LINKS
 

 

[回首页]

围攻CIH病毒

艾文




  9月1日,中央电视台晚间新闻播发公安部防范CIH病毒通告,一时间,这种能引起硬件损坏的病毒,吸引了公众的注意力。国内各反病毒软件的厂商在CIH病毒面前显出英雄本色,为阻止病毒蔓延发挥了不可替代的作用。还是让我们听听他们的意见。 ———编者


  专家谈病毒


  江民新技术有限责任公司

  总经理王江民:

  CIH是一种什么样的病毒?

  CIH病毒对计算机数据和机器主板BIOS有极大的破坏力,是纯32位Windows95、Windows98病毒,不传染DOS、WIN3.2文件,每个月26日发作。该病毒能识别部分主板上BIOS写入口,在低电压下对可擦写功能的BIOS内的程序注入个别字符,使BIOS程序紊乱,造成机器暂时不能使用。

  该病毒代码长为1075字节左右,有多个变种,只感染Windows95、Windows98的EXE、PE格式文件,病毒代码分解为多个不同大小的碎块,潜伏在文件内部的不同地方,文件长度无变化。该病毒已在世界广泛流行,国内已有计算机用户遭受攻击,损失惨重。

  CIH病毒真的能对硬件进行破坏吗?

  过去,向主板上开机使用的BIOS芯片写入程序时,需在专用写入器上用12伏以上电压才可注入程序。现在,12伏以下可重复擦写的BIOS芯片已经在使用,也可从主板生产厂家的网站上下载BIOS升级程序,由用户自己将主板上BIOS内的旧程序升级。这就被CIH病毒编制者钻了空子,编出CIH病毒来乱改BIOS芯片中的程序,造成计算机不能启动,即所谓硬件被损坏。

  用户能自己修复吗?

  不能,这必须靠专业厂商重新擦写或更换BIOS芯片才能使用。

  所有计算机的BIOS芯片都可被CIH病毒破坏吗?

  不会的,CIH病毒只识别个别主板生产厂家的个别型号的BIOS芯片的写入端口。硬件厂商必须予以的高度重视。

  CIH病毒还对什么进行破坏?

  每个月的26日,从硬盘主引导区开始,CIH病毒对其中的数据进行覆盖式的乱写。

  用户能自己修复数据吗?

  如果用户的硬盘划分了有C、D、E……等多个分区,而且重要数据存放在D、E……上,这是有可能恢复的。我们已用KV300的F10自动修复硬盘分区表功能,修复了多个被CIH病毒破坏的硬盘,只是C盘上的数据不好恢复。

  有较好的防范和杀除该病毒的方法吗?

  由于该病毒冲破了国内外所有的病毒实时监测防火墙,悄悄进入到计算机中来,到了26日便发作。防毒产品对新病毒最多能防99%,对病毒必须综合治理,全面防范。

  所有KV300的用户,请抓紧免费升级到W+版以上。否则,一旦感染病毒,硬件也难保住。KV300可全方位在DOS、Windows、单机与NOVELL网络上杀除该病毒,可修复被病毒破坏的硬盘分区表,找回D、E、F盘上的数据等。

  (注意:请一定用干净系统软盘引导机器后,再查杀。否则,病毒会使机器严重感染,查杀不彻底。)

  

  瑞星电脑科技公司

  总工程师刘旭:

  CIH病毒演变

  有资料显示,CIH病毒始于4月26日,经过五个版本的修改,5月31日v1.4出笼,其中后三个版本v1.2~v1.4具有破坏性,并流传到社会上。7月在国外开始见到报道,8月便在国内大部分地区发现该病毒并造成了一定程度的破坏。CIH病毒是首例感染WIN95/98可执行程序,同时破坏计算机硬件芯片的恶性病毒。

  CIHv1.2长度为1003字节,发作日期为4月26日,病毒体中含有字符串CIHv1.2TTIT;

  CIHv1.3长度为1010字节,发作日期为6月26日,病毒体中含有字符串CIHv1.3TTIT;

  CIHv1.4为1019字节,发作日期为每月26日,病毒体中含有字符串CIHv1.4TATUNG。

  CIH病毒感染对象

  只感染Windows95/98可执行程序(PE结构程序),不感染DOS和windows3.x程序,在WindowsNT下既不感染也不破坏。

  CIH病毒感染文件过程

  当系统打开文件时,病毒试图感染该文件。首先它判断是否是以EXE为后缀名,如果不是,也不感染;然后判断文件是否是PE结构,如果不是,不感染;感染时将病毒程序分开成若干段,分别放置在文件中没用的空间里。如果被感染的文件中没有足够空间,可能导致该程序无法运行。从v1.3版本开始,该病毒能够判断文件是否是WinZip自解压缩程序,如果是,则不感染。v1.4版本修改了v1.3版本在判断WinZip自解压缩程序的一个bug。

  CIH病毒破坏性

  1.直接存取FlashBIOS端口,用垃圾码写入FlashBIOS芯片中,一旦成功BIOS不可恢复;但它不能破坏EPROMBIOS芯片。

  2.调用IOSμSendCommand直接对硬盘进行存取,将垃圾码以2048个扇区为单位从主引导扇区开始依次写入硬盘。所有硬盘(含全部逻辑盘)的数据均被破坏,现象为所有硬盘转个不停,计算机处于死循环;因此硬盘中的所有数据均不能恢复。

  CIH病毒的传播

  CIH病毒巧妙地将病毒程序分开成许多段,分别放置在WIN95/98可执行程序没用的空间里,感染程序的大小没有变化。当病毒运行时,会将各段病毒程序自动拼接起来,并驻留内存,在不知不觉中进行感染和传播。因此,该病毒感染性极强,必须及时采取防范措施,会造成迅速蔓延的态势。

  目前,大量案例证实CIH病毒的传播速度之快,破坏能力之强是前所未有的。例如:拥有80万注册用户的世界第三大游戏站点Mplay.com被CIH病毒感染;国外一家公司500多台电脑瘫痪;北京某研究所的所有计算机全部瘫痪,无法启动;某通讯营业部从网上下载软件运行后,计算机瘫痪,开机无任何显示;湖南某进出口公司遭病毒破坏,多台计算机瘫痪。

  在不到两个月的时间内,CIH病毒便在世界各地传播。CIH病毒的出笼,给我们敲响了一记警钟。我们决不能麻痹大意,放松警惕。


  病毒防范


  KV300:

  如果您的机器硬盘上装的是新版Windows95(OSR2)等32位系统,而您用DOS7.0以下的系统软盘引导机器后,硬盘不会被确认。这时,您应自做一张Windows4.1111(DOS7.1)以上的干净系统引导软盘来引导系统。

  所有KV系列的用户,可自我扩充下列广谱病毒特征码,就可立即查找CIH26日毁灭病毒:

  ″8D44%%6487%%8D4B%%0F014C??5B83C3″

  FoundWIN.CIHVirus!

  ″87D5EEC3??3A662753″FoundWIN.CIHVirus!

  瑞星:

  北京瑞星电脑科技公司最新研制成功的瑞星杀毒软件9.0,在国内已率先实现彻底清除CIH病毒。瑞星杀毒软件用户可尽快通过瑞星电子公告牌或互联网获得升级软件,也可通过修改日期暂时避免病毒发作。如果CIH病毒已经发作并破坏了计算机系统,建议用户尽快更换主板,或请专家重写BIOS芯片,重新建立计算机系统。

  VRV:

  建议用户选用具有实时杀毒功能的杀毒软件,以防止该病毒的重复传染。用户可选用北京信源公司VRV杀毒软件的最新22.C版,实时杀除Win95.CIH病毒。

  KILL:

  冠群金辰软件有限公司提醒广大KILL用户,尽快与代理商联系或从Internet上下载最新KILL病毒引擎4.12版,因为目前市场上出售的KILL(98认证版)使用的都是4.10版的病毒引擎。

  行天98:

  北京时代先锋软件公司警告广大行天98的用户:使用行天98对硬盘、软盘等进行一次彻底查解,并打开行天98后台监视窗;将主板上的FlushRom跳线设置为禁止(Disable)。

(,2000-11-20)