<fieldset id="DdBTc"><blockquote id="DdBTc"></blockquote></fieldset><meter id="DdBTc"><cite id="DdBTc"><audio id="DdBTc"><object id="DdBTc"><noframes id="DdBTc"><caption id="DdBTc"></caption>
    <progress id="DdBTc"><meter id="DdBTc"></meter></progress>
    <ins id="DdBTc"></ins>

  1. <del id="DdBTc"><dt id="DdBTc"><source id="DdBTc"></source></dt></del>
    1. <progress id="DdBTc"></progress><li id="DdBTc"></li>
      • <dd id="DdBTc"></dd>

        <source id="DdBTc"><dl id="DdBTc"><dfn id="DdBTc"></dfn></dl></source>

        [评论]21年前的4月26日:CIH电脑病毒大爆发

        2020年07月08日 23:01 次阅读 稿源:航通社 条评论

        名为 CIH 的电脑病毒于 1999 年 4 月 26 日首次爆发,让 80 后记忆犹新。CIH 具备空前的破坏力,让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据,它是历史上第一款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。

        航通社首发原创文章,未经授权禁止转载。微信搜一搜:航通社

        0429-00.jpg

        书航 4 月 29 日发于北京

        刚刚过去的 4 月 26 日是什么日子,你还记得吗?

        这一天是“世界知识产权日”。清华大学庆祝了 109 周年校庆。切尔诺贝利核电站事故过去 34 年,如今遗址附近正遭遇一场森林大火,威胁到本就脆弱不堪的防辐射“石棺”。

        让更多 80 后记忆犹新的,恐怕不是切尔诺贝利,而是“切尔诺贝利病毒”。

        欧美和日本都这么称呼这个电脑病毒,因为它在核事故的纪念日那天爆发。在中国,更多人熟悉病毒的本名,三个英文字母:CIH。

        CIH 具备空前的破坏力,让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据,它是历史上第一款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。

        1999 年,6000 万台电脑中招

        1999 年春节前后,在深圳“瀛海威时空”机房值班的林兴陆,听说有款国内开发的聊天软件叫 OICQ,跟以色列人开发的 ICQ 很像,不同的是它支持很多可爱的卡通头像。

        林兴陆下载到一个程序包,但杀毒软件当即发现携带了当时颇为流行的 CIH 电脑病毒,他二话不说就删除了。这次遭遇让他比朋友们晚了将近一年,才开始使用 QQ。

        那个春节过后两个多月,CIH 病毒迎来了第一次全球大规模爆发。

        CIH 是病毒作者,台湾青年陈盈豪姓名的威妥玛拼音首字母,而将病毒定在 4.26 触发也不是为了纪念切尔诺贝利事故,仅仅因为那是 1.0 版完工的日子:1998 年 4 月 26 日。

        在 1998 年剩下来的日子里,CIH 病毒以各种意想不到的方式传播到世界各地。

        1998 年 9 月,日本雅马哈公司生产的电脑光驱 CD-R400 被发现驱动程序带有 CIH 病毒。10 月,还没跟暴雪合并的动视(Activision)发现其第一人称射击游戏《原罪》(SiN)一个在网上传播的版本带有 CIH。

        1999 年 3 月,IBM 个人电脑品牌 Activa 宣布,它们在美国销售的几千台电脑一出厂就带有 CIH。此时距离 26 日的发作日只有一个月。无人知晓购买这些电脑的用户是否遭受了损失。

        这些消息预示着即将到来的爆发是一场巨大的灾难。

        事发后第二天的 4 月 27 日,韩国科学技术信息通信部估计该国 800 万台电脑中有 2-3% 感染,即 24 万台电脑。但当地反病毒软件开发商估计中毒电脑多达 60 万台,位于大约 1000 家私企、200 个公共事业单位以及 300 所大学。

        新华社称,中国大陆有超过 10 万台电脑受到影响,其中 5% 以上严重受损。中国最大的杀毒软件制造商瑞星总经理、总工程师刘旭说,“从昨天开始,我们所有的电话都忙得不可开交!北ǖ莱乒诜⑾值牟《居腥霰渲,分别在 4 月 26 日、6 月 26 日和每月 26 日发作。

        此外,安防公司 Data Fellow Inc. 初步统计,香港有 100 台机器,新加坡有 200 台,印度有 10 家"大公司",另有英国、瑞典、日本、马耳他、芬兰和新西兰的客户受到感染。

        与亚洲相比,CIH 在欧美造成的破坏总体上不大;但你不要对波士顿学院(Boston College)的学生们这么说,因为他们损失的是期末论文的手稿。

        波士顿学院的学生显然没有理会该校 IT 部门几周前发出的警告。爆发是如此糟糕,以至于学校敦促学生在 27 日之前不要打开电脑。一位波士顿学院计算机实验室的员工说,

        “午夜刚过,人们开始打电话说‘我的电脑不再知道它是一台电脑了’。谁说这没什么大不了的,我真希望他们过来看看!

        最终统计显示,CIH 病毒造成全球 6000 多万台电脑被破坏,其中包括中国大陆 36 万台计算机和数万台服务器瘫痪,直接经济损失为:事业单位 1.6 亿元、企业损失超过 10 亿元,个人损失 2000 万元(以购买力计算,当时的人民币金额放到现在要乘上 4-7 倍)。

        土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地均有不少电脑受损,而损失最为严重的是韩国,有 25 万台电脑中毒,损失超过当时的 2.5 亿美元。

        全球 6000 万台,境内 36 万台是什么概念?CNNIC 互联网调查显示,截止 1999 年 7 月,中国大陆全境只有 146 万台联网的电脑。

        CIH 的工作原理

        CIH 中毒发作时的症状就是突然死机或无法开机,而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据,还有主板 BIOS 固件。

        不要说当时了,就算现在看来,如何让一小段代码破坏硬件,也是听来很神奇的一件事。所以社长想花点篇幅,尽可能通俗地讲一下病毒的工作原理。

        (1)怎样破坏

        BIOS 是在我们熟知的 Windows 等操作系统更下面一层,控制电脑基本输入 / 输出的一段程序,存储在主板上的一个小芯片里。它在开机时最先运行,只有它检测到键盘、显示器等正常工作,你接下来才能正常使用电脑。近几年,BIOS 已经逐渐被更高级的 UEFI 替代,正是这一点让大多数近几年生产的电脑只能安装 Windows 10,而无法降级到 Win7 或者 XP。

        0429-03.png

        90 年代后期,绝大多数电脑采用英特尔“奔腾”处理器(CPU)和 Windows 95/98/ME 系统。在这样的电脑中,一些主板厂商允许在 Windows 里下载和更新 BIOS,这被称为“固件升级”。固件升级存在风险,一旦失败或中途断电,电脑将不能启动。

        CIH 病毒发作时,会调用 CPU 的最高权限,尝试将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”,通常就只能更换 BIOS 芯片或者整个主板了。

        病毒要想“买通”CPU 必须先经过操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻,但 Windows NT/2000/XP 及以后的系统,提供了针对性的;せ,所以对 CIH 天然“免疫”。

        现在装个微信会吃掉至少 500MB 硬盘空间,但林兴陆那时下载的 OICQ 程序,只有区区 200KB。CIH 通过感染 .exe 结尾的应用程序来传播,所以它更小,只有 800 多个字节。

        当它感染程序文件时,甚至会把不到 1KB 的程序代码分割成几个部分,分别写入程序中各段尚未填满的地方。这样一来,带毒的程序跟未染毒时相比,看不出大小的变化。它只能用杀毒软件检测到。因为这个特性,CIH 又有一个绰号叫“空间填充者(Spacefiller)”。

        0429-04.png

        因为杀毒厂商早已第一时间跟进,所以林兴陆可以发现并处理它。但当时的杀毒软件都是收费的,而且运行时会让系统变得很卡顿,很多用户嫌麻烦并不想安装,就让电脑那么“裸奔”着。更不用说,当时盗版的操作系统和软件也广泛流传。

        肉眼无法分辨的隐蔽性,加上大多数用户使用 Win9X 系统,缺乏安全意识,共同造成了病毒在 1999 年的大爆发。

        (2)如何修复

        我们现在知道,CIH 感染电脑的机理并没有那么难以理解,运气好的话,甚至可以恢复绝大部分硬盘数据。但在大爆发刚开始时,人们对它的认识不充分,很多人恐慌性格式化硬盘,造成了进一步损失。

        CIH 病毒会在硬盘的第一个分区中从第 0 扇区开始,写入 1MB 字节的空数据。而这最初的 1MB 包含了分区表(MBR)、文件分配表(FAT)、启动扇区等部分。它们介绍了这块硬盘上的空间被如何划分,单个文件又是如何被分配存储在不同的空间里。

        如果一块硬盘被分成多个区(即 C、D、E……盘),恢复驱动器的分区表将立即恢复各个分区。虽然 CIH 病毒对第一个分区造成广泛损坏,但后续分区完全完好无损。

        0429-05.jpg

        在采用更新的 FAT32 文件系统时,其分区表大小比当时流行的 FAT16 大很多,所以在 FAT32 的硬盘分区感染 CIH 还有一定机率会保住第一个分区的数据。

        因此,安全专家史蒂夫·吉布森(Steve Gibson)编写了完全免费的硬盘数据恢复工具。他收到了网上雪片一般的感谢信。

        但是,病毒侵入 BIOS 芯片会造成永久和不可修复的损坏:迷 BIOS 和硬盘上的数据是相互区隔的。对病毒“易感”的 BIOS 芯片属于英特尔一种特定芯片组的主板,且没有加装阻止随意“刷机”的;ご胧。

        CIH 事件后,新出的主板一般都加入了硬件跳线,用户要对 BIOS 下手之前必须拆开机箱。技嘉还推出了一款有两块 BIOS 芯片的主板,其中一片纯粹是备用,成为那个时代的特殊记忆。

        2000 年之后,CIH 还继续有传播和小规模发作,但总体上,随着专杀工具的普及,FAT32 文件系统和 Windows XP 的流行,病毒走向了自然消亡。

        21 年间,公众没怎么吸取教训

        要不是众多用户使用旧版、盗版系统,没有杀毒软件,缺乏安全意识,CIH 在 1999 年造成的惨剧是完全可以避免的。

        公众对电脑安全的重视可以说是“一阵一阵的”,更多受到他们获取信息的影响。

        0429-06.jpg

        同一时期,正值“千年虫”(Y2K)问题闹得沸沸扬扬,给媒体渲染得像是世界末日来临。所以当时的电脑大多数都为“千年虫”做了排查。讽刺的是,有些电脑却因为没那么显眼的 CIH 倒在了“黎明前的黑暗”中。

        令人遗憾的是,20 多年过去了,人们并没有吸取教训,导致这种漏洞本已被修补,却仍然中招的情况,又重演了多次。

        2001 年 7 月,红色代码(Code Red)病毒在不到一周感染了近 40 万台网络服务器,传到多达 100 万台普通电脑上。在发作前一个多月,微软已经针对性地打过补丁。

        0429-07.jpg

        大名鼎鼎的勒索病毒 WannaCry,2017 年 5 月出现,几天之内就感染了 150 个地区超过 20 万台电脑,黑客索要价值 300 美元的比特币,解锁用户电脑上的文件。

        WannaCry 基于 Windows XP 系统的“永恒之蓝”漏洞。当时 Windows XP 已经停止技术支持三年之久,但大多数中招电脑出于种种原因,坚持使用 XP。微软不得不打破惯例,为早已“入土”的 XP 系统打补丁。

        发现此漏洞的是美国的情报机构,他们并没有及时告知公众,而是以此为基础开发了一些“电子战”武器。万万没想到,还没等投入实战,同样的漏洞却被野生黑客圈子捕获,并第一时间用作对平民的袭击。

        在 WannaCry 的广大受害者当中,包括美国的盟友英国,该国公立医院系统 NHS 损失惨重。《好奇心日报》总结说:“只要漏洞存在就有危险,不管它当初是为谁留的!

        病毒的演进:从炫技到敛财

        普通电脑用户的安全意识一如既往地差,但 WannaCry 体现出现代计算机安全威胁和古典病毒时代的巨大差异。

        2006 年是计算机病毒发现 20 周年。InformationWeek 做的历史上 10 大最具破坏力的病毒排行中,CIH 名列前茅。同样上榜的“爱虫”(I Love You)、红色代码、冲击波(Blaster)和震荡波(Sasser)都说明蠕虫和宏病毒是当时电脑病毒的绝对主流。

        2018 年,英国《每日电讯报》又做了一次十大病毒评选。此时,勒索病毒与挖矿病毒成为了新的关注焦点。新时代的病毒不再着眼于纯粹的恶作剧或文件破坏,而是盗取用户隐私,偷窃账户密码,最终都以赚钱敛财为目的。

        如今病毒还进化出更为险恶的新形式:感染供应链。

        Xcode 是开发苹果 Mac 和 iOS 软件的必备工具。2015 年 9 月,一些开发者发现其使用的 Xcode 携带恶意代码。经被污染的 Xcode 编译出的 App 将向指定网址回传用户信息,并有弹窗攻击和远程控制的危险。

        Xcode 本可通过 Mac 应用商店等官方渠道下载。然而因为众所周知的原因,中国大陆访问苹果官网速度很慢,大小为 8GB 的 Xcode 安装包几乎不可能直接下载,给了不怀好意的国内镜像站以可乘之机。

        著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被发现有供应链污染,一周之内累计发现共 692 种手机 App 的 858 个版本曾受到污染,包括了微信、滴滴、网易云音乐、铁路 12306 等著名应用。

        0429-08.png

        2018 年,另一款“微信支付”勒索病毒首先植入被大量开发者使用的“易语言”编程工具,进而进入编写出来的各种软件产品,使用这些软件的 10 多万台终端电脑被感染。该病毒活跃的染毒软件超过 50 款,其中多数是“薅羊毛”类“灰色”软件。

        告别草莽英雄,世上再无“善意”病毒作者

        1998 年 4 月 30 日,CIH 病毒作者陈盈豪被台北警方带走问话。他时年 23 岁,在服兵役。面对记者的闪光灯包围,他差点瘫倒在地。当时的新闻报道说,办案人员打开了审讯室的电脑让他上网,而他看到电脑就精神焕发,恢复了常态,跟几分钟前判若两人。

        陈盈豪日后回忆说,作为实验程序,CIH 被存储在校内自用的主机上,并加上了“病毒”的警告。他的本意并不是为了造成破坏,但在他不知情的状况下,他的同学用了那台电脑,将病毒带出!安蝗凰嵊米约旱拿,去命名一个病毒?”

        0429-09.png

        世纪之交的电脑网络是大人们完全不了解的世界,社会担心孩子沉入电脑世界,与现实生活脱节。报纸上写着《电脑游戏——瞄准孩子的“电子海洛因”》。能上网的孩子,就被家长一直念叨网上有很多坏人,玩 ICQ 聊天室交友要小心。

        这种情况下的陈盈豪,被警方认为是:

        “通常个性非常偏激,他们不善于人际交往,对社会现状往往也不满意,但一旦进入电脑世界,他们就反应敏捷,表现出超出常人一等的天分。陈盈豪就是这种电脑人,俗称‘电脑自闭症’。这种人如果不能善加辅导,而被不法组织利用的话,那么对社会将会造成巨大的:!

        2006 年底,另一款造成了大规模破坏的恶性病毒“熊猫烧香”以中国大陆为震中辐射开来。病毒作者李俊也是年轻人,最高学历只有中专。他曾写信给笔友,说最遗憾的事情是“没有上大学”。

        李俊去过北京和广州找工作,因为学历被瑞星和金山等许多公司拒之门外。李俊觉得用病毒攻击别人电脑没什么意思,他就是“想打公司的脸”。最初的原版病毒只是恶作剧,并不会破坏数据,病毒是在之后的变异传播过程中变得恶性的。

        和陈盈豪类似,李俊在电脑世界也获得了很大的成就感。他曾参加国内黑客组织“中国红客联盟”,在 2001 年中美撞机事件、日本前首相参拜靖国神社期间,与中国其他网络高手联合攻击美国和日本的网站。但李俊在现实世界中并不如意,月收入不足千元。

        0429-10.gif

        当时的社会舆论对李俊遭遇的学历歧视感到同情!吨泄嗄瓯ā菲缆鬯:“我们的社会不缺少李俊这样的人才,但我们不希望他们被称为人才的代价是给社会带来:!

        当年,我们能相信陈盈豪真的是太沉浸在自我的小世界了,能相信李俊真的是因为找不到工作不甘心,最重要的是,能相信他们的本意不是坏的。

        时光荏苒,公众的安全意识仍然一塌糊涂,但公众的心态却发生了沧海桑田的变化。没有人再会“傻”到去相信一个造成巨大损失的人“不是故意的”。

        ——啊,还有,你敢同情罪犯?“如果同情了罪犯,谁来同情受害者?”

        社交网络基本上实现了把所有人连接在一起的宏愿,但人们的心也被磨得粗粝,失去了对细微情绪的感知和共情。对网上爆出的很多事情,很多“瓜”,我们不再单纯就事论事,而是一定要立场坚定,诉诸动机。你的“屁股”,一定不能是歪的。

        对安全事件的当事人,我们现在一定先入为主地认为他有金主、有后台,动机不纯。我们已经无法想象有人会单纯的不为钱不为利,做什么惊天动地的事情。

        社长不得不承认,这种不可逆转的心态改变,也是因为其它几个铁一般的事实,教育了原本还单纯的我们。

        在陈盈豪被捕的 1999 年,台湾全省甚至找不出有人因为经济损失要起诉的苦主,再加上也没有法律规管这一新生事物,所以他就这么被释放了。2003 年 6 月 25 日,台湾省通过“妨害电脑使用罪”的地方法规,立法过程还参考了陈盈豪本人的意见。

        到了 2007 年“熊猫烧香”肆虐时,情况就不一样了。李俊出于炫技和圈子内交流的本意,将病毒原件挂上网出售。买到的人则植入木马,将中毒电脑变为可随意控制的“肉鸡”,其中游戏账号、虚拟物品、货币等被盗取并提现。因为造成重大的经济损失,李俊被判处有期徒刑 4 年。

        陈盈豪和李俊在事发后都得到电脑安全厂商的录用邀请,但陈盈豪此后走上人生正道,李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后,他又参与开发了一款有诈骗性质的网络赌博游戏,2013 年再次入狱,2015 年出狱后,在公众视野消失。

        对难以通过正规渠道大显身手的民间安全人士而言,像梁山好汉一样做草莽英雄,以非官方之力影响社会的大门,已经关闭。

        0429-11.png

        2016 年 7 月,当时中国最大的计算机漏洞民间提交平台乌云(WooYun)停业,创始人方小顿等“多名高管被抓”。此前,有用户在乌云网提交了关于婚恋网站“世纪佳缘”的漏洞,世纪佳缘站方曾认领漏洞并向平台致谢。但出乎意料的是,世纪佳缘一转头,就报了警。

        像乌云、漏洞盒子这样的民间安全平台,其上活跃的人士被称为“白帽子”,与一心搞破坏的“黑帽子”相对。有些时候,“白帽子”选择事先在安全圈内小范围公开漏洞,而不是第一时间联系企业,这会被企业认为是在敲诈。如果“白帽子”验证漏洞时有进入数据库复制信息等擦边球行为,则其行为的“黑白”则更不好界定。

        一番争议过后,业界接受了“白帽子”没有存在余地的现实。本来应该活跃在乌云等地的安全专家,大部分被 360、奇安信、腾讯、阿里等厂家“招安”。在大厂的羽翼下,他们把自己的舞台界定为一场场国内外的网络安全大赛,为国争光。

        故事的最后,要说一下那个 1999 年在深圳当网管,与 CIH 偶遇的小伙子。

        林兴陆加入瀛海威时只有 17 岁,此后他又去了那个“呼机、手机、商务通,一个都不能少”的恒基伟业,再后来跟刘韧等人一起发起了 DoNews。2007 年,他的下一个创业项目 265 导航网址卖给了谷歌。


        航通社首发原创文章,未经授权禁止转载。微信搜一搜:航通社

        相关文章:

        计算机病毒应急中心:CIH v1.4病毒26日发作

        “熊猫烧香”作者李俊的人生拐点

        还记得大明湖畔的CIH病毒作者吗?

        “熊猫烧香”主犯再度犯案 开设网上赌场非法获利

        对文章打分

        [评论]21年前的4月26日:CIH电脑病毒大爆发

        5 (18%)
        已有 条意见

          最新资讯

          加载中...

          今日最热

          加载中...

          热门评论

            Top 10

            招聘


            Advertisment ad adsense googles cpro.baidu.com
            created by ceallan