CIH病毒簡介
CIH病毒是一種能夠破壞計算機系統硬件的惡性病毒。據目前掌握的材料來看,這個病毒産自台灣,最早随國際兩大盜版集團販賣的盜版光盤在歐美等地廣泛傳播,随後進一步通過Internet傳播到全世界各個角落。
CIH病毒傳播的主要途徑是Internet和電子郵件,當然随着時間的推移,它也會通過軟盤或光盤的交流傳播。據悉,權威病毒搜集網目前報道的CIH病毒,“原體”加“變種”一共有五種之多,相互之間主要區别在于“原體”會使受感染文件增長,但不具破壞力;而“變種”不但使受感染的文件增長,同時還有很強的破壞性,特别是有一種“變種”,每月26日都會發作。
CIH病毒隻感染Windows 95/98操作系統,從目前分析來看,它對DOS操作系統似乎還沒有什麼影響,所以,對于僅使用DOS的用戶來說,這種病毒似乎并沒有什麼影響,但如果是Windows 95/98用戶就要特别注意了。正是因為CIH獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播的實時性和隐蔽性都特别強,使用一般反病毒軟件很難發現這種病毒在系統中的傳播。
CIH病毒“變種”在每年4月26日(有一種變種是每月26日)都會發作。發作時硬盤一直轉個不停,所有數據都被破壞,硬盤分區信息也将丢失。CIH病毒發作後,就隻有對硬盤進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主闆的電壓,改寫隻讀存儲器的BIOS,被破壞的主闆隻能送回原廠修理,重新燒入BIOS。
檢測與預防
系統中感染了CIH病毒時,由于病毒時刻在監視系統中的文件使用情況,造成系統效率降低,而且有些自解壓文件在病毒感染後被破壞,清除病毒後也不能使用,尤其是病毒發作時造成的破壞,後果更為嚴重。目前,防止CIH病毒的傳染和破壞主要有兩種方法:一是實時監測,不讓病毒進入系統,如KILL98就采用了這種方法,其優點是比較安全,但影響系統的速度,有可能誤報,而且對使用染有病毒的文件不方便。二是定期對系統進行病毒檢查,清除文件中的病毒,這種方法比較簡單,系統效率影響不大,但安全性不高。
實際上,CIH病毒第一次進入機器内存時,系統中感染病毒的文件是很少的,隻是由于未能及時發現,才使病毒得以傳播和蔓延。許多殺毒軟件在檢查文件中的病毒特征時,由于病毒代碼先于殺毒軟件獲得文件的操作權,從而将病毒代碼寫進文件中,這就造成了系統中幾乎所有的32位可執行文件都感染了CIH病毒的現象。
文件中的CIH病毒的檢測比較簡單,隻要從32位可執行文件的PE文件頭的偏移28H處獲得程序的入口地址,對入口程序段進行掃描即可。
根據CIH病毒在感染文件前對病毒特征的判别,我們可以人為地在PE格式的EXE文件頭的前一個字節的位置處寫上55H或一個非零值,以騙過病毒對文件是否染毒的判别。而大多數殺毒軟件在殺毒後,保留了文件頭中的病毒特征,相當于對這些文件進行了免疫。
由于病毒主要來源于因特網和光盤,光盤文件上的病毒無法清除,始終是系統的隐患,而使用第一種方法則有可能使用戶從網上下載文件失敗,造成不必要的損失。根據對病毒代碼的分析,我們介紹一種方法,它既不影響系統效率,也能使用戶放心地使用網上下載的文件和光盤上的文件。
本文提供的方法主要有下列兩個步驟:
1、檢測内存中的病毒。如果在内存中發現病毒,則清除之,釋放其占用的内存,并提示用戶對文件進行檢測。
2、對CIH病毒進行免疫。設置兩重防線,使CIH病毒代碼不能再進入内存,從根本上杜絕CIH病毒的傳播和破壞。
具體過程是:
通過調用VXD函數IFSMgr_InstallFileSystemApiHook,獲得系統當前的文件系統鈎子函數的地址和函數IFSMgr_InstallFileSystemApiHook的入口地址,根據獲得的地址,掃描相應的内存區,判斷内存中是否有CIH病毒。
如果發現内存中有CIH病毒,調用VXD函數IFSMgr_RemoveFileSystemApiHook先撤消其設置的文件系統鈎子函數,然後利用函數_PageFree将其占用的内存釋放。
由于病毒代碼在調試寄存器dr0中保存了一個指向系統中原有的文件系統挂鈎函數的地址的指針,病毒代碼通過該指針轉到系統原來的文件鈎子函數中,病毒在駐留内存之前,先要檢查該寄存器的值是否為零,以判斷病毒代碼是否已在内存中。因此,我們可以将該寄存器的值設置為非零值,讓病毒以為内存中已有病毒代碼存在,從而不駐留内存,這是第一道防線。
考慮到寄存器dr0的值可能被其它程序修改,讓病毒代碼獲得進入内存的機會,我們再設置第二道防線。在内存高端申請一頁内存空間,駐留一段代碼在這一内存空間中,修改系統中IFSMgr_InstallFileSystemA piHook函數的入口地址,使其指向我們自己設置的代碼,該代碼負責監視文件系統鈎子函數的安裝過程,如果是病毒代碼要進入内存,則拒絕讓其進入,并釋放其申請的内存。
有了這兩道防線,就能較好地防止CIH病毒進入内存,即便是運行染有病毒的程序,也不會對系統造成不利的影響。
解決方法
首先用戶應該确定自己計算機主闆的BIOS是那種類型的,如果是不可升級型的,用戶隻需對改回去的CMOS的參數進行重新設置即可。如果用戶的計算機BIOS是可升級型的。如果出現CIH病毒發作的症狀,不要重新啟動計算機從C盤引導系統,而應該及時進入CMOS設置程序,将系統引導盤設置為a盤然後A盤引導系統,之後用殺毒軟件對系統軟件造成破壞後該怎樣辦呢?首先使用殺毒軟件對硬盤進行徹底殺毒,之後再對系統軟件和應用軟件進行重新安裝。
可以在被CIH病毒破壞的基礎上直接安裝,這種方法較簡單,但會造成硬盤空間的浪費,因為這将帶來一些垃圾文件;另一種方法是将用戶的重要數據進行備分,之後對硬盤進行格式化,重新安裝系統程序和應用程序,這樣能節省硬盤空間。
4·26給我們的啟示
1999年4月26日,被稱為“世紀風暴”的CIH電腦病毒兇猛地撲向全球未設防的計算機和網絡系統,全世界至少有6000萬台計算機受到它的侵害,大面積的網絡系統處于癱瘓狀态,用戶的硬盤數據遭到嚴重破壞。回想當時的慘狀,我們不由得會問:為什麼當時面對宏病毒的肆虐,卻防不勝防呢?
追根溯源,當時由于大衆對計算機安全防範意識、計算機反病毒技術的認識比較淡薄,為病毒對電腦的侵襲提供了溫床。另一方面,當時的廠商仍然停留在“見毒殺毒”的初級狀态。當病毒出現,用戶隻能被動的在中毒之後,才會采取用殺毒盤來殺除文件中病毒的方法,完全出于被動的補救殺毒方式顯然已經落伍。
緝毒技術為根
與之形成鮮明對比的是目前國内計算機反病毒廠商紛紛推出針對各種病毒的全面解決方案,不僅提高了我國的信息安全技術,同時也為用戶的電腦提供了有預見性的、全方位、立體化、實時的安全保證。
反病毒廠商在近兩年的研發較量中,不斷推進反病毒技術的發展。基于Windows、Linux、Unix等平台的單機版殺毒軟件和企業版殺毒軟件層出不窮,而且在技術上不斷出現新的突破。今年年初,伴随着中國加入世貿組織和國外安全廠商的介入,國内企業如瑞星、江民等老牌殺毒廠商,憑借研發技術的深入和突破,先後推出了針對目前計算機網絡中“重災區”的電子郵件防毒殺毒的新品,同時推出了嶄新的殺毒新概念,比如瑞星公司推出的《瑞星殺毒軟件2002增強版》中獨具的“内存監控系統”,這是一項在國際上惟一一個能有效地對付内存型病毒的技術。
安全體系為本
高精尖的殺毒技術是國内反病毒廠商生存和競争的資本,但僅僅依靠技術是不夠的。全面的提升殺毒防毒意識,全方位立體的組建殺毒網絡,提供實時的殺毒咨詢和修複的服務才是2002年殺毒廠商能夠在競争中脫穎而出的勝出要素。
現在當有破壞性極大的惡性病毒出現,通過病毒監測網絡,可以及時截獲病毒,并以最快的反應速度,做出解決方案,并通過巨大的網絡體系對病毒進行預警工作。無論是著名的國際廠商,還是崛起的國内反病毒廠商在此方面都有所建樹。及時準确地通報疫情,快速反應,提供有效的解決方案。這些都保障了有效的控制病毒的泛濫,最大限度地減少病毒帶來的損失。
作為成熟的反病毒企業,建立全國範圍内的計算機病毒預報網和全國反病毒服務網是不能忽視的重要工作。回顧1999年CIH病毒之所以能夠大面積發作,其中一個原因也在于我們的反病毒服務網絡還不是很健全。
我們從瑞星公司了解到,瑞星已經與新華社、全國晚報協會、北京電視台等八十餘家媒體組建成了覆蓋全國的計算機病毒預報網,廣大計算機用戶可以及時了解最新的病毒信息,并盡早采取防範措施,将中毒幾率降低至最小值。同時瑞星還在全國範圍内建立3000多家瑞星特約服務站,以組成全國反病毒服務網,用戶不僅可以從網上不斷升級軟件,提升軟件的防毒指數,而且也可以通過瑞星的服務體系享受到周到細緻的防毒、殺毒、修複等服務。
服務網絡為責
擁有了先進的反毒技術并組建了龐大密集的安全網絡,對于用戶而言還是無法切身地體會到反病毒廠商真正存在的價值。但當用戶從殺毒軟件的經銷商那裡獲得了殺毒常識和相關的技術支持;當用戶計算機出現硬盤數據丢失而有處可找;當用戶通過閱讀報紙獲得最新病毒信息和防治措施;當用戶習慣性地通過網絡為殺毒軟件升級的時候,反病毒企業的自身價值才真正在消費者心目中得到了體現。
通過了解國内反病毒廠商建立的全方位的信息安全網絡體系,會發現當我們遭遇新病毒,尤其是極具破壞力的病毒的時候,不會再束手無措,也不會為電腦遭到損壞而痛心了。因為從病毒發作的第一刻起,就有反病毒專家在第一時間捕捉病毒,并在最短時間内将解決方法告知天下,極大的減少了病毒對與信息安全的威脅。
2002年的“4·26”即将到來,但此時的用戶無需再為自己的電腦擔憂,因為我們的身邊已經有了一群優秀的反病毒專家,有了他們的幫助和努力,我們的計算機将離病毒越來越遠。
關于作者
1999年4月30日上午,在軍方人員的護送下,正在台灣軍中服役的CIH電腦病毒作者陳盈豪被帶到了台北“刑事局”接受警方的偵訊。
讓辦案的警方人員大感意外的是,搞出震驚全球的電腦病毒的陳盈豪在記者們的閃光燈包圍中差一點當場癱倒在地。當陳盈豪踏入台北“刑事局”的大門後,面對早早就等在那裡的數十名記者的閃光燈一時間情緒失控,隻見他渾身發抖,面無血色,兩腿發軟,幾乎無法自己走路!
頗有經驗的辦案人員沒有采取單刀直入的慣用方式對陳盈豪進行問訊,而是先跟他談他在大學裡過去的女朋友、他的家人、大學生活以及與電腦有關的知識,這才讓陳盈豪的情緒逐漸恢複了平靜。
為了進一步調解陳盈豪的情緒,辦案人員打開了偵訊室的電腦讓他上網。非常巧的是,他一上網就發現他的母校—台灣大同工學院的一位學妹非常崇拜這位制造了震驚全球“電腦大屠殺”的老大哥,并且希望有機會約他吃飯。陳盈豪看了這封電子郵件後頓時精神煥發,臉上露出了笑容,很快就恢複了常态。這時的陳盈豪已經不害怕警方對他拍照,表示願意配合警方的調查,跟幾分鐘前簡直判若兩人。
心情恢複平靜的陳盈豪開始向警方侃侃而談他制造病毒的“輝煌戰果”。陳盈豪說,他從大學一年級開始就癡迷上了電腦,每天都要上網,下載最熱門的軟件、遊戲,因此也經常遭遇電腦病毒。為了解決電腦屢屢“中毒”的煩惱,他看報紙,買了不少廣告做得天花亂墜的防病毒軟件,結果往往什麼用也沒有,于是覺得自己被欺騙了。而CIH病毒完全是他一人設計的,目的是想出一家公司在廣告上吹噓“百分之百”防毒軟件的洋相。他一共設計了五個版本CIH病毒,其中V1.0、V1.1兩個版本沒有流出去,而這次危害世界各國的病毒是V1.2版。病毒發作的時間之所以定在4月26日,因為那是他的高中座号,也是他的綽号。
“電腦天才”:談戀愛搞社交樣樣不行,玩電腦編程序絕不服輸
如果說陳盈豪在台灣警察們的眼裡隻是“電腦鬼才”的話,那麼他的母親、同學、老師和左鄰右舍倒覺得他是一個地道的“電腦天才”。
陳盈豪的母親十分擔心自己的兒子會被法院判重刑,再三強調她的兒子不是故意的,不然的話就不會把自己的姓名縮寫當成病毒的名稱。陳盈豪的母親說,她的兒子是在上中學的時候就喜歡玩電腦的,經常到家境比較寬裕的同學家中或者學校玩電腦,上高中後專心研究電腦軟件程序,有時候還會編一些遊戲軟件跟同學們一起玩。“一口流利的台語,夏天常是一件T恤、短褲,穿着涼鞋,一副沒有睡醒的樣子就來上課。”這是陳盈豪在大學同學眼中最典型的形象。
除了這身打扮有些“老土”不起眼外,陳盈豪隻要一開口就是電腦,買的全是電腦方面的書。當别人自以為是電腦通的時候,他總會找機會在那人面前露一手,讓對手羞得無地自容。
陳盈豪有台灣南部人典型的好脾氣,在大同工學院學習時盡管不善交際,但人緣卻不差,并且有不少好朋友。他的同學們一緻認為,陳盈豪在上大學前就有相當的電腦基礎,進了大學後,他的電腦知識更是突飛猛進。陳盈豪對電腦課非常感興趣,大學一年級的“程序設計”的成績非常拔尖,就連平時的談話也多半在電腦裡打轉。同學們談女生,談電影新片時,陳盈豪就顯得非常地無趣,偶然插一兩句話也讓同學們有一種“話接不下去”的感覺。
在老師們的眼裡,陳盈豪在學校的表現并不十分突出,隻是在電腦軟件方面有更深的興趣,也有小聰明,但人很老實。要不是這次捅了個天大漏子的話,他肯定算不上“校園風雲人物”。大同工學院多年來的表現也十分平常名氣不大不小。有的老師認為,經過這麼一折騰,大同工學院的“知名度”頓時大增,這讓學校覺得啼笑皆非。
在陳盈豪一家居住的高雄市三民區,左鄰右舍不但對身邊竟然出了個如此一号人物表示吃驚,似乎對陳盈豪和他的家人沒有什麼了解。鄰居們說,隻知道陳盈豪大概去年從大學畢業,在家待了一陣子,很少看到他。陳盈豪和媽媽還有兩個妹妹住在一起,很少看見他的父親,平常他們家和鄰居也很少打招呼,更不知道他會玩電腦,而且還制造出讓人驚慌的電腦病毒,而這一切現在已成為鄰居們最新的話題。
“電腦瘋子”:家有精神病史,“軍情局”吓得退避三舍
陳盈豪在接受“刑事局”的偵訊後由于情緒還不穩定,因此當天被馬上送回花蓮營區,由軍方把他送到花蓮總醫院住院觀察。經過醫生的初步診斷,陳盈豪有煩躁不安、憂郁的傾向。醫生表示,陳盈豪主動說他覺得自己的情緒不穩定,而根據院方的資料顯示,陳盈豪三月份還曾經看過精神科醫生。此外,陳盈豪的家族竟然有精神病病史。
此外,台灣媒體還曝光一個驚人的秘密:陳盈豪在部隊服役的時候曾經向軍方自誇說,他可以設計出一種導緻軍用電腦癱瘓的程序。台灣“軍情局”對此萬分感興趣,準備把他收歸麾下,充當電子戰的專家。然而,在他們調查了陳盈豪的家史後,他們發現陳的精神狀态不穩定,并且有家族精神病史。因此,台“軍情局”不但沒有将他收編,還要求他立即退役!
其後陳盈豪在花蓮總醫院精神科接受就診觀察。花蓮總醫院精神科主治醫師陸承賢表示,陳盈豪曾有兩次精神科門診記錄,但在診斷過程中并無明顯的躁郁症症狀,隻是出現焦慮不安的情形,而此可能與陳盈豪在部隊生活适應不良有關。
