CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自臺灣,某公司手機研發中心主任工程師陳某某在其唸書期間製作。最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播,隨後進一步透過Internet傳播到全世界各個角落。
CIH病毒屬檔案型病毒,殺傷力極強,其別名有
Win95.CIH
Win32.CIH
CIH屬惡性病毒,當其發作條件成熟時,其將破壞硬碟資料,同時有可能破壞BIOS程式,其發作特徵 CIH病毒是:
(1)以2048個扇區為單位,從硬碟主引導區開始依次往硬碟中寫入垃圾資料,直到硬碟資料被全部破壞為止。最壞的情況下硬碟所有資料(含全部邏輯盤資料)均被破壞。
(2)某些主機板上的Flash Rom中的BIOS資訊將被清除。
(3)v1.4版本每月26號發作,v1.3版本每年6月26號發作,以下版本4月26號發作。
新病毒:
(1)與傳統的CIH病毒不同,新CIH病毒(
WIN32.Yami
(2)新CIH病毒會駐留在系統核心,它首先判斷開啟的檔案是否為Windows 可執行檔案(PE檔案),如果不是則不進行感染操作,如果是則將病毒插入到PE檔案各節的空隙中(與傳統的CIH一樣),因此感染後文件的長度不會增加。由於病毒自身的原因,感染時有些檔案會被破壞,導致不能正常執行。新CIH病毒發作時企圖用“YM Kill You”字串資訊覆蓋系統硬碟,這樣會導致資料恢復相當困難。它同時透過向主機板BIOS中寫入垃圾資料來對硬體系統進行永久性破壞。
(3)新CIH病毒行為分析:
①病毒搜尋kernel32的起始偏移地址;
②取得病毒所用的API地址;
CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自臺灣,某公司手機研發中心主任工程師陳某某在其唸書期間製作。最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播,隨後進一步透過Internet傳播到全世界各個角落。
CIH病毒屬檔案型病毒,殺傷力極強,其別名有
Win95.CIH
、Spacefiller、Win32.CIH
、PE_CIH,CIH病毒主要感染Windows95/98下的可執行檔案(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可執行檔案,並且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本。CIH屬惡性病毒,當其發作條件成熟時,其將破壞硬碟資料,同時有可能破壞BIOS程式,其發作特徵 CIH病毒是:
(1)以2048個扇區為單位,從硬碟主引導區開始依次往硬碟中寫入垃圾資料,直到硬碟資料被全部破壞為止。最壞的情況下硬碟所有資料(含全部邏輯盤資料)均被破壞。
(2)某些主機板上的Flash Rom中的BIOS資訊將被清除。
(3)v1.4版本每月26號發作,v1.3版本每年6月26號發作,以下版本4月26號發作。
新病毒:
(1)與傳統的CIH病毒不同,新CIH病毒(
WIN32.Yami
)可以在Windows 2000/XP下執行,因此新CIH病毒的破壞範圍比傳統CIH病毒大得多。2003年5月17日,瑞星全球反病毒監測網路率先截獲該惡性病毒,由於該病毒的破壞能力與當年臭名昭著的CIH病毒幾乎完全一樣,因此瑞星將該病毒命名為新CIH病毒。(2)新CIH病毒會駐留在系統核心,它首先判斷開啟的檔案是否為Windows 可執行檔案(PE檔案),如果不是則不進行感染操作,如果是則將病毒插入到PE檔案各節的空隙中(與傳統的CIH一樣),因此感染後文件的長度不會增加。由於病毒自身的原因,感染時有些檔案會被破壞,導致不能正常執行。新CIH病毒發作時企圖用“YM Kill You”字串資訊覆蓋系統硬碟,這樣會導致資料恢復相當困難。它同時透過向主機板BIOS中寫入垃圾資料來對硬體系統進行永久性破壞。
(3)新CIH病毒行為分析:
①病毒搜尋kernel32的起始偏移地址;
②取得病毒所用的API地址;