CIH病毒引发杀毒软件大战 李学凌 1998年 第35期 01版 #1  8月31日,公安部为一个病毒发布了一份通报,要求各地计算机管理监察处严加防范一种新的病毒。随后,中央电视台在晚间新闻中播报了这一条消息,一转眼间,多家防病毒软件公司纷纷出手,宣布自己能安全杀除这一病毒,并以此大肆向社会宣传他们高超的杀毒能力。一个病毒通告演化成了几种杀病毒软件之间的宣传大战,这个病毒就叫CIH。 #1CIH起风波   公安部的通告使得电脑病毒再次成为社会关注的焦点,电脑用户已经渐渐平息了的、对电脑病毒的防范心理再一次被深深触动。在互联网络上也出现了关于CIH的大篇幅讨论,而且由于病毒知识的缺乏,使得一些电脑用户对病毒的危害不甚清楚,产生了不必要的恐惧。   现在一时还说不清楚,CIH病毒是怎样传入我国的,记者查到的唯一正式报道是《中国计算机报》9月3日的报道 ,报道称:最近,电子艺界(Electronic Arts)在它的站点上公布了它的游戏软件“飞行指挥员”(Wing Commander)的一个续集,供游戏爱好者免费下载,在这个游戏的最初一些拷贝里染上了CIH病毒。据了解,国内在4月26日就有人受到了CIH病毒的攻击。   CIH病毒发作时,会改写一些特定品牌主板的BIOS,使其中的数据出错。一般用户的电脑如果受到了CIH病毒的攻击,就只好到主板生产厂家去请求帮助,由厂家用特殊的办法重新刷新BIOS。而对于那些生产厂家在国内没有分支机构的主板,就只能以报废处理。可以说,CIH是迄今为止、唯一有效破坏硬件的病毒。CIH有四、五种变种,据分析,它的原版并不具备破坏力,而且编写得不太完善,感染该病毒的程序,长度会发生改变(这是一般用户判断病毒最有效的办法),但CIH的变种改进了一些功能,不再改变染毒程序的长度,而且加入了改写BIOS的功能,病毒的发作也被改得越来越频繁,使之成为有史以来最为恶性的病毒。 #1CIH与DIR2   如果仅凭CIH恶劣的破坏能力,它还不能引起电脑软件业如此的关注,CIH之所以与一般病毒不同,就在于它是一个纯Windows病毒。CIH使用了Win95和Win98最先进的虚拟设备驱动(VxD)技术,利用了Win95、Win98可执行文件(PE)系统的漏洞,因而使用DOS、Win3.2操作系统的用户不会受到这种病毒的攻击。CIH开创了病毒技术的新思维,它一出现就突破了所有病毒防范软件的阻挡,使那些"预防未知病毒"的宣传再次沦为笑谈。   记者曾与KV300杀毒软件的编写人王江民谈论过近一个时期以来新病毒发展的情况。大家普遍的认同是,由于Win95的出现,使得操作系统具有了极大的复杂性,喜欢编写病毒软件的大学生不太了解Windows系统,因而自1995年以来,病毒技术没有太大的发展,新病毒减少了许多,而且绝大多数病毒只是在以往病毒的基础上作了一些改造,并没有太大创新。当时记者认为,除了Win95的复杂性外,网络的风行也使得一些病毒编写者的兴趣有所转移。CIH的出现给所有的人敲响了警钟:病毒在世界上并没有趋于消亡,而是那些病毒编写者需要一段时间来了解Windows系统!CIH的出现说明,已经有许多电脑爱者开始像当年了解DOS系统那样了解Windows,他们正渐渐熟悉Windows的每一行代码,可以从Windows的底层找到漏洞。用一个不太确切的词来形容:CIH是继WORD宏病毒之后又一个划时代的作品。   这样的作品并不多,在WORD宏病毒之前,只有一种病毒可以与之媲美,它就是DIR2。DIR2是一场大战的终结者。   许多在京的电脑爱好者可能还记得,在1994年前后,在北京紫竹院公园对面瑞星公司树起的那幅巨型广告。面对那只巨大的苍蝇,人们必定要想,防电脑病毒,是用防毒卡好,还是用防毒软件好。防病毒卡可以插在电脑里,由于它不可改写,所以没有感染病毒的危险,但防病毒卡很难升级,所以能否防住未知病毒成了防病毒卡能否存在的关键。防病毒卡的生产厂家认为能够找到病毒的最基本特征,所以能够防住所有已知和未知的病毒。DIR2病毒的出现,彻底打破了防病毒卡公司的“信仰”,它突破了所有防病毒卡的封锁,把一种全新的病毒理念诠释给世界。它不具有以往人们认定病毒的明显特征,它改写了DOS系统,使自己不被发现,但它实实在在是一个病毒。   从此以后,防病毒卡一落千丈,最终悄然退出市场。王江民的KV300系列脱颖而出,以其开放性和快速更新成为杀病毒软件市场上无法挑战的盟主。 #1CIH 大洗牌的开始?   KV300一直在升级(已升到W+版),也据此获得了用户的信任,用户突破100万,但无法改变的现实是,KV300是一个基于DOS的软件。王江民告诉记者,早在7月份,KV300就将能够安全杀除CIH病毒的新版本放到了网上,用KV300完全可以彻底杀除CIH。但这并不意味着KV300可以稳坐杀病毒软件的第一把交椅,因为竞争者已经来了。8月份,美国CA公司宣布与公安部下属的金辰公司合资,成立新的软件开发公司。金辰公司总经理段践冰曾骄傲地对记者说,由于CA公司与微软良好的关系,金辰公司拥有微软Win95、Win98的全部源代码(据说,微软到现在也没有公布Win95的内核),因而金辰可以充分利用Win95、Win98底层的性能和未公布的内核来开发他们的反病毒软件。曾经因为死守防毒卡而沉寂了近三年的瑞星公司最近显然“死灰复燃”,他们的产品在多个排行榜上频频亮相,而这一次,据说是他们最先发现和杀死CIH病毒。   1998年,江民公司推出了KV300+,这个产品已经允许用户把专杀宏病毒的部分执行程序安装到硬盘中去,这样一来,用户不必每次都要从软盘中调出软件,方便了许多。和无数KV300用户一样,记者也十分关心江民公司什么时候才会推新一代产品(比如KV400)。为此,记者特意询问了江民公司的高宁女士。据高宁透露,江民公司今年内将同一家世界著名的杀毒软件公司合作,双方共同推出KV300系列的新产品,届时,KV300将变成一个跨平台的网络杀毒软件,可以同时在Windows98、Windows NT和UNIX等系统上全方位防杀病毒。   不论怎么说,CIH病毒成就了Windows杀毒软件时代的到来。这是一次大的变革,是老牌公司面临的一次挑战,是新兴公司的一次机遇。每一个站在十字路口的企业都必须认真面对这种变革,我们希望市场上能有新的公司崛起,也希望那些已经取得成就的公司走好。   这个时代,没有“IT不败”的神话。