CIH病毒诞生27周年：首个破坏硬件的切尔诺贝利病毒始末

今年是CIH病毒诞生二十七周年。这款仅占用一千字节空间的程序，曾是全球最早具备直接破坏计算机硬件能力的恶意代码之一，其对物理设备的损毁能力，在此后多年间罕有其他恶意软件能够企及。

该病毒于一九九八年六月在台湾首次被识别，迅速波及数十万台运行Windows 9x操作系统的设备。受感染的计算机普遍遭遇硬盘数据被彻底擦除、主板BIOS芯片被写入无效指令等严重后果，大量机器因此永久性失能。由于其最广为传播的1.2版本设定在每年四月二十六日触发，恰与切尔诺贝利核事故纪念日重合，故得名“切尔诺贝利病毒”。

CIH由当时就读于台湾大同大学的一名学生编写。它采用“空间填充”技术，不通过附加代码方式感染文件，而是将自身指令拆解后嵌入Windows可执行文件代码段内原本预留的空白区域。因此，被感染文件的体积、校验值均无变化，成功规避了当时主流安全产品依赖文件大小比对的检测逻辑。

病毒激活后，利用系统漏洞提升权限，在用户运行任意可执行程序时悄然完成传播。其作用范围严格限定于Windows 95、98及ME系统，对Windows NT架构则完全无效。

一九九八年夏季，CIH借由盗版软件广泛扩散，甚至渗入部分正规发行渠道：某国际品牌家用电脑出厂预装系统中即含该病毒；某知名音频设备厂商发布的光驱固件更新包亦遭污染；另有多场技术会议分发的工具软件同样携带此恶意代码。

据事后统计，全球约六千万台设备受到感染，造成的直接经济损失估计达四千万美元。病毒发作时，首先覆盖系统启动分区的关键信息并破坏硬盘分区结构，继而向主板BIOS芯片写入错误数据。一旦BIOS被成功覆写，设备将无法完成加电自检，必须更换BIOS芯片方可恢复基本功能。

事件发生后，受限于当时当地法律框架，因未出现正式刑事控告，编写者未承担法律责任。其本人表示，开发初衷在于检验并揭示部分安全厂商对查杀能力的过度宣传。此次事件亦成为推动相关地区完善计算机犯罪立法的重要契机。