?21 年前的 4 月 26 日:CIH 電腦病毒大爆發(fā)

0 評論 3048 瀏覽 1 收藏 26 分鐘

CIH 具備空前的破壞力,讓它在電腦病毒編年史上青史留名。而本文就圍繞 CIH 電腦病毒 做了詳細的展開。

剛剛過去的 4 月 26 日是什么日子,你還記得嗎?

這一天是“世界知識產(chǎn)權(quán)日”。清華大學(xué)慶祝了 109 周年校慶。切爾諾貝利核電站事故過去 34 年,如今遺址附近正遭遇一場森林大火,威脅到本就脆弱不堪的防輻射“石棺”。

讓更多 80 后記憶猶新的,恐怕不是切爾諾貝利,而是“切爾諾貝利病毒”。

歐美和日本都這么稱呼這個電腦病毒,因為它在核事故的紀(jì)念日那天爆發(fā)。在中國,更多人熟悉病毒的本名,三個英文字母:CIH。

CIH 具備空前的破壞力,讓它在電腦病毒編年史上青史留名。除了摧毀硬盤數(shù)據(jù),它是歷史上第一款能導(dǎo)致硬件損壞的病毒。以下就是有關(guān)這個病毒的故事。

01 1999 年,6000 萬臺電腦中招

1999 年春節(jié)前后,在深圳“瀛海威時空”機房值班的林興陸,聽說有款國內(nèi)開發(fā)的聊天軟件叫 OICQ,跟以色列人開發(fā)的 ICQ 很像,不同的是它支持很多可愛的卡通頭像。

林興陸下載到一個程序包,但殺毒軟件當(dāng)即發(fā)現(xiàn)攜帶了當(dāng)時頗為流行的 CIH 電腦病毒,他二話不說就刪除了。這次遭遇讓他比朋友們晚了將近一年,才開始使用 QQ。

那個春節(jié)過后兩個多月,CIH 病毒迎來了第一次全球大規(guī)模爆發(fā)。

CIH 是病毒作者,臺灣青年陳盈豪姓名的威妥瑪拼音首字母,而將病毒定在 4.26 觸發(fā)也不是為了紀(jì)念切爾諾貝利事故,僅僅因為那是 1.0 版完工的日子:1998 年 4 月 26 日。

在 1998 年剩下來的日子里,CIH 病毒以各種意想不到的方式傳播到世界各地。

1998 年 9 月,日本雅馬哈公司生產(chǎn)的電腦光驅(qū) CD-R400 被發(fā)現(xiàn)驅(qū)動程序帶有 CIH 病毒。10 月,還沒跟暴雪合并的動視(Activision)發(fā)現(xiàn)其第一人稱射擊游戲《原罪》(SiN)一個在網(wǎng)上傳播的版本帶有 CIH。

1999 年 3 月,IBM 個人電腦品牌 Activa 宣布,它們在美國銷售的幾千臺電腦一出廠就帶有 CIH。此時距離 26 日的發(fā)作日只有一個月。無人知曉購買這些電腦的用戶是否遭受了損失。

這些消息預(yù)示著即將到來的爆發(fā)是一場巨大的災(zāi)難。

事發(fā)后第二天的 4 月 27 日,韓國科學(xué)技術(shù)信息通信部估計該國 800 萬臺電腦中有 2-3% 感染,即 24 萬臺電腦。但當(dāng)?shù)胤床《拒浖_發(fā)商估計中毒電腦多達 60 萬臺,位于大約 1000 家私企、200 個公共事業(yè)單位以及 300 所大學(xué)。

新華社稱,中國大陸有超過 10 萬臺電腦受到影響,其中 5% 以上嚴重受損。中國最大的殺毒軟件制造商瑞星總經(jīng)理、總工程師劉旭說,“從昨天開始,我們所有的電話都忙得不可開交。”報道稱國內(nèi)發(fā)現(xiàn)的病毒有三個變種,分別在 4 月 26 日、6 月 26 日和每月 26 日發(fā)作。

此外,安防公司 Data Fellow Inc. 初步統(tǒng)計,香港有 100 臺機器,新加坡有 200 臺,印度有 10 家”大公司”,另有英國、瑞典、日本、馬耳他、芬蘭和新西蘭的客戶受到感染。

與亞洲相比,CIH 在歐美造成的破壞總體上不大;但你不要對波士頓學(xué)院(Boston College)的學(xué)生們這么說,因為他們損失的是期末論文的手稿.

波士頓學(xué)院的學(xué)生顯然沒有理會該校 IT 部門幾周前發(fā)出的警告。爆發(fā)是如此糟糕,以至于學(xué)校敦促學(xué)生在 27 日之前不要打開電腦。一位波士頓學(xué)院計算機實驗室的員工說,

“午夜剛過,人們開始打電話說‘我的電腦不再知道它是一臺電腦了’。誰說這沒什么大不了的,我真希望他們過來看看。”

最終統(tǒng)計顯示,CIH 病毒造成全球 6000 多萬臺電腦被破壞,其中包括中國大陸 36 萬臺計算機和數(shù)萬臺服務(wù)器癱瘓,直接經(jīng)濟損失為:事業(yè)單位 1.6 億元、企業(yè)損失超過 10 億元,個人損失 2000 萬元(以購買力計算,當(dāng)時的人民幣金額放到現(xiàn)在要乘上 4-7 倍)。

土耳其、孟加拉、新加坡、馬來西亞、俄羅斯等地均有不少電腦受損,而損失最為嚴重的是韓國,有 25 萬臺電腦中毒,損失超過當(dāng)時的 2.5 億美元。

全球 6000 萬臺,境內(nèi) 36 萬臺是什么概念?CNNIC 互聯(lián)網(wǎng)調(diào)查顯示,截止 1999 年 7 月,中國大陸全境只有 146 萬臺聯(lián)網(wǎng)的電腦。

02 CIH 的工作原理

CIH 中毒發(fā)作時的癥狀就是突然死機或無法開機,而問題的成因卻比其它當(dāng)時已知的電腦病毒都要復(fù)雜。它的破壞目標(biāo)除了硬盤數(shù)據(jù),還有主板 BIOS 固件。

不要說當(dāng)時了,就算現(xiàn)在看來,如何讓一小段代碼破壞硬件,也是聽來很神奇的一件事。所以社長想花點篇幅,盡可能通俗地講一下病毒的工作原理。

1. 怎樣破壞

BIOS 是在我們熟知的 Windows 等操作系統(tǒng)更下面一層,控制電腦基本輸入 / 輸出的一段程序,存儲在主板上的一個小芯片里。它在開機時最先運行,只有它檢測到鍵盤、顯示器等正常工作,你接下來才能正常使用電腦。近幾年,BIOS 已經(jīng)逐漸被更高級的 UEFI 替代,正是這一點讓大多數(shù)近幾年生產(chǎn)的電腦只能安裝 Windows 10,而無法降級到 Win7 或者 XP。

90 年代后期,絕大多數(shù)電腦采用英特爾“奔騰”處理器(CPU)和 Windows 95/98/ME 系統(tǒng)。在這樣的電腦中,一些主板廠商允許在 Windows 里下載和更新 BIOS,這被稱為“固件升級”。固件升級存在風(fēng)險,一旦失敗或中途斷電,電腦將不能啟動。

CIH 病毒發(fā)作時,會調(diào)用 CPU 的最高權(quán)限,嘗試將垃圾信息寫入硬盤和 BIOS。一旦 BIOS 遇襲就相當(dāng)于“固件升級失敗”,通常就只能更換 BIOS 芯片或者整個主板了。

病毒要想“買通”CPU 必須先經(jīng)過操作系統(tǒng)的“允許”。CIH 病毒在 Win9X 系統(tǒng)里橫行無阻,但 Windows NT/2000/XP 及以后的系統(tǒng),提供了針對性的保護機制,所以對 CIH 天然“免疫”。

現(xiàn)在裝個微信會吃掉至少 500MB 硬盤空間,但林興陸那時下載的 OICQ 程序,只有區(qū)區(qū) 200KB。CIH 通過感染 .exe 結(jié)尾的應(yīng)用程序來傳播,所以它更小,只有 800 多個字節(jié)。

當(dāng)它感染程序文件時,甚至?xí)巡坏?1KB 的程序代碼分割成幾個部分,分別寫入程序中各段尚未填滿的地方。這樣一來,帶毒的程序跟未染毒時相比,看不出大小的變化。它只能用殺毒軟件檢測到。因為這個特性,CIH 又有一個綽號叫“空間填充者(Spacefiller)”。

因為殺毒廠商早已第一時間跟進,所以林興陸可以發(fā)現(xiàn)并處理它。但當(dāng)時的殺毒軟件都是收費的,而且運行時會讓系統(tǒng)變得很卡頓,很多用戶嫌麻煩并不想安裝,就讓電腦那么“裸奔”著。更不用說,當(dāng)時盜版的操作系統(tǒng)和軟件也廣泛流傳。

肉眼無法分辨的隱蔽性,加上大多數(shù)用戶使用 Win9X 系統(tǒng),缺乏安全意識,共同造成了病毒在 1999 年的大爆發(fā)。

2. 如何修復(fù)

我們現(xiàn)在知道,CIH 感染電腦的機理并沒有那么難以理解,運氣好的話,甚至可以恢復(fù)絕大部分硬盤數(shù)據(jù)。但在大爆發(fā)剛開始時,人們對它的認識不充分,很多人恐慌性格式化硬盤,造成了進一步損失。

CIH 病毒會在硬盤的第一個分區(qū)中從第 0 扇區(qū)開始,寫入 1MB 字節(jié)的空數(shù)據(jù)。而這最初的 1MB 包含了分區(qū)表(MBR)、文件分配表(FAT)、啟動扇區(qū)等部分。它們介紹了這塊硬盤上的空間被如何劃分,單個文件又是如何被分配存儲在不同的空間里。

如果一塊硬盤被分成多個區(qū)(即 C、D、E……盤),恢復(fù)驅(qū)動器的分區(qū)表將立即恢復(fù)各個分區(qū)。雖然 CIH 病毒對第一個分區(qū)造成廣泛損壞,但后續(xù)分區(qū)完全完好無損。

在采用更新的 FAT32 文件系統(tǒng)時,其分區(qū)表大小比當(dāng)時流行的 FAT16 大很多,所以在 FAT32 的硬盤分區(qū)感染 CIH 還有一定機率會保住第一個分區(qū)的數(shù)據(jù)。

因此,安全專家史蒂夫·吉布森(Steve Gibson)編寫了完全免費的硬盤數(shù)據(jù)恢復(fù)工具。他收到了網(wǎng)上雪片一般的感謝信。

但是,病毒侵入 BIOS 芯片會造成永久和不可修復(fù)的損壞。好在 BIOS 和硬盤上的數(shù)據(jù)是相互區(qū)隔的。對病毒“易感”的 BIOS 芯片屬于英特爾一種特定芯片組的主板,且沒有加裝阻止隨意“刷機”的保護措施。

CIH 事件后,新出的主板一般都加入了硬件跳線,用戶要對 BIOS 下手之前必須拆開機箱。技嘉還推出了一款有兩塊 BIOS 芯片的主板,其中一片純粹是備用,成為那個時代的特殊記憶。

2000 年之后,CIH 還繼續(xù)有傳播和小規(guī)模發(fā)作,但總體上,隨著專殺工具的普及,F(xiàn)AT32 文件系統(tǒng)和 Windows XP 的流行,病毒走向了自然消亡。

03 21 年間,公眾沒怎么吸取教訓(xùn)

要不是眾多用戶使用舊版、盜版系統(tǒng),沒有殺毒軟件,缺乏安全意識,CIH 在 1999 年造成的慘劇是完全可以避免的。

公眾對電腦安全的重視可以說是“一陣一陣的”,更多受到他們獲取信息的影響。

同一時期,正值“千年蟲”(Y2K)問題鬧得沸沸揚揚,給媒體渲染得像是世界末日來臨。所以當(dāng)時的電腦大多數(shù)都為“千年蟲”做了排查。諷刺的是,有些電腦卻因為沒那么顯眼的 CIH 倒在了“黎明前的黑暗”中。

令人遺憾的是,20 多年過去了,人們并沒有吸取教訓(xùn),導(dǎo)致這種漏洞本已被修補,卻仍然中招的情況,又重演了多次。

2001 年 7 月,紅色代碼(Code Red)病毒在不到一周感染了近 40 萬臺網(wǎng)絡(luò)服務(wù)器,傳到多達 100 萬臺普通電腦上。在發(fā)作前一個多月,微軟已經(jīng)針對性地打過補丁。

大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月出現(xiàn),幾天之內(nèi)就感染了 150 個地區(qū)超過 20 萬臺電腦,黑客索要價值 300 美元的比特幣,解鎖用戶電腦上的文件。

WannaCry 基于 Windows XP 系統(tǒng)的“永恒之藍”漏洞。當(dāng)時 Windows XP 已經(jīng)停止技術(shù)支持三年之久,但大多數(shù)中招電腦出于種種原因,堅持使用 XP。微軟不得不打破慣例,為早已“入土”的 XP 系統(tǒng)打補丁。

發(fā)現(xiàn)此漏洞的是美國的情報機構(gòu),他們并沒有及時告知公眾,而是以此為基礎(chǔ)開發(fā)了一些“電子戰(zhàn)”武器。萬萬沒想到,還沒等投入實戰(zhàn),同樣的漏洞卻被野生黑客圈子捕獲,并第一時間用作對平民的襲擊。

在 WannaCry 的廣大受害者當(dāng)中,包括美國的盟友英國,該國公立醫(yī)院系統(tǒng) NHS 損失慘重?!逗闷嫘娜請蟆房偨Y(jié)說:“只要漏洞存在就有危險,不管它當(dāng)初是為誰留的?!?/p>

04 從炫技到斂財,病毒進入“新時代”

普通電腦用戶的安全意識一如既往地差,但 WannaCry 體現(xiàn)出現(xiàn)代計算機安全威脅和古典病毒時代的巨大差異。

2006 年是計算機病毒發(fā)現(xiàn) 20 周年。InformationWeek 做的歷史上 10 大最具破壞力的病毒排行中,CIH 名列前茅。同樣上榜的“愛蟲”(I Love You)、紅色代碼、沖擊波(Blaster)和震蕩波(Sasser)都說明蠕蟲和宏病毒是當(dāng)時電腦病毒的絕對主流。

2018 年,英國《每日電訊報》又做了一次十大病毒評選。此時,勒索病毒與挖礦病毒成為了新的關(guān)注焦點。新時代的病毒不再著眼于純粹的惡作劇或文件破壞,而是盜取用戶隱私,偷竊賬戶密碼,最終都以賺錢斂財為目的。

新時代病毒還進化出更為險惡的新形式:感染供應(yīng)鏈。

Xcode 是開發(fā)蘋果 Mac 和 iOS 軟件的必備工具。2015 年 9 月,一些開發(fā)者發(fā)現(xiàn)其使用的 Xcode 攜帶惡意代碼。經(jīng)被污染的 Xcode 編譯出的 App 將向指定網(wǎng)址回傳用戶信息,并有彈窗攻擊和遠程控制的危險。

Xcode 本可通過 Mac 應(yīng)用商店等官方渠道下載。然而因為眾所周知的原因,中國大陸訪問蘋果官網(wǎng)速度很慢,大小為 8GB 的 Xcode 安裝包幾乎不可能直接下載,給了不懷好意的國內(nèi)鏡像站以可乘之機。

著名的游戲開發(fā)工具 Unity 3D、Cocos 2d-x 也被發(fā)現(xiàn)有供應(yīng)鏈污染,一周之內(nèi)累計發(fā)現(xiàn)共 692 種手機 App 的 858 個版本曾受到污染,包括了微信、滴滴、網(wǎng)易云音樂、鐵路 12306 等著名應(yīng)用。

2018 年,另一款“微信支付”勒索病毒首先植入被大量開發(fā)者使用的“易語言”編程工具,進而進入編寫出來的各種軟件產(chǎn)品,使用這些軟件的 10 多萬臺終端電腦被感染。該病毒活躍的染毒軟件超過 50 款,其中多數(shù)是“薅羊毛”類“灰色”軟件。

05 告別草莽英雄,世上再無“善意”病毒作者

1998 年 4 月 30 日,CIH 病毒作者陳盈豪被臺北警方帶走問話。他時年 23 歲,在服兵役。面對記者的閃光燈包圍,他差點癱倒在地。當(dāng)時的新聞報道說,辦案人員打開了審訊室的電腦讓他上網(wǎng),而他看到電腦就精神煥發(fā),恢復(fù)了常態(tài),跟幾分鐘前判若兩人。

陳盈豪日后回憶說,作為實驗程序,CIH 被存儲在校內(nèi)自用的主機上,并加上了“病毒”的警告。他的本意并不是為了造成破壞,但在他不知情的狀況下,他的同學(xué)用了那臺電腦,將病毒帶出?!安蝗徽l會用自己的名字,去命名一個病毒?”

世紀(jì)之交的電腦網(wǎng)絡(luò)是大人們完全不了解的世界,社會擔(dān)心孩子沉入電腦世界,與現(xiàn)實生活脫節(jié)。報紙上寫著《電腦游戲——瞄準(zhǔn)孩子的“電子海洛因”》。能上網(wǎng)的孩子,就被家長一直念叨網(wǎng)上有很多壞人,玩 ICQ 聊天室交友要小心。

這種情況下的陳盈豪,被警方認為是:

“通常個性非常偏激,他們不善于人際交往,對社會現(xiàn)狀往往也不滿意,但一旦進入電腦世界,他們就反應(yīng)敏捷,表現(xiàn)出超出常人一等的天分。陳盈豪就是這種電腦人,俗稱‘電腦自閉癥’。這種人如果不能善加輔導(dǎo),而被不法組織利用的話,那么對社會將會造成巨大的危害?!?/p>

2006 年底,另一款造成了大規(guī)模破壞的惡性病毒“熊貓燒香”以中國大陸為震中輻射開來。病毒作者李俊也是年輕人,最高學(xué)歷只有中專。他曾寫信給筆友,說最遺憾的事情是“沒有上大學(xué)”。

李俊去過北京和廣州找工作,因為學(xué)歷被瑞星和金山等許多公司拒之門外。李俊覺得用病毒攻擊別人電腦沒什么意思,他就是“想打公司的臉”。最初的原版病毒只是惡作劇,并不會破壞數(shù)據(jù),病毒是在之后的變異傳播過程中變得惡性的。

和陳盈豪類似,李俊在電腦世界也獲得了很大的成就感。他曾參加國內(nèi)黑客組織“中國紅客聯(lián)盟”,在 2001 年中美撞機事件、日本前首相參拜靖國神社期間,與中國其他網(wǎng)絡(luò)高手聯(lián)合攻擊美國和日本的網(wǎng)站。但李俊在現(xiàn)實世界中并不如意,月收入不足千元。

當(dāng)時的社會輿論對李俊遭遇的學(xué)歷歧視感到同情?!吨袊嗄陥蟆吩u論說:“我們的社會不缺少李俊這樣的人才,但我們不希望他們被稱為人才的代價是給社會帶來危害?!?/p>

當(dāng)年,我們能相信陳盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因為找不到工作不甘心,最重要的是,能相信他們的本意不是壞的。

時光荏苒,公眾的安全意識仍然一塌糊涂,但公眾的心態(tài)卻發(fā)生了滄海桑田的變化。沒有人再會“傻”到去相信一個造成巨大損失的人“不是故意的”。

——啊,還有,你敢同情罪犯?“如果同情了罪犯,誰來同情受害者?”

社交網(wǎng)絡(luò)基本上實現(xiàn)了把所有人連接在一起的宏愿,但人們的心也被磨得粗糲,失去了對細微情緒的感知和共情。對網(wǎng)上爆出的很多事情,很多“瓜”,我們不再單純就事論事,而是一定要立場堅定,訴諸動機。你的“屁股”,一定不能是歪的。

對安全事件的當(dāng)事人,我們現(xiàn)在一定先入為主地認為他有金主、有后臺,動機不純。我們已經(jīng)無法想象有人會單純的不為錢不為利,做什么驚天動地的事情。

社長不得不承認,這種不可逆轉(zhuǎn)的心態(tài)改變,也是因為其它幾個鐵一般的事實,教育了原本還單純的我們。

在陳盈豪被捕的 1999 年,臺灣全省甚至找不出有人因為經(jīng)濟損失要起訴的苦主,再加上也沒有法律規(guī)管這一新生事物,所以他就這么被釋放了。2003 年 6 月 25 日,臺灣省通過“妨害電腦使用罪”的地方法規(guī),立法過程還參考了陳盈豪本人的意見。

到了 2007 年“熊貓燒香”肆虐時,情況就不一樣了。李俊出于炫技和圈子內(nèi)交流的本意,將病毒原件掛上網(wǎng)出售。買到的人則植入木馬,將中毒電腦變?yōu)榭呻S意控制的“肉雞”,其中游戲賬號、虛擬物品、貨幣等被盜取并提現(xiàn)。因為造成重大的經(jīng)濟損失,李俊被判處有期徒刑 4 年。

陳盈豪和李俊在事發(fā)后都得到電腦安全廠商的錄用邀請,但陳盈豪此后走上人生正道,李俊卻沒能擺脫賺快錢和一夜暴富的誘惑。出獄后,他又參與開發(fā)了一款有詐騙性質(zhì)的網(wǎng)絡(luò)賭博游戲,2013 年再次入獄,2015 年出獄后,在公眾視野消失。

對難以通過正規(guī)渠道大顯身手的民間安全人士而言,像梁山好漢一樣做草莽英雄,以非官方之力影響社會的大門,已經(jīng)關(guān)閉。

2016 年 7 月,當(dāng)時中國最大的計算機漏洞民間提交平臺烏云(WooYun)停業(yè),創(chuàng)始人方小頓等“多名高管被抓”。此前,有用戶在烏云網(wǎng)提交了關(guān)于婚戀網(wǎng)站“世紀(jì)佳緣”的漏洞,世紀(jì)佳緣站方曾認領(lǐng)漏洞并向平臺致謝。但出乎意料的是,世紀(jì)佳緣一轉(zhuǎn)頭,就報了警。

像烏云、漏洞盒子這樣的民間安全平臺,其上活躍的人士被稱為“白帽子”,與一心搞破壞的“黑帽子”相對。有些時候,“白帽子”選擇事先在安全圈內(nèi)小范圍公開漏洞,而不是第一時間聯(lián)系企業(yè),這會被企業(yè)認為是在敲詐。如果“白帽子”驗證漏洞時有進入數(shù)據(jù)庫復(fù)制信息等擦邊球行為,則其行為的“黑白”則更不好界定。

一番爭議過后,業(yè)界接受了“白帽子”沒有存在余地的現(xiàn)實。本來應(yīng)該活躍在烏云等地的安全專家,大部分被 360、奇安信、騰訊、阿里等廠家“招安”。在大廠的羽翼下,他們把自己的舞臺界定為一場場國內(nèi)外的網(wǎng)絡(luò)安全大賽,為國爭光。

故事的最后,要說一下那個 1999 年在深圳當(dāng)網(wǎng)管,與 CIH 偶遇的小伙子。

林興陸加入瀛海威時只有 17 歲,此后他又去了那個“呼機、手機、商務(wù)通,一個都不能少”的恒基偉業(yè),再后來跟劉韌等人一起發(fā)起了 DoNews。2007 年,他的下一個創(chuàng)業(yè)項目 265 導(dǎo)航網(wǎng)址賣給了谷歌。

 

作者:書航,微信公眾號:航通社 (ID:lifeissohappy),微博:航通社

本文由 @航通社 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載

題圖來自Unsplash,基于CC0協(xié)議

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
航通社
公眾號/微博:航通社(ID:lifeissohappy)
84篇作品 625325總閱讀量
10-241528 瀏覽
雙十一“開卷”,京東趕考
04-0710656 瀏覽
Al lnfra下隱藏的千億市場
06-094745 瀏覽
我在椰樹直播間,花了三分錢
10-311990 瀏覽
我所了解的機器視覺檢測產(chǎn)品應(yīng)用(1)
12-1010877 瀏覽
微信授權(quán)登錄:從入門到精通
評論
評論請登錄
  1. 目前還沒評論,等你發(fā)揮!