聖誕CIH病毒

通過這個病毒的名字，我們可以看出這個病毒的一些基本特徵：這個病毒的名字是由三部分組成，第一部分"PE"表征著這個病毒的類型，PE是Portable Execute的縮寫 （與Native Execute的NE相對照），它表明這個病毒類型是32位定址的線性增強模型保護模式檔案；下劃線作為分隔設定，後面的"KRIZ"是這個病毒名字的第二部分，也是這個病毒的真實名字。由於這個病毒的觸發模組代碼部分是以日期作為判斷條件的，即病毒的發作是在每次的12月25日，由於剛好是聖誕節的時間，所以我們也稱它為聖誕節病毒（Christmas Virus），KRIZ就是按聖誕節（Christmas）的英文發音來起的名字；這個名字的第三部分是".3740"，這部分表征著病毒的屬性，即：這個病毒惡性代碼大小為3740位元組。

了解了這個病毒名字的含義，我們就已經了解了這個病毒的不少特徵了，由於這個病毒是一個Win32 Exec型的病毒，所以也有人稱它為W/32.KRIZ病毒；又由於這個病毒是在聖誕節時間發作，並且它與4月26日發作的CIH（PE_CIH，又稱Win95_CIH）有類似的破壞性，所以又有人稱它為"聖誕CIH"病毒，但這個病毒的破壞性比起4月26日發作的CIH來，是有過之而無不及。

通常KERNEL32.DLL檔案只能在唯讀情況下才能被打開，這種情況下病毒是不能感染它的。那么病毒到底是如何進行感染的呢？首先，病毒會先在Windows系統目錄中創建一個臨時檔案來製做一個副本檔案KRIZED.TT6，然後感染它並在 WININIT.INI檔案中輸入"重命名"指令，於是用這樣的辦法首先感染了KERNEL32.DLL副本，而在 Windows在第二次啟動時，以染毒的副本檔案強制替換原始的KERNEL32.DLL，這樣這個唯讀檔案就被感染了。

這種聖誕CIH病毒是一種駐留記憶體型的病毒，可以在WIN95/98/NT等多種操作平台上肆意傳播。當執行染毒檔案時，病毒會首先感染KERNELL32.DLL檔案，以駐留windows系統。一旦感染了KERNEL32.DLL檔案，病毒就會修改輸出功能表（Export table）和功能地址，這樣在Windows下一次啟動時，病毒鍊表（virus hooker）就會過濾調用KERNEL32的功能操作，從而便於病毒監測檔案讀取行為。感染KERNEL32.DLL的病毒會使鍊表檔案讀取功能異常，會阻止檔案進行複製、開啟、移動等操作，並會感染所讀取的檔案，但這個病毒"智商"很高，它並不是只進行簡單的感染動作，而是會對躲避反病毒軟體對它的偵測，當啟動染毒系統後，病毒會對正在操作的檔案進行感染，但它首先會檢查檔案名稱，如果檔案名稱有可能是防毒軟體的話，病毒就不會感染它們（後面將給出這個病毒所不感染的具體檔案名稱），否則它將感染每一個正在操作中的EXE和DLL檔案。

當感染一個檔案時，病毒會根據自己的版本選擇是在檔案末端寫入病毒代碼，還是在檔案末端創建一個新檔案，將自己的代碼加密並寫入。為有效區別檔案是否染毒，避免對同一檔案進行重複感染而造成系統異常，病毒會在檔案頭保留區寫入"666" ID字元串作為感染標記，它在感染某個檔案之前會先檢查此檔案是否含有自身的"感染標記"，有則放棄，沒有則進行感染。這一行為本來是為病毒的隱蔽傳播而設計的，而在反病毒專家的眼裡，它反而成為偵測這種病毒的一個依據了；除此之外，這個病毒還帶有一些版權資訊，裡面有很多髒話，而沒有太大的作用，就不多介紹了。

綜合以上，大家可以注意到"聖誕CIH"的破壞性比以往的CIH病毒更為厲害：

1. 以往的CIH可以破壞主機板的BIOS，"聖誕CIH"同樣可以做到；

2. 以往的CIH只感染WIN95/98系統，而"聖誕CIH"除此之外還感染NT系統，破壞範圍更廣；

3. 以往的CIH只是覆蓋了C驅數據，而"聖誕CIH"除此之外還覆蓋所有的邏輯分區數據，破壞力更大；

4. "聖誕CIH"比以往的CIH具有更高的智商，可以更隱蔽地進行傳播。

為避免此病毒可能會因為覆寫檔案而造成不必要的麻煩，所以建議大家以防為主，提早安裝反病毒工具預防；另外我們還想提醒廣大用戶,修改計算機系統時間的話,可能會使該病毒提前發作,所以請大家留心

附：這種病毒不會感染的檔案名稱清單

AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,SMSS.EXE

從1998年的4月26日開始，26日成為一個令電腦用戶頭痛又恐慌的日子，因為在那一天CIH病毒誕生了！1999年4月26日，這個遊蕩在網際網路和個人電腦間的黑色幽靈，在全球全面發作。這一天，對於中國電腦用戶來說，無疑是個令人心悸的災難日：開機、螢幕沒有任何顯示，只有死一般的沉寂。黑色幽靈第一次對中國用戶發起了大規模的進攻。 損失是慘重的，可以統計的經濟損失以億計算，對電腦用戶的震動並因此而產生的對計算機病毒的恐懼感，著實讓國內外的防病毒軟體大大的火了一把。

病毒名稱：CIH

發作日期：每月26日

產地：台灣省

病毒類型：檔案感染型

CIH病毒屬檔案型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的執行檔(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的執行檔，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本。

CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

最初的V1.0版本僅僅只有656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類執行檔的病毒之一，被其感染的程式檔案長度增加，此版本的CIH不具有破壞性。

當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加最佳化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類執行檔中的“空隙”，將自身根據需要分裂成幾個部分後，分別插入到PE類執行檔中，這樣做的優點是在感染大部分WINPE類檔案時，不會導致檔案長度增加。

當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程式的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包檔案(ZIP self-extractors file)時，將導致此ZIP壓縮檔在自解壓時出現：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的檔案是WinZip類的自解壓程式，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包檔案，同時修改了發作日期及病毒中的版權資訊(版本信息被更改為：“CIH v1.4 TATUNG”，在以前版本中的相關信息為“CIH v1.x TTIT”)，此版本的長度為1019位元組。

從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程式，其發作特徵是：

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主機板上的Flash Rom中的BIOS信息將被清除。

想徹底殺滅，推薦使用某些反病毒軟體進行，以上操作以及使用反病毒軟體進行防毒，必須使用乾淨的系統盤啟動計算機。

4月26日的CIH1.2版本中含有5個變種，我們需要提前做好準備。專家稱，CIH病毒完全可以預防，大可不必關閉機器。只要用防毒軟體提前殺一遍毒即可。 專家稱，每天可能發作的電腦病毒至少幾十種。希望用戶儘量使用具有實時監測功能的反病毒軟體，並及時更新病毒庫。