CIH病毒

✍ dations ◷ 2025-08-03 18:31:14 #计算机病毒

CIH(英语又称为Chernobyl或Spacefiller)是一种电脑病毒,其名称源自它的作者,当时仍然是台湾大同工学院(现大同大学)学生陈盈豪的名字拼音或注音(Chen Ing-hau)缩写。它被认为是最有害的广泛传播的病毒之一,会破坏用户系统上的全部信息,在某些情况下,会重写系统的BIOS。因为CIH病毒的1.2和1.3版发作日期为4月26日(第一版病毒创造出来的时间),正好是前苏联(位于今日乌克兰)核电厂灾害“切尔诺贝利核事故”的纪念日,故曾被认为病毒作者撰写动机和切尔诺贝利事件有关,因此CIH病毒也被称作切尔诺贝利(Chernobyl)病毒。

1998年9月,山叶公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月,用户传播的Activision公司游戏SiN的一个演示版本因为在某一用户的主机上接触被感染档而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日,公众开始关注CIH首次发作时,这些电脑已经运行一个月了。这是一宗大灾难,全球不计其数的电脑硬盘被垃圾数据覆盖,甚至破坏BIOS,无法引导。至2000年4月26日,亚洲报称发生多宗损坏,但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒,它将CIH v1.2植入感染的系统。

针对CIH病毒可能篡改主版BIOS的特性,2000年以后生产的很多主板配备了所谓的“反CIH系统”,其原理就是通过一个硬件跳线使得BIOS芯片(EEPROM或Flash)不能获得写入数据所需的电压,功能类似于磁带的“消磁防止挡舌”和软盘的“写保护”系统。该系统置于“打开”则有效的从硬件上阻止CIH对BIOS的篡改,反之需要升级主板固件时,则必须将该跳线置于“关闭”。

这个病毒在2001年死灰复燃。一个VBS文件里的ILOVEYOU蠕虫病毒变种包含了CIH病毒的挂钩例程,并用用珍妮佛罗培兹的裸照伪装,从而使该病毒在互联网上传播开来。

一个修改版本是CIH.1106,发现于2002年12月,但是没有严重的破坏性。

只有CIH感染大量发信的电脑蠕虫(如求职信病毒)所使用的程序,或有Anjulie蠕虫病毒参与时,CIH才会被看成是一个威胁。但是CIH病毒只在Windows 95,98和Windows Me系统上发作,影响有限。现在由于人们对它的威胁有了认知,且它只能运行于旧的Windows 9X操作系统,CIH不再像他刚出现时分布那么广泛传播。

CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT内核的操作系统上运行或传播。如Windows 2000、Windows XP、Windows 7等。

由于CIH会感染可执行文件,它会占据一般的可执行文件剩余的位置。因此,CIH又有一个绰号叫“空间填充者()”。这个病毒大小不到1KiB,但是文件不会增大。它使用从处理器Ring3到Ring0跳转的方法触发系统调用。

CIH会感染Windows的PE(Portable Executable)执行文件,并且把它不到1KiB(1024 bytes)的程序代码分割成几个部分,分别写入PE执行文件中各个段所尚未填满的地方。因此被感染的执行文件大小并不会增加。因为Windows 95、Windows 98、Windows ME等等这些非Windows NT的核心,存在有处理结构化异常处理(SEH, Structured Exception Handling)的问题,以及Windows 95/98/ME没有保护中断描述表(IDT, Interrupt Description Table)的机制(正确保护模式下的应用程序无权改动。Windows NT系列则有保护,因此病毒无法顺利运行),CPU会用最高的权限Ring 0直接去运行这个SEH所指向的程序代码。因此一开始病毒被运行后,他会置换掉原本程序或Windows默认的SEH地址,透过触发代码异常中断而让CPU切换回Ring 0模式去运行这部分CIH所设计的程序顺利获取Ring 0权限。由于CPU处在Ring 0模式下,CIH可以任意地访问Windows内核部分和系统API的挂钩,进而继续感染其他文件,或是发作时候对硬件做些直接I/O动作。

当它发作时,是非常危险的。首先病毒会在硬件和软件中从第0扇区开始写入零数据。这样经常删除了分区表的内容,将有可能死机。

第二个,它也会尝试将垃圾信息写入Flash BIOS。如果保护跳线是关闭的,这一过程会在基于Intel 430TX芯片组的机器上起作用,上述芯片组将允许电脑程序刷写Flash BIOS。

对于第一个,如果数据很重要,可以将硬盘交给一些专业恢复数据的公司,这将有可能使数据恢复;或者在某些情况下,可以使用Fix CIH,一个由史蒂夫·吉布森编写的免费软件。否则,必须运行FDISK重新划分分区。不过,当第二种情况发生时,电脑将无法启动。需要请技术人员重写或更换Flash BIOS芯片。

这是最常见的版本,他的发作时间为4月26日。它包含这个字符串:CIH v1.2 TTIT

这个版本的CIH也是在4月26日发作。它包含这个字符串:CIH v1.3 TTIT

它在每月26日发作。它仍然存在,虽然它并不常见。它包含这个字符串:CIH v1.4 TATUNG

它还是个变化很小的一个变种,出现在2002年12月。

相关

  • 清教徒革命英国内战(英语:English Civil War)是指1642年至1651年发生在英国议会派(“圆颅党”)与保皇派(“骑士党(英语:Cavalier)”)之间的一系列武装冲突及政治斗争。辉格派历史学家称之为清教
  • 渐br /新br /世渐新世(Oligocene)是地质时代中古近纪的最后一个主要分期,大约开始于3400万年前,终于2300万年前,介于始新世(Eocene)与新近纪的中新世(Miocene)之间。比起其他比较古老的地质时期,用岩
  • 四维时空在数学物理学中,闵可夫斯基空间(或称闵考斯基时空)是指由三维欧几里德空间与时间组成的四维流形,其中任意两个事件之间的时空间隔与所依照的惯性系无关。尽管赫尔曼·闵可夫斯基
  • 公子贞公子贞(?-前559年),芈姓,字子囊,是春秋时期楚国的令尹。楚庄王的儿子,楚恭王的兄弟。鄢陵之战以前,子囊不同意和晋国直接作战。前568年,他成为继承叔父子重、子辛的新一代令尹。当时,晋
  • BeetleCamBeetleCam是一种安置起来用以近距离拍摄野生动物的遥控相机,装有DSLR。 其发明人是威尔·布拉德·卢卡斯(Will Burrard-Lucas)和他的兄弟马特(Matt),首次亮相于2010年的“BeetleCa
  • 乌兰察布市乌兰察布市(蒙古语: ᠤᠯᠠᠭᠠᠨᠴᠠᠪᠬᠣᠲᠠ,鲍培转写:Ulaγančab qota,西里尔字母:Улаанцав хот)是中华人民共和国内蒙古自治区下辖的地级市,位于内蒙古中部。市境
  • 瓜拉登嘉楼瓜拉登嘉楼(马来语:Kuala Terengganu),原名瓜拉丁加奴,是马来西亚登嘉楼州的首府,也是州内最大城市。瓜拉登嘉楼于2008年1月1日升级为大城市。如今,东海岸大道第二阶段也已连接到此
  • 弗伦克尔缺陷弗伦克尔缺陷(英文 或 )是指晶体结构中由于原先占据一个格点的原子(或离子)离开格点位置,成为间隙原子(或离子),并在其原先占据的格点处留下一个空位(晶格空位),这样的晶格空位-间隙
  • 李兵 (手球运动员)李兵(1980年1月21日-),黑龙江省哈尔滨市人,中国女子手球运动员,现为中国国家女子手球队队员。1994年,16岁的李兵被北京军区手球队教练邵志雄选中,不到三年便成为了球队的主力球员,其
  • 白色上帝《白色上帝》(匈牙利语:Fehér isten)是一部穆德卢佐·凯内尔执导的2014年匈牙利电影。该片赢得第67届戛纳电影节一种关注单元最佳电影奖;片中的狗也获得棕榈狗奖。影片代表匈牙