扼“毒”之战—反病毒专家刘旭追杀恶性病毒CIH纪实

林丹

本报特约记者 林丹

个人档案
出生时间：一九六○年九月
个人爱好：读书、看电视
在Internet上，有大量关于CIH病毒的消息：
路透社加州Palo Alto消息：一种每月26日发作的计算机新病毒CIH日前袭击了数百台计算机，该病毒发作时可能破坏主版上的芯片程序。
Ontrack Data International Inc(ONDI)的官员日前宣布，美国一家公司的500台计算机和近200台集线器遭CIH病毒袭击。有迹象表明，CIH病毒是近几年来所见到的最具破坏性的病毒。具有80万注册用户的英国电信互联网游戏站点（Mplay.com）被CIH病毒感染，该站点最多可允许1500人同时下载。8月25日上午10点至下午4点，该站点感染CIH病毒，最后不得不紧急关闭系统。目前，被感染的用户数尚不清楚……
一、谁在毁灭计算机系统？
每个人都可能生病，电脑也如此。只不过，作为机器的电脑是没有病痛感觉的，所有的痛苦和折磨都加在它的主人——电脑的使用者身上。
庄华就是这样一位患了极为严重的奇怪病症的电脑的主人。1998年7月26日，星期天的上午，庄华来到单位加班。电源接通，显示屏打开，绿色的电脑主机按钮揿下去，庄华一边随手翻阅桌上那沓上星期的《计算机世界》报，一边等着电脑自检——他总是喜欢在硬盘转动的轻微嗒嗒声中读两分钟报。
电脑没声。庄华又使劲揿了两下主机开关：关闭并重新打开了电脑。一切照旧，已然打开的电脑没有丝毫反映。电脑出毛病了？！庄华关掉电源开始检查所有的连线，然后重新接通电源，揿开所有的开关。一切照旧，机器还是死在那里。病毒？！庄华拿出几张杀毒软盘，按照基本工作程序认真做了一遍。在软盘上系统依然不能启动，电脑的病症没有丝毫变化。7月27日，庄华这台电脑的所有部件经过厂商严格检测，得出了结论：所有硬件的电气性能都是正常的。“很可能是病毒，你应该去中关村找杀病毒软件企业看看。”电脑厂商的维修工程师给庄华出了这么个主意。当天下午，将信将疑的庄华搬上自己的机器，开车来到中关村。几经周折，庄华把病残的机器放到了终于能够给他以明确答复的瑞星科技公司。
二、不速之客
8月4日，星期天。瑞星公司总经理兼总工程师刘旭打开专门用于跟国内外业界同行保持通信联系的计算机，收看前一天的mail。在这台机器旁的另外5台计算机是专门进行开发工作的，有的用于病毒分析，有的用于新软件开发，有的用于深层技术开发，还有两台是专门用来感染各类病毒的。
助手发来的病毒通报标题是三个感叹号，这引起了他的注意。刘旭立即想到昨天从公司搬回的那台机器，是一位叫庄华的银行系统管理员拿来的，刘旭花了半个晚上实验检测的结果是，这台机器毫无疑问是被一种新病毒破坏的。
刘旭打开邮件，助手将病毒受害者——北京凯思软件工程公司一位姓王的先生向瑞星报案的邮件也剪贴过来了：“最近，我单位流行专门感染Windows 95 32位执行文件的病毒，将Windows 95的目录和子目录下所有exe文件以及其他目录的32位执行文件均填充了病毒体代码，导致经常死机，但还不知其发作时是什么现象。我们实验了一些流行的杀毒软件，均没有查出该病毒，更不要说杀毒了。现将病毒感染的一个程序报告给你们，希望尽快研制出对付它的办法……”刘旭有点兴奋起来。他打开一台感染病毒用的计算机，稍稍做了些设置，打开刚刚收到的“感染病毒文件标本”。
在中国防杀病毒行业，刘旭是公认的技术专家。在他主导下开发的瑞星杀病毒软件最大的特点就是不误报、不误杀，它不会放过一个，但也绝不会误杀一千。此刻，刘旭坚信一种新的病毒被他逮住了。再做拷贝和运行感染，刘旭惊讶地发现，感染了新病毒的文件居然大小不变。高明！刘旭心里暗暗叫绝。接下来刘旭开始做健康文件和感染文件的编码比较分析，把病毒原文件从感染文件中剥离出来，病毒制作者的高明开始显现：原来他是把病毒程序切割成许多细碎的小块，巧妙地插入Windows可执行文件的各个空挡之中。也就是说，一旦到了发作的日子，这些长短不等的程序碎块会在一瞬间自动连接起来，成为具有攻击力的病毒系统。
简单而扎实的基本编程技巧，但是非常聪明！刘旭在心里说，从今天开始，病毒的概念要升级了。这种升级有两重含义：一是升级到Windows，一个病毒的Windows时代开始了；二是病毒本身的编制技术也开始升级了，居然不改变文件大小，即便稍稍专业的用户，在病毒发作之前也难以发现。
近年来，国内杀病毒软件产业发展非常蓬勃，基于DOS代码的病毒基本上都被斩尽杀绝了。新的基于Windosw95/98代码的病毒，国内用户还没有见识过，有人便认为，“Windows95时代无病毒”。
刘旭作为计算机病毒问题专家，近年来于成功攻克Word宏病毒和Excel宏病毒的同时，敏感的神经一直关注着到底有没有纯Windows代码的病毒。他希望通过自己掌握的高超技术给用户敲响警钟，未雨绸缪地解决好中国用户的计算机应用安全问题。
未来Windows的世界，未必是太平盛世！整整一天一夜，刘旭没有离开自己的工作台，他在感染病毒的机器和分析病毒的机器之间不断腾挪转换，终于大致上摸清了这种不知名新病毒的基本状况：这是一种叫作CIH的病毒，其版本号是1.4；它的代码只有不到1KB！如果不是经验老到的高手编写的，就一定是编程天才的杰作，能够在如此小的容量中纳入如此高明的病毒内容，绝非一般人可为。当然，也不排除是一些年轻人的偶然运气之作。
CIH？这不就是在计算机应用发达国家闹得沸沸扬扬的CIH吗？刘旭想起了他最近不断在网上看到的关于一种被称为CIH的病毒消息，据西方受害用户说，这是一种危害非常严重的病毒。
不能不惊讶。这种新病毒是程序驻留型病毒。原以为Windows是一种对一般专业人员来说过于复杂的操作系统，病毒要驻留基于纯Windows系统的内存，即便不是不可能，也极为艰难，然而，这个小巧的CIH就可以轻松驻留！再就是，CIH的感染率极高，几乎是运行哪个程序感染哪个程序！于是刘旭在自己的头脑中得出了一个简单的初步结论：这是一种概念型病毒，虽然它只不过提供了一种全新的病毒程序方式和方向，目前可能还不能带来巨大的危害，但未来的Windows世界将绝对是不太平的。正如Windows是对DOS的革命，Windows病毒也是对DOS病毒的革命！
凭借自己高超的技巧和丰富的专业经验，刘旭开始编制杀灭CIH病毒的程序，他要针锋相对地跟CIH病毒的制作者玩一次猫捉老鼠的游戏！同时，刘旭开始考虑，一旦把杀毒程序做出来，就立即把他掌握的关于CIH病毒的全部情况和自己将要做出的杀病毒软件，放到瑞星的BBS站点上，他要提醒所有的中国计算机用户们，立即引起注意。
三、要你命的玩笑
在刘旭的头脑中，虽然已将他第一个在中国发现的CIH病毒判断为“病毒新概念”，但病毒作者在其作品中所发挥的才能和技巧还是深深吸引着刘旭。他已经知道了“是什么”，但还不清楚“到底为什么”和“到底要怎么样”，以及“到底会怎么样”。而且，刘旭被CIH作者的编程思路和编程技巧所深深吸引，对这个CIH的作者充满好奇，充满通过病毒程序了解他的强烈欲望。
如果是一般的病毒，刘旭的工作就到此为止了：分析了病毒特征，找到了查杀办法，该做的都做了，还有什么可操心的呢？但是，显然CIH与众不同，刘旭一心要彻底把它搞明白。搞明白的方式就是通过先进的工具，依靠自己多年来积累的丰富经验，对病毒程序进行反汇编，完全还原病毒，并跟踪它的运行机制和运行过程。
刘旭放下其他工作，开始跟自己几台机器中的CIH没日没夜地“玩”起来。又是十几天日以继夜、夜以继日的工作。这其间，刘旭跟许多国内外的反病毒专家进行了广泛的交流，在Internet上看到了很多关于CIH病毒肆虐的消息和报道。所有的结论汇集在一起，刘旭终于发现，他十几个日日夜夜面对的绝不是一个聪明的玩笑，而是一个无比巨大的电脑魔鬼！
CIH不但大规模感染所有Windows下的可执行文件，而且严重破坏它们；不但破坏所有硬盘数据，而且可以改写主机板的BIOS系统！今天的BIOS基本上都采用Flash ROM技术（闪存），即所谓可通过软件升级的BIOS。既然BIOS升级程序可以写入，病毒程序当然也是可以写入的，尽管这需要极高明的专业知识和极高超的技术。CIH就是这样的病毒，它通过直接控制BIOS端口，将一堆垃圾码写入BIOS中！
真够狠毒的！刘旭几乎叫出声来。用一大堆复杂混乱的数据替代掉BIOS中原先写着的系统启动文件，而且是绝对不可逆转地永久替代掉！就是说一但CIH改写了系统BIOS，就意味着主机板彻底损坏了，只有原制造厂商在工厂里通过专用设备才可能修复！对用户来说，这意味着自己的电脑被长时间彻底破坏，如果要一般修复，实际就得更换主机板。刘旭第一次见识对电脑硬件具有破坏能力的计算机病毒！它对硬盘数据的破坏同样严重。事实上，CIH发作时简直就是在硬盘上狂奔，几乎改写硬盘的每一扇区，因此给硬盘造成的硬盘数据破坏是不可恢复的，硬盘系统肯定“彻底结束使命了”。
具有如此空前破坏力的CIH是人们迄今为止所遇到的最厉害的病毒，这简直是专门毁灭计算机系统的头号病毒。而且，具有如此巧妙的隐蔽性，令普通用户根本不可能发觉，令拥有专业知识和专业能力的用户要么懵然无知，要么束手无策，人们根本无从防范它；在人们没有发觉病毒或刚刚发觉却手足无措的时候，CIH无与伦比的“更高、更快、更强”的传染能力和传播能力就迅速把病毒在它能够以任何方式接触交流到的机器和所有Windows可执行文件中“全面深入普及”了！
研究的结果使刘旭还发现了CIH的可怕特点。经过反复跟手中拿到的好几个CIH病毒捉迷藏，刘旭已经捕捉到了它的三个版本，即1.2、1.3、1.4版本，其中1.2版的发作期是每年4月26日，1.3版的发作期是每年6月26日，而最新的1.4版则发作于每月的26日。月月来一回，这真是太可怕了。
清除CIH的瑞星杀毒程序已经做出来了，可能够放心吗？中国在用的计算机装机容量已经远远超过了1000万台，如果其中相当一部分计算机感染了CIH病毒，发作起来对中国用户意味着什么？对中国国民经济又意味着什么？结论是不言而喻的。既然个人电脑的“系统毁灭者”来了，必须报案，必须引起方方面面的注意和警惕，尽可能把CIH破坏带来的损失降低到最轻的程度。
8月19日晚，刘旭给公安部负责计算机反病毒问题的一位专家打了电话，当时这位专家正在外地回北京的汽车上。刘旭向他介绍了自己过去十几天发现、研究CIH的过程，这位专家当即决定和刘旭交流情况。刘旭带着全套病毒资料和病毒样本，跟这位专家一直谈到凌晨4点半。临别时，专家表情严峻地说：我回去后要立即按工作程序再做一遍测试。我想，这么严重的病毒应该立即向全国通报，否则就是失职！
目前病毒作者的情况还不是非常清楚，一般的说法是，CIH的作者是台湾人，可能是一个大学生，本来没打算做坏事，只是在校园网上恶作剧而已，没想到不留神事儿搞大了。至于制作病毒的动机还不太好说，制作者让所有版本的病毒都选择26日发作，应该是有原因的，而且1.3版的发作期是6月26日，这是Windows 98发行上市的日子。
四、紧急行动
8月31日，公安部发出通报，要求做好CIH病毒的预防工作，保障国家重要部门计算机信息系统的正常运行。中央电视台“新闻联播”节目、中央人民广播电台、新华社、《计算机世界》报等国家重要媒体和专业报刊立即编发了公安部的通报，全国各地的有关部门也立即发出了相应的指示。“系统毁灭者”气势汹汹地来了，等待它的是全军覆没的下场。