21 年前的 4 月 26 日：CIH 電腦病毒大爆發_風聞

航通社首發原創文章，未經授權禁止轉載。

書航 4 月 29 日發於北京

剛剛過去的 4 月 26 日是什麼日子，你還記得嗎？

這一天是“世界知識產權日”。清華大學慶祝了 109 週年校慶。切爾諾貝利核電站事故過去 34 年，如今遺址附近正遭遇一場森林大火，威脅到本就脆弱不堪的防輻射“石棺”。

讓更多 80 後記憶猶新的，恐怕不是切爾諾貝利，而是“切爾諾貝利病毒”。

歐美和日本都這麼稱呼這個電腦病毒，因為它在核事故的紀念日那天爆發。在中國，更多人熟悉病毒的本名，三個英文字母：CIH。

CIH 具備空前的破壞力，讓它在電腦病毒編年史上青史留名。除了摧毀硬盤數據，它是歷史上第一款能導致硬件損壞的病毒。以下就是有關這個病毒的故事。

**1.**1999 年，6000 萬台電腦中招

1999 年春節前後，在深圳“瀛海威時空”機房值班的林興陸，聽説有款國內開發的聊天軟件叫 OICQ，跟以色列人開發的 ICQ 很像，不同的是它支持很多可愛的卡通頭像。

林興陸下載到一個程序包，但殺毒軟件當即發現攜帶了當時頗為流行的 CIH 電腦病毒，他二話不説就刪除了。這次遭遇讓他比朋友們晚了將近一年，才開始使用 QQ。

https://mp.weixin.qq.com/s/oCf6CuqmpY0P4916cjrvbg

那個春節過後兩個多月，CIH 病毒迎來了第一次全球大規模爆發。

CIH 是病毒作者，台灣青年陳盈豪姓名的威妥瑪拼音首字母，而將病毒定在 4.26 觸發也不是為了紀念切爾諾貝利事故，僅僅因為那是 1.0 版完工的日子：1998 年 4 月 26 日。

在 1998 年剩下來的日子裏，CIH 病毒以各種意想不到的方式傳播到世界各地。

1998 年 9 月，日本雅馬哈公司生產的電腦光驅 CD-R400 被發現驅動程序帶有 CIH 病毒。10 月，還沒跟暴雪合併的動視（Activision）發現其第一人稱射擊遊戲《原罪》（SiN）一個在網上傳播的版本帶有 CIH。

1999 年 3 月，IBM 個人電腦品牌 Activa 宣佈，它們在美國銷售的幾千台電腦一出廠就帶有 CIH。此時距離 26 日的發作日只有一個月。無人知曉購買這些電腦的用户是否遭受了損失。

http://www.cnn.com/TECH/computing/9904/08/aptivirus.idg/index.html

這些消息預示着即將到來的爆發是一場巨大的災難。

事發後第二天的 4 月 27 日，韓國科學技術信息通信部估計該國 800 萬台電腦中有 2-3% 感染，即 24 萬台電腦。但當地反病毒軟件開發商估計中毒電腦多達 60 萬台，位於大約 1000 傢俬企、200 個公共事業單位以及 300 所大學。

新華社稱，中國大陸有超過 10 萬台電腦受到影響，其中 5% 以上嚴重受損。中國最大的殺毒軟件製造商瑞星總經理、總工程師劉旭説，“從昨天開始，我們所有的電話都忙得不可開交。”報道稱國內發現的病毒有三個變種，分別在 4 月 26 日、6 月 26 日和每月 26 日發作。

https://web.archive.org/web/20080611075404/http://www.cnn.com:80/TECH/computing/9904/27/computers.asia.virus/

此外，安防公司 Data Fellow Inc. 初步統計，香港有 100 台機器，新加坡有 200 台，印度有 10 家"大公司"，另有英國、瑞典、日本、馬耳他、芬蘭和新西蘭的客户受到感染。

與亞洲相比，CIH 在歐美造成的破壞總體上不大；但你不要對波士頓學院（Boston College）的學生們這麼説，因為他們損失的是期末論文的手稿。

波士頓學院的學生顯然沒有理會該校 IT 部門幾周前發出的警告。爆發是如此糟糕，以至於學校敦促學生在 27 日之前不要打開電腦。一位波士頓學院計算機實驗室的員工説，

“午夜剛過，人們開始打電話説‘我的電腦不再知道它是一台電腦了’。誰説這沒什麼大不了的，我真希望他們過來看看。”

https://web.archive.org/web/20000817115945/http://www.zdnet.com/zdnn/stories/news/0,4586,2248082,00.html

最終統計顯示，CIH 病毒造成全球 6000 多萬台電腦被破壞，其中包括中國大陸 36 萬台計算機和數萬台服務器癱瘓，直接經濟損失為：事業單位 1.6 億元、企業損失超過 10 億元，個人損失 2000 萬元（以購買力計算，當時的人民幣金額放到現在要乘上 4-7 倍）。

http://www.people.com.cn/shelunku/dqxy1999/a1220.html

土耳其、孟加拉、新加坡、馬來西亞、俄羅斯等地均有不少電腦受損，而損失最為嚴重的是韓國，有 25 萬台電腦中毒，損失超過當時的 2.5 億美元。

https://www.sophos.com/en-us/press-office/press-releases/2004/04/va_cihfive.aspx

全球 6000 萬台，境內 36 萬台是什麼概念？CNNIC 互聯網調查顯示，截止 1999 年 7 月，中國大陸全境只有 146 萬台聯網的電腦。

http://www.cac.gov.cn/files/pdf/hlwtjbg/hlwlfzzkdctjbg004.pdf

**2.**CIH 的工作原理

CIH 中毒發作時的症狀就是突然死機或無法開機，而問題的成因卻比其它當時已知的電腦病毒都要複雜。它的破壞目標除了硬盤數據，還有主板 BIOS 固件。

不要説當時了，就算現在看來，如何讓一小段代碼破壞硬件，也是聽來很神奇的一件事。所以社長想花點篇幅，儘可能通俗地講一下病毒的工作原理。

①****怎樣破壞

BIOS 是在我們熟知的 Windows 等操作系統更下面一層，控制電腦基本輸入 / 輸出的一段程序，存儲在主板上的一個小芯片裏。它在開機時最先運行，只有它檢測到鍵盤、顯示器等正常工作，你接下來才能正常使用電腦。近幾年，BIOS 已經逐漸被更高級的 UEFI 替代，正是這一點讓大多數近幾年生產的電腦只能安裝 Windows 10，而無法降級到 Win7 或者 XP。

90 年代後期，絕大多數電腦採用英特爾“奔騰”處理器（CPU）和 Windows 95/98/ME 系統。在這樣的電腦中，一些主板廠商允許在 Windows 裏下載和更新 BIOS，這被稱為“固件升級”。固件升級存在風險，一旦失敗或中途斷電，電腦將不能啓動。

CIH 病毒發作時，會調用 CPU 的最高權限，嘗試將垃圾信息寫入硬盤和 BIOS。一旦 BIOS 遇襲就相當於“固件升級失敗”，通常就只能更換 BIOS 芯片或者整個主板了。

病毒要想“買通”CPU 必須先經過操作系統的“允許”。CIH 病毒在 Win9X 系統裏橫行無阻，但 Windows NT/2000/XP 及以後的系統，提供了針對性的保護機制，所以對 CIH 天然“免疫”。

現在裝個微信會吃掉至少 500MB 硬盤空間，但林興陸那時下載的 OICQ 程序，只有區區 200KB。CIH 通過感染 .exe 結尾的應用程序來傳播，所以它更小，只有 800 多個字節。

當它感染程序文件時，甚至會把不到 1KB 的程序代碼分割成幾個部分，分別寫入程序中各段尚未填滿的地方。這樣一來，帶毒的程序跟未染毒時相比，看不出大小的變化。它只能用殺毒軟件檢測到。因為這個特性，CIH 又有一個綽號叫“空間填充者（Spacefiller）”。

因為殺毒廠商早已第一時間跟進，所以林興陸可以發現並處理它。但當時的殺毒軟件都是收費的，而且運行時會讓系統變得很卡頓，很多用户嫌麻煩並不想安裝，就讓電腦那麼“裸奔”着。更不用説，當時盜版的操作系統和軟件也廣泛流傳。

肉眼無法分辨的隱蔽性，加上大多數用户使用 Win9X 系統，缺乏安全意識，共同造成了病毒在 1999 年的大爆發。

②****如何修復

我們現在知道，CIH 感染電腦的機理並沒有那麼難以理解，運氣好的話，甚至可以恢復絕大部分硬盤數據。但在大爆發剛開始時，人們對它的認識不充分，很多人恐慌性格式化硬盤，造成了進一步損失。

CIH 病毒會在硬盤的第一個分區中從第 0 扇區開始，寫入 1MB 字節的空數據。而這最初的 1MB 包含了分區表（MBR）、文件分配表（FAT）、啓動扇區等部分。它們介紹了這塊硬盤上的空間被如何劃分，單個文件又是如何被分配存儲在不同的空間裏。

如果一塊硬盤被分成多個區（即 C、D、E……盤），恢復驅動器的分區表將立即恢復各個分區。雖然 CIH 病毒對第一個分區造成廣泛損壞，但後續分區完全完好無損。

在採用更新的 FAT32 文件系統時，其分區表大小比當時流行的 FAT16 大很多，所以在 FAT32 的硬盤分區感染 CIH 還有一定機率會保住第一個分區的數據。

因此，安全專家史蒂夫·吉布森（Steve Gibson）編寫了完全免費的硬盤數據恢復工具。他收到了網上雪片一般的感謝信。

https://www.grc.com/cih-letters.htm

但是，病毒侵入 BIOS 芯片會造成永久和不可修復的損壞。好在 BIOS 和硬盤上的數據是相互區隔的。對病毒“易感”的 BIOS 芯片屬於英特爾一種特定芯片組的主板，且沒有加裝阻止隨意“刷機”的保護措施。

CIH 事件後，新出的主板一般都加入了硬件跳線，用户要對 BIOS 下手之前必須拆開機箱。技嘉還推出了一款有兩塊 BIOS 芯片的主板，其中一片純粹是備用，成為那個時代的特殊記憶。

2000 年之後，CIH 還繼續有傳播和小規模發作，但總體上，隨着專殺工具的普及，FAT32 文件系統和 Windows XP 的流行，病毒走向了自然消亡。

**3.**21 年間，公眾沒怎麼吸取教訓

要不是眾多用户使用舊版、盜版系統，沒有殺毒軟件，缺乏安全意識，CIH 在 1999 年造成的慘劇是完全可以避免的。

公眾對電腦安全的重視可以説是“一陣一陣的”，更多受到他們獲取信息的影響。

同一時期，正值“千年蟲”（Y2K）問題鬧得沸沸揚揚，給媒體渲染得像是世界末日來臨。所以當時的電腦大多數都為“千年蟲”做了排查。諷刺的是，有些電腦卻因為沒那麼顯眼的 CIH 倒在了“黎明前的黑暗”中。

令人遺憾的是，20 多年過去了，人們並沒有吸取教訓，導致這種漏洞本已被修補，卻仍然中招的情況，又重演了多次。

2001 年 7 月，紅色代碼（Code Red）病毒在不到一週感染了近 40 萬台網絡服務器，傳到多達 100 萬台普通電腦上。在發作前一個多月，微軟已經針對性地打過補丁。

大名鼎鼎的勒索病毒 WannaCry，2017 年 5 月出現，幾天之內就感染了 150 個地區超過 20 萬台電腦，黑客索要價值 300 美元的比特幣，解鎖用户電腦上的文件。

WannaCry 基於 Windows XP 系統的“永恆之藍”漏洞。當時 Windows XP 已經停止技術支持三年之久，但大多數中招電腦出於種種原因，堅持使用 XP。微軟不得不打破慣例，為早已“入土”的 XP 系統打補丁。

發現此漏洞的是美國的情報機構，他們並沒有及時告知公眾，而是以此為基礎開發了一些“電子戰”武器。萬萬沒想到，還沒等投入實戰，同樣的漏洞卻被野生黑客圈子捕獲，並第一時間用作對平民的襲擊。

在 WannaCry 的廣大受害者當中，包括美國的盟友英國，該國公立醫院系統 NHS 損失慘重。《好奇心日報》總結説：“只要漏洞存在就有危險，不管它當初是為誰留的。”

https://mp.weixin.qq.com/s/66VM1LeeRlibMYp1y6AvFQ

**4.**病毒的演進：從炫技到斂財

普通電腦用户的安全意識一如既往地差，但 WannaCry 體現出現代計算機安全威脅和古典病毒時代的巨大差異。

2006 年是計算機病毒發現 20 週年。InformationWeek 做的歷史上 10 大最具破壞力的病毒排行中，CIH 名列前茅。同樣上榜的“愛蟲”（I Love You）、紅色代碼、衝擊波（Blaster）和震盪波（Sasser）都説明蠕蟲和宏病毒是當時電腦病毒的絕對主流。

https://www.informationweek.com/the-10-most-destructive-pc-viruses-of-all-time/d/d-id/1044662

2018 年，英國《每日電訊報》又做了一次十大病毒評選。此時，勒索病毒與挖礦病毒成為了新的關注焦點。新時代的病毒不再着眼於純粹的惡作劇或文件破壞，而是盜取用户隱私，偷竊賬户密碼，最終都以賺錢斂財為目的。

https://www.telegraph.co.uk/technology/0/top-10-worst-computer-viruses2/

當今病毒還進化出更為險惡的新形式：感染供應鏈。

​Xcode 是開發蘋果 Mac 和 iOS 軟件的必備工具。2015 年 9 月，一些開發者發現其使用的 Xcode 攜帶惡意代碼。經被污染的 Xcode 編譯出的 App 將向指定網址回傳用户信息，並有彈窗攻擊和遠程控制的危險。

Xcode 本可通過 Mac 應用商店等官方渠道下載。然而因為眾所周知的原因，中國大陸訪問蘋果官網速度很慢，大小為 8GB 的 Xcode 安裝包幾乎不可能直接下載，給了不懷好意的國內鏡像站以可乘之機。

著名的遊戲開發工具 Unity 3D、Cocos 2d-x 也被發現有供應鏈污染，一週之內累計發現共 692 種手機 App 的 858 個版本曾受到污染，包括了微信、滴滴、網易雲音樂、鐵路 12306 等著名應用。

https://www.antiy.com/response/xcodeghost.html

2018 年，另一款“微信支付”勒索病毒首先植入被大量開發者使用的“易語言”編程工具，進而進入編寫出來的各種軟件產品，使用這些軟件的 10 多萬台終端電腦被感染。該病毒活躍的染毒軟件超過 50 款，其中多數是“薅羊毛”類”灰色“軟件。

https://mp.weixin.qq.com/s/ZQqlpEShznOUcbI7gEVG1g

**5.**告別草莽英雄，世上再無“善意”病毒作者

1998 年 4 月 30 日，CIH 病毒作者陳盈豪被台北警方帶走問話。他時年 23 歲，在服兵役。面對記者的閃光燈包圍，他差點癱倒在地。當時的新聞報道説，辦案人員打開了審訊室的電腦讓他上網，而他看到電腦就精神煥發，恢復了常態，跟幾分鐘前判若兩人。

http://safe.zol.com.cn/115/1157209.html

陳盈豪日後回憶説，作為實驗程序，CIH 被存儲在校內自用的主機上，並加上了“病毒”的警告。他的本意並不是為了造成破壞，但在他不知情的狀況下，他的同學用了那台電腦，將病毒帶出。“不然誰會用自己的名字，去命名一個病毒？”

https://www.geekpark.net/news/212936

世紀之交的電腦網絡是大人們完全不瞭解的世界，社會擔心孩子沉入電腦世界，與現實生活脱節。報紙上寫着《電腦遊戲——瞄準孩子的“電子海洛因”》。能上網的孩子，就被家長一直唸叨網上有很多壞人，玩 ICQ 聊天室交友要小心。

http://www.people.com.cn/GB/channel1/13/20000509/58873.html

這種情況下的陳盈豪，被警方認為是：

“通常個性非常偏激，他們不善於人際交往，對社會現狀往往也不滿意，但一旦進入電腦世界，他們就反應敏捷，表現出超出常人一等的天分。陳盈豪就是這種電腦人，俗稱‘電腦自閉症’。這種人如果不能善加輔導，而被不法組織利用的話，那麼對社會將會造成巨大的危害。”

2006 年底，另一款造成了大規模破壞的惡性病毒“熊貓燒香”以中國大陸為震中輻射開來。病毒作者李俊也是年輕人，最高學歷只有中專。他曾寫信給筆友，説最遺憾的事情是“沒有上大學”。

李俊去過北京和廣州找工作，因為學歷被瑞星和金山等許多公司拒之門外。李俊覺得用病毒攻擊別人電腦沒什麼意思，他就是“想打公司的臉”。最初的原版病毒只是惡作劇，並不會破壞數據，病毒是在之後的變異傳播過程中變得惡性的。

https://mp.weixin.qq.com/s/2qxYjIJ_1Q7-JfkrONDdtw

和陳盈豪類似，李俊在電腦世界也獲得了很大的成就感。他曾參加國內黑客組織“中國紅客聯盟”，在 2001 年中美撞機事件、日本前首相參拜靖國神社期間，與中國其他網絡高手聯合攻擊美國和日本的網站。但李俊在現實世界中並不如意，月收入不足千元。

當時的社會輿論對李俊遭遇的學歷歧視感到同情。《中國青年報》評論説：“我們的社會不缺少李俊這樣的人才，但我們不希望他們被稱為人才的代價是給社會帶來危害。”

當年，我們能相信陳盈豪真的是太沉浸在自我的小世界了，能相信李俊真的是因為找不到工作不甘心，最重要的是，能相信他們的本意不是壞的。

時光荏苒，公眾的安全意識仍然一塌糊塗，但公眾的心態卻發生了滄海桑田的變化。沒有人再會“傻”到去相信一個造成巨大損失的人”不是故意的“。

——啊，還有，你敢同情罪犯？“如果同情了罪犯，誰來同情受害者？”

社交網絡基本上實現了把所有人連接在一起的宏願，但人們的心也被磨得粗糲，失去了對細微情緒的感知和共情。對網上爆出的很多事情，很多“瓜”，我們不再單純就事論事，而是一定要立場堅定，訴諸動機。你的“屁股”，一定不能是歪的。

對安全事件的當事人，我們現在一定先入為主地認為他有金主、有後台，動機不純。我們已經無法想象有人會單純的不為錢不為利，做什麼驚天動地的事情。

社長不得不承認，這種不可逆轉的心態改變，也是因為其它幾個鐵一般的事實，教育了原本還單純的我們。

在陳盈豪被捕的 1999 年，台灣全省甚至找不出有人因為經濟損失要起訴的苦主，再加上也沒有法律規管這一新生事物，所以他就這麼被釋放了。2003 年 6 月 25 日，台灣省通過“妨害電腦使用罪”的地方法規，立法過程還參考了陳盈豪本人的意見。

https://law.moj.gov.tw/LawClass/LawParaDeatil.aspx?pcode=C0000001&bp=53

到了 2007 年“熊貓燒香”肆虐時，情況就不一樣了。李俊出於炫技和圈子內交流的本意，將病毒原件掛上網出售。買到的人則植入木馬，將中毒電腦變為可隨意控制的“肉雞”，其中游戲賬號、虛擬物品、貨幣等被盜取並提現。因為造成重大的經濟損失，李俊被判處有期徒刑 4 年。

陳盈豪和李俊在事發後都得到電腦安全廠商的錄用邀請，但陳盈豪此後走上人生正道，李俊卻沒能擺脱賺快錢和一夜暴富的誘惑。出獄後，他又參與開發了一款有詐騙性質的網絡賭博遊戲，2013 年再次入獄，2015 年出獄後，在公眾視野消失。

對難以通過正規渠道大顯身手的民間安全人士而言，像梁山好漢一樣做草莽英雄，以非官方之力影響社會的大門，已經關閉。

2016 年 7 月，當時中國最大的計算機漏洞民間提交平台烏雲（WooYun）停業，創始人方小頓等“多名高管被抓”。此前，有用户在烏雲網提交了關於婚戀網站“世紀佳緣”的漏洞，世紀佳緣站方曾認領漏洞並向平台致謝。但出乎意料的是，世紀佳緣一轉頭，就報了警。

https://weibo.com/ttarticle/p/show?id=2309351000354002161221567004

像烏雲、漏洞盒子這樣的民間安全平台，其上活躍的人士被稱為“白帽子”，與一心搞破壞的“黑帽子”相對。有些時候，“白帽子”選擇事先在安全圈內小範圍公開漏洞，而不是第一時間聯繫企業，這會被企業認為是在敲詐。如果“白帽子”驗證漏洞時有進入數據庫複製信息等擦邊球行為，則其行為的“黑白”則更不好界定。

一番爭議過後，業界接受了“白帽子”沒有存在餘地的現實。本來應該活躍在烏雲等地的安全專家，大部分被 360、奇安信、騰訊、阿里等廠家“招安”。在大廠的羽翼下，他們把自己的舞台界定為一場場國內外的網絡安全大賽，為國爭光。

故事的最後，要説一下那個 1999 年在深圳當網管，與 CIH 偶遇的小夥子。

林興陸加入瀛海威時只有 17 歲，此後他又去了那個“呼機、手機、商務通，一個都不能少”的恆基偉業，再後來跟劉韌等人一起發起了 DoNews。2007 年，他的下一個創業項目 265 導航網址賣給了谷歌。