win32专杀(win32蠕虫病毒专杀工具)

CIH拥有空之前的破坏力，这让它在计算机病毒的编年史上名声大噪。本文详细介绍了CIH计算机病毒。

最后一次4月26日是什么时候？你还记得吗？

这一天是“世界知识产权日”。清华大学庆祝109周年校庆。切尔诺贝利核电站事故发生三十四年后，现场附近发生森林大火，威胁到脆弱的防辐射石棺。

让更多80后记忆犹新的恐怕不是切尔诺贝利，而是“切尔诺贝利病毒”。

欧美日都称这种电脑病毒，因为它是在核事故纪念日爆发的。在中国，更多的人熟悉这种病毒的真实名字，三个英文字母:CIH。

CIH拥有空之前的破坏力，这让它在计算机病毒的编年史上名声大噪。除了破坏硬盘数据，它还是历史上第一个可以造成硬件损坏的病毒。以下是关于这种病毒的故事。

01 1999 年，6000 万台电脑中招

1999年春节前后，在深圳“瀛海威视空”机房值班的林兴禄听说有一款国产聊天软件叫OICQ，和以色列人开发的ICQ很像，只是支持很多可爱的卡通头像。

林兴禄下载了一个包，但是杀毒软件马上发现里面携带了当时相当流行的CIH电脑病毒。他二话不说就删了。这次遭遇让他比朋友晚用了近一年的QQ。

春节过后两个多月，CIH病毒迎来了首次全球大规模爆发。

CIH是病毒作者台省青年陈盈豪名字中Witoma拼音的第一个字母，而病毒在4月26日被触发并不是为了纪念切尔诺贝利事故，只是因为那是1.0版本完成的日期:1998年4月26日。

在1998年剩下的日子里，CIH病毒以各种意想不到的方式蔓延到全世界。

1998年9月，日本雅马哈公司生产的计算机CD-R400被发现在其驱动程序中含有CIH病毒。10月份，尚未与暴雪合并的动视发现，其在网上传播的第一人称射击游戏《罪恶》的一个版本有CIH。

1999年3月，IBM个人电脑品牌Activa宣布，在美国销售的数千台电脑一出厂就带有CIH病毒。此时，距离26日的攻击日期只有一个月的时间。没有人知道购买这些电脑的用户是否遭受了损失。

这些消息表明即将爆发的疾病是一场大灾难。

4月27日，也就是事件发生的第二天，韩国科学技术信息通信部估计，全国800万台电脑中有2-3%被感染，即24万台电脑。然而，当地反病毒软件开发商估计，中毒电脑多达60万台，分布在大约1000家私营企业、200家公共事业单位和300所大学。

新华社称，中国大陆有超过10万台电脑受到影响，其中超过5%的电脑严重受损。中国最大的杀毒软件制造商瑞星公司总经理兼总工程师刘旭说:“从昨天开始，我们所有的手机都忙得不可开交。”据报道，在中国发现的病毒有三种变种，分别在4月26日、6月26日和每月26日发作。

另外，根据安全公司Data Fellow Inc的初步统计，香港有100台，新加坡有200台，印度有10家“大公司”。此外，英国、瑞典、日本、马耳他、芬兰和新西兰的客户也受到感染。

相比亚洲，CIH在欧美造成的伤害普遍较小；但是不要对波士顿学院的学生这么说，因为他们弄丢了期末论文的手稿。

波士顿学院的学生显然忽视了该校IT部门几周前发出的警告。疫情非常严重，学校敦促学生在27日之前不要打开电脑。波士顿学院计算机实验室的一名员工说，

“刚过午夜，人们就开始打电话说，‘我的电脑已经不知道它是电脑了’。谁说没什么大不了的？真希望他们来看看。”

据最终统计，CIH病毒已经在全球范围内摧毁了6000多万台电脑，其中包括中国大陆的36万台电脑和数万台服务器。直接经济损失为:事业单位1.6亿元，企业10多亿元，个人2000万元(按购买力计算，当时的人民币金额要乘以现在的4-7倍)。

土耳其、孟加拉、新加坡、马来西亚、俄罗斯等地多台电脑受损，损失最严重的是韩国，25万台电脑中毒，当时损失超过2.5亿美元。

全球6000万台，国内36万台是什么概念？CNNIC互联网调查显示，截至1999年7月，中国大陆只有146万台联网计算机。

02 CIH 的工作原理

CIH中毒的症状是突然崩溃或无法启动，但问题的原因比当时已知的其他计算机病毒更复杂。它的破坏目标不仅是硬盘数据，还有主板BIOS固件。

不要说当时，就算是现在，如何让一小段代码毁掉硬件，听起来也很神奇。所以总统想花点时间尽可能通俗地讲一下病毒的工作原理。

1. 怎样破坏

BIOS是在Windows等众所周知的操作系统的底层控制计算机基本输入/输出的程序，存储在主板上的一个小芯片中。它在打开时首先运行。只有当它检测到键盘、显示器等。你能正常使用电脑吗？近年来，BIOS逐渐被更先进的UEFI取代，这使得近年来生产的大部分电脑只能安装Windows 10，而不能降级到Win7或XP。

20世纪90年代末，大多数计算机采用英特尔奔腾处理器(CPU)和Windows 95/98/ME系统。在这类电脑中，部分主板厂商允许在Windows中下载更新BIOS，这种方式称为“固件升级”。固件升级有风险，一旦中途出现故障或断电，电脑将无法启动。

当CIH病毒爆发时，它会调用CPU的最高权限，试图将垃圾信息写入硬盘和BIOS。一旦BIOS被攻击，相当于“固件升级失败”。通常只能更换BIOS芯片或者整个主板。

病毒要想“买”CPU，首先要经过操作系统的“许可”。CIH病毒在Win9X系统中肆虐，但Windows NT/2000/XP及以后的系统都提供了针对性的防护机制，所以对CIH自然是“免疫”的。

现在安装微信至少会吃掉500MB硬盘空，而林兴禄当时下载的OICQ程序只有200KB。CIH是通过在年底感染应用程序传播的。exe，所以它更小，只有800多字节。

当它感染一个程序文件时，甚至会把1KB以下的程序代码分成几个部分，写入程序的未填充部分。这样，与未被感染的程序相比，被感染程序的大小没有变化。只能用杀毒软件检测。因为这个特性，CIH还有一个昵称“空 Spacefiller”。

因为杀毒厂商已经第一时间跟进，林兴禄可以发现并处理。不过当时杀毒软件是收费的，运行时间会让系统运行很慢。很多用户嫌麻烦，不想安装，就让自己的电脑“裸奔”。不用说，盗版操作系统和软件在当时也是广为流传。

肉眼无法分辨的隐蔽性，加上大部分用户使用Win9X系统，安全意识不足，造成了1999年的病毒爆发。

2. 如何修复

现在我们知道CIH感染计算机的机制并不那么难理解。如果幸运的话，我们甚至可以恢复大部分硬盘数据。但是在爆发之初，人们对它的认识还不够，很多人惊慌失措，格式化硬盘，造成了更大的损失。

CIH病毒会将1MB的空数据写入硬盘的第一个分区，从0扇区开始。第一个1MB包括分区表(MBR)、文件分配表(FAT)、引导扇区等。它们描述了该硬盘上的空房间是如何划分的，以及各个文件是如何分配和存储在不同的空房间中的。

如果硬盘被分成多个分区(即C、D、E，…)，恢复驱动器的分区表会立即恢复每个分区。尽管CIH病毒对第一个分区造成了大范围的破坏，但随后的分区却完好无损。

当采用更新的FAT32文件系统时，其分区表大小比当时流行的FAT16要大得多，所以在FAT32的硬盘分区中，如果CIH被感染，第一个分区的数据还是有一定几率被保留下来的。

因此，安全专家史蒂夫·吉布森(Steve Gibson)编制了一个完全免费的硬盘数据恢复工具。他在网上收到了一封感谢信。

但是，病毒侵入BIOS芯片会造成永久性的、不可修复的损害。好在BIOS和硬盘上的数据是分开的。“易受”病毒感染的BIOS芯片属于英特尔特定芯片组的主板，没有防止随意“刷机”的保护措施。

CIH事件后，新的主板普遍配备了硬件跳线，用户必须在启动BIOS前拆卸机箱。技嘉还推出了带有两个BIOS芯片的主板，其中一个纯粹是备用的，成为那个时代的专用内存。

2000年后，CIH继续蔓延，有小规模攻击，但总体来说，随着查杀工具的普及，FAT32文件系统和Windows XP的普及，病毒走向了自然灭绝。

03 21 年间，公众没怎么吸取教训

如果许多用户没有使用旧的盗版系统，没有杀毒软件，缺乏安全意识，1999年CIH造成的悲剧本来是完全可以避免的。

对公共计算机安全的强调可以说是“断断续续”的，更多的是受他们获取信息的影响。

与此同时，“千年虫”问题肆虐，媒体渲染得好像世界末日到了。所以当时大部分电脑都是检查“千年虫”的。具有讽刺意味的是，一些计算机因为不太显眼的CIH而陷入了“黎明前的黑暗”。

遗憾的是，20多年过去了，人们并没有吸取教训，造成了这个漏洞已经修好，但还是被抓住的局面，而且还反复了很多次。

2001年7月，Code Red team病毒在不到一周的时间内感染了近40万台网络服务器，并传播到多达100万台普通电脑。攻击前一个多月，微软就有针对性的打补丁。

著名勒索软件WannaCry出现在2017年5月。几天之内，它感染了150个地区的20多万台电脑。黑客要求价值300美元的比特币来解锁用户电脑上的文件。

WannaCry基于Windows XP系统的“永恒之蓝”漏洞。当时Windows XP已经停止了三年的技术支持，但是大部分被招聘的电脑都因为各种原因坚持使用XP。微软不得不打破常规，给早已“埋没”的XP系统打补丁。

是美国情报机构发现了这个漏洞。他们没有及时告知公众，而是以此为基础开发了一些“电子战”武器。没想到，在实战前，同样的漏洞被野黑客圈捕捉到，并首次用作对平民的攻击。

在WannaCry的受害者中，包括美国的盟友英国，该国的公立医院系统NHS损失惨重。《好奇心日报》总结道:“只要有漏洞，就有危险，不管它原本是留给谁的。”

04 从炫技到敛财，病毒进入“新时代”

普通计算机用户的安全意识一如既往的差，但WannaCry反映了现代计算机安全威胁与经典病毒时代的巨大差异。

2006年是计算机病毒发现20周年。CIH被《信息周刊》列为历史上十大最具破坏性的病毒之一。同样是《我爱你》，榜单上的红队、Blaster、Sasser，都说明蠕虫和宏病毒是当时计算机病毒的绝对主流。

2018年，英国《每日电讯报》又进行了一次十大病毒评选。此时，勒索病毒和挖矿病毒成为新的关注焦点。新时代的病毒不再专注于纯粹的恶作剧或文件破坏，而是窃取用户的隐私和账户密码，目的都是为了赚钱和收钱。

新时代病毒也进化成了更险恶的新形式:感染供应链。

Xcode是开发苹果Mac和iOS软件的必备工具。2015年9月，有开发者发现自己使用的Xcode带有恶意代码。被污染的Xcode编译的App会将用户信息发回指定的URL，存在弹窗攻击和远程控制的风险。

Xcode本来可以通过Mac App Store等官方渠道下载。但是由于众所周知的原因，中国大陆访问苹果官网的速度非常慢，8GB大小的Xcode安装包几乎无法直接下载，这就给了无良的国内镜像站可乘之机。

著名的游戏开发工具Unity 3D和Cocos 2d-x也被发现供应链被污染。一周内，共有858个版本的692款手机app被发现受到污染，其中包括微信、滴滴、网易云音乐、铁路12306等知名应用。

2018年，另一个“微信支付”勒索病毒首先被植入大量开发者使用的“易语言”编程工具，然后进入编写的各种软件产品。超过10万台使用这些软件的终端电脑被感染。活跃的被感染软件有50多个，其中大部分是“薅羊毛”和“灰色”软件。

05 告别草莽英雄，世上再无“善意”病毒作者

1998年4月30日，CIH病毒的作者陈盈豪被台北警方带走问话。他当时23岁，正在服兵役。面对记者的闪光灯，他差点瘫倒在地。当时新闻报道说，侦查员在审讯室打开电脑让他上网，但看到电脑，他精神一振，恢复正常。他和几分钟前完全不同。

陈盈豪后来回忆说，作为一个实验程序，CIH被存储在学校使用的主机上，并加上了“病毒”的警告。他不是故意造成损害，但在他不知情的情况下，他的同学用那台电脑带出病毒。”否则，谁会用自己的名字给病毒命名呢？”

世纪之交，计算机网络是一个成年人根本不知道的世界。社会担心孩子们会沉湎于电脑世界，与现实生活脱节。报纸上写着“电脑游戏——儿童电子海洛因”。会上网的孩子总被家长念叨网上坏人多。玩ICQ聊天室交友要小心。

在这种情况下，陈盈豪被警方认为是:

“通常，他们的性格都很极端。他们不善于人际交往，往往对社会现状不满。但一旦进入计算机世界，他们反应迅速，表现出超乎常人的一流天赋。陈盈豪就是这样一个电脑人，俗称‘电脑自闭症’。这种人如果不好好劝导，被非法组织利用，对社会危害很大。”

2006年底，恶性病毒中又一次“熊猫烧香”，造成大规模破坏，以中国大陆为震中辐射。病毒的作者李俊也是一个年轻人。他的最高学历只有中专。他曾写信给他的笔友，说最遗憾的事是“没有上大学”。

李俊去过北京和广州找工作，因为他的学历被很多公司拒绝，比如瑞星和金山。李俊认为用病毒攻击别人的电脑是没有意义的。他只是“想打公司的脸”。起初，最初的病毒只是一个恶作剧，它并没有破坏数据。病毒在随后的变异和传播过程中变得恶性。

像陈盈豪一样，李俊在计算机世界获得了巨大的成就感。他是中国黑客组织“中国红客联盟”的成员。在2001年中美撞机事件和日本前首相参拜靖国神社事件中，他与中国其他网络专家共同攻击了美国和日本的网站。但李俊在现实世界中并不满足，他的月收入不到1000元。

当时，舆论对李俊的学术歧视表示同情。《中国青年报》评论说，“我们的社会不缺像李俊这样的人才，但我们不希望他们以给社会带来危害为代价而被称为人才。”

那时候，我们可以相信，陈盈豪真的太沉浸在自己的小世界里了，李俊真的不愿意找工作了，最重要的是，他们的用心并不坏。

久而久之，大众的安全意识还是一塌糊涂，但是大众的心态已经发生了巨大的变化。没有人会“傻”到相信一个造成巨大损失的人“不是故意的”。

-哦，还有，你敢同情罪犯吗？”如果你同情罪犯，谁会同情受害者呢？”

社交网络基本实现了把所有人连接在一起的野心，但人们的内心也变得粗糙了，对微妙的情绪失去了感知和共情。对于网络上爆出的很多事情和“瓜”，我们不再是单纯的就事论事，而是要立场坚定，诉诸动机。你的“屁股”一定不能歪。

对于安全事件的当事人，我们现在必须认为他有财务老板，有背景，动机不纯。我们无法想象有人会单纯为了钱或者利益而做出惊天动地的事情。

总统不得不承认，这种不可逆转的心态变化，也是因为其他几个铁一般的事实，教育了原本单纯的我们。

1999年，陈盈豪被抓时，台省连经济损失都找不到人起诉，也没有法律来规范这个新生事物，所以他被释放了。2003年6月25日，台湾省通过了“妨害计算机使用罪”的地方性法规，陈盈豪本人的意见也被纳入了立法程序。

2007年熊猫烧香的时候，情况就不一样了。李俊出于炫耀技术和在圈内交流的初衷，将原病毒挂在网上出售。一些购买的人植入了木马，将中毒的电脑变成了可以随意控制的“肉鸡”，游戏账号、虚拟物品、货币等在其中被盗取并提现。李俊因造成重大经济损失被判处四年徒刑。

事件发生后，陈盈豪和李俊都受雇于计算机安全厂商，但陈盈豪从此走上了人生的正道，而李俊却没能摆脱赚快钱和一夜暴富的诱惑。出狱后，他参与开发了一款欺诈性的在线赌博游戏。2013年再次入狱，2015年出狱后从公众视野中消失。

对于无法通过正规渠道施展才华的民安人士来说，成为像梁山好汉那样的叛逆英雄，以非官方力量影响社会的大门已经关闭。

2016年7月，国内最大的计算机漏洞民间提交平台WooYun歇业，创始人方小顿等“高管被捕”。此前，一些用户提交了一个关于Wuyun.com婚恋网站“世纪佳缘”的漏洞。佳缘站曾认领漏洞，感谢平台。但没想到，佳缘一转头，就报警了。

像乌云、漏洞盒子这样的民间安全平台，活跃的人被称为“白帽子”，反对一心搞破坏的“黑帽子”。有时候，“白帽子”选择提前在安全圈小范围公开漏洞，而不是第一时间联系企业，会被企业认为是敲诈。如果“白帽子”试图通过进入数据库、复制信息来验证漏洞，其行为的“黑白”就更难界定了。

经过一番争论，业界接受了“白帽子”没有存在空间的现实。原本应该活跃在乌云等地的安全专家，大多被360、Chianxin、腾讯、阿里等厂商“招募”了。在大厂的羽翼下，他们把自己的舞台定义为国内外的网络安全大赛，为国争光。

在故事的最后，我们来谈谈1999年在深圳认识CIH的那个年轻人，他是一名网络管理员。

林兴禄加入海威时只有17岁。此后，他去了恒基兆业，在那里“传呼机、手机和商务通讯必不可少”，后来又和刘仁等人一起创办了DoNews。2007年，他的下一个创业项目265导航网址被卖给了谷歌。

作者:舒航，微信微信官方账号:国航通讯社(ID: LifeIsso Happy)，微博:国航通讯社

本文由@杭通社原创发布。每个人都是产品经理。未经许可，禁止复制。

来自Unsplash的图像，基于CC0协议。