|
类型:驻留型计算机病毒
特征: 该计算机病毒属于W32家族,感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。
传播途径: CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Internet、FTP下载、电子邮件等。只有当执行受感染的文件时计算机病毒才会发作,否则计算机病毒将永远处于潜伏状态。 症状: 计算机病毒可能隐藏在任何以EXE为扩展名的可执行文件中,但是,只有执行这些文件,计算机病毒才会发作。一旦计算机病毒被激活(执行了带毒文件),计算机病毒就是进行破坏活动,有些是可见的,而另外一些则可能不被注意。
以下就是计算机病毒可能产生的影响:
1.它会驻留内存,这意味着Windows 95/98系统调用任何(打开、关闭、重命名、复制或运行)以EXE为扩
展名的文件时都会感染计算机病毒。
2.覆盖和重写BIOS信息使之无法工作。
3.破坏硬盘中的所有信息(格式化硬盘) 遭到计算机病毒破坏的计算机启动时有如下提示:"DISK BOOT
FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"。而且,如果用户从软盘引导并试图访问硬盘,就会出现如下信息"INVALID DRIVE SPECIFICATION"。 该计算机病毒在其代码中包含以下字符串"CIH v1.2 TT IT"。
该计算机病毒的第一个变种称为CIH v1.3或CIH.1010,这个变种会在6月26日发作,它在其代码中包含以下
字符串:"CIH v1.3 TT IT"。 第二个变种称为 CIH v1.4或CIH.1019,它会在每个月的26日发作,具有极大的
破坏性。它将删除Flash-BIOS 中的所有信息,因此会使计算机连系统盘都找不到,因为BIOS中已经没有执行该
功能的程序。
但是,即使启动了计算机,硬盘也找不到,因为硬盘信息也已丢失CHI.1019 破坏硬盘信息的方式是重写其中的内容。这个变种在其代码中包含以下字符串:"CIH v1.4 TATUNG"。
感染方式: CIH将自己的代码放在硬盘受感染文件的可用扇区内,因此这些文件的长度不会增加,达到了
隐藏的目的。事实上,计算机病毒感染以EXE为扩展名的Windows可执行文件的原因是这些文件内有大量的可用扇区来隐藏计算机病毒代码。CIH只影响32位文件,因此只限于Windows 95/98系统。 当CIH计算机病毒进入内存后,它会截取Installable File System (IFS)以便感染所有扩展名为EXE的可执行文件。 |
