win32专杀(win32蠕虫病毒专杀工具)

none

CIH拥有空之前的破坏力,这让它在计算机病毒的编年史上名声大噪。本文详细介绍了CIH计算机病毒。

最后一次4月26日是什么时候?你还记得吗?

这一天是“世界知识产权日”。清华大学庆祝109周年校庆。切尔诺贝利核电站事故发生三十四年后,现场附近发生森林大火,威胁到脆弱的防辐射石棺。

让更多80后记忆犹新的恐怕不是切尔诺贝利,而是“切尔诺贝利病毒”。

欧美日都称这种电脑病毒,因为它是在核事故纪念日爆发的。在中国,更多的人熟悉这种病毒的真实名字,三个英文字母:CIH。

CIH拥有空之前的破坏力,这让它在计算机病毒的编年史上名声大噪。除了破坏硬盘数据,它还是历史上第一个可以造成硬件损坏的病毒。以下是关于这种病毒的故事。

01 1999 年,6000 万台电脑中招

1999年春节前后,在深圳“瀛海威视空”机房值班的林兴禄听说有一款国产聊天软件叫OICQ,和以色列人开发的ICQ很像,只是支持很多可爱的卡通头像。

林兴禄下载了一个包,但是杀毒软件马上发现里面携带了当时相当流行的CIH电脑病毒。他二话不说就删了。这次遭遇让他比朋友晚用了近一年的QQ。

春节过后两个多月,CIH病毒迎来了首次全球大规模爆发。

CIH是病毒作者台省青年陈盈豪名字中Witoma拼音的第一个字母,而病毒在4月26日被触发并不是为了纪念切尔诺贝利事故,只是因为那是1.0版本完成的日期:1998年4月26日。

在1998年剩下的日子里,CIH病毒以各种意想不到的方式蔓延到全世界。

1998年9月,日本雅马哈公司生产的计算机CD-R400被发现在其驱动程序中含有CIH病毒。10月份,尚未与暴雪合并的动视发现,其在网上传播的第一人称射击游戏《罪恶》的一个版本有CIH。

1999年3月,IBM个人电脑品牌Activa宣布,在美国销售的数千台电脑一出厂就带有CIH病毒。此时,距离26日的攻击日期只有一个月的时间。没有人知道购买这些电脑的用户是否遭受了损失。

这些消息表明即将爆发的疾病是一场大灾难。

4月27日,也就是事件发生的第二天,韩国科学技术信息通信部估计,全国800万台电脑中有2-3%被感染,即24万台电脑。然而,当地反病毒软件开发商估计,中毒电脑多达60万台,分布在大约1000家私营企业、200家公共事业单位和300所大学。

新华社称,中国大陆有超过10万台电脑受到影响,其中超过5%的电脑严重受损。中国最大的杀毒软件制造商瑞星公司总经理兼总工程师刘旭说:“从昨天开始,我们所有的手机都忙得不可开交。”据报道,在中国发现的病毒有三种变种,分别在4月26日、6月26日和每月26日发作。

另外,根据安全公司Data Fellow Inc的初步统计,香港有100台,新加坡有200台,印度有10家“大公司”。此外,英国、瑞典、日本、马耳他、芬兰和新西兰的客户也受到感染。

相比亚洲,CIH在欧美造成的伤害普遍较小;但是不要对波士顿学院的学生这么说,因为他们弄丢了期末论文的手稿。

波士顿学院的学生显然忽视了该校IT部门几周前发出的警告。疫情非常严重,学校敦促学生在27日之前不要打开电脑。波士顿学院计算机实验室的一名员工说,

“刚过午夜,人们就开始打电话说,‘我的电脑已经不知道它是电脑了’。谁说没什么大不了的?真希望他们来看看。”

据最终统计,CIH病毒已经在全球范围内摧毁了6000多万台电脑,其中包括中国大陆的36万台电脑和数万台服务器。直接经济损失为:事业单位1.6亿元,企业10多亿元,个人2000万元(按购买力计算,当时的人民币金额要乘以现在的4-7倍)。

土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地多台电脑受损,损失最严重的是韩国,25万台电脑中毒,当时损失超过2.5亿美元。

全球6000万台,国内36万台是什么概念?CNNIC互联网调查显示,截至1999年7月,中国大陆只有146万台联网计算机。

02 CIH 的工作原理

CIH中毒的症状是突然崩溃或无法启动,但问题的原因比当时已知的其他计算机病毒更复杂。它的破坏目标不仅是硬盘数据,还有主板BIOS固件。

不要说当时,就算是现在,如何让一小段代码毁掉硬件,听起来也很神奇。所以总统想花点时间尽可能通俗地讲一下病毒的工作原理。

1. 怎样破坏

BIOS是在Windows等众所周知的操作系统的底层控制计算机基本输入/输出的程序,存储在主板上的一个小芯片中。它在打开时首先运行。只有当它检测到键盘、显示器等。你能正常使用电脑吗?近年来,BIOS逐渐被更先进的UEFI取代,这使得近年来生产的大部分电脑只能安装Windows 10,而不能降级到Win7或XP。

20世纪90年代末,大多数计算机采用英特尔奔腾处理器(CPU)和Windows 95/98/ME系统。在这类电脑中,部分主板厂商允许在Windows中下载更新BIOS,这种方式称为“固件升级”。固件升级有风险,一旦中途出现故障或断电,电脑将无法启动。

当CIH病毒爆发时,它会调用CPU的最高权限,试图将垃圾信息写入硬盘和BIOS。一旦BIOS被攻击,相当于“固件升级失败”。通常只能更换BIOS芯片或者整个主板。

病毒要想“买”CPU,首先要经过操作系统的“许可”。CIH病毒在Win9X系统中肆虐,但Windows NT/2000/XP及以后的系统都提供了针对性的防护机制,所以对CIH自然是“免疫”的。

现在安装微信至少会吃掉500MB硬盘空,而林兴禄当时下载的OICQ程序只有200KB。CIH是通过在年底感染应用程序传播的。exe,所以它更小,只有800多字节。

当它感染一个程序文件时,甚至会把1KB以下的程序代码分成几个部分,写入程序的未填充部分。这样,与未被感染的程序相比,被感染程序的大小没有变化。只能用杀毒软件检测。因为这个特性,CIH还有一个昵称“空 Spacefiller”。

因为杀毒厂商已经第一时间跟进,林兴禄可以发现并处理。不过当时杀毒软件是收费的,运行时间会让系统运行很慢。很多用户嫌麻烦,不想安装,就让自己的电脑“裸奔”。不用说,盗版操作系统和软件在当时也是广为流传。

肉眼无法分辨的隐蔽性,加上大部分用户使用Win9X系统,安全意识不足,造成了1999年的病毒爆发。

2. 如何修复

现在我们知道CIH感染计算机的机制并不那么难理解。如果幸运的话,我们甚至可以恢复大部分硬盘数据。但是在爆发之初,人们对它的认识还不够,很多人惊慌失措,格式化硬盘,造成了更大的损失。

CIH病毒会将1MB的空数据写入硬盘的第一个分区,从0扇区开始。第一个1MB包括分区表(MBR)、文件分配表(FAT)、引导扇区等。它们描述了该硬盘上的空房间是如何划分的,以及各个文件是如何分配和存储在不同的空房间中的。

如果硬盘被分成多个分区(即C、D、E,…),恢复驱动器的分区表会立即恢复每个分区。尽管CIH病毒对第一个分区造成了大范围的破坏,但随后的分区却完好无损。

当采用更新的FAT32文件系统时,其分区表大小比当时流行的FAT16要大得多,所以在FAT32的硬盘分区中,如果CIH被感染,第一个分区的数据还是有一定几率被保留下来的。

因此,安全专家史蒂夫·吉布森(Steve Gibson)编制了一个完全免费的硬盘数据恢复工具。他在网上收到了一封感谢信。

但是,病毒侵入BIOS芯片会造成永久性的、不可修复的损害。好在BIOS和硬盘上的数据是分开的。“易受”病毒感染的BIOS芯片属于英特尔特定芯片组的主板,没有防止随意“刷机”的保护措施。

CIH事件后,新的主板普遍配备了硬件跳线,用户必须在启动BIOS前拆卸机箱。技嘉还推出了带有两个BIOS芯片的主板,其中一个纯粹是备用的,成为那个时代的专用内存。

2000年后,CIH继续蔓延,有小规模攻击,但总体来说,随着查杀工具的普及,FAT32文件系统和Windows XP的普及,病毒走向了自然灭绝。

03 21 年间,公众没怎么吸取教训

如果许多用户没有使用旧的盗版系统,没有杀毒软件,缺乏安全意识,1999年CIH造成的悲剧本来是完全可以避免的。

对公共计算机安全的强调可以说是“断断续续”的,更多的是受他们获取信息的影响。

与此同时,“千年虫”问题肆虐,媒体渲染得好像世界末日到了。所以当时大部分电脑都是检查“千年虫”的。具有讽刺意味的是,一些计算机因为不太显眼的CIH而陷入了“黎明前的黑暗”。

遗憾的是,20多年过去了,人们并没有吸取教训,造成了这个漏洞已经修好,但还是被抓住的局面,而且还反复了很多次。

2001年7月,Code Red team病毒在不到一周的时间内感染了近40万台网络服务器,并传播到多达100万台普通电脑。攻击前一个多月,微软就有针对性的打补丁。

著名勒索软件WannaCry出现在2017年5月。几天之内,它感染了150个地区的20多万台电脑。黑客要求价值300美元的比特币来解锁用户电脑上的文件。

WannaCry基于Windows XP系统的“永恒之蓝”漏洞。当时Windows XP已经停止了三年的技术支持,但是大部分被招聘的电脑都因为各种原因坚持使用XP。微软不得不打破常规,给早已“埋没”的XP系统打补丁。

是美国情报机构发现了这个漏洞。他们没有及时告知公众,而是以此为基础开发了一些“电子战”武器。没想到,在实战前,同样的漏洞被野黑客圈捕捉到,并首次用作对平民的攻击。

在WannaCry的受害者中,包括美国的盟友英国,该国的公立医院系统NHS损失惨重。《好奇心日报》总结道:“只要有漏洞,就有危险,不管它原本是留给谁的。”

04 从炫技到敛财,病毒进入“新时代”

普通计算机用户的安全意识一如既往的差,但WannaCry反映了现代计算机安全威胁与经典病毒时代的巨大差异。

2006年是计算机病毒发现20周年。CIH被《信息周刊》列为历史上十大最具破坏性的病毒之一。同样是《我爱你》,榜单上的红队、Blaster、Sasser,都说明蠕虫和宏病毒是当时计算机病毒的绝对主流。

2018年,英国《每日电讯报》又进行了一次十大病毒评选。此时,勒索病毒和挖矿病毒成为新的关注焦点。新时代的病毒不再专注于纯粹的恶作剧或文件破坏,而是窃取用户的隐私和账户密码,目的都是为了赚钱和收钱。

新时代病毒也进化成了更险恶的新形式:感染供应链。

Xcode是开发苹果Mac和iOS软件的必备工具。2015年9月,有开发者发现自己使用的Xcode带有恶意代码。被污染的Xcode编译的App会将用户信息发回指定的URL,存在弹窗攻击和远程控制的风险。

Xcode本来可以通过Mac App Store等官方渠道下载。但是由于众所周知的原因,中国大陆访问苹果官网的速度非常慢,8GB大小的Xcode安装包几乎无法直接下载,这就给了无良的国内镜像站可乘之机。

著名的游戏开发工具Unity 3D和Cocos 2d-x也被发现供应链被污染。一周内,共有858个版本的692款手机app被发现受到污染,其中包括微信、滴滴、网易云音乐、铁路12306等知名应用。

2018年,另一个“微信支付”勒索病毒首先被植入大量开发者使用的“易语言”编程工具,然后进入编写的各种软件产品。超过10万台使用这些软件的终端电脑被感染。活跃的被感染软件有50多个,其中大部分是“薅羊毛”和“灰色”软件。

05 告别草莽英雄,世上再无“善意”病毒作者

1998年4月30日,CIH病毒的作者陈盈豪被台北警方带走问话。他当时23岁,正在服兵役。面对记者的闪光灯,他差点瘫倒在地。当时新闻报道说,侦查员在审讯室打开电脑让他上网,但看到电脑,他精神一振,恢复正常。他和几分钟前完全不同。

陈盈豪后来回忆说,作为一个实验程序,CIH被存储在学校使用的主机上,并加上了“病毒”的警告。他不是故意造成损害,但在他不知情的情况下,他的同学用那台电脑带出病毒。”否则,谁会用自己的名字给病毒命名呢?”

世纪之交,计算机网络是一个成年人根本不知道的世界。社会担心孩子们会沉湎于电脑世界,与现实生活脱节。报纸上写着“电脑游戏——儿童电子海洛因”。会上网的孩子总被家长念叨网上坏人多。玩ICQ聊天室交友要小心。

在这种情况下,陈盈豪被警方认为是:

“通常,他们的性格都很极端。他们不善于人际交往,往往对社会现状不满。但一旦进入计算机世界,他们反应迅速,表现出超乎常人的一流天赋。陈盈豪就是这样一个电脑人,俗称‘电脑自闭症’。这种人如果不好好劝导,被非法组织利用,对社会危害很大。”

2006年底,恶性病毒中又一次“熊猫烧香”,造成大规模破坏,以中国大陆为震中辐射。病毒的作者李俊也是一个年轻人。他的最高学历只有中专。他曾写信给他的笔友,说最遗憾的事是“没有上大学”。

李俊去过北京和广州找工作,因为他的学历被很多公司拒绝,比如瑞星和金山。李俊认为用病毒攻击别人的电脑是没有意义的。他只是“想打公司的脸”。起初,最初的病毒只是一个恶作剧,它并没有破坏数据。病毒在随后的变异和传播过程中变得恶性。

像陈盈豪一样,李俊在计算机世界获得了巨大的成就感。他是中国黑客组织“中国红客联盟”的成员。在2001年中美撞机事件和日本前首相参拜靖国神社事件中,他与中国其他网络专家共同攻击了美国和日本的网站。但李俊在现实世界中并不满足,他的月收入不到1000元。

当时,舆论对李俊的学术歧视表示同情。《中国青年报》评论说,“我们的社会不缺像李俊这样的人才,但我们不希望他们以给社会带来危害为代价而被称为人才。”

那时候,我们可以相信,陈盈豪真的太沉浸在自己的小世界里了,李俊真的不愿意找工作了,最重要的是,他们的用心并不坏。

久而久之,大众的安全意识还是一塌糊涂,但是大众的心态已经发生了巨大的变化。没有人会“傻”到相信一个造成巨大损失的人“不是故意的”。

-哦,还有,你敢同情罪犯吗?”如果你同情罪犯,谁会同情受害者呢?”

社交网络基本实现了把所有人连接在一起的野心,但人们的内心也变得粗糙了,对微妙的情绪失去了感知和共情。对于网络上爆出的很多事情和“瓜”,我们不再是单纯的就事论事,而是要立场坚定,诉诸动机。你的“屁股”一定不能歪。

对于安全事件的当事人,我们现在必须认为他有财务老板,有背景,动机不纯。我们无法想象有人会单纯为了钱或者利益而做出惊天动地的事情。

总统不得不承认,这种不可逆转的心态变化,也是因为其他几个铁一般的事实,教育了原本单纯的我们。

1999年,陈盈豪被抓时,台省连经济损失都找不到人起诉,也没有法律来规范这个新生事物,所以他被释放了。2003年6月25日,台湾省通过了“妨害计算机使用罪”的地方性法规,陈盈豪本人的意见也被纳入了立法程序。

2007年熊猫烧香的时候,情况就不一样了。李俊出于炫耀技术和在圈内交流的初衷,将原病毒挂在网上出售。一些购买的人植入了木马,将中毒的电脑变成了可以随意控制的“肉鸡”,游戏账号、虚拟物品、货币等在其中被盗取并提现。李俊因造成重大经济损失被判处四年徒刑。

事件发生后,陈盈豪和李俊都受雇于计算机安全厂商,但陈盈豪从此走上了人生的正道,而李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后,他参与开发了一款欺诈性的在线赌博游戏。2013年再次入狱,2015年出狱后从公众视野中消失。

对于无法通过正规渠道施展才华的民安人士来说,成为像梁山好汉那样的叛逆英雄,以非官方力量影响社会的大门已经关闭。

2016年7月,国内最大的计算机漏洞民间提交平台WooYun歇业,创始人方小顿等“高管被捕”。此前,一些用户提交了一个关于Wuyun.com婚恋网站“世纪佳缘”的漏洞。佳缘站曾认领漏洞,感谢平台。但没想到,佳缘一转头,就报警了。

像乌云、漏洞盒子这样的民间安全平台,活跃的人被称为“白帽子”,反对一心搞破坏的“黑帽子”。有时候,“白帽子”选择提前在安全圈小范围公开漏洞,而不是第一时间联系企业,会被企业认为是敲诈。如果“白帽子”试图通过进入数据库、复制信息来验证漏洞,其行为的“黑白”就更难界定了。

经过一番争论,业界接受了“白帽子”没有存在空间的现实。原本应该活跃在乌云等地的安全专家,大多被360、Chianxin、腾讯、阿里等厂商“招募”了。在大厂的羽翼下,他们把自己的舞台定义为国内外的网络安全大赛,为国争光。

在故事的最后,我们来谈谈1999年在深圳认识CIH的那个年轻人,他是一名网络管理员。

林兴禄加入海威时只有17岁。此后,他去了恒基兆业,在那里“传呼机、手机和商务通讯必不可少”,后来又和刘仁等人一起创办了DoNews。2007年,他的下一个创业项目265导航网址被卖给了谷歌。

作者:舒航,微信微信官方账号:国航通讯社(ID: LifeIsso Happy),微博:国航通讯社

本文由@杭通社原创发布。每个人都是产品经理。未经许可,禁止复制。

来自Unsplash的图像,基于CC0协议。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。

作者:美站资讯,如若转载,请注明出处:https://www.meizw.com/n/252707.html

发表回复

登录后才能评论