本文目录一览:
-
5、什么是CIH病毒
CIH病毒到底是什么病毒
CIH病毒
是迄今为止发现的最阴险的病毒之一。 它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。
该病毒每月25日发作,发作时破坏计算机硬盘存储器中的数据和计算机中的BIOS程序,造成开机一片黑暗。
一、CIH到底是什么病毒
CIH病毒属于文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染 Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本,在此期间,据某些报导,同时产生了不下十个的变种,不过好象没有流行起来的迹象,本人并未实际接触到这些所谓的CIH变种病毒。在v1.0、v1.1、v1.2、v1.3、v1.4五个版本,只有v1.2、v1.3、v1.4这三个版本的CIH病毒有实际的破坏性。其中v1.2版本只在每年的4月26日发作,又称为切尔诺贝利病毒(前苏联核事故纪念日);v1.3的发作日期是每年的6月26日;v1.4版本的发作日期是每月的 26。CIH病毒只在Windows 95/98环境下感染发作,当运行了带毒的程序后,CIH病毒驻留内存,再运行其它.exe文件时,首先在文件中搜索“caves”字符,如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的 Flash BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。
著名的CIH病毒属于什么病毒?
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,某公司手机研发中心主任工程师陈某某在其念书期间制作。最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。
CIH病毒属文件型病毒,杀伤力极强,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,CIH病毒主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本。
CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征 CIH病毒是:
(1)以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。
(2)某些主板上的Flash Rom中的BIOS信息将被清除。
(3)v1.4版本每月26号发作,v1.3版本每年6月26号发作,以下版本4月26号发作。
(4)CIH的载体是一个名为“ICQ中文Chat模块”的工具,并以盗版光盘游戏或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。
新病毒:
(1)与传统的CIH病毒不同,新CIH病毒(WIN32.Yami)可以在Windows 2000/XP下运行,因此新CIH病毒的破坏范围比传统CIH病毒大得多。2003年5月17日,瑞星全球反病毒监测网络率先截获该恶性病毒,由于该病毒的破坏能力与当年臭名昭著的CIH病毒几乎完全一样,因此瑞星将该病毒命名为新CIH病毒。
(2)新CIH病毒会驻留在系统内核,它首先判断打开的文件是否为Windows 可执行文件(PE文件),如果不是则不进行感染操作,如果是则将病毒插入到PE文件各节的空隙中(与传统的CIH一样),因此感染后文件的长度不会增加。由于病毒自身的原因,感染时有些文件会被破坏,导致不能正常运行。新CIH病毒发作时企图用“YM Kill You”字符串信息覆盖系统硬盘,这样会导致数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。
(3)新CIH病毒行为分析:
①病毒搜索kernel32的起始偏移地址;
②取得病毒所用的API地址;
③进入Ring0;
④通过直接IO的方式写BIOS和硬盘。
(4)各反病毒软件公司已经以最快的速度研发出查杀此病毒的专杀工具,因此该病毒的破坏已被控制住了。
哪种病毒不感染,就能传播,是木马,还是冰河,还是蠕虫.还是"CIH"病毒,单选题.
“CIH”病毒
是一种在1999年4月26日大规模爆发的病毒,与此前的病毒不同之处在于它可以改写bios数据,导致主板无法启动开机黑屏。在此病毒爆发之后,主板厂商增加了很多bios保护措施,如写保护选项、开关、双bios等。病毒作者是台湾人Chen Ing Hau (陈盈豪),cih是姓名拼音首个字母简写
电脑鬼才—陈盈豪
雪莲
据初步统计,来自台湾的CIH电脑病毒这次共造成全球
6000万台电脑瘫痪,其中韩国损失最为严重,共有30万台电脑
中毒,占全国电脑总数的15%以上,损失更是高达两亿韩元以
上。土耳其、孟加拉、新加坡、马来西亚、俄罗斯、中国内地
的电脑均惨遭CIH病毒的袭击。制造这场“电脑大屠杀 的是台
湾现役军人、大学毕业生陈盈豪。CIH电脑病毒风暴过后,有
的把CIH的始作俑者陈盈豪抬升为“天才 ,有的把他贬为“鬼
才 。那么,陈盈豪到底是一个什么样的人呢?他现在情况如
何?他未来的打算呢?
■“电脑鬼才 :看到记者全身发抖,面对电脑露出笑容
4月30日上午,在军方人员的护送下,正在台湾军中服役
的CIH电脑病毒始作俑者陈盈豪被带到了台北“刑事局 接受警
方的侦讯。
让办案的警方人员大感意外的是,搞出震惊全球的电脑病
毒的陈盈豪在记者们的闪光灯包围中差一点当场瘫倒在地。当
陈盈豪踏入台北“刑事局的大门后,面对早早就等在那里的数
十名记者的闪光灯一时间情绪失控,只见他浑身发抖,面无血
色,两腿发软,几乎无法自己走路!正当警员们束手无策的时
候,有多次侦办电脑黑客经验,摸透了这些自诩为“一等电脑
高手秉性的台北“刑事局资讯室 主任李相臣一个箭步冲上前
去,轻轻地揽住直往地下出溜的陈盈豪,半拖半架地把他弄进
了侦讯室,并且劝走了仍在不停拍照的记者。
颇有经验的李相臣等办案人员没有采取单刀直入的惯用方
式对陈盈豪进行问讯,而是先跟他谈他在大学里过去的女朋
友、他的家人、大学生活以及与电脑有关的知识,这才让陈盈
豪的情绪逐渐恢复了平静。
为了进一步调解陈盈豪的情绪,办案人员打开了侦讯室的
电脑让他上网。非常巧的是,他一上网就发现他的母校———
台湾大同工学院的一位学妹非常崇拜这位制造了震惊全球“电
脑大屠杀 的老大哥,并且希望有机会约他吃饭。陈盈豪看了
这封电子邮件后顿时精神奋发,脸上露出了笑容,很快就
恢复了常态。这时的陈盈豪已经不害怕警方对他的拍照,表示
愿意配合警方的调查,跟几分钟前简直判若两人。
心情恢复平静的陈盈豪开始向警方侃侃而谈他制造病毒的
“辉煌战果 。陈盈豪说,他从大学一年级开始就痴迷上了电
脑,每天都要上网,下载最热门的软件、游戏,因此也经常遭
遇电脑病毒。为了解决电脑屡屡“中毒的烦恼,他看报纸买了
不少广告做得天花乱坠的防病毒软件,结果往往什么用也没
有,于是觉得自己被欺骗了。而CIH病毒完全是他一人设计
的,目的是想出一家在广告上吹嘘“百分之百 防毒软件的洋
相。他一共设计了五个版本CIH病毒,其中V1.0、V1.1两个
版本没有流出去,而这次危害世界各国的病毒是V1.2版。病
毒发作的时间之所以定在4月26日,其实跟前苏联的切尔诺
贝利核电站事件毫无关系,只是凑巧与前苏联核电站事故同一
天,所以国外给这种破坏力极强的病毒起了个这样的别名。陈
盈豪之所以把病毒的发作期定在26号就因为那是他的高中座
号,也是他的绰号。陈盈豪说,1998年年初他读大学四年级的
时候,他把CIH病毒放在学校供他自己用的主机内,并且加
上了“病毒 警告语。然而,不知怎么回事,这种病毒竟然流
传出去了。最让警方吃惊和意外的是,陈盈豪已经研制出第二
代的CIH病毒。该病毒已经完成80%。如果第二代病毒完成的
话,那么它不但可以破坏个人的电脑,而且还将使服务器的主
机完全瘫痪!警方大感震惊,连忙劝说陈盈豪拿出解毒程序。
又让办案警察感到意外的是,他竟然不会“解毒 。陈盈豪告
诉办案人员说,去年他从大同工学院毕业前,因为他的CIH病
毒造成学校网络瘫痪而被学校记大过,并且要他写出解毒的程
序。然而,陈盈豪却无能为力。1998年5月,陈盈豪终于联系
到专门对他病毒有研究的台湾淡江大学学生翁世同,希望他能
“拉 自己一把。那位翁姓学生很快就给他寄来了防止CIH的程
序,并且公布在SS�CAN网站上。至于正在研制的破坏力更强
的第二代CIH病毒,陈盈豪当面答应警方予以销毁。
侦讯结束后,负责侦办陈盈豪的李相臣说,电脑黑客或者
病毒书写者通常个性非常偏激,他们不善于人际交往,对社会
现状往往也不满意,但一旦进入电脑世界,他们就反应敏捷,
表现出超出常人一等的天分。陈盈豪就是这种电脑人,俗称
“电脑自闭症 。这种人如果不能善加辅导,而被不法组织利
用的话,那么对社会将会造成巨大的危害。李相臣认为陈盈豪
是电脑界不可多得的“鬼才 ,但因为他患有躁郁症,加上家
庭背景一般,所以退伍后恐怕很难找到工作。为此,李拍胸脯
向陈盈豪表示,如果他退伍后找不到工作就来找他,一定会帮
他介绍一份好工作的!
■“电脑天才 :谈恋爱搞社交样样不行,玩电脑编程序
绝不服输
如果说陈盈豪在台湾警察们的眼里只是“电脑鬼才 的
话,那么他的母亲、同学、老师和左邻右舍倒觉得他是一个地
道的“电脑天才 。
陈盈豪的母亲十分担心自己的儿子会被法院判重刑,再三
强调她的儿子不是故意的,不然的话就不会把自己的姓名缩写
当成病毒的名称。陈盈豪的母亲说,她的儿子是在上中学的时
候就喜欢玩电脑的,经常到家境比较宽裕的同学家中或者学校
玩电脑,上高中后专心研究电脑软件程序,有时候还会编一些
游戏软件跟同学们一起玩。“一口流利的台语,夏天常是一件
T恤、短裤,穿着凉鞋,一副没有睡醒的样子就来上课。 这是
陈盈豪在大学同学眼中最典型的形象。除了这身打扮有些“老
土 不起眼外,陈盈豪只要一开口就是电脑,买的全是电脑方
面的书。当别人自以为是电脑通的时候,他总会找机会在那人
面前露一手,让对手羞得无地自容。
陈盈豪有台湾南部人典型的好脾气,在大同工学院学习时
尽管不善交际,但人缘却不差,并且有不少的好朋友。他的同
学们一致认为,陈盈豪在上大学前就有相当的电脑基础,进了
大学后,他的电脑知识更是突飞猛进。陈盈豪对电脑课非常感
兴趣,大学一年级的“程序设计 的成绩非常拔尖,就连平时
的谈话也多半在电脑里打转。同学们谈女生,谈电影新片时,
陈盈豪就显得非常地无趣,偶然插一两句话也让同学们有一种
“话接不下去 的感觉。
那么,陈盈豪对电脑疯狂到哪一种程度呢?他的大学同学
说,几乎只要一下课,他就奔回宿舍打开电脑,苦练编程,至
于社交、谈恋爱等时下大学生们的“必修课 他很少涉及。由
于家境相对贫困的原因,陈盈豪所有省下来的钱全用于购买与
电脑有关的书,其它的书干脆一概不买。每到考试前,凡是
他没有买的书就向同学借来读。他的大学总体成绩只能算是中
上,电脑的成绩则一直相当拔尖。
陈盈豪的脾气虽然随和,但只要一谈到电脑就会变得十分
地倔强。他的大学同学说,平时和陈盈豪相处得十分愉快,但
如果谁提到电脑,他就表现出一种十分攻击的样子。他尤其看
不惯别人自诩电脑很通。以前大同工学院电脑系的学生常常喜
欢比编程序,看谁能编出行数最短,意义最复杂的程序。但这
种比赛在陈盈豪的眼里却很无聊,根本不屑于跟他们一起讨
论。为了展示他自己的实力,他故意写一个只有三行内容却很
难的程序。结果弄得电脑专业的学生们大眼瞪小眼。陈盈豪就
喜欢用这种方式来反击一下。
当传出陈盈豪搞出世纪末震惊全球的CIH病毒的时候,他
的老同学们并不觉得惊讶,因为他们都知道陈有这个能力。多
数的同学认为陈盈豪是一个相当单纯的人,绝没有故意散发病
毒的意思。他的同学们也很惊讶,CIH病毒竟然导致全球那么
多的电脑瘫痪,这不但震惊了大同工学院的师生们,也吓坏
了“老土 的陈盈豪。他的同学说,陈盈豪在得知自己闯了祸
后非常地后悔,所以他的同学都不愿意就此事发表评论,深怕
伤害了他。在老师们的眼里,陈盈豪在学校的表现并不十分突
出,只是在电脑软件方面有更深的兴趣,也有小聪明,但人很
老实。要不是这次捅了个天大漏子的话,他肯定算不上“校园
风云人物 。大同工学院多年来的表现也十分平常名气不大不
小。有的老师认为,经过这么一折腾,大同工学院的“知名
度 顿时大增,这让学校觉得啼笑皆非。
在陈盈豪一家居住的高雄市三民区,左邻右舍不但对身边
竟然出了个如此一号人物表示吃惊,似乎对陈盈豪和他的家人
没有什么了解。邻居们说,只知道陈盈豪大概去年从大学毕
业,在家待了一阵子,很少看到他。陈盈豪和妈妈还有两个妹
妹住在一起,很少看见他的父亲,平常他们家和邻居也很少打
招呼,更不知道他会玩电脑,而且还制造出让人惊慌的电脑病
毒,而这一切现在已成为邻居们最新的话题。
■“电脑疯子 :家有精神病史,“军情局 吓得退避三舍
陈盈豪在接受“刑事局 的侦讯后由于情绪还不稳定,因
此当天被马上送回花莲营区,由军方把他送到花莲总医院住院
观察。经过医生的初步诊断,陈盈豪有烦躁不安、忧郁的倾
向。医生表示,陈盈豪主动说他觉得自己的情绪不稳定,而根
据院方的资料显示,陈盈豪三月份还曾经看过精神科医生。
此外,陈盈豪的家族竟然有精神病病史。
此外,台湾媒体还曝光一个惊人的秘密:陈盈豪在部队服
役的时候曾经向军方自夸说,他可以设计出一种导致军用电脑
瘫痪的程序。台湾“军情局对此万分地感兴趣,准备把他收归
麾下,充当电子战的专家。然而,在他们调查了陈盈豪的家史
后,他们发现陈的精神状态不稳定,并且有家族精神病史。因
此,台“军情局 不但没有将他收编,还要求他立即退役!
陈盈豪目前在花莲总医院精神科接受就诊观察。花莲总医
院精神科主治医师陆承贤表示,陈盈豪曾有两次精神科门诊记
录,但在诊断过程中并无明显的躁郁症症状,只是出现焦虑不
安的情形,因此可能与陈盈豪在部队生活适应不良有关。
至于深受CIH病毒其害的网友们则更认为陈盈豪是一个不
折不扣的疯子。他们认为,CIH制造者的本意就是要破坏人的
电脑。网友们指出,为了表现自己而编出病毒程序,就算编者
事后公开了解毒的程序,但编病毒程序的动机本来就十分可
恶,丝毫不值得同情。
cih是什么病毒!!!!!!!
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,集嘉通讯公司(技嘉子公司)手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。[1] 最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。
1998年9月,雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月,用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日,公众开始关注CIH首次发作时,这些电脑已经运行一个月了。这是一宗大灾难,全球不计其数的电脑硬盘被垃圾数据覆盖,甚至破坏BIOS,无法启动。至2000年4月26日,亚洲报称发生多宗损坏,但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒,它将CIH v1.2植入感染的系统。
这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程,从而使该病毒在互联网上传播开来。
一个修改版本是CIH.1106,发现于2002年12月,但是没有严重的破坏性。
只有CIH感染大量发信的电脑蠕虫(如求职信病毒)所使用的程序,或有Anjulie蠕虫病毒参与时,CIH才会被看成是一个威胁。但是CIH病毒只在windows 95,98和windows Me系统上发作,影响有限。现在由于人们对它的威胁有了认知,且它只能运行于旧的Windows 9X操作系统,CIH不再像它刚出现时分布那么广泛传播。
病毒破坏:
当然,CIH对BIOS的破坏,也并非想像中的那么可怕。 现在PC机基本上使用两种只读存储器存放BIOS数据,一种是使用传统的ROM或EPROM,另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入(又称“固化”)到这些存储器中,然后将它们安装在PC机里。当我们打开计算机电源时,BIOS中程序和数据首先被执行、加载,使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序,然后硬盘再开始引导操作系统。 固化在ROM或EPROM中的数据,只有施加以特殊的电压或使用紫外线才有可能被清除,这就是为什么我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据,仅靠计算系统内部的电压是不够的。所以,仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH病毒会破坏BIOS。 但最新出产的计算机,特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下,这种存储器中的数据并不会被用户轻易改写,但只要施加特殊的逻辑和电压,就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写,这正是我们通过软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。 改写E2PROM内的数据需要一定的逻辑条件,不同PC机系统对这种条件的要求可能并不相同,所以CIH并不会破坏所有使用E2PROM存储BIOS的主板,目前报道的只有技嘉和微星等几种5V主板,这并不是说这些主板的质量不好,只不过其E2PROM逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。 所以,要判断CIH对您的主板究竟有没有危害,首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有一部分使用了E2PROM。 需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。
病毒版本:
CIH病毒属文件型病毒,杀伤力极强,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主
CIH病毒
要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本,在此期间,据某些报导,同时产生了不下十个的变种,不过好像没有流行起来的迹象,本人并未实际接触到这些所谓的CIH变种病毒。
CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:
v1.0版本
最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一, 被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本
当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断WinNT软件的功能,一旦判断用户运行的是WinNT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时, 不会导致文件长度增加。
v1.2版本
当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机 BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
v1.3版本
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP
压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3 版本的CIH病毒长度为1010字节。
v1.4版本
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP 自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。 从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是2002年最流行的病毒版本,v1.3 版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。
发作特种:
CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征
CIH病毒
是:
1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!
2、某些主板上的Flash Rom中的BIOS信息将被清除。
3、v1.4版本每月26号发作,v1.3版本每年6月26号发作,以下版本4月26号发作。
大事记:
(1998-2004年)
1998年6月2日:台湾传出首例CIH病毒报告
1998年6月6日:发现CIH V1.2版本
1998年6月12日:发现CIH V1.3版本
1998年6月26日:CIH V1.3版本造成一定程度的破坏
1998年6月30日:发现CIH V1.4版本
1998年7月:在INTERNET 环境中发现一个基于WIN98系统的分布感染实例
1998年7月26日:CIH病毒开始在美国大面积传播
1998年8月:在Wing Commander 游戏站点发现DEMO被感染
1998年8月:两家欧洲的PC游戏杂志光盘被发现感染CIH
1998年8月26日:CIH 1.4 版本爆发, 首次在全球蔓延
1998年8月31日:公安部发出紧急通知,新华社、中央台新闻联播全文播发
1998年9月:Yamaha为某个类型的CD-R驱动编写的软件被感染CIH
1998年10月:一个在全球发行的游戏SiN的DEMO版被发现感染CIH
1999年3月:CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装
1999年4月26:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏
2000年4月26:CIH 1.2 版本第二次大范围爆发,全球损失超过十亿美元
2001年4月26:CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏
2002年4月26日:CIH病毒再次爆发,数千台电脑遭破坏
2003年4月26日:仍然有100多个CIH病毒的受害者
感染特征:
由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行: inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具查找文件或文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级包含文字”栏中输入要查找的特征字符串--“CIH v”,最后点劝查找键”即可开始查找工作。如果在查找过程中, 显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。
实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。
一般情况下,推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe中搜索特征串,以判断是否感染了CIH病毒。 另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
还听说凡是感染了CIH病毒的机器,如果玩NEED FOR SPEED II(极品飞车2)游戏时,会在读取游戏光 盘时出现死机现象, 本人没有尝试过,不知道实际上是不是有这一情况存在。
适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改90(nop),接着搜索 CD 2C4 20 与 CD 20 67 00 40 00特征字串,将其全部修改为90,即可(以上数值全部为16进制)。
另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体方法为:先搜IMAGE_NT_SIGNATURE字段--“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”, 并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX40000,将得数--“CB 21 00 00”(OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。 按照上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中,却被感染了CIH病毒,可马上就急需要用)。使用上述方法的缺点在于病毒体还将保留在可执行文件中,虽然不会起作用, 但是想起来可能会有点不舒服(记得“WPS2000测试版残留CIH病毒尸体”的事件么?)。所以,想彻底杀灭,推荐使用某些反病毒软件进行或是CIH专用杀毒工具(以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机)。
来源:
CIH病毒是一位名叫陈盈豪的台湾大学生所编写的,从台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Chat模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件,当然随着时间的推移,其传播主要仍将通过软盘或光盘途径。
破坏性:
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,集嘉通讯公司(技嘉子公司)手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。[1] 最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。 目前传播的途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚,Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。CIH病毒只感染Windows95/98操作系统,从目前分析来看它对DOS操作系统似乎还没有什么影响,这可能是因为它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发(有一种版本是每年4月26日爆发)。CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的,所以一旦CIH病毒爆发,用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。 从技术角度来看,CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制,被认为是牢固地连接到了操作系统底层,所以CIH病毒既不会向DOS操作系统传播,也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒的人提出了巨大的挑战,这是因为传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序,它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒;另一方面,由于能够与操作系统底层紧密结合,CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。 CIH 病毒是一种运用最新技术,会 Format 硬碟的最新病毒,通常都利用网路族上网时,进行传播感染 。目前最新的变种病毒为CIH 会在每月26 日发病,并会展现最强大的破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作,也没有显示任何画面,只是占用部份记忆体而已。但是有些 32-bit的程式被感染之后,运作会不正常,甚至会造成当机。但是,CIH病毒长驻在主记忆体之后,每次 执行时,会检查电的日期是否为﹝4月26日﹞,如果是,它会透过你的电脑I/O部:CF8,CFD,CFE修改你 的电脑的某些设定,并且把你电脑所有硬盘的资料都毁了,甚至连硬盘数据区及引导区的资料都不在了 ,并且让电脑当机。当你重新开机,屏幕会出现"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盘引导失败,请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令,则出现"Invalid drive specification"(不可用的驱动器编号)。即使曾经有备份引导区资料,但是磁盘中的资料已全毁,可不可以开机已经没有意义了。
检测预防:
系统中感染了CIH病毒时,由于病毒时刻在监视系统中的文件使用情况,造成系统效率降低,而且有些自解压文件在病毒感染后被破坏,清除病毒后也不能使用,尤其是病毒发作时造成的破坏,后果更为严重。目前,防止CIH病毒的传染和破坏主要有两种方法:一是实时监测,不让病毒进入系统,如KILL98就采用了这种方法,其优点是比较安全,但影响系统的速度,有可能误报,而且对使用染有病毒的文件不方便。二是定期对系统进行病毒检查,清除文件中的病毒,这种方法比较简单,系统效率影响不大,但安全性不高。
实际上,CIH病毒第一次进入机器内存时,系统中感染病毒的文件是很少的,只是由于未能及时发现,才使病毒得以传播和蔓延。许多杀毒软件在检查文件中的病毒特征时,由于病毒代码先于杀毒软件获得文件的操作权,从而将病毒代码写进文件中,这就造成了系统中几乎所有的32位可执行文件都感染了CIH病毒的现象。
文件中的CIH病毒的检测比较简单,只要从32位可执行文件的PE文件头的偏移28H处获得程序的入口地址,对入口程序段进行扫描即可。
根据CIH病毒在感染文件前对病毒特征的判别,我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值,以骗过病毒对文件是否染毒的判别。而大多数杀毒软件在杀毒后,保留了文件头中的病毒特征,相当于对这些文件进行了免疫。
由于病毒主要来源于因特网和光盘,光盘文件上的病毒无法清除,始终是系统的隐患,而使用第一种方法则有可能使用户从网上下载文件失败,造成不必要的损失。根据对病毒代码的分析,我们介绍一种方法,它既不影响系统效率,也能使用户放心地使用网上下载的文件和光盘上的文件。
本文提供的方法主要有下列两个步骤:
1、检测内存中的病毒。如果在内存中发现病毒,则清除之,释放其占用的内存,并提示用户对文件进行检测。
2、对CIH病毒进行免疫。设置两重防线,使CIH病毒代码不能再进入内存,从根本上杜绝CIH病毒的传播和破坏。
具体过程是:
通过调用VXD函数IFSMgr_InstallFileSystemApiHook,获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHook的入口地址,根据获得的地址,扫描相应的内存区,判断内存中是否有CIH病毒。
如果发现内存中有CIH病毒,调用VXD函数IFSMgr_RemoveFileSystemApiHook 先撤消其设置的文件系统钩子函数,然后利用函数_PageFree将其占用的内存释放。
由于病毒代码在调试寄存器dr0中保存了一个指向系统中原有的文件系统挂钩函数的地址的指针,病毒代码通过该指针转到系统原来的文件钩子函数中,病毒在驻留内存之前,先要检查该寄存器的值是否为零,以判断病毒代码是否已在内存中。因此,我们可以将该寄存器的值设置为非零值,让病毒以为内存中已有病毒代码存在,从而不驻留内存,这是第一道防线。
考虑到寄存器dr0的值可能被其它程序修改,让病毒代码获得进入内存的机会,我们再设置第二道防线。在内存高端申请一页内存空间,驻留一段代码在这一内存空间中,修改系统中IFSMgr_InstallFileSystemA piHook函数的入口地址,使其指向我们自己设置的代码,该代码负责监视文件系统钩子函数的安装过程,如果是病毒代码要进入内存,则拒绝让其进入,并释放其申请的内存。
有了这两道防线,就能较好地防止CIH病毒进入内存,即便是运行染有病毒的程序,也不会对系统造成不利的影响。
解决方法:
首先用户应该确定自己计算机主板的BIOS是哪种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为a盘然后A 盘引导系统,之后用杀毒软件对系统软件造成破坏后该怎样办呢?首先使用杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些垃圾文件;另一种方法是将用户的重要数据进行备份,之后对硬盘进行格式化,重新安装系统程序和应用程序,这样能节省硬盘空间。
什么是CIH病毒
CIH病毒属于文件型病毒,CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖,造成硬盘数据特别是C盘数据丢失,并破坏部分类型的主板上的Flash
BIOS导致计算机无法使用,是一种既破坏软件又破坏硬件的恶性病毒。