从1986年世界第一个计算机病毒——大麻(Brain)病毒诞生,到1988年我国发现第一例计算机病毒——小球(PingPang)病毒,直到今天,随着反病毒技术和反病毒产品的不断进步和完善,人们对病毒已没有当初那种神秘和恐惧的心态。特别是一般家庭用户,认为计算机病毒一般只破坏软件,而自己又没有十分重要的数据,因此对病毒疏于防范。
以前的计算机病毒往往在国外流行很长时间后,才会在国内流行。因特网的日益普及和计算机用户数的迅速增长,使人们与外界的数据交往日益增多,计算机病毒也越来越迅速地在国内传播。随着计算机技术的飞速发展,计算机病毒也以崭新的姿态出现在人们面前。它们的破坏性、隐蔽性以及感染能力都比以前有较大的加强。最近由瑞星电脑科技公司在国内首先破解的CIH系统毁灭者病毒便是一例。
有资料显示,CIH病毒于1998年4月26日开始炮制,经过五个版本的修改,1998年5月31日v1.4出笼,其中后三个版本v1.2—v1.4具有破坏性并流传到社会上。7月在国外开始见到报道,8月便在国内大部分地区发现该病毒并造成了一定程度的破坏。CIH病毒是首例感染WIN95/98可执行程序同时破坏计算机硬件芯片的恶性病毒。由于其极强的破坏性,我们称之为CIH系统毁灭者病毒。
CIH病毒是采用Vxd(虚拟设备驱动程序)技术编写的病毒,它修改IDT(中断描述表)使程序获得在Ringo状态(系统核心级状态)下运行,把病毒体驻留在内存中,截获系统的IFSAPI(可安装文件系统的应用程序接口),当系统打开文件时,感染windows95/98程序。
CIH系统毁灭者病毒只感染Windows95/98可执行程序(PE结构程序),不感染DOS和Windows3.x程序,在WindowsNT下既不感染也不破坏。
CIH系统毁灭者病毒感染文件的过程是:当系统打开文件时,病毒试图感染该文件。首先它判断是否是以EXE为后缀名,如果不是,不感染;判断文件是否是PE结构,如果不是,不感染;将病毒程序分开成若干段,分别放置在文件中没用的空间里。如果被感染的文件中没有足够空间,可能导致该程序无法运行。从v1.3版本开始,该病毒增加判断文件是否是WinZip自解压缩程序,如果是,则不感染;在v1.4版本中修改了V1.3版本在判断WinZip自解压缩程序中的一个错误。
从发作日期看,CIHv1.2为4月26日,病毒体中含有字符串:CIHv1.2TTIT;CIHv1.3为6月26日,病毒体中含有字符串:CIHv1.3TTIT;CIHv1.4为每月26日,病毒体中含有字符串:CIHv1.4TATUNG。
由以上表述不难看出,CIH系统毁灭者病毒是一种破坏性极强的恶性病毒。病毒长度不足IK,它巧妙地将病毒程序分开成许多段,分别放置在WIN95/98可执行程序没用的空间里,使被感染程序的大小没有变化,在神不知鬼不觉中进行感染和传播。甚至我们只是做了一个将光盘放入光驱的动作,WTN95/98的自动执行功能就可能使你的电脑被CIH系统毁灭者病毒感染。
在不到二个月的时间内,CIH病毒便在世界各地得到证实。这种“里程碑”式的新病毒的出现,意味着新一类有更大隐蔽性和更强破坏性的病毒的来临。一旦此类病毒大规模爆发,其后果不堪设想。
信息技术的发展直接影响到国家政治、经济和军事的发展,因此,保护信息安全已成为当务之急。对于CIH系统毁灭者病毒,建议采取如下措施:
1、如果没有杀病毒软件,务必请修改系统时间,跳过每个月的26日。
2、有些电脑系统主板具备BIOS写保护开关,但一般设置均为开,对系统硬件较为熟悉的用户,可将其拨至关的位置,这样可以防范病毒改写BIOS信息。
3、配备有效的杀毒软件,定时对系统进行检查。清除CIH病毒最好的方法是使用DOS版杀毒软件。瑞星杀毒软件9.0具有定时自动查杀功能,可彻底查杀CIH系统毁灭者病毒。第一次杀毒时,请用瑞星杀毒软件9.0DOS版,清除病毒后再装入WIN95版。这是因为在WIN95/98启动后,有几个文件被系统使用,处于禁写状态。如果这些文件被感染,将无法彻底消除病毒。
4、如果尚未得到杀病毒软件,可采用压缩并解压缩文件的方式加以检查,但用该方法不能判断是否有CIHv1.4病毒。
5、由于病毒对所有硬盘数据彻底破坏,单纯恢复硬盘分区表不可能恢复文件系统,所以请务必将重要数据进行备份。
(作者为北京瑞星电脑科技公司总工程师)