广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2092 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] 历史超强病毒之CIH病毒完全档案
历史超强病毒之CIH病毒完全档案

病毒名称:CIH
  
  别名:PE_CIH, CIHV, SPACEFILLER, VIN32, CHERNOBYL, TSHERNOBYL, TSERNOBYL
  
  病毒发源地:台湾
  
  CIH病毒回顾
  
  CIH病毒,别名Win95.CIHSpacefillerWin32.CIH PE_CIH等,属文件型病毒,由一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Ch_at模组”的工具,CIH病毒感染windows95/98系统下的可执行(EXE)文件,当一个染毒的EXE文件被执行,CIH病毒驻留记忆体,当其他程式被访问时对它们进行感染。
  
  CIH病毒主要传播媒体是网路--因特网和局域网,光碟--主要是盗版光碟、软碟,最早于通过盗版软体(包括一些流行的游戏软体“古墓奇兵”)传播,速度急快。由于因特网的普及, 因特网已成为最主要的传播途径。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下运行的尾码为exe、com、vxd、vxe 的应用程式,并且连自解压文件均受感染,CIH病毒感染硬盘上的所有逻辑驱动器。如果多次重新从C盘启动电脑,就为CIH病毒创造了破坏电脑主板BIOS的机会。CIH病毒只能破坏那些可升级的BIO S(FLASH型),它对后一种BIOS只是使CMOS的参数回到电脑出厂时的设置。 CIH病毒对BIOS的破坏除了每月的26日外,在其他日子只要多次热启动,同样会造成破坏。
  
  1998年6月初在台湾被发现之后,便开始在全球爆发,正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用一般反病毒软体很难发现这种病毒在系统中的传播,在短短几个月内一跃进入流行病毒的前十名。
  
  CIH变种发展的5个版本:
  
  CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本,不具破坏性,感染Windows PE可执行文件。v1.1版本能自动判断运行系统,如是Windows NT,则自我隐藏,被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程式的代码,成为恶性病毒。感染ZIP自解压包文件,导致ZIP压缩包在解压时出现错误警告资讯,发作日是每年4月26日。v1.3版本不感染 WINZIP类的自解压程式,发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权资讯,发作日为每月26日。CIH病毒v1.0版本:
  
  最初的 V1.0版本仅仅只有 656字节, 其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程式文件长度增加,此版本的CIH不具有破坏性。
  
  CIH病毒v1.1版本:
  
  当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软体的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示资讯,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”, 将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。
  
  CIH病毒v1.2版本:
  
  当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程式的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。
  
  CIH病毒v1.3版本:
  
  原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时, 将导致此ZIP压缩包在自解压时出现:
  
  WinZip Self-Extractor header corrupt.
  
  Possible cause: disk or file transfer error.
  
  的错误警告资讯。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是: 一旦判断开启的文件是WinZip类的自解压程式,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。
  
  CIH病毒v1.4版本:
  
  此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权资讯(版本资讯被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关资讯为“CIH v1.x TTIT”),此版本的长度为1019字节。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-12-06 04:17 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058572 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言