CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看,这个病毒产自台湾,最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。
CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威病毒搜集网目前报道的CIH病毒,“原体”加“变种”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发作。
CIH病毒只感染Windows 95/98操作系统,从目前分析来看,它对DOS操作系统似乎还没有什么影响,所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。
CIH病毒“变种”在每年4月26日(有一种变种是每月26日)都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失。CIH病毒发作后,就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压,改写只读存储器的BIOS,被破坏的主板只能送回原厂修理,重新烧入BIOS。
系统中感染了CIH病毒时,由于病毒时刻在监视系统中的文件使用情况,造成系统效率降低,而且有些自解压文件在病毒感染后被破坏,清除病毒后也不能使用,尤其是病毒发作时造成的破坏,后果更为严重。目前,防止CIH病毒的传染和破坏主要有两种方法:一是实时监测,不让病毒进入系统,如KILL98就采用了这种方法,其优点是比较安全,但影响系统的速度,有可能误报,而且对使用染有病毒的文件不方便。二是定期对系统进行病毒检查,清除文件中的病毒,这种方法比较简单,系统效率影响不大,但安全性不高。
实际上,CIH病毒第一次进入机器内存时,系统中感染病毒的文件是很少的,只是由于未能及时发现,才使病毒得以传播和蔓延。许多杀毒软件在检查文件中的病毒特征时,由于病毒代码先于杀毒软件获得文件的操作权,从而将病毒代码写进文件中,这就造成了系统中几乎所有的32位可执行文件都感染了CIH病毒的现象。
文件中的CIH病毒的检测比较简单,只要从32位可执行文件的PE文件头的偏移28H处获得程序的入口地址,对入口程序段进行扫描即可。
根据CIH病毒在感染文件前对病毒特征的判别,我们可以人为地在PE格式的EXE文件头的前一个字节的位置处写上55H或一个非零值,以骗过病毒对文件是否染毒的判别。而大多数杀毒软件在杀毒后,保留了文件头中的病毒特征,相当于对这些文件进行了免疫。
由于病毒主要来源于因特网和光盘,光盘文件上的病毒无法清除,始终是系统的隐患,而使用第一种方法则有可能使用户从网上下载文件失败,造成不必要的损失。根据对病毒代码的分析,我们介绍一种方法,它既不影响系统效率,也能使用户放心地使用网上下载的文件和光盘上的文件。
本文提供的方法主要有下列两个步骤:
1、检测内存中的病毒。如果在内存中发现病毒,则清除之,释放其占用的内存,并提示用户对文件进行检测。
2、对CIH病毒进行免疫。设置两重防线,使CIH病毒代码不能再进入内存,从根本上杜绝CIH病毒的传播和破坏。
具体过程是:
通过调用VXD函数IFSMgr_InstallFileSystemApiHook,获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHook的入口地址,根据获得的地址,扫描相应的内存区,判断内存中是否有CIH病毒。
如果发现内存中有CIH病毒,调用VXD函数IFSMgr_RemoveFileSystemApiHook先撤消其设置的文件系统钩子函数,然后利用函数_PageFree将其占用的内存释放。
由于病毒代码在调试寄存器dr0中保存了一个指向系统中原有的文件系统挂钩函数的地址的指针,病毒代码通过该指针转到系统原来的文件钩子函数中,病毒在驻留内存之前,先要检查该寄存器的值是否为零,以判断病毒代码是否已在内存中。因此,我们可以将该寄存器的值设置为非零值,让病毒以为内存中已有病毒代码存在,从而不驻留内存,这是第一道防线。
考虑到寄存器dr0的值可能被其它程序修改,让病毒代码获得进入内存的机会,我们再设置第二道防线。在内存高端申请一页内存空间,驻留一段代码在这一内存空间中,修改系统中IFSMgr_InstallFileSystemA piHook函数的入口地址,使其指向我们自己设置的代码,该代码负责监视文件系统钩子函数的安装过程,如果是病毒代码要进入内存,则拒绝让其进入,并释放其申请的内存。
有了这两道防线,就能较好地防止CIH病毒进入内存,即便是运行染有病毒的程序,也不会对系统造成不利的影响。
首先用户应该确定自己计算机主板的BIOS是那种类型的,如果是不可升级型的,用户只需对改回去的CMOS的参数进行重新设置即可。如果用户的计算机BIOS是可升级型的。如果出现CIH病毒发作的症状,不要重新启动计算机从C盘引导系统,而应该及时进入CMOS设置程序,将系统引导盘设置为a盘然后A盘引导系统,之后用杀毒软件对系统软件造成破坏后该怎样办呢?首先使用杀毒软件对硬盘进行彻底杀毒,之后再对系统软件和应用软件进行重新安装。
可以在被CIH病毒破坏的基础上直接安装,这种方法较简单,但会造成硬盘空间的浪费,因为这将带来一些垃圾文件;另一种方法是将用户的重要数据进行备分,之后对硬盘进行格式化,重新安装系统程序和应用程序,这样能节省硬盘空间。
1999年4月26日,被称为“世纪风暴”的CIH电脑病毒凶猛地扑向全球未设防的计算机和网络系统,全世界至少有6000万台计算机受到它的侵害,大面积的网络系统处于瘫痪状态,用户的硬盘数据遭到严重破坏。回想当时的惨状,我们不由得会问:为什么当时面对宏病毒的肆虐,却防不胜防呢?
追根溯源,当时由于大众对计算机安全防范意识、计算机反病毒技术的认识比较淡薄,为病毒对电脑的侵袭提供了温床。另一方面,当时的厂商仍然停留在“见毒杀毒”的初级状态。当病毒出现,用户只能被动的在中毒之后,才会采取用杀毒盘来杀除文件中病毒的方法,完全出于被动的补救杀毒方式显然已经落伍。
缉毒技术为根
与之形成鲜明对比的是目前国内计算机反病毒厂商纷纷推出针对各种病毒的全面解决方案,不仅提高了我国的信息安全技术,同时也为用户的电脑提供了有预见性的、全方位、立体化、实时的安全保证。
反病毒厂商在近两年的研发较量中,不断推进反病毒技术的发展。基于Windows、Linux、Unix等平台的单机版杀毒软件和企业版杀毒软件层出不穷,而且在技术上不断出现新的突破。今年年初,伴随着中国加入世贸组织和国外安全厂商的介入,国内企业如瑞星、江民等老牌杀毒厂商,凭借研发技术的深入和突破,先后推出了针对目前计算机网络中“重灾区”的电子邮件防毒杀毒的新品,同时推出了崭新的杀毒新概念,比如瑞星公司推出的《瑞星杀毒软件2002增强版》中独具的“内存监控系统”,这是一项在国际上惟一一个能有效地对付内存型病毒的技术。
安全体系为本
高精尖的杀毒技术是国内反病毒厂商生存和竞争的资本,但仅仅依靠技术是不够的。全面的提升杀毒防毒意识,全方位立体的组建杀毒网络,提供实时的杀毒和修复的服务才是2002年杀毒厂商能够在竞争中脱颖而出的胜出要素。
现在当有破坏性极大的恶性病毒出现,通过病毒监测网络,可以及时截获病毒,并以最快的反应速度,做出解决方案,并通过巨大的网络体系对病毒进行预警工作。无论是著名的国际厂商,还是崛起的国内反病毒厂商在此方面都有所建树。及时准确地通报疫情,快速反应,提供有效的解决方案。这些都保障了有效的控制病毒的泛滥,最大限度地减少病毒带来的损失。
作为成熟的反病毒企业,建立全国范围内的计算机病毒预报网和全国反病毒服务网是不能忽视的重要工作。回顾1999年CIH病毒之所以能够大面积发作,其中一个原因也在于我们的反病毒服务网络还不是很健全。
我们从瑞星公司了解到,瑞星已经与新华社、全国晚报协会、北京电视台等八十余家媒体组建成了覆盖全国的计算机病毒预报网,广大计算机用户可以及时了解最新的病毒信息,并尽早采取防范措施,将中毒几率降低至最小值。同时瑞星还在全国范围内建立3000多家瑞星特约服务站,以组成全国反病毒服务网,用户不仅可以从网上不断升级软件,提升软件的防毒指数,而且也可以通过瑞星的服务体系享受到周到细致的防毒、杀毒、修复等服务。
服务网络为责
拥有了先进的反毒技术并组建了庞大密集的安全网络,对于用户而言还是无法切身地体会到反病毒厂商真正存在的价值。但当用户从杀毒软件的经销商那里获得了杀毒常识和相关的技术支持;当用户计算机出现硬盘数据丢失而有处可找;当用户通过阅读报纸获得最新病毒信息和防治措施;当用户习惯性地通过网络为杀毒软件升级的时候,反病毒企业的自身价值才真正在消费者心目中得到了体现。
通过了解国内反病毒厂商建立的全方位的信息安全网络体系,会发现当我们遭遇新病毒,尤其是极具破坏力的病毒的时候,不会再束手无措,也不会为电脑遭到损坏而痛心了。因为从病毒发作的第一刻起,就有反病毒专家在第一时间捕捉病毒,并在最短时间内将解决方法告知天下,极大的减少了病毒对与信息安全的威胁。
2002年的“4·26”即将到来,但此时的用户无需再为自己的电脑担忧,因为我们的身边已经有了一群优秀的反病毒专家,有了他们的帮助和努力,我们的计算机将离病毒越来越远。
1999年4月30日上午,在军方人员的护送下,正在台湾军中服役的CIH电脑病毒作者陈盈豪被带到了台北“刑事局”接受警方的侦讯。
让办案的警方人员大感意外的是,搞出震惊全球的电脑病毒的陈盈豪在记者们的闪光灯包围中差一点当场瘫倒在地。当陈盈豪踏入台北“刑事局”的大门后,面对早早就等在那里的数十名记者的闪光灯一时间情绪失控,只见他浑身发抖,面无血色,两腿发软,几乎无法自己走路!
颇有经验的办案人员没有采取单刀直入的惯用方式对陈盈豪进行问讯,而是先跟他谈他在大学里过去的女朋友、他的家人、大学生活以及与电脑有关的知识,这才让陈盈豪的情绪逐渐恢复了平静。
为了进一步调解陈盈豪的情绪,办案人员打开了侦讯室的电脑让他上网。非常巧的是,他一上网就发现他的母校—台湾大同工学院的一位学妹非常崇拜这位制造了震惊全球“电脑大屠杀”的老大哥,并且希望有机会约他吃饭。陈盈豪看了这封电子邮件后顿时精神焕发,脸上露出了笑容,很快就恢复了常态。这时的陈盈豪已经不害怕警方对他拍照,表示愿意配合警方的调查,跟几分钟前简直判若两人。
心情恢复平静的陈盈豪开始向警方侃侃而谈他制造病毒的“辉煌战果”。陈盈豪说,他从大学一年级开始就痴迷上了电脑,每天都要上网,下载最热门的软件、游戏,因此也经常遭遇电脑病毒。为了解决电脑屡屡“中毒”的烦恼,他看报纸,买了不少广告做得天花乱坠的防病毒软件,结果往往什么用也没有,于是觉得自己被欺骗了。而CIH病毒完全是他一人设计的,目的是想出一家公司在广告上吹嘘“百分之百”防毒软件的洋相。他一共设计了五个版本CIH病毒,其中V1.0、V1.1两个版本没有流出去,而这次危害世界各国的病毒是V1.2版。病毒发作的时间之所以定在4月26日,因为那是他的高中座号,也是他的绰号。
“电脑天才”:谈恋爱搞社交样样不行,玩电脑编程序绝不服输
如果说陈盈豪在台湾警察们的眼里只是“电脑鬼才”的话,那么他的母亲、同学、老师和左邻右舍倒觉得他是一个地道的“电脑天才”。
陈盈豪的母亲十分担心自己的儿子会被法院判重刑,再三强调她的儿子不是故意的,不然的话就不会把自己的姓名缩写当成病毒的名称。陈盈豪的母亲说,她的儿子是在上中学的时候就喜欢玩电脑的,经常到家境比较宽裕的同学家中或者学校玩电脑,上高中后专心研究电脑软件程序,有时候还会编一些游戏软件跟同学们一起玩。“一口流利的台语,夏天常是一件T恤、短裤,穿着凉鞋,一副没有睡醒的样子就来上课。”这是陈盈豪在大学同学眼中最典型的形象。
除了这身打扮有些“老土”不起眼外,陈盈豪只要一开口就是电脑,买的全是电脑方面的书。当别人自以为是电脑通的时候,他总会找机会在那人面前露一手,让对手羞得无地自容。
陈盈豪有台湾南部人典型的好脾气,在大同工学院学习时尽管不善交际,但人缘却不差,并且有不少好朋友。他的同学们一致认为,陈盈豪在上大学前就有相当的电脑基础,进了大学后,他的电脑知识更是突飞猛进。陈盈豪对电脑课非常感兴趣,大学一年级的“程序设计”的成绩非常拔尖,就连平时的谈话也多半在电脑里打转。同学们谈女生,谈电影新片时,陈盈豪就显得非常地无趣,偶然插一两句话也让同学们有一种“话接不下去”的感觉。
在老师们的眼里,陈盈豪在学校的表现并不十分突出,只是在电脑软件方面有更深的兴趣,也有小聪明,但人很老实。要不是这次捅了个天大漏子的话,他肯定算不上“校园风云人物”。大同工学院多年来的表现也十分平常名气不大不小。有的老师认为,经过这么一折腾,大同工学院的“知名度”顿时大增,这让学校觉得啼笑皆非。
在陈盈豪一家居住的高雄市三民区,左邻右舍不但对身边竟然出了个如此一号人物表示吃惊,似乎对陈盈豪和他的家人没有什么了解。邻居们说,只知道陈盈豪大概去年从大学毕业,在家待了一阵子,很少看到他。陈盈豪和妈妈还有两个妹妹住在一起,很少看见他的父亲,平常他们家和邻居也很少打招呼,更不知道他会玩电脑,而且还制造出让人惊慌的电脑病毒,而这一切现在已成为邻居们最新的话题。
“电脑疯子”:家有精神病史,“军情局”吓得退避三舍
陈盈豪在接受“刑事局”的侦讯后由于情绪还不稳定,因此当天被马上送回花莲营区,由军方把他送到花莲总医院住院观察。经过医生的初步诊断,陈盈豪有烦躁不安、忧郁的倾向。医生表示,陈盈豪主动说他觉得自己的情绪不稳定,而根据院方的资料显示,陈盈豪三月份还曾经看过精神科医生。此外,陈盈豪的家族竟然有精神病病史。
此外,台湾媒体还曝光一个惊人的秘密:陈盈豪在部队服役的时候曾经向军方自夸说,他可以设计出一种导致军用电脑瘫痪的程序。台湾“军情局”对此万分感兴趣,准备把他收归麾下,充当电子战的专家。然而,在他们调查了陈盈豪的家史后,他们发现陈的精神状态不稳定,并且有家族精神病史。因此,台“军情局”不但没有将他收编,还要求他立即退役!
其后陈盈豪在花莲总医院精神科接受就诊观察。花莲总医院精神科主治医师陆承贤表示,陈盈豪曾有两次精神科门诊记录,但在诊断过程中并无明显的躁郁症症状,只是出现焦虑不安的情形,而此可能与陈盈豪在部队生活适应不良有关。
更多关于文章可以经常关注我们转载请注明:http://www.cqcszx.comhttp://baike.cqcszx.com/bk/342038.html
上一篇:立体纹眉 (医疗美容术语)
下一篇:返回列表