[评论]21年前的4月26日：CIH电脑病毒大爆发

航通社首发原创文章，未经授权禁止转载。微信搜一搜：航通社

书航 4 月 29 日发于北京

刚刚过去的 4 月 26 日是什么日子，你还记得吗？

这一天是“世界知识产权日”。清华大学庆祝了 109 周年校庆。切尔诺贝利核电站事故过去 34 年，如今遗址附近正遭遇一场森林大火，威胁到本就脆弱不堪的防辐射“石棺”。

让更多 80 后记忆犹新的，恐怕不是切尔诺贝利，而是“切尔诺贝利病毒”。

欧美和日本都这么称呼这个电脑病毒，因为它在核事故的纪念日那天爆发。在中国，更多人熟悉病毒的本名，三个英文字母：CIH。

CIH 具备空前的破坏力，让它在电脑病毒编年史上青史留名。除了摧毁硬盘数据，它是历史上第一款能导致硬件损坏的病毒。以下就是有关这个病毒的故事。

1999 年，6000 万台电脑中招

1999 年春节前后，在深圳“瀛海威时空”机房值班的林兴陆，听说有款国内开发的聊天软件叫 OICQ，跟以色列人开发的 ICQ 很像，不同的是它支持很多可爱的卡通头像。

林兴陆下载到一个程序包，但杀毒软件当即发现携带了当时颇为流行的 CIH 电脑病毒，他二话不说就删除了。这次遭遇让他比朋友们晚了将近一年，才开始使用 QQ。

那个春节过后两个多月，CIH 病毒迎来了第一次全球大规模爆发。

CIH 是病毒作者，台湾青年陈盈豪姓名的威妥玛拼音首字母，而将病毒定在 4.26 触发也不是为了纪念切尔诺贝利事故，仅仅因为那是 1.0 版完工的日子：1998 年 4 月 26 日。

在 1998 年剩下来的日子里，CIH 病毒以各种意想不到的方式传播到世界各地。

1998 年 9 月，日本雅马哈公司生产的电脑光驱 CD-R400 被发现驱动程序带有 CIH 病毒。10 月，还没跟暴雪合并的动视（Activision）发现其第一人称射击游戏《原罪》（SiN）一个在网上传播的版本带有 CIH。

1999 年 3 月，IBM 个人电脑品牌 Activa 宣布，它们在美国销售的几千台电脑一出厂就带有 CIH。此时距离 26 日的发作日只有一个月。无人知晓购买这些电脑的用户是否遭受了损失。

这些消息预示着即将到来的爆发是一场巨大的灾难。

事发后第二天的 4 月 27 日，韩国科学技术信息通信部估计该国 800 万台电脑中有 2-3% 感染，即 24 万台电脑。但当地反病毒软件开发商估计中毒电脑多达 60 万台，位于大约 1000 家私企、200 个公共事业单位以及 300 所大学。

新华社称，中国大陆有超过 10 万台电脑受到影响，其中 5% 以上严重受损。中国最大的杀毒软件制造商瑞星总经理、总工程师刘旭说，“从昨天开始，我们所有的电话都忙得不可开交。”报道称国内发现的病毒有三个变种，分别在 4 月 26 日、6 月 26 日和每月 26 日发作。

此外，安防公司 Data Fellow Inc. 初步统计，香港有 100 台机器，新加坡有 200 台，印度有 10 家"大公司"，另有英国、瑞典、日本、马耳他、芬兰和新西兰的客户受到感染。

与亚洲相比，CIH 在欧美造成的破坏总体上不大；但你不要对波士顿学院（Boston College）的学生们这么说，因为他们损失的是期末论文的手稿。

波士顿学院的学生显然没有理会该校 IT 部门几周前发出的警告。爆发是如此糟糕，以至于学校敦促学生在 27 日之前不要打开电脑。一位波士顿学院计算机实验室的员工说，

“午夜刚过，人们开始打电话说‘我的电脑不再知道它是一台电脑了’。谁说这没什么大不了的，我真希望他们过来看看。”

最终统计显示，CIH 病毒造成全球 6000 多万台电脑被破坏，其中包括中国大陆 36 万台计算机和数万台服务器瘫痪，直接经济损失为：事业单位 1.6 亿元、企业损失超过 10 亿元，个人损失 2000 万元（以购买力计算，当时的人民币金额放到现在要乘上 4-7 倍）。

土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地均有不少电脑受损，而损失最为严重的是韩国，有 25 万台电脑中毒，损失超过当时的 2.5 亿美元。

全球 6000 万台，境内 36 万台是什么概念？CNNIC 互联网调查显示，截止 1999 年 7 月，中国大陆全境只有 146 万台联网的电脑。

CIH 的工作原理

CIH 中毒发作时的症状就是突然死机或无法开机，而问题的成因却比其它当时已知的电脑病毒都要复杂。它的破坏目标除了硬盘数据，还有主板 BIOS 固件。

不要说当时了，就算现在看来，如何让一小段代码破坏硬件，也是听来很神奇的一件事。所以社长想花点篇幅，尽可能通俗地讲一下病毒的工作原理。

（1）怎样破坏

BIOS 是在我们熟知的 Windows 等操作系统更下面一层，控制电脑基本输入 / 输出的一段程序，存储在主板上的一个小芯片里。它在开机时最先运行，只有它检测到键盘、显示器等正常工作，你接下来才能正常使用电脑。近几年，BIOS 已经逐渐被更高级的 UEFI 替代，正是这一点让大多数近几年生产的电脑只能安装 Windows 10，而无法降级到 Win7 或者 XP。

90 年代后期，绝大多数电脑采用英特尔“奔腾”处理器（CPU）和 Windows 95/98/ME 系统。在这样的电脑中，一些主板厂商允许在 Windows 里下载和更新 BIOS，这被称为“固件升级”。固件升级存在风险，一旦失败或中途断电，电脑将不能启动。

CIH 病毒发作时，会调用 CPU 的最高权限，尝试将垃圾信息写入硬盘和 BIOS。一旦 BIOS 遇袭就相当于“固件升级失败”，通常就只能更换 BIOS 芯片或者整个主板了。

病毒要想“买通”CPU 必须先经过操作系统的“允许”。CIH 病毒在 Win9X 系统里横行无阻，但 Windows NT/2000/XP 及以后的系统，提供了针对性的保护机制，所以对 CIH 天然“免疫”。

现在装个微信会吃掉至少 500MB 硬盘空间，但林兴陆那时下载的 OICQ 程序，只有区区 200KB。CIH 通过感染 .exe 结尾的应用程序来传播，所以它更小，只有 800 多个字节。

当它感染程序文件时，甚至会把不到 1KB 的程序代码分割成几个部分，分别写入程序中各段尚未填满的地方。这样一来，带毒的程序跟未染毒时相比，看不出大小的变化。它只能用杀毒软件检测到。因为这个特性，CIH 又有一个绰号叫“空间填充者（Spacefiller）”。

（编辑：ASP站长网）