一個(gè)大學(xué)生寫(xiě)的1KB病毒，為何讓60萬(wàn)臺(tái)電腦變磚

1999年4月26日，全球數(shù)十萬(wàn)Windows電腦在同一時(shí)刻"死亡"——硬盤(pán)被清空，主板BIOS被刷入亂碼。這場(chǎng)災(zāi)難的源頭，竟是一個(gè)臺(tái)灣大學(xué)生出于"技術(shù)實(shí)驗(yàn)"寫(xiě)出的1KB小程序。

這個(gè)叫CIH的病毒，后來(lái)有了更廣為人知的名字："切爾諾貝利"。不是因?yàn)樗钠茐牧氨群耸鹿剩兇馐怯|發(fā)日期撞上了1986年切爾諾貝利核泄漏的紀(jì)念日。

藏在縫隙里的1KB幽靈

陳盈豪，大同大學(xué)學(xué)生，1998年寫(xiě)出了CIH。他的核心創(chuàng)新是一種"空間填充"技術(shù)——病毒不附著在文件末尾，而是鉆進(jìn)可執(zhí)行文件（EXE）代碼段之間的空隙。

傳統(tǒng)病毒會(huì)膨脹文件體積，殺毒軟件靠監(jiān)控文件大小變化就能發(fā)現(xiàn)。CIH反其道而行：它把約1KB的載荷拆成碎片，塞進(jìn)Windows可移植可執(zhí)行文件（PE文件）的閑置間隙。感染后的文件大小完全不變，當(dāng)時(shí)的主流殺毒工具集體失效。

更隱蔽的是傳播機(jī)制。CIH利用漏洞從處理器環(huán)3（用戶(hù)態(tài)）躍升到環(huán)0（內(nèi)核態(tài)），獲得系統(tǒng)最高權(quán)限后，劫持文件系統(tǒng)調(diào)用。用戶(hù)每打開(kāi)一個(gè)EXE，病毒就悄無(wú)聲息地感染它。整個(gè)過(guò)程無(wú)彈窗、無(wú)卡頓、無(wú)痕跡。

但它有個(gè)致命局限：只針對(duì)Windows 95、98、ME。基于NT架構(gòu)的系統(tǒng)（包括后來(lái)的Windows 2000/XP）完全免疫。這個(gè)技術(shù)邊界，也暗示了微軟后來(lái)徹底拋棄DOS內(nèi)核的決策邏輯。

1999年4月26日：定時(shí)引爆

CIH的破壞分兩層。第一層是數(shù)據(jù)層：觸發(fā)日到來(lái)時(shí)，病毒用亂碼覆蓋硬盤(pán)前2048個(gè)扇區(qū)，包括主引導(dǎo)記錄（MBR）。普通用戶(hù)的數(shù)據(jù)恢復(fù)手段幾乎全部失效。

第二層更狠——硬件層攻擊。CIH直接向主板BIOS芯片刷入垃圾數(shù)據(jù)。當(dāng)時(shí)的BIOS采用可擦寫(xiě)閃存，但刷新機(jī)制缺乏保護(hù)驗(yàn)證。一旦BIOS被破壞，電腦連開(kāi)機(jī)自檢都無(wú)法完成，屏幕漆黑，風(fēng)扇空轉(zhuǎn)，變成真正的"磚頭"。

修復(fù)需要拆機(jī)，用編程器重新燒錄BIOS芯片，或者找廠商更換主板。對(duì)普通用戶(hù)而言，這等同于整機(jī)報(bào)廢。

據(jù)估計(jì)，CIH感染了約6000萬(wàn)臺(tái)電腦，造成約4000萬(wàn)美元商業(yè)損失。但真實(shí)數(shù)字難以核實(shí)——許多受害者來(lái)自盜版軟件渠道，根本不會(huì)公開(kāi)報(bào)案。

盜版光盤(pán)：病毒的高速公路

CIH的全球擴(kuò)散，本質(zhì)是1990年代末軟件分發(fā)體系的漏洞暴露。

1998年夏天，病毒通過(guò)盜版軟件渠道大規(guī)模傳播。但諷刺的是，部分感染源來(lái)自"正規(guī)"商業(yè)軟件——當(dāng)時(shí)光盤(pán)刻錄廠的母盤(pán)被污染，正版軟件反而成了傳播媒介。這種供應(yīng)鏈攻擊的模式，二十多年后仍在被高級(jí)持續(xù)威脅（APT）組織使用。

陳盈豪本人從未被起訴。臺(tái)灣當(dāng)時(shí)缺乏針對(duì)計(jì)算機(jī)犯罪的法律條款，他的行為被定性為"學(xué)術(shù)實(shí)驗(yàn)"。事后他公開(kāi)道歉，并協(xié)助殺毒軟件公司開(kāi)發(fā)專(zhuān)殺工具。這個(gè)結(jié)局與后來(lái)各國(guó)對(duì)黑客的嚴(yán)厲追訴形成鮮明對(duì)比。

為什么現(xiàn)代惡意軟件不再這樣干？

CIH的破壞模式在今天幾乎絕跡，不是因?yàn)楹诳妥內(nèi)蚀攘耍羌夹g(shù)架構(gòu)和犯罪經(jīng)濟(jì)學(xué)的雙重轉(zhuǎn)變。

硬件層面，現(xiàn)代BIOS/UEFI有寫(xiě)保護(hù)機(jī)制，系統(tǒng)運(yùn)行時(shí)不允許隨意刷新固件。操作系統(tǒng)層面，Windows Vista后引入的用戶(hù)賬戶(hù)控制（UAC）、驅(qū)動(dòng)簽名強(qiáng)制、PatchGuard內(nèi)核保護(hù)，讓環(huán)0級(jí)別的任意代碼執(zhí)行變得極其困難。

但更深層的原因是：破壞硬件對(duì)攻擊者沒(méi)有收益。

CIH時(shí)代，病毒制造者的動(dòng)機(jī)多為技術(shù)炫耀或報(bào)復(fù)社會(huì)。而當(dāng)代惡意軟件產(chǎn)業(yè)高度專(zhuān)業(yè)化——勒索軟件要留活口才能收贖金，挖礦木馬需要長(zhǎng)期潛伏榨取算力，APT組織追求隱蔽持久而非瞬間破壞。把電腦變磚，等于燒毀自己的資產(chǎn)。

CIH的"自我毀滅"設(shè)計(jì)，恰恰證明它誕生于犯罪產(chǎn)業(yè)化之前。一個(gè)有趣的對(duì)比：2024年發(fā)現(xiàn)的"CanisterWorm"蠕蟲(chóng)，會(huì)按時(shí)區(qū)精準(zhǔn)清除伊朗機(jī)器數(shù)據(jù)，但攻擊者至今未提出任何勒索或政治訴求——這種"無(wú)目的破壞"反而讓安全分析師困惑，因?yàn)樗`背了現(xiàn)代威脅的基本邏輯。

遺留的幽靈：空間填充技術(shù)為何重生？

CIH最核心的技術(shù)創(chuàng)新——空間填充（Space Filling）——并未隨病毒本身消亡。

2024年曝光的"Zombie ZIP"漏洞，利用ZIP文件格式的解析差異，讓惡意代碼藏身于壓縮包的結(jié)構(gòu)縫隙中。測(cè)試顯示，95%的殺毒軟件套件被繞過(guò)。這與CIH二十五年前的手法如出一轍：不是加密躲藏，而是利用文件格式的"灰色地帶"。