CIH病毒是一种什么病毒?如何预防CIH病毒?CIH病毒的新病毒

AquArius 17 0

CIH病毒是一种什么病毒?如何预防CIH病毒?

CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前更流行的是v1.2版本,在此期间,据某些报导,同时产生了不下十个的变种,不过好象没有流行起来的迹象,本人并未实际接触到这些所谓的CIH变种病毒。

  CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:

  CIH病毒v1.0版本:

  最初的 V1.0版本仅仅只有 656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其更大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。

  CIH病毒v1.1版本:

  当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需要分裂 成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。

  CIH病毒v1.2版本:

  当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。

  CIH病毒v1.3版本:

  原先v1.2版本的CIH病毒更大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP压缩包在自解压时出现如下的错误警告信息:

  WinZip Self-Extractor header corrupt.

  Possible cause: disk or file transfer error.

  v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进 *** 是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。俗话说,未雨绸缪,虽然有些朋友会说CIH病毒有什么可怕的,我只要在4月26日不开机总行了吧,但CIH病毒还有两种变种将在6月26日、每月的26日发作,另外有一些单位的计算机是要求全天候开机的。因此,还是要“预”字当头,做好各种准备工作:
  要具备正确的防病毒意识。计算机病毒是客观存在的,不要以为你的机器上暂时没有出现病毒或病毒的破坏不大而对它产生轻视心理,俗话说得好“不怕一万,就怕万一”,我们一定要具备正确的防病毒意识,对一些危险的病毒发作日更要提前做好预防工作。
  要安装高效的实时防病毒软件。静态查杀CIH病毒只是一种被动的方式,为保险起见,更好能在机器内安装一种能实时防杀病毒的软件,也即超到“防火墙”的作用,这方面笔者推荐瑞星99世纪版或KILL98两种防病毒软件,它们对CIH病毒都能很好的进行实时查杀,在线升级也比较方便及时。
  要加强数据的备份意识。对于重要的系统信息、重要的用户数据、重要的系统参数等都要经常进行备份,而且要准备好绝对无毒的系统软盘,这样一旦被CIH病毒感染,就能够利用系统盘对硬盘进行快速恢复。
  要坚持使用正版软件。CIH病毒被广泛流传的一个很重要原因是很多盗版光盘中都带有这个“潘多拉魔盒”,希望广大朋友不要因贪小利而失大局,要坚持使用正版软件,尤其是在 *** 世界中更要加强警惕性,用好实时防病毒软件的防治功能,这是防治CIH病毒的关键。

  总的来说,CIH病毒的破坏性是非常之大的,如果仅靠我们个人的力量,是远远不够的,因此,我们要注意关注防病毒软件公司的有关软件升级公告和病毒资料,及时将手中所拥有的防病毒软件进行升级和更新,毕竟道高一尺,魔高一丈嘛。对一般用户而言,在计算机出现被CIH病毒感染的任何迹象后,更好及时通知电脑公司,在无绝对把握的情况下不要擅自进行有关修复的任何操作,否则会给恢复工作带来难度,甚至是重要数据彻底丢失的灾难性后果

CIH病毒的新病毒

与传统的CIH病毒不同,新CIH病毒(WIN32.Yami)可以在Windows 2000/XP下运行,因此新CIH病毒的破坏范围比传统CIH病毒大得多。2003年5月17日,瑞星全球反病毒监测 *** 率先截获该恶性病毒,由于该病毒的破坏能力与当年臭名昭著的CIH病毒几乎完全一样,因此瑞星将该病毒命名为新CIH病毒
新CIH病毒会驻留在系统内核,它首先判断打开的文件是否为Windows 可执行文件(PE文件),如果不是则不进行感染操作,如果是则将病毒插入到PE文件各节的空隙中(与传统的CIH一样),因此感染后文件的长度不会增加。由于病毒自身的原因,感染时有些文件会被破坏,导致不能正常运行。新CIH病毒发作时企图用“YM Kill You”字符串信息覆盖系统硬盘,这样会导致数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。
新CIH病毒行为分析:
1、病毒搜索kernel32的起始偏移地址
2、取得病毒所用的API地址
3、进入Ring0
4、通过直接IO的方式写BIOS和硬盘
值得庆幸的是,这个新CIH病毒发作条件较为特殊,不会定期发作,而且只会通过感染文件来传播,因此不太可能在短期内造成巨大的破坏。各反病毒软件公司以最快的速度研发出查杀此病毒的专杀工具,因此该病毒的大面积破坏在很大程度上被控制住了。CIH病毒是一种什么病毒?如何预防CIH病毒?CIH病毒的新病毒-第1张图片-技术汇

下面分享相关内容的知识扩展:

我想知道关于CIH病毒攻击方式.有谁知道?

我已经糟了2次了.我里面的重要资料全部不见了.连硬盘都用不起.不要复制.复制者不要来。
1998年7月26日,一个名叫CIH的计算机病毒首次露面美国,该病毒发作时直接往计算机主板BIOS芯片和硬盘写乱码,破坏力非常大,可造成主机无法启动,硬盘数据全部被清洗.CIH病毒是一种文件型病毒,是之一例感染Windows 95/98环境下PE格式EXE文件的病毒.不同与DOS型病毒,CIH病毒是建立在Windows 95/98平台.CIH有几个版本,其中流行最广的是CIHv1.2:4月26日发作,长度为1003个字节.
1,CIH病毒的运行机制
同传统的DOS型病毒相比,无论是内存的驻留方式上还是传染的方式上以及病毒攻击的对象上,CIH病毒都与众不同,新颖独到.它绕过了微软提供的应用程序界面,绕过了ActiveX,C++甚至C,使用汇编,利用VXD(虚拟设备驱动程序)接口编程,直接杀入Windows内核.
它没有改变宿主文件的大小,而是采用了一种新的文件感染机制即碎洞攻击(Fragmented Cavity Attack),将病毒化整为零,拆分成若干块,插入宿主文件中去.
最引人注目的是它利用目前许多BIOS芯片开放了可重写的特性,向计算机主板的BIOS端口写入乱码,开创了病毒直接进攻计算机主板芯片的先例.可以说CIH病毒提供了一种全新的病毒程序方式和病毒发展方向.
该病毒程序由三部分组成:病毒的驻留,病毒的感染,病毒的发作.
(1)病毒的驻留
当运行带有该病毒的.EXE时,由于该病毒修改了该文件程序的入口地址(Address of Entry Point),首先调入内存执行的是病毒的驻留程序,驻留程序长度为184个字节.
(2)病毒的感染
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows内核底层函数挂接钩子时指针指示的那段程序.其感染过程如下:
①文件的截获
②EXE文件的判断
③PE格式.EXE判别
(3)病毒的发作
①病毒发作条件判断.在CIHv1.4中,病毒的发作日期是4月26日,病毒从COMS的70,71端口取出系统当前日期,对其进行判断.
②病毒的破坏:首先,通过主板的BIOS端口地址0CFEH和0CFDH各BIOS引导块内各写入一个字节的乱码,造成主机无法启动.其次,覆盖硬盘.
2,CIH病毒的预防,检测与清除
CIH并不像人们传说的那样可怕.很多国内外的专家都提出了有效的措施来对付它.
(1)病毒的预防
①采取防止一般病毒的措施;
②修改主机的日期,跳过26日;
③将主板的Flash Rom跳线设置为Disable,阻止病毒改写BIOS.
(2)病毒的检测与清除
由于这一病毒主要是通过Internet和电子邮件传播的,其实时性和动态性是防治这一病毒的难点所在.要全面防治CIH病毒需要能够检测压缩文件病毒,具备病毒实时治愈能力的反病毒产品.目前国内市场已有这种反病毒产品,如KILL98.KILL98防毒墙能够实时监控所有出入系统的文件,对其加以病毒侦测,分析,一旦发现病毒立即加以清除,但并不会影响到文件的正常操作.

如何在Win10系统上运行CIH病毒?

CIH这个病毒太老了,虽然它的破坏性很大,但是,也太著名了,现在的系统基本都带有防火墙,甚至有些厂家的主板芯片都可以防止CIH了,所以,现在要想在系统下运行CIH的话,还是非常困难的,首先,要将系统自带的和安装的杀毒软件还有防火墙关闭退出才行,其次,再看看主板是否也有防护功能,有也要关闭才行,否则就会被删除的。

我的电脑中了CIH病毒 改怎么办 ?? 具体 ***

使用主流杀毒软件进行全盘查杀。
关于系统的安全性,瑞星工程师给您如下建议:
1.更新系统补丁,避免病毒通过系统漏洞感染计算机;
2.设置强壮管理员登录密码(8位以上),且定期更换密码;
3.及时更新杀毒软件,并定期的进行全盘杀毒;
4.不要随意打开陌生的电子邮件和好友发来的陌生链接;
5.不要随意下载功能插件;
6.尽量到正规门户网站下载软件程序;
7.不要随意下载“破解版”、“汉化版”程序;
8.某些正常软件安装程序中可能也会捆绑恶意程序,安装时须谨慎;
9.接入移动存储设备时,不要双击打开,选择鼠标右键的打开方式。