酷玩实验室原创作品

7月19日,全世界约850万台安装了Windows系统的电脑,集体陷入蓝屏死机。

事出突然,美国、加拿大、澳大利亚、英国、日本等多个国家的航班停飞、手术中断、物流卡顿,乱成了一锅粥。

恰逢周五,打工人们面对突然罢工的生产力工具,空气中都弥漫着悲伤的气氛。

事故的原因很简单,总部位于美国的云端安全服务供应商CrowdStrike更新了自家的防病毒软件,结果和Windows系统发生了冲突,导致了这一波大规模的蓝屏重启。

朋友问我,为什么国内的微软系统没事啊,难不成我们真是天选打工人?

很简单,咱们有自己的安全杀毒软件。

可能现在很多人都不知道杀毒软件为何物了,但在21世纪初,电脑病毒还是非常普遍的存在。

你在深夜偷偷打开的小网站,邮箱里莫名其妙的中奖链接,以及看起来绿色无害的软件下载网页,都可能暗藏端倪。

ILOVEYOU病毒、蠕虫病毒、熊猫烧香、冲击波木马……几乎每种病毒都感染了数以百万计的电脑,在全球造成大规模破坏。

但某一天,肆虐全球互联网的病毒,突然就销声匿迹了。

2004年,中国计算机用户病毒感染率为87.9%,按当时我国5299万台的PC总量来算,就是4600多万台电脑中毒。

到2016年,猎豹移动安全实验室的报告显示,全年捕获病毒样本总量为3952万个,相比起2015年的1.046亿个,直接减少62.2%;360公司也得出了类似的结论,他们拦截的病毒攻击同比2015年下降26.7%

而《2020年中国互联网网络安全报告》的数据显示,当年我国中毒电脑总数为534万台,不管是绝对数量还是比例,都大幅下降。

电脑病毒,到底是如何出现的?又为什么消亡了?

01:炫技

1982年,《时代》杂志的“年度风云人物”榜上,出现了一个新鲜玩意儿:

个人电脑。

这一年,微型计算机开始进入美国家庭,技术浪潮之下,英特尔、IBM、微软、索尼一派勃勃生机万物竞发,而15岁的高中生里奇·斯克伦塔(Rich Skrenta)也闲来无事,编写了一段针对苹果计算机的病毒程序Elk Cloner。

说是病毒,Elk Cloner其实更像一种熊孩子的恶作剧。

当时,很多人都习惯共用软盘安装系统程序,斯克伦塔将Elk Cloner存在软盘上,一旦计算机启动,程序会自动拷贝到其它未感染的软盘中,像病毒一般传播。

被感染的电脑每启动50次,屏幕就会突然跳出一段绿莹莹的话:

警告,此处Cloner出没,它会像胶水一样粘着你。

好比千禧年流行过一段时间的那种“不要打开这个邮件,里面有你想象不到的内容。”

等你打开想一探究竟,屏幕那头冷不丁会会冒出一个眼睛冒血、披头散发的贞子,伴随着恐怖的音效蹿到跟前,吓人一跳。

斯克伦塔拿着Elk Cloner到处霍霍同学老师,本质上就是炫技,杀伤性不大,烦人性极强。

但当恶作剧触及到利益,利害便开始升级。

1987年,一对巴基斯坦兄弟开了一家公司,主要是卖电脑和软件。

本来是好事一桩,奈何当时盗版软件横行,俩人吭哧哼哧编写的程序,老是被人白嫖,一气之下,干脆搞了个「大脑病毒」,植入自己原创的软件。

一旦有人盗版,病毒就会发作,占据磁盘的剩余空间,导致电脑运行速度严重拖慢。

怎么办呢?

兄弟俩贴心地在病毒弹窗中放上了自己的电话号码,小样,来求我啊。

盗拷软件的人没办法,只能付费请两人修电脑,并乖乖安装正版软件。

有病毒,自然就有杀毒。

站在厂商的角度,我卖电脑程序的,高科技产品,动辄被病毒干扰,我不要面子的吗?

于是计算机在“出厂设置”阶段就加入了防御措施,拿Windows 3.0来说,微软开启了保护模式和保护环的概念,让自己的系统内核以及设备驱动拥有比应用程序更高的权限。

每当病毒发作,官方系统就可以凭借更高权限,来个“官大一级压死人”,直接给你灭了。

这又激起了技术自由主义的胜负欲——人写的代码,肯定有漏洞,我就专门找这些系统漏洞绕过防御,发动攻击。

1999年爆发的CIH病毒,就利用了Windows95/98系统中的检测漏洞。

它非常狡猾地将病毒本体分成了好几个部分,然后隐藏到不同的运行程序下。由于拆分的数据过小,系统感知不到内存变大,就会当作统计误差给忽略掉,自然无法阻止病毒发作。

CIH病毒感染之后,会直接覆盖掉磁盘上的关键信息造成蓝屏,甚至会破坏BIOS,重装都不好使,还可能直接损坏硬件。

据统计,CIH病毒感染了全球数百万台电脑,造成的损失超过10亿美元。

感染CIH后的蓝屏界面

2006年末,熊猫烧香病毒又席卷中国,感染了几百万台电脑。

它利用Windows的漏洞跟exe程序捆绑在一起,只要运行就会释放病毒,不仅会破坏所有的exe程序,将图标变成熊猫,还会删除掉后缀为gho的备份文件,让电脑无法还原。

当时的Windows还存在一个共享漏洞,局域网中的计算机缺乏隔离。

熊猫烧香也利用了这个漏洞,很多网吧、计算机教室、企业机房,只要有一台电脑感染,其余的电脑全部在劫难逃。

02:猫鼠游戏

厂商这边肯定不能坐以待毙。

这边黑客们发现漏洞制造病毒,那边厂商就打起补丁补上窟窿。

90年代末,计算机巨头相继建立了专门的安全部门,每天高强度盯着全球各地爆发的病毒,分析这个病毒利用了哪个漏洞,然后光速推出相应的系统补丁。

你来我往,修修补补,宛如一场猫鼠游戏。

只不过,这个补丁有个巨大的bug——得花钱。

用户需要自己购买对应的软盘或者光盘来安装,要么就得去官网下载安装,比较麻烦,很多人都不愿意折腾。

像是熊猫烧香,在安全专家眼中根本没什么技术含量,它利用的漏洞,微软早在一年前就发布了修复补丁。

但就像你会选择性忽视系统更新一样,不到不能用,谁会去管那个更新提示啊。

中国信息协会

等到真的不能用了,用户的第一反应也是找官方解决——呼叫人工客服,我要投诉。

在吃瘪无数次之后,巨头们终于想到了,还是给用户老爷们现成的吧。

直接在系统里推送更新包,自动解压自动安装,只要连了网就可以快速打补丁,这种思路的典型代表产物就是Windows Update

Windows Update上线后,微软固定每星期二向用户推送补丁,修复最新发现的安全漏洞,如果出现重大威胁,则补丁制作完成就立即推送,Adobe、甲骨文等也纷纷效仿这种制度,因此业内出现了一个梗——“补丁星期二”

线上推送补丁的出现,让病毒泛滥的时间窗口大大缩短了,很多新病毒刚刚开始传播,还没来得及出现在我们眼前,就在下个星期二灰飞烟灭。

与此同时,厂商对于权限的控制,也越来越严格。

喜欢捣鼓手机的人都知道,要玩透iPhone,必须得越狱,而安卓机则需要root,其原因在于,iOS和安卓有大量的高级权限不对应用程序开放,必须要破解系统才能绕开限制。

PC端也是同样的道理。早年的Windows主要采用黑名单机制,拒绝一些特定恶意程序的使用权限。

不过随着猫鼠游戏升级,威胁增加,Windows逐步改为了白名单机制,白名单内就是值得信任的homie。

而对于不受信任的来源、发布者未知的程序,全部一刀切,在用户手动确认前,系统不会给予任何权限。

这样一来,只要用户还没有莽到一路开绿灯,病毒基本上就没机会作乱。

厂商的补丁和黑名单,多数时候是为了抵御已知的病毒,还有一些漏网之鱼该怎么办?

这就需要杀毒软件了。

早在1989年,世界上就诞生了首个杀毒软件「迈克菲」,历史几乎跟电脑病毒一样悠久。

今天的网络红人雷军,90年代初期也是靠编写杀毒软件,赚到了人生的第一桶金。后来知名的金山毒霸,同样出自雷军之手。

与金山毒霸齐名的杀毒软件,还有小红伞、诺顿、瑞星、江民、360杀毒……

其中必须提一嘴的,就是这个江民杀毒软件。

早期杀毒软件的基本原理,是收集病毒最有特征的部分代码。如果扫描到某个程序或者文件中包含这些代码,就清除或者隔离开。

这种模式就是所谓的“特征码”

“特征码”就像给系统打补丁一样,需要预先“认识”病毒特征,对新冒出来的病毒下不了手,时效性比较差。

而江民科技采用了一种名叫广谱特征码的方法。因为他们发现,网络上流行的海量病毒,大多是某几种病毒的变体,只要提取这些病毒共有的那部分特征码,也就是广谱码,拿一个码通杀一个大类电脑病毒。

如果未来出现新的变体,不用更新数据库就能查出病毒。

(江民科技创始人王江民)

那这些海量病毒从哪里来呢?

瑞星、金山、360等杀毒软件,搞了一个实时更新的病毒数据库,不同病毒的特征码能快速到达每个终端,联合击杀。

要是特征码越攒越多,占用过多内存怎么办?

大伙儿又搞了个云查杀功能。杀毒软件会把可疑文件的特征和行为模式,汇报到云端的服务器,让服务器分配更多资源、调用更多特征库进一步确认,或者检索下中同样的文件是否破坏了其它用户的电脑,避免错杀或者错放。

此后,杀毒软件又相继引入了沙盒机制,它会创造一个模拟的系统,把可疑的程序放进去运行,看看它会干什么。很多傻乎乎的病毒就这么信以为真,在模拟的环境中大搞破坏,然后就原形毕露了。

猫都学会骗耗子了,这还怎么玩?

03:根本问题

实际上,不管是早期的炫技,还是后来的猫鼠游戏,病毒的出现,本质上还是背后的人在操纵。

而伴随着电脑的普及,病毒带来的影响,也在日趋严重。

所以,要解决病毒,更高效的方法是解决制作病毒的人。

CIH病毒爆发仅仅四天之后,它的编写者,中国台湾黑客陈盈豪,就被警方逮捕。由于当时台湾省法规中不存在关于制作电脑病毒的处罚,陈盈豪没有被起诉。

不过发布熊猫烧香的李俊就没有这么幸运了,他因为熊猫烧香病毒非法获利10万多,喜提破坏计算机信息系统罪,被判处有期徒刑四年。

进入21世纪后,世界各国普遍加大了对电脑病毒制作、散播者的打击力度,没有法条可依,那就立法,没有执法部门管这事,就创建一个新的部门。

在中国,这个部门就是公安部网络安全保卫局。在2018年的净网行动中,他们组织侦破网络犯罪案件5.7万起,抓获犯罪嫌疑人8.3万多人。

(人民公安报)

互联网不是法外之地,瞎搞病毒是要牢底坐穿的。

不是,你当黑客的,都没法隐藏自己的身份吗?

可以是可以,但黑客总是想收钱的吧,钱能追查到吧。

而且,财大气粗的巨头厂商们,也开始向黑客们“招安”了。

系统上线之前,广请天下英雄来查找漏洞,发现一个,真金白银地打赏。

好比梁山好汉招安,一边是胆战心惊地犯罪,一边是光明正大地赚钱,就问你干不干。

仅2021年一年,微软就给46个国家的335名黑客,发放了1370万美元的漏洞赏金,其中最大的一笔奖励高达20万美元,算成人民币都超百万了。同一时间,苹果也给出了总共100万美元的赏金,而谷歌现在已经把单个漏洞的赏金提高到了15万美元。

很多原本潜藏在暗处的黑客,因为发现关键漏洞,得到了巨头的赏识,甚至跳过寒窗苦读、艰难求职阶段,当场入职世界五百强企业,成为安全团队的一员,靠本事赚钱,还有了个更酷的Title——白客。

2017年腾讯安全团队中的白客攻破特斯拉的防御,震惊全球

左手大棒、右手胡萝之下,针对个人的电脑病毒日渐式微,进一步导致了杀毒软件的凋零。

十几年前,一套杀毒软件要价两三百元,有些杀软订阅数据库更新还需要持续付费,否则就不能防御最新的病毒。

在针对个人计算机的攻击逐渐减少后,杀毒软件市场迅速萎缩。

大家纷纷调整战略,360率先推出了免费模式,个人用户不需要付一分钱就可以享受保护,2010年,金山也宣布免费,半年之后,瑞星跟进,对个人用户免费。

2014年,微软又亲自下场,在新推出的Windows10操作系统中,内置了免费的杀毒功能Windows Defender,用户实际上不用再额外安装杀毒软件,就能抵御大部分威胁。

在残酷的竞争中,大批杀毒软件走向没落,江民、金山毒霸从火遍全国到无人问津,连瑞星这个曾经的行业龙头都已经销声匿迹,桌面角落打瞌睡的小狮子,留在了大家的回忆里。

幸存下来的企业,也走上了曲线赚钱的路。

像360,就是通过各种弹窗广告、捆绑安装软件、修改用户首页、搜索页面……等来收取广告费和渠道费,填上利润的窟窿。

这些收入,占了360总营收的一半以上。

曾经的勇士似乎变成了“恶龙”,所谓“一切早已暗中标好了价格”,可能就是如此吧。

尾声:威胁消失了吗?

随着监管下场,厂商与杀毒软件的三方合力,针对个人电脑的攻击,变成了一桩没有“性价比”的生意。

你费劲吧啦黑了一台电脑,发现对方账户里钱还不够喝杯奶茶,图啥呢。

于是,黑客们不再对低价值的个人电脑大开杀戒,而是用病毒集中攻击高价值的企业、机构电脑,锁死其中的宝贵的数据,进而勒索企业,赎金也用比特币支付,难以追踪去向,执法者束手无策。

其中典型,就是WannaCry。

在WannaCry第一波攻击中,英格兰/苏格兰的医疗系统瘫痪,不久之后,日产和雷诺的欧洲工厂也被WannaCry击溃,再接着就是西班牙联邦快递、德国铁路、波音公司、台积电……

相比起感染百万电脑的CIH和熊猫烧香,“仅仅”瘫痪了20万电脑的WannaCry,却造成了40亿美元的损失,这还没有算上各大企业机构支付的赎金,毕竟他们要么急于恢复系统,要么就是保存了珍贵的商机机密,被撕票就麻烦大了。

并且病毒爆发后,半个世界的执法力量都在寻找攻击的发起者,但这么多年过去,幕后真凶依然成谜,WannaCry,想哭,确实令人想哭。

根据国家计算机病毒应急处理中心的说法:

“2023年,针对我国个人用户的计算机病毒攻击事件数量呈现进一步下降趋势;

与此同时,针对组织机构的计算机病毒攻击与去年同期相比则呈现上升趋势。

这反映出攻击者在对攻击目标的选择上具有明显的趋利性,相对于个人用户,攻击组织机构明显具有更高的潜在收益。教育、金融、卫健等领域的关键信息基础设施由于承载了大量公民敏感个人信息,成为2023年黑客攻击窃取数据的重点目标。”

现如今,在暗网黑市上,一个可以用于制作病毒的Windows系统漏洞,依然可以卖到十几万乃至几十万美元,就在今年四月份,暗网上还有人挂出了iOS系统的重大漏洞,要价200万美元。

所以,电脑病毒从未真正消失,它们只是转移了攻击目标,我们的电脑榨不出什么油水,不值得黑客们冒着坐牢风险攻破重重防御,袭击企业的电脑才是划算的买卖。

猫和老鼠的游戏,还在继续上演,只是转移到了普通人看不见的地方。

酷玩实验室整理编

點讚(0) 打賞

评论列表 共有 0 條評論

暫無評論

微信小程序

微信扫一扫體驗

立即
投稿

微信公眾賬號

微信扫一扫加關注

發表
評論
返回
頂部