C I H 病 毒

C I H 病毒介紹

C I H 病 毒 CIH病毒，別名Win95.CIH\Spacefiller\Win32.CIH\ PE_CIH等，屬檔型病毒，使用面向Windows的VxD技術編制，主要感染Windows  95/98下的可執行檔，並且在DOS、Windows3.2及Windows NT中無效。正是因為CIH病毒獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其即時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。     CIH病毒出現至今已有至少v1.0、v1.1、v1.2、v1.3、v1.4等5個版本。目前最流行的是v1.2版本。v1.O版本是最初的CIH版本，不具破壞性，感染Windows  PE可執行檔。v1.1版本能自動判斷運行系統，如是Windows NT，則自我隱藏，被感染的檔長度並不增加。v1.2版本增加了破壞用戶硬碟以及用戶主機BIOS程式的代碼，成為惡性病毒。感染ZIP自解壓包檔，導致ZIP壓縮包在解壓時出現錯誤警告資訊，發作日是每年4月26日。v1.3版本不感染 WINZIP類的自解壓程式，發作日改為每年6月26日。v1.4版本修改了發作日期及病毒的版權資訊，發作日為每月26日。

C I H 的破壞 CIH 病毒是一種運用最新技術，會 Format 硬碟的最新病毒，通常都利用網路族上網時，進行傳播感染 。目前最新的變種病毒為CIH 會在每月 26 日發病，並會展現最強大的破壞力-Format 硬碟.  CIH病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是佔用部份記憶體而已。但是有些 32-bit的程式被感染之後，運作會不正常，甚至會造成當機。但是，CIH病毒長駐在主記憶體之後，每次 執行時，會檢查電的日期是否為﹝4月26日﹞，如果是，它會透果你的電腦I/O部：CF8，CFD，CFE修改你 的電腦的某些設定，並且把你電腦所有磁區的資料都毀了，甚至連硬碟分割區及開機區的資料都不在了 ，並且讓電腦當機。當你重新開機，螢幕會出現"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"。若是用A槽開機再執行C:指令，則出現"Invalid drive specification"。即使曾經有備份開機 區資料，但是你磁碟中的資料已全毀，可不可以開機已經沒有意義了

CIH病毒的相關資料

判斷是否感染CIH病毒的三種方法 根據相關資料，有三種比較簡單的方法可以判斷是否已經感染上了CIH病毒：                                                                                             1、一般來講，CIH病毒只感染EXE可執行檔，我們可以用Ultra EditText Editor 軟體打開記事本或寫字板，或者其他常用EXE文件，然後按下“切換16進制模式按鈕（H）”，再查找“CI?Hv1．”，如果發現“CIH v1．2”，“CIH v1．3”或“CIH v1．4”的字串，則說明已經被感染上CIH病毒了。                                                                                             2、感染到CIH v1．2版，則所有WinZip自解壓檔均無法自動解開，同時會出現WinZip自解壓首部中斷。可能原因：磁片或檔傳輸錯誤。這個資訊。感染到CI?Hv1．3版則部分WinZip自解壓檔無法自動解開。 有的還會造成MAGICZIP不能安裝，如果遇到以上情況，有可能就是感染上CIH病毒了。                                                                                            3、CIH病毒會造成Win 95的死機。原因是病毒代碼要寫到檔的頭部。有時候被病毒傳染的檔不能被Win 95識別，認為是非法程式會造成Win 95的死機。當出現頻繁死機的情況時，有可能就會是有CIH病毒存在了。

C I H病毒的解決辦法

第一種方法：瑞星殺毒軟體     步驟一、將瑞星殺毒軟體A號盤插入A驅動器，啟動電腦；     步驟二、電腦啟動後直接進入瑞星殺毒軟體DOS版介面；     步驟三、選擇進入“實用工具”功能表；     步驟四、選擇“修復硬碟資料”選項；     步驟五、提示硬碟的分區情況時，如果分區情況與您的實際情況一致；選擇“Yes”     步驟六、提示是否修復C盤的引導區，選擇“YES”後，會自動進行修復     步驟七、修復完成後，提示重新啟動電腦。     步驟八、修復完成。

第二種方法：瑞星網站提供的修復工具          步驟一、訪問http://www.rising.com.cn/register/hard/hard.htm ；     步驟二、下載：ANTICIH.EXE 和 RAV.REC這兩個檔並拷到軟碟的同一路徑下；     步驟三、用無毒的系統軟碟啟動電腦；     步驟三、運行軟碟上的ANTICIH.EXE。該程式將對硬碟進行掃描，以獲得有關資料。     步驟四、掃描完成後，程式將給您如下提示： 　　　　    Recover partition table (Y/N)?     步驟五、確認是否要修復主引導記錄，要修復請按 “Y”. 否則按“N”，本程式將退出。     步驟六、如果您按按了“Y”，本程式將為您修復主引導記錄，程式進一步提示您：     Recover drive C:(Y/N)?     如果您要修復C盤，請按“Y”，否則按“N”，程式將退出。     如果您的C盤是FAT16，而且破壞比較嚴重，修復過程可能需要很長時間，請耐心等待。     步驟七、修復完成後，請重啟系統，如果系統不能重新啟動，請重新傳系統。     

第三種方法：瑞星技術支援部修復服務      攜帶硬碟（或筆記本電腦）到瑞星公司技術支援部修復。

C I H 病毒大事記（1998-2004年） 1998年6月2日：臺灣傳出首例CIH病毒報告； 1998年6月6日：發現CIH V1.2版本； 1998年6月12日：發現CIH V1.3版本； 1998年6月26日：CIH V1.3版本造成一定程度的破壞； 1998年6月30日：發現CIH V1.4版本； 1998年7月：在INTERNET 環境中發現一個基於WIN98系統的分佈感染實例； 1998年7月26日：CIH病毒開始在美國大面積傳播； 1998年8月：在Wing Commander 遊戲站點發現DEMO被感染； 1998年8月：兩家歐洲的PC遊戲雜誌光碟被發現感染CIH； 1998年8月26日：CIH 1.4 版本爆發, 首次在全球蔓延； 1998年8月31日：公安部發出緊急通知，新華社、中央台新聞聯播全文播發； 1998年9月：Yamaha為某個類型的CD-R驅動編寫的軟體被感染CIH； 1998年10月：一個在全球發行的遊戲SiN的DEMO版被發現感染CIH； 1999年3月：CIH 1.2 版本被發現在IBM 的Aptiva 機器中預裝； 1999年4月26：CIH 1.2 版本首次大範圍爆發 全球超過六千萬台電腦被不同程度破壞； 2000年4月26：CIH 1.2 版本第二次大範圍爆發，全球損失超過十億美元； 2001年4月26：CIH 第三次大範圍爆發。僅北京就有超過六千台電腦遭CIH破壞，瑞星修復硬碟數量當天接近400塊； 2002年4月26日：CIH病毒再次爆發，數千台電腦遭破壞，瑞星修復硬碟數量當天接近200塊； 2003年4月26日：仍然有100多個CIH病毒的受害者到瑞星公司求助，瑞星工程師幫他們挽回了寶貴的資料。

C H I相關報導 4月26日又是“黑色星期五” 當心CIH病毒發作 www.rising.com.cn  2002-4-23 16:51:00  信息源:天極chinabyte-新民晚報     三年多的資料，竟然在一瞬間就“灰飛煙滅”了，近日，華師大一位教授就這樣中了求職信”病毒的招；同時“中招”的還有一位作家，數十萬字的作品被病毒吞噬一空…… 　　 　　 在雙休日的電腦病毒防範諮詢活動日中，有關專家向記者列舉了病毒的一樁樁罪狀，並警告，4月26日又將是一個“黑色星期五”，CIH將“強力”爆發。據介紹，在剛剛過去 的4月16日，新的求職信病毒讓本市很多個人用戶和企業用戶損失慘重。而有關專家指出，更厲害的還在後面。 　　 　　 4月26日，只要一開機，病毒程式就會立即發作，破壞硬碟分區表，全面毀滅硬碟上的所有資料檔案。據上海市資訊化服務熱線有關人士介紹，對付此病毒的惟一有效方法就是在病毒發作之前查殺。