du用法:今天是病毒CIH爆发日 !!!!

让我告诉你吧:http://www.honor365.com/bbs/dispbbs.asp?boardid=13&id=377

据人民日报报道，1999年4月26日，CIH大爆发，全球超过6000万台电脑被破坏，2000年CIH再度爆发，全球损失超过10亿美元，2001年仅北京就有超过6000台电脑遭破坏；去年CIH病毒使数千台电脑遭破坏。

眼看有一个4月26日的到来，金山毒霸提醒大家：要提高警惕！CIH目前共有5个版本，发作时会烧毁计算机芯片，使系统瞬间蓝屏、机器无法启动、硬盘数据丢失，只能求救于专业人员。让我们来仔细的看看吧……
CIH病毒到底是什么病毒？

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种， 不过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。

CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：

CIH病毒v1.0版本：

最初的 V1.0版本仅仅只有 656字节， 其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本：

当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”， 将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本：

当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时， 将导致此ZIP压缩包在自解压时出现：

WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.

的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是： 一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本：

此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

CIH病毒发作时所产生的破坏性：

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。 最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息将被清除。

CIH病毒简介

--------------------------------------------------------------------------------

『金山毒霸整理』 2001年10月25日 13:29:50

类型：驻留型计算机病毒

特征： 该计算机病毒属于W32家族，感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性，可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX)，其后果是使用户的计算机无法启动，唯一的解决方法是替换系统原有的芯片（chip），该计算机病毒于4月26日发作，它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。

传播途径： CIH可利用所有可能的途径进行传播：软盘、CD-ROM、Internet、FTP下载、电子邮件等。只有当执行受感染的文件时计算机病毒才会发作，否则计算机病毒将永远处于潜伏状态。 症状： 计算机病毒可能隐藏在任何以EXE为扩展名的可执行文件中，但是，只有执行这些文件，计算机病毒才会发作。一旦计算机病毒被激活（执行了带毒文件），计算机病毒就是进行破坏活动，有些是可见的，而另外一些则可能不被注意。

以下就是计算机病毒可能产生的影响：

1.它会驻留内存，这意味着Windows 95/98系统调用任何（打开、关闭、重命名、复制或运行）以EXE为扩展名的文件时都会感染计算机病毒。

2.覆盖和重写BIOS信息使之无法工作。

3.破坏硬盘中的所有信息（格式化硬盘） 遭到计算机病毒破坏的计算机启动时有如下提示："DISK BOOT FAILURE， INSERT SYSTEM DISK AND PRESS ENTER"。而且，如果用户从软盘引导并试图访问硬盘，就会出现如下信息"INVALID DRIVE SPECIFICATION"。 该计算机病毒在其代码中包含以下字符串"CIH v1.2 TT IT"。

该计算机病毒的第一个变种称为CIH v1.3或CIH.1010，这个变种会在6月26日发作，它在其代码中包含以下字符串："CIH v1.3 TT IT"。 第二个变种称为 CIH v1.4或CIH.1019，它会在每个月的26日发作，具有极大的破坏性。它将删除Flash-BIOS 中的所有信息，因此会使计算机连系统盘都找不到，因为BIOS中已经没有执行该功能的程序。

但是，即使启动了计算机，硬盘也找不到，因为硬盘信息也已丢失CHI.1019 破坏硬盘信息的方式是重写其中的内容。这个变种在其代码中包含以下字符串："CIH v1.4 TATUNG"。

感染方式： CIH将自己的代码放在硬盘受感染文件的可用扇区内，因此这些文件的长度不会增加，达到了隐藏的目的。事实上，计算机病毒感染以EXE为扩展名的Windows可执行文件的原因是这些文件内有大量的可用扇区来隐藏计算机病毒代码。CIH只影响32位文件，因此只限于Windows 95/98系统。 当CIH计算机病毒进入内存后，它会截取Installable File System (IFS)以便感染所有扩展名为EXE的可执行文件。

备注： CIH首先在台湾被发现，根据台北官方的报告，计算机病毒是由24岁的陈盈豪（Chen Ing-Halu）编制的，由于其名字第一个字母分别为C、I、H，所以这可能是计算机病毒名称的由来。

http://db.kingsoft.com/download/3/32.shtml