廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2089 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 歷史超強病毒之CIH病毒完全檔案
歷史超強病毒之CIH病毒完全檔案

病毒名稱:CIH
  
  別名:PE_CIH, CIHV, SPACEFILLER, VIN32, CHERNOBYL, TSHERNOBYL, TSERNOBYL
  
  病毒發源地:台灣
  
  CIH病毒回顧
  
  CIH病毒,別名Win95.CIHSpacefillerWin32.CIH PE_CIH等,屬文件型病毒,由一位名叫陳盈豪的台灣大學生所編寫的。CIH的載體是一個名為“ICQ中文Ch_at模組”的工具,CIH病毒感染windows95/98系統下的可執行(EXE)文件,當一個染毒的EXE文件被執行,CIH病毒駐留記憶體,當其他程式被訪問時對它們進行感染。
  
  CIH病毒主要傳播媒體是網路--因特網和局域網,光碟--主要是盜版光碟、軟碟,最早于通過盜版軟體(包括一些流行的遊戲軟體“古墓奇兵”)傳播,速度急快。由於因特網的普及, 因特網已成為最主要的傳播途徑。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下運行的尾碼為exe、com、vxd、vxe 的應用程式,並且連自解壓文件均受感染,CIH病毒感染硬盤上的所有邏輯驅動器。如果多次重新從C盤啟動電腦,就為CIH病毒創造了破壞電腦主板BIOS的機會。CIH病毒只能破壞那些可升級的BIO S(FLASH型),它對後一種BIOS只是使CMOS的參數回到電腦出廠時的設置。 CIH病毒對BIOS的破壞除了每月的26日外,在其他日子只要多次熱啟動,同樣會造成破壞。
  
  1998年6月初在台灣被發現之後,便開始在全球爆發,正是因為CIH病毒獨特地使用了VxD技術,使得這種病毒在Windows環境下傳播,其實時性和隱蔽性都特別強,使用一般反病毒軟體很難發現這種病毒在系統中的傳播,在短短幾個月內一躍進入流行病毒的前十名。
  
  CIH變種發展的5個版本:
  
  CIH病毒出現至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5個版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本,不具破壞性,感染Windows PE可執行文件。v1.1版本能自動判斷運行系統,如是Windows NT,則自我隱藏,被感染的文件長度並不增加。v1.2版本增加了破壞用戶硬盤以及用戶主機BIOS程式的代碼,成為惡性病毒。感染ZIP自解壓包文件,導致ZIP壓縮包在解壓時出現錯誤警告資訊,發作日是每年4月26日。v1.3版本不感染 WINZIP類的自解壓程式,發作日改為每年6月26日。v1.4版本修改了發作日期及病毒的版權資訊,發作日為每月26日。CIH病毒v1.0版本:
  
  最初的 V1.0版本僅僅只有 656字節, 其雛形顯得比較簡單,與普通類型的病毒在結構上並無多大的改善,其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一,被其感染的程式文件長度增加,此版本的CIH不具有破壞性。
  
  CIH病毒v1.1版本:
  
  當其發展到v1.1版本時,病毒長度為796字節,此版本的CIH病毒具有可判斷Win NT軟體的功能,一旦判斷用戶運行的是Win NT,則不發生作用,進行自我隱藏,以避免產生錯誤提示資訊,同時使用了更加優化的代碼,以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的“空隙”, 將自身根據需要分裂成幾個部分後,分別插入到PE類可執行文件中,這樣做的優點是在感染大部分WINPE類文件時,不會導致文件長度增加。
  
  CIH病毒v1.2版本:
  
  當其發展到v1.2版本時,除了改正了一些v1.1版本的缺陷之外,同時增加了破壞用戶硬盤以及用戶主機BIOS程式的代碼,這一改進,使其步入惡性病毒的行列,此版本的CIH病毒體長度為1003字節。
  
  CIH病毒v1.3版本:
  
  原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時, 將導致此ZIP壓縮包在自解壓時出現:
  
  WinZip Self-Extractor header corrupt.
  
  Possible cause: disk or file transfer error.
  
  的錯誤警告資訊。v1.3版本的CIH病毒顯得比較倉促,其改進點便是針對以上缺陷的,它的改進方法是: 一旦判斷開啟的文件是WinZip類的自解壓程式,則不進行感染。同時,此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010字節。
  
  CIH病毒v1.4版本:
  
  此版本的CIH病毒改進上上幾個版本中的缺陷,不感染ZIP自解壓包文件,同時修改了發作日期及病毒中的版權資訊(版本資訊被更改為:“CIH v1.4 TATUNG”,在以前版本中的相關資訊為“CIH v1.x TTIT”),此版本的長度為1019字節。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-06 04:17 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.022649 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言