精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆关于CIH☆>>CIH病毒作者的一封信(载自人民邮电)

主题:CIH病毒作者的一封信(载自人民邮电)
发信人: gznetfox()
整理人: emil(1999-02-04 17:11:18), 站内信件
    相信不少人都想砍我,我现在说什么都没用,实在很抱歉,对不起,但有
些事情要交待一下,因为那些只会打着华丽骗人广告的防毒公司没交待清楚,
很容易造成更大的灾害。 

   [目前版本]市面上有V1.2、V1.3、V1.4,至于v1.0、V1.1没流到市面上。
   [各版特性]
     v1.0感染后,档案变大,没破坏力
     v1.1感染后,档案不会变大,没破坏力
     v1.2感染后,档案不会变大,具破坏力
     v1.3感染后,档案不会变大,具破坏力,同时不感染部分自解档
     v1.4感染后,档案不会变大,具破坏力,每月26日发作,对所有自解档都
不感染。目前的版本,即使在NT环境下跑,也不会发生错误,但在NT下失去病毒
的所有作用。
   [发作时间]
     (1)如果中的是V1.2及V1.3的话,每年的4月26日会发作
     (2)V1。4版,则每个月的26日会发作。
  [在WIN95/98发作的样子]
     (1)硬碟狂奔,所有硬碟资料不见,必须重新FDISK
     (2)部分厂牌只需5V即可reflash的BIOSEEPROM(如SST),则会被清掉,造成
无法开机,只有送去维修或是用IC烧录器重新把资料烧回去,企图用软件烧录,将
会发现reflash程式误判EEPROM型号,导致无法烧入,至于需要调跳线才可以reflash
的12VBIOS EEPROM,则无法破坏(实际上,我也没试过)。至于真的能洗掉BIOS资
料吗!?其相容性,我不很清楚,但我试过两种主机板,技嘉以及微星,发作时,
确实可以,那些以前抱着世界上根本没有BIOS病毒的人,现在大概不敢吭声,虽然
这只病毒没写病毒码在BIOS里面,而只是填入垃圾资料到BIOS,就足以证明,部分
BIOS可能会被病毒清掉其程式,甚至被病毒感染。这大概也是全世界第一只能破坏
reflash BIOS的病毒。
    [如何发现自己已经中毒]
    一般来说(这些方法产不一定能找到所有中毒的档案,可能少数找不到),用
UltraEdit开启c:\windows\Notepad.exe,然后查询CHIV1.的字串,若发现此字串,
就代表系统中标了,此时系统已经藏有病毒,千万不要照着Virus版的方法,跟白
痴一样,再全部搜录所有执行档,检查有没有这个MARK,那只会扩大病毒,等你
搜寻完后,本来没中毒的档案,也都中毒了,至于Notepade.exe没找到这个字串,
则代表系统没中毒,这时才可以放心的用软体搜寻完所有执行档,看看哪几个新
抓回来的档案有毒,其实目前更好的办法,可以到Virus版拿新出来的侦毒/解毒
程式。
    [如何侦毒/解毒]
    在各大BBS站的Virus版,就能找得到,各版本的解毒,似乎都存在某些问题,
以SSCAN来说,作者似乎没把SECTION TABLE,以及病毒感染做的MARK还原,这将
会造成TELEPORT,自解档等软件在进行自我检查是否有被修改时,会发现被修改,
导致无法顺利执行,大概这样子,其他的解毒,没信心用,中了V1.4版的人,千
万记住每个月的26日会发作,大概这样子,其他的解毒,没信心用,尽快拿解毒
程式解毒。

   
   [编后]近期在我国大面积流行的CIH病毒,已经给数以万计的电脑系统带来不
同程度的灾难。CIH传播速度极快,破坏力极强,主要感染可执行文件.exe和压缩
包,某些版本病毒会直接攻击CMOS和硬盘数据。这篇据称是出自CIH病毒作者——
台湾大同工学院一位名叫陈盈豪的学生的文章,转自国内讨论组,作者在忏悔之
余,详细介绍了CIH各版本及特性、病毒检查及防范对策。


     

--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: bluesky]

[关闭][返回]