防治CIH病毒

小兰

防治CIH病毒


近来，CIH病毒被炒得沸沸扬扬，朋友们发过来的电子邮件讨论CIH病毒的也不少，甚至有些邮件附件本身就已经被CIH病毒感染。大家如此关注这个新病毒主要是因为以下几点：

　

·CIH是一个纯粹的Windows 95/98病毒，因为这个病毒很独特地使用了Windows VxD(虚拟设备驱动力程序)技术；
·CIH发作后，将完全破坏硬盘上的数据（甚至分区表）；
·更可怕的是它还有可能破坏PC机的BIOS，以达到彻底摧毁计算机的目的。
CIH病毒具备了破坏BIOS的能力，应当承认这还是很可怕的。 BIOS即人们通常所说的“基本输入/输出系统”，存放的都是系统最基本的硬件参数和驱动程序，一旦被破坏则系统根本无法启动，唯一的修复途径就是送回厂家重新烧入BIOS，也就是说CIH病毒已具备了破坏系统硬件的能力。
CIH病毒简介
CIH病毒传播的主要途径是Internet和电子邮件，当然随着时间的推移，它也会通过软盘或光盘的交流传播。据悉，权威病毒搜集网目前报道的CIH病毒， “原体”加“变种”一共有五种之多，相互之间主要区别在于“原体”会使受感染文件增长，但不具破坏力；而“变种”不但使受感染的文件增长，同时还有很强的破坏性，特别是有一种“变种”，每月26日都会发作。
CIH病毒只感染Windows 95/98操作系统，从目前分析来看，它对DOS操作系统似乎还没有什么影响，所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。
CIH病毒“变种”在每年4月26日（有一种变种是每月26日）都会发作。发作时硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失。CIH病毒发作后，就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压，改写只读存储器的BIOS，被破坏的主板只能送回原厂修理，重新烧入BIOS。
CIH病毒破坏哪一类BIOS？
当然，CIH对BIOS的破坏，也并非想像中的那么可怕。
现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。
固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是为什么我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。
但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。
改写E2PROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用E2PROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。
所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了E2PROM。
需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。
CIH病毒的全面防治
从以上关于CIH病毒的分析我们不难看出，CIH病毒具有以下特点：
·CIH病毒面向Windows 95/98甚至NT；
·CIH病毒的传播、感染具有Windows下的实时性和隐蔽性，一般的反病毒软件难以在Windows下检测到这种传播行为；
·绝大多数Windows应用程序的安装都是一个“解压缩，再安装”过程，CIH病毒有可能在解压缩过程中对系统进行感染，不具备压缩文件检测、实时反病毒能力的反病毒软件是无法检测到这种文件中的病毒。
根据这些特点，我们可以得出如下结论：全面防治CIH病毒需要能够检测压缩文件病毒、具备病毒实时治愈能力的反病毒产品。
公安部关于对CIH病毒进行清查的通报发出以后，在广大计算机用户中引起了广泛的关注，反病毒厂商更是各显神通，及时推出了多种清除CIH病毒的杀毒软件。继北京瑞星电脑公司率先开发出针对CIH病毒的杀毒产品后，北京冠群金辰公司、北京江民新技术公司等各家反病毒厂商也都相继公布了其杀毒软件。正可谓魔高一尺，道高一丈。
CIH病毒很新，而且据专业人士估计它开了“病毒破坏BIOS”之先河，今后一定还会陆续浮现出不少类似的病毒。最后，我建议防治计算机病毒的用户，多向专家咨询，尽可能多地掌握病毒的各种情况并选用适当的反病毒软件。