cih

CIH病毒历史

1998年6月2日，首例CIH病毒在中国台湾被发现；1998年6月6日，发现CIH 病毒V1.2版本；1998年6月12日，发现CIH 病毒V1.3版本；1998年6月30日，发现CIH 病毒V1.4版本；1998年7月26日，CIH病毒在美国大面积传播；1998年8月26日，CIH病毒实现了全球蔓延，公安部发出紧急通知，新华社和新闻联播跟进报导；1999年4月26日，CIH病毒1.2版首次大规模爆发，全球超过六千万台电脑受到了不同程度的破坏。此后，陈盈豪公开道歉并积极提供解毒程式和防毒程式，CIH病毒逐渐得到有效控制。

这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。但由于CIH病毒只在windows 95、98和windows Me系统上发作，且人们对它的特性也有所了解，因此造成的损失有限。

一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。

CIH病毒属文件型病毒，杀伤力极强。主要表现在于病毒发作后，硬盘数据全部丢失，甚至主板上BIOS中的原内容也会被彻底破坏，主机无法启动。只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序，才能解决问题。当然，CIH对BIOS的破坏，也并非想像中的那么可怕。 现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。 固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算机系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。 但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了EEPROM存储部分BIOS。EEPROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将EEPROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对EEPROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。 改写EEPROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用EEPROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其EEPROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。 所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了EEPROM。 需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。

CIH病毒发作特征

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了。

2、某些主板上的Flash Rom中的BIOS信息将被清除。

CIH病毒感染特征

由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行： inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。

具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点击“查找键”即可开始查找工作。如果在查找过程中， 显示出一大堆符合查找特征的可执行文件，则表明您的计算机上已经感染了CIH病毒。

实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。

一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe中搜索特征串，以判断是否感染了CIH病毒。 另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。

最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。

适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 2C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。