CIH病毒发作之后

Author: 王琰、张迎新 Date: 1999年 第17期 23版

#1    CIH病毒的特点
    CIH病毒是一种恶性的文件型病毒,它感染Windows 9x的可执行文件,由于病毒编制者使用了VxD技术,因此CIH病毒传播起来很隐蔽。另外,不少盗版光盘上都带有CIH病毒,这些光盘和Internet网大大加快了CIH病毒的传播速度,国内感染CIH病毒的机器数量大得惊人。目前已确认CIH病毒至少有九个变种,其中常见的v1.2和v1.3的发作日期为4月26日,v1.4发作日期为每月26日,还有的版本发作日期为6月26日。
#1    拯救硬盘数据
    由于CIH病毒必须在进入Windows 9x系统后才能发作,它乱写硬盘的操作可能很快导致系统死机,用户在察觉系统导常时也会迅速关机,所以多数情况下只有硬盘最前面的也是最重要的一部分数据被覆盖了,而其它数据并未遭到破坏,这就为恢复硬盘上部分数据提供了可能。一般来说,原来的C盘基本上无法恢复,而D、E、F等盘基本上能恢复。
    方法一:由于许多用户没有备份主引导扇区的习惯(尽管KV300、NDD等工具软件有此功能),故只能设法找到与你的硬盘完全相同(型号、分区情况等)的另一个硬盘。然后使用KV300的“KV300/B”命令(主引导扇区备份),将这个硬盘的主引导扇区备份出来。用DOS启动盘引导你的系统,再用KV300的“KV300/K”命令(主引导扇区恢复),将前面备份的主引导扇区恢复至你的硬盘。恢复后可以试着向硬盘传送系统文件,如果传送成功,且硬盘能够引导,说明故障排除。
    使用以上方法的关键是找到完全相同的另一个硬盘,否则就不能使用。若你的硬盘中有重要的数据,你还可以造一个主引导扇区。即借一个和你的硬盘一样的新硬盘,按相同原则分区。用KV300将引导扇区备份出来,再恢复到损坏的硬盘中。
    方法二:如果不具备以上条件,对于经验较少的朋友来说,恢复D、E、F等盘的另一种方法是使用KV300的F10功能来重建硬盘分区表,该功能能够自动查找硬盘的扩展分区表,并把它链回到主引导扇区中,从而恢复D、E、F等分区,不过,该方法在某些时候可能无效,恢复出来的分区并不一定正确。
    方法三:把硬盘取下来作为从盘挂到其它机器中,运行最新版的Norton Disk Doctor或其它硬盘修复工具,也能查找到丢失的扩展分区。
    方法四:采用重写主引导扇区的方法,此法可能会丢失硬盘中的数据,只能在万不得已时使用。方法是:用DOS启动盘引导你的系统,加参数“/MBR”运行FDISK(即运行“FDISK /MBR”),此时FDISK会重写主引导扇区(由于/MBR是个比较危险的参数,微软未将其公开)。应注意不要在多于四个分区的硬盘上使用,也不要在安装了System Commander等多操作系统管理软件的硬盘上使用。
    方法五:对于经验丰富的朋友来说,如果前面的方法不奏效,还可以使用Norton Utilities 8.0的DiskEdit磁盘编辑工具来手工查找和修复分区表,具体步骤如下:
    1. 从软盘启动机器,运行FDISK /MBR命令重建一个空的分区表。
    2. 运行拷贝到软盘上的DiskEdit,选择第一物理硬盘,显示硬盘上的所有扇区。
    3. 利用DiskEdit的“Find Object”功能搜索可能是分区表的扇区,人工判断搜索结果是否正确。
    4. 记下搜索到的第一个扩展分区表的扇区所在位置,返回到硬盘的第一个扇区中,把显示方式切换至分区表形式,在第一个分区表项中填入原来C盘所在分区的类型、起始位置、终止位置、起始相对扇区和分区大小,在第二个分区表项中填入扩展分区的类型、起始位置、终止位置、起始相对扇区和分区大小,这些参数需要根据分区表的格式和含义由人工计算出来。
    5. 修改好后存盘退出,重新启动机器,如果仍然不能访问原来的D、E、F等分区,则可能是因为计算有误,或者搜索结果不正确,如果是后一种情况则继续上面3~5步的操作。
    注意:PNU8是一个16位工具软件,不支持FAT32文件系统。如果你对NU确实感兴趣,可使用NU3.0 for Windows95(98)及以上版本。
    尽管CIH病毒发作之后C盘基本上无法恢复,但是我们仍有微弱的希望能够挽救回C盘上的部分文件,方法是使用Tiramisu数据恢复软件(可到http://www.paulgao.com.cn去下载),让它查找原C盘中丢失的目录结构,找到之后可以选择拷贝目录中的文件到其它分区或硬盘中。Tiramisu能否成功恢复文件的前提条件是该文件原来是连续存放在硬盘之中,否则恢复结果不正确,那些在C盘上保存有重要数据的朋友可以试试该方法。
#1    修复BIOS芯片
    CIH病毒只能破坏少数几种主板的BIOS。BIOS芯片中的程序被破坏后,由于不能启动系统,也就无法直接用BIOS升级工具软件来重写BIOS,此时可以用下面的几种方法来修复BIOS芯片。
    方法一:找主板经销商,请他们更换或帮忙重写一块BIOS芯片。
    方法二:多数大城市的电脑城或电子城里都有一些商家拥有专门的Flash EEPROM擦写器,可以到这些地方去重写BIOS芯片。
    方法三:多数采用Award BIOS的BIOS芯片中都含有一个特殊的Boot Block,这个区域在5V电压下是无法改写的,它支持ISA显卡和从软驱启动。因此我们可以找一块ISA显卡暂时替换掉PCI或AGP显卡,在其它机器上制作一张可以启动的软盘,向其中拷贝主板所带的BIOS升级工具(或Award的标准BIOS升级工具)和BIOS程序文件,打开坏机器的电源,如果此时能够成功地从软驱启动,那么就可以运行BIOS升级工具来恢复BIOS程序。
    方法四:热插拔。如果主板经销商不愿承担责任,你又找不到ISA显卡,那么可以试试最后一招,即热插拔,详细步骤如下:
    1. 找一台具有相同型号主板的机器,如果找不到,主板类型相近的也可,最关键的一点是这两块主板的BIOS芯片的擦写电压和针脚数是相同的,并且不是焊在主板上的。
    2. 准备一个集成电路起拔器,没有的话,也可以用小平口螺丝刀代替;准备一张拷有BIOS升级工具和BIOS程序文件的启动盘,具体操作为:
    ·先查清楚BIOS芯片被破坏的主板的型号和厂商,以及采用的何种BIOS程序,然后用好的机器上网,下载适用于该主板的最新版本的BIOS数据文件和写入工具软件。BIOS数据文件一般是*.bin格式的文件,而写入工具是一个可执行文件。也可向主板销售商索取这两个文件。
    ·将一张干净无毒的软盘做成纯DOS启动盘,盘中只能保留IO.SYS、MSDOS.SYS和COMMAND.COM三个文件,然后再把要升级的BIOS数据文件和写入工具文件拷入其中。
    3. 将身上的静电放掉,有可能的话戴上绝缘手套。在坏主板上找到BIOS芯片,记住它在插座中的方向,用起拔器将之拔出。如果用螺丝刀,那么应先从一头将BIOS芯片撬起少许,然后再从后一头撬,如此反复,直到可以轻松将BIOS芯片取下为止。(如^172301a^)
    4. 同样,在好主板上找到BIOS芯片并将之取下,然后再把它重新插入到插座中,但不要插紧了,只要保证各个引脚都接触良好即可。
    5. 打开电源从软盘启动机器,运行BIOS升级工具,打开BIOS程序文件。
    6. 用起拔器或手(不要再用螺丝刀撬了,以避免出现短路)把好的BIOS芯片拔下来,换上坏的BIOS芯片,注意也不用插得太紧,方向千万不要弄错(如^172301b^),然后开始升级BIOS。
    7. 升级完毕后关闭计算机电源,并把两块BIOS芯片各归原位,这次要插牢。
    如果两块主板的型号不一样,那么坏主板的BIOS升级工具有可能无法在好主板上运行,此时可以换用专门针对好主板的BIOS升级工具,或者使用Award和AMI等BIOS厂商的标准升级工具。
#1    迎接下一次挑战
    尽管4月26日已经过去了,但并不表示今后我们就安全了,一些朋友的机器中仍然感染有CIH病毒,如果不及时清除的话,迟早会遭受到CIH病毒的攻击,因此,我们现在就应行动起来,消灭已感染的CIH病毒,并武装自己的计算机,以迎接CIH病毒在下一个26日的挑战。
    选择安装一种具有实时监测和实时查杀功能的杀毒软件,例如NAI的VirusScan、Symantec的NAV、国产的KILL98等等,并保证一直打开实时监测功能,这样才能尽早发现事故苗头。经常访问生产杀毒软件的厂商的网站,下载最新的升级版和病毒数据文件。具体的查杀CIH病毒的软件及使用方法请见本期第10版文章。
    另外,主板厂商微星目前已宣布了紧急救护措施,凡被CIH攻击的微星主板用户,若自己无法修复,可将主板送回所购买的经销商处,微星将协助并指导当地的代理商完成修复工作。
    部分主板厂商网址
    如果你想到网上去下载主板的BIOS,请参考以下网址:
微星:http://www.`msi.com.tw
钻石:http://www.dfiweb.com
皇朝:http://megastar.kamtronic.com
磐英:http://www.epox.com.tw
建邦:http://www.tekram.com.tw
承启:http://www.chaintech.com.tw
梅捷:http://www.soyo.com.tw
艾崴:http://www.iwill.com.tw
华硕:http://www.asus.com.tw
技嘉:http://www.gigabyte.com.tw
升技:http://www.abit.com.tw
大众:http://www.fic.com.tw
精英:http://www.ecs.com.tw
硕泰克:http://www.soltek.com.tw