21 年前的 4 月26 日:CIH 電腦病毒大爆發
CIH 具备空前的破坏力,让它在電腦病毒编年史上青史留名。而本文就围绕 CIH 電腦病毒 做了详细的展開。刚刚過去的 4 月 26 日是什麼日子,你還记得吗?
這一天是“世界知识產权日”。清華大學道贺了 109 周年校庆。切尔诺贝利核電站事变過去 34 年,如今遗址附近正蒙受一场森林大火,威胁到本就脆弱不堪的防辐射“石棺”。
让更多 80 後记忆犹新的,恐怕不是切尔诺贝利,而是“切尔诺贝利病毒”。
欧美和日本都這麼称呼這個電腦病毒,因為它在核事变的吊唁日那天爆發。在中國,更多人熟悉病毒的本名,三個英文字母:CIH。
CIH 具备空前的破坏力,让它在電腦病毒编年史上青史留名。除摧毁硬盘数据,它是历史上第一款能导致硬件损坏的病毒。以下就是有關這個病毒的故事。
1999 年春节前後,在深圳“瀛海威時空”機房值班的林兴陸,听说有款國内斥地的聊天软件叫 OICQ,跟以色列人斥地的 ICQ 很像,不同的是它支持很多可爱的卡通头像。
林兴陸下载到一個步调包,但杀毒软件当即發現携带了当時非常风靡的 CIH 電腦病毒,他二话不说就删除。這次蒙受让他比朋友们晚了将近一年,才開始操纵 QQ。
那個春节過後两個多月,CIH 病毒迎来了第一次@全%Fp6R6%世%Fp6R6%界大范%s8J8d%围@爆發。
CIH 是病毒作者,台灣青年陈盈豪姓名的威妥玛拼音首字母,而将病毒定在 4.26 触發也不是為了吊唁切尔诺贝利事变,仅仅因為那是 1.0 版完工的日子:1998 年 4 月 26 日。
在 1998 年剩下来的日子里,CIH 病毒以各种意想不到的法子傳播到世界各地。
1998 年 9 月,日本雅马哈公司生產的電腦光驱 CD-R400 被發現驱動步调带有 CIH 病毒。10 月,還没跟暴雪合并的動視(Activisio改良近視,n)發現其第一人称射击游戏《原罪》(SiN)一個在網上傳播的版本带有 CIH。
1999 年 3 月,IBM 個人電腦品牌 Activa 公布颁發,它们在美國销售的几千台電腦一出廠就带有 CIH。此時距离 26 日的暴發日只有一個月。无人知晓购買這些電腦的用户是否是承受了损失。
這些消息预示着即将到来的爆發是一场巨大的灾难。
事發後第二天的 4 月 27 日,韩國科學技術信息通信部估计该國 800 万台電腦中有 2-3% 沾染,即 24 万台電腦。但当地反病毒软件斥地商估计中毒電腦多达 60 万台,位于大约 1000 家私企、200 個公共古迹单位和 300 所大學。
新華社称,中國大陸有超過 10 万台電腦受到影响,其中 5% 以上严重受损。中國最大的杀毒软件制造商瑞星总經理、总工程师刘旭说,“從昨天開始,我们所有的電话都忙得不可開交。”報道称國内發現的病毒有三個变种,分袂在 4 月 26 日、6 月 26 日和每一個月 26 日暴發。
此外,安防公司 Data Fellow Inc. 初步统计,香港有 100 台板滞,新加坡有 200 台,印度有 10 家”大公司”,另有英國、瑞典、日本、马耳他、芬兰和新西兰的客户受到沾染。
與亚洲對比,CIH 在欧美变成的破坏总體上不大;但你不要對波士顿學院(Boston College)的學生们這麼说,因為他们损失的是期末论文的手稿.
波士顿學院的學生较着没有搭理该校 IT 部門几周前發出的警告。爆發是如此糟,以至于學校敦促學生在 27 日之前不要打開電腦。一位波士顿學院计算機履行室的員工说,
“午夜刚過,人们開始打電话说‘我的電腦不再懂得它是一台電腦了’。谁说這没什麼大不了的,我真希望他们過来看看。”
最终统计显示,CIH 病毒造成全球 6000 多万台電腦被破坏,其中包括中國大陸 36 万台计算機和数万台处事器瘫痪,直接經濟损失為:古迹单位 1.6 亿元、企業损失超過 10 亿元,個人损失 2000 万元(以购買力计算,当時的人民币金额放到現在要乘上 4-7 倍)。
土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地均有不少電腦受损,而损失最為严重的是韩國,有 25 万台電腦中毒,损失超過当時的 2.5 亿美元。
全球 6000 万台,境内 36 万台是什麼概念?CNNIC 互联網盘问造访显示,截止 1999 年 7 月,中國大陸全境只有 146 万台联網的電腦。
CIH 中毒暴發時的症状就是突然死機或无法開機,而问题的成因却比其它当時已知的電腦病毒都要复杂。它的破坏目标除硬盘数据,還有主板 BIOS 固件。
不要说当時了,就算現在看来,如何让一小段代码破坏硬件,也是听来很怪异的一件事。所以社长想花点篇幅,尽可能平凡地讲一下病毒的事变事理。
BIOS 是在我们熟知的 Windows 等操作系统更下面一层,控制電腦根底輸入 / 輸出的一段步调,存储在主板上的一個小芯片里。它在開機時最先运行,只有它检测到键盘、显示器等正常事变,你接下来才能正常操纵電腦。近几年,BIOS 已渐渐被更高级的 UEFI 更换,正是這一点让大多数近几年生產的電腦只能安装 W骨質增生,indows 10,而无法降级到 Win7 或 XP。
90 年代後期,绝大多数電腦采用英特尔“奔腾”处理器(CPU)和 Windows 95/98/ME 系统。在這样的電腦中,一些主板廠商允许在 Windows 里下载和更新 BIOS,這被称為“固件升级”。固件升级存在风险,一旦失败或中途断電,電腦将不能启動。
CIH 病毒暴發時,會调用 CPU 的最高权限,考试测验将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”,通常就只能更换 BIOS 芯片或全数主板了。
病毒要想“買通”CPU 必须先經過操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻,但 Windows NT/2000/XP 及此後的系统,供應了针翻譯,對性的保护機制,所以對 CIH 天然“免疫”。
現在装個微信會吃掉起码 500MB 硬盘空間,但林兴陸那時下载的 OICQ 步调,只有區區 200KB。CIH 經過进程沾染 .exe 末真個操纵步调来傳播,所以它更小,只有 800 多個字节。
当它沾染步调文件時,甚至會把不降血壓藥,到 1KB 的步调代码分割成几個部分,分袂写入步调中各段尚未填满的地方。這样一来,带毒的步调跟未染毒時對比,看不出大小的变化。它只能用杀毒软件检测到。因為這個特性,CIH 又有一個绰号叫“空間填充者(Spacefiller)”。
因為杀毒廠商早已第一時辰跟进,所以林兴陸可以發現并处理它。但当時的杀毒软件都是收费的,而且运行時會让系统变得很卡顿,很多用户嫌麻烦并不想安装,就让電腦那麼“裸奔”着。更不用说,当時盗版的操作系统和软件也遍布傳布。
肉眼无法分辨的暗藏性,@加%T2oud%之大大%71739%都@用户操纵 Win9X 系统,缺乏安全意识,共同造成了病毒在 1999 年的大爆發。
我们現在懂得,CIH 沾染電腦的機理并没有那麼难以理解,运气好的话,甚至可以光复绝大部分硬盘数据。但在大爆發刚開始時,人们對它的认识不充分,很多人焦虑性款式化硬盘,造成了进一步损失。
CIH 病毒會在硬盘的第一個分區中從第 0 扇區開始,写入 1MB 字节的空数据。而這最初的 1MB 包含了分區表(MBR)、文件分拨表(FAT)、启動扇區等部分。它们介绍了這块硬盘上的空間被如何划分,单個文件又是如何被分拨存储在不同的空間里。
如果一块硬盘被分成多個區(即 C、D、E……盘),光复驱動器的分區表将立即光复各個分區。当然 CIH 病毒對第一個分區造成遍布损坏,但後续分區完全完好无损。
在采用更新的 FAT32 文件系统時,其分區表大小比当時风靡的 FAT16 大很多,所以在 FAT32 的硬盘分區沾染 CIH 還有一定機率會保住第一個分區的数据。
因此,安全專家史蒂夫·吉布森(Steve Gibson)编写了完全免费的硬盘数据光复工具。他收到了網上雪片一般的感谢感動信。
但是,病毒侵入 BIOS 芯片會造成永久和不可修复的损坏。幸好 BIOS 和硬盘上的数据是相互區隔的。對病毒“易感”的 BIOS 芯片属于英特尔一种特定芯片组的主板,且没有加装阻止随意“刷機”的保护法子。
CIH 事件後,新出的主板一般都加入了硬件跳線,用户要對 BIOS 下手之前必须拆開機箱。技嘉還推出了一款有两块 BIOS 芯片的主板,其中一片纯粹是备用,成為那個時代的出格记忆。
2000 年今後,CIH 還继续有傳播和小范畴暴發,但总體上,随着專杀工具的普及,FAT32 文件系统和 Windows XP 的风靡,病毒走向了自然消亡。
要不是众多用户操纵旧版、盗版系统,没有杀毒软件,缺乏安全意识,CIH 在 1999 年变成的惨剧是完全可以避免的。
公众對電腦安全的重視可以说是“一阵一阵的”,更多受到他们得到信息的影响。
同一期間,正值“千年虫”(Y2K)问题闹得沸沸扬扬,给媒體渲染得像是世界末日光临。所以当時的電腦大多数都為“千年虫”做了排查。讽刺的是,有些電腦却因為没那麼显眼的 CIH 倒在了“破晓前的黑暗”中。
令人遗憾的是,20 多年過去了,人们并没有吸取教训,导致這种裂缝本已被修補,却仍然中招的情况,又重演了多次。
2001 年 7 月,红色代码(Code Red)病毒在不到一周沾染了近 40 万台采集处事器,傳到多达 100 万台普通電腦上。在暴發前一個多月,微软已针對性地打過蜂蜜凍幹檸檬片,補丁。
大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月显現,几天之内就沾染了 150 個地區超過 20 万台電腦,黑客索要價值 300 美元的比特币,解锁用户電腦上的文件。
WannaCry 基于 Windows XP 系统的“永恒之蓝”裂缝。当時 Windows XP 已停止技術支持三年之久,但大多数中招電腦出于各类原因,對立操纵 XP。微软不得不打破惯例,為早已“入土”的 XP 系统打補丁。
發現此裂缝的是美國的情報機构,他们并没有及時奉告公众,而是以此為底子斥地了一些“電子战”刀兵。万万没想到,還没等投入实战,同样的裂缝却被野生黑客圈子捕获,并第一時辰用為难刁难平民的进犯。
在 WannaCry 的廣大受害者当中,包括美國的盟友英國,该國公立醫院系统 NHS 损失惨重。《好奇心日報》总结说:“只要裂缝存在就有危险,不管它当初是為谁留的。”
普通電腦用户的安全意识一如既往地差,但 WannaCry 表示显現代计算機安全威胁和古典病毒時代的巨大不同。
2006 年是计算機病毒發現 20 周年。InformationWeek 做的历史上 10 大最具破坏力的病毒排行中,CIH 压服一切。同样上榜的“爱虫”(I Love You)、红色代码、冲击波(Blaster)和触動波(Sasser)都说明蠕虫和宏病毒是当時電腦病毒的绝對主流。
2018 年,英國《每日電讯報》又做了一次十大病毒评選。此時,勒索病毒與挖矿病毒成為了新的關注焦点。新時代的病毒不再着眼于纯粹的開打趣或文件破坏,而是盗取用户隐私,盗窃账户密码,最终都以赚钱敛财為方针。
新時代病毒還进化出加倍险恶的新形式:傳除蟎淨膚皂,染供應链。
Xcode 是斥地苹果 Mac 和 iOS 软件的必备工具。2015 年 9 月,一些斥地者發現其操纵的 Xcode 携带恶意代码。經被污染的 Xcode 编译出的 App 将向指定網址回傳用户信息,并有弹窗攻击和远程控制的危险。
Xcode 本可經過进程 Mac 操纵商店等官方渠道下载。可是因為妇孺皆知的原因,中國大陸访谒苹果官網速度很慢,大小為 8GB 的 Xcode 安装包几乎不可能直接下载,给了不怀好意的國内镜像站以可乘之機。
著名的游戏斥地工具 Unity 3D、Cocos 2d-x 也被發現有供應链污染,一周之内累计發現共 692 种手機 App 的 858 個版本曾受到污染,包括了微信、滴滴、網易云音樂、铁路 12306 等著名操纵。
2018 年,此外一款“微信支出”勒索病毒首先植入被大量斥地者操纵的“易措辞”编程工具,进而进入编写出来的各种软件產品,操纵這些软件的 10 多万台终端電腦被沾染。该病毒活跃的染毒软件超過 50 款,其中多数是“薅羊毛”类“灰色”软件。
1998 年 4 月 30 日,CIH 病毒作者陈盈豪被台北警方带走问话。他時年 23 岁,在服兵役。面對记者的闪光灯包围,他差点瘫倒在地。当時的動静報道说,辦案人員打開了审讯室的電腦让他上網,而他看到電腦就精神焕發,光复了常态,跟几分钟前判若两人。
陈盈豪日後回忆说,作為履行步调,CIH 被存储在校内自用的主機上,并加上了“病毒”的警告。他的本意并不是為了造成破坏,但在他不知情的状况下,他的同學用了那台電腦,将病毒带出。“不然谁會用自己的名字,去命名一個病毒?”
世纪之交的電腦采集是大人们完全不了解的世界,社會担心孩子沉入電腦世界,與現实生活脱节。報纸上写着《電腦游戏——瞄准孩子的“電子海洛因”》。能上網的孩子,就被家长一贯念叨網上有很多坏人,玩 ICQ 聊天室交友要谨严。
這种情况下的陈盈豪,被警方认為是:
“通常個性非常偏激,他们不擅长人際交往,對社會現状經常也不满意,但一旦进入電腦世界,他们就反應敏捷,暗示出超出常人一等的天分。陈盈豪就是這种電腦人,俗称‘電腦自闭症’。這种人如果不能善加辅导,而被不法组织把持的话,那麼對社會将會造成巨大的危害。”
2006 年底,此外一款造成了大范畴破坏的恶性病毒“熊猫烧香”以中國大陸為震中辐射開来。病毒作者李俊也是年轻人,最高學历只有中專。他曾写信给笔友,说最遗憾的变乱是“没有上大學”。
李俊去過北京和廣州谋事情,因為學历被瑞星和金山等不少公司拒之門外。李俊感受用病毒攻击别人電腦没什麼意思,他就是“想打公司的脸”。最初的原版病毒只是開打趣,并不會破坏数据,病毒是在今後的变异傳播過程中变得恶性的。
和陈盈豪类似,李俊在電腦世界也获得了很大的成就感。他曾参加國内黑客组织“中國红客联盟”,在 2001 年中美撞機事件、日本前首相参拜靖國神社期間,與中國其他采集高手连系攻击美國和日本的網站。但李俊在現实世界中并不如意,月收入不足千元。
当時的社會舆论對李俊蒙受的學历歧視感到恻隐。《中國青年報》评阐述:“我们的社會不缺少李俊這样的人才,但我们不单愿他们被称為人才的代價是给社會带来危害。”
当年,我们能相信陈盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因為找不到事变不甘心,最重要的是,能相信他们的本意不是坏的。
時光荏苒,公众的安全意识仍然一塌糊涂,但公众的心态却發生了沧海桑田的变化。没有人再會“傻”到去相信一個造成巨大损失的人“不是故意的”。
——啊,還有,你敢恻隐罪犯?“如果恻隐了罪犯,谁来恻隐受害者?”
社交采集根底上实現了把所有人连接在一起的大志,但人们的心也被磨得粗粝,失了對眇小感情的感知和共情。對網上爆出的很多变乱,很多“瓜”,我们不再纯挚就事论事,而是一定要立场刚烈,诉诸動機。你的“屁股”,一定不能是歪的。
對安全事件的当事人,我们現在一定先入為主地认為他有金主、有後台,動機不纯。我们已无法想象有人會纯挚的不為钱不為利,做什麼惊天動地的变乱。
社长不得不承认,這种不可逆轉的心态改变,也是因為其它几個铁一般的事实,教导了原本還纯挚的我们。
在陈盈豪被捕的 1999 年,台灣全省甚至找不出有人因為經濟损失要起诉的苦主,再加上也没有法律規管這一新生事物,所以他就這麼被释放了。2003 年 6 月 25 日,台灣省經過进程“挫折電腦操纵罪”的地方法規,立法過程還参考了陈盈豪本人的意见。
到了 2007 年“熊猫烧香”肆虐時,情况就不一样了。李俊出于炫技和圈子内互换的本消脂針, 意,将病毒原件挂上網出售。牙齒美白,買到的人则植入木马,将中毒電腦酿成可随迷你小風扇,意控制的“肉鸡”,其中游戏账号、虚拟物品、貨币等被盗取并提現。因為造成重大的經濟损失,李俊被判处有期徒刑 4 年。
陈盈豪和李俊在事發後都得到電腦安全廠商的录用邀请,但陈盈豪此後走上人生正道,李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱後,他又参與斥地了一款有坑骗性质的采集赌博游戏,2013 年再次入狱,2015 年出狱後,在公众視野消失。
對难以經過进程正規渠道大显身手的民間安全人士而言,像梁山好汉一样做草野英雄,以非官方之力影响社會的大門,已封锁。
2016 年 7 月,当時中國最大的计算機裂缝民間提交平台乌云(WooYun)停業,創始人方小顿等“多名高管被抓”。此前,有用户在乌云網提交了關于婚恋網站“世纪佳缘”的裂缝,世纪佳缘站方曾认领裂缝并向平台致谢。但出乎猜想的是,世纪佳缘一轉头,就報了警。
像乌云、裂缝盒子這样的民間安全平台,其上活跃的人士被称為“白帽子”,與齐心用心搞破坏的“黑帽子”相對付。有些時候,“白帽子”選择事先在安全圈内小范围公開裂缝,而不是第一時辰联系企業,這會被企業认為是在敲诈。如果“白帽子”验证裂缝時有进入数据库复制信息等擦邊球行為,则其行為的“黑白”则更不好界定。
一番争议過後,業界接收了“白帽子”没有存在余地的現实。本来理当活跃在乌云等地的安全專家,大部分被 360、奇安信、腾讯、阿里等廠家“招安”。在大廠的羽翼下,他们把自己的舞台界定為一场场國内外的采集安全大赛,為國争光。
故事的最後,要说一下那個 1999 年在深圳当網管,與 CIH 偶遇的小伙子。
林兴陸加入瀛海威時只有 17 岁,此後他又去了那個“呼機、手機、商務通,一個都不能少”的恒基伟業,再後来跟刘韧等人一起發起了 DoNews。2007 年,他的下一個創業项目 265 导航網址卖给了谷歌。
题圖来自Unsplash,基于CC0协议
頁:
[1]