• 2010-04-08

    CIH病毒 - [bios资料]

    Tag:
    著名的CIH病毒。
    CIH病毒,别名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等,属文件型病毒,由一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,CIH病毒感染windows95/98系统下的可执行(EXE)文件,当一个染毒的EXE文件被执行,CIH病毒驻留内存,当其他程序被访问时对它们进行感染。
    CIH病毒主要传播媒体是网络--因特网和局域网,光盘--主要是盗版光盘、软盘,最早于通过盗版软件(包括一些流行的游戏软件“古墓奇兵”)传播,速度急快。由于因特网的普及, 因特网已成为最主要的传播途径。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下运行的后缀为exe、com、vxd、vxe 的应用程序,并且连自解压文件均受感染,CIH病毒感染硬盘上的所有逻辑驱动器。如果多次重新从C盘启动计算机,就为CIH病毒创造了破坏计算机主板BIOS的机会。CIH病毒只能破坏那些可升级的BIO S(FLASH型),它对后一种BIOS只是使CMOS的参数回到计算机出厂时的设置。 CIH病毒对BIOS的破坏除了每月的26日外,在其他日子只要多次热启动,同样会造成破坏。
    1998年6月初在台湾被发现之后,便开始在全球爆发,正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播,在短短几个月内一跃进入流行病毒的前十名。

    CIH变种发展的5个版本:
    CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本,不具破坏性,感染Windows PE可执行文件。v1.1版本能自动判断运行系统,如是Windows NT,则自我隐藏,被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码,成为恶性病毒。感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告信息,发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序,发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息,发作日为每月26日。

    CIH病毒v1.0版本:
    最初的 V1.0版本仅仅只有 656字节, 其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。

    CIH病毒v1.1版本:
    当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”, 将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。

    CIH病毒v1.2版本:
    当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。

    CIH病毒v1.3版本:
    原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时, 将导致此ZIP压缩包在自解压时出现:
    WinZip Self-Extractor header corrupt.
    Possible cause: disk or file transfer error.
    的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是: 一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

    CIH病毒v1.4版本:
    此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。


    CIH病毒快速传播的时间表:
    1998/6/2 台湾传出首例CIH病毒报告
    1998/6/6 发现CIH V1.2版本
    1998/6/12 发现CIH V1.3版本
    1998/6/26 CIH V1.3版本造成一定程度的破坏
    1998/6/30 发现CIH V1.4版本
    1998/7 在INTERNET 环境中发现一个基于WIN98系统的分布感染实例
    1998年7月26日,CIH病毒开始在美国大面积传播;
    1998/8 在Wing Commander 游戏站点发现DEMO被感染
    1998/8 两家欧洲的PC游戏杂志光盘被发现感染CIH
    1998/8/26 CIH 1.4 版本爆发, 首次在全球蔓延
    1998年8月26日,该病毒入侵中国
    1998年8月31日,公安部发出紧急通知,新华社、中央台新闻联播全文播发
    1998/9 Yamaha 为某个类型的CD-R驱动编写的软件被感染CIH
    1998/10 一个在全球发行的游戏SiN的DEMO版被发现感染CIH
    1999/3 CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装
    1999/4/26 CIH 1.2 版本首次大范围爆发 ,全球超过六千万台电脑被不同程度破坏
    2000/4/26 CIH 1.2 版本第二次大范围爆发 ,全球损失超过十亿美元;
    2001/4/26 CIH 第三次大范围爆发 ,仅北京就有超过六千台电脑遭CIH破坏
    2002/4/26至今,CIH病毒发作趋缓,但江民客户服务部每年仍会接到数十例感染CIH病毒的用户求救。


    CIH为什么这么“厉害”?
    当CIH病毒发作时它会覆盖掉硬盘中的绝大多数数据,这样只能从最新的备份中恢复; 该病毒还有另一种破坏方式:即试图覆盖Flash BIOS中的数据。一旦Flash BIOS被覆盖掉,那么机器将不能启动,只有将Flash BIOS进行重写之后才行。Flash BIOS存在于多种类型达的PENTIUM机器中,象Intel 430TX,在大多数机器中Flash BIOS通过一个跳线保护,通常情况下,保护是关闭的。
    CIH病毒感染windows可执行文件(EXE),它不感染word和excel文档。CIH感染win95/98系统,却不能感染windows NT系统。
    CIH病毒采取一种特殊的方式对可执行文件进行感染,感染后的文件大小根本没有变化,病毒代码的大小在1K左右。为了获取对系统文件的调用,该病毒跟踪处理器0环到3环的跳转。

    感染CIH病毒后会出现如下症状:
    系统不能正常启动,这时如果重新热启动,将会给病毒破坏 BIOS带来机会,如果是不可升级的BIOS将会使CMOS参数变为出厂时的状态,如果是可升级的BIOS将使主板受到破坏。应用程序不能正常运行,并莫明其妙地出现死机现象。系统不能正常关闭,当系统出现“Windows正在关机......”画面时会出现死机, 这时如果热启动,将可能使硬件受破坏。另外,感染CIH病毒的软件体积增大,程序被破坏。

    判断是否感染CIH病毒的三种方法
    1、由于流行的CIH病毒版本中,其标识版本号的信息使用的是明文,所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在,例如程序中存在如下代码行:
    inc bx
    dec cx
    dec ax
    则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。
    具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具 > 查找 > 文件或文件夹”, 在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字” 栏中输入要查找的特征字符串----“CIH v”,最后点取“查找键”即可开始查找工作。如果在查找过程中,显示出一大堆符合查找特征的可执行文件,则表明您老的计算机上已经感染了CIH病毒。
    实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下, 推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串,以判断是否感染了CIH病毒。
    另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就是0x00004550, 其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为其他数值, 则表示很可能已经感染了CIH病毒。
    最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段----“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。
    2、感染到CIH v1.2版,则所有WinZip自解压文件均无法自动解开,同时会出现WinZip自解压首部中断。可能原因:磁盘或文件传输错误。这个信息。感染到CI?Hv1.3版则部分WinZip自解压文件无法自动解开。 有的还会造成MAGICZIP不能安装,如果遇到以上情况,有可能就是感染上CIH病毒了。
    3、CIH病毒会造成Win 95的死机。原因是病毒代码要写到文件的头部。有时候被病毒传染的文件不能被Win 95识别,认为是非法程序会造成Win 95的死机。当出现频繁死机的情况时,有可能就会是有CIH病毒存在了。


    防范和对付CIH病毒
    对付 CIH病毒关键是如何防范。首先,不要用盗版软件,坚持使用正版软件。其次,对网络上、光盘和软盘上的软件在安装或使用前一律用杀毒软件进行检查,要求所有的杀毒软件要有查杀自解压或压缩包中CIH病毒的能力。 第三,可在 windos系统中安装查杀 CIH病毒的全天候实施监视软件,并且定期运行杀毒软件,对系统程序和应用程序进行全面的扫描。

    如果已经受到 CIH病毒的感染该怎样办呢?首先用户应该确定自己计算机主板的BIOS是那种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现 CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为a盘然后A 盘引导系统,之后用杀毒软件对系统软件造成破坏后该怎样办呢?首先使用杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。可以在被 CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些垃圾文件;另一种方法是将用户的重要数据进行备分,之后对硬盘进行格式化,重新安装系统程序和应用程序,这样能节省硬盘空间。