病毒史话──CIH
网络与通信
CIH是具有“革命”意义的文件型病毒。笔者现以它为例,来为大家讲解Windows文件型病毒的机理。
一、CIH版本
1.V1.0
这是CIH的测试版,与传统文件型病毒相比,它不具备任何结构上的新特点。惟一值得一提的,它是当时为数不多的专门感染Windows PE(Portable Executable Format,Windows 9X系列的可执行文件格式),不感染DOS以及Windows 3.X格式的可执行文件。
2.V1.1
病毒长度由原来的656字节增加到796字节。新增的代码使CIH有了判断Windows NT操作系统的能力,一遇Windows NT即隐蔽不进行感染。
3.V1.2
这是最常见的CIH版本,之所以常见,一是几次CIH的大爆发主要就是它作祟;二是它是第一个具有破坏性的版本,以前的版本就算感染了计算机你也不会察觉。它的长度增加到了1003字节,增加的代码能破坏用户硬盘引导区和主机BIOS的功能,CIH也因此“一夜成名”。
4.V1.3
此版本只是修正了CIH在感染ZIP自解压文件时的Bug。不会再感染ZIP自解压文件,因为ZIP压缩包会自动检测压缩包的正确性,所以被CIH感染后会导致ZIP解压出错,这等于暴露了CIH的存在。另外它给我们一个有益的启示,ZIP解压出错就说明可能中CIH(V1.2)病毒了。
5.V1.4
V1.4是CIH的成熟版本,破坏性进一步增强。破坏硬盘时不只删除引导区信息,还会以2048个扇区为单位,向硬盘写入垃圾数据。这将导致硬盘数据彻底丢失。如果只删除了引导区,你用Norton等工具修复后大部分数据都能找回;另一点是能够破坏新式主板的Flash ROM(Flash ROM为单电压5V,擦写由软件控制),这使它成为了世界上第一种能破坏硬件的病毒。
二、CIH机理
CIH利用了Windows的VXD(虚拟设备驱动程序)技术,这使它能获得比操作系统更高的优先权。这样CIH就具有了CPU的直接控制权。一旦开启一个文件,CIH将第一时间获得此文件。如果是Windows PE格式文件则立即被感染。由于拥有比磁盘文件系统更高的优先级,所以即使只读文件也同样被感染,而且感染后文件的日期与时间信息保持不变。到此病毒完成整个放毒过程。
三、破坏性
尽管CIH为了隐蔽做了大量的优化工作,使病毒在驻留系统过程中不会引发任何异常情况,也不会影响机器运行速度。但是由于它干扰了Windows保护内存的分配,所以经常会引发大家最头痛的“一般保护性错误”而被发现。
CIH对于硬盘的破坏主要集中在引导区,对于BIOS的破坏是CIH最厉害的地方。
CIH真正令人担心的是它所带来的负面影响,即CIH病毒可破坏电脑芯片。
另一个更令人担心的是,CIH还是一种能够识别多种操作系统的病毒。
在Windows时代,要防范病毒的攻击,靠装几个杀毒软件是无法从根本上解决问题的,只有提高全民的计算机水平,了解病毒原理才有可能治标治本。