CIH病毒簡介
CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的,從台灣傳人大陸地區的。CIH的載體是一個名為“ICQ中文Ch_at模組”的工具,並以熱門盜版光碟遊戲如“古墓奇兵”或Windows95/98為媒介,經網際網路各網站互相轉載,使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件,當然隨著時間的推移,其傳播主要仍將通過軟碟或光碟途徑。CIH病毒屬檔案型病毒,其別名有Win95.CIH、Spacefiller、 Win32.CIH、PE_CIH,它主要感染Windows95/98下的執行檔(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的執行檔,並且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本,目前最流行的是v1.2版本,在此期間,據某些報導,同時產生了不下十個的變種, 不過好象沒有流行起來的跡象,本人並未實際接觸到這些所謂的CIH變種病毒。但該病毒在Windows NT下不工作。該病毒在每月的26日被激活,它包含以下文本: CIH v1.4 TATUNG。
CIH病毒傳播的主要途徑是Internet和電子郵件,當然隨著時間的推移,它也會通過軟碟或光碟的交流傳播。據悉,權威病毒蒐集網目前報導的CIH病毒, “原體”加“變種”一共有五種之多,相互之間主要區別在於“原體”會使受感染檔案增長,但不具破壞力;而“變種”不但使受感染的檔案增長,同時還有很強的破壞性,特別是有一種“變種”,每月26日都會發作。
CIH病毒只感染Windows 95/98作業系統,從目前分析來看,它對DOS作業系統似乎還沒有什麼影響,所以,對於僅使用DOS的用戶來說,這種病毒似乎並沒有什麼影響,但如果是 Windows 95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播的實時性和隱蔽性都特彆強,使用一般反病毒軟體很難發現這種病毒在系統中的傳播。
CIH病毒“變種”在每年4月26日(有一種變種是每月26日)都會發作。發作時硬碟一直轉個不停,所有數據都被破壞,硬碟分區信息也將丟失。CIH病毒發作後,就只有對硬碟進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主機板的電壓,改寫唯讀存儲器的BIOS,被破壞的主機板只能送回原廠修理,重新燒入BIOS。
CIH病毒破壞類型
當然,CIH對BIOS的破壞,也並非想像中的那么可怕。現在PC機基本上使用兩種唯讀存儲器存放BIOS數據,一種是使用傳統的ROM或EPROM,另一種就是E2PROM。廠家事先將BIOS以特殊手段“燒 ”入(又稱“固化”)到這些存儲器中,然後將它們安裝在PC機里。當我們打開計算機電源時,BIOS中程式和數據首先被執行、載入,使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程式,然後硬碟再開始引導作業系統。
固化在ROM或EPROM中的數據,只有施加以特殊的電壓或使用紫外線才有可能被清除,這就是為什麼我們打開有些計算機機箱時,可能會看到有塊晶片上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類唯讀存儲器中的數據,僅靠計算系統內部的電壓是不夠的。所以,僅使用這種唯讀存儲器存儲BIOS數據的用戶,就沒有必要擔心CIH病毒會破壞BIOS。
但最新出產的計算機,特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名“電可改寫唯讀存儲器”。一般情況下,這種存儲器中的數據並不會被用戶輕易改寫,但只要施加特殊的邏輯和電壓,就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫,這正是我們通過軟體升級BIOS的原理,也是CIH破壞BIOS的基本方法。
改寫E2PROM內的數據需要一定的邏輯條件,不同PC機系統對這種條件的要求可能並不相同,所以CIH並不會破壞所有使用E2PROM存儲BIOS的主機板,目前報導的只有技嘉和微星等幾種5V主機板,這並不是說這些主機板的質量不好,只不過其E2PROM邏輯正好與CIH吻合,或者CIH的編制者也許就是要有目的地破壞某些品牌的主機板。
所以,要判斷CIH對您的主機板究竟有沒有危害,首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中,還是有一部分使用了E2PROM。
需要注意的是,雖然CIH並不會破壞所有BIOS,但CIH在“黑色”的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。
CIH病毒屬檔案型病毒,其別名有Win95.CIH、Spacefiller、 Win32.CIH、PE_CIH,它主要感染Windows95/98下的執行檔(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的執行檔,並且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本,目前最流行的是v1.2版本,在此期間,據某些報導,同時產生了不下十個的變種,不過好象沒有流行起來的跡象,本人並未實際接觸到這些所謂的CIH變種病毒。
CIH病毒的各種不同版本
隨時間的發展不斷完善,其基本發展歷程為:CIH病毒v1.0版本
最初的 V1.0版本僅僅只有 656位元組,其雛形顯得比較簡單,與普通類型的病毒在結構上並無多大的改善,其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類執行檔的病毒之一,被其感染的程式檔案長度增加,此版本的CIH不具有破壞性。CIH病毒v1.1版本
當其發展到v1.1版本時,病毒長度為796位元組,此版本的CIH病毒具有可判斷Win NT軟體的功能,一旦判斷用戶運行的是Win NT,則不發生作用,進行自我隱藏,以避免產生錯誤提示信息,同時使用了更加最佳化的代碼,以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用 WIN PE類執行檔中的“空隙”,將自身根據需要分裂成幾個部分後,分別插入到PE類執行檔中,這樣做的優點是在感染大部分WINPE類檔案時,不會導致檔案長度增加。CIH病毒v1.2版本
當其發展到v1.2版本時,除了改正了一些v1.1版本的缺陷之外,同時增加了破壞用戶硬碟以及用戶主機BIOS程式的代碼,這一改進,使其步入惡性病毒的行列,此版本的CIH病毒體長度為1003位元組。CIH病毒v1.3版本
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包檔案(ZIP self-extractors file)時,將導致此ZIP壓縮檔在自解壓時出現如下的錯誤警告信息:WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
v1.3版本的CIH病毒顯得比較倉促,其改進點便是針對以上缺陷的,它的改進方法是:一旦判斷開啟的檔案是WinZip類的自解壓程式,則不進行感染。同時,此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。
CIH病毒v1.4版本
此版本的CIH病毒改進上上幾個版本中的缺陷,不感染ZIP自解壓包檔案,同時修改了發作日期及病毒中的版權資訊(版本信息被更改為:“CIH v1.4 TATUNG”,在以前版本中的相關信息為“CIH v1.x TTIT”),此版本的長度為1019位元組。從上面的說明中,我們可以看出,實際上,在CIH的相關版本中,只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性,其中v1.2版本的 CIH病毒發作日期為每年的4月26日,這也就是當前最流行的病毒版本,v1.3版本的發作日期為每年的6月26日,而CIH v1.4版本的發作日期則被修改為每月的26日,這一改變大大縮短了發作期限,增加了其的破壞性。
破壞性
CIH屬惡性病毒,當其發作條件成熟時,其將破壞硬碟數據,同時有可能破壞BIOS程式,其發作特徵是:1、以2048個扇區為單位,從硬碟主引導區開始依次往硬碟中寫入垃圾數據,直到硬碟數據被全部破壞為止。 最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞,如果重要信息沒有備份,那就只有哭了!
2、某些主機板上的Flash Rom中的BIOS信息將被清除。
特徵
由於流行的CIH病毒版本中,其標識版本號的信息使用的是明文,所以可以通過搜尋執行檔中的字元串來識別是否感染了CIH病毒,搜尋的特徵串為 “CIH v”或者是“CIH v1.”如果你想搜尋更完全的特徵字元串,可嘗試“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜尋“CIH”特徵串,因為此特徵串在很多的正常程式中也存在,例如程式中存在如下代碼行:inc bx
dec cx
dec ax
則它們的特徵碼正好是“CIH(0x43;0x49;0x48)”,容易產生誤判。
具體的搜尋方法為:首先開啟“資源管理器”,選擇其中的選單功能“工具>查找>檔案或資料夾”,在彈出的“查找檔案”設定視窗的“名稱和位置 ”輸入中輸入查找路徑及檔案名稱(如:*.EXE),然後在“高級>包含文字”欄中輸入要查找的特徵字元串--“CIH v”,最後點勸查找鍵”即可開始查找工作。如果在查找過程中, 顯示出一大堆符合查找特徵的執行檔,則表明您老的計算機上已經感染了CIH病毒。
實際上,在以上的方法中存在著一個致命的缺點,那就是:如果用戶剛剛感染CIH病毒,那么這樣一個大面積的搜尋過程實際上也是在擴大病毒的感染面。一般情況下,推薦的方法是先運行一下“寫字板”軟體,然後使用上面的方法在“寫字板”軟體的可執行程式Notepade.exe中搜尋特徵串,以判斷是否感染了 CIH病毒。
另外一個判斷方法是在Windows PE檔案中搜尋IMAGE_NT_SIGNATURE欄位,也就是0x00004550,其代表的識別字元為“PE00”,然後查看其前一個位元組是否為 0x00,如果是,則表示程式未受感染,如果為其他數值,則表示很可能已經感染了CIH病毒。
最後一個判斷方法是先搜尋IMAGE_NT_SIGNATURE欄位--“PE00”,接著搜尋其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64,如果是,則表示此程式已被感染。
還聽說凡是感染了CIH病毒的機器,如果玩NEED FOR SPEED II遊戲時,會在讀取遊戲光碟時出現當機現象, 本人沒有嘗試過,不知道實際上是不是有這一情況存在。
適合高級用戶使用的一個方法是直接搜尋特徵代碼,並將其修改掉,方法是:先處理掉兩個轉跳點,即搜尋:5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串,將這兩個特徵串中的CC改90(nop),接著搜尋 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特徵字串,將其全部修改為90,即可(以上數值全部為16進制)。
另外一種方法是將原先的PE程式的正確入口點找回來,填入當前入口點即可(此處以一個被感染的CALC.EXE程式為例),具體方法為:先搜 IMAGE_NT_SIGNATURE欄位--“PE00”,接著將距此點偏移0x28處的4個位元組值,例如“A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到數據“55 8D 44 24 F8 33 DB 64”,並由0X02A0加上0X005E得到0x02FE偏移,此偏移處的數據例如為“CB 21 40 00”(OXOO4021CB),將此值減去OX40000,將得數--“CB 21 00 00”(OXOO0021CB)值放回到距“PE00”點偏移0x28的位置即可(此處為Windows PE格式程式的入口點,術語稱為Program Entry Point)。最後將“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我們容易判斷病毒是否已經被殺除過。
按照上面手工防毒的方法一般適合於某些單獨的軟體(例如某些軟體包含在軟碟中,卻被感染了CIH不讀,可現在就要用,呵呵!)。使用上述方法的缺點在於病毒體還將保留在執行檔中,雖然不會起作用,但是想起來可能會有點不舒服(記得“WPS2000測試版殘留CIH病毒屍體”的事件么?)。所以,想徹底殺滅,推薦使用某些反病毒軟體進行或是CIH專用防毒工具(以上操作以及使用反病毒軟體進行防毒,必須使用乾淨的系統盤啟動計算機)。
