[评论]21年前的4月26日：CIH电脑病毒大爆发(2)

因为杀毒厂商早已第一时间跟进，所以林兴陆可以发现并处理它。但当时的杀毒软件都是收费的，而且运行时会让系统变得很卡顿，很多用户嫌麻烦并不想安装，就让电脑那么“裸奔”着。更不用说，当时盗版的操作系统和软件也广泛流传。

肉眼无法分辨的隐蔽性，加上大多数用户使用 Win9X 系统，缺乏安全意识，共同造成了病毒在 1999 年的大爆发。

（2）如何修复

我们现在知道，CIH 感染电脑的机理并没有那么难以理解，运气好的话，甚至可以恢复绝大部分硬盘数据。但在大爆发刚开始时，人们对它的认识不充分，很多人恐慌性格式化硬盘，造成了进一步损失。

CIH 病毒会在硬盘的第一个分区中从第 0 扇区开始，写入 1MB 字节的空数据。而这最初的 1MB 包含了分区表（MBR）、文件分配表（FAT）、启动扇区等部分。它们介绍了这块硬盘上的空间被如何划分，单个文件又是如何被分配存储在不同的空间里。

如果一块硬盘被分成多个区（即 C、D、E……盘），恢复驱动器的分区表将立即恢复各个分区。虽然 CIH 病毒对第一个分区造成广泛损坏，但后续分区完全完好无损。

在采用更新的 FAT32 文件系统时，其分区表大小比当时流行的 FAT16 大很多，所以在 FAT32 的硬盘分区感染 CIH 还有一定机率会保住第一个分区的数据。

因此，安全专家史蒂夫·吉布森（Steve Gibson）编写了完全免费的硬盘数据恢复工具。他收到了网上雪片一般的感谢信。

但是，病毒侵入 BIOS 芯片会造成永久和不可修复的损坏。好在 BIOS 和硬盘上的数据是相互区隔的。对病毒“易感”的 BIOS 芯片属于英特尔一种特定芯片组的主板，且没有加装阻止随意“刷机”的保护措施。

CIH 事件后，新出的主板一般都加入了硬件跳线，用户要对 BIOS 下手之前必须拆开机箱。技嘉还推出了一款有两块 BIOS 芯片的主板，其中一片纯粹是备用，成为那个时代的特殊记忆。

2000 年之后，CIH 还继续有传播和小规模发作，但总体上，随着专杀工具的普及，FAT32 文件系统和 Windows XP 的流行，病毒走向了自然消亡。

21 年间，公众没怎么吸取教训

要不是众多用户使用旧版、盗版系统，没有杀毒软件，缺乏安全意识，CIH 在 1999 年造成的惨剧是完全可以避免的。

公众对电脑安全的重视可以说是“一阵一阵的”，更多受到他们获取信息的影响。

同一时期，正值“千年虫”（Y2K）问题闹得沸沸扬扬，给媒体渲染得像是世界末日来临。所以当时的电脑大多数都为“千年虫”做了排查。讽刺的是，有些电脑却因为没那么显眼的 CIH 倒在了“黎明前的黑暗”中。

令人遗憾的是，20 多年过去了，人们并没有吸取教训，导致这种漏洞本已被修补，却仍然中招的情况，又重演了多次。

2001 年 7 月，红色代码（Code Red）病毒在不到一周感染了近 40 万台网络服务器，传到多达 100 万台普通电脑上。在发作前一个多月，微软已经针对性地打过补丁。

大名鼎鼎的勒索病毒 WannaCry，2017 年 5 月出现，几天之内就感染了 150 个地区超过 20 万台电脑，黑客索要价值 300 美元的比特币，解锁用户电脑上的文件。

WannaCry 基于 Windows XP 系统的“永恒之蓝”漏洞。当时 Windows XP 已经停止技术支持三年之久，但大多数中招电脑出于种种原因，坚持使用 XP。微软不得不打破惯例，为早已“入土”的 XP 系统打补丁。

发现此漏洞的是美国的情报机构，他们并没有及时告知公众，而是以此为基础开发了一些“电子战”武器。万万没想到，还没等投入实战，同样的漏洞却被野生黑客圈子捕获，并第一时间用作对平民的袭击。

在 WannaCry 的广大受害者当中，包括美国的盟友英国，该国公立医院系统 NHS 损失惨重。《好奇心日报》总结说：“只要漏洞存在就有危险，不管它当初是为谁留的。”

病毒的演进：从炫技到敛财

普通电脑用户的安全意识一如既往地差，但 WannaCry 体现出现代计算机安全威胁和古典病毒时代的巨大差异。

2006 年是计算机病毒发现 20 周年。InformationWeek 做的历史上 10 大最具破坏力的病毒排行中，CIH 名列前茅。同样上榜的“爱虫”（I Love You）、红色代码、冲击波（Blaster）和震荡波（Sasser）都说明蠕虫和宏病毒是当时电脑病毒的绝对主流。

2018 年，英国《每日电讯报》又做了一次十大病毒评选。此时，勒索病毒与挖矿病毒成为了新的关注焦点。新时代的病毒不再着眼于纯粹的恶作剧或文件破坏，而是盗取用户隐私，偷窃账户密码，最终都以赚钱敛财为目的。

如今病毒还进化出更为险恶的新形式：感染供应链。

Xcode 是开发苹果 Mac 和 iOS 软件的必备工具。2015 年 9 月，一些开发者发现其使用的 Xcode 携带恶意代码。经被污染的 Xcode 编译出的 App 将向指定网址回传用户信息，并有弹窗攻击和远程控制的危险。

Xcode 本可通过 Mac 应用商店等官方渠道下载。然而因为众所周知的原因，中国大陆访问苹果官网速度很慢，大小为 8GB 的 Xcode 安装包几乎不可能直接下载，给了不怀好意的国内镜像站以可乘之机。

著名的游戏开发工具 Unity 3D、Cocos 2d-x 也被发现有供应链污染，一周之内累计发现共 692 种手机 App 的 858 个版本曾受到污染，包括了微信、滴滴、网易云音乐、铁路 12306 等著名应用。

2018 年，另一款“微信支付”勒索病毒首先植入被大量开发者使用的“易语言”编程工具，进而进入编写出来的各种软件产品，使用这些软件的 10 多万台终端电脑被感染。该病毒活跃的染毒软件超过 50 款，其中多数是“薅羊毛”类“灰色”软件。

告别草莽英雄，世上再无“善意”病毒作者

（编辑：ASP站长网）