小漏洞大破坏，聊聊那些“名垂青史”的病毒

　　■ Cloud

　　CI H病毒，“物理超度”你的主板和硬盘

　　对于大多数70 后、80 后而言，“CIH 病毒”是一个久远但又记忆犹新的名字，当时的电脑被CIH 病毒感染后不会立即爆发，而是会潜伏到一个特定的日期才会爆发——1999 年的4 月26 日，CIH 病毒全面爆发，仅在中国就有超过36 万台计算机受损，涉及企业、事业单位和个人用户，直接经济损失超过十亿元人民币，而韩国的损失更为严重，约有25 万台电脑中毒，经济损失在当时就超过了2.5 亿美元。除此之外，欧美和日本也受到了影响。

　　CIH 病毒会导致电脑突然死机或无法开机的问题，虽然即便是现在来看这些问题也非常常见，无非就是系统故障或是哪个硬件接口松了之类的，但CIH 病毒的目的要歹毒许多，因为不仅可以破坏硬盘数据，还能破坏主板BIOS 固件。

　　BIOS 是控制电脑基本输入/ 输出的一段程序，比Wndows 操作系统更为底层，存储在主板上的一个小芯片里，需要使用一颗纽扣电池为其单独供电，在开机时BIOS 最先运行，只有它检测到键盘、显示器等正常工作，你接下来才能正常使用电脑。而CIH 病毒会调用CPU 的最高权限，尝试将垃圾信息写入硬盘和BIOS，会直接导致固件升级失败，主板和硬盘直接“变砖”。

　　从代码来看，CIH 病毒并不复杂，作者陈盈豪在完成这个病毒时也只有23 岁，而整个操作最核心的一步就是通过修改中断描述符表， 获得CPU的ring0，也就是最高权限。在后来的WinNT 操作系统中，中断描述符表所指向的内存已经无法修改，无法再通过执行这段代码来获取最高权限，所以Windows NT/2000/XP 及以后的系统对CIH 天然免疫……总结起来其实就是软件厂商稍微改动一下设置就能弥补的问题，却因此闯下了一场大祸。

　　美国国家安全局漏洞泄露导致的“赛博勒索事件”

　　2017 年5 月12 日，WannaCry蠕虫病毒利用Windows 系统基于445端口的SMB 漏洞MS17-010（ 永恒之蓝）进行传播，全球范围至少150个国家的30 万名用户中招，造成的直接经济损失就达到了80 亿美元。

　　WannaCry 蠕虫病毒通过漏洞获取系统最高权限后，首先会通过恶意代码扫描互联网和局域网环境中开放445端口的Windows 系统，这是因为445端口中有个空连接，也就是没有固定文件夹的共享，只要是打开445 端口的电脑，就意味着只要可以破获对方的密码，就能在局域网中轻松访问各种共享文件夹，并在对象用户完全无感的情况下完成传播。

　　接下来病毒会使用非对称加密算法RSA 2048 对电脑里包含照片、视频、EXE 文件的文件夹进行加密，而且每个文件各使用独立的随机密钥，这种加密方式目前是无法暴力破解的，然后病毒会弹出一个勒索界面，非常嚣张地告诉你不可能有人能够破解密码，并要求你在三天内以比特币等形式支付解锁费用，时间拖得越久，费用就越高。

　　那么问题如何解决呢？只需要安装微软MS17-010 安全更新就能直接填上这个漏洞，但已经感染病毒的企业和个人用户可就遭了殃。虽然如阿里云安全团队等安全机构在第一时间就开发了针对WannaCry 的“ 一键解密和修复”工具，该工具可以在未重启操作系统的情况下恢复被加密的文件， 适用于Windows Server2003 和Windows Server 2008 等操作系统用户，但即便如此也无法保证完全恢复文件，因此该病毒的“后劲”相当足。所以在WannaCry 蠕虫病毒发生之后，企业用户都开始注重数据持续保护系统的构建，简单来说就是实时备份数据，在病毒感染后可以第一时间恢复，在最短时间内，最大程度减少数据丢失的风险。

　　从根源来看，“永恒之蓝”这个系统漏洞的源头是美国国家安全局，他们开发的这个漏洞利用程序原本是用于监听用户，但该漏洞被黑客组织泄露，从而引发了这场赛博浩劫。

关注读览天下微信， 100万篇深度好文， 等你来看……