请输入您要查询的百科知识:

 

词条 圣诞CIH病毒
释义

这种新型的CIH病毒逢12月25日爆发,它的破坏力远大于大家所熟知的4月26日CIH病毒。 这种名为PE_KRIZ.3740(又称圣诞CIH)的病毒,每逢12月25日发作,发作时同样可以破坏BIOS(破坏方式与4月26日CIH相同),还可以破坏CMOS数据,并且会用垃圾数据覆盖所有硬盘驱动器(包括C驱和其它所有逻辑分区)中的所有文件,更有甚者这个病毒的编写者为了能使病毒大面积传播与破坏,把病毒设计成了加密型病毒,并且使这个病毒可以成功地避开普通杀毒软件的侦测。

圣诞CIH病毒介绍

通过这个病毒的名字,我们可以看出这个病毒的一些基本特征:这个病毒的名字是由三部分组成,第一部分"PE"表征着这个病毒的类型,PE是Portable Execute的缩写 (与Native Execute的NE相对照),它表明这个病毒类型是32位寻址的线性增强模型保护模式文件;下划线作为分隔符,后面的"KRIZ"是这个病毒名字的第二部分,也是这个病毒的真实名字。由于这个病毒的触发模块代码部分是以日期作为判断条件的,即病毒的发作是在每次的12月25日,由于刚好是圣诞节的时间,所以我们也称它为圣诞节病毒(Christmas Virus),KRIZ就是按圣诞节(Christmas)的英文发音来起的名字;这个名字的第三部分是".3740",这部分表征着病毒的属性,即:这个病毒恶性代码大小为3740字节。

了解了这个病毒名字的含义,我们就已经了解了这个病毒的不少特征了,由于这个病毒是一个Win32 Exec型的病毒,所以也有人称它为W/32.KRIZ病毒;又由于这个病毒是在圣诞节时间发作,并且它与4月26日发作的CIH(PE_CIH,又称Win95_CIH)有类似的破坏性,所以又有人称它为"圣诞CIH"病毒,但这个病毒的破坏性比起4月26日发作的CIH来,是有过之而无不及。

通常KERNEL32.DLL文件只能在只读情况下才能被打开,这种情况下病毒是不能感染它的。那么病毒到底是如何进行感染的呢?首先,病毒会先在Windows系统目录中创建一个临时文件来制做一个副本文件KRIZED.TT6,然后感染它并在 WININIT.INI文件中输入"重命名"指令,于是用这样的办法首先感染了KERNEL32.DLL副本,而在 Windows在第二次启动时,以染毒的副本文件强制替换原始的KERNEL32.DLL,这样这个只读文件就被感染了。

这种圣诞CIH病毒是一种驻留内存型的病毒,可以在WIN95/98/NT等多种操作平台上肆意传播。当执行染毒文件时,病毒会首先感染KERNELL32.DLL文件,以驻留windows系统。一旦感染了KERNEL32.DLL文件,病毒就会修改输出功能表(Export table)和功能地址,这样在Windows下一次启动时,病毒链表(virus hooker)就会过滤调用KERNEL32的功能操作,从而便于病毒监测文件读取行为。感染KERNEL32.DLL的病毒会使链表文件读取功能异常,会阻止文件进行复制、开启、移动等操作,并会感染所读取的文件,但这个病毒"智商"很高,它并不是只进行简单的感染动作,而是会对躲避反病毒软件对它的侦测,当启动染毒系统后,病毒会对正在操作的文件进行感染,但它首先会检查文件名,如果文件名有可能是防毒软件的话,病毒就不会感染它们(后面将给出这个病毒所不感染的具体文件名),否则它将感染每一个正在操作中的EXE和DLL文件。

当感染一个文件时,病毒会根据自己的版本选择是在文件末端写入病毒代码,还是在文件末端创建一个新文件,将自己的代码加密并写入。为有效区别文件是否染毒,避免对同一文件进行重复感染而造成系统异常,病毒会在文件头保留区写入"666" ID字符串作为感染标记,它在感染某个文件之前会先检查此文件是否含有自身的"感染标记",有则放弃,没有则进行感染。这一行为本来是为病毒的隐蔽传播而设计的,而在反病毒专家的眼里,它反而成为侦测这种病毒的一个依据了;除此之外,这个病毒还带有一些版权信息,里面有很多脏话,而没有太大的作用,就不多介绍了。

圣诞CIH病毒破坏力

综合以上,大家可以注意到"圣诞CIH"的破坏性比以往的CIH病毒更为厉害:

1. 以往的CIH可以破坏主板的BIOS,"圣诞CIH"同样可以做到;

2. 以往的CIH只感染WIN95/98系统,而"圣诞CIH"除此之外还感染NT系统,破坏范围更广;

3. 以往的CIH只是覆盖了C驱数据,而"圣诞CIH"除此之外还覆盖所有的逻辑分区数据,破坏力更大;

4. "圣诞CIH"比以往的CIH具有更高的智商,可以更隐蔽地进行传播。

为避免此病毒可能会因为覆写文件而造成不必要的麻烦,所以建议大家以防为主,提早安装反病毒工具预防;另外我们还想提醒广大用户,修改计算机系统时间的话,可能会使该病毒提前发作,所以请大家留心

附:这种病毒不会感染的文件名清单

AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,SMSS.EXE

圣诞CIH相关病毒

从1998年的4月26日开始,26日成为一个令电脑用户头痛又恐慌的日子,因为在那一天CIH病毒诞生了!1999年4月26日,这个游荡在互联网和个人电脑间的黑色幽灵,在全球全面发作。这一天,对于中国电脑用户来说,无疑是个令人心悸的灾难日:开机、屏幕没有任何显示,只有死一般的沉寂。黑色幽灵第一次对中国用户发起了大规模的进攻。 损失是惨重的,可以统计的经济损失以亿计算,对电脑用户的震动并因此而产生的对计算机病毒的恐惧感,着实让国内外的防病毒软件大大的火了一把。

圣诞CIH病毒档案

病毒名称:CIH

发作日期:每月26日

产地:台湾省

病毒类型:文件感染型

CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5个版本,目前最流行的是v1.2版本。

圣诞CIH病毒发展历程

CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为:

CIH病毒v1.0版本

最初的V1.0版本仅仅只有656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加,此版本的CIH不具有破坏性。

CIH病毒v1.1版本

当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。

CIH病毒v1.2版本

当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP压缩包在自解压时出现:

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的错误警告信息。v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本

此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。

从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本,v1.3版本的发作日期为每年的6月26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。

CIH病毒发作时所产生的破坏性

CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征是:

1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!

2、某些主板上的Flash Rom中的BIOS信息将被清除。

想彻底杀灭,推荐使用某些反病毒软件进行,以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机。

防范——关键是提前杀毒

4月26日的CIH1.2版本中含有5个变种,我们需要提前做好准备。专家称,CIH病毒完全可以预防,大可不必关闭机器。只要用杀毒软件提前杀一遍毒即可。 专家称,每天可能发作的电脑病毒至少几十种。希望用户尽量使用具有实时监测功能的反病毒软件,并及时更新病毒库。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 9:24:02