从1998年的4月26日开始，26日成为一个令电脑用户头疼而又恐惧的日子，因为在这一天瘟神一样的CIH病毒诞生了。从此，每年的4月26日以及每月的26日都成为了这一黑色幽灵游荡的日子。

　　1998年8月26日，该病毒入侵中国。

　　1998年8月31日，我国公安部发出防范CIH病毒的紧急通知。

　　1998年9月1日，中国中央电视台在新闻联播中播发了此通知。

　　接着，全国各大报刊纷纷不惜版面、不遗余力地在显著版面刊发大量的相关报道。

　　反病毒液一时也打破长久沉寂，大大红火了一把。

　　刹那间，全世界防、查、杀CIH病毒的呼声昏天黑地。

　　可时到今日，CIH病毒还在大面积继续传播，大量的PC机在CIH的肆虐中一批批倒下，SINA电脑论坛中“哭”声响彻天际。

　　1999年4月26日，这一幽灵再次出现，寻找自己的猎物，CIH全面发作。这一天简直成了PC用户的灾难日：开机，屏幕没有任何显示，只有死一般的沉寂。

　　CIH病毒到底是什么病毒？这一怪兽究竟来自何方？

　　CIH病毒原本属文件型病毒，其别名有Win95．CIH。SPacefiller、Win32CIH、PE－CIH 它主要感染Windowsgi98下的可执行文件（PE格式，POrtableExecutableFo。mat），目前的版本不感染DOS以及WIN3X（NE格式，WindowsandOSZWin彻ws3。lexecutionFileFormat）下的可执行文件，并且在WinNT中无效。其发展过程经历了VI．0，VI．，VI．2，VI．3，VI、4总共5个版本，目前最流行的是VI，2版本。

　　而台湾工学院学生陈盈豪是它的缔造者。这一“学生电脑专家”莫名其妙的恶作剧打开了“潘多拉的魔盒”。陈盈豪在网上新闻组发表公开信，称其编写的计算机CIH系列病毒‘给大家造成了不便”，为此他“深表歉意”。

　　据报道，这名台湾的大学生在公开信中说，由他编写的CIH病毒是1998年5月底突然由其宿舍迅速扩散到各大网站的。因为网络四通八达，同时病毒的感染力甚强，于是造成了始料不及的灾难。

　　《行天98》反病毒软件发明者刘杰说，CIH病毒的作者是个台湾人，CIH这三个英文字母很可能与他的姓名有关。事实证明陈盈豪正是用他的名字命名了这种病毒。

　　陈盈豪本人也有这样的自白：“相信不少人很想砍我”、“我现在说什么都没有用，实在很抱歉”、“什么人工智慧、防未知病毒入侵，全是唬人……防毒公司的广告，根本就是骗人的，这次的事情，就可以看得出来。”

　　CIH病毒的各种不同版本随时间的发展还在不断完善，其基本发展历程为：

　　CIH病毒VI．0版本：

　　最初的VI．0版本仅仅只有656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染MicrosoftWindowsPE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH 不具有破坏性。

　　CIH病毒VI．l版本：

　　病毒长度为796字节，此版本的CIH病毒具有可判断WinNT软件的功能，一旦判断用户运行的是WinNT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优点在于其可以利用WinPE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WinPE类文件时，不会导致文件长度增加。

　　CIH病毒VI．2版本：

　　当其发展到VI．2版本时，除了改正了一些VI．l版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH 病毒体长度为1003字节。

　　CIH病毒VI．3版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件（ZI。。If －extractorsfile）时，将导致此ZIP压缩包在自解压时出现：

　　whz…SI－Exlraclo山eadercom…·

　　NSsiblecause：dlskoriletranslererror．的错误警告信息。VI．3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip 类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。

　　VI．3版本的CIH病毒长度为1010字节。

　　CIH病毒VI．4版本：

　　此版本的CIH病毒改进了上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息（版本信息被更改为：“CIHVI．4TATUNG”，在以前版本中的相关信息为“CIHVI．XrtIT’），此版本的长度为互019字节。

　　从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有VI．2VI．3．VI．4这3个版本的病毒具有实际的破坏性，其中VI．2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，VI．3版本的发作日期为每年的6月26日，而CIHVI．4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

　　最令人恐惧的则是CIH病毒居然产生了变种“切尔诺贝利”（ChernobyD病毒，该病毒1999年4月26日，袭击了全世界的计算机，它能删除硬盘上的数据，甚至在某些计算机上导致不能正常启动的后果。尽管受到该病毒攻击的机器数目要比近期受到Melissa病毒感染的机器数目要少许多，但对这些少数不幸的人来说，新病毒的攻击更加具有危险性。

　　其中一位女士的诗集已经快要完成，但是却在这次病毒狂噬中完全丢失了。一位先生的博士论文也丢失了，芬兰赫尔辛基一家计算机安全公司DataFellows的kkoHermanniHypponen 这样说道。最严重的破坏似乎发生在亚洲和欧洲的部分地区。在这些地区，防病毒体系较为薄弱，而且泛滥的盗版软件成为了携带动病毒的载体。DataFellows报道了病毒在香港，新加坡，印度，芬兰，新西兰，英国，瑞典，日本和马耳他造成的破坏，几百台机器甚至在开始业务的时候就已受到攻击。大量被感染的计算机都是在亚洲发现的。CarnegieMellon大学的计算机应急小组（CERT）说，他们仅得知几十台计算机受到该病毒的攻击。“实际上事情并没有那么严重，”该小组的一位案例工作人员说。但是Cher－nobyl病毒在美国小范围的影响并不能安慰那些受到感染的人们。DataFellows的Hypponen说，修复的费用将高达几百万美元。“跟Melissa病毒不同，这种病毒能导致真正的问题并给某些人带来严重损失，”他说。但计算机厂商没有做出反应，说多少用户正在寻求帮助；因此他们是否对该问题负有责任还不清楚。CERT说，一项数据恢复服务也许能够恢复丢失的数据。CERT在他的网站上发布了销售商信息和其他一些常见问题。

　　CERT说：如果病毒发出了攻击，数据将是“可能无法恢复”的；要使计算机重新工作，必须重新安装软件。但这一工作不是大多数家庭电脑用户所能做到的。该病毒于26日那天早晨攻击了位于ChestnutHill和Massachus。tis的Boston大学的校园，清除了大的100名学生的硬盘，其中很多人正在准备学期论文，该学校的发言人JackDunn说。

　　计算机专家指出，如果用户26日那天不启动机器或者重新设置日期，就可以避免病毒的攻击，因为该病毒在计算机系统到达每月26目的时候被激活。

　　虽然从去年开始，该病毒就一直于每月26日发作，但这次的变种是流行最广和最危险的一种。1999年4月份的CIH病毒之所以被叫作Chernobyl病毒，是因为它的发作时期是苏联核事故的周年纪念日，那次事故是一次最严重的技术灾难。大多数防病毒软件都能发现这个病毒，并且最近很多公司为了防范Melissa病毒都升级了他们的保护体系。

　　CIH病毒的阴影已经笼罩全球网络业，如何灭CIH，或者如何防止CIH的攻击成为了网民关注的头等重要大事。

　　国内各杀毒软件厂商，如：瑞星、时代先锋、北信源。冠群金辰等纷纷研制生产其最新软件产品，时代先锋、北信源、冠群金展的产品带有防火墙，可以实时监控，防毒产品也具有杀CIH的功能。这些软件产品无疑对CIH病毒具有一定的封堵查杀作用，但仅通过软件不足以防止住CIH的攻击。

　　身受CIH毒害的人们已经由恐慌而成愤怒，也许离彻底消灭CIH尚有一段距离，但在各方的共同努力下，必将使CIH不再如此猖獗。


　　瘟神“梅利莎”


　　1999年3月26日，对于全世界的计算机用户来说是一个灾难的开始，美国西部时间星期五上午8：00，一种被称为“梅利莎”刚elissa）的电脑病毒像瘟疫般开始在全球蔓延。

　　“梅利莎”病毒源起西欧的一个色情站点新闻讨论组，第一个向NSI报告发现“梅利莎”病毒的大客户当天就有6万台机器感染上了此种病毒。在“梅利莎”开始蔓延后的12－16个小时，这种病毒席卷了全球互联网络。其速度规模之大称得上举世空前。

　　但有人认为“梅利莎”的传输手段并不新鲜，但很狡猾。“你会拒绝接收来自不认识的人的邮件，但是，这种病毒来自你信任的亲朋好友的邮件中，使人防不胜防。”这就是“梅利莎”的诀窍。

　　微软公司也是受害者之一。其发言人称，微软的电子邮件是严格控制的，此次病毒侵袭并未发生泄密事件。但此后包括微软公司在内的数十家跨国公司不得不关闭了他们的邮件服务器。NAI虽然没有接到非Exchange系统受到感染的报告，但依然认为其他的系统也极有可能被感染。美国国家基础设施保护中心（NIPC）的负责人说：“受此病毒影响的公司数目可能已有成千上万2像微软、朗讯和英特尔这样的技术公司也在此列，并且造成了国际影响。

　　其实“梅利莎”病毒只是一个宏病毒，隐藏在一个微软Word97格式的文件里，以附件的方式通过电子邮件传播。邮件的主题是“ImportantMessageFr（。。xx”，在这里xxx就是邮件发送者的姓名。邮件的内容包括两部分：第一部分是文本格式的句子：“He。isthatd。urn。ntyouask，dfor…dontshowanyon，els。；－）’。第二部分是一个名叫“list．doc”的word文件，文件的内容是互联网上的色情站点的网址，当用户在允许运行“宏”的局部下打开这个文件，病毒首先会降低运行“宏”时安全性的设置，让用户以后打开‘宏”时不会出现提示，然后在注册表中创建以下键：

　　“HKEY一Current－UserSwareMrosMOlllceKJls－sa？”，键值一般是“byKwyjbo”。随后病毒会查找用户的outlook或者outlookexpress，自动地把感染的文件发送给用户地址簿中的前50个人。当这50个人再次打入已被感染的文件时，病毒如法炮制，使受感染人数激增。

　　美国CERT星期五下午得到关于“梅利莎”病毒的报告，组织成员连夜分析病毒的组成并寻找病毒源。

　　CERT的管理员说：‘“我们一下子得到来自世界各地的发现该病毒的报告。我们肯定，这将在星期一成为席卷世界计算机的大灾难。”’她将有关此病毒的信息记录下来。

　　CERT10年前曾经有过此类记录，这是美国第2次大范围的发布计算机病毒的公告和详尽的病毒报告。（1994年是第一次，提醒人们警惕一种允许计算机窃贼收集密码的病毒。）美国联邦调查局和美国国家设施保护中心（NIPC）也随即发出病毒警报。

　　许多公司的技术人员放弃了他们的周末，以应付“梅利莎”可能带来的意外情况。很快，技术人员总结出来“梅利莎”病毒的一些特征，并在因特网上公布了一些杀毒方法。但狡猾的“梅利莎”病毒并未就此被剿灭，而是幸运地一次又一次的逃脱了法网。正当企业用户紧急动员起来，严防“梅利莎”时，这种病毒又出现了新的变种——“疯牛”（Madcow）。

　　这种新的“疯牛”病毒在电子邮件主题中显示的内容是“Madcoeqoke”，邮件正文中包含有“bewareofthesPeedoftheMadcow”字样，附带的Word文件名叫“madcow．doc”TrendMicro 反病毒公司称，这种“疯牛”病毒和“梅利莎”病毒非常相似：当用户打开一个电子邮件中附带的Word文件时，病毒就会自动向其Outlook地址簿中的地址发送电子邮件。虽然“疯牛”病毒一次只自动发送20封电子邮件，但它代码储存在一个Word文件的不同部分，使其更难被侦测出来。

　　1999年的3月30日，另一种由“梅利莎”变种的“爸爸”（Papa）也出现了。这种病毒可以挫败电子过滤器，附在微软的EXcelspreadsheet中。并可以躲开许多针对它的反病毒软件补丁。此后又出现了W97M－Melissa等变异的病毒。

　　由于病毒以极快速度进行着自身的变异，技术人员在w＿．send防止com上发布的防“梅利莎”病毒补丁很快就失效了。尽管病毒并不会对个人计算机本身造成损失，但是由于这种病毒可以自动地快速复制并通过电子邮件发送，这将使大量的垃圾邮件像洪水一样蔓延到互联网，最终邮件服务器将因不堪重负而导致死机。

　　“梅利莎”病毒惹下滔天大锅，美国联邦调查局（FBI）也组织人马全力搜捕该病毒的作者。FBI的56个地方分局均参与这一行动。

　　美国联邦调查局有专家发现，编写“梅利莎”病毒的电子‘指纹”与两个病毒信息网站有关。

　　1999年3月30日，与“梅利莎”病毒有牵连的病毒信息网站——Codebreakers．oyg 和Sourceof’kaos。corn被美国联邦调查局强制关闭。这两个网站使用“AIX－Fll”和‘“VicodinES”编写的病毒——“Shiver”和“PSD2000’中，含有和“梅利莎”病毒一楼一样的电子指纹。而““＊u一FI广是h加b＿。卜rs病毒交换组织的成员之一，VlcodinES”在Son。eofkaos上拥有一个分支网站。

　　此外，在“梅利莎”病毒的“SyndiC。ie”变种中，病毒的编写者还在宏代码里面对Codebreakers，org病毒信息网站表示了感谢。

　　两个被关闭网站的网管大喊：冤枉！对联邦调查局的做法表示极大的愤慨，称自己并没有做违法的事情，只不过向大家提供了一些有关病毒的信息。

　　3月31日，为了避免引起联邦调查局的注意，一个名叫“coderz．net”的病毒信息网站主动关闭。

　　通过追踪具有唯一性的序列ID号，调查人员追踪到了一个网站。该网站上文件中的电子“指纹”和被插入Word宏中“梅利莎”病毒上的电子“指纹”一模一样。所谓电子“指纹”，又叫“媒体访问控制”地址，是一台PC机以京网卡上一个也具有惟一性的序列ID号。那个被称之为“全球惟一识别符”（GUID）的序列ID号，包含在使用Office软件和其它一些应用软件生成的文件中。

　　多亏了微软Office软件中那个引起争议的序列ID号（仅几周前，该序列ID号还曾经引起保护个人隐私者的责难，认为它能够被用来追踪某一确定文件的作者），研究人员找到了“梅利莎”病毒的编写者。两位软件工程师从“梅利莎”病毒中提取的信息看起来和“美国在线”的一个账号及一个网站有关，这些资料也许可以使执法人员找出“梅利莎”病毒的编写者。

　　这个被追查出来的网站属于一个电脑黑客。这个黑客是好几种病毒工具的编写者，拥有众多个化名，包括Vi－codinESSkyRoket，johnHolmes等，其中，SkyRoket是其在“美国在线”上使用的用户名，也正是那个最先把含有“梅利莎”病毒的电子邮件张贴在aft．sex 新闻组的人。

　　SkyRoket这个用户名的控制者有较长的张贴病毒史，至少有3个张贴于1997年晚些时候的病毒采用了同样的方式。从dora文件“全球惟一识别符”中提取的“媒体访问控制”地址，和众多网站上注册人为VicodinES和SkyRoket所编写文件中的“媒体访问控制”地址极其吻合，这一发现为最终抓获“梅利莎”的创造者也不例外。

　　随着调查的深入，调查人员发现，“SkyRoket”不过是一个虚拟的罪犯，这个用户名是病毒制造者从一个“美国在线”的用户那儿偷来的。于是案情显得更加扑朔迷离。

　　跟踪这个15个月以前被输的账号，“美国在线”与国家计算机专家根据内部的一项调查发现了使用该账号的方向是在新泽西州，终于发现了嫌疑犯的电话号码。参与此案的联邦调查员不愿详细解释他们是如何跟踪“梅利莎”找到史密斯的电话号码的。“无论怎么伪装，通常会留下蛛丝马迹的。

　　4月1日晚上，美国联邦和州特工人员组成的突击队将犯罪嫌疑人史密斯逮捕归案，当时他正在伊顿敦附近的史弟家中。随后美国新泽西州举行新闻发布会宣告了这一消息。

　　今年3O岁的史密斯曾在AT＆T的一家转包合同公司当网络程序员。史密斯是在阿伯丁的住所炮制电子邮件病毒的，并以佛罗里达的一位脱衣女的名字将病毒命名为“梅利莎”（也有人称是用比尔·盖茨的妻子的名字命名的）。调查人员搜查了史密斯的家，但是并未透露查出何物，警察从史密斯家中查封了一些厚纸板箱和公文包。美国国家计算机分析组织负责人说，史密斯盗用了美国在线的账号在公寓制造并传播“梅利莎”病毒。

　　虽然史密斯的被捕让人们松了一口气，但“梅利莎”事件似乎远未结束。在史密斯被捕前，很少有人因制造电脑病毒而被美国调查当局逮捕。这次是个例外，美国联邦调查局对已经造成巨大危害的“梅利莎”病毒事件给予了高度重视。而对史密斯的审判结果也将直接影响今后美国乃至全球对电脑犯罪行为的打击。

　　美国国家基础设施保护中心的负责人Micha。IA．Van。表示，根据美国联邦调查局法律规定，任何个人或团体蓄意将这种会吞噬大量网络和计算机资源的病毒传播出去并造成了破坏，将受到5－10年的监禁处罚，并处25万美元的罚金。

　　据报道，史密斯将被指控犯有干扰国家公共通信罪、图谋干扰国家公共通信罪、试图干扰国家公共通信罪和阴谋盗窃计算机服务罪。如果罪名成立，他有可能被处以最高40年的监禁和48万美元的罚款。目前史密斯被保释，保释金额为10万美元。法庭将于4月5日开庭审理此案。

　　在美国新泽西州举行的新闻发布会上，新泽西地区首席检察官认为彻底消除‘梅利莎”病毒的影响还需要一个较长的时间，他同时指出“梅利莎”极有可能已蔓延到中国和日本等亚洲国家。

　　国家信息产业部的赵粮博士表示：由于我国使用因特网的用户较少，到目前为止并没有接受到“梅利莎”病毒危害的报告，信息产业部有关部门也正密切关注着这方面的事态。

　　专家们认为由于“梅利莎”病毒有许多明显的特征，因此是可以识别的。计算机安全专家告诫用户检查自己的注册表，并不要打开有上述特征的WOrd文档。NAI也在自己的网站（http:w。avertlabs．corn）发布了病毒信息和病毒代码，并公布了其他计算机安全公司病毒软件升级的地址。

　　如果你已经收到了包括上述信息的邮件，可以根据NAI的报告来谨慎处理，以防止其他人感染同样的病毒。微软在其站点上也公布了相关信息。

　　计算机安全专家预测，如果用户处理得当，这种病毒不会有更大的危害，但当今的互联网上，制造病毒手段之高超、传播速度之快已成为许多计算机安全专家越来越关注的问题。组织安全专家们希望配置新工具，保护网络不受入侵，包括在其引起大面积侵害之前自动识别并删除病毒。