chenyh.gif (31862 bytes)

 

 

千年虫没来
CIH咬一口

    造成全世界电脑惊慌的CIH电脑病毒,源头不远,就在台湾,目前正在服役的陈盈豪就是这个病毒的作者,陈盈豪目前已经被刑事局约谈,对自己的一时错误,他感到相当後悔
        目前正在台湾花莲地区服役的陈盈豪,很快让人联想,他所发出去的cih病毒,利用部队的电脑散布出去的,陈盈豪的部队长官说,应该没有这样的可能性陈盈豪在去年就读大同工学院时,就被校方发现他有这样的犯行,学校记他一个大过作为处分,但是却阻止不了之後的发展情势陈盈豪的行为,已经触犯刑法的毁损罪 消息传到陈盈豪在高雄的家,陈家说孩子曾透露相官消息,因为自己不懂电脑,而没有太在意根据刑事局表示,陈盈豪在被约谈後相当後悔,不过他所散布的cih病毒,光在亚洲地区就造成近五十万台电脑受损

 

chenyhao.jpg (8728 bytes)

可能面临三年监禁的陈盈豪(RIGHT)

chenyhao2.jpg (15349 bytes)

  

 

有人说他是天才,
有人说他是魔鬼。
(A GENIUS OR A DEVIL?)

       目前已知CIH病毒已影响了美国,新加坡,中国,马来西亚等国家电脑,其中,尤其以南韩受灾最为严重,全国有百分之十五电脑受波及,损失达二亿美元,而土耳其机场及电视台也已遭受病毒侵扰,另外,中国网站上也大篇幅讨论这件事,并且有中国网友用南京大屠杀来形容CIH所带来的灾害。

下载CIH免疫程序
     计算机技术和网络技术的大力发展,为人类社会的高度现代化奠定了基础,但是20世纪80年代中后期出现的计算机病毒又为这种现代化蒙上了一层阴影。DOS时代的黑色星期五让世界震惊、米开朗基罗令世界恐慌,Windows时代计算机病毒仍然猖獗、肆虐,时间进入本世纪的最后一个年头,当人们刚刚从“美丽杀手”病毒的阴影中解脱出来,)一石击起千层浪,1999年4月26日CIH病毒在中国全面爆发,再次将病毒的阴霾罩在计算机用户的头上。计算机用户、反病毒厂商又重新面临着新的挑战,面临着在网络时代、Windows时代如何应对计算机病毒的新的挑战。

CIH病毒案例
        1999年4月26日,XX公司由于使用感染了CIH病毒的软盘,使得两台计算机于当日(CIH病毒发作日)遭到此种病毒破坏。磁盘数据无法找到,造成损失。
具体破坏情况如下:
        这两台计算机均是“586机型(兼容机),可能是早期的“586”主板,BIOS芯片不是软件可改写的。因此这两台计算机的主板未受到影响,可继续使用。两台计算机的硬盘均是“Quantum Fireball“2.1G。两块硬盘出现同样的现象:硬盘无法启动且无法识别,即使软盘启动也找不到C驱动器。技术人员用A盘DOS启动,使用DEBUG程序将其中一块硬盘的主引导扇区读到内存分析,发现:硬盘盘的分区表已被病毒清零。再将文件分配表所在的部分扇区内容读出,发现已不是正常分区表的内容,被一些垃圾数据覆盖。
对此硬盘尝试使用“NORTON”磁盘医生进行修复:
        第一步,“NORTON”在硬盘的1头1扇区1FF柱找到了第一个分区起始位置。(这是个非常位置,一般第一个分区起始位置在1头1扇区0柱)以后NORTON未找到第二个分区。(据磁盘的用户讲此块硬盘在破坏前是有两个分区,各1G)
        找到第一个分区后,重新启动计算机,发现此硬盘以可以识别,且C盘的某些文件也还在。但文件名及目录结构已完全改变。原C盘上的WIN95系统文件和数据文件等均已无法找到。原来的D分区位能恢复部分。看来完全恢复已无可能。

 

CIH病毒简介

 
      CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看,这个病毒产自台湾,最早随国际两大盗版集团贩买的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。目前传播的主要途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚,Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。CIH病毒只感染Windows 95/98操作系统,从目前分析来看它对DOS操作系统似乎还没有什么影响,这可能是因为它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。
        CIH病毒每月26日都会爆发(有一种版本是每年4月26日爆发)CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的,所以一旦CIH病毒爆发,用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。
       从技术角度来看,CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows 95/98最核心的VxD技术编制,被认为是牢固地连接到了操作系统底层,所以CIH病毒既不会向DOS操作系统传播,也不会向Windows NT操作系统扩散。CIH病毒的这一技术特点给使用传统反病毒技术防治计算机病毒提出了巨大的挑战,这是因为大家所使用的传统反病毒工具基本上都是纯DOS或工作在Windows 95之下的仿真DOS应用程序,它们无法深入到Windows 95/98操作系统的底层去彻底清除CIH病毒;另一方面,由于能够与操作系统底层紧密结合,CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用象KILL 98这样本身能够与各种操作系统紧密结合的反病毒软件。
       权威病毒搜集网目前报导的CIH病毒,“原体”加“变种”一共有五种之多,CIH病毒“变种” 不但不增长受感染文件,同时还有很强的破坏性,这个病毒有3个主要变种( CIHv1.2:四月二十六日发作,CIHv1.3:六月二十六日发作,CIHv1.4:每月二十六日发作),发作现象是:
       1攻击BIOS
       CIH病毒最异乎寻常之处是它对计算机BIOS的攻击。打开计算机时BIOS首先取得系统的控制权,它从CMOS中读取系统设置参数,初始化并协调有关系统设备的数据流,在CIH发作时,会试图向BIOS中写入垃圾信息,BIOS中的内容会被彻底洗去,造成计算机无法启动,只有更换主板或BIOS。据测试发现CIH能够破坏市面上常见的BIOS多达数十种。从这个角度上,CIH病毒被称为是首例直接攻击和破坏计算机硬件系统的病毒,会给众多的计算机用户带来摧毁性的结局。
       2  覆盖硬盘
     向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时,调用IOS SendCommand直接对硬盘进行存取,将垃圾代码以2048个扇区为单位循环写入硬盘,直到所有硬盘(含逻辑盘)的数据均被破坏为止,到时候连哭都来不及了。
        有一点需注意,千万不要因为自己的计算机主板上面有BIOS写入/防写入跳线,就认为CIH病毒奈何不得自己的计算机,实际上,CIH病毒对硬盘的攻击能力也特别强,可能会使硬盘上的数据丢失,甚至使硬盘不得不低级格式化。最另人担忧的是,许多主板上的BIOS写入/防写入跳线即使设置为防写入状态,BIOS依然会被改写,原因是部分BIOS芯片无需提高电压即可写入。
          CIH病毒基本上是通过互联网络或盗版软件来感染Windows 95或Windows98的.EXE文件的.在执行被感染文件后,CIH病毒感染被执行文件接触到的其他程序。CIH病毒将其自身代码拆分为多个片段,然后以PE(可移动,可执行)形式将这些片段放到Windows文件尚未使用的磁盘空间里。病毒在4月26日被触发后,它将硬盘上最起决定作用的部分用垃圾代码覆盖,同时,它试图改写BIOS—控制计算机基本功能的包括键盘、显示器和磁盘驱动器的基本输入输出系统。
       从以上关于CIH病毒的分析看出,国内一般反病毒软件都无法有效防治CIH病毒,这是因为:
        * CIH病毒面向Windows 95/98甚至NT,而一般反病毒软件都是面向DOS环境的;
        * CIH病毒的传播、感染具有Windows下的实时性和隐蔽性,一般反病毒软件无法在Windows下检测到这种传播行为;
       * 绝大多数Windows应用程序的安装都是一个“解压缩,再安装”过程,CIN病毒有可能在解压缩过程中对系统进行感染,不具备压缩文件检测、实时反病毒能力的反病毒软件是无法检测到这种文件中的病毒并在安装过程中检测到病毒传播的。
        基于以上三点,大家又可再次得出这样的结论:反病毒软件要全面防治CIH病毒,就必须具有能够检测压缩文件病毒、具备病毒实时治愈的能力。从目前国内市场反病毒产品来看,唯有冠群金辰出品的KILL98同时具备以上两种病毒检测、治愈能力。

 

kill98 修复法

        在这CIH瘟疫中,许多家国家机关,企业单位、银行系统,感染的机器初步估计数万台,有用户反映的情况看来,这些CIH的全面发作主要限于 1.2 版,被破坏的大部分为硬盘数据,也有不少用户的主板在劫难逃。具体的表现形式包括:硬盘不能正常启动,所有的逻辑分区丢失;原来能正常显示的显示器不能正常显示(机器的BIOS被病毒改写);软盘不能正常启动计算机。
        对于已经被CIH破坏的硬盘,可以作以下处理:
        1、第一个逻辑盘,通常是C:盘,通常是不可完全恢复,但是如果使用KILL 98制作过应急盘,可以用KILL 98 急救盘中保存的主引导区记录、分区表记录恢复硬盘,找回大部分文件。
        2、其它逻辑盘,只要不是FAT32,可以用NDD之类的磁盘工具或用KILL 98 急救盘恢复,但需要使用者对硬盘的物理结构有足够的了解。
        3、FAT32分区的逻辑盘,需要对FAT32结构具有深入了解的专业人员用DEBUG等工具手工进行恢复。

主板修复
         对于被CIH破坏的主板,可以作以下处理:
         1、如果是能够提供良好服务的厂家的品牌主板,请与厂家联系。
         2、找一个相同型号的主板(要求BIOS的厂家和版本必须严格相同),下载主板厂家提供的升级文件,取出坏BIOS,用新的BIOS片启动您的电脑,并在带电的情况下换回坏的BIOS片,从A盘写入。(此办法由于带电操作,有很大危险,用户操作有可能操作后造成硬件整体被破坏,请用户慎重!!!)
         3、有的主版升级程序在写入时会检测BIOS版本号,如无则无法改写,此种无法写入BIOS情况则必须更换计算机的BIOS芯片,可以与您的硬件购买商,或主板在中国的代理商联系。
 

瑞星升级程序
升级程序标准版 版 本 大小 下载CIH升级程序

9.0(10)

 601KB 直接下uprav.exe 可修复被CIH破坏的D/E等分区!

 

9.0(11)

 614KB 直接下uprav.exe
 可修复被CIH破坏的C/D/E等分区!对16位分区,可恢复70%以上的文件;对32位分区,可恢复99%以上的文件。

 

KV300(F10)功能
重建分区表
         4月26日,CIH病毒v1.2发作.具体的表现形式包括:硬盘不能正常启动,所有的逻辑分区丢失;原来能正常显示的显示器不能正常显示(机器的BIOS被病毒改写);软盘不能正常启动计算机.

        (1)对于第一种情况,可以采用KV300的F10功能键重建您的硬盘分区表.具体的操作步骤:
       a)用干净的系统软盘引导计算机,等KV300的主画面出现后,按F10功能键,KV300会自动检测您的硬盘参数及分区情况,并对非正常的硬盘分区表进行重建;当然,在重建之前,会提示您备份一份原已经损坏的分区表.
       b)为了安全起见,必须备份原分区表;在操作的过程中,按提示,会敲击两次"y"键;
     
 
        由于欧美用户普遍使用带有实时、压缩文件反病毒功能的软件,所以此次CIH病毒事件在美国、欧洲科技发达地区所造成的损失并不太严重,在世界范围受损失最严重的地区是亚洲,特别是中国地区。       

 

爆发的必然性
        虽然本次CIH病毒大面积发作事件对广大用户都造成了极为不利的影响,但倘若以客观、公正的眼光来看待这一事件,就不难看出此次CIH病毒事件的发生,是病毒与反病毒技术相互间不断斗争发展历史的必然结果。目前来看,这次病毒爆发的原因有以下几点:
         1、用户安全意识不强。中国广大计算用户安全意识的淡漠是导致本次CIH病毒全面爆发的主要原因。中国有许多用户对计算机病毒一知半解,认为自己的机器很安全,平时很少与外界交流、平时计算机也没有什么异常情况,不会有病毒,但殊不知,随着因特网和光盘的普及,计算机病毒的传播的隐蔽性和快速性已经大大提高,在用户不知觉间,病毒已经侵入计算机并潜伏。有的用户即使买了一个反病毒软件,也不及时升级,造成无法查杀最新、最恶性的病毒,以至于此次CIH病毒事件造成不可估量的损失。
         2、国内多数反病毒产品不能及时采用新技术,产品只能杀毒,不能防毒。实时监控反病毒技术和解压缩反病毒技术是国际安全界公认的有效防病毒手段,一些先进的反病毒软件如KILL98已经全面采用,用户上网或使用光盘的同时,网络下载的文件或光盘的文件将同时受到反病毒检测,有病毒也会被立即得到处理。但是在中国由于用户普遍使用传统反病毒软件,不具备处理压缩文件和实时监控病毒的功能,在CIH病毒爆发之前,很多用户已经使用过杀病毒软件检查机器,认为没有问题,但有Internet和光盘上的文件又多以压缩格式存放,压缩文件中的病毒并没有查出来,而用户天天需要处理大量压缩文件,这些压缩文件被使用时,其中的病毒将被激活,此外,CIH病毒通过Internet和盗版光盘在全世界范围每天都在不断广泛传播,用户又不可能不停地使用杀毒软件,这就造成了大批拥有杀毒软件的用户这次遭到破坏。传统反病毒软件的落后和病毒传播渠道大大拓展正是发生CIH病毒事件的主要原因。
       3、因特网和光盘的广泛普及使病毒传播国际化、快速化。  
 

反思

       面对网络时代病毒传染的不可预知性、传染隐蔽性和传染的多途径化,系统对病毒的实时防护作用已显得极为重要。过去的定时杀毒或发现系统可疑情况运行反病毒程序进行查杀的时代,随着网络时代病毒传染途径的增多和传染的隐秘性的增强,已经一去不复返了。用户反病毒产品在手却受病毒攻击或传染其他用户的情况屡见不鲜,因此,技术领先的反病毒厂商在近年来对自己的产品都增加了实时反病毒功能。实时反病毒功能可以在系统启动之后,时刻监视系统的运行情况,一旦发现病毒随即予以处理,从而起到防患于未然的作用。因此,在当今,用户是否采用实时反病毒功能已经成了能否有效阻止计算机病毒对自身系统攻击的一种衡量标准。因为即使大家能够做到经常性使用不具备实时功能的反病毒软件对系统进行反病毒检查,也无法保证大家的机器是安全的。因为在两次检查过种中,系统不具备任何防病毒防护措施,CIH病毒仍有可能在不知觉间进入大家的系统,给大家造成不必要的损失。当然,大家可以将这种反病毒工作设置为频繁工作--甚至是每小时、乃至每分钟就运行一次,但问题在于这些反病毒软件的启动和运行都需要人工干预,而且需要独占系统资源,如果将它们设置为频繁工作,那么我们就无法开展每天的正常工作,而是在时时刻刻防、杀病毒了。
        从以上分析我们也可看出,在Windows环境下,防治各种计算机病毒也罢,最根本的出路是使用实时化的反病毒产品。实时反病毒软件能够为我们的系统提供一种连续的、实时的防护,更关键的是实时反病毒产品将所有反病毒工作都交给了操作系统本身,不再需要人工干预,而基于多任务、多线程的工作机制,也免去了反病毒工作对系统资源的独占。实时反病毒软件,不但对系统提供了全面的反病毒防护措施,而且极大地提高了我们的工作效率。
        与此同时,随着网络技术的发展和Windows时代的广泛到来,压缩格式的文件应用越来越广泛:为了节省数据传输时间人们常采用压缩格式的文件、为了节省磁盘空间(如一些部门的上报数据盘)常采用压缩格式的文件,同时Windows系统中也大量采用压缩格式的文件。压缩格式文件的广泛应用,为病毒的传染又提供了一种新格式的载体,病毒隐藏在压缩格式的文件中,往往能顺利地逃过传统反病毒软件的检测,这同样为反病毒厂商提出了新的研究课题,即对压缩格式文件中计算机病毒的查杀。
        用户一般不太会去关注,或者说没有能力去判断压缩文件中是否带有病毒。如果排除软件交换,用户获得压缩文件最有可能的渠道有两种:Internet上共享软件下载和软件生产商通过各种介质(光盘、软盘)的软件发布。
        用户通过Internet下载共享软件之前,对被下载软件带毒状况是完全未知的。对于软件下载,传统反病毒软件提供给用户唯一的反毒检测机会就在软件下载到本地硬盘展开之后而安装之前——绝大多数用户都会漏过这一步——有谁会仅为一个文件而启动反病毒工具呢?更何况这个文件可能还不是可执行文件。近来,光盘的普及应用使得这一问题显得日益严重起来:一方面用户不愿意对光盘进行反病毒检测,因为即使用扫描速度最快的反病毒软件对放置在24倍速光驱之中的光盘进行一次全面反病毒检测也可能要花上几分钟、甚至十几分钟时间;另一方面压缩文件一旦带有病毒,就如同一颗定时炸弹一般随时都会被引爆。从以上分析我们同样不难得出结论:只有采用具备全面压缩文件检测功能的反病毒软件,并在系统中安装实时化反病毒工具,我们才能够有效全面防治病毒通过压缩文件向我们系统的传播。

 

有关CIH的链接
 

NortonAntivirus:
www.symantec.com/avcenter
VRV:www.vrv.com.cn
瑞星:www.rising.com.cn
KILL:www.kill.com.cn
KV300:www.jiangmin.com

病毒公告牌CIH
www.virusbtn.com/VirusInformation/cih.html