[引言]
随着又一个4月26日的临近,大家对CIH病毒的防范意识好象也提高到一个新的高度,从这一点就可以看出,当初,CIH病毒给大家留下的印象是多么的深刻。中国有句古训:“前车之鉴,后车之辙”,我在这里整理有关CIH的资料,一则总结CIH病毒的发展经历,另外一点也就是提醒大家随时注重对计算机病毒的防护,否则就会有第二个、第三个CIH的爆发……
[CIH病毒资料]
病毒名称:CIH
别名:PE_CIH, CIHV, SPACEFILLER, VIN32, CHERNOBYL, TSHERNOBYL, TSERNOBYL
病毒发源地:台湾
CIH病毒感染windows95/98系统下的EXE文件,当一个染毒的EXE文件被执行,CIH病毒驻留内存,当其他程序被访问时对它们进行感染。
CIH病毒最早于1998年6月初在台湾被发现(我想CIH病毒作者陈盈豪的名字已经家喻户晓),之后,便开始在全球爆发,在短短几个月内一跃进入流行病毒的前十名。该病毒通过盗版软件(包括一些流行的游戏软件)传播,速度急快。
通过下面的时间表,大家可以看出CIH病毒是如何快速传播的:
| 1998/6/2 |
台湾传出首例CIH病毒报告 |
| 1998/6/6 |
发现CIH V1.2版本 |
| 1998/6/12 |
发现CIH V1.3版本 |
| 1998/6/26 |
CIH V1.3版本造成一定程度的破坏 |
| 1998/6/30 |
发现CIH V1.4版本 |
| 1998/7 |
在INTERNET 环境中发现一个基于WIN98系统的分布感染实例 |
| 1998/8 |
在Wing Commander 游戏站点发现DEMO被感染 |
| 1998/8 |
两家欧洲的PC游戏杂志光盘被发现感染CIH |
| 1998/8/26 |
CIH 1.4 版本爆发, 首次在全球蔓延 |
| 1998/9 |
Yamaha 为某个类型的CD-R驱动编写的软件被感染CIH |
| 1998/10 |
一个在全球发行的游戏SiN的DEMO版被发现感染CIH |
| 1999/3 |
CIH 1.2 版本被发现在IBM 的Aptiva 机器中预装 |
| 1999/4/26 |
CIH 1.2 版本首次大范围爆发 |
| 2000/4/26 |
CIH 1.2 版本第二次大范围爆发 |
| 2001/4/26 |
CIH 第三次大范围爆发 |
CIH为什么这么“厉害”?
当CIH病毒发作时它会覆盖掉硬盘中的绝大多数数据,这样只能从最新的备份中恢复。
然而,该病毒还有另一种破坏方式:即试图覆盖Flash BIOS中的数据。一旦Flash BIOS被覆盖掉,那么机器将不能启动,只有将Flash BIOS进行重写之后才行。Flash BIOS存在于多种类型达的PENTIUM机器中,象Intel 430TX,在大多数机器中Flash BIOS通过一个跳线保护,通常情况下,保护是关闭的。
CIH病毒感染windows可执行文件(EXE),它不感染word和excel文档。CIH感染win95/98系统,却不能感染windows NT系统。
CIH病毒采取一种特殊的方式对可执行文件进行感染,感染后的文件大小根本没有变化,病毒代码的大小在1K左右。为了获取对系统文件的调用,该病毒跟踪处理器0环到3环的跳转。
CIH变种的发展历程:
CIH病毒v1.0版本:
最初的 V1.0版本仅仅只有 656字节, 其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。
CIH病毒v1.1版本:
当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”, 将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
CIH病毒v1.2版本:
当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:
原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时, 将导致此ZIP压缩包在自解压时出现:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是: 一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本:
此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。
从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本,v1.3版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。
[尾声]
从长远考虑,我们在病毒防范方面应该注重“防”,这不仅要求用户掌握一定的计算机病毒防范常识,在平时就具有良好的数据备份的习惯,同时也是对计算机病毒防治产品提出更高的要求,能够及时发现并采取有效措施保护用户的数据不被破坏。
|