【对CIH病毒的分析】
CIH病毒是计算机历史上毁灭力最强的病毒之一!
CIH病毒发生于1999年4月26日!
CIH病毒,又名"电脑核弹",是一种可怕的电脑病毒。它属于Microsoft Office的macro病毒类。它会感染你的电脑里面的*.exe (执行档),由Win95/98至所有的应用软件。感染速度十分之快,所以也十分可怕。它是台湾大学生陈英豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写"CIH"名的电脑病毒(电脑核弹病毒)。起初据称只是为了"想纪念一下1986的灾难"或"使反病毒软件公司难堪",但后来由于病毒传染力强,迅速扩散到了世界各个国家的计算机系统上。以至于造成现在的严重情况。
CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向 Windows 的 VxD 技术编制。1998年8月份从台湾传入国内。 CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件,目前的版本不感染DOS以及WIN3.X下的可执行文件,并且在WinNT中不能发作。其发展过程至现在公认经历了v1.0,v1.1、v1.2、v1.3、v1.4五个版本,目前最流行的是v1.2版本。其中1.0版时间较早,没有破坏作用;1.1版被感染文件大小不变,没破坏力;1.2版加入破坏硬盘和BIOS的程序,在每年的4月26日发作;1.3版修正了部分感染自解压文件时的出错问题,而且将发作日期改为每年6月26日;1.4版对于所有的Winzip自解压文件都不感染,并会在每个月的26日发作。
CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:
CIH病毒v1.0版本:最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结 构上并无多大的改善,其最大的"卖点"是在于其是当时为数不多的、可感染Microsof t Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不 具有破坏性。
CIH病毒v1.1版本:当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断WinNT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的"空隙",将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
CIH病毒v1.2版本:当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
CIH病毒v1.3版本:原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-ex tractors file)时,将导致此ZIP压缩包在自解压时出现:WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
CIH病毒v1.4版本: 此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:"CIH v1.4 TATUNG",在以前版本中的相关信息为"CIH v1.x TTIT"),此版本的长度为1019字节。
从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1. 3、v1.4这3个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本,v1.3版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。
该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。它主要感染Windows 95/98的可执行程序,发作时破坏计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时破坏硬盘中的数据。病毒发作时,硬盘驱动器不停旋转转,硬盘上所有数据被破坏,必须重新 FDISK 方才有可能挽救硬盘;同时,对于部分厂牌的主板,如技嘉和微星等,会将Flash BIOS 中的系统程序破坏,造成开机后系统无反应。
