发信人: g-wa()
整理人: emil(1999-02-09 10:14:04), 站内信件
|
小心CIH 的发作!
梁志华(G-Wa)
现今国内最令人可怕的病毒非CIH 莫属,国内的各个机关企业都十分关注,
但
有一些事情是无可避免的,小僧就曾经亲身目睹该病毒的发作,而且对电脑的损
害
也有不同的程度。
CIH 对电脑硬件的攻击十分独特,首先,他的传播能力十分强,而且发作速
度
十分快速,无论你的反应有多快,也不能在他发作时马上关机;再次,他对电脑
进
行了两次的攻击,第一次为主板,第二次为硬盘。小僧亲眼目睹的几台计算机都
是
使用WIN 95和WIN 98的,因为该病毒使用了WINDOWS VXD 技术,所以在以上的工
作
环境下发作的几率最大,现在就让小僧向大家讲述本人的毒发经历。
今天,小僧在工作时突然有一位学生向我汇报说他发现计算机中有CIH 病毒
,
于是我便带上一杀毒软件进行查杀,经过十几分钟的查杀后已经确认把计算机硬
盘
中的所有病毒清除掉,也是便检验一下杀毒后的软件是否经过破坏,幸好该杀毒
软
件的制作很好,没有在杀毒时把软件破坏,小僧使用的是瑞星9.0 版本,8.0 版
本
可以查出病毒,但不能清除。由于工作的习惯,在关机前进行第二次的查杀,居
然
发现又有几百个文件再次感染病毒,可以想象该病毒的传染力是多么的强大,小
僧
在次要向大家强烈建议,必须进行两次的检查才能放心使用。
不久,大约几个小时后,小僧在检查学生对计算机使用情况时有一台计算机
开
机是报错,具体是说该硬盘还没有进行分区而不能使用,于是小僧便进入主板设
置,
在查看BIOS日期是发现日期为4 月26日,想必该情况一定是CIH 病毒发作的迹象
,
因为CIH 病毒在发作时首先读出主板的日期,然后再寻找主板BIOS的写入端口,
从
而将一端不知名的乱码写进BIOS内,导致主板启动不能。如果CIH 对BIOS攻击不
成
功或成功都会进行第二步的攻击,该攻击与第一步大同小异,同样是读取硬盘的
引
导区和分区信息,然后再将一端不知名的乱码写进硬盘,这样也导致硬盘使用不
能。
唯一办法就是重新灌录硬盘的信息。在此,小僧强烈建议各位使用软件将硬盘的
引
导信息和分区信息保存起来,这样就可以在毒发后不用重新分区而恢复对硬盘的
使
用权,这些软件有KV300 和NORTON等。
由于发现已经有一台计算机毒发,所以小僧用查毒软件检查其他的计算机而
拷
贝带毒文件来观察他的毒发情况和环境,希望毒发时能发现解决方法。小僧在毒
发
的计算机上重新灌录WIN 95后拷贝带毒文件进去,首先在DOS 环境下调用该文件
,
没有任何毒发迹象,于是回到WIN 95环境下调用该文件,马上,在不到一秒钟的
时
间内系统重新启动,在进入进入硬盘启动界面时报错,同样是告诉我硬盘由于还
没
有分区而使用不能。这样,小僧马上就得知该病毒在DOS 环境下不能不能毒发,
只
有在WIN 95环境下调用WINDOWS 的VXD 动态连接库才能作出反应,这样也就可以
使
用WINDOWS 下的病毒防火墙才能即时对病毒作出反映和清除,为了验证该想法的
可
行性,于是小僧便在重新灌录WIN 95后安装VRV 防火墙并对其升级为22.C版本,
然
后重新拷贝带毒文件,不料在拷贝过程中,防火墙已经对带毒文件进行检查并清
除,
而且响应速度一点也没有慢。在屏闭防火墙后拷贝带毒文件,然后重新开启防火
墙
并执行带毒文件,可爱的防火墙马上就对带毒文件进行处理,而且病毒也没有发
作。
在此小僧强烈建议各位安装病毒防火墙,对该病毒处理得比较成功的有信源公司
出
品的NETVRV95,使用了防火墙后,你的计算机也就有了一个大的保障。
综合以上的毒发经历,小僧得到几个经验:
第一,该病毒只对一些主板的BIOS攻击成功;
第二,该病毒对任何硬盘的攻击成功率为100%,所以一定要保存好硬盘的引导信
息
和分区信息;第三,该病毒在WIN 95下毒发成功率为99% 以上,而且传播
和
变形能力十分强;
第四,在查杀该病毒时最好同一个驱动器进行两次连续的检查;
第五,该病毒在4 月26日的发作成功率为100%,建议各位在24号之前把BIOS日期
调
整至28号,而且把主板的BIOS写入允许设置为关闭或禁止;
第六,为了保证在运行软件时得到最大的安全系数,小僧强烈建议安装病毒防火
墙,
如果对一个软件的信任度不高可以安装两个或更多的即时病毒防火墙并且
在
启动WINDOWS 时自动运行。
鉴于小僧的知识有限,如果各位有更好的防止方法请EMAIL TO:[email protected]
et
告诉小僧,好让我们一同消灭该病毒,维护好我们国家的计算机。(完)
--
**********************************************
“蓝心箭工作室”与潮流脉搏一同跳动!
___________________________________________________
***************************************************
以下是小僧的网址,不要忘记一个叫G-Wa的伪和尚哟!
猪娃工场:http://g-wa.yeah.net
※ 来源:.网易虚拟社区 club.netease.com.[FROM: 203.93.58.135]
|
|