CIH病毒會在每月26日爆發(每年4月26日會爆發壹個版本)。CIH病毒爆發時,壹方面徹底破壞計算機系統硬盤上的數據,另壹方面重寫壹些計算機主板的BIOS。BIOS重寫後系統無法啟動,只好把電腦寄回廠家維修,更換BIOS芯片。CIH病毒是公認的第壹種可以破壞計算機系統硬件的病毒,也是惡性病毒中最致命的病毒。
從技術角度來說,該病毒是用VxD技術編譯的,VxD技術是Windows95/98的核心,被認為是牢牢連接在操作系統的底層,所以CIH病毒不會傳播到DOS操作系統或Windows NT操作系統。CIH病毒的這壹技術特征對我們使用傳統的反病毒技術來防範計算機病毒提出了極大的挑戰,因為我們使用的傳統反病毒工具基本上都是工作在Windows95下的純DOS或模擬DOS應用程序,無法深入到Windows95/98操作系統的底層來徹底消滅CIH病毒。另壹方面,由於可以與操作系統的底層緊密結合,CIH病毒的傳播更加迅速和隱蔽。
癲癇現象
目前,權威病毒收集網報告的CIH病毒有五種,包括“原生型”和“變異型”——* *。CIH病毒“變種”不僅不會增加被感染的文件,而且極具破壞性。這個病毒主要有三個變種(cihv 1.2:4:4月26日,cihv 1.3:6:6月26日。
1.攻擊BIOS。CIH病毒最不尋常的地方是它對計算機BIOS的攻擊。當計算機打開時,BIOS首先獲得系統的控制權。它從CMOS讀取系統設置參數,初始化並協調相關系統設備的數據流。CIH攻擊時,會試圖將垃圾信息寫入BIOS,BIOS中的內容會被完全洗掉,導致電腦無法啟動,只需要更換主板或BIOS即可。根據測試,CIH可以破壞市場上幾十種常見的BIOS。從這個角度來看,CIH病毒是第壹個直接攻擊和破壞計算機硬件系統的病毒,它將給許多計算機用戶帶來毀滅性的後果。
2.覆蓋硬盤。將垃圾內容寫入硬盤也是CIH的破壞性之壹。CIH攻擊時,調用BIOS SendComma nd直接訪問硬盤,以2048個扇區為單位向硬盤寫入垃圾代碼,直到所有硬盤(包括邏輯盤)的數據都被破壞。
有壹點用戶要註意。不要因為自家電腦主板上有B IOS寫/防寫保護跳線,就認為CIH病毒不能在自家電腦上運行。即使很多主板上的BIOS寫/防寫保護跳線都設置為防寫保護狀態,BIOS還是會被重寫,因為有些BIOS芯片是可以不加電壓寫的。
CIH病毒修復方法
1.管群公司
對於被CIH損壞的硬盤,可以進行以下處理:
1)第壹個邏輯盤通常是C:盤,不能完全恢復。但是,如果已經用Kill98制作了應急盤,那麽可以利用Kill9 8應急盤中保存的主引導區和分區表的記錄來恢復硬盤,找回大部分文件。
2)其他邏輯磁盤只要不是FAT32,都可以用NDD或者Kill98的應急盤等磁盤工具恢復,但是用戶需要對硬盤的物理結構有足夠的了解。
3)FAT32分區的邏輯盤的處理需要對fat 32結構有深入了解的專業人士用Debug等工具手動恢復。
對於CIH損壞的主板,可以做如下處理:
1)如果是能提供良好服務的廠商品牌的主板,請聯系廠商。
2)找壹塊同型號的主板(B IOS的廠家和版本壹定要壹模壹樣),下載主板廠家提供的升級文件,把壞的BIOS拿出來,用新的BIOS芯片啟動妳的電腦,通電的時候切換回壞的BIOS芯片,從A盤寫..(這種方法由於帶電操作,非常危險,操作後可能會導致整個硬件被破壞。請小心!!!)
3)有些主控升級程序在寫入時會檢測BIOS版本號。如果沒有,就無法重寫。如果這樣寫BIOS,就必須更換電腦的BIOS芯片。您可以聯系您的硬件購買者或主板代理商。
2.新興公司
先用瑞星殺毒盤開機,然後運行DOS版的瑞星殺毒軟件,在菜單中選擇該項。這個程序會自動分析硬盤是否需要修復。
1)如果“硬盤沒問題,不用恢復!Enter= return to main menu”信息表示您的硬盤系統是好的,不需要修復。
2)如果出現紅色提示框,報告用戶硬盤的分區信息和文件分配表(FAT)的類型,用戶首先要確認提示信息是否正確。然後,根據以下提示信息選擇是否恢復。
“恢復分區表?(是/否)"
如果選擇“Y”,瑞星殺毒軟件會自動恢復硬盤的分區信息。
如果選擇“n”,瑞星殺毒軟件將返回主菜單。
硬盤分區恢復後,瑞星殺毒軟件會提示:“恢復c盤:(y/n)”並詢問用戶是否繼續恢復c盤上的文件。
如果選擇“Y”,瑞星殺毒軟件會自動恢復c盤文件..如果選擇“n”,瑞星殺毒軟件將返回主菜單。
硬盤分區恢復後,可以重啟機器,此時可以看到D、E等完全恢復的擴展邏輯分區;恢復硬盤分區後,再進壹步恢復c盤的文件,重啟機器,不僅可以找到擴展的邏輯分區,還可以看到c盤上恢復的文件目錄,稱為“瑞星。XXX”(XXX是0-999的數字)。此時擴展分區已經恢復正常,c盤各目錄下的重要文件都已備份。
3)如果出現“硬盤無法恢復,回車=返回主菜單”的信息,說明您的邏輯磁盤數據無法使用該功能恢復。當該功能無法恢復您的硬盤數據時,您可以聯系我公司或由其他專業數據恢復人員進行分析,使用其他方法進行恢復,確保重要數據不丟失。
3.時代先鋒公司
它的“興田98”可以讓電腦終身免疫CIH。方法是掃描後直接給系統被CIH感染後本該存在的病毒“感染標記”。CIH病毒感染電腦時,會先檢測到這個標記,誤以為電腦已經被CIH電腦感染了,所以不會“再次感染”,這樣CIH就上當受騙了,用戶的電腦安全也得到了保障。這種方法的相關原理如下。
既然電腦病毒要大面積傳播,那麽壹個電腦文件反復感染是不可避免的。但是,反復感染計算機文件可能會導致系統異常,影響病毒傳播破壞的計劃。所以壹般來說,病毒程序結構中會有壹個病毒“感染標記”(也稱“病毒簽名”)。當病毒感染宿主程序時,它會將“感染標記”寫入宿主程序,作為該程序已被感染的標記。在病毒感染健康程序之前,搜索感染標記,看是否有感染標記。如果有,則認為已經感染;如果沒有找到感染標記,病毒就會感染程序。CIH病毒使用VxD技術,當它感染系統時,就會奪取系統的控制權。如果它反復搶奪系統的控制權,就會造成崩潰,從而破壞病毒的潛伏性。所以CIH病毒在感染系統後會留下“感染標記”,每次感染前都會先檢測“感染標記”。如果發現了,就不會再感染了。
“興田98”“克隆”了CIH病毒的“感染標記”。用戶只要使用殺毒軟件“星天98”(最新發行版已有,請老用戶盡快升級)查毒,就可以為電腦系統永久種下CIH疫苗,讓系統再也不會感染CIH病毒(對CIH所有品種或傳說中的CIH二代都有效)。(註意:如果系統被格式化,要重新使用“星天98”對系統進行免疫。)
4.理發師
美國網絡聯盟公司發布的McAfee VirusScan軟件將有效應對CIH病毒,同時還提供在線技術支持,使用戶可以進行實時在線升級服務。在奈的網頁()上,有很多關於CI H病毒的特點和根治方法的建議和方案。
5.北京姜敏公司
本月26日,CIH病毒v1.2爆發。具體表現包括:硬盤無法正常啟動,所有邏輯分區丟失;能正常顯示的顯示器無法正常顯示(機器BIOS被病毒改寫),軟盤無法正常啟動電腦。
(1)第壹種情況,妳可以使用KV300的F10功能鍵來重建妳的硬盤分區表。具體操作步驟如下:
1)用幹凈的系統軟盤啟動計算機。KV300主屏幕出現後,按功能鍵F10,KV300會自動檢測妳的硬盤參數和分區情況,重建異常硬盤分區表。當然,重建前會提示妳備份壹個損壞的分區表;
2)出於安全考慮,必須備份原始分區表。操作過程中,按提示打兩次“Y”。(2)電腦BIOS芯片如果BIOS被病毒重寫,導致電腦無法顯示或軟盤無法啟動,必須更換。可以聯系硬件買家或者主板代理商;
(3)在某些特殊情況下,如果妳不能修復妳的邏輯D,E,F...(不包括c盤)通過以上方法,請直接聯系姜敏公司。
(4)電腦可以啟動的情況不在被CIH病毒破壞的範圍內。
CIH病毒的典型案例
1999年4月26日,XX公司使用感染了CIH病毒的軟盤,導致當天兩臺電腦被該病毒損壞。找不到磁盤數據,導致丟失。
具體受損情況如下:
這兩臺電腦是“586型號(兼容電腦),可能是早期的“586”主板,BIOS芯片不是軟件可重寫的。所以這兩款電腦的主板都沒有受到影響,可以繼續使用。
兩臺電腦的硬盤都是量子火球2.1G。兩個硬盤有同樣的現象:硬盤無法啟動無法識別,即使用軟盤啟動也找不到c盤。
技術人員用A盤從DOS引導,用調試程序將壹個硬盤的主引導扇區讀入內存分析,發現硬盤的分區表已經被病毒清除。然後讀出文件分配表所在的壹些扇區的內容,發現不是正常分區表的內容,被壹些垃圾數據覆蓋。
嘗試使用“n roton”disk doctor修復此硬盤:
第壹步,“諾頓”在硬盤的1頭1扇區1FF列找到了第壹個分區的起始位置。(這是壹個不尋常的位置。壹般第壹個分區的起始位置在1的頭部,1的扇區為0列。)諾頓之後沒有找到第二個分區。(據該盤的用戶介紹,這塊硬盤在被破壞前有兩個分區,每個分區1GB)。找到第壹個分區後,重啟電腦,發現這個硬盤可以識別,c盤的壹些文件還在。但是文件名和目錄結構已經完全改變了。原來c盤上的Windows95系統文件和數據文件再也找不到了。可以恢復原始的d分區位。看來完全康復是不可能的了。
結論:該病毒作者居心叵測。即使某些主板的BIOS無法銷毀,硬盤數據也要被不可挽回地銷毀。只有選擇具有實時殺毒功能的殺毒軟件,才能徹底抵禦CIH惡性病毒對系統的攻擊,無後顧之憂。