CIH病毒的危害及其防治

CIH病毒的危害及其防治 () Vol . 21 No . 2 第 21 卷 第 2 期自然科学版韶关大学学报 2000 年 4 月 ( )Ap r . 2000 Journal of Shaoguan U niversity Nat ural Science C I H 病毒的危害及其防治 1 2 钟良才,叶灯洲 ()512005 1 . 韶关大学图书馆 , 广东韶关 512005 ;2 . 韶关大学总务处 , 广东韶关 摘要 : CI H 病毒是第一例直接攻击计算机硬件的计算机病毒 。本文试图通过对 CI H 病毒特点及其危害的分析 , 提出如何防范 CI H 病毒的几点措施和修复被 CI H 病毒损坏的硬件的 办法 鲁班奖评选办法下载鲁班奖评选办法下载鲁班奖评选办法下载企业年金办法下载企业年金办法下载 。 CI H 关键词 : 计算机病毒 中图分类号 : TP309 . 5 ( ) 文献标识码 : A文章编号 : 1007 - 5348 200002 - 0024 - 04 C IH 病毒是首例直接攻击 、破坏计算机系统硬件的恶性计算机病毒 , 是迄今为止破坏 力最为严重的病毒之一 。它产自台湾 , 最早随盗版光盘在欧美等地广泛传播 , 随后进一步 通过 Inter net 传播 到 世 界 各 个 角 落 。目 前 传 播 的 主 要 途 径 是 通 过 Inter net 和 盗 版 光 盘 。 ( C IH 病毒是一种纯 32 位 Window s95/ 98 病毒 , 并且它使用了 W IN9 X 下的 V xD 虚拟设 ) 备驱动程序技术 , 所以不传染 DO S 、W IN312 文件 。C IH 病毒属于文件型病毒 , 当受感 染的 EXE 文件执行后 , 该病毒便驻留内存 , 感染所接触到的其他 P E 格式执行程序 。该 病毒采用了一种独特的 感染可执行程序的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 , 被感染文件的大小没有任何改变 , 使得 它在 Window s 环境下传播的实时性和隐蔽性都特别强 。 据权威 “病毒搜网”日前报导的 C IH 病毒的 “原体”加 “变体”一共有 5 种之多 , ( 其中主要有 3 个变种 C IHv1 . 2 : 4 月 26 日发作 , C IHv1 . 3 : 6 月 26 日发作 , C IHv1 . ) 4 : 每月 26 日发作。 1 C IH 病毒的危害 1999 年 4 月 26 日 C IH 病毒引发了一场空前的浩劫 , 俄罗斯 10 万多台电脑瘫痪 , 叶 卡捷琳堡的数家报纸竟未能如期出版 ; 新加坡 、韩国 、马来西亚也都受到不同程度的损 失 。在国内 , 此次病毒的打击面为历次之最 , 其中包括金融部门 、各地电信部门 、I T 企 业 、新闻单位及大中专院校等许多电脑普及程序极高的单位 。据不完全统计 , 国内至少有 几十万台计算机被攻击 , 经济损失超过 10 亿元人民币 。 111 攻击计算机的 B IO S B IO S 是计算机的基本输入输出系统 , 打开计算机时 , B IO S 首先取得系统的控制权 , 然后从 CMO S 中读取系统设置的参数 , 进行初始化并协调有关系统设备的数据流 。C IH病毒最特别之处 , 就是它对计算机 B IO S 的攻击 。最初的 B IO S 都是固化在 EPROM 中 , 除非使用特殊 的 写 入 设 备 , 否 则 便 无 法 更 改 B IO S 中 的 数 据 。后 来 , 各 硬 件 厂 商 出 于 B IO S 软件升级的考虑 , 采用可重新写入 B IO S , 这样就给 C IH 病毒入侵留下了后患 。C IH 收稿日期 : 1999 - 01 - 09( ) 作者简介 : 钟良才 1971 - , 男 , 广东南雄人 , 韶关大学图书馆助理工程师 , 主要从事计算机应用研究 。( ) 叶灯洲 1973 - , 男 , 广东南雄人 , 韶关大学总务处助理工程师 , 主要从事计算机应用研究 。 病毒能识别某些主板的 Flash B IO S 入口 , 当它发作时 , 会试图向 B IO S 中写入垃圾信息 , 造成 B IO S 程序紊乱 , 导致系统主板损坏 。只有更换主板 , 或是找硬件代理商往主板上的 B IO S 中重新写入原来版本的程序 , 才能重新建立计算机系统 。 112 覆盖硬盘 向硬盘写入乱七八糟的内容也是 C IH 病毒的破坏性之一 。C IH 病毒 发 作 时 , 调 用B IO S - SendCo mmand 直接对硬盘进行存取 , 将其垃圾代码以 2048 个扇区为单位 , 覆盖主 ( ) 引导扇区和 BOO T 引导扇区 , 并依次改写各硬盘 包括各逻辑盘中的数据 , 直到所有 硬盘中的数据均被破坏后为止 。覆盖硬盘所造成的后果是十分严重的 , 即使能够重建主引 导扇区和重新恢复文件分区表 , 也不能完全找回硬盘全部数据 。 2 C IH 病毒的防治 既然计算机病毒是人制造出来的 , 我们自然也能采取相应的办法去对付它 。要防范病 毒对硬件的入侵 , 首先应由硬件厂商把好关 , 确保硬件环境的可靠性 。 211 强化对病毒和反病毒技术的宣传 , 提高病毒防范意识 “优策”公布了 1999 年 4 月 26 日 C IH 病毒大爆发 , 受害者群中的应用分布 , 其中 :行业用户 3418 % 、企业用户 5316 % 、个人用户 1116 % 。受损最重的是计算机应用水平并 不高的中国 , 受损最轻的是计算机应用发达的美国 。这首先说明了两国在反病毒技术上的 差距 , 其次说明我国对病毒和反病毒技术宣传力度不够 , 国人病毒防范意识非常薄弱 。由于我国还缺乏高水平的科普 , 缺乏有指导意义的专业技术文章和培训 , 缺乏有组织的宣传 教育活动 , 同时计算机用户对病毒存在着轻视或无奈的态度 , 所以要通过宣传普及正确的 病毒和反病毒技术知识 , 使计算机用户充分认识到病毒的潜在危害性 。要通过行业地区协 调和管理 , 按条条或块块提出具体要求 , 尽快提高所有单位的全面防病毒技术水平和防病 毒意识 。 1998 年 10 月 1 日生效的新刑法写入了有关计算机病毒的条款 , 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 将制造和传播病 毒定为刑事犯罪 , 判处 5 年有期徒刑 , 这对遏止病毒的产生和传播将起到巨大作用 。但相 关的法规还很不完善 , 执行和管理部门对社会的计算机安全管理还不够健全 , 法规的完备 性和可操作性都需要改进 。总之 , 要通过法规和管理从根本上减少病毒的制造和传播 。 212 树立正版意识 , 大力提倡使用防病毒软件 此次 C IH 病毒的传播主要与盗版光盘的泛滥有极大的关系 , 为了避免病毒入侵 , 我 们应当树立正版意识 , 使用正版的软件 , 尽量少用或不用来历不明的光盘 。此外 , Inter2 net 的迅速发展导致信息量剧增 , 不少人把 Inter net 当成一个巨大的免费数据库 , 随意从 Inter net 网上下载软件和资料 , 这样也极有可能引入病毒 。因此不要随意从 Inter net 网上 下载软件和资料 , 更不要轻易打开不明身份的电子邮件 。 要规范好计算机系统的应用 , 加强对计算机系统的管理 , 在不使用盗版软件的同时 , () ?26 ?韶关大学学报 自然科学版2000 年 全球的任何一个角落 。这就意味着 , 连入因特网的计算机随时都有被病毒入侵的可能 。因此 , 我们在购买反病毒软件时不要只考虑杀毒能力而忽略它的实时监控病毒的能力 , 同时 我们要经常更新防病毒软件 , 把病毒消灭在萌芽状态 。笔者推荐瑞星 、KILL 98 、V RV 以 及 NA I 公司的 Virus Scan 。 主要反病毒公司的网址及热线电话如下 : ht tp : / / www . kill . co m. cn , T EL : 65612426| 65612408 冠群金辰网址 : ht tp : / / www . sdxf . co m , T EL : 62634890 时代先锋 江网址 : ht tp : / / www . jiangmin . co m. cn , T EL : 62510197 民公司 瑞星网址 : ht tp : rising. co m. cn , T EL : 62641500 网址 : 公司 北信源/ / www . 公司 网址 : ht tp : / / www . vrv. co m. cn , T EL : 62330931213 对重要的数据 、资料经常保持备份 要养成良好的备份习惯 , 对重要的数据和资料经常保持备份 、打印 。只有及时备份才 能确保你的辛勤劳动成果不被病毒破坏 , 才能把损失降到最低 。 3 C IH 病毒发作后的修复 C IH 病毒主要破坏主板的 B IO S 芯片和硬盘的主引导扇区以及硬盘分区表 , 破坏一旦 成功 , 整台电脑马上陷入完全瘫痪状态 。此时 , 可按以下方法修复 。 311 主板修复 对于已经被 C IH 病毒破坏的主板 , 可以作以下处理 : ) 1如果是能够提供良好售后服务的厂家品牌的主板 , 请直接与厂家或代理商联系 。 ) 2找一块型号 、B IO S 厂商 、版本均完全相同的主板 , 用专用写入工具重新写入正确 数据或更换新的 B IO S 芯片即可 。C IH 病毒主要破坏的是一些主流台湾主板 , 这些主板销 售商大都可以提供 B IO S 升级工具软件 , 利用该软件 , 您可以下载升级 B IO S 。 常见的几种主板的网址如下 : ht tp : / / www . gigabte . co m. t w 技嘉 ht tp : / / www . 微星 msi . co m. t w ht tp : / / www . 华硕 asus. co m. t w ht tp : / / www . epo x . co m. t w 磐英 ht tp : / / www . soyo . co m. t w 梅捷 大众 ht tp : fic. co m t w / / www . 312 硬盘修复 如果硬盘已经被 C IH 病毒 “吞食”掉 , 不要急于格式化 。只要能够重建主引导扇区和重新恢复分区表 , 就有很大希望恢复硬盘中的数据 。不过 , 由于 C IH 病毒破坏性非常 强 , D 、E 、F 盘的数据较容易恢复 , C 盘的数据仍然较难恢复 。瑞星公司推出了一个修 () () 复 包括修复 C 盘工具 , 瑞星 910 10版本已经加入了这个工具 , 用户可以及时地升 级自己的版本 , 经过瑞星的修复程序处理 , 对硬盘的恢复高达 95 % , C 盘的数据可恢复 70 % 。首先使用瑞星杀毒软件启动计算机 , 然后运行瑞星杀毒软件 DO S 版 , 选择 < Tools ) > 菜单中的 < Recovery Tool abo ut C IH项 , 本程序将自动分析硬盘是否需要修复 。 如果出现 “The hard disk in o k , needn’t recover ! Enter = ret ur n to main menu”信 息 , 则表示你的硬盘系统是好的 , 不需要对硬盘进行修复 。 ( ) 如果出现红色提示框 , 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 用户硬盘的分区信息和文件分配表 FA T的类型 , 则首 先应该确认该信息是否正确 。然后 , 可根据以下提示信息选择是否进行恢复 。 ( ) “Recovery Partitio n Table ? Y/ N” 若选择 “Y”, 则瑞星杀毒软件将自动恢复硬盘的分区信息 , 选择 “N ”则返回主菜 单 。 ( ) 恢复硬盘分区结束后 , 瑞星杀毒软件将提示 : “Recovery Drive C : Y/ N”提示用户 是否继续恢复 C 盘的文件 。 若选择 “Y”, 则瑞星杀毒软件将自动恢复 C 盘中的文件 , 选择 “N”则返回主菜单 。 在完成以上操作之后 , 重新启动计算机 , 不仅可以看到已经全部恢复了硬盘的扩展逻 ( 辑分区 , 而且可以看到 C 盘上恢复的文件目录 , 这些目录名为 “R IS IN G. XXX” XXX ) 为 0 - 999 的数字编号。 若出现提示 “The Hard disk can’t be recovered. Enter = ret ur n to main menu”信息 , 则表示你的逻辑盘数据使用本功能无法恢复 。出现这种情况 , 应与瑞星公司联系或由其它专业数据恢复人员进行分析 、恢复 。除了瑞星 910 版本以外 , 冠群公司 、时代先锋公司 、 北京江民公司等都已经推出了具有修复被 C IH 病毒破坏的硬盘的软件工具 。 总之 , 对 C IH 病毒我们必须实行 “软”“硬”兼施 、打防结合 、综合治理的方针 ,且 只有这样才能真正筑起一道信息安全屏障 , 拒 C IH 病毒于门外 。 参考文献 :( ) 1 杨光. CI H 病毒的浩劫与防范 J . 电脑爱好者 , 1999 , 11. ( ) 2 王学海. 反病毒一场漫长的战争 J . 上海微型计算机 , 1999 , 6. The Harm an d Prevent ion of CI H Virus ZHON G Liang - cai , YE Deng - zho u ( )Shaoguan U niversit y , Shaoguan 512005 Abstract : C IH virus in t he first virus t hat at tacks co mp uter hardwares. This paper t ries to analyse t he character of C IH virus and it s har m , p ut s fo rward several means o n how to p revent C IH virus and how to repair t ho se damaged hardwares. Key words : Co mp uter virus C IH