1999年4月26日,全球数十万Windows电脑在同一时刻"死亡"——硬盘被清空,主板BIOS被刷入乱码。这场灾难的源头,竟是一个台湾大学生出于"技术实验"写出的1KB小程序。
这个叫CIH的病毒,后来有了更广为人知的名字:"切尔诺贝利"。不是因为它的破坏力堪比核事故,纯粹是触发日期撞上了1986年切尔诺贝利核泄漏的纪念日。
藏在缝隙里的1KB幽灵
陈盈豪,大同大学学生,1998年写出了CIH。他的核心创新是一种"空间填充"技术——病毒不附着在文件末尾,而是钻进可执行文件(EXE)代码段之间的空隙。
传统病毒会膨胀文件体积,杀毒软件靠监控文件大小变化就能发现。CIH反其道而行:它把约1KB的载荷拆成碎片,塞进Windows可移植可执行文件(PE文件)的闲置间隙。感染后的文件大小完全不变,当时的主流杀毒工具集体失效。
更隐蔽的是传播机制。CIH利用漏洞从处理器环3(用户态)跃升到环0(内核态),获得系统最高权限后,劫持文件系统调用。用户每打开一个EXE,病毒就悄无声息地感染它。整个过程无弹窗、无卡顿、无痕迹。
但它有个致命局限:只针对Windows 95、98、ME。基于NT架构的系统(包括后来的Windows 2000/XP)完全免疫。这个技术边界,也暗示了微软后来彻底抛弃DOS内核的决策逻辑。
1999年4月26日:定时引爆
CIH的破坏分两层。第一层是数据层:触发日到来时,病毒用乱码覆盖硬盘前2048个扇区,包括主引导记录(MBR)。普通用户的数据恢复手段几乎全部失效。
第二层更狠——硬件层攻击。CIH直接向主板BIOS芯片刷入垃圾数据。当时的BIOS采用可擦写闪存,但刷新机制缺乏保护验证。一旦BIOS被破坏,电脑连开机自检都无法完成,屏幕漆黑,风扇空转,变成真正的"砖头"。
修复需要拆机,用编程器重新烧录BIOS芯片,或者找厂商更换主板。对普通用户而言,这等同于整机报废。
据估计,CIH感染了约6000万台电脑,造成约4000万美元商业损失。但真实数字难以核实——许多受害者来自盗版软件渠道,根本不会公开报案。
盗版光盘:病毒的高速公路
CIH的全球扩散,本质是1990年代末软件分发体系的漏洞暴露。
1998年夏天,病毒通过盗版软件渠道大规模传播。但讽刺的是,部分感染源来自"正规"商业软件——当时光盘刻录厂的母盘被污染,正版软件反而成了传播媒介。这种供应链攻击的模式,二十多年后仍在被高级持续威胁(APT)组织使用。
陈盈豪本人从未被起诉。台湾当时缺乏针对计算机犯罪的法律条款,他的行为被定性为"学术实验"。事后他公开道歉,并协助杀毒软件公司开发专杀工具。这个结局与后来各国对黑客的严厉追诉形成鲜明对比。
为什么现代恶意软件不再这样干?
CIH的破坏模式在今天几乎绝迹,不是因为黑客变仁慈了,而是技术架构和犯罪经济学的双重转变。
硬件层面,现代BIOS/UEFI有写保护机制,系统运行时不允许随意刷新固件。操作系统层面,Windows Vista后引入的用户账户控制(UAC)、驱动签名强制、PatchGuard内核保护,让环0级别的任意代码执行变得极其困难。
但更深层的原因是:破坏硬件对攻击者没有收益。
CIH时代,病毒制造者的动机多为技术炫耀或报复社会。而当代恶意软件产业高度专业化——勒索软件要留活口才能收赎金,挖矿木马需要长期潜伏榨取算力,APT组织追求隐蔽持久而非瞬间破坏。把电脑变砖,等于烧毁自己的资产。
CIH的"自我毁灭"设计,恰恰证明它诞生于犯罪产业化之前。一个有趣的对比:2024年发现的"CanisterWorm"蠕虫,会按时区精准清除伊朗机器数据,但攻击者至今未提出任何勒索或政治诉求——这种"无目的破坏"反而让安全分析师困惑,因为它违背了现代威胁的基本逻辑。
遗留的幽灵:空间填充技术为何重生?
CIH最核心的技术创新——空间填充(Space Filling)——并未随病毒本身消亡。
2024年曝光的"Zombie ZIP"漏洞,利用ZIP文件格式的解析差异,让恶意代码藏身于压缩包的结构缝隙中。测试显示,95%的杀毒软件套件被绕过。这与CIH二十五年前的手法如出一辙:不是加密躲藏,而是利用文件格式的"灰色地带"。
