头号病毒袭击之后……

吴应泉、云君

头号病毒袭击之后……

　　8月27日一上班，北京电报局通讯营业部、北京邮电技术研究所等数十家单位突然发现自己单位的计算机全部瘫痪 ……

　　上述一幕发生在北京的8月27日，从6月起，我国各地的计算机用户单位已多次遭到病毒袭击。目前，我国部分地区发现了一种称为CIH的恶性计算机病毒，很多应用单位的计算机已被传染，造成严重损失。


　　“通辑”头号病毒


　　由于CIH病毒影响了我国计算机信息系统的正常应用，公安部8月31日向各级公安机关发出紧急通报，要求做好CIH病毒的预防工作。

　　据公安部通报，CIH病毒是我国迄今为止发现的首例直接攻击、破坏硬件系统的计算机病毒，是破坏力最为严重的病毒之一，主要传染Win95/98可执行程序。该病毒发作时，破坏计算机Flash BIOS芯片中的系统程序，导致系统主板损坏，同时破坏硬盘中的数据。被破坏的数据不可恢复，通常需要更换主板，重写BIOS。因此，损失极大。

　　CIH病毒可通过多种渠道进行传播，如软件或软盘的相互拷贝， 通过互联网络进行文件传输，以及购买光盘软件产品等环节。目前我国已发现CIH病毒的三个版本，即1.2、1.3、1.4，发作时间分别为4月26日、6月26日和每月的26日。

　　据公安部介绍，互联网上有些下载软件也已发现CIH病毒，某些正版软件及升级软件也已发现被感染。因此，公安部要求计算机信息系统开发、应用和软件销售部门，尽快落实防范措施，加强日常安全检查，防患于未然。尤其是软件生产、销售部门，一定要对其产品进行认真检查，切实保证不将含有CIH病毒的软件产品流向社会。计算机用户发现CIH病毒后，要及时向当地公安计算机管理监察部门报告，协助公安机关做好信息系统安全保护工作，保障国家重要部门计算机信息系统的正常运行。


　　一封道歉信


　　谁是CIH病毒的肇事者？

　　据公安部介绍，CIH病毒源于台湾。记者近日也在因特网台湾BBS上看到这样一封道歉信—《公开道歉信》:

　　这是一封公开道歉信，这次的病毒事件，CIH v1.2、CIH v1.3，以及CIH v1.4，造成了大家的伤害以及不便，为此深表歉意。

　　事件发生于5月底，病毒是从宿舍内部迅速扩大到各大网络，因为网络的频繁使用，同时病毒传染力甚强，于是造成如此大的灾难……学校已经依校规对我个人适当处分，并且郑重警告，以后若有类似的事件发生，校方绝对会追究到底。

　　为了弥补个人的过失，这段时间，对外面中毒的热门软件，我也用archie搜寻，花时间一一检查是否带有毒，中毒的话，也附上此档案中CIH病毒类似的字样，或是直接EMail给该站管理员，避免再次造成伤害。

　　而在这段时间，感谢SSCAN作者的帮忙，用最快的速度写出完整的解毒程式，同时我也及时写出对CIH病毒免疫的程式。

　　同时藉此声明，最近在网络上流传CIH Version 1.0 for word97巨集病毒，绝非个人行为，请各位详查。

　　这位署名陈盈豪的CIH病毒制造者发出警告，他说，网络毕竟是公开的，全世界的病毒到处流窜，新的病毒还是会继续产生，（在网上）抓档案时还是小心点。

　　如何得知自己的档案中有CIH病毒？陈盈豪在道歉信中说，感染到CIH v1.2则所有WinZip 自解档无法自动解开，同时会出现WinZip Self-Extractor header corrupt，Possible cause；disk or file transfer error. 这个讯息；感染CIH v1.3则部分WinZip自解档无法自动解开；至于CIH v1.4因为不感染WinZip自解档，所以所有WinZip自解档都不会感染CIH v1.4，因此比较难以发生异常。除此之外，Teleport软件中毒后无法执行（适用于所有版本）。同时，在PE执行档中，大部分中毒的档案会出现“CIH v1.”字串。

　　如何简单得知系统常驻CIH病毒？陈盈豪说，执行最新版的免疫程式，要安装时，若有CIH病毒已经常驻在系统中，免疫安装程式就会察觉异样，并蹦出信息，警告使用者。


　　谁发了财？


　　这次肆虐的CIH病毒可以说是病毒史上的头号病毒案，并且这一病毒才刚刚开始，人们不知道下一个26日会是一个怎样的结局……

　　这一病毒发源于台湾，有消息说，台湾已至少有4家地下光盘工厂遭到CIH病毒的感染。公开的消息说，台湾继白象资讯CATV ISP七月份月刊光盘中发现感染CIH病毒后，台湾数一数二的大ISP Seednet七月份的上网光盘中的档案也证实遭到CIH病毒的感染，而这些光盘已在台湾和世界上售出无数套。迫于社会的压力，Seednet不得不在因特网上向其用户致歉，并向用户确定该病毒发作时间为明年4月26日，并采取系列措施。（关于Seednet采取的措施可上网查询，地址为：http://service.seed.net.tw/URGENT/apology.htm）

　　记者也采访了一些国内用户，深圳市公安局曹会军说，4月以来，该市已有多个用户遭到CIH病毒的袭击。深圳市公安局曾将病毒样本送至北京CA公司，据曹会军介绍，CA已提供杀死CIH病毒的软件。记者采访CA获悉，国内用户现在正在使用的KILL98认证版（病毒引擎4.12版以上）能够彻底防治这种病毒。

　　深圳市九龙海关技术处鲁先生说，国内多种杀病毒软件都可以杀死CIH病毒。鲁先生说：“我刚从国家海关总署回深圳，海关总署也没有逃脱CIH病毒的‘魔爪’。”

　　CIH病毒刚刚开始发作，国内外的防杀病毒软件厂商已纷纷宣布推出各种软件对付该病毒。正像台湾的一位用户在BBS上所说的那样，“遭受损失的是我们这些用户，发财的是防杀病毒厂商。”

　　防病毒厂商也丝毫不掩饰CIH病毒发作带来的商业机会，记者采访的大部分厂商认为，CIH病毒袭击我国，“并不完全是一件不幸的事”。CA公司认为，CIH病毒传入我国更体现了该公司坚持“走本地化、国际化相结合道路”的重要意义，为公司提供了很重大的商业机会。


　　厂商过“招”


　　面对突然到来的发财良机，防杀病毒厂商纷纷拿出高招。对于厂商来说，这既是一次发财的机会，但是弄不好也要倒霉。因为对于用户来说，这是一次检验防杀病毒软件产品优劣的最好机会。不能及时推出杀死CIH病毒的厂商有可能被用户永远拒绝，因此，各厂商纷纷亮出杀手锏……

　　国内著名的杀病毒厂商瑞星公司由于在国内有着广泛的用户基础，在8月4日就通过用户得到CIH病毒样本，是最早获得CIH病毒样本的厂商之一。在我国著名的反病毒专家刘旭的带领下，瑞星公司技术部门马上对该病毒进行了认真的分析，发现该病毒只是一个不到1K的小病毒，但攻击性极强。瑞星公司于8月21日完成对CIH病毒完全彻底地封杀。鉴于CIH病毒的严重危害性，瑞星于8月25日上报公安部，并与公安部联合在8月31日向全国发出紧急通报。目前，瑞星公司的9.0瑞星杀毒软件可以完全清除CIH病毒。

　　为了防止CIH病毒进一步扩散，瑞星于9月1日召开CIH病毒情况通报会，于9月2日召开各软硬件厂商通报会。同时，在自己的网站上和BBS系统提醒用户严加防范。进入我国不久的国外著名防病毒厂商NAI、趋势科技、Symantec也先后宣布防杀CIH病毒软件新“招”。

　　Symantec近日宣布Symantec AntiVirus 研究中心 (SARC)已经研究出一种工具软件,可以用十分简洁迅速的方法“关闭”。这个工具是免费提供的，现在就可以从Symantec的网站下载，并且它可以与任何反病毒程序结合使用。在日前针对CIH病毒的多方测试中，由Symantec公司提供的这个工具仅用不到一分钟就顺利完成了从侦测、清除到修复的全部工作，表现出了相当优异的水平。

　　NAI在其网站（www.nai.com）上已经准备了免费的CIH病毒监测及清除工具软件。NAI还说，CIH病毒在1999年4月26日以前不会扩散。

　　趋势科技与台湾SeedNet合作也推出了相应的CIH病毒解决方案。

　　CA早在7月31日就在其主页上(www.cai.com)公布了有关CIH病毒的解决方案。其KILL98网络版就是一个很好的杀死CIH病毒的产品。

　　无论如何，衡量各厂商产品优劣的是用户，只有符合用户需要的产品才是真正的好产品。