簡介
CIH病毒簡介
CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的,從台灣傳入大陸地區的。CIH的載體是一個名為“ICQ中文Ch_at模塊”的工具,并以熱門盜版光盤遊戲如“古墓奇兵”或Windows95/98為媒介,經互聯網各網站互相轉載,使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件,當然随着時間的推移,其傳播主要仍将通過軟盤或光盤途徑。
CIH病毒,别名Win95.CIHSpacefillerWin32.CIH PE_CIH等,屬文件型病毒,使用面向Windows的VxD技術編制,主要感染Windows 95/98下的可執行文件,并且在DOS、Windows3.2及Windows NT中無效。正是因為CIH病毒獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播,其實時性和隐蔽性都特别強,使用一般反病毒軟件很難發現這種病毒在系統中的傳播。
CIH病毒出現至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5個版本。目前最流行的是v1.2版本。v1.0版本是最初的CIH版本,不具破壞性,感染Windows PE可執行文件。v1.1版本能自動判斷運行系統,如是Windows NT,則自我隐藏,被感染的文件長度并不增加。v1.2版本增加了破壞用戶硬盤以及用戶主機BIOS程序的代碼,成為惡性病毒。感染ZIP自解壓包文件,導緻ZIP壓縮包在解壓時出現錯誤警告信息,發作日是每年4月26日。v1.3版本不感染 WINZIP類的自解壓程序,發作日改為每年6月26日。v1.4版本修改了發作日期及病毒的版權信息,發作日為每月26日。
CIH病毒傳播的主要途徑是Internet和電子郵件,當然随着時間的推移,它也會通過軟盤或光盤的交流傳播。據悉,權威病毒搜集網目前報道的CIH病毒,“原體”加“變種”一共有五種之多,相互之間主要區别在于“原體”會使受感染文件增長,但不具破壞力;而“變種”不但使受感染的文件增長,同時還有很強的破壞性,特别是有一種“變種”,每月26日都會發作。
CIH病毒隻感染Windows 95/98操作系統,從目前分析來看,它對DOS操作系統似乎還沒有什麼影響,所以,對于僅使用DOS的用戶來說,這種病毒似乎并沒有什麼影響,但如果是Windows 95/98用戶就要特别注意了。正是因為CIH獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播的實時性和隐蔽性都特别強,使用一般反病毒軟件很難發現這種病毒在系統中的傳播。
CIH病毒“變種”在每年4月26日(有一種變種是每月26日)或6月26日都會發作。發作時硬盤一直轉個不停,所有數據都被破壞,硬盤分區信息也将丢失。CIH病毒發作後,就隻有對硬盤進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主闆的電壓,改寫隻讀存儲器的BIOS,被破壞的主闆隻能送回原廠修理,重新燒入BIOS。
種類
CIH病毒破壞哪一類BIOS?
當然,CIH對BIOS的破壞,也并非想像中的那麼可怕。
現在PC機基本上使用兩種隻讀存儲器存放BIOS數據,一種是使用傳統的ROM或EPROM,另一種就是E2PROM。廠家事先将BIOS以特殊手段“燒”入(又稱“固化”)到這些存儲器中,然後将它們安裝在PC機裡。當我們打開計算機電源時,BIOS中程序和數據首先被執行、加載,使得我們的系統能夠正确識别機器裡安裝的各種硬件并調用相應的驅動程序,然後硬盤再開始引導操作系統。
固化在ROM或EPROM中的數據,隻有施加以特殊的電壓或使用紫外線才有可能被清除,這就是為什麼我們打開有些計算機機箱時,可能會看到有塊芯片上貼着一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類隻讀存儲器中的數據,僅靠計算系統内部的電壓是不夠的。所以,僅使用這種隻讀存儲器存儲BIOS數據的用戶,就沒有必要擔心CIH病毒會破壞BIOS。
但最新出産的計算機,特别是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名“電可改寫隻讀存儲器”。一般情況下,這種存儲器中的數據并不會被用戶輕易改寫,但隻要施加特殊的邏輯和電壓,就有可能将E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機内部電壓就可輕易實現對E2PROM的改寫,這正是我們通過軟件升級BIOS的原理,也是CIH破壞BIOS的基本方法。
改寫E2PROM内的數據需要一定的邏輯條件,不同PC機系統對這種條件的要求可能并不相同,所以CIH并不會破壞所有使用E2PROM存儲BIOS的主闆,目前報道的隻有技嘉和微星等幾種5V主闆,這并不是說這些主闆的質量不好,隻不過其E2PROM邏輯正好與CIH吻合,或者CIH的編制者也許就是要有目的地破壞某些品牌的主闆。
所以,要判斷CIH對您的主闆究竟有沒有危害,首先應該判别您的BIOS是僅僅燒在ROM/EPROM之中,還是有一部分使用了E2PROM。而且即使用ROM,cih也會破壞bios設置,這點要注意。
需要注意的是,雖然CIH并不會破壞所有BIOS,但CIH在“黑色”的26日摧毀硬盤上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。
