CIH病毒完全档案.docxVIP

PAGE 1 PAGE 1 CIH病毒完全档案  CIH病毒是历史上第一个可以破坏电脑硬件的病毒，主板和硬盘被破坏、电脑无法启动、硬盘数据丢失。每年4月26日当CIH发作时，全球数以万计的电脑都将遭破坏而瘫痪。  CIH病毒是历史上第一个可以破坏电脑硬件的病毒，主板和硬盘被破坏、电脑无法启动、硬盘数据丢失。每年4月26日当CIH发作时，全球数以万计的电脑都将遭破坏而瘫痪。  病毒名称：CIH  别名：PE_CIH,CIHV,SPACEFILLER,VIN32,CHERNOBYL,TSHERNOBYL,TSERNOBYL  病毒发源地：中国台湾  CIH病毒回顾  CIH病毒，别名Win95.CIH\Spacefiller\Win32.CIH\PE_CIH等，属文件型病毒，由一位名叫陈盈豪的台湾大学生所编写的。CIH的载体是一个名为“ICQ中文Chat模块”的工具，CIH病毒感染windows95/98系统下的可执行（EXE）文件，当一个染毒的EXE文件被执行，CIH病毒驻留内存，当其他程序被访问时对它们进行感染。  CIH病毒主要传播媒体是网络（互联网和局域网），光盘（主要是盗版光盘、软盘），最早通过盗版软件（包括一些流行的游玩软件“古墓奇兵”）传播，速度急快。由于互联网的普及，互联网已成为最主要的传播途径。CIH病毒只感染Windows9x包括Windows95、Windows97、Windows98以及在Windows9x下运行的后缀为exe、com、vxd、vxe的应用程序，并且连自解压文件均受感染，CIH病毒感染硬盘上的全部规律驱动器。假如多次重新从C盘启动计算机，就为CIH病毒创造了破坏计算机主板BIOS的机会。CIH病毒只能破坏那些可升级的BIOS（FLASH型），它对后一种BIOS只是使CMOS的参数回到计算机出厂时的设置。CIH病毒对BIOS的破坏除了每月的26日外，在其他日子只要多次热启动，同样会造成破坏。  1998年6月初被发觉之后，便开始在全球爆发，正是因为CIH病毒独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐藏性都特殊强，使用一般反病毒软件很难发觉这种病毒在系统中的传播，在短短几个月内一跃进入流行病毒的前十名。  CIH变种发展的5个版本  CIH病毒出现至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5个版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破坏性，感染WindowsPE可执行文件。v1.1版本能自动推断运行系统，如是WindowsNT，则自我隐蔽，被感染的文件长度并不增加。v1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码，成为恶性病毒。感染ZIP自解压包文件，导致ZIP压缩包在解压时出现错误警告信息，发作日是每年4月26日。v1.3版本不感染WINZIP类的自解压程序，发作日改为每年6月26日。v1.4版本修改了发作日期及病毒的版权信息，发作日为每月26日。  CIH病毒v1.0版本  最初的V1.0版本仅仅只有656字节，其雏形显得比较简洁，与平凡类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染MicrosoftWindowsPE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。  CIH病毒v1.1版本  当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可推断WinNT软件的功能，一旦推断用户运行的是WinNT，则不发生作用，进行自我隐蔽，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WINPE类可执行文件中的“空隙”，将自身依据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。  CIH病毒v1.2版本  当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。  CIH病毒v1.3版本  原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIPself-extractorsfile)时，将导致此ZIP压缩包在自解压时出现：  WinZipSelf-Extractorheadercorrupt.  Possiblecause:diskorfiletransfe