浅谈计算机病毒——CIH病毒

浅谈计算机病毒浅谈计算机病毒CIH病毒组长：于泽群组员：李与墨 徐骋计算机病毒（计算机病毒（ComputerVirus）在）在中华人民共和国计算机中华人民共和国计算机信息系统安全保护条例信息系统安全保护条例中被明确定义为：中被明确定义为：“指编制或者在指编制或者在计算机程序中插入的破环计算机功能或者破环数据，影响计计算机程序中插入的破环计算机功能或者破环数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码算机使用并且能够自我复制的一组计算机指令或者程序代码”。也就是说，计算机病毒本质上就是一组计算机指令或者。也就是说，计算机病毒本质上就是一组计算机指令或者程序代码，它存在的目的就是要影响计算机的正常运作，甚程序代码，它存在的目的就是要影响计算机的正常运作，甚至破坏计算机的数据以及硬件设备。至破坏计算机的数据以及硬件设备。什么是计算机病毒什么是计算机病毒什么是什么是CIHCIH病毒病毒CIH病毒是一种既破坏软件又破坏硬件的恶性计算机病毒，它属病毒是一种既破坏软件又破坏硬件的恶性计算机病毒，它属于文件型病毒。于文件型病毒。CIH病毒发作时硬盘数据、硬盘主引导记录、系病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被垃圾数据所覆盖，造成硬盘数据特别统引导扇区、文件分配表被垃圾数据所覆盖，造成硬盘数据特别是是C盘数据丢失，并破坏部分类型的主板上的盘数据丢失，并破坏部分类型的主板上的FlashBIOS，导致计，导致计算机无法正常开机或使用。算机无法正常开机或使用。CIH（Chernobyl或或Spacefiller）是一种电脑病毒，其）是一种电脑病毒，其名称源自它的作者，当时仍然是台湾大名称源自它的作者，当时仍然是台湾大同工学院学生同工学院学生陈盈豪陈盈豪的名字拼音或注音的名字拼音或注音（ChenIng-hau）缩写。它被认为是最）缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用有害的广泛传播的病毒之一，会破坏用户系统上的全部信息，在某些情况下，户系统上的全部信息，在某些情况下，会重写系统的会重写系统的BIOS。因为。因为CIH病毒的病毒的1.2和和1.3版发作日期为版发作日期为4月月26日（第一版本日（第一版本病毒创造出来的时间），正好是前苏联病毒创造出来的时间），正好是前苏联（位于今日乌克兰）核电厂灾害（位于今日乌克兰）核电厂灾害“切尔切尔诺贝利核事故诺贝利核事故”的纪念日，故曾被认为的纪念日，故曾被认为病毒作者撰写动机和切尔诺贝利事件有病毒作者撰写动机和切尔诺贝利事件有关，因此关，因此CIH病毒也被称作切尔诺贝利病毒也被称作切尔诺贝利（Chernobyl）病毒。）病毒。这个病毒的死灰复燃是在这个病毒的死灰复燃是在2001年。一个用珍妮佛年。一个用珍妮佛洛佩兹的裸照伪装的洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒的挂钩例程，从而使该病毒在互联网上传播开来。病毒在互联网上传播开来。一个修改版本是一个修改版本是CIH.1106，发现于，发现于2002年年12月，但是没有严重的破坏性。月，但是没有严重的破坏性。只有只有CIH感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，蠕虫病毒参与时，CIH才会被看成是一个威胁。但是才会被看成是一个威胁。但是CIH病毒只在病毒只在windows95，98和和windowsMe系统上发作，影响有限。现在由于人们对它系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的的威胁有了认知，且它只能运行于旧的Windows9X操作系统，操作系统，CIH不再像他不再像他刚出现时那么破坏严重。刚出现时那么破坏严重。1998年年9月，雅马哈公司为感染了该病毒的月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更驱动提供一个固件更新。新。1998年年10月，用户传播的月，用户传播的Activision公司游戏公司游戏SiN的一个演示版因为在的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM于于1999年年3月间发售的已感染月间发售的已感染CIH病毒的一组病毒的一组Aptiva品牌个人电脑。品牌个人电脑。1999年年4月月26日，公众开始关注日，公众开始关注CIH电脑已经一个月了。这是一宗大灾难，电脑已经一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法启动。，无法启动。至至2000年年4月月26日，亚洲报称发生多宗案件，但病毒没有传播开来。日，亚洲报称发生多宗案件，但病毒没有传播开来。2001年年3月发现月发现Anjulie蠕虫病毒，它将蠕虫病毒，它将CIHv1.2植入感染的系统。植入感染的系统。CIHCIH病毒破坏原理病毒破坏原理【1】从硬盘主引导区开始依次往硬盘写入垃从硬盘主引导区开始依次往硬盘写入垃圾数据，直到硬盘数据全部破坏为止。圾数据，直到硬盘数据全部破坏为止。一般一般发作症状是硬盘转个不停，发作症状是硬盘转个不停，以以2048个扇区为个扇区为单位，从硬盘主引导区开始依次往硬盘中写单位，从硬盘主引导区开始依次往硬盘中写垃圾数据，直到硬盘数据（包括分区表）被垃圾数据，直到硬盘数据（包括分区表）被全部破坏为止，全部破坏为止，之后系统无法引导硬盘，硬之后系统无法引导硬盘，硬盘上的数据丢失，必须重新盘上的数据丢失，必须重新FDISK方有可能挽方有可能挽救硬盘救硬盘。【2】这种病毒对系统最大的杀手力在于这种病毒对系统最大的杀手力在于对系统主板对系统主板BIOS的破坏。当它发作时，的破坏。当它发作时，会将部分厂家的主板会将部分厂家的主板FlashRom中的中的 BIOS写入垃圾数据，造成开机后系统根本元写入垃圾数据，造成开机后系统根本元反应，屏幕漆黑，机器无法正常启动。反应，屏幕漆黑，机器无法正常启动。这时根本无法使用软件对这时根本无法使用软件对BIOS进行进行 重新重新写入，只能将写入，只能将PC送回主板制造厂家修理送回主板制造厂家修理或请专业人员通过特殊手段重新烧人或请专业人员通过特殊手段重新烧人BIOS。CIH病毒已具备了对硬件的相当破病毒已具备了对硬件的相当破坏能力，它可以彻底摧毁计算机。坏能力，它可以彻底摧毁计算机。CIH病毒发作现象图病毒发作现象图2.梅利莎（Melissa,1999年）1.CIH(1998年年)3.Iloveyou(2000年)4.红色代码(CodeRed，2001年)5.SQLSlammer(2003年)6.冲击波（Blaster，2003年)7.大无极.F（Sobig.F，2003年)8.贝革热（Bagle，2004年)9.MyDoom(2004年)10Sasser(2004年)迄今为止最阴险的病毒迄今为止最阴险的病毒【1】全国范围内因CIH病毒发作受到侵害的计算机总量为36万台，其中主板受损的比例为15。【2】2.全国范围内CIH病毒发作造成的直接经济损失为0.8亿元人民币，间接经济损失超过10亿元人民币。【3】1999年4月26日发作高峰的时候，全球超过六千万台电脑被不同程度破坏；第二年，CIH再度爆发，全球损失超过十亿美元。如何预防CIH病毒的入侵可在windows系统中安装查杀CIH病毒的全天候实施监视软件，并且定期运行杀毒软件，对系统程序和应用程序进行全面的扫描。光盘和软盘上的软件在安装或使用前一律用杀毒软件进行检查，要求所有的杀毒软件要具有查杀自解压或压缩包中CIH病毒的能力。CIH入侵后破坏硬盘该怎么办？就目前掌握的情况来看，除就目前掌握的情况来看，除C盘以外的其他逻盘以外的其他逻辑分区可以被完全修复，而能否修复辑分区可以被完全修复，而能否修复C盘，则得看盘，则得看实际破坏程度了。实际破坏程度了。CIH病毒破坏了主引导扇区和硬盘分区表，使病毒破坏了主引导扇区和硬盘分区表，使得硬盘上的数据无法访问。只要重建主引导扇区、得硬盘上的数据无法访问。只要重建主引导扇区、重新恢复分区表，就有恢复数据的可能。但是重新恢复分区表，就有恢复数据的可能。但是CIH病毒对病毒对C盘的破坏要比以往的引导型病毒严重，盘的破坏要比以往的引导型病毒严重，C盘的文件分配表基本不可能恢复。对于其它逻辑盘，盘的文件分配表基本不可能恢复。对于其它逻辑盘，可以用一些工具进行恢复。一些反病毒软件公司推可以用一些工具进行恢复。一些反病毒软件公司推出了修复工具，但也不是百分之百的有效。如果你出了修复工具，但也不是百分之百的有效。如果你的硬盘上有重要数据，最好不要轻易动手，而是应的硬盘上有重要数据，最好不要轻易动手，而是应该请专业人员修复。该请专业人员修复。BIOS被破坏了怎么办？如果如果BIOS芯片真的被病毒破坏了的话，最好的芯片真的被病毒破坏了的话，最好的方法就是找厂商更换。方法就是找厂商更换。当然，上述情况是最糟糕的时候。在当然，上述情况是最糟糕的时候。在BIOS受轻受轻微破坏时，我们还是可以自行修复的。如果你微破坏时，我们还是可以自行修复的。如果你手头有一些类似用于主板手头有一些类似用于主板BIOS升级的文件盘，升级的文件盘，同时你能借的到相同的同时你能借的到相同的BIOS芯片，也可以先将芯片，也可以先将借来的借来的BIOSROM芯片插在你的芯片插在你的BIOSROM插座插座上（记得先把带病毒的硬盘拔了），然后尝试上（记得先把带病毒的硬盘拔了），然后尝试使用干净使用干净DOS盘启动盘启动,启动完成后，就要开始尝启动完成后，就要开始尝试危险的热插拔工作，即：将借来的试危险的热插拔工作，即：将借来的BIOSROM拔掉，换上数据损坏的拔掉，换上数据损坏的FlashROM，然后启动，然后启动主板主板BIOS升级的软件进行写入工作。升级的软件进行写入工作。如今的如今的CIHCIH病毒病毒目前，目前，CIH病毒已经不像前几年那么可怕了，一方面是病毒已经不像前几年那么可怕了，一方面是许多人目前不再使用许多人目前不再使用Windows9x系统；另一方面，现在系统；另一方面，现在的杀毒软件足以能清除的杀毒软件足以能清除CIH病毒。病毒。