啥年代了，850万台电脑还能蓝屏死机

酷玩实验室原创作品

7月19日，全世界约850万台安装了Windows系统的电脑，集体陷入蓝屏死机。

事出突然，美国、加拿大、澳大利亚、英国、日本等多个国家的航班停飞、手术中断、物流卡顿，乱成了一锅粥。

恰逢周五，打工人们面对突然罢工的生产力工具，空气中都弥漫着悲伤的气氛。

事故的原因很简单，总部位于美国的云端安全服务供应商CrowdStrike更新了自家的防病毒软件，结果和Windows系统发生了冲突，导致了这一波大规模的蓝屏重启。

朋友问我，为什么国内的微软系统没事啊，难不成我们真是天选打工人？

很简单，咱们有自己的安全杀毒软件。

可能现在很多人都不知道杀毒软件为何物了，但在21世纪初，电脑病毒还是非常普遍的存在。

你在深夜偷偷打开的小网站，邮箱里莫名其妙的中奖链接，以及看起来绿色无害的软件下载网页，都可能暗藏端倪。

ILOVEYOU病毒、蠕虫病毒、熊猫烧香、冲击波木马……几乎每种病毒都感染了数以百万计的电脑，在全球造成大规模破坏。

但某一天，肆虐全球互联网的病毒，突然就销声匿迹了。

2004年，中国计算机用户病毒感染率为87.9％，按当时我国5299万台的PC总量来算，就是4600多万台电脑中毒。

到2016年，猎豹移动安全实验室的报告显示，全年捕获病毒样本总量为3952万个，相比起2015年的1.046亿个，直接减少62.2%；360公司也得出了类似的结论，他们拦截的病毒攻击同比2015年下降26.7%。

而《2020年中国互联网网络安全报告》的数据显示，当年我国中毒电脑总数为534万台，不管是绝对数量还是比例，都大幅下降。

电脑病毒，到底是如何出现的？又为什么消亡了？

01：炫技

1982年，《时代》杂志的“年度风云人物”榜上，出现了一个新鲜玩意儿：

个人电脑。

这一年，微型计算机开始进入美国家庭，技术浪潮之下，英特尔、IBM、微软、索尼一派勃勃生机万物竞发，而15岁的高中生里奇·斯克伦塔（Rich Skrenta）也闲来无事，编写了一段针对苹果计算机的病毒程序Elk Cloner。

说是病毒，Elk Cloner其实更像一种熊孩子的恶作剧。

当时，很多人都习惯共用软盘安装系统程序，斯克伦塔将Elk Cloner存在软盘上，一旦计算机启动，程序会自动拷贝到其它未感染的软盘中，像病毒一般传播。

被感染的电脑每启动50次，屏幕就会突然跳出一段绿莹莹的话：

警告，此处Cloner出没，它会像胶水一样粘着你。

好比千禧年流行过一段时间的那种“不要打开这个邮件，里面有你想象不到的内容。”

等你打开想一探究竟，屏幕那头冷不丁会会冒出一个眼睛冒血、披头散发的贞子，伴随着恐怖的音效蹿到跟前，吓人一跳。

斯克伦塔拿着Elk Cloner到处霍霍同学老师，本质上就是炫技，杀伤性不大，烦人性极强。

但当恶作剧触及到利益，利害便开始升级。

1987年，一对巴基斯坦兄弟开了一家公司，主要是卖电脑和软件。

本来是好事一桩，奈何当时盗版软件横行，俩人吭哧哼哧编写的程序，老是被人白嫖，一气之下，干脆搞了个「大脑病毒」，植入自己原创的软件。

一旦有人盗版，病毒就会发作，占据磁盘的剩余空间，导致电脑运行速度严重拖慢。

怎么办呢？

兄弟俩贴心地在病毒弹窗中放上了自己的电话号码，小样，来求我啊。

盗拷软件的人没办法，只能付费请两人修电脑，并乖乖安装正版软件。

有病毒，自然就有杀毒。

站在厂商的角度，我卖电脑程序的，高科技产品，动辄被病毒干扰，我不要面子的吗？

于是计算机在“出厂设置”阶段就加入了防御措施，拿Windows 3.0来说，微软开启了保护模式和保护环的概念，让自己的系统内核以及设备驱动拥有比应用程序更高的权限。

每当病毒发作，官方系统就可以凭借更高权限，来个“官大一级压死人”，直接给你灭了。

这又激起了技术自由主义的胜负欲——人写的代码，肯定有漏洞，我就专门找这些系统漏洞绕过防御，发动攻击。

1999年爆发的CIH病毒，就利用了Windows95/98系统中的检测漏洞。

它非常狡猾地将病毒本体分成了好几个部分，然后隐藏到不同的运行程序下。由于拆分的数据过小，系统感知不到内存变大，就会当作统计误差给忽略掉，自然无法阻止病毒发作。

CIH病毒感染之后，会直接覆盖掉磁盘上的关键信息造成蓝屏，甚至会破坏BIOS，重装都不好使，还可能直接损坏硬件。

据统计，CIH病毒感染了全球数百万台电脑，造成的损失超过10亿美元。

感染CIH后的蓝屏界面

2006年末，熊猫烧香病毒又席卷中国，感染了几百万台电脑。

它利用Windows的漏洞跟exe程序捆绑在一起，只要运行就会释放病毒，不仅会破坏所有的exe程序，将图标变成熊猫，还会删除掉后缀为gho的备份文件，让电脑无法还原。

当时的Windows还存在一个共享漏洞，局域网中的计算机缺乏隔离。

熊猫烧香也利用了这个漏洞，很多网吧、计算机教室、企业机房，只要有一台电脑感染，其余的电脑全部在劫难逃。

02：猫鼠游戏

厂商这边肯定不能坐以待毙。

这边黑客们发现漏洞制造病毒，那边厂商就打起补丁补上窟窿。

90年代末，计算机巨头相继建立了专门的安全部门，每天高强度盯着全球各地爆发的病毒，分析这个病毒利用了哪个漏洞，然后光速推出相应的系统补丁。

你来我往，修修补补，宛如一场猫鼠游戏。

只不过，这个补丁有个巨大的bug——得花钱。

用户需要自己购买对应的软盘或者光盘来安装，要么就得去官网下载安装，比较麻烦，很多人都不愿意折腾。

像是熊猫烧香，在安全专家眼中根本没什么技术含量，它利用的漏洞，微软早在一年前就发布了修复补丁。

但就像你会选择性忽视系统更新一样，不到不能用，谁会去管那个更新提示啊。

中国信息协会

等到真的不能用了，用户的第一反应也是找官方解决——呼叫人工客服，我要投诉。

在吃瘪无数次之后，巨头们终于想到了，还是给用户老爷们现成的吧。

直接在系统里推送更新包，自动解压自动安装，只要连了网就可以快速打补丁，这种思路的典型代表产物就是Windows Update。

Windows Update上线后，微软固定每星期二向用户推送补丁，修复最新发现的安全漏洞，如果出现重大威胁，则补丁制作完成就立即推送，Adobe、甲骨文等也纷纷效仿这种制度，因此业内出现了一个梗——“补丁星期二”。

线上推送补丁的出现，让病毒泛滥的时间窗口大大缩短了，很多新病毒刚刚开始传播，还没来得及出现在我们眼前，就在下个星期二灰飞烟灭。

与此同时，厂商对于权限的控制，也越来越严格。

喜欢捣鼓手机的人都知道，要玩透iPhone，必须得越狱，而安卓机则需要root，其原因在于，iOS和安卓有大量的高级权限不对应用程序开放，必须要破解系统才能绕开限制。

PC端也是同样的道理。早年的Windows主要采用黑名单机制，拒绝一些特定恶意程序的使用权限。

不过随着猫鼠游戏升级，威胁增加，Windows逐步改为了白名单机制，白名单内就是值得信任的homie。

而对于不受信任的来源、发布者未知的程序，全部一刀切，在用户手动确认前，系统不会给予任何权限。

这样一来，只要用户还没有莽到一路开绿灯，病毒基本上就没机会作乱。

厂商的补丁和黑名单，多数时候是为了抵御已知的病毒，还有一些漏网之鱼该怎么办？

这就需要杀毒软件了。

早在1989年，世界上就诞生了首个杀毒软件「迈克菲」，历史几乎跟电脑病毒一样悠久。

今天的网络红人雷军，90年代初期也是靠编写杀毒软件，赚到了人生的第一桶金。后来知名的金山毒霸，同样出自雷军之手。

与金山毒霸齐名的杀毒软件，还有小红伞、诺顿、瑞星、江民、360杀毒……

其中必须提一嘴的，就是这个江民杀毒软件。

早期杀毒软件的基本原理，是收集病毒最有特征的部分代码。如果扫描到某个程序或者文件中包含这些代码，就清除或者隔离开。

这种模式就是所谓的“特征码”。

“特征码”就像给系统打补丁一样，需要预先“认识”病毒特征，对新冒出来的病毒下不了手，时效性比较差。

而江民科技采用了一种名叫广谱特征码的方法。因为他们发现，网络上流行的海量病毒，大多是某几种病毒的变体，只要提取这些病毒共有的那部分特征码，也就是广谱码，拿一个码通杀一个大类电脑病毒。

如果未来出现新的变体，不用更新数据库就能查出病毒。

（江民科技创始人王江民）

那这些海量病毒从哪里来呢？

瑞星、金山、360等杀毒软件，搞了一个实时更新的病毒数据库，不同病毒的特征码能快速到达每个终端，联合击杀。

要是特征码越攒越多，占用过多内存怎么办？

大伙儿又搞了个云查杀功能。杀毒软件会把可疑文件的特征和行为模式，汇报到云端的服务器，让服务器分配更多资源、调用更多特征库进一步确认，或者检索下中同样的文件是否破坏了其它用户的电脑，避免错杀或者错放。

此后，杀毒软件又相继引入了沙盒机制，它会创造一个模拟的系统，把可疑的程序放进去运行，看看它会干什么。很多傻乎乎的病毒就这么信以为真，在模拟的环境中大搞破坏，然后就原形毕露了。

猫都学会骗耗子了，这还怎么玩？

03：根本问题

实际上，不管是早期的炫技，还是后来的猫鼠游戏，病毒的出现，本质上还是背后的人在操纵。

而伴随着电脑的普及，病毒带来的影响，也在日趋严重。

所以，要解决病毒，更高效的方法是解决制作病毒的人。

CIH病毒爆发仅仅四天之后，它的编写者，中国台湾黑客陈盈豪，就被警方逮捕。由于当时台湾省法规中不存在关于制作电脑病毒的处罚，陈盈豪没有被起诉。

不过发布熊猫烧香的李俊就没有这么幸运了，他因为熊猫烧香病毒非法获利10万多，喜提破坏计算机信息系统罪，被判处有期徒刑四年。

进入21世纪后，世界各国普遍加大了对电脑病毒制作、散播者的打击力度，没有法条可依，那就立法，没有执法部门管这事，就创建一个新的部门。

在中国，这个部门就是公安部网络安全保卫局。在2018年的净网行动中，他们组织侦破网络犯罪案件5.7万起，抓获犯罪嫌疑人8.3万多人。

（人民公安报）

互联网不是法外之地，瞎搞病毒是要牢底坐穿的。

不是，你当黑客的，都没法隐藏自己的身份吗？

可以是可以，但黑客总是想收钱的吧，钱能追查到吧。

而且，财大气粗的巨头厂商们，也开始向黑客们“招安”了。

系统上线之前，广请天下英雄来查找漏洞，发现一个，真金白银地打赏。

好比梁山好汉招安，一边是胆战心惊地犯罪，一边是光明正大地赚钱，就问你干不干。

仅2021年一年，微软就给46个国家的335名黑客，发放了1370万美元的漏洞赏金，其中最大的一笔奖励高达20万美元，算成人民币都超百万了。同一时间，苹果也给出了总共100万美元的赏金，而谷歌现在已经把单个漏洞的赏金提高到了15万美元。

很多原本潜藏在暗处的黑客，因为发现关键漏洞，得到了巨头的赏识，甚至跳过寒窗苦读、艰难求职阶段，当场入职世界五百强企业，成为安全团队的一员，靠本事赚钱，还有了个更酷的Title——白客。

2017年腾讯安全团队中的白客攻破特斯拉的防御，震惊全球

左手大棒、右手胡萝之下，针对个人的电脑病毒日渐式微，进一步导致了杀毒软件的凋零。

十几年前，一套杀毒软件要价两三百元，有些杀软订阅数据库更新还需要持续付费，否则就不能防御最新的病毒。

在针对个人计算机的攻击逐渐减少后，杀毒软件市场迅速萎缩。

大家纷纷调整战略，360率先推出了免费模式，个人用户不需要付一分钱就可以享受保护，2010年，金山也宣布免费，半年之后，瑞星跟进，对个人用户免费。

2014年，微软又亲自下场，在新推出的Windows10操作系统中，内置了免费的杀毒功能Windows Defender，用户实际上不用再额外安装杀毒软件，就能抵御大部分威胁。

在残酷的竞争中，大批杀毒软件走向没落，江民、金山毒霸从火遍全国到无人问津，连瑞星这个曾经的行业龙头都已经销声匿迹，桌面角落打瞌睡的小狮子，留在了大家的回忆里。

幸存下来的企业，也走上了曲线赚钱的路。

像360，就是通过各种弹窗广告、捆绑安装软件、修改用户首页、搜索页面……等来收取广告费和渠道费，填上利润的窟窿。

这些收入，占了360总营收的一半以上。

曾经的勇士似乎变成了“恶龙”，所谓“一切早已暗中标好了价格”，可能就是如此吧。

尾声：威胁消失了吗？

随着监管下场，厂商与杀毒软件的三方合力，针对个人电脑的攻击，变成了一桩没有“性价比”的生意。

你费劲吧啦黑了一台电脑，发现对方账户里钱还不够喝杯奶茶，图啥呢。

于是，黑客们不再对低价值的个人电脑大开杀戒，而是用病毒集中攻击高价值的企业、机构电脑，锁死其中的宝贵的数据，进而勒索企业，赎金也用比特币支付，难以追踪去向，执法者束手无策。

其中典型，就是WannaCry。

在WannaCry第一波攻击中，英格兰/苏格兰的医疗系统瘫痪，不久之后，日产和雷诺的欧洲工厂也被WannaCry击溃，再接着就是西班牙联邦快递、德国铁路、波音公司、台积电……

相比起感染百万电脑的CIH和熊猫烧香，“仅仅”瘫痪了20万电脑的WannaCry，却造成了40亿美元的损失，这还没有算上各大企业机构支付的赎金，毕竟他们要么急于恢复系统，要么就是保存了珍贵的商机机密，被撕票就麻烦大了。

并且病毒爆发后，半个世界的执法力量都在寻找攻击的发起者，但这么多年过去，幕后真凶依然成谜，WannaCry，想哭，确实令人想哭。

根据国家计算机病毒应急处理中心的说法：

“2023年，针对我国个人用户的计算机病毒攻击事件数量呈现进一步下降趋势；

与此同时，针对组织机构的计算机病毒攻击与去年同期相比则呈现上升趋势。

这反映出攻击者在对攻击目标的选择上具有明显的趋利性，相对于个人用户，攻击组织机构明显具有更高的潜在收益。教育、金融、卫健等领域的关键信息基础设施由于承载了大量公民敏感个人信息，成为2023年黑客攻击窃取数据的重点目标。”

现如今，在暗网黑市上，一个可以用于制作病毒的Windows系统漏洞，依然可以卖到十几万乃至几十万美元，就在今年四月份，暗网上还有人挂出了iOS系统的重大漏洞，要价200万美元。

所以，电脑病毒从未真正消失，它们只是转移了攻击目标，我们的电脑榨不出什么油水，不值得黑客们冒着坐牢风险攻破重重防御，袭击企业的电脑才是划算的买卖。

猫和老鼠的游戏，还在继续上演，只是转移到了普通人看不见的地方。

酷玩实验室整理编