LINKS
 

 

[回首页]

Win95.CIH专页

一、病毒基本特性

病毒类型

普通病毒
特洛伊木马
蠕虫
恶作剧程序

病毒传播平台

DOS
WIN9X
WIN NT/2K

病毒来源

■中国台湾

 病毒特性
感染.COM文件
感染.EXE文件
感染引导区
感染网络驱动器
感染OFFICE文档
驻留内存
普通


故意破坏
降低系统运行速度

暗中破坏
复杂
多态性
自身加密
自身修改
重复感染

其他特性:

1、不改变文件大小。
2、ZIP压缩包中如果压入了被该病毒1.2版本感染的病毒,该压缩包会无法正常打开。

二、病毒命名对照(以FF#6样本库 Win95.CIH.1019样本为例)

反病毒产品 命名
AVP Win95.CIH
MCAFEE SCAN W95/CIH.1019

三、病毒详细信息英汉对照

暂时空缺

四、病毒防御方案


CIH是VXD病毒,只能在9X/ME环境下传播,不会感染独立的DOS/NT/2000工作站(多操作除外)。该病毒的出现,已经超过2年的时间了,基本上所有杀毒软件都可以查杀它,根据我们接到的求救信看,病毒的感染和发作,都是由于用户没有安装杀毒软件或没有打开实时监控造成的。
再次提醒用户一定要安装可靠的杀毒软件按时升级,同时切忌关闭软件的实时监控功能。
另外,盗版光盘是CIH在大陆境内传播的主要途径,建议大家把发现有病毒的光盘毁掉,不要自己保留安全隐患。

五、感染后杀毒方案


WIN95.CIH是一种采用VXD机制的文件型病毒,只感染PE文件。其采用RING0级别的文件操作权限,其感染的一些文件由于被WINDOWS系统锁定,如果在98下杀毒会使清除不成功。
可以采用以下几种方法:
1、用干净引导盘启动,或者关机返回MSDOS方式(此时该病毒已经失去系统控制权),用FOR DOS下的杀毒软件处理,多数安装在9x系统下的杀毒软件,都自带DOS下的杀毒工具,如kill 的KILLCMD.EXE、或者该软件可以生成应急盘,该盘上包括DOS下杀毒工具。
2、用经纬周辉编写的CIH终结者2.0,该软件首先在98环境下内存解毒,然后自动退到DOS下杀毒,对一般用户来说比较方便,该软件1.0版本有个一个问题就是对CIH分块存储处理有问题,会留下病毒僵尸,这样病毒虽然失去了发作的可能,但毕竟让用户不是太舒服。2.0版本是否修改了这个问题我们还没有测试,但不失为一个比较简明的解决方案。(下载CIH终结者)
3、AV98等软件中采用了一个比较不错的解决方案,就是针对被9x系统锁定的文件,处理出一个无毒备份,软件在杀毒处理过程中会提示重新启动,重起过程中程序会调用WINDOWS的覆盖更新机制,将染毒系统文件覆盖。(下载AV98)

六、病毒发作后灾难恢复方案

CIH病毒的发作主要针对硬盘数据和软件更新BIOS进行破坏:
CIH对数据破坏是以1024字节为单位的覆盖式的,如果其破坏过程彻底完成,数据不会有恢复的可能。但由于CIH是从硬盘主硬盘的主分区表、主硬盘的主分区、从硬盘的主分区、主硬盘扩展分区的的第一逻辑分区、....这样的顺序破坏的,因此覆盖行为可能会和WINDOWS系统发生冲突,造成系统死机,从而使尚未覆盖过的数据有被恢复的可能。(根据未验证的消息,CIH有先从其它逻辑分区破坏起的版本,那么恢复概率将更低)

本站介绍过CIH发作后采用DISKEDIT和DEBUG的手工恢复过程,但由于不适合普通用户。这里介绍工具恢复方案。
根据我们对用户使用情况的了解,有如下工具可以对CIH破坏过的硬盘进行部分恢复。
(免费工具:FIXMBR(何公道编写,用于恢复扩展分区中的逻辑盘)、VRVFIX(北信源编写,用于恢复扩展分区中的逻辑盘)、FDC(赵玉钧编写);共享工具Easyrecovery (破解、汉化 就是原来的Tiramisu);商品软件瑞星、KV300、Norton)
我们建议用户处理方法如下:

首先,用软盘启动,FIXMBR恢复其它逻辑盘,FIX只对MBR写入数据,由于CIH发作已经破坏了MBR,因此,不要担心FIXMBR的写入操作影响其它软件的恢复。而且,一般来说,采用FDISK分区的硬盘,MBR数据区再生还是比较容易的。
如果是CIH破坏后没有作其他操作的原始硬盘,直接运行FIXMBR就可以,如果用其他恢复工具,没有找到逻辑盘,用FIXMBR 0 /Z(0是磁盘序号,表示是系统第一个硬盘,如果是第二个硬盘,就用1)将分区表清空重新恢复。
如果,D\E等分区恢复成功,建议你先把硬盘挂到其他机器上,把重要内容先COPY出来,再进行C盘恢复。
下一步,我们强烈建议用户先不要用所谓全盘直接修复工具,而先用Easyrecovery对硬盘进行扫描,由于Easyrecovery把修复结果写到其他硬盘上,对被病毒破坏的盘没有任何写入操作,因此,不会因修复带来其他后果。Easyrecovery提供了应急盘方式和在window环境下扫描两种方式,无论哪种方式用户都需要有另一块正常的硬盘,而且需要比较大的空间。前者是用户通过Easyrecovery生成的应急盘启动,,后者是用户把被病毒破坏硬盘直接挂到安装了Easyrecovery的正常硬盘上扫描,无论哪种方式,扫描完成后,软件都列出可恢复目录,用户可以选择这些目录向好的硬盘上COPY。
之后,如果恢复结果不能令人满意,用户可以试图用所谓全盘恢复工具处理,如瑞星或fdc,我们没有测试过瑞星的恢复情况,根据厂商介绍,其对破坏比较严重的FAT16恢复情况较好。
以上软件除了瑞星,都可以在本站下载。
如果数据恢复成功,大家一定不要忘记对硬盘杀毒,特别是C盘恢复成功的情况下,注意不要马上启动,而应该先用DOS盘启动杀毒。
对于硬盘中有异常重要数据的情况,和使用者本身难以掌握的情况,可以请专业数据恢复公司处理,不过他们收费比较高(一般在1000RMB以上),如果是没有重要数据的一般用户,建议放弃。还需要指出的是被CIH破坏的硬盘,通过类似fixmbr一类的工具处理后,重新分区格式化一般都可以正常使用(或者采用fdisk/mbr +fdisk重新分区+FORMAT的方法)。
切记没有必要低格硬盘。
BIOS的恢复,一般可以找有EP-ROM和flash-ROM写入器的公司处理(一般费用10RMB左右),也可以将主板返厂修理(如果过了保修期,一般费用50RMB).

病毒观察疫情追踪由http://www.virusview.net/独家策划。转载请注明出处