发信人: huyin()
整理人: emil(1999-05-22 11:51:39), 站内信件
|
北京市公安局计算机管理监察处负责人
王世铎于9月4日就CIH病毒发表谈话如下:
现已认定:CIH病毒是迄今为止国内发现的最具破坏力的新型病毒。CIH病毒不仅破坏数据,而且在发作时还可能会破坏计算机硬件,彻底损毁计算机系统,给用户造成无可估量的损失。使用计算机的各行各业现在都面临着CIH病毒的严重威胁。由于CIH病毒不是过去常见的DOS环境病毒,而?BR>亲耪攵訵INDOWS 95/98的病毒,其主要的传播途径是因特网,因此希望此类用户尽快采取措施,一定要做到防患于未然。
计算机病毒现已影响到整个社会的发展与稳定,公安部门最近就防范CIH病毒一事专门向全社会发布了通告,就足以证明该病毒的严重程度,同时也体现了我国计算机安全主管部门对计算机病毒的重视。作为计算机安全主管部门,我们公安机关今后将就此方面更加严格地加强管理,提高全?BR>缁嵴寮扑慊踩健M毙枰嵝汛蠹业氖牵喝ツ?0月颁布的新《刑法》中,特别新增了关于计算机犯罪的条款,制造和传播计算机病毒是一种犯罪行为,最高可判处5年有期徒刑。今后大家如若发现新的病毒或有关故意制造、传播病毒的犯罪线索,请立即向公安机关报告。
如果用户发现计算机被CIH病毒感染,遇到问题或遭受重大损失,请及时向北京市公安局计算机管理监察处报告(联系电话与通信地址?)。
中国金辰公司反病毒技术专家王铁肩说:
CIH病毒是一个真正的32位计算机病毒,它首次成功地运用WINDOWS 95/98特有的VxD技术,开创了病毒破坏计算机系统硬件的先河。这个病毒已在计算机安全界产生了巨大反响,它对反病毒技术的发展具有 "划时代"的深远影响意义。
普通用户应该如何防范CIH病毒?这需要根据用户计算机使用环境 "具体问题具体分析":
如果用户仍在使用DOS环境,则大可不必惊慌,CIH病毒与我们过去常见的DOS病毒有很大不同,它在DOS环境下无法传播或运行,用户可以照常工作,只当是CIH病毒不存在。
但是使用WINDOWS 95/98的用户,就面临着CIH病毒的威胁。过去常见的DOS反病毒工具无法可靠地检测并清除CIH病毒,有效防范CIH病毒的正确方法是使用WINDOWS
95/98平台下的32位反病毒工具,特别应该注意使用防毒墙技术,即实时检测技术,这样才有可能在计算机开机后始终实时地监测、清除企图入系统的CIH病毒,而不必经常运行反病毒软件。
使用WINDOWS
95/98并连接INTERNET的用户最易遭受到CIH病毒的攻击,这是因为INTERNET是CIH病毒最主要的传播途径,而在INTERNET上传输的文件,大多都是经过压缩处理的,要做到完全、可靠地防治CIH病毒,反病毒软件就必须能够对网上传输的各种格式的压缩文件进行实时、自动解压缩和杀病毒处
理,否则当用户对下载文件进行解压缩处理时,被打包在文件中的CIH病毒就会复活。
需要注意的是,过去许多病毒的发作都是"可逆的",即发作后使用反病毒软件有可能将被病毒破坏的数据恢复回来;但CIH则不同,一旦CIH病毒发作,轻则造成数据永久性丢失,重则必须将计算机送回工厂修理。事后使用任何反病毒工具都无济于事。
KILL 98是一个32位的WINDOWS反病毒软件,但只有4.12版以上才能有效地防止和清除CIH病毒。用户可以从KILL全国的服务点或INTERNET(www.kill.com.cn)上获得免费升级版本。
一名在我军队计算机安全主管部门长期从事计算机病毒和反病毒技术研究的专家,最近也就CIH病毒及当代计算机反病毒技术的发展,向本报记者详细谈了自己的看法。本栏以《一石激起千重浪》为题,向读者简要介绍这次谈话的要点。
一石激起千重浪
专家谈CIH病毒与当代反病毒技术
我们都知道,计算机病毒是一段依附在其它程序之上,能够自我复制并对计算机系统可能会产生破坏作用的计算机程序。病毒对计算机系统的破坏作用可能表现在多个方面,但在CIH病毒出现之前,我们绝少发现能够破坏计算机硬件的病毒,因此大家普遍认为:计算机病毒主要是破坏我们?BR>氖荩刮颐嵌嗄昊鄣男畔⒆试椿儆谝坏;谡庖淮橙鲜叮嗣翘岢觯鹤龊镁P缘氖荼阜莺腿砑すぷ鳎堑钟《酒苹档淖罨镜拇胧?BR>然而今天,CIH病毒对计算机系统硬件的破坏,却从根本上动摇了我们上述的传统观念。为说明问题起见,我们不妨先看看自称为"CIH病毒作者"的人怎么说(引自某BBS站点一篇文章,作者身份未经考证):
"……但有些事情要交代一下……什么人工智慧、防未知病毒入侵,全是唬烂……防毒公司的广告,根本就是骗人的,这次事件,就可以看得出来……硬碟狂奔,所有硬碟资料都不见……必须重新FDSIK……部分厂牌只需5V即可reflash的BIOS
EEPROM(如:SST),则会被清掉,造成无法开机,只有送去维修或是用IC烧录器重新把资料烧回去……想企图用软体重新烧录,将会发现reflash程式误判EEPROM型号,导致无法烧入……至于真的能洗掉BIOS吗!?其相容性(兼容性),我不很清楚……但我试过两种主板,技嘉以及微星…
…发作时,确实可以……那些以前抱着世界上根本没有BIOS病毒的人,现在大概不敢吭声……虽然这只病毒没有写病毒码在BIOS里面,而只是填入垃圾资料到BIOS,就足以证明部分BIOS可能会被病毒清掉其程式,甚至被病毒感染……这大概也是全世界第一只能破坏reflash
BIOS的病毒……"。
虽然"作者"文理欠通顺,但总算是把CIH病毒的来龙去脉都给交代了清楚,CIH病毒的狼子野心也在上文之中昭然若揭。可见,CIH矛头之所向,正是整个计算机系统,而非单纯的软件(数据)或硬件;CIH病毒作者想要挑战的,也正是我们所固守的传统观念--病毒不再是仅仅破坏我们的数据
。为全面分析CIH病毒(也是为了验证上文的正确性),我们专门组织了一次CIH病毒对系统的破坏性试验。试验结果表明,上文对CIH病毒发作现象的描述与我们试验过程中实际所经历的多起CIH病毒发作完全相符。由于兼容性等方面的原因,CIH病毒并没有破坏我们用于试验的所有计算机?BR>杂谀承├嘈偷幕鳎珻IH的破坏却是相当彻底--我们没有任何办法修好这些机器,除非将它们送回厂家,否则就形同报废。
CIH病毒挑战反病毒技术
从以上分析不难看出,CIH病毒是一种能够破坏数据和计算机硬件(BIOS)的恶性病毒。CIH病毒是从台湾传入大陆地区的,目前的主要传播途径是通过Internet和电子邮件。目前我们搜集到的CIH病毒共有五种,其中有两种每年4月26日发作,还有一种每个月的26日都会发作。
CIH病毒只感染Windows 95/98操作系统,它对DOS操作系统还没有什么影响,这可能是因为它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows
95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,使用传统反病毒技术很难发现这种病毒在系兑陨稀O匀唬胀ㄓ没а≡衿笠导督饩龇桨缚隙ㄊ遣幻髦堑模裁挥心歉霰匾N颐窃谘≡穹床《静肥保
Ω酶菔导适褂玫募扑慊低郴九渲煤陀τ昧煊虺龇ⅲ右陨衔甯霾范沃醒≡窬哂芯呒研阅?价格比的产品。
传统纯粹面向DOS环境的静态反病毒产品(第1产品段)价格最便宜,功能也最为单一。但这种产品是很适合于仅使用DOS操作系统、配置相对较低的计算机系统(如386、486等)。特别是这些计算机很有可能没有用到reflash BIOS,因此CIH病毒根本不会危及到这种机器的硬件系统。
面向Windows
95/98环境的静态反病毒产品(第2产品段)功能也较为单一,但它们能够对整修硬盘进行扫描,检测并清除CIH病毒。但这类产品同样也不太适应当今的计算机系统,因为如今计算机的硬盘动辄好几个G,其上存储的文件数以千万计,使用静态反病毒产品完成一次全面病毒检测往往要花去好
几分钟(还不一定确实能够发现病毒)。如果用户需要频繁地与他人交换数据,使用这种反病毒技术全面防范CIH病毒肯定是苦不堪言的。
因此,对于目前绝大多数Windows 95/98的用户,需要使用第3产品段以上的反病毒产品。前面已经说过,企业级解决方案价格高昂,而且是面向复杂、异构的企业型网络(其中包括各种平台,如Windows
NT、NetWare,甚至是大型机系统),这对于企业网络用户防治计算机病毒是很必要的,但并不适用于普通个人计算机用户。
那么用户只剩下了两种选择:位于第3、4产品段的反病毒产品。近一段时间对CIH病毒的研究表明,唯有使用面向Windows
98/98的实时、动态反病毒技术,才有可能彻底根治CIH病毒,这也是应对前文所述CIH病毒第一、二挑战的基本方案。这两个产品段最主要的区别在于能否对压缩文件进行实时反病毒检测,随着Internet在我国的广泛普及,这种压缩文件检测技术已经显得十分重要,压缩文件检测技术是应?BR>郧拔乃鯟IH病毒第三挑战最保险、最有效的方法。所以,对于个人用户来说,如果连入了Internet,最好还是使用位于第4产品段的产品。
虽然我们对当前反病毒产品划分出了代表不同技术水平的五个产品段,但相比国外技术,我国目前反病毒产品主要还是集中在第1、2段之间,唯有最新出版的KILL 98,达到了第4、5段的技术水准。
以上,我们针对CIH病毒的危害,大致分析了用户选择反病毒产品的基本出发点,篇幅所限使我们无法对其加以更加深入的讨论。最后需要指出的是:不但是CIH病毒,所有专门感染Windows
95/98的病毒的防治都可遵循以上产品分段;同时,单机反病毒产品无法在防治网络病毒已经成为尽人皆知的事实,所以我们的机关、团体和企业网络,还是应该尽快选取企业级反病毒解决方案。
--
※ 来源:.广州网易 BBS bbs.nease.net.[FROM: ppp143.fhnet.cn]
|
|