哪一个是最强大的计算机病毒？有啥后果？

CIH病毒简介

CIH病毒主要通过Internet和电子邮件传播。当然，随着时间的流逝，它也会通过软盘或CD-ROM通信传播。据报道，权威病毒收集网络目前报告有五种CIH病毒，包括“原型”和“变体”。主要区别在于“原型”将增加受感染文件的数量，但不会造成破坏。 “变种”不仅增加了受感染文件的数量，而且还具有破坏性。尤其是每个月的26日都会发生“变体”。

CIH病毒仅感染Windows95 / 98操作系统。从当前的分析来看，它似乎对DOS操作系统没有任何影响。因此，对于仅使用DOS的用户，此病毒似乎没有任何作用。但是，如果您是Windows95 / 98用户，则必须特别注意。正是由于CIH独特地使用VxD技术，该病毒在Windows环境中传播的实时性和隐蔽性特别强。使用通用的防病毒软件很难在系统中找到该病毒的传播。

CIH病毒“变体”发生在每年的4月26日（一个变体是每月的26日）。在攻击过程中，硬盘不断旋转，所有数据都被破坏，硬盘分区信息将丢失。 CIH病毒爆发后，只能重新分区硬盘驱动器。此。通常，推荐的方法是先运行“ WordPad”软件，然后使用上述方法在“ WordPad”软件的可执行程序Notepade.exe中搜索签名字符串，以确定它是否感染了CIH。病毒。

另一种判断方法是在WindowsPE文件中搜索IMAGE_NT_SIGNATURE字段（即0x00004550），该字段表示已识别的字符“ PE00”，然后检查前一个字节是否为0x00，如果是，则表示程序为未感染，如果它是另一个值，则表示它很可能已经感染了CIH病毒。

最后一种判断方法是搜索IMAGE_NT_SIGNATURE字段“ PE00”，然后搜索偏移量0x28处的值以查看该值是否为558D4424F833DB64。如果是，则表明该程序已被感染。

我还听说，在玩NEEDFORSPEEDII游戏时，在读取游戏光盘时，感染了CIH病毒的任何计算机都将崩溃。我还没试过我不知道这是否真的存在。

适合高级用户的方法是直接搜索功能部件代码并对其进行修改。该方法是首先处理两个跳转点，即搜索：5ECC568BF0特征字符串和5ECCFB33DB特征字符串，并将这两个特征组合在一起，将字符串中的CC更改为90（nop），然后搜索CD220和CD2067004000特征字符串，以及将它们全部修改为90（以上值均为十六进制）。

另一种方法是检索原始PE程序的正确入口点并填写当前入口点（此处以受感染的CALC.EXE程序为例）。具体方法是：首先搜索IMAGE_NT_SIGNATURE字段-“ PE00”，然后从0x28处的该点开始偏移4字节值，例如“ A0020000”（0x000002A0)，然后偏移所指向的位置（即0x02A0）]查找数据“ 558D4424F833DB64”并将0X005E添加到0X02A0以获取0x02FE偏移量。此偏移量的数据例如是“ CB214000”（OXOO4021CB）。从该值中减去OX40000，并将结果-“ CB210000” （OXOO0021CB）值返回到距“ PE00”点（此处是WindowsPE格式程序的入口点，称为ProgramEntryPoint）的位置偏移量0x28。最后，将所有“ 558D4424F833DB64”填充为“ 00”，这样我们很容易判断该病毒是否已被杀死。

根据上述手动防病毒方法，它通常适用于某些单独的软件（例如，某些软件包含在软盘中，但是它感染了CIH并且无法读取，但是可以使用它现在，哈哈！）。使用上述方法的缺点是病毒体将保留在可执行文件中，尽管它无法正常工作，但想到它可能会有些不舒服（还记得“ WPS2000测试版残留CIH病毒体”事件吗？ ）。因此，如果要彻底查杀，建议使用某些杀毒软件或CIH专用杀毒工具（对于以上操作和用于杀毒的杀毒软件，必须使用干净的系统磁盘来启动计算机）。

受访者：扁边Bun头小菜2级9-2419：58

--------------------------------------------------- ---------------------------------

CIH病毒是由台湾大学生陈应豪（Chen Yinghao）编写的，并从台湾传播到大陆。 CIH的载体是一个称为“ ICQ Chinese Ch_at Module”的工具，它使用流行的盗版CD游戏，例如“ Tomb Raiders”或Windows95 / 98作为媒介，并在各种Internet站点上进行复制以使其迅速传播。目前，主要的传播渠道主要是通过互联网和电子邮件。当然，随着时间的流逝，其传输的主要渠道仍将是通过软盘或CD-ROM。 CIH病毒是一种文件类型的病毒，别名是Win95.CIH，Spacefiller，Win32.CIH，PE_CIH，它主要感染Windows95 / 98下的可执行文件（PE格式，PortableExecutableFormat）。当前版本不会感染DOS和WIN3.X（NE格式，WindowsandOS / 2Windows3.1executionFileFormat）下的可执行文件，并且在WinNT中无效。开发过程经历了v1.0，v1.1、v1.2、v1.3、v1.4的5个版本，最受欢迎的是v1.在此期间，根据一些报告，同时生产了不少于十个变体。但是，似乎没有流行的迹象。我实际上还没有接触过这些所谓的CIH变异病毒。

随着时间的推移，各种版本的CIH病毒都在不断得到改进。基本的开发过程是：

CIH病毒v1.0版本：

V1.0的原始版本仅为656字节，并且其原型相对简单。与普通类型的病毒相比，它的结构没有太大的改进。它最大的“卖点”是当时是少数几个。可以感染Microsoft Windows PE可执行文件的众多病毒之一。被它感染的程序文件的长度增加。此版本的CIH无损。

CIH病毒v1.1版本：

当它发展到v1.1版本时，病毒的长度为796个字节。此版本的CIH病毒具有判断WinNT软件的功能。一旦判断用户正在运行WinNT，它将不会生效。隐藏以避免生成错误消息，同时使用更多优化的代码来减少其长度。此版本的CIH的另一个优点是，它可以利用WINPE类可执行文件中的“间隙”，根据需要将其自身拆分为多个部分，然后将其插入PE类可执行文件中。这样做的好处是，在感染大多数WINPE文件时，文件长度不会增加。

CIH病毒v1.2版本：

在将其开发到v1.2版本时，除了纠正了v1.1版本的某些缺陷外，它还添加了破坏用户硬盘和用户主机BIOS的代码。这一改进使它进入了恶性病毒的行列，此版本的CIH病毒粒子长1003字节。

CIH病毒v1.3版本：

原始v1.2版本的CIH病毒的最大缺陷是，当它感染ZIP自解压文件（ZIPself-extractorsfile）时，它将导致ZIP存档在自解压时出现：

WinZipSelf-Extractorheader损坏。

可能的原因：磁盘或文件传输错误。

错误警告消息。 CIH病毒的v1.3版本似乎急于解决，其改进点就是针对上述缺陷。它的改进方法是：一旦确定打开的文件是类似WinZip的自解压程序，就不会被感染。同时，此版本的CIH病毒修改了攻击时间。 CIH病毒版本v1.3的长度为1010字节。

CIH病毒v1.4版本：

此版本的CIH病毒改进了先前版本中的缺陷。它不会感染ZIP自解压软件包文件。同时，修改病毒中的起始日期和版权信息（版本信息更改为：“ CIHv1.4TATUNG”，先前版本中的相关信息为“ CIHv1.xTTIT”），这个版本的长度是1019个字节。

从以上描述中，我们可以看到，实际上，在CIH的相关版本中，该病毒只有三个版本：v1.2、v1.3、v1.4它实际上是破坏性的。 CIH病毒的v1.2版本的起始日期是每年的4月26日，这是目前最受欢迎的病毒版本，而v1.3版本的起始日期是每年的6月。在26日，CIHv1.4的发生日期被修改为每月26日。这种变化大大缩短了发病期，并增加了其破坏性。

CIH病毒爆发的破坏性：

CIH是一种恶性病毒。当攻击条件成熟时，它将破坏硬盘数据并可能破坏BIOS程序。其攻击特征是：

1、以2048个扇区为单位，并从硬盘的主引导区开始按顺序将垃圾数据写入硬盘，直到硬盘数据被完全破坏为止。在最坏的情况下，硬盘上的所有数据（包括所有逻辑磁盘数据）将被破坏。如果不备份重要信息，您只会哭泣！

2、某些主板上的FlashRom中的BIOS信息将被清除。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-342326-1.html