小漏洞大破坏,聊聊那些“名垂青史”的病毒

  • 来源:电脑报
  • 关键字:主板,硬盘,影响
  • 发布时间:2024-09-25 14:34

  ■ Cloud

  CI H病毒,“物理超度”你的主板和硬盘

  对于大多数70 后、80 后而言,“CIH 病毒”是一个久远但又记忆犹新的名字,当时的电脑被CIH 病毒感染后不会立即爆发,而是会潜伏到一个特定的日期才会爆发——1999 年的4 月26 日,CIH 病毒全面爆发,仅在中国就有超过36 万台计算机受损,涉及企业、事业单位和个人用户,直接经济损失超过十亿元人民币,而韩国的损失更为严重,约有25 万台电脑中毒,经济损失在当时就超过了2.5 亿美元。除此之外,欧美和日本也受到了影响。

  CIH 病毒会导致电脑突然死机或无法开机的问题,虽然即便是现在来看这些问题也非常常见,无非就是系统故障或是哪个硬件接口松了之类的,但CIH 病毒的目的要歹毒许多,因为不仅可以破坏硬盘数据,还能破坏主板BIOS 固件。

  BIOS 是控制电脑基本输入/ 输出的一段程序,比Wndows 操作系统更为底层,存储在主板上的一个小芯片里,需要使用一颗纽扣电池为其单独供电,在开机时BIOS 最先运行,只有它检测到键盘、显示器等正常工作,你接下来才能正常使用电脑。而CIH 病毒会调用CPU 的最高权限,尝试将垃圾信息写入硬盘和BIOS,会直接导致固件升级失败,主板和硬盘直接“变砖”。

  从代码来看,CIH 病毒并不复杂,作者陈盈豪在完成这个病毒时也只有23 岁,而整个操作最核心的一步就是通过修改中断描述符表, 获得CPU的ring0,也就是最高权限。在后来的WinNT 操作系统中,中断描述符表所指向的内存已经无法修改,无法再通过执行这段代码来获取最高权限,所以Windows NT/2000/XP 及以后的系统对CIH 天然免疫……总结起来其实就是软件厂商稍微改动一下设置就能弥补的问题,却因此闯下了一场大祸。

  美国国家安全局漏洞泄露导致的“赛博勒索事件”

  2017 年5 月12 日,WannaCry蠕虫病毒利用Windows 系统基于445端口的SMB 漏洞MS17-010( 永恒之蓝)进行传播,全球范围至少150个国家的30 万名用户中招,造成的直接经济损失就达到了80 亿美元。

  WannaCry 蠕虫病毒通过漏洞获取系统最高权限后,首先会通过恶意代码扫描互联网和局域网环境中开放445端口的Windows 系统,这是因为445端口中有个空连接,也就是没有固定文件夹的共享,只要是打开445 端口的电脑,就意味着只要可以破获对方的密码,就能在局域网中轻松访问各种共享文件夹,并在对象用户完全无感的情况下完成传播。

  接下来病毒会使用非对称加密算法RSA 2048 对电脑里包含照片、视频、EXE 文件的文件夹进行加密,而且每个文件各使用独立的随机密钥,这种加密方式目前是无法暴力破解的,然后病毒会弹出一个勒索界面,非常嚣张地告诉你不可能有人能够破解密码,并要求你在三天内以比特币等形式支付解锁费用,时间拖得越久,费用就越高。

  那么问题如何解决呢?只需要安装微软MS17-010 安全更新就能直接填上这个漏洞,但已经感染病毒的企业和个人用户可就遭了殃。虽然如阿里云安全团队等安全机构在第一时间就开发了针对WannaCry 的“ 一键解密和修复”工具,该工具可以在未重启操作系统的情况下恢复被加密的文件, 适用于Windows Server2003 和Windows Server 2008 等操作系统用户,但即便如此也无法保证完全恢复文件,因此该病毒的“后劲”相当足。所以在WannaCry 蠕虫病毒发生之后,企业用户都开始注重数据持续保护系统的构建,简单来说就是实时备份数据,在病毒感染后可以第一时间恢复,在最短时间内,最大程度减少数据丢失的风险。

  从根源来看,“永恒之蓝”这个系统漏洞的源头是美国国家安全局,他们开发的这个漏洞利用程序原本是用于监听用户,但该漏洞被黑客组织泄露,从而引发了这场赛博浩劫。

关注读览天下微信, 100万篇深度好文, 等你来看……