历史上破坏性最强大的电脑病毒之一—“CIH”,感染全球6000万台电脑,间接造成10亿美元的损失。
计算机病毒
它不仅可以摧毁硬盘中的所有数据,还会改写部分主板的BIOS程序,导致主板故障无法启动。
你可能难以想象,这么厉害的电脑病毒,大小竟然不足1KB,其破坏性最强大的V1.2版本,大小仅仅只有1003个字节,而这个电脑病毒的创造者,则是一名来自*省的少年“陈盈豪”,CIH是他给自己取的英文名字。
硬盘内部
他为什么要制造CIH病毒呢?事情是这样发生的。。。。
和大多数小学生一样,1975年出生的陈盈豪在小学时期就非常向往电脑,于是他的父母就给他买了一台286,而我的父母给我买了一台卡带学习机。
电脑买回来之后,那肯定是要打游戏了,当然,也少不了被父母打,这期间的斗智斗勇,让陈盈豪对计算机的了解远远超过同龄人。
小霸王学习机
随着年龄的增长,一般的游戏已经没有诱惑力了,于是陈盈豪开始到处搜索下载更加刺激好玩的游戏,这一下载不要紧,很多电脑病毒跟着游戏就进入了电脑中,这让陈盈豪玩得非常不爽,于是他花钱购买了报纸上几款吹得天花乱坠的杀毒软件,结果屁用没有,这些杀毒软件简直就是在吹牛。
杀毒软件
陈盈豪有了一个想法,他想要制作一个电脑病毒让这些杀毒软件出出洋相。
98年5月,陈盈豪利用学习的BASIC和C语言编写了一个名为CIH的电脑病毒程序,最初的版本只有656字节,除了感染PE可执行程序,并没有什么其他的行为;
BASIC语言
经过几个版本的改进,又出现了1.2、 1.3 、1.4 四个版本;1.2版将会在每一年的4月26发作,1.3会在每一年的6月26发作,1.4则会在每月的26号发作,它们只会感染Windows95、98、WindowsME系统。
这4个版本都会在发作时,改写使用Intel 430TX芯片组主板的BIOS程序,导致主板损坏,并且用无效数据覆写硬盘的引导扇区或者整个硬盘,导致用户数据丢失。
BIOS FLASH(ROM)
陈盈豪将它伪装在一些盗版游戏中散布了出去,这些盗版游戏又被别人下载刻录成盗版光碟,传播到了世界各地。
CIH出现后一个月,各个版本就陆续被反病毒厂商发现,但是无法有效清除,CIH会使用Vxd技术将自身分割成几个部分并存放在可执行文件的空白段中,被感染的PE执行文件大小将不会发生改变,并且可以正常执行,在执行后CIH会将自己重新组装并且潜伏在内存中,等待发作。
代码
CIH还会利用Windows系统的SEH和IDT缺陷,获取到CPU RING0权限,这让CIH可以直接对硬件进行I/O操作,通过对BIOS FLASH施加特殊的逻辑电压,达到改写或清除BIOS程序的目的;也可以直接对硬盘进行覆写,使用硬盘分区表或其他数据彻底丢失。
CPU执行权限
1998年6月26日,CIH V1.3如期爆发,但是此时CIH尚未大规模感染,并未引起全世界的注意。
1998年7月,CIH开始在世界范围内大面积传播,感染用户的计算机。通过一个名为“飞行指挥员”的续集游戏传播到我国国内。
CIH报纸
1998年8月26日,CIH V1.4全球爆发,我国*部,新华社,CCTV发出警示。
1999年4月26日,CIH 1.2 再次爆发,全球超过6000万台运行Windows的计算机遭到不同程度的破坏。
2000年4月26日,CIH 1.2 梅开二度,造成全球损失超10亿美元。
2001年4月26日,CIH 1.2 梅开三度,全球仍有数十万台计算机遭受破坏,其中北京就有超过6000台。
2002年4月26日,CIH 1.2 梅开四度, 2003年梅开五度。。。。
CIH的作者陈盈豪怎么样了?由于*省当时关于计算机病毒的规定尚不完善,陈盈豪只是被叫去问话,后来因为全球的压力,陈盈豪还是不得不进去吃了1年免费的午餐。
陈盈豪
与“熊猫烧香”作者李俊不同的是,陈盈豪后来可以说是顺风顺水,*后被科技公司挖走,现在已经是技嘉旗下公司的研发主任工程师。
熊猫烧香作者李俊
原文链接:https://www.toutiao.com/i6941376526911013415/