从1998年的6月2日开始,26日成为一个令电脑用户头痛又恐慌的日子,因为在那一天CIH病毒诞生了!1999年4月26日,CIH病毒首次大范围爆发 全球超过六千万台电脑被不同程度破坏;损失是惨重的,可以统计的经济损失以亿计算,对电脑用户的震动并因此而产生的对计算机病毒的恐惧感。
此次CIH病毒的广泛传播,“得益”于一种新型“求职信”的变种病毒,通过现在越来越广泛使用的电子邮件大量、惊人的传播。这种新的变种病毒属于双重交叉感染的病毒,各大杀毒软件厂商的及时的推出了升级措施。由于厂商和包括中央电视台、新浪网等在内著名媒体在4月26日来临前都进行了预告(新浪网在4月25日通过新浪短信向短信用户进行预防CIH病毒的提醒)和广泛的宣传,广大的用户对CIH病毒有了充分的认识,使得这次CIH病毒的爆发日如预料之中的那样并没有造成大规模的破坏。
CIH电脑病毒主要感染视窗95和视窗98中以EXE为后缀的可执行文件,传染力强,破坏性大。病毒爆发时,只要一开机,病毒程序立刻改写计算机硬件主板,破坏硬盘分区表,毁灭硬盘上的所有数据文件,电脑立刻黑屏并死机。据了解,CIH病毒每月26日爆发,4月26日则爆发得最为厉害。
反病毒专家建议:对于已经被CIH病毒破坏的硬盘,可用磁盘工具或手工恢复。如果涉及到关键重要数据,请及时求助专业人员和数据恢复公司(杀毒软件厂商的一般具有很强的数据恢复能力),对于普通用户,可直接对硬盘进行分区重新安装操作系统;对于被破坏的主板,如果是品牌主板,请与厂家联系。
CIH病毒简介
CIH病毒是一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件,当然随着时间的推移,其传播主要仍将通过软盘或光盘途径。
CIH病毒,别名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等,属文件型病毒,使用面向Windows的VxD技术编制,主要感染Windows 95/98下的可执行文件,并且在DOS、Windows3.2及Windows NT中无效。正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。
CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本,不具破坏性,感染Windows PE可执行文件。v1.1版本能自动判断运行系统,如是Windows NT,则自我隐藏,被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码,成为恶性病毒。感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告信息,发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序,发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息,发作日为每月26日。
CIH病毒大事记
1998年6月2日:台湾传出首例CIH病毒报告;
1998年6月6日:发现CIH V1.2版本;
1998年6月12日:发现CIH V1.3版本;
1998年6月26日:CIH V1.3版本造成一定程度的破坏;
1998年6月30日:发现CIH V1.4版本;
1998年7月:在INTERNET 环境中发现一个基于WIN98系统的分布感染实例;
1998年7月26日:CIH病毒开始在美国大面积传播;
1998年8月:在Wing Commander 游戏站点发现DEMO被感染;
1998年8月:两家欧洲的PC游戏杂志光盘被发现感染CIH;
1998年8月26日:CIH 1.4 版本爆发, 首次在全球蔓延;
1998年8月31日:公安部发出紧急通知,新华社、中央台新闻联播全文播发;
1998年9月:Yamaha为某个类型的CD-R驱动编写的软件被感染CIH;
1998年10月:一个在全球发行的游戏SiN的DEMO版被发现感染CIH;
1999年3月:CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装;
1999年4月26:CIH 1.2 版本首次大范围爆发 全球超过六千万台电脑被不同程度破坏;
2000年4月26:CIH 1.2 版本第二次大范围爆发,全球损失超过十亿美元;
2001年4月26:CIH 第三次大范围爆发。仅北京就有超过六千台电脑遭CIH破坏,瑞星修复硬盘数量当天接近400块;
2002年4月26日:CIH病毒再次爆发,数千台电脑遭破坏,瑞星修复硬盘数量当天接近200块;
2003年4月26日:仍然有100多个CIH病毒的受害者到瑞星公司求助,瑞星工程师帮他们挽回了宝贵的数据。
感染CIH病毒的特征
由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:
inc bx
dec cx
dec ax
则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具 > 查找 > 文件或文件夹”, 在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字” 栏中输入要查找的特征字符串----“CIH v”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。
实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下, 推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。
另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550, 其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值, 则表示很可能已经感染了CIH病毒。
最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索: 5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改为90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00 特征字串,将其全部修改为90,即可(以上数值全部为16进制)。
另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具体方法为:先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着将距此点偏移0x28处的4个字节值,例如 “A0 02 00 00”(0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”,并由0X02A0加上0X005E得到0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX40000,将得数----“CB 21 00 00” (OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Ent ry Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”, 使得我们容易判断病毒是否已经被杀除过。