CIH https://www.aitaocui.cn 翡翠玉石爱好者聚集地 Sat, 26 Nov 2022 15:45:38 +0000 zh-CN hourly 1 https://wordpress.org/?v=6.1.1 https://www.aitaocui.cn/wp-content/uploads/2022/11/taocui.png CIH https://www.aitaocui.cn 32 32 CIH(电脑病毒名称) https://www.aitaocui.cn/article/334999.html https://www.aitaocui.cn/article/334999.html#respond Sat, 26 Nov 2022 15:45:38 +0000 https://www.aitaocui.cn/?p=334999

CIH,病毒名称,其载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。

简介

CIH病毒简介

CIH病毒是一位名叫陈盈豪的台湾大学生所编写的,从台湾传入大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件,当然随着时间的推移,其传播主要仍将通过软盘或光盘途径。

CIH病毒,别名Win95.CIH//Spacefiller//Win32.CIH// PE_CIH等,属文件型病毒,使用面向Windows的VxD技术编制,主要感染Windows  95/98下的可执行文件,并且在DOS、Windows3.2及Windows NT中无效。正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.0版本是最初的CIH版本,不具破坏性,感染Windows  PE可执行文件。v1.1版本能自动判断运行系统,如是Windows NT,则自我隐藏,被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码,成为恶性病毒。感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告信息,发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程序,发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息,发作日为每月26日。

CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威病毒搜集网目前报道的CIH病毒,“原体”加“变种”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发作。

CIH病毒只感染Windows 95/98操作系统,从目前分析来看,它对DOS操作系统似乎还没有什么影响,所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒“变种”在每年4月26日(有一种变种是每月26日)或6月26日都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失。CIH病毒发作后,就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压,改写只读存储器的BIOS,被破坏的主板只能送回原厂修理,重新烧入BIOS。

种类

CIH病毒破坏哪一类BIOS?

当然,CIH对BIOS的破坏,也并非想像中的那么可怕。

现在PC机基本上使用两种只读存储器存放BIOS数据,一种是使用传统的ROM或EPROM,另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入(又称“固化”)到这些存储器中,然后将它们安装在PC机里。当我们打开计算机电源时,BIOS中程序和数据首先被执行、加载,使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序,然后硬盘再开始引导操作系统。

固化在ROM或EPROM中的数据,只有施加以特殊的电压或使用紫外线才有可能被清除,这就是为什么我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据,仅靠计算系统内部的电压是不够的。所以,仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH病毒会破坏BIOS。

但最新出产的计算机,特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下,这种存储器中的数据并不会被用户轻易改写,但只要施加特殊的逻辑和电压,就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写,这正是我们通过软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。

改写E2PROM内的数据需要一定的逻辑条件,不同PC机系统对这种条件的要求可能并不相同,所以CIH并不会破坏所有使用E2PROM存储BIOS的主板,目前报道的只有技嘉和微星等几种5V主板,这并不是说这些主板的质量不好,只不过其E2PROM逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。

所以,要判断CIH对您的主板究竟有没有危害,首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有一部分使用了E2PROM。而且即使用ROM,cih也会破坏bios设置,这点要注意。

需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。

]]> https://www.aitaocui.cn/article/334999.html/feed 0