一個大學(xué)生寫的1KB病毒，為何讓60萬臺電腦變磚

1999年4月26日，全球數(shù)十萬Windows電腦在同一時刻"死亡"——硬盤被清空，主板BIOS被刷入亂碼。這場災(zāi)難的源頭，竟是一個臺灣大學(xué)生出于"技術(shù)實驗"寫出的1KB小程序。

這個叫CIH的病毒，后來有了更廣為人知的名字："切爾諾貝利"。不是因為它的破壞力堪比核事故，純粹是觸發(fā)日期撞上了1986年切爾諾貝利核泄漏的紀(jì)念日。

藏在縫隙里的1KB幽靈

陳盈豪，大同大學(xué)學(xué)生，1998年寫出了CIH。他的核心創(chuàng)新是一種"空間填充"技術(shù)——病毒不附著在文件末尾，而是鉆進(jìn)可執(zhí)行文件（EXE）代碼段之間的空隙。

傳統(tǒng)病毒會膨脹文件體積，殺毒軟件靠監(jiān)控文件大小變化就能發(fā)現(xiàn)。CIH反其道而行：它把約1KB的載荷拆成碎片，塞進(jìn)Windows可移植可執(zhí)行文件（PE文件）的閑置間隙。感染后的文件大小完全不變，當(dāng)時的主流殺毒工具集體失效。

更隱蔽的是傳播機制。CIH利用漏洞從處理器環(huán)3（用戶態(tài)）躍升到環(huán)0（內(nèi)核態(tài)），獲得系統(tǒng)最高權(quán)限后，劫持文件系統(tǒng)調(diào)用。用戶每打開一個EXE，病毒就悄無聲息地感染它。整個過程無彈窗、無卡頓、無痕跡。

但它有個致命局限：只針對Windows 95、98、ME。基于NT架構(gòu)的系統(tǒng)（包括后來的Windows 2000/XP）完全免疫。這個技術(shù)邊界，也暗示了微軟后來徹底拋棄DOS內(nèi)核的決策邏輯。

1999年4月26日：定時引爆

CIH的破壞分兩層。第一層是數(shù)據(jù)層：觸發(fā)日到來時，病毒用亂碼覆蓋硬盤前2048個扇區(qū)，包括主引導(dǎo)記錄（MBR）。普通用戶的數(shù)據(jù)恢復(fù)手段幾乎全部失效。

第二層更狠——硬件層攻擊。CIH直接向主板BIOS芯片刷入垃圾數(shù)據(jù)。當(dāng)時的BIOS采用可擦寫閃存，但刷新機制缺乏保護(hù)驗證。一旦BIOS被破壞，電腦連開機自檢都無法完成，屏幕漆黑，風(fēng)扇空轉(zhuǎn)，變成真正的"磚頭"。

修復(fù)需要拆機，用編程器重新燒錄BIOS芯片，或者找廠商更換主板。對普通用戶而言，這等同于整機報廢。

據(jù)估計，CIH感染了約6000萬臺電腦，造成約4000萬美元商業(yè)損失。但真實數(shù)字難以核實——許多受害者來自盜版軟件渠道，根本不會公開報案。

盜版光盤：病毒的高速公路

CIH的全球擴(kuò)散，本質(zhì)是1990年代末軟件分發(fā)體系的漏洞暴露。

1998年夏天，病毒通過盜版軟件渠道大規(guī)模傳播。但諷刺的是，部分感染源來自"正規(guī)"商業(yè)軟件——當(dāng)時光盤刻錄廠的母盤被污染，正版軟件反而成了傳播媒介。這種供應(yīng)鏈攻擊的模式，二十多年后仍在被高級持續(xù)威脅（APT）組織使用。

陳盈豪本人從未被起訴。臺灣當(dāng)時缺乏針對計算機犯罪的法律條款，他的行為被定性為"學(xué)術(shù)實驗"。事后他公開道歉，并協(xié)助殺毒軟件公司開發(fā)專殺工具。這個結(jié)局與后來各國對黑客的嚴(yán)厲追訴形成鮮明對比。

為什么現(xiàn)代惡意軟件不再這樣干？

CIH的破壞模式在今天幾乎絕跡，不是因為黑客變?nèi)蚀攘耍羌夹g(shù)架構(gòu)和犯罪經(jīng)濟(jì)學(xué)的雙重轉(zhuǎn)變。

硬件層面，現(xiàn)代BIOS/UEFI有寫保護(hù)機制，系統(tǒng)運行時不允許隨意刷新固件。操作系統(tǒng)層面，Windows Vista后引入的用戶賬戶控制（UAC）、驅(qū)動簽名強制、PatchGuard內(nèi)核保護(hù)，讓環(huán)0級別的任意代碼執(zhí)行變得極其困難。

但更深層的原因是：破壞硬件對攻擊者沒有收益。

CIH時代，病毒制造者的動機多為技術(shù)炫耀或報復(fù)社會。而當(dāng)代惡意軟件產(chǎn)業(yè)高度專業(yè)化——勒索軟件要留活口才能收贖金，挖礦木馬需要長期潛伏榨取算力，APT組織追求隱蔽持久而非瞬間破壞。把電腦變磚，等于燒毀自己的資產(chǎn)。

CIH的"自我毀滅"設(shè)計，恰恰證明它誕生于犯罪產(chǎn)業(yè)化之前。一個有趣的對比：2024年發(fā)現(xiàn)的"CanisterWorm"蠕蟲，會按時區(qū)精準(zhǔn)清除伊朗機器數(shù)據(jù)，但攻擊者至今未提出任何勒索或政治訴求——這種"無目的破壞"反而讓安全分析師困惑，因為它違背了現(xiàn)代威脅的基本邏輯。

遺留的幽靈：空間填充技術(shù)為何重生？

CIH最核心的技術(shù)創(chuàng)新——空間填充（Space Filling）——并未隨病毒本身消亡。

2024年曝光的"Zombie ZIP"漏洞，利用ZIP文件格式的解析差異，讓惡意代碼藏身于壓縮包的結(jié)構(gòu)縫隙中。測試顯示，95%的殺毒軟件套件被繞過。這與CIH二十五年前的手法如出一轍：不是加密躲藏，而是利用文件格式的"灰色地帶"。