发现： 1998 年 6 月 25 日

更新： 2007 年 2 月 13 日 11:37:54 AM

别名： Chernobyl, PE_CIH, Win95.CIH, Win32.CIH, W95/CIH.1003, CIH.Spacefiller

类型: Virus

感染长度： Up to 1KB

受感染的系统： Windows 95, Windows 98, Windows Me

由于提交数量的降低，Symantec 安全响应中心已将此威胁的级别从 4 类降为 3类。

CIH 病毒也称为 Chernobyl，于 1998 年 6 月在中国台湾首次发现。根据台北官方机构报告，Chen Ing-hau 编写了该 CIH 病毒。该病毒的名称取自编写者姓名的首字母。

CIH 具有破坏数据的有效负载，是极具破坏性的病毒。1999 年 4 月 26 日，有效负载首次触发，造成许多计算机用户丢失了数据。在韩国，大约有一百万台计算机受到影响，造成 2.5 亿多美元的经济损失。

尽管该病毒比较陈旧，但 Symantec 相信该病毒仍然会伺机而动，对使用过时的病毒定义或未使用防病毒软件的用户造成损失。

在有效负载已传递后进行恢复

病毒在每月的 26 日执行时会做两件事情：

* 重写硬盘前 2,048 个扇区上的重要数据。如果发生这种情况，则当计算机从硬盘驱动器启动时会显示“无系统盘”消息，或者当尝试从系统软盘或救援磁盘启动时出现“无效介质”消息。使用 Norton Utilities 进行恢复：

o 如果您有最新的 Norton Utilities (NU) 或 Norton AntiVirus 救援磁盘，请使用它们还原分区和引导记录信息，然后运行 Norton Utilities Unformat。

o 如果您是在发生感染后购买的 NU 并且在受感染的磁盘上有多个分区，则尝试从紧急启动磁盘运行 ndd /rebuild，然后运行 Unformat。

o 如果只有一个分区，则可能需要与数据恢复服务联系。

* 该病毒可能重写您系统的 BIOS。如果发生这种情况，应当与 BIOS 供应商联系以获得有关如何解决此问题的指导。

注意：重写 BIOS 的情况非常罕见。如果计算机由于 BIOS 被重写而无法运行，则在某些情况下可能需要更换 BIOS 或主板。

防护

* 病毒定义（每周 LiveUpdate™） 1998 年 6 月 28 日

* 病毒定义（智能更新程序） 1998 年 6 月 28 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： High

* 有效负载触发器： W95.CIH V1.2 and V1.3 (April 26), W95.CIH V1.4 (26th of any month)

* 有效负载： Destroys data and causes possible damage to CMOS

分发

* 分发级别： Medium

CIH 是感染 32 位 Windows 95/98/NT 可执行文件的病毒，但只能在 Windows 95/98 和 ME 下起作用。它不能在 Windows NT 或 Windows 2000 下起作用。当受感染的文件在 Windows 95/98/ME 下运行时，病毒转而驻留在内存中。要杀除该病毒，请执行下列操作之一：

* 推荐的方法：使用 Symantec 安全响应中心的 CIH 杀毒工具，该工具会从内存中杀除该病毒并免除了从干净的系统盘重新启动计算机的需要。

* 从救援磁盘重新启动计算机。

* 如果计算机允许，可从 Norton AntiVirus (NAV) 2001/2002 光盘重新启动计算机。

如果未执行上述操作，则该病毒会感染使用 Norton AntiVirus 或任何防病毒程序扫描过的每个文件。

虽然 Windows NT 系统文件可能受到感染，但该病毒却无法驻留在运行 Windows NT 或 Windows 2000 的计算机上的内存中或感染该计算机上的文件。该病毒在 DOS、Windows 3.1 下或 Macintosh 计算机上不起作用。该病毒一旦驻留于内存中，就会感染其他被访问的文件。

由于 CIH 的独特感染方式，受 CIH 感染的文件可能与原文件具有相同的大小。该病毒会搜索文件中未使用的空闲空间。然后，将自己分割成较小的片段并将其代码插入到这些未使用的空间中。当 NAV 修复受 CIH 感染的文件时，会查找这些病毒碎片并将它们从文件中删除。

自 1999 年 4 月起，存在该病毒的三个已知的、相似的变种。CIH 1.2 和 1.3 版具有一个在 4 月 26 日触发的有效负载，用以纪念 1986 年 4 月 26 日在前苏联发生的切尔诺贝利核泄露事件。CIH 1.4 版具有一个在任何一个月的 26 日触发的有效负载。CIH 所有版本的有效负载均相同。

第一个有效负载使用随机数据重写硬盘，此操作使用一个无限循环并起始于磁盘的开头部分（0 扇区）。扇区的重写会一直进行下去，直到系统崩溃。导致的后果是计算机将无法从硬盘或软盘启动。此外，硬盘上被覆盖的数据将很难或根本不可能恢复，因此只能从备份还原数据。

第二个有效负载试图对计算机造成永久破坏。该有效负载会攻击 Flash BIOS（用以初始化和管理硬盘驱动器、串行和并行端口以及键盘等系统设备之间的关系和数据流的计算机部分），并试图破坏其中存储的数据。导致的后果是在启动计算机时不显示任何内容。计算机技术人员需要解决这一问题。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

杀除该病毒有两种方法：

* 推荐方法：运行 CIH 杀毒工具，然后使用 Norton AntiVirus 进行扫描。

* 从救援磁盘或使用Norton AntiVirus 2001/2002 光盘从可启动 CD-ROM 驱动器重新启动。

推荐的杀毒程序

杀除该病毒最简单的方法是运行 CIH 杀毒工具，然后使用 NAV 进行扫描。CIH 杀毒工具会安全地从 Windows 95 和 Windows 98 的内存中检测并消除 W95.CIH (Chernobyl) 造成的所有已知损伤（从 1998 年 8 月 3 日起）。如果在该病毒感染您的系统之前就使用了该工具，则该工具将为计算机的内存接种疫苗，从而使得 W95.CIH 病毒在系统下一次重新启动之前无法感染您的系统。

警告：

* 如果计算机感染了 W95.CIH 病毒，请运行 CIH 杀毒工具后再尝试更新防病毒定义或扫描系统。如果未运行该工具而先尝试使用防病毒产品扫描受感染的系统，则存在感染传播的风险。使用了该工具后，就可以安全地扫描计算机。

* CIH 杀毒工具将不会从文件中检测或杀除 W95.CIH 病毒。它会在内存中禁用该病毒，从而使得 Norton AntiVirus 可以消除感染，而不会有意外地传播病毒之虞。

可以从 DOS 命令行或登录脚本运行 CIH 杀毒工具，这使得网络管理员可以将杀毒过程自动化。请执行下列操作：

1. 根据下载页上的指导，下载并运行 CIH 杀毒工具。请不要在提示前重新启动计算机。

2. 运行 LiveUpdate，确保您的病毒定义是最新的。

3. 启动 NAV 并确保其配置为扫描所有文件。有关指导，请阅读文档：如何配置 Norton AntiVirus 扫描所有文件。

4. 运行完整的系统扫描。

5. 如果有任何文件被检测为受 W95.CIH 感染，则单击“修复”。如果 NAV 报告文件无法修复，则记下文件名，然后单击“删除”。

备用的杀毒程序

该杀毒程序不使用工具来杀除病毒：

1. 执行下列操作之一：

* 如果您的计算机可以从 CD-ROM 驱动器启动并且使用的是 Norton AntiVirus 2001 或更高版本：

1. 将 Norton AntiVirus 光盘插入 CD-ROM 驱动器并重新启动计算机。

2. 当出现菜单时，进行病毒扫描和修复。

3. 当扫描完成后，从 CD-ROM 驱动器中取出光盘并重新启动计算机。

4. 启动 Norton AntiVirus (NAV)，并确保 NAV 配置为扫描所有文件。有关指导，请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

5. 运行完整的系统扫描。

6. 如果有任何文件被检测为受 W95.CIH 感染，则单击“修复”。

* 如果您的计算机无法从 CD-ROM 驱动器启动，或者如果您使用的是 Norton AntiVirus 2000 或更早版本：

1. 在未受感染的计算机上安装 Norton AntiVirus。

2. 运行 LiveUpdate，然后运行完整的系统扫描。

3. 单击 NAV 工具栏上的“救援”。

4. 按照提示创建基本救援磁盘集。

5. 将完成的基本救援磁盘集插入受感染计算机上的软盘驱动器中。重新启动计算机。

6. 当出现 Rescue Disk 窗口时，使用键盘上的箭头键选择 Norton AntiVirus。

7. 编辑窗口底部的命令行使其如下显示：

navdx /a /b+ /m+ /repair /cfg:a /log:c:\vreplog.txt

8. 然后按 Enter 键。

扫描完成后，重复步骤 6 到步骤 8，这一次编辑命令行使其如下所示：

navdx /a /b+ /m+ /delete /cfg:a /log:c:\vdellog.txt

然后按 Enter 键。

9. 扫描完成后，杀毒过程即告完成。从磁盘驱动器取出所有磁盘，然后重新启动计算机。

10. 启动 NAV 并确保其配置为扫描所有文件。有关指导，请阅读文档：如何配置 Norton AntiVirus 扫描所有文件。

11. 运行完整的系统扫描。

12. 如果有任何文件被检测为受 W95.CIH 感染，则单击“修复”。