ie卡死专题之那些年追过我的电脑病毒

看到想哭(wannacry)病毒如此泛滥，唤起了老炮的回忆，今天老炮都带走了我在IT 20年里遇到的那些病毒。

一、“欲哭无泪”的病毒：CIH

大概是2000年左右，哥们当时给一家土财主做网吧，那时也没啥大的工程，一家200多台的电脑就算是大工程了。有一天老板打电话，说好几台机器无法启动了，我当时以为也就是硬件坏了，到了才发现是被病毒感染了。

出现的屏幕大概像下面，印象中就是无法启动，后来才知道这叫CIH，

NND，欲哭无泪呀，遇到这情况哥没别的办法，有人说赶快百度呀，BAIDU？那时我只知道sohu,基本上sohu也查不到啥，那个时代如果找资料请看电脑报。

后来遇到此问题就俩招

1、换主板，另外为了防止病毒，硬盘都得格了重装；

2、如果换返厂麻烦，有时就换BIOS芯片，那时BIOS芯片挺好拔的。一个多针脚的芯片，可以刷来刷去（做无盘工作站也用它。。。扯远了)

回想起来，这病毒真够狠，BIOS都破坏掉，那可是直接废主板哪，2000年便宜点的主板都要500多一块，还好病毒传染的不快，毕竟那时互联网不发达，网速也就聊个QQ，U盘还不普及，感染个病毒还没到达主机，网络已经掉线；但也够折腾人的，遇到一个就得重装系统，所以想想当时ghost简直是IT行业最伟大的发明。不行就Ghost，如果会个Ghost至少月薪300，因为你只要会Ghost就能当网管了。

由此也成就了一些国产杀毒软件，瑞星、江民就是从此火起来的；毕竟当时他们还能杀能防。

Win95/98/win me都逃不了它的威胁，那时候谁家网吧没中过CIH，你都不好意思和人家说你开网吧的。

这病毒后来才知道从98年—2003年一直在活跃。

（朋友疑问：为啥没有家用电脑中招。答：2000年买电脑的都是有钱人，电脑普及率低，个人影响面不大。）

二、最土匪的小偷—灰鸽子

貌似这病毒叫G_SERVER,这其实是一款木马程序，原意是为了远程控制电脑做些远程操作的，没想到被不法之徒加以利用，基本都是被恶意安装到某些机器上的，泛滥在2001–2003，网吧最火的那几年，这病毒专门盗号，盗QQ号，说它是最土匪的小偷一点不过分，不像现在你丢了东西了还给你发个短信让你拿钱赎回，那时丢了号你根本找不到人影。另外那时没啥Qq密码保护的意识，丢了可惜的是号里的妹子，不是号的价值，大不了丢了在重新再申请，6位的难申请，8九位的号多的是；还有的偷游戏号的，卖了装备就还你，这小偷还算仁义的。

这病毒中招了一般就是感觉机器慢，看任务管理器会发现有个占用资源很大的未知进程，那时候的机器本来就不快，一个程序要占用个CPU的20%，立马就感知到了，但网吧的机器一般配置较高有时感知不到，所以网吧PC感染的最多。（后来又出现了一种通称肉鸡的病毒，基本都类似，据说有的还能控制摄像头，我是没见过）

此时又勾起我伤心的回忆，想起我在网吧丢的那个6位QQ我就恨哪，我想对那个号的的妹子们说：不是哥不联系你们了，是号丢了，不要留恋哥，就当哥是个传说。

还好我还有一个6位号，这个号怕丢我不用了，已经加密了，手机找回功能也开通了，给了媳妇做传家宝，将来留给我儿子泡妞得瑟去。（估计到时儿子接手6位QQ第一件事就是：爸我能帮你把你QQ这些大妈号删除吗？..泪奔中）

三、病毒界俩大波霸—“冲击波和震荡波”

下图是他俩犯病的样子，其实他俩是在不同时间出现，但症状都差不多，都提示“您的系统即将重启”，跟定时炸弹一样，还计时呢。

大概是在2004年左右出现的，表现症状就是遇到提示后频繁重启，那时还有杀毒软件呢，虽然当时用的诺顿，可是没防住，只好换瑞星，特意买的正版瑞星150一套专门干这活，其实有时都杀不彻底，根治的方法只能重装，因为有些文件病毒是被杀掉了，系统也被破坏了，为此当时微软还出了补丁，由此我们才开始部署了WSUS（微软的补丁管理），至此做IT的才发现打补丁是多么重要的事。

画外音：瑞星那几年还是挺大贡献的。诺顿现在市场低迷，貌似也是冲击波搞垮的，毕竟当时没给力。

四、最搞笑的病毒–熊猫烧香

说起这个病毒，我为啥说他搞笑呢？其实我并没有遇到多大危害，一是当时全网部署了企业版本的杀毒软件，二是他的破坏性并不大，也就是把所有文件变成了熊猫的样子，也不影响执行。看着熊猫的图标也很可爱的，但互联网舆论已开始，市场的口号就是“遇到熊猫果断关机”；可能我也没遇到变种的，也许防护的比较严；并且用户U盘或光盘的自动播放功能全关闭了，光驱全卸载了，那时公司的机器插U盘都要管理员授权的，所以相对很安全的。

但即使这样，也是见过一两次，毕竟有还有那把病毒软件给关闭的病毒，这时候瑞星也不行了，卡巴斯基展风采，但也有循环中招的，遇到此毒关机格式化，不给病毒留尾巴。用户想文件恢复？不好意思，拒了，有啥资料比病毒泛滥更重要。

五、史上最流氓软件病毒，没有之一—–3721恶意插件

看到这个，有人肯定知道我想说哪个病毒；有网友说，人家现在洗白白了，你还提那陈年旧事，毕竟现在也是有贡献的。

回忆吗，不能忘记这个历史；有人说：这是恶意插件，不算病毒。但微软在2005把它定义为病毒了，这个不是我说的，而且我也认为它就是病毒。

其实3721原来只是一个中文域名网站，3721“网络实名”，是第三代中文上网方式，用户无需记忆复杂的域名，直接在浏览器地址栏中输入中文名字，就能直达企业网站或者找到企业、产品信息。本意没毛病，对于当年一些记英文站点很难的用户（hao123就是这个刚需来的），这是个好事，只是推广的方法太恶心了，强制在IE添加工具栏，有些免费工具、ghost系统强制安装，关键是它卸载不干净，一般卸载后要IE恢复初始，顽固像狗屁膏药；后来出了一个雅虎助手专门治理它的，把其它厂商的恶意软件倒卸载了，等到卸载雅虎助手时又无法卸载了，才知道什么叫“引狼入室”，后来才知道都是老周一人的杰作，套路太深。

随着网络营销的发展，3721这种推广方式得到泛滥，各种IE插件、首页更改随之而来，一帮网络推广发现这招不错纷纷效仿，有时这种恶意插件感染多了，IE不断的踢出一个个窗口，最后卡死IE，解决的办法IE恢复不好使，重装系统才有效。

当时很多杀毒软件厂商注意力还集中在病毒上，对这种新型的方法有点茫然不知所措，因为你把它定位为病毒吧不合适，不定为病毒吧，它的危害和恶习程度比病毒还可怕，所以当时众多杀毒厂商被此软件搞得很懵逼，当然也有不错的，例如卡巴斯基解决这种问题还不错，所以卡巴在当年还是火了一阵；这时，360赶在此时横空出世，简直就是救网民与水火，一个个不明背景的网民大赞360厚道，关键360而且还和卡巴搞了个合作，安装360送半年卡巴服务费，网民感觉就是欢欣鼓舞，仁义呀；因为360负责阻挡自家生产的恶意软件，卡巴负责杀毒，这是强强联手，虽说把机器搞的死慢，至少没病毒安心那。原以为是双赢的结果，没想到半年就把卡巴删除合作了，自己推了一个360杀毒，总之这是套路呀。

等广大网民慢慢苏醒的时候，可是已完全被被套牢，因为市场上管用的免费的杀毒软件已不多。

但说句公道话：360的补丁管理、漏洞扫描、软件安装还是很有创见性的，毕竟所见即所得的方式降低了IT知识的门槛。（抛开后面的利益谈）

六、累傻小子病毒–挖矿病毒

这病毒一般感染了没啥感觉，你就是感觉磁盘空间怎么消耗的这么快，你会发现一个占用系统资源特别大的进程，关键它不止感染Windows还感染Linux。感染了也问题不大，它也不干啥别的事就是让你的机器替它干活，干啥活，挖矿呗。这还不是比特币升值闹的，自己机器资源不够到网上找肉鸡帮他干，你说它这种行为这是不是累傻小子。（关键后来我研究了比特币，我发现它主要吃Gpu，但我就好奇了我一服务器的Gpu能有多大值得你耗时耗力不远万里铺设嘛。）

后来我重装了系统关闭了服务的联网功能，就再也没遇到过。

七、最绅士的黑社会–Wannacry，想哭

网上对它的状态描述已经够多，我不再补充，从去年到现在我遇到二次，一次被我恢复了一半，一次我Wanna cry，重装了。中招了还特绅士的向您介绍这病毒该如何花钱解锁，解释完了还和你说声抱歉，你说这不和穿西装黑社会绑架犯一样吗？

肯定有人好奇，这么多人都没解决你怎么恢复的，其实我恢复的是三天前的备份（数据存储在Netaapp存储上，netapp有个Snap功能，我可以恢复最近七天的数据。）；当然另一被重装的机器就没招了，出差用户关键数据没在服务器没招了。

其实还有很多病毒我没说，基本能防住的我就不提了，有些没见过的也没啥话语权。

谢谢您看我得吧得了这么久，其实病毒是什么，它就是抓住系统的漏洞进来的，你开了445、3389、139等等你就有可能被感染的，你可能会说，我全关了是不是就好了，关了是能解决一些问题，但由此你也会带来一些不便。

总的来说病毒的发展历史是一个病毒制造者的目的演变，我总结它无非就以下几种类型

• 技术控破坏王—代表性CIh/熊猫烧香

• 小偷小摸型–灰鸽子

• 损人不利己型–冲击波

• 利益驱动型–挖矿病毒

• 广告营销型-3721

• 黑社会型–wannacry

一般遇到这种新类型的病毒都没招，能防住的都是已知病毒；人们的防范方式已经不再是简单的安装一个杀毒软件了，安全意识的强弱才是决定你感染病毒的几率大小，另外最好准备个网盘，定期备份这样你才不会惧怕它。

多余不说了，寥寥数语畅谈病毒风波，谢谢观赏。

it老炮儿与您IT生涯同在。