CIH
病毒是一种能够破坏
计算机系统硬件的
恶性病毒。这个病毒产自中国台湾,原
集嘉通讯公司(
技嘉子公司)手机研发中心
主任工程师陈盈豪在其于
台湾大同工学院念书期间制作。最早随国际两大盗版集团贩卖的
盗版光盘在
欧美等地广泛传播,随后进一步通过
网络传播到全世界各个角落。
来源
CIH病毒是一位名叫
陈盈豪的中国台湾大学生所编写的,从中国台湾传入中国大陆地区的。CIH的载体是一个名为“
ICQ中文Chat模块”的工具,并以热门
盗版光盘游戏如“古墓奇兵”或
Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传播的主要途径主要通过Internet和
电子邮件,当然随着时间的推移,其传播主要仍将通过
软盘或光盘途径。
历史
1998年6月2日,首例CIH病毒在中国
台湾被发现;1998年6月6日,发现CIH 病毒V1.2版本;1998年6月12日,发现CIH 病毒V1.3版本;1998年6月30日,发现CIH 病毒V1.4版本;1998年7月26日,CIH病毒在美国大面积传播;1998年8月26日,CIH病毒实现了全球蔓延,公安部发出紧急通知,
新华社和新闻联播跟进报导;1999年4月26日,CIH病毒1.2版首次大规模爆发,全球超过六千万台电脑受到了不同程度的破坏。此后,陈盈豪公开道歉并积极提供解毒程序和防毒程序,CIH病毒逐渐得到
有效控制。
这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的
爱虫病毒的一个变种包含CIH病毒的挂钩
例程,从而使该病毒在互联网上传播开来。但由于CIH病毒只在windows 95、98和windows Me系统上发作,且人们对它的特性也有所了解,因此造成的损失有限。
一个修改版本是CIH.1106,发现于2002年12月,但是没有严重的破坏性。
CIH病毒属
文件型病毒,杀伤力极强。主要表现在于病毒发作后,硬盘数据全部丢失,甚至主板上BIOS中的原内容也会被彻底破坏,主机无法启动。只有更换BIOS,或是向固定在主板上的BIOS中重新写入原来版本的程序,才能解决问题。当然,CIH对BIOS的破坏,也并非想像中的那么可怕。 当时PC机基本上使用两种
只读存储器存放BIOS数据,一种是使用传统的
ROM或
EPROM,另一种就是
E2PROM。厂家事先将BIOS以特殊手段“烧”入(又称“固化”)到这些
存储器中,然后将它们安装在PC机里。当我们打开
计算机电源时,BIOS
中程序和数据首先被执行、加载,使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的
驱动程序,然后硬盘再开始引导操作系统。 固化在ROM或EPROM中的数据,只有施加以特殊的电压或使用
紫外线才有可能被清除,这就是我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类
只读存储器中的数据,仅靠
计算机系统内部的电压是不够的。所以,仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH病毒会破坏BIOS。 但最新出产的计算机,特别是
Pentium以上的计算机基本上都使用了
EEPROM存储部分BIOS。EEPROM又名“电可改写只读存储器”。一般情况下,这种
存储器中的数据并不会被用户轻易改写,但只要施加特殊的逻辑和电压,就有可能将EEPROM中的数据改写掉。使用PC机的
CPU逻辑和计算机内部电压就可轻易实现对EEPROM的改写,这正是我们通过
软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。 改写EEPROM内的数据需要一定的逻辑条件,不同PC机系统对这种条件的要求可能并不相同,所以CIH并不会破坏所有使用EEPROM存储BIOS的主板,当时报道的只有
技嘉和
微星等几种5V主板,这并不是说这些主板的质量不好,只不过其EEPROM逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。 所以,要判断CIH对您的主板究竟有没有危害,首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有一部分使用了EEPROM。 需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。
病毒版本
CIH病毒别名有Win95.CIH、Spacefiller、Win32.CIH、
PE_CIH,它主要感染Windows95/98下的
可执行文件(
PE格式,Portable Executable Format),不感染
DOS以及WIN 3.X(
NE格式,Windows and OS/2
Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,最流行的是v1.2版本.
CIH病毒各种不同版本的随时间的发展不断完善,其基本发展历程为:
v1.0版本
最初的V1.0版本只有656字节,其显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类
可执行文件的病毒之一, 被其感染的
程序文件长度增加,此版本的CIH不具有破坏性。
v1.1版本
当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断
WinNT软件的功能,一旦判断用户运行的是WinNT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类
可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时, 不会导致文件长度增加。
v1.2版本
当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及
用户主机 BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节,病毒发作时间为每年的4月26日。
v1.3版本
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误
警告信息。v1.3版本的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒发作时间修改为每年的6月26日。v1.3 版本的CIH病毒长度为1010字节。
v1.4版本
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP 自解压包文件,同时修改了发作日期及病毒中的
版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。 从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3 个版本的病毒具有实际的破坏性.
发作特征
CIH属
恶性病毒,当其发作条件成熟时,其将破坏
硬盘数据,同时有可能破坏BIOS程序,其发作特征是:
1、以2048个
扇区为单位,从硬盘
主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了。
2、某些主板上的
Flash Rom中的
BIOS信息将被清除。
大事记
(1998-2004年)
1998年6月2日:中国台湾传出首例CIH病毒报告
1998年6月26日:CIH V1.3版本造成一定程度的破坏
1998年6月30日:发现CIH V1.4版本
1998年7月:在INTERNET 环境中发现一个基于WIN98系统的分布感染实例
1998年7月26日:CIH病毒开始在美国大面积传播
1998年8月:在Wing Commander 游戏站点发现DEMO被感染
1998年8月:两家欧洲的
PC游戏杂志光盘被发现感染CIH
1998年8月26日:CIH 1.4 版本爆发, 首次在全球蔓延
1998年8月31日:公安部发出紧急通知,新华社、中央台新闻联播全文播发
1998年9月:Yamaha为某个类型的
CD-R驱动编写的软件被感染CIH
1998年10月:一个在全球发行的游戏SiN的DEMO版被发现感染CIH
1999年3月:CIH 1.2 版本被发现在
IBM 的Aptiva 机器中预装
1999年4月26:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏
2000年4月26:CIH 1.2 版本第二次大范围爆发,全球损失超过十亿美元
2001年4月26:CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏
2002年4月26日:CIH病毒再次爆发,数千台电脑遭破坏
2003年4月26日:仍然有100多个CIH病毒的受害者
感染特征
由于流行的CIH病毒版本中,其标识
版本号的
信息使用的是明文,所以可以通过搜索
可执行文件中的
字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“
CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行: inc bx dec cx dec ax 则它们的
特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
具体的
搜索方法为:首先开启“
资源管理器”,选择其中的菜单功能“工具>查找>文件或
文件夹”,在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”,最后点击“查找键”即可开始查找工作。如果在查找过程中, 显示出一大堆符合查找特征的
可执行文件,则表明您的计算机上已经感染了CIH病毒。
实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH
病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。
一般情况下,推荐的方法是先运行一下“
写字板”软件,然后使用上面的方法在“写字板”软件的
可执行程序Notepad.exe中搜索特征串,以判断是否感染了CIH病毒。 另外一个判断方法是在
Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值,则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”,接着搜索其偏移0x28位置处的值是否为55
8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改90(nop),接着搜索 CD 2C4 20 与 CD 20 67 00 40 00特征
字串,将其全部修改为90,即可(以上数值全部为
16进制)。
破坏性
CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,
集嘉通讯公司(技嘉子公司)手机研发中心
主任工程师陈盈豪在其于台湾大同工学院念书期间制作。最早随国际两大盗版集团贩卖的
盗版光盘在
欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。 目前传播的途径主要通过Internet和电子邮件。
计算机病毒的传播已摆脱了传统
存储介质的束缚,Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。CIH病毒只感染Windows95/98操作系统,从目前分析来看它对
DOS操作系统似乎还没有什么影响,这可能是因为它使用了Windows下的VxD(虚拟设备
驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发(有一种版本是每年4月26日爆发)。CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换
BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的,所以一旦CIH病毒爆发,用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。 从技术角度来看,CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制,被认为是牢固地连接到了操作系统底层,所以CIH病毒既不会向DOS操作系统传播,也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒的人提出了巨大的挑战,这是因为传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序,它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒;另一方面,由于能够与操作系统底层紧密结合,CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的
反病毒软件。 CIH 病毒是一种运用最新技术,会 Format
硬碟的最新病毒,通常都利用网路族上网时,进行传播感染 。目前最新的变种病毒为CIH 会在每月26 日发病,并会展现最强大的
破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作,也没有显示任何画面,只是占用部份
记忆体而已。但是有些 32-bit的程式被感染之后,运作会不正常,甚至会造成
当机。但是,CIH病毒长驻在主记忆体之后,每次 执行时,会检查电的日期是否为﹝4月26日﹞,如果是,它会透过你的电脑I/O部:CF8,CFD,
CFE修改你 的电脑的某些设定,并且把你电脑所有硬盘的资料都毁了,甚至连硬盘
数据区及
引导区系统盘后敲击
回车)。若是用软盘引导开机
再执行specification驱动器编号)。即使曾经有备份引导区资料,但是磁盘中的资料已全毁,可不可以开机已经没有意义了。
检测预防
系统中感染了CIH病毒时,由于病毒时刻在
监视系统中的文件使用情况,造成系统效率降低,而且有些
自解压文件在
病毒感染后被破坏,
清除病毒后也不能使用,尤其是病毒发作时造成的破坏,后果更为严重。目前,防止CIH病毒的传染和破坏主要有两种方法:一是实时监测,不让病毒进入系统,如KILL98就采用了这种方法,其优点是比较安全,但影响系统的速度,有可能误报,而且对使用染有病毒的文件不方便。二是定期对系统进行病毒检查,清除文件中的病毒,这种方法比较简单,系统效率影响不大,但安全性不高。
实际上,CIH病毒第一次进入机器内存时,系统中感染病毒的文件是很少的,只是由于未能及时发现,才使病毒得以传播和蔓延。许多杀毒软件在检查文件中的
病毒特征时,由于
病毒代码先于杀毒软件获得文件的操作权,从而将病毒代码写进文件中,这就造成了系统中几乎所有的32位
可执行文件都感染了CIH病毒的现象。
文件中的CIH病毒的检测比较简单,只要从32位可执行文件的PE
文件头的偏移28H处获得程序的入口地址,对入口
程序段进行扫描即可。
根据CIH病毒在感染文件前对病毒特征的判别,我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值,以骗过病毒对文件是否染毒的判别。而大多数杀毒软件在杀毒后,保留了文件头中的病毒特征,相当于对这些文件进行了免疫。
由于病毒主要来源于因特网和光盘,光盘文件上的病毒无法清除,始终是系统的隐患,而使用第一种方法则有可能使用户从网上下载文件失败,造成不必要的损失。根据对病毒代码的分析,我们介绍一种方法,它既不影响系统效率,也能使用户放心地使用网上下载的文件和光盘上的文件。
解决方法
首先用户应该确定自己计算机
主板的BIOS是哪种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状,不要重新启动计算机从
C盘引导系统,而应该及时进入
CMOS设置程序,将
系统引导盘设置为a盘然后A 盘引导系统,之后用
杀毒软件对系统软件造成破坏后该怎样办呢?首先使用
杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些
垃圾文件;另一种方法是将用户的重要数据进行备份,之后对硬盘进行格式化,重新
安装系统程序和
应用程序,这样能节省硬盘空间。
硬盘修复
瑞星修复
首先使用
瑞星杀毒盘启动机器,然后运行
瑞星杀毒软件DOS版,
选择菜单中的项,本程序将
自动分析硬盘是否需要修复。
1)如果出现“The hard disk is ok, needn't recover! Enter = return to main menu”信息,则表示硬盘系统是好的,不需要修复。
2)如果出现红色提示框,报告用户硬盘的分区信息和
文件分配表(
FAT)的类型,用户首先应该确认该提示信息
是否正确。然后,再根据以下提示
信息选择是否进行恢复。
“Recovery Partition Table?(Y/N)”
若选择“Y”,则瑞星杀毒软件将
自动恢复硬盘的分区信息。
恢复
硬盘分区结束后,
瑞星杀毒软件将提示:“Recovery Drive C:(Y/N)”询问用户是否继续恢复C盘的文件。
如果选择“Y”,则瑞星杀毒软件将自动恢复C盘中的文件。
如果选择“N”,则瑞星杀毒软件将返回主菜单。
在恢复硬盘分区后,可以重新启动机器,此时可以看到完全恢复的D、E等扩展
逻辑分区;在恢复硬盘分区后,再进一步恢复C盘的文件后,重新启动机器,则不仅可以找到扩展的逻辑分区,而且可以看到C盘上恢复的
文件目录,这些目录名为“RISING.XXX”(XXX为0-999的数字编号)。这时
扩展分区已恢复正常,将C盘中各个目录中的重要文件进行备份。 3)如果出现“The hard disk
can't be recovered, Enter= return to main menu”信息, 则表示逻辑盘数据
使用此功能无法恢复。当本功能无法恢复硬盘数据时,可以与
瑞星公司联系或由其他专业
数据恢复人员进行分析,使用其他方法进行恢复,以确保重要数据不丢失。
江民修复
当用户的硬盘数据一旦被CIH病毒破坏后,使用
KV3000的F10功能,可修复的程度如下:
1.C盘容量为2.1G以上,原
FAT表是32位的,C分区的
修复率为98%,D,E,F等分区的修复率为99%,配合手工C,D,E,F等分区的修复率为100%。
2.
硬盘容量为2.1G以下,原FAT表是16位的,C分区的修复率为0%,D,E,F等分区的修复率也为99%,配合手工C,D,E,F等分区的修复率为100%。因为原C盘是16位的短FAT表,所以C盘的FAT表和
根目录下的
文件目录都被CIH病毒
乱码覆盖了。KV3000可以把C盘找回来,虽然根目录的文件名字已被病毒乱码覆盖看不见了,但文件的内容影像还存储在C盘内的某写
扇区上。推荐用KV3000找回C盘,再用文件修复软件TIRAMISU.EXE可将C盘内的部分文件
影象找回来(需要了解这个软件的朋友可以访问Ontrack公司的主页,在这个网站上已经找不到有关TIRAMISU的内容。因为现在TIRAMISU已经被整合到Ontrack公司的旗舰产品——
EasyRecovery中。相关的详细介绍可以参照下文中的“
分区表破坏”),如果原存放文件影象的簇是相连的,找回的文件就完整无损。
但对于
FAT16的C盘是不是中了CIH就没救呢?您还是可以尝试一下FIXMBR,FIXMBR是一个DOS应用程序,完全遵守DOS的程序的
操作规范。如果执行FIXMBR/?即可得到FIXMBR的帮助信息。如下: Usage : FIXMBR [DriveNo] [/A] [/D] [/P] [/Z] [/H] DriveNo
Hard disk scope 0-3 , default is all drive (指硬盘号,0表示第一个硬盘) /A Active DOS partition(激活基本DOS分区) /P Display partition(显示DOS分区的结构) /D Display MBR(显示
主引导记录内容) /Z Zero MBR(将主引导记录填零) 缺省的情况下将检查MBR结构,如果不正常将提示是否修复。回答“Y”后将搜索分区。 如果搜索到分区后将提示是否修改MBR,回答“Y”后就将修复完成。如果这时出现死机现象,请将BIOS中的防病毒功能禁止后再做。 缺省的状态下将搜索所有已经存在的硬盘,并完成以上操作。如果完成的结果不对,可以用/Z参数将结果清空后重新启动,就可以恢复到原来的状态。但它不支持
WinNT和
Linux的分区,对FAT32
分区表支持也有限。它可以通过全盘搜索决定
硬盘分区,并重新构造主引导扇区。由于软件只修改
主引导扇区记录,对其他
扇区不进行写操作,故一般不会带来不安全目录(如果修复得不理想,请DiskEdit等工具进行手工修复)。注意:FIXMBR是一个比较老的程序。
由于病毒破坏硬盘的方式实在太多,而且大部分破坏都无法用一般软件轻易修复(如果您喜欢使用DiskEdit等磁盘扇区编辑工具,对某些情况还有一线希望),所以我们最好的办法就是安一个好的杀毒软件。下面我们来看看病毒在哪方面的破坏不能恢复呢?分区表破坏,可能是数据损坏中除了
物理损坏最严重的一种灾难性破坏。其原因主要有以下几种:
1.个人无操作删除分区,只要没有进行其他的操作完全可以恢复。
2.安装多
系统引导软件或采用第三方
分区工具,有恢复的可能。
3.病毒破坏可以部分或者全部恢复。
4.利用Ghost克隆分区/硬盘破坏,只可以部分恢复或者不能恢复(用Ghost的朋友要小心了)。
据国外的一个主业
数据恢复公司调查,数据损坏以后很大程度上是可以恢复的。之所以有很多不能恢复的实例存在,90%以上是由于用户在后来的恢复过程中有无操作,从而造成了更大的破坏。所以希望朋友们牢记以下2点:
1.在硬盘数据出现后,请立即关机,不要再对硬盘进行任何写操作,那样会增大修复的难度,也影响到修复的成功率。
2.每一步操作都应该是可逆的(就像
Norton Disk Doctor中的Undo功能)或者对故障硬盘是只读的(大名鼎鼎的
EasyRecovery和Lost&Found都是这种工作原理)。
如果在遇到以上情况,可以用以上这个软件,这个软件包含在Norton Utility系列工具中,功能十分强大,可以
恢复分区记录,FAT表,需要注意的是它对硬盘的操作不是只读的,因此需要每一步都做好Undo文件,这样即使误操作也可以恢复,Norton Disk Doctor配合DiskEdit在
分区表不能恢复时也可以恢复部分文件,可惜Norton Disk Doctor不支持
NTFS分区,这不能不说好是它的一大遗憾之处。