|
|
cih病毒傳播的主要途徑是internet和電子郵件,當然隨着時間的推移,它也會通過軟盤或光盤的交流傳播。據悉,權威病毒搜集網目前報道的cih病毒, “原體”加“變種”一共有五種之多,相互之間主要區別在於“原體”會使受感染文件增長,但不具破壞力;而“變種”不但使受感染的文件增長,同時還有很強的破壞性,特別是有一種“變種”,每月26日都會發作。
cih病毒衹感染windows 95/98操作係統,從目前分析來看,它對dos操作係統似乎還沒有什麽影響,所以,對於僅使用dos的用戶來說,這種病毒似乎並沒有什麽影響,但如果是windows 95/98用戶就要特別註意了。正是因為cih獨特地使用了vxd技術,使得這種病毒在windows環境下傳播的實時性和隱蔽性都特別強,使用一般反病毒軟件很難發現這種病毒在係統中的傳播。
cih病毒“變種”在每年4月26日(有一種變種是每月26日)都會發作。發作時硬盤一直轉個不停,所有數據都被破壞,硬盤分區信息也將丟失。cih病毒發作後,就衹有對硬盤進行重新分區了。再有就是cih病毒發作時也可能會破壞某些類型主板的電壓,改寫衹讀存儲器的bios,被破壞的主板衹能送回原廠修理,重新燒入bios。 |
|
當然,cih對bios的破壞,也並非想像中的那麽可怕。 現在pc機基本上使用兩種衹讀存儲器存放bios數據,一種是使用傳統的rom或eprom,另一種就是e2prom。廠傢事先將bios以特殊手段“燒”入(又稱“固化”)到這些存儲器中,然後將它們安裝在pc機裏。當我們打開計算機電源時,bios中程序和數據首先被執行、加載,使得我們的係統能夠正確識別機器裏安裝的各種硬件並調用相應的驅動程序,然後硬盤再開始引導操作係統。 固化在rom或eprom中的數據,衹有施加以特殊的電壓或使用紫外綫纔有可能被清除,這就是為什麽我們打開有些計算機機箱時,可能會看到有塊芯片上貼着一小塊銀色或黑色紙塊的原因——防止紫外綫清除bios數據。要清除存儲在這類衹讀存儲器中的數據,僅靠計算係統內部的電壓是不夠的。所以,僅使用這種衹讀存儲器存儲bios數據的用戶,就沒有必要擔心cih病毒會破壞bios。 但最新出産的計算機,特別是pentium以上的計算機基本上都使用了e2prom存儲部分bios。e2prom又名“電可改寫衹讀存儲器”。一般情況下,這種存儲器中的數據並不會被用戶輕易改寫,但衹要施加特殊的邏輯和電壓,就有可能將e2prom中的數據改寫掉。使用pc機的cpu邏輯和計算機內部電壓就可輕易實現對e2prom的改寫,這正是我們通過軟件升級bios的原理,也是cih破壞bios的基本方法。 改寫e2prom內的數據需要一定的邏輯條件,不同pc機係統對這種條件的要求可能並不相同,所以cih並不會破壞所有使用e2prom存儲bios的主板,目前報道的衹有技嘉和微星等幾種5v主板,這並不是說這些主板的質量不好,衹不過其e2prom邏輯正好與cih吻合,或者cih的編製者也許就是要有目的地破壞某些品牌的主板。 所以,要判斷cih對您的主板究竟有沒有危害,首先應該判別您的bios是僅僅燒在rom/eprom之中,還是有一部分使用了e2prom。 需要註意的是,雖然cih並不會破壞所有bios,但cih在“黑色”的26日摧毀硬盤上所有數據遠比破壞bios要嚴重得多——這是每個感染cih病毒的用戶不可避免的。 |
|
cih病毒屬文件型病毒,其別名有win95.cih、spacefiller、win32.cih、pe_cih,它主要感染windows95/98下的可執行文件(pe格式,portable executable format),目前的版本不感染dos以及win 3.x(ne格式,windows and os/2 windows 3.1 execution file format)下的可執行文件,並且在win nt中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本,目前最流行的是v1.2版本,在此期間,據某些報導,同時産生了不下十個的變種,不過好像沒有流行起來的跡象,本人並未實際接觸到這些所謂的cih變種病毒。
cih病毒的各種不同版本的隨時間的發展不斷完善,其基本發展歷程為:
1.0:最初的 v1.0版本僅僅衹有 656字節,其雛形顯得比較簡單,與普通類型的病毒在結構上並無多大的改善,其最大的“賣點”是在於其是當時為數不多的、可感染microsoft windows pe類可執行文件的病毒之一,被其感染的程序文件長度增加,此版本的cih不具有破壞性。
1.1:當其發展到v1.1版本時,病毒長度為796字節,此版本的cih病毒具有可判斷win nt軟件的功能,一旦判斷用戶運行的是win nt,則不發生作用,進行自我隱藏,以避免産生錯誤提示信息,同時使用了更加優化的代碼,以縮減其長度。此版本的cih另外一個優秀點在於其可以利用win pe類可執行文件中的“空隙”,將自身根據需要分裂成幾個部分後,分別插入到pe類可執行文件中,這樣做的優點是在感染大部分winpe類文件時,不會導致文件長度增加。
1.2:當其發展到v1.2版本時,除了改正了一些v1.1版本的缺陷之外,同時增加了破壞用戶硬盤以及用戶主機bios程序的代碼,這一改進,使其步入惡性病毒的行列,此版本的cih病毒體長度為1003字節。
1.3:原先v1.2版本的cih病毒最大的缺陷在於當其感染zip自解壓包文件(zip self-extractors file)時,將導致此zip壓縮包在自解壓時出現如下的錯誤警告信息: winzip self-extractor header corrupt. possible cause: disk or file transfer error. v1.3版本的cih病毒顯得比較倉促,其改進點便是針對以上缺陷的,它的改進方法是:一旦判斷開啓的文件是winzip類的自解壓程序,則不進行感染。同時,此版本的cih病毒修改了發作時間。v1.3版本的cih病毒長度為1010字節。
1.4:此版本的cih病毒改進上上幾個版本中的缺陷,不感染zip自解壓包文件,同時修改了發作日期及病毒中的版權信息(版本信息被更改為:“cih v1.4 tatung”,在以前版本中的相關信息為“cih v1.x ttit”),此版本的長度為1019字節。
從上面的說明中,我們可以看出,實際上,在cih的相關版本中,衹有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性,其中v1.2版本的cih病毒發作日期為每年的4月26日,這也就是當前最流行的病毒版本,v1.3版本的發作日期為每年的6月26日,而cih v1.4版本的發作日期則被修改為每月的26日,這一改變大大縮短了發作期限,增加了其的破壞性。 |
|
cih屬惡性病毒,當其發作條件成熟時,其將破壞硬盤數據,同時有可能破壞bios程序,其發作特徵是:
1、以2048個扇區為單位,從硬盤主引導區開始依次往硬盤中寫入垃圾數據,直到硬盤數據被全部破壞為止。最壞的情況下硬盤所有數據(含全部邏輯盤數據)均被破壞,如果重要信息沒有備份,那就衹有哭了!
2、某些主板上的flash rom中的bios信息將被清除。 |
|
由於流行的cih病毒版本中,其標識版本號的信息使用的是明文,所以可以通過搜索可執行文件中的字符串來識別是否感染了cih病毒,搜索的特徵串為“cih v”或者是“cih v1.”如果你想搜索更完全的特徵字符串,可嘗試“cih v1.2 ttit”、“cih v1.3 ttit”以及“cih v1.4 tatung”,不要直接搜索“cih”特徵串, 因為此特徵串在很多的正常程序中也存在,例如程序中存在如下代碼行: inc bx dec cx dec ax 則它們的特徵碼正好是“cih(0x43;0x49;0x48)”,容易産生誤判。
具體的搜索方法為:首先開啓“資源管理器”,選擇其中的菜單功能“工具>查找>文件或文件夾”,在彈出的“查找文件”設置窗口的“名稱和位置”輸入中輸入查找路徑及文件名(如:*.exe),然後在“高級>包含文字”欄中輸入要查找的特徵字符串--“cih v”,最後點勸查找鍵”即可開始查找工作。如果在查找過程中, 顯示出一大堆符合查找特徵的可執行文件,則表明您老的計算機上已經感染了cih病毒。
實際上,在以上的方法中存在着一個致命的缺點,那就是:如果用戶剛剛感染cih病毒,那麽這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。
一般情況下,推薦的方法是先運行一下“寫字板”軟件,然後使用上面的方法在“寫字板”軟件的可執行程序notepade.exe中搜索特徵串,以判斷是否感染了cih病毒。 另外一個判斷方法是在windows pe文件中搜索image_nt_signature字段,也就是0x00004550,其代表的識別字符為“pe00”,然後查看其前一個字節是否為0x00,如果是,則表示程序未受感染,如果為其他數值,則表示很可能已經感染了cih病毒。
最後一個判斷方法是先搜索image_nt_signature字段--“pe00”,接着搜索其偏移0x28位置處的值是否為55 8d 44 24 f8 33 db 64,如果是,則表示此程序已被感染。
還聽說凡是感染了cih病毒的機器,如果玩need for speed ii遊戲時,會在讀取遊戲光盤時出現死機現象, 本人沒有嘗試過,不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜索特徵代碼,並將其修改掉,方法是:先處理掉兩個轉跳點,即搜索:5e cc 56 8b f0 特徵串以及5e cc fb 33 db特徵串,將這兩個特徵串中的cc改90(nop),接着搜索 cd 20 53 00 01 00 83 c4 20 與 cd 20 67 00 40 00特徵字串,將其全部修改為90,即可(以上數值全部為16進製)。
另外一種方法是將原先的pe程序的正確入口點找回來,填入當前入口點即可(此處以一個被感染的calc.exe程序為例),具體方法為:先搜image_nt_signature字段--“pe00”,接着將距此點偏移0x28處的4個字節值,例如“a0 02 00 00”(0x000002a0),再由此偏移所指的位置(即0x02a0)找到數據“55 8d 44 24 f8 33 db 64”, 並由0x02a0加上0x005e得到0x02fe偏移,此偏移處的數據例如為“cb 21 40 00”(oxoo4021cb),將此值減去ox40000,將得數--“cb 21 00 00”(oxoo0021cb)值放回到距“pe00”點偏移0x28的位置即可(此處為windows pe格式程序的入口點,術語稱為program entry point)。最後將“55 8d 44 24 f8 33 db 64”全部填成“00”,使得我們容易判斷病毒是否已經被殺除過。 按照上面手工殺毒的方法一般適合於某些單獨的軟件(例如某些軟件包含在軟盤中,卻被感染了cih不讀,可現在就要用,呵呵!)。使用上述方法的缺點在於病毒體還將保留在可執行文件中,雖然不會起作用, 但是想起來可能會有點不舒服(記得“wps2000測試版殘留cih病毒屍體”的事件麽?)。所以,想徹底殺滅,推薦使用某些反病毒軟件進行或是cih專用殺毒工具(以上操作以及使用反病毒軟件進行殺毒,必須使用幹淨的係統盤啓動計算機)。 |
|
cih病毒是一位名叫陳盈豪的臺灣大學生所編寫的,從臺灣傳人大陸地區的。cih的載體是一個名為“icq中文ch_at模塊”的工具,並以熱門盜版光盤遊戲如“古墓奇兵”或windows95/98為媒介,經互聯網各網站互相轉載,使其迅速傳播。目前傳播的主要途徑主要通過internet和電子郵件,當然隨着時間的推移,其傳播主要仍將通過軟盤或光盤途徑。 |
|
cih病毒是一種能夠破壞計算機係統硬件的惡性病毒。據目前掌握的材料來看,這個病毒産自臺灣,最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播,隨後進一步通過internet傳播到全世界各個角落。 目前傳播的途徑主要通過internet和電子郵件。計算機病毒的傳播已擺脫了傳統存儲介質的束縛,internet和光盤現已成為加速計算機病毒傳播最有效的催化劑。cih病毒衹感染windows95/98操作係統,從目前分析來看它對dos操作係統似乎還沒有什麽影響,這可能是因為它使用了windows下的vxd(虛擬設備驅動程序)技術造成的。所以,對於僅使用dos的用戶來說,這種病毒似乎並沒有什麽影響,但如果是windows95/98用戶就要特別註意了。正是因為cih獨特地使用了vxd技術,使得這種病毒在windows環境下傳播,其實時性和隱蔽性都特別強,使用一般反病毒軟件很難發現這種病毒在係統中的傳播。 cih病毒每月26日都會爆發(有一種版本是每年4月26日爆發)。cih病毒發作時,一方面全面破壞計算機係統硬盤上的數據,另一方面對某些計算機主板的bios進行改寫。bios被改寫後,係統無法啓動,衹有將計算機送回廠傢修理,更換bios芯片。由於cih病毒對數據和硬件的破壞作用都是不可逆的,所以一旦cih病毒爆發,用戶衹能眼睜睜地看着價值萬元的計算機和積纍多年的重要數據毀於一旦。cih病毒現已被認定是首例能夠破壞計算機係統硬件的病毒,同時也是最具殺傷力的惡性病毒。 從技術角度來看,cih病毒實現了與操作係統的完美結合。該病毒使用了windows95/98最核心的vxd技術編製,被認為是牢固地連接到了操作係統底層,所以cih病毒既不會嚮dos操作係統傳播,也不會嚮windowsnt操作係統擴散。cih病毒的這一技術特點給我們使用傳統反病毒技術防治計算機病毒提出了巨大的挑戰,這是因為我們所使用的傳統反病毒工具基本上都是純dos或工作在windows95之下的仿真dos應用程序,它們無法深入到windows95/98操作係統的底層去徹底清除cih病毒;另一方面,由於能夠與操作係統底層緊密結合,cih病毒的傳播就更為迅速、隱蔽。防治類似cih這種能夠與操作係統緊密結合的病毒最好的方法是使用本身能夠與各種操作係統緊密結合的反病毒軟件。 cih 病毒是一種運用最新技術,會 format 硬碟的最新病毒,通常都利用網路族上網時,進行傳播感染 。目前最新的變種病毒為cih 會在每月 26 日發病,並會展現最強大的破壞力-format 硬碟. cih病毒平常並沒有作什黱破壞性的動作,也沒有顯示任何畫面,衹是占用部份記憶體而已。但是有些 32-bit的程式被感染之後,運作會不正常,甚至會造成當機。但是,cih病毒長駐在主記憶體之後,每次 執行時,會檢查電的日期是否為﹝4月26日﹞,如果是,它會透果你的電腦i/o部:cf8,cfd,cfe修改你 的電腦的某些設定,並且把你電腦所有磁區的資料都毀了,甚至連硬碟分割區及開機區的資料都不在了 ,並且讓電腦當機。當你重新開機,螢幕會出現"disk boot failure, insert system disk and press enter"。若是用a槽開機再執行c:指令,則出現"invalid drive specification"。即使曾經有備份開機 區資料,但是你磁碟中的資料已全毀,可不可以開機已經沒有意義了 |
|
cih病毒查殺:目前市面上大部分殺軟如金山毒霸,江民殺毒軟件等都能有效查殺此病毒,而且目前市面上絶大多數電腦都已使用win XP係統,此病毒對NT以上係統(win NT,2000,XP,2003,VISTA,window 7等)已無危害
cih病毒是一種能夠破壞計算機係統硬件的惡性病毒。據目前掌握的材料來看,這個病毒産自臺灣,最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播,隨後進一步通過Internet傳播到全世界各個角落。
cih病毒傳播的主要途徑是Internet和電子郵件,當然隨着時間的推移,它也會通過軟盤或光盤的交流傳播。據悉,權威病毒搜集網目前報道的cih病毒, “原體”加“變種”一共有五種之多,相互之間主要區別在於“原體”會使受感染文件增長,但不具破壞力;而“變種”不但使受感染的文件增長,同時還有很強的破壞性,特別是有一種“變種”,4月26日會發作。
cih病毒衹感染Windows 95/98操作係統,從目前分析來看,它對DOS操作係統似乎還沒有什麽影響,所以,對於僅使用DOS的用戶來說,這種病毒似乎並沒有什麽影響,但如果是Windows 95/98用戶就要特別註意了。正是因為CIH獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播的實時性和隱蔽性都特別強,使用一般反病毒軟件很難發現這種病毒在係統中的傳播。
cih病毒“變種”在每年4月26日(有一種變種是每月26日)都會發作。發作時硬盤一直轉個不停,所有數據都被破壞,硬盤分區信息也將丟失。cih病毒發作後,就衹有對硬盤進行重新分區了。再有就是cih病毒發作時也可能會破壞某些類型主板的電壓,改寫衹讀存儲器的BIOS,被破壞的主板衹能送回原廠修理,重新燒入BIOS。
現在cih病毒烽煙已過 |
|
1998年9月,雅馬哈公司為感染了該病毒的CD-R400驅動提供一個固件更新。1998年10月,用戶傳播的Activision公司遊戲SiN的一個演示版因為在某一用戶的機器上接觸被感染文件而受到感染。這個公司的傳染源來自IBM1999年3月間發售的已感染cih病毒的一組Aptiva品牌個人電腦。1999年4月26日,公衆開始關註CIH首次發作時,這些電腦已經運出一個月了。這是一宗大災難,全球不計其數的電腦硬盤被垃圾數據覆蓋,甚至破壞BIOS,無法啓動。至2000年4月26日,亞洲報稱發生多宗損壞,但病毒沒有傳播開來。2001年3月發現Anjulie蠕蟲病毒,它將CIH v1.2植入感染的係統。
這個病毒的死灰復燃是在2001年。一個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔裏的愛蟲病毒的一個變種包含cih病毒的挂鈎例程,從而使該病毒在互聯網上傳播開來。
一個修改版本是CIH.1106,發現於2002年12月,但是沒有嚴重的破壞性。
衹有CIH感染大量發信的電腦蠕蟲(如求職信病毒)所使用的程序,或有Anjulie蠕蟲病毒參與時,CIH纔會被看成是一個威脅。但是cih病毒衹在windows 95,98和windows Me係統上發作,影響有限。現在由於人們對它的威脅有了認知,且它衹能運行於舊的Windows 9X操作係統,CIH不再像他剛出現時分佈那麽廣泛傳播。 |
|
cih病毒屬文件型病毒,殺傷力極強,其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可執行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件,並且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本,目前最流行的是v1.2版本,在此期間,據某些報導,同時産生了不下十個的變種,不過好像沒有流行起來的跡象,本人並未實際接觸到這些所謂的CIH變種病毒。
cih病毒的各種不同版本的隨時間的發展不斷完善,其基本發展歷程為:
1.0:最初的 V1.0版本僅僅衹有 656字節,其雛形顯得比較簡單,與普通類型的病毒在結構上並無多大的改善,其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一,被其感染的程序文件長度增加,此版本的CIH不具有破壞性。
1.1:當其發展到v1.1版本時,病毒長度為796字節,此版本的cih病毒具有可判斷Win NT軟件的功能,一旦判斷用戶運行的是Win NT,則不發生作用,進行自我隱藏,以避免産生錯誤提示信息,同時使用了更加優化的代碼,以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的“空隙”,將自身根據需要分裂成幾個部分後,分別插入到PE類可執行文件中,這樣做的優點是在感染大部分WINPE類文件時,不會導致文件長度增加。
1.2:當其發展到v1.2版本時,除了改正了一些v1.1版本的缺陷之外,同時增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼,這一改進,使其步入惡性病毒的行列,此版本的cih病毒體長度為1003字節。
1.3:原先v1.2版本的cih病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時,將導致此ZIP壓縮包在自解壓時出現如下的錯誤警告信息: WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error. v1.3版本的cih病毒顯得比較倉促,其改進點便是針對以上缺陷的,它的改進方法是:一旦判斷開啓的文件是WinZip類的自解壓程序,則不進行感染。同時,此版本的cih病毒修改了發作時間。v1.3版本的cih病毒長度為1010字節。
1.4:此版本的cih病毒改進上上幾個版本中的缺陷,不感染ZIP自解壓包文件,同時修改了發作日期及病毒中的版權信息(版本信息被更改為:“CIH v1.4 TATUNG”,在以前版本中的相關信息為“CIH v1.x TTIT”),此版本的長度為1019字節。 |
|
CIH屬惡性病毒,當其發作條件成熟時,其將破壞硬盤數據,同時有可能破壞BIOS程序,其發作特徵是:
1、以2048個扇區為單位,從硬盤主引導區開始依次往硬盤中寫入垃圾數據,直到硬盤數據被全部破壞為止。最壞的情況下硬盤所有數據(含全部邏輯盤數據)均被破壞,如果重要信息沒有備份,那就衹有哭了!
2、某些主板上的Flash Rom中的BIOS信息將被清除。 |
|
cih病毒是一種能夠破壞計算機係統硬件的惡性病毒。據目前掌握的材料來看,這個病毒産自臺灣,最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播,隨後進一步通過Internet傳播到全世界各個角落。 目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脫了傳統存儲介質的束縛,Internet和光盤現已成為加速計算機病毒傳播最有效的催化劑。cih病毒衹感染Windows95/98操作係統,從目前分析來看它對DOS操作係統似乎還沒有什麽影響,這可能是因為它使用了Windows下的VxD(虛擬設備驅動程序)技術造成的。所以,對於僅使用DOS的用戶來說,這種病毒似乎並沒有什麽影響,但如果是Windows95/98用戶就要特別註意了。正是因為CIH獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播,其實時性和隱蔽性都特別強,使用一般反病毒軟件很難發現這種病毒在係統中的傳播。 cih病毒每月26日都會爆發(有一種版本是每年4月26日爆發)。cih病毒發作時,一方面全面破壞計算機係統硬盤上的數據,另一方面對某些計算機主板的BIOS進行改寫。BIOS被改寫後,係統無法啓動,衹有將計算機送回廠傢修理,更換BIOS芯片。由於cih病毒對數據和硬件的破壞作用都是不可逆的,所以一旦cih病毒爆發,用戶衹能眼睜睜地看着價值萬元的計算機和積纍多年的重要數據毀於一旦。cih病毒現已被認定是首例能夠破壞計算機係統硬件的病毒,同時也是最具殺傷力的惡性病毒。 從技術角度來看,cih病毒實現了與操作係統的完美結合。該病毒使用了Windows95/98最核心的VxD技術編製,被認為是牢固地連接到了操作係統底層,所以cih病毒既不會嚮DOS操作係統傳播,也不會嚮WindowsNT操作係統擴散。cih病毒的這一技術特點給我們使用傳統反病毒技術防治計算機病毒提出了巨大的挑戰,這是因為我們所使用的傳統反病毒工具基本上都是純DOS或工作在Windows95之下的仿真DOS應用程序,它們無法深入到Windows95/98操作係統的底層去徹底清除cih病毒;另一方面,由於能夠與操作係統底層緊密結合,cih病毒的傳播就更為迅速、隱蔽。防治類似CIH這種能夠與操作係統緊密結合的病毒最好的方法是使用本身能夠與各種操作係統緊密結合的反病毒軟件。 CIH 病毒是一種運用最新技術,會 Format 硬碟的最新病毒,通常都利用網路族上網時,進行傳播感染 。目前最新的變種病毒為CIH 會在每月 26 日發病,並會展現最強大的破壞力-Format 硬碟. cih病毒平常並沒有作什麽破壞性的動作,也沒有顯示任何畫面,衹是占用部份記憶體而已。但是有些 32-bit的程式被感染之後,運作會不正常,甚至會造成宕機。但是,cih病毒長駐在主記憶體之後,每次 執行時,會檢查電的日期是否為﹝4月26日﹞,如果是,它會透果你的電腦I/O部:CF8,CFD,CFE修改你 的電腦的某些設定,並且把你電腦所有硬盤的資料都毀了,甚至連硬盤數據區及引導區的資料都不在了 ,並且讓電腦當機。當你重新開機,屏幕會出現"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盤引導失敗,請插入係統盤後敲擊回車)。若是用軟盤引導開機再執行C:指令,則出現"Invalid drive specification"(不可用的驅動器編號)。即使曾經有備份引導區資料,但是你磁盤中的資料已全毀,可不可以開機已經沒有意義了
註意:CIH是迄今為止唯一能破壞計算機硬件的病毒。 |
|
與傳統的cih病毒不同,新cih病毒(WIN32.Yami)可以在Windows 2000/XP下運行,因此新cih病毒的破壞範圍比傳統cih病毒大得多。2003年5月17日,瑞星全球反病毒監測網絡率先截獲該惡性病毒,由於該病毒的破壞能力與當年臭名昭著的cih病毒幾乎完全一樣,因此瑞星將該病毒命名為新cih病毒。
新cih病毒會駐留在係統內核,它首先判斷打開的文件是否為Windows 可執行文件(PE文件),如果不是則不進行感染操作,如果是則將病毒插入到PE文件各節的空隙中(與傳統的CIH一樣),因此感染後文件的長度不會增加。由於病毒自身的原因,感染時有些文件會被破壞,導致不能正常運行。新cih病毒發作時企圖用“YM Kill You”字符串信息覆蓋係統硬盤,這樣會導致數據恢復相當睏難。它同時通過嚮主板BIOS中寫入垃圾數據來對硬件係統進行永久性破壞。
新cih病毒行為分析:
1、病毒搜索kernel32的起始偏移地址
2、取得病毒所用的API地址
3、進入Ring0
4、通過直接IO的方式寫BIOS和硬盤
值得慶幸的是,這個新cih病毒發作條件較為特殊,不會定期發作,而且衹會通過感染文件來傳播,因此不太可能在短期內造成巨大的破壞。各反病毒軟件公司以最快的速度研發出查殺此病毒的專殺工具,因此該病毒的大面積破壞在很大程度上被控製住了。 |