发现CIH病毒的前前后后

Author: 王新 Date: 1998年 第35期 08版

  多年来,人们在经历了黑色星期五、米开朗基罗病毒、幽灵病毒等恶性计算机病毒之后,随着反病毒卡、反病毒软件的兴起,似乎对电脑病毒已没有什么戒心,感染了病毒,拿杀毒软件清理一遍,这已成为人们惯常使用的对待电脑病毒的方式。
  然而,就在人们仿佛已经对电脑病毒司空见惯,放松了对电脑病毒的警惕之时,一种新的病毒突然袭来。
#1病毒真小
  8月4日,北京瑞星电脑科技开发公司总经理兼总工程师刘旭接到用户的一个电话,对方称发现了一个新的计算机病毒,如果瑞星公司能够提供杀毒软件,将不胜感激,因为这个用户发现系统有病毒,但用现有的杀毒软件均无法查出。
  这个用户通过瑞星的BBS网站上传了带有病毒的文件,刘旭在拿到该病毒的样本时,发现这个病毒只是一个不到1K的小病毒,有着十年反病毒经验的刘旭一开始并没有觉得这个病毒很特殊,因为这样小的代码量,一般都是什么事也不干的病毒。
  但当他开始琢磨这个小小的病毒时,才发现这个病毒很奇特,奇就奇在它感染的是Windows95和Windows98文件系统,这是国内首次发现的感染Windows95、98文件系统的病毒,它利用了一种叫做VxD(虚拟设备驱动)的技术,隐藏于文件之中,但不改变文件的长度。它可以将自身分块隐藏在文件的空隙之中。刘旭查找它时费了不少力气,因为病毒已将自己拆分成了九块,安放于文件中的不同位置。
  事后刘旭分析病毒时谈到,这个病毒绝对是一个高手编制而成,病毒甚至可以将自己拆成一个一个的字节来安插到文件中,拆为九块还是少的,从编程的角度来看,它至少可以把自己拆成几十块,分别存放于寄生文件的不同位置。带有CIH病毒的寄生文件可以正常运行,在运行时病毒可以将自己再度装配起来进入内存,在条件满足时发作。
  经过十多天的艰苦奋战,刘旭终于查清了该病毒的机理,编制了针对性的反病毒模块,于8月21日将新版的瑞星反病毒软件升级程序公布于瑞星公司的网站之上。
  通过对病毒的仔细剖析,他反汇编出了病毒的源代码,这小小的只有1019字节的病毒程序,居然可以对计算机系统造成无法挽回的损失。
  首先,它直接存取Flash BIOS端口,把一堆垃圾写入BIOS芯片中,使电脑从此再也无法启动,除非用专用设备重新写入正确的BIOS数据;更加可恶的是,它在破坏了BIOS之后,又将垃圾码写入硬盘中的所有扇区,系统内的所有数据将荡然无存。
#1CIH暴露真面目
  8月19日,上海、广州、黑龙江的用户纷纷打来电话,反映电脑系统工作不正常。
  8月23日,一家从事系统集成开发的公司反映,用压缩软件压缩的文件,在解压缩时失败,但在其它电脑中却按正常解压,这正是被CIH病毒感染后出现的主要特征。瑞星公司立即将新版本的瑞星杀毒软件用特快专递发出,以解这家即将交付系统使用的系统集成商的燃眉之急。
  8月25日,刘旭带着整理好的CIH病毒原代码、反汇编代码、病毒样本、分析结果和原病毒程序全部文件来到公安部,向公安部汇报CIH恶性病毒的研究进展情况,公安部极为重视。通过对病毒的研究分析,认为这是一个危害性极大的电脑病毒,应尽快向全社会通报该病毒的情况及特征,尽快向全社会提供查杀CIH病毒的软件。每个月的26日,CIH1.4版本将攻击被其感染的电脑系统,时间已迫在眉睫。
  8月26日,很多电脑用户上班后就发现电脑系统故障,此时他们还并不明白,这是一种病毒所造成的危害。
  8月27日,某家计算机公司连续出现多台计算机返修,维修人员看着这些从不同地方送来的电脑一时下不了手,因为它们出现的问题都一样——开机不显示,只相当于打开了电脑显示器,检查电脑主板却没有损坏迹象,更换了主板后系统又恢复正常,但硬盘上所有的数据都已丢失,只能重新分区格式化。这家公司意识到是电脑病毒在作怪,于是求助于瑞星公司。
  同样是8月27日,北京某研究所一行人,押送着二十余台电脑来到瑞星公司,恳请瑞星公司帮忙将电脑硬盘修复,因为这些电脑中保存着大批的资料。所有的电脑出现相同症状:主板毁坏、硬盘数据全部丢失。
  还是这一天,北京某通讯部门也来到瑞星公司,电脑系统死锁,无法开机运行,要求瑞星公司协助恢复系统。
  CIH的真面目彻底暴露出来,诡秘、凶狠、具有极大的破坏性,这就是不到1K大小的CIH所能做到的。
  面对这么多茫然无措的用户,作为反病毒专家也无法提供更多的帮助,目前所能做到的,是对CIH的前期防杀。而目前最需要做的,是在最短的时间让全社会都了解CIH病毒的危害,向用户提供最新的查杀该病毒的软件。
#1紧急动员
  8月31日,公安部向全国发出通报,要求全社会做好CIH病毒的预防工作,这是几年来少有的针对单个病毒所采取的紧急动员措施。同一天,中央电视台也罕见地对此作了详细报道。
  9月1日,瑞星公司召开新闻发布会,向全社会通报了CIH恶性病毒情况,并命名该病毒为:CIH系统破坏者病毒。在简短的新闻发布会之后,瑞星公司向参加新闻发布会的各大媒体免费提供了一批能够查杀该病毒的最新软件——《瑞星杀毒软件9.0版》。
  9月2日,瑞星公司召开各软硬件厂商的情况通报会,向预装瑞星杀病毒软件的硬件厂商提供升级软件,同时向友商提供有关CIH病毒的最新研究情况。希望各厂商提请用户注意防范,并对瑞星杀病毒软件进行升级,以免造成不必要的损失。
  同时,瑞星公司在其网站(www.rising.com.cn)和BBS系统(拨入电话:010-62641700)中提请用户严加防范,建议用户下载最新版本的升级程序,对电脑系统进行彻底的检查。
  CIH病毒是由瑞星公司第一个发现、第一个破解、第一个向公安部报案、第一个实现查杀,并将这个病毒命名为CIH系统毁灭者病毒。