W95.CIH

發現： 1998 年 6 月 25 日

更新： 2007 年 2 月 13 日 11:37:54 AM

別名： Chernobyl, PE_CIH, Win95.CIH, Win32.CIH, W95/CIH.1003, CIH.Spacefiller

類型: Virus

感染長度： Up to 1KB

受感染的系統： Windows 95, Windows 98, Windows Me

由於提交數量的降低，Symantec 安全回響中心已將此威脅的級別從 4 類降為 3類。

CIH 病毒也稱為 Chernobyl，於 1998 年 6 月在中國台灣首次發現。根據台北官方機構報告，Chen Ing-hau 編寫了該 CIH 病毒。該病毒的名稱取自編寫者姓名的首字母。

CIH 具有破壞數據的有效負載，是極具破壞性的病毒。1999 年 4 月 26 日，有效負載首次觸發，造成許多計算機用戶丟失了數據。在韓國，大約有一百萬台計算機受到影響，造成 2.5 億多美元的經濟損失。

儘管該病毒比較陳舊，但 Symantec 相信該病毒仍然會伺機而動，對使用過時的病毒定義或未使用防病毒軟體的用戶造成損失。

在有效負載已傳遞後進行恢復

病毒在每月的 26 日執行時會做兩件事情：

* 重寫硬碟前 2,048 個扇區上的重要數據。如果發生這種情況，則當計算機從硬碟驅動器啟動時會顯示“無系統盤”訊息，或者當嘗試從系統軟碟或救援磁碟啟動時出現“無效介質”訊息。使用 Norton Utilities 進行恢復：

o 如果您有最新的 Norton Utilities (NU) 或 Norton AntiVirus 救援磁碟，請使用它們還原分區和引導記錄信息，然後運行 Norton Utilities Unformat。

o 如果您是在發生感染後購買的 NU 並且在受感染的磁碟上有多個分區，則嘗試從緊急啟動磁碟運行 ndd /rebuild，然後運行 Unformat。

o 如果只有一個分區，則可能需要與數據恢復服務聯繫。

* 該病毒可能重寫您系統的 BIOS。如果發生這種情況，應當與 BIOS 供應商聯繫以獲得有關如何解決此問題的指導。

重寫 BIOS 的情況非常罕見。如果計算機由於 BIOS 被重寫而無法運行，則在某些情況下可能需要更換 BIOS 或主機板。

* 病毒定義（每周 LiveUpdate™） 1998 年 6 月 28 日

* 病毒定義（智慧型更新程式） 1998 年 6 月 28 日

廣度

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： Medium

* 威脅抑制： Easy

* 清除： Moderate

損壞

* 損壞級別： High

* 有效負載觸發器： W95.CIH V1.2 and V1.3 (April 26), W95.CIH V1.4 (26th of any month)

* 有效負載： Destroys data and causes possible damage to CMOS

分發

* 分發級別： Medium

CIH 是感染 32 位 Windows 95/98/NT 執行檔的病毒，但只能在 Windows 95/98 和 ME 下起作用。它不能在 Windows NT 或 Windows 2000 下起作用。當受感染的檔案在 Windows 95/98/ME 下運行時，病毒轉而駐留在記憶體中。要殺除該病毒，請執行下列操作之一：

* 推薦的方法：使用 Symantec 安全回響中心的 CIH 防毒工具，該工具會從記憶體中殺除該病毒並免除了從乾淨的系統盤重新啟動計算機的需要。

* 從救援磁碟重新啟動計算機。

* 如果計算機允許，可從 Norton AntiVirus (NAV) 2001/2002 光碟重新啟動計算機。

如果未執行上述操作，則該病毒會感染使用 Norton AntiVirus 或任何防病毒程式掃描過的每個檔案。

雖然 Windows NT 系統檔案可能受到感染，但該病毒卻無法駐留在運行 Windows NT 或 Windows 2000 的計算機上的記憶體中或感染該計算機上的檔案。該病毒在 DOS、Windows 3.1 下或 Macintosh 計算機上不起作用。該病毒一旦駐留於記憶體中，就會感染其他被訪問的檔案。

由於 CIH 的獨特感染方式，受 CIH 感染的檔案可能與原檔案具有相同的大小。該病毒會搜尋檔案中未使用的空閒空間。然後，將自己分割成較小的片段並將其代碼插入到這些未使用的空間中。當 NAV 修復受 CIH 感染的檔案時，會查找這些病毒碎片並將它們從檔案中刪除。

自 1999 年 4 月起，存在該病毒的三個已知的、相似的變種。CIH 1.2 和 1.3 版具有一個在 4 月 26 日觸發的有效負載，用以紀念 1986 年 4 月 26 日在前蘇聯發生的車諾比核泄露事件。CIH 1.4 版具有一個在任何一個月的 26 日觸發的有效負載。CIH 所有版本的有效負載均相同。

第一個有效負載使用隨機數據重寫硬碟，此操作使用一個無限循環並起始於磁碟的開頭部分（0 扇區）。扇區的重寫會一直進行下去，直到系統崩潰。導致的後果是計算機將無法從硬碟或軟碟啟動。此外，硬碟上被覆蓋的數據將很難或根本不可能恢復，因此只能從備份還原數據。

第二個有效負載試圖對計算機造成永久破壞。該有效負載會攻擊 Flash BIOS（用以初始化和管理硬碟驅動器、串列和並行連線埠以及鍵盤等系統設備之間的關係和數據流的計算機部分），並試圖破壞其中存儲的數據。導致的後果是在啟動計算機時不顯示任何內容。計算機技術人員需要解決這一問題。

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

殺除該病毒有兩種方法：

* 推薦方法：運行 CIH 防毒工具，然後使用 Norton AntiVirus 進行掃描。

* 從救援磁碟或使用Norton AntiVirus 2001/2002 光碟從可啟動 CD-ROM 驅動器重新啟動。

推薦的防毒程式

殺除該病毒最簡單的方法是運行 CIH 防毒工具，然後使用 NAV 進行掃描。CIH 防毒工具會安全地從 Windows 95 和 Windows 98 的記憶體中檢測並消除 W95.CIH (Chernobyl) 造成的所有已知損傷（從 1998 年 8 月 3 日起）。如果在該病毒感染您的系統之前就使用了該工具，則該工具將為計算機的記憶體接種疫苗，從而使得 W95.CIH 病毒在系統下一次重新啟動之前無法感染您的系統。

* 如果計算機感染了 W95.CIH 病毒，請運行 CIH 防毒工具後再嘗試更新防病毒定義或掃描系統。如果未運行該工具而先嘗試使用防病毒產品掃描受感染的系統，則存在感染傳播的風險。使用了該工具後，就可以安全地掃描計算機。

* CIH 防毒工具將不會從檔案中檢測或殺除 W95.CIH 病毒。它會在記憶體中禁用該病毒，從而使得 Norton AntiVirus 可以消除感染，而不會有意外地傳播病毒之虞。

可以從 DOS 命令行或登錄腳本運行 CIH 防毒工具，這使得網路管理員可以將防毒過程自動化。請執行下列

1. 根據下載頁上的指導，下載並運行 CIH 防毒工具。請不要在提示前重新啟動計算機。

2. 運行 LiveUpdate，確保您的病毒定義是最新的。

3. 啟動 NAV 並確保其配置為掃描所有檔案。有關指導，請閱讀文檔：如何配置 Norton AntiVirus 掃描所有檔案。

4. 運行完整的系統掃描。

5. 如果有任何檔案被檢測為受 W95.CIH 感染，則單擊“修復”。如果 NAV 報告檔案無法修復，則記下檔案名稱，然後單擊“刪除”。

備用的防毒程式

該防毒程式不使用工具來殺除病毒：

1. 執行下列操作之一：

* 如果您的計算機可以從 CD-ROM 驅動器啟動並且使用的是 Norton AntiVirus 2001 或更高版本：

1. 將 Norton AntiVirus 光碟插入 CD-ROM 驅動器並重新啟動計算機。

2. 當出現選單時，進行病毒掃描和修復。

3. 當掃描完成後，從 CD-ROM 驅動器中取出光碟並重新啟動計算機。

4. 啟動 Norton AntiVirus (NAV)，並確保 NAV 配置為掃描所有檔案。有關指導，請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

5. 運行完整的系統掃描。

6. 如果有任何檔案被檢測為受 W95.CIH 感染，則單擊“修復”。

* 如果您的計算機無法從 CD-ROM 驅動器啟動，或者如果您使用的是 Norton AntiVirus 2000 或更早版本：

1. 在未受感染的計算機上安裝 Norton AntiVirus。

2. 運行 LiveUpdate，然後運行完整的系統掃描。

3. 單擊 NAV 工具列上的“救援”。

4. 按照提示創建基本救援磁碟集。

5. 將完成的基本救援磁碟集插入受感染計算機上的軟碟驅動器中。重新啟動計算機。

6. 當出現 Rescue Disk 視窗時，使用鍵盤上的箭頭鍵選擇 Norton AntiVirus。

7. 編輯視窗底部的命令行使其如下顯示：

navdx /a /b+ /m+ /repair /cfg:a /log:c:\nvreplog.txt

8. 然後按 Enter 鍵。

掃描完成後，重複步驟 6 到步驟 8，這一次編輯命令行使其如下所示：

navdx /a /b+ /m+ /delete /cfg:a /log:c:\nvdellog.txt

然後按 Enter 鍵。

9. 掃描完成後，防毒過程即告完成。從磁碟驅動器取出所有磁碟，然後重新啟動計算機。

10. 啟動 NAV 並確保其配置為掃描所有檔案。有關指導，請閱讀文檔：如何配置 Norton AntiVirus 掃描所有檔案。

11. 運行完整的系統掃描。

12. 如果有任何檔案被檢測為受 W95.CIH 感染，則單擊“修復”。