只需简述CIH病毒的工作原理

2024-11-02 22:23:02
推荐回答(4个)
回答(1):

CIH(英语又称为 Chernobyl 或 Spacefiller)是一种电脑病毒,其名称源自它的作者当时仍然是台湾大同工学院(现大同大学)学生的电脑技术鬼才陈盈豪的名字拼音缩写。它被认为是最有害的广泛传播的病毒之一,会破坏用户系统上的全部信息,在某些情况下,会重写系统的BIOS。因为CIH病毒的1.2和1.3版,发作日期为4月26日,正好是俄国核电厂灾害“切尔诺贝利核事故”的纪念日,故曾被认为病毒作者撰写动机和切尔诺贝利事件有关,因此CIH病毒也被称作切尔诺贝利(Chernobyl)病毒。

【历史】
1998年9月,雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月,用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日,公众开始关注CIH首次发作时,这些电脑已经运出一个月了。这是一宗大灾难,全球不计其数的电脑硬盘被垃圾数据覆盖,甚至破坏了BIOS,无法启动。至2000年4月26日,许多损坏发生在亚洲,但是病毒没有传播开来。2001年3月,Anjulie蠕虫病毒被发现,它将CIH v1.2植入感染的系统。现在,CIH不再像他刚出现时分布那么广泛传播,因为人们以对它的威胁有了认知,且它只能运行于旧的Windows 9X操作系统。

这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程,从而使该病毒在互联网上传播开来。
一个修改版本是CIH.1106,发现于2002年12月,但是没有严重的破坏性。

只有CIH感染大量发信的计算机蠕虫(如求职信病毒)所使用的程序,或有Anjulie蠕虫病毒参与时,CIH才会被看成是一个威胁。但是CIH病毒只在windows 95,98和windows Me系统上发作,影响有限。

【病毒特征】
CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT、Windows 2000或者Windows XP上传播。

由于CIH会感染可执行文件,它会占据一般的可执行文件空余的位置。因此,CIH又有一个绰号叫“空间填充者(Spacefiller)”。这个病毒大小约1KB,但是文件不会增大。它使用从处理器环3到0跳转的方法触发系统调用。

当他发作时,是非常危险的。首先病毒会在硬盘和软盘中从第0扇区开始的第一个兆字节(1024KB)写入零数据。这样经常删除了分区表的内容,将有可能死机。

第二个,他也会尝试将垃圾信息写入Flash BIOS。这一过程会在基于Intel 430TX芯片组的机器上起作用,如果保护跳线是关闭的。上述芯片组将允许电脑程序刷写Flash BIOS。

对于第一个,如果数据很重要,可以将硬盘交给一些专业恢复数据的公司,这将有可能使数据恢复;或者在某些情况下,可以使用Fix CIH,一个由史蒂夫·吉布森编写的免费软件。否则,必须运行FDISK重新划分分区。不过,当第二种情况发生时,电脑将无法启动。需要请技术人员重写或更换Flash BIOS芯片。

【版本】
CIH v1.2(CIH.1103)
这是最常见的版本,他的发作时间为4月26日。它包含这个字符串:CIH v1.2 TTIT。

CIH v1.3(CIH.1010A和CIH1010.B)
这个版本的CIH也是在4月26日发作。它包含这个字符串:CIH v1.3 TTIT。

CIH v1.4(CIH.1019)
它在每月26日发作。他仍然存在,虽然他并不常见。它包含这个字符串:CIH v1.4 TATUNG。

CIH.1106
他还是个变化很小的,最近的一个变种,出现在2002年12月

回答(2):

CIH病毒简介
CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威病毒搜集网目前报道的CIH病毒, “原体”加“变种”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发作。

CIH病毒只感染Windows 95/98操作系统,从目前分析来看,它对DOS操作系统似乎还没有什么影响,所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒“变种”在每年4月26日(有一种变种是每月26日)都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失。CIH病毒发作后,就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压,改写只读存储器的BIOS,被破坏的主板只能送回原厂修理,重新烧入BIOS。

CIH病毒破坏哪一类BIOS?
当然,CIH对BIOS的破坏,也并非想像中的那么可怕。

现在PC机基本上使用两种只读存储器存放BIOS数据,一种是使用传统的ROM或EPROM,另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入(又称“固化”)到这些存储器中,然后将它们安装在PC机里。当我们打开计算机电源时,BIOS中程序和数据首先被执行、加载,使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序,然后硬盘再开始引导操作系统。

固化在ROM或EPROM中的数据,只有施加以特殊的电压或使用紫外线才有可能被清除,这就是为什么我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据,仅靠计算系统内部的电压是不够的。所以,仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH病毒会破坏BIOS。

但最新出产的计算机,特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下,这种存储器中的数据并不会被用户轻易改写,但只要施加特殊的逻辑和电压,就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写,这正是我们通过软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。

改写E2PROM内的数据需要一定的逻辑条件,不同PC机系统对这种条件的要求可能并不相同,所以CIH并不会破坏所有使用E2PROM存储BIOS的主板,目前报道的只有技嘉和微星等几种5V主板,这并不是说这些主板的质量不好,只不过其E2PROM逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。

所以,要判断CIH对您的主板究竟有没有危害,首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有一部分使用了E2PROM。

需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的

回答(3):

他会通过特殊手段,以操作系统名义获取CPU主控权,也就是完全控制了CPU发出的指令,然后会进行一个拟刷bios的过程,最后清除主板的控制系统(CMOS芯片上的BIOS),导致开机无法进行自检、引导等操作。
解决方法:重新将bios烧入ROM中,然后通过最小系统法判断有没有其他硬件损坏,最后重装系统并重建MBR

回答(4):