发信人: gooduser()
整理人: emil(2000-04-26 11:29:54), 站内信件
|
细说CIH病毒大爆发
作者:昆明黑马计算机软件技术公司—CAD事业部 黎安
来自:黑马在线 http://www.darkhorse.com.cn
4月26日,星期一,这是一个极其平常的日子,在人们的记忆中,历史上
的今天也没有多少惊天动地的事发生,除了依稀记得几年前前苏联曾发生
过什么切尔诺贝核大爆炸外,你实在不清楚4月26日与平日有何不同,于
是,你象平时一样若无其事地打开电脑,等待着微软窗口的出现,且慢!
怎么硬盘灯狂闪?屏幕还黑了??
糟了!!遇到CIH病毒了!!!!
发作篇:害你没商量
这次CIH发作,可能是攻击面最广,受害单位(个人)电脑最多、最严重的
一次!我们看看下面的统计:
据北京冠群金辰有限公司介绍:在4月26日这天,KILL98技术支持热线共接
到800多个电话,全部报告CIH病毒发作,造成机器主板破坏,硬盘数据丢失。
据北京瑞星公司介绍:4月26日,CIH V1.2病毒在全国范围大规模爆发,截止
到28日15:00,瑞星公司接到告急电话2000多个,收损计算机超过10000台,
损失极其惨重。 其中包括:外经贸部、劳动部、交通部、农业部、财政部
、国家计委、科技部、各地国税局等;各大金融部门如中国银行、人民银行、
交通银行、农业银行;各地大量电信部门;联想、北大方正、和光、翰林汇、
中软公司、清华同方等IT企业;各大航空公司、首都机场;北京大学、清华大
学、邮电大学、理工大学、北师大等各大中学校;各地电视台、新华社等各大
新闻单位;柯达公司、松下公司、长虹公司、北京军区、社科院、水科院、中
科院、电科院、各大保险公司等等。
那么云南用户如何呢?
据昆明黑马软件专营店有关负责人介绍:4月26日9:00一上班,求助电话
就没有停止过,到4月27日下午5:00止,累计接到300~400关于CIH的求助电话
。
据《电脑商情报》云南记者站估计:4月26日,昆明市至少2000台电脑遭
遇CIH。另外,《电脑商情报》云南站还接到保山、思茅、曲靖等地州上的用
户遭CIH的报告。
。。。。。。
面对如此严峻的形势,当天中央电视台就在“新闻联播”中报道了这天消息,
新华社专门为此发了通稿,各地媒体无不在头版醒目位置刊登“CIH大规模发
作”的消息。
不仅仅如此,让我们看看CIH都干了些什么“好事”:
1、好一点的情况是:主板快闪BIOS被清除,开机黑屏!
2、坏一点的情况是:硬盘不能引导,分区表被破坏,硬盘数据全部消失!
3、最坏的情况:1+2
无疑,这是迄今为止史无前例的一次电脑病毒大爆发,无论是受害人数,还是
受害程度,都让人为之欲哭无泪!
CIH剖析篇:旧病又新发
昆明黑马软件专营店的店员连续接到许多电话后有些纳闷,CIH不是早就
有了吗?不是早就被杀得光光了吗?这么多人遭了这个病毒,莫非又有了什么
新的变种?
事实上,这次发作的病毒,也没有什么新花样,还是去年“流行”过那个
极其普通的“CIH”,即CIH v1.2,据说,它是由一个台湾学生做的恶作剧
(真是玩笑开大了),早就在网上向世人“悔过”过了。
专家指出,CIH病毒的原理是:利用一种VXD(虚拟设备驱动)技术将自身
分成几个块隐藏在各文件的空隙之内,但不改变文件长度,直接存取Flash
BIOS端口,把一堆垃圾写入BIOS中,使电脑无法启动,要想重新使用机器就
只有用专用设备重新写入正确的BIOS数据,在破坏掉BIOS后,又将垃圾写入
硬盘中的所有扇区,硬盘内的所有数据就会丢失。这是一种截止目前为止发
现的一种最为历害的计算机病毒,因为它不仅仅是损害软件,还要破坏硬件
部分,直接导致机器无法使用,给用户造成极大的损失。
CIH病毒出现至今已演化出至少5个变种,它们分别是:
基本种:文件被感染后长度增加,但病毒本身不具破坏力;
变种1:文件被感染后长度不变,没有破坏力;
变种2:文件被感染后长度不变,病毒具备破坏力;
变种3:文件被感染后长度不变,不会感染部分文件(如小文件等),病毒具
备破坏力;
变种4:文件被感染后长度不变,不会感染所有自解压文件,病毒具备破坏力
并且每月26日发作。
据介绍,上述变种2和变种3仅当每年4月26日才会发作,而变种4则每月26日
都会发作。这次主要发作的即为变种2。
另一种说法是:CIH分3种版本:
1.2版:每年4月26日发作,病毒字节数为1003字节;
1.3版:每年6月26日发作,病毒字节数为1010字节;
1.4版:每年每月26日发作,病毒字节数为1019字节。
显然,这次发作的是1.2版
据我国反病毒界资深人士认定,CIH恐怕是国内至今为止产生破坏力最大的病毒。
救援篇:八仙过海、各显神通
CIH病毒大规模发作后,整个电脑界顿时充满了一种世界末日来临了的
悲观情态,用户急!急的是多年的数据还能恢复吗?商家急!电话声声急,
满地的待修的电脑何时有个完?急!急!急!所有的声音都在问:谁能修好
硬盘?谁能修好主板?
杀毒软件厂商可没有放过这次绝好的赚钱机会,纷纷拿出了杀手锏,以期
占得先机,以逸待劳:
首先,是目前杀毒软件的老大即KV300当天就宣布用KV300中的F10功能
能够修复部分硬盘D:、E:F:等分区,一些客户和商家也确实用这个功能
修好了半数以上的硬盘,于是一时KV300变得洛阳纸贵,很快脱销,KV
300的经销商们笑逐颜开,惜货如金,实实在在体会了一把“被人求”的滋
味。
然后是瑞星再现“善于抓住商机”的本色,以最快的速度再网上发布了
“CIH全国大规模爆发”的消息,当天的中央电视台的新闻联播和新华社
通稿中出现了瑞星公司的反病毒专家刘旭的身影和名字,也许是深知这段时间
用户购买KV300主要是冲着他的F10功能来的似的,瑞星公司立即在
4月28日宣布:已紧急开发出修复硬盘D:、E:、F:等逻辑分区的程序,
并已经增加到“瑞星杀毒软件”DOS版的TOOLS菜单中。
冠群金辰看起来反应要比国内厂家慢许多,但是显得对此事早有所料般地
胸有成竹,黑马公司老总打电话给冠群金辰的王铁肩副总,王副总轻松地说:
使我们感到欣慰的是:凡是安装了KILL98软件的用户很少有报告CIH发作的,
因为KILL98是真正有实时监测功能的杀毒软件,并且也可对压缩软件实行有效
的检测,这样,病毒只要一出现在电脑上,KILL98就会报警,做到了防患于未
然,而使用没有实时监测功能的软件,就需要用户经常记得去查毒,万一想不
起来去查毒,就有可能受到病毒的侵犯。这个事件后,我相信,将会有越来越
多的用户体会到KILL98的优点,KILL98将是最大的赢家。
时代先锋平时就给人以“屈才”的印象,虽然在软件零售市场上表现一般,
但在经常上网的网虫的心目当中口碑却相当不错,这次也没有令人失望,在第
二天即推出了专门用于修复被CIH破坏的D:E:F:等分区的程序:FIXNBR.EXE
,特别是有些硬盘,如昆腾6.4GB以上硬盘,用KV300的F10无法彻底修复,而
用FIXNBR.EXE却能一针见血,手到病除,不失为硬盘修复程序中的及时雨。
还有一个意料之外的“黑马”就是南京信源公司,它也于第三天紧急推出
其专门用于修复被CIH破坏的D:E:F:等分区的程序:VRVFIX.EXE,其特点
就是不管你的分区是FAT16还是FAT32,修复的成功率均能达到90%以上,这已
是奇迹!!!
更多的人不满足于仅仅修复D:E:F:等盘,希望能直接挽救C:盘,
从各方面收集的资料来看,途径如下:
1. 找到一个与被毁硬盘完全相同的硬盘,用相同的分区软件进行相同的分区(
包括大小),用KV300或别的工具软件备份其分区信息,写入在被毁的硬盘上,一
般能恢复所有数据。缺点是:这样的硬盘难找,分区情况记不清。
2. 找一个高手,利用NORTON等工具,尝试着用手工的办法恢复数据。
3. 若用户以前用过KV300/B等工具备份过,则可按KV300等软件说明书所述方法
予以完美修复。
4. 现在internet上介绍一种解决方法:
(1) 到http://www.paulgao.com.cn/softhtml/diskutil.htm 下载一个叫Tira
misu的软件。这个软件分TIRAMISU FOR DOS(非FAT32结构硬盘用)或TIRAMISU
FOR FAT32(FAT32专用)两种。
(2) 分清硬盘格式FAT16 OR FAT32,以下以FAT16为例,制作DOS启动盘,修改
CONFIG.SYS成:
DOS=HIGH
DEVICE=HIMEM.SYS
DEVICE=EMM386.EXE RAM
(3) 重新启动电脑,运行TIRAMISU FOR DOS ,选File-〉Start recovery,(
按默认值)程序会自动开始从C的分区上寻找目录结构,并显示给你看,这个过程
的快慢要根据你硬盘数据的多少来定,如修理的PC中C分区有180M数据,寻找大概
要花10分钟时间。C目录结构搜索结束后,会显示一屏目录搜索结果,有点象WIN
95的资源管理器,你看看目录是不是和中毒前的类似(不可能和以前的完全相同
),如果相似,则你离成功就更近了一步。否则,你可能是错选了Tiramisu FOR
FAT32,发生这种情况时,选File-〉Exit退出,选择Tiramisu FOR DOS,将第二
步重做一遍及可。
(4) COPY C分区数据:选择File-〉Copy file(s),将找到的C分区中的内容CO
PY到其它硬盘上(临时找个辅助硬盘,并将其设成D盘,留作COPY C分区数据用)
,切记不要直接COPY到C上!
(5) 重新FORMAT C盘,将第三步中所COPY的数据转移到C上!
(6) 结束,祝你好运!
如果主板信息被破坏,解决办法:
1、 如果主板还在保修期,尽快与购买的经销商联系,换一块主板最省事。
2、 自己重新写主板的BIOS,具体操作如下(有一点麻烦):
(1) 关闭电脑,取出坏的BIOS芯片。
(2) 找一台一样主板(BIOS厂家和版本严格一致)的电脑,开机到DOS状态,用
主板厂商提供的升级工具取出其BIOS文件置硬盘上。
(3) 带电(千万要小心,不要碰其它部件,以免自己带静电被电击或烧坏其它
部件,最好)取出好的BIOS芯片,换上坏的BIOS芯片。
(4) 用主板厂商提供的BIOS写入工具将硬盘上的BIOS文件写回坏的BIOS芯片中
。
关机,将BIOS芯片换回即可。
马后炮篇:痛后思痛更觉痛
为什么会有成千上万的电脑用户遭遇CIH,真的是CIH无懈可击吗?有关
反病毒专家认为,导致这次CIH大爆发的重要原因,首先是计算机的使用者
对病毒的防范意识麻痹了,放松了,被病毒感染者中有的根本就没有安装防病
毒软件,有的虽安装了防范软件,但由于没有实时监测的功能,或者根本没有
启用,造成了疏忽;其次,反病毒厂商也难咎其责,经常夸大其辞地炒作“病
毒”,喊多了“狼来了”反而使广大电脑用户不太相信反病毒厂商的有些广告
宣传了,由此可见,广大电脑用户和厂商对反病毒的意识和方式都还有待提高。
CIH病毒在中国的全面爆发,也给广大用户上了深刻的一课。现在看来,由于
用户的不重视,通过软盘和光盘交换、Internet共享软件下载,以CIH为代表的W
indows 95/98病毒一时间在国内已经泛滥成灾。国内有关专家认为,相关技术的
发展本身就是CIH病毒产生与广泛传播的根本动因,CIH病毒的出现意味着计算机
病毒与反病毒的斗争和发展已经进入了一个全新的历史时期。高容量存储介质的
广泛应用,给反病毒工作带无法摆脱的隐患,以光盘为代表的高容量存储介质这
几年以惊人的速度得到了普及。人们在享用这种价廉物美的存储产品的同时,也
被其上带有的计算机病毒害得苦不堪言。CIH病毒在全球的蔓延,除Internet之外
另一个罪魁祸首就是盗版光盘,盗版光盘给中国计算机用户提供廉价盗版软件的
同时,不知不觉中将CIH病毒带给了越来越多的计算机用户。与存在于软盘、硬盘
上的病毒相比,光盘上的软件如果带有病毒,则用任何反病毒软件都将是永远无
法杀除的,道理很简单:光盘是只读的。这既然光盘携带病毒永远不可能被清除
,那么这些病毒将会永远存在下去,并给我们的计算机带来无穷无尽的隐患(除
非我们将带毒光盘彻底销毁)。而且,人们为了更进一步节省存储空间,很多光
盘上的软件也是以压缩文件格式存放的,这就给我们防治光盘上的病毒带来了更
大的困难。
象CIH这样的病毒由于发作的,如果我们还停留在使用静态反病毒产品阶段,
最终的结果必然是被动挨打、防不胜防。现在凡是大一点的软件都以光盘形式发
行,更有大量盗版软件被成堆成堆地放在光盘上非法销售到用户手中。任何用户
都无法避免要使用光盘(没有CD-ROM的除外)。前面已经说过,光盘上的病毒是
永远也杀不掉的。更让人感到恼火的是:作为普通用户一般不太会去怀疑光盘上
可能带有病毒--特别是正版软件光盘,我们对于光盘的传统习惯就是拿来就用。
再者说,即使使用一个24倍速的光驱,要对650M容量的光盘进行一次全盘反病毒
检测,也需要花上相当长的时间。面对这种局面,我们的出路只有一条:使用实
时反病毒软件为计算机构筑起一道动态、实时的反病毒防线,拒病毒于计算机系
统之门外。唯有这样,无论我们的光盘上是否带有病毒,无论我们在Internet遨
游多久,只要实时反病毒软件在系统中工作,病毒就无法侵入我们的计算机系统
。这回也就不会受到CIH病毒的侵害。实时反病毒技术是今后反病毒领域的技术发
展趋势,也是防治计算机病毒比较彻底的解决办法。国内目前能够作实时反病毒
技术的产品有KILL 98认证版和瑞星等。KVW3000也即将上市,这也是一套实时反
病毒技术的产品。KILL 98等软件直接给操作系统打了一个反病毒补丁,使操作系
统本身具备了强大的反病毒功能。因为有了这个补丁,操作系统本身具备了反病
毒功能,反病毒工作也就再也不是用户的事情,而是操作系统的本职工作了。用
户唯一要做的,是定期给这个反病毒补丁升级,使其具备更强大的反病毒能力,
能够阻止更多、更新的计算机病毒对我们系统的侵害。
反病毒产品本身的质量问题也是我们能否更好防治计算机病毒的关键。特别
是针对Windows 95/98这样比传统DOS复杂得多的操作系统,作为计算机安全产品
中的一种,反病毒产品的可靠性、兼容性与它的反病毒效果同样重要。反病毒产
品孰优孰劣,并不取决于厂家的广告宣传,也不能来自于道听途说,而是需要通
过公正、权威机构使用科学化合理的方法加以认证。
通过这次全面爆发的CIH危急,希望能使我们的电脑用户的防毒意识大大增强,同
时也期望我们的电脑用户能用上更为科学、进步、成熟的防杀毒产品。
昆明黑马计算机软件技术公司—CAD事业部 黎安
--
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.98.167.123]
|
|