Win95.CIH

CIH是一個純粹的WINDOWS 95/98病毒。通過軟體之間的相互拷貝、盜版光碟的使用有Internet網的傳播而大面積傳染。CIH病毒發作時將用雜亂數據覆蓋硬碟前1024K位元組,破壞主引導區Boot區,破壞主機板Bios Flas晶片,使用權機器無法啟動。允許寫Flash記憶體時才有可能,通常用DIP開關寫Flash記憶體時無效,然而現代主機板大多數不能由DIP開關進行Flash記憶體防寫,因此該病毒發作時會破壞大多數可升級主機板車Flash Bios。它具備徹底摧毀計算機系統的能力。

基本介紹

介紹,傳播途徑,

介紹

威脅級別:★★★
病毒類型:Win95病毒
影響系統:Win9x
類型:駐留型計算機病毒
特徵: 該計算機病毒屬於W32家族,感染Windows 95/98中以EXE為後綴的可行性檔案。它具有極大的破壞性,可以重寫BIOS使之無用(只要計算機的微處理器是Pentium Intel 430TX),其後果是使用戶的計算機無法啟動,唯一的解決方法是替換系統原有的晶片(chip),該計算機病毒於4月26日發作,它還會破壞計算機硬碟中的所以信息。該計算機病毒不會影響MS/DOS、Windows 3.xWindows NT作業系統

傳播途徑

CIH可利用所有可能的途徑進行傳播:軟碟CD-ROM、Internet、FTP下載、電子郵件等。只有當執行受感染的檔案時計算機病毒才會發作,否則計算機病毒將永遠處於潛伏狀態。 症狀: 計算機病毒可能隱藏在任何以EXE為擴展名的執行檔中,但是,只有執行這些檔案,計算機病毒才會發作。一旦計算機病毒被激活(執行了帶毒檔案),計算機病毒就是進行破壞活動,有些是可見的,而另外一些則可能不被注意。
以下是計算機病毒可能產生的影響:
1.它會駐留記憶體,這意味著Windows 95/98系統調用任何(打開、關閉、重命名、複製或運行)以EXE為擴展名的檔案時都會感染計算機病毒
2.覆蓋和重寫BIOS信息使之無法工作。
3.破壞硬碟中的所有信息(格式化硬碟) 遭到計算機病毒破壞的計算機啟動時有如下提示:"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"。而且,如果用戶從軟碟引導並試圖訪問硬碟,就會出現如下信息"INVALID DRIVE SPECIFICATION"。 該計算機病毒在其代碼中包含以下字元串"CIH v1.2 TT IT"。
計算機病毒的第一個變種稱為CIH v1.3或CIH.1010,這個變種會在6月26日發作,它在其代碼中包含以下字元串:"CIH v1.3 TT IT"。 第二個變種稱為 CIH v1.4或CIH.1019,它會在每個月的26日發作,具有極大的破壞性。它將刪除Flash-BIOS 中的所有信息,因此會使計算機連繫統盤都找不到,因為BIOS中已經沒有執行該功能的程式。
但是,即使啟動了計算機,硬碟也找不到,因為硬碟信息也已丟失CHI.1019 破壞硬碟信息的方式是重寫其中的內容。這個變種在其代碼中包含以下字元串:"CIH v1.4 TATUNG"。
感染方式: CIH將自己的代碼放在硬碟受感染檔案的可用扇區內,因此這些檔案的長度不會增加,達到了隱藏的目的。事實上,計算機病毒感染以EXE為擴展名的Windows執行檔的原因是這些檔案內有大量的可用扇區來隱藏計算機病毒代碼。CIH只影響32位檔案,因此只限於Windows 95/98系統。 當CIH計算機病毒進入記憶體後,它會截取Installable File System (IFS)以便感染所有擴展名為EXE的執行檔
備註: CIH首先在台灣被發現,根據台北官方的報告,計算機病毒是由24歲的陳盈豪(Chen Ing-Halu)編制的,由於其名字第一個字母分別為C、I、H,所以這可能是計算機病毒名稱的由來。

相關詞條

熱門詞條

聯絡我們