线,用户要对 BIOS 下手之前必须拆开机箱。技嘉还推出了一款有两块 BIOS 芯片的主板,其中一片纯粹是备用,成为那个时代的特殊记忆。
2000 年之后,CIH 还继续有传播和小规模发作,但总体上,随着专杀工具的普及,FAT32 文件系统和 Windows XP 的流行,病毒走向了自然消亡。
3. 21 年间,公众没怎么吸取教训
要不是众多用户使用旧版、盗版系统,没有杀毒软件,缺乏安全意识,CIH 在 1999 年造成的惨剧是完全可以避免的。
公众对电脑安全的重视可以说是“一阵一阵的”,更多受到他们获取信息的影响。
同一时期,正值“千年虫”(Y2K)问题闹得沸沸扬扬,给媒体渲染得像是世界末日来临。所以当时的电脑大多数都为“千年虫”做了排查。讽刺的是,有些电脑却因为没那么显眼的 CIH 倒在了“黎明前的黑暗”中。
令人遗憾的是,20 多年过去了,人们并没有吸取教训,导致这种漏洞本已被修补,却仍然中招的情况,又重演了多次。
2001 年 7 月,红色代码(Code Red)病毒在不到一周感染了近 40 万台网络服务器,传到多达 100 万台普通电脑上。在发作前一个多月,微软已经针对性地打过补丁。
大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月出现,几天之内就感染了 150 个地区超过 20 万台电脑,黑客索要价值 300 美元的比特币,解锁用户电脑上的文件。
WannaCry 基于 Windows XP 系统的“永恒之蓝”漏洞。当时 Windows XP 已经停止技术支持三年之久,但大多数中招电脑出于种种原因,坚持使用 XP。微软不得不打破惯例,为早已“入土”的 XP 系统打补丁。
发现此漏洞的是美国的情报机构,他们并没有及时告知公众,而是以此为基础开发了一些“电子战”武器。万万没想到,还没等投入实战,同样的漏洞却被野生黑客圈子捕获,并第一时间用作对平民的袭击。
在 WannaCry 的广大受害者当中,包括美国的盟友英国,该国公立医院系统 NHS 损失惨重。《好奇心日报》总结说:“只要漏洞存在就有危险,不管它当初是为谁留的。”
https://mp.weixin.qq.com/s/66VM1LeeRlibMYp1y6AvFQ
4. 病毒的演进:从炫技到敛财
普通电脑用户的安全意识一如既往地差,但 WannaCry 体现出现代计算机安全威胁和古典病毒时代的巨大差异。
2006 年是计算机病毒发现 20 周年。InformationWeek 做的历史上 10 大最具破坏力的病毒排行中,CIH 名列前茅。同样上榜的“爱虫”(I Love You)、红色代码、冲击波(Blaster)和震荡波(Sasser)都说明蠕虫和宏病毒是当时电脑病毒的绝对主流。
https://www.informationweek.com/the-10-most-destructive-pc-viruses-of-all-time/d/d-id/1044662
2018 年,英国《每日电讯报》又做了一次十大病毒评选。此时,勒索病毒与挖矿病毒成为了新的关注焦点。新时代的病毒不再着眼于纯粹的恶作剧或文件破坏,而是盗取用户隐私,偷窃账户密码,最终都以赚钱敛财为目的。
https://www.telegraph.co.uk/technology/0/top-10-worst-computer-viruses2/
当今病毒还进化出更为险恶的新形式:感染供应链。
Xcode 是开发苹果 Mac 和 iOS 软件的必备工具。2015 年 9 月,一些开发者发现其使用的 Xcode 携带恶意代码。经被污染的 Xcode 编译出的 App 将向指定网址回传用户信息,并有弹窗攻击和远程控制的危险。
Xcode 本可通过 Mac 应用商店等官方渠道下载。然而因为众所周知的原因,中国大陆访问苹果官网速度很慢,大小为 8GB 的 Xcode 安装包几乎不可能直接下载,给了不怀好意的国内镜像站以可乘之机。
著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被发现有供应链污染,一周之内累计发现共 692 种手机 App 的 858 个版本曾受到污染,包括了微信、滴滴、网易云音乐、铁路 12306 等著名应用。
https://www.antiy.com/response/xcodeghost.html
2018 年,另一款“微信支付”勒索病毒首先植入被大量开发者使用的“易语言”编程工具,进而进入编写出来的各种软件产品,使用这些软件的 10 多万台终端电脑被感染。该病毒活跃的染毒软件超过 50 款,其中多数是“薅羊毛”类”灰色“软件。
https://mp.weixin.qq.com/s/ZQqlpEShznOUcbI7gEVG1g
5. 告别草莽英雄,世上再无“善意”病毒作者
1998 年 4 月 30 日,CIH 病毒作者陈盈豪被台北警方带走问话。他时年 23 岁,在服兵役。面对记者的闪光灯包围,他差点瘫倒在地。当时的新闻报道说,办案人员打开了审讯室的电脑让他上网,而他看到电脑就精神焕发,恢复了常态,跟几分钟前判若两人。
http://safe.zol.com.cn/115/1157209.html
陈盈豪日后回忆说,作为实验程序,CIH 被存储在校内自用的主机上,并加上了“病毒”的警告。他的本意并不是为了造成破坏,但在他不知情的状况下,他的同学用了那台电脑,将病毒带出。“不然谁会用自己的名字,去命名一个病毒?”
https://www.geekpark.net/news/212936
世纪之交的电脑网络是大人们完全不了解的世界,社会担心孩子沉入电脑世界,与现实生活脱节。报纸上写着《电脑游戏——瞄准孩子的“电子海洛因”》。能上网的孩子,就被家长一直念叨网上有很多坏人,玩 ICQ 聊天室交友要小心。
http://www.people.com.cn/GB/channel1/13/20000509/58873.html
这种情况下的陈盈豪,被警方认为是:
“通常个性非常偏激,他们不善于人际交往,对社会现状往往也不满意,但一旦进入电脑世界,他们就反应敏捷,表现出超出常人一等的天分。陈盈豪就是这种电脑人,俗称‘电脑自闭症’。这种人如果不能善加辅导,而被不法组织利用的话,那么对社会将会造成巨大的危害。”
2006 年底,另一款造成了大规模破坏的恶性病毒“熊猫烧香”以中国大陆为震中辐射开来。病毒作者李俊也是年轻人,最高学历只有中专。他曾写信给笔友,说最遗憾的事情是“没有上大学”。
李俊去过北京和广州找工作,因为学历被瑞星和金山等许多公司拒之门外。李俊觉得用病毒攻击别人电脑没什么意思,他就是“想打公司的脸”。最初的原版病毒只是恶作剧,并不会破坏数据,病毒是在之后的变异传播过程中变得恶性的。
https://mp.weixin.qq.com/s/2qxYjIJ_1Q7-JfkrONDdtw
和陈盈豪类似,李俊在电脑世界也获得了很大的成就感。他曾参加国内黑客组织“中国红客联盟”,在 2001 年中美撞机事件、日本前首相参拜靖国神社期间,与中国其他网络高手联合攻击美国和日本的网站。但李俊在现实世界中并不如意,月收入不足千元。
当时的社会舆论对李俊遭遇的学历歧视感到同情。《中国青年报》评论说:“我们的社会不缺少李俊这样的人才,但我们不希望他们被称为人才的代价是给社会带来危害。”
当年,我们能相信陈盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因为找不到工作不甘心,最重要的是,能相信他们的本意不是坏的。
时光荏苒,公众的安全意识仍然一塌糊涂,但公众的心态却发生了沧海桑田的变化。没有人再会“傻”到去相信一个造成巨大损失的人”不是故意的“。
——啊,还有,你敢同情罪犯?“如果同情了罪犯,谁来同情受害者?”
社交网络基本上实现了把所有人连接在一起的宏愿,但人们的心也被磨得粗粝,失去了对细微情绪的感知和共情。对网上爆出的很多事情,很多“瓜”,我们不再单纯就事论事,而是一定要立场坚定,诉诸动机。你的“屁股”,一定不能是歪的。
对安全事件的当事人,我们现在一定先入为主地认为他有金主、有后台,动机不纯。我们已经无法想象有人会单纯的不为钱不为利,做什么惊天动地的事情。
社长不得不承认,这种不可逆转的心态改变,也是因为其它几个铁一般的事实,教育了原本还单纯的我们。
在陈盈豪被捕的 1999 年,台湾全省甚至找不出有人因为经济损失要起诉的苦主,再加上也没有法律规管这一新生事物,所以他就这么被释放了。2003 年 6 月 25 日,台湾省通过“妨害电脑使用罪”的地方法规,立法过程还参考了陈盈豪本人的意见。
https://law.moj.gov.tw/LawClass/LawParaDeatil.aspx?pcode=C0000001&bp=53
到了 2007 年“熊猫烧香”肆虐时,情况就不一样了。李俊出于炫技和圈子内交流的本意,将病毒原件挂上网出售。买到的人则植入木马,将中毒电脑变为可随意控制的“肉鸡”,其中游戏账号、虚拟物品、货币等被盗取并提现。因为造成重大的经济损失,李俊被判处有期徒刑 4 年。
陈盈豪和李俊在事发后都得到电脑安全厂商的录用邀请,但陈盈豪此后走上人生正道,李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后,他又参与开发了一款有诈骗性质的网络赌博游戏,2013 年再次入狱,2015 年出狱后,在公众视野消失。
对难以通过正规渠道大显身手的民间安全人士而言,像梁山好汉一样做草莽英雄,以非官方之力影响社会的大门,已经关闭。
2016 年 7 月,当时中国最大的计算机漏洞民间提交平台乌云(WooYun)停业,创始人方小顿等“多名高管被抓”。此前,有用户在乌云网提交了关于婚恋网站“世纪佳缘”的漏洞,世纪佳缘站方曾认领漏洞并向平台致谢。但出乎意料的是,世纪佳缘一转头,就报了警。
https://weibo.com/ttarticle/p/show?id=2309351000354002161221567004
像乌云、漏洞盒子这样的民间安全平台,其上活跃的人士被称为“白帽子”,与一心搞破坏的“黑帽子”相对。有些时候,“白帽子”选择事先在安全圈内小范围公开漏洞,而不是第一时间联系企业,这会被企业认为是在敲诈。如果“白帽子”验证漏洞时有进入数据库复制信息等擦边球行为,则其行为的“黑白”则更不好界定。
一番争议过后,业界接受了“白帽子”没有存在余地的现实。本来应该活跃在乌云等地的安全专家,大部分被 360、奇安信、腾讯、阿里等厂家“招安”。在大厂的羽翼下,他们把自己的舞台界定为一场场国内外的网络安全大赛,为国争光。
故事的最后,要说一下那个 1999 年在深圳当网管,与 CIH 偶遇的小伙子。
林兴陆加入瀛海威时只有 17 岁,此后他又去了那个“呼机、手机、商务通,一个都不能少”的恒基伟业,再后来跟刘韧等人一起发起了 DoNews。2007 年,他的下一个创业项目 265 导航网址卖给了谷歌。
航通社首发原创文章,未经授权禁止转载。微信搜一搜:航通社
网址: 21年前一场电脑病毒大爆发,6000 万台电脑中招,今天我们依然没吸取教训 http://www.xishuta.com/newsview22331.html
推荐科技快讯
- 1问界商标转让释放信号:赛力斯 94951
- 2人类唯一的出路:变成人工智能 19220
- 3报告:抖音海外版下载量突破1 18936
- 4移动办公如何高效?谷歌研究了 18463
- 5人类唯一的出路: 变成人工智 18321
- 62023年起,银行存取款迎来 10125
- 7网传比亚迪一员工泄露华为机密 8179
- 8顶风作案?金山WPS被指套娃 7096
- 9大数据杀熟往返套票比单程购买 7045
- 10五一来了,大数据杀熟又想来, 6834