CIH 病毒 CIH virus english versiion
1. CIH 病毒基本資料
病毒長度:約 1K bytes.
感染後的檔案長度:0 bytes
簡介:CIH 一反常態的不會將自己附在受染檔案的尾端空。每當病毒發病,它會整合位於各區間的程式碼,並常駐記憶體。利用
Ring 0 的 IFSMgr_Ring0_FileIO的方式,感染所有PE type 的 .exe 檔案。一旦你的PE file 裡發現以下其中之一的字串
"CIH v1.2 TTIT", "CIH
v1.3 TTIT" or "CIH v1.4 TATUNG" 即表示中毒了。
2. CIH 有多少變種病毒?
有 3 種變種:. CIH v1.2, CIH v1.3和 CIH v1.4
3. CIH 感染哪些檔案?
CIH以 PE 格式的可執行檔為感染目標,也就是說它會攔截副檔名為
".EXE " 的檔案。DOS.EXE檔案或是16位元檔案,則不會被攻擊。
4. CIH 會感染 Windows NT 嗎?
不會。CIH 使用的 VxD 程式技術常駐記憶體. 目前 VxD 技術只運用於for Windows 95 和
Windows 98 . 所以不會破壞 Windows
NT 環境。
5. CIH的破壞力?
一旦執行被CIH 感染的檔案,其破壞力如下
CIH v1.2 每年 4月 26 日格式化硬碟
CIH v1.3 每年 6月 26 日格式化硬碟
CIH v1.4每月 26 日格式化硬碟
當你重開機時,則螢幕出現"
Disk Boot Failure,Insert System Disk And Press Enter " 若你用 A : 開機,再執行 C: 指令,則出現" Invalid drive specification "即使您曾經有備份開機區資料,但是,你硬碟中的資料,已全毀了,可不可以開機已經沒有意義了。
6.如果結束被CIH感染的應用程式, 繼續使用其他
Win32 應用程式, 這些程式會被感染嗎?
會!一旦被CIH常駐記憶體,即使關閉現行被感染的應用程式CIH 仍在背景伺機感染,一但繼續使用或
Copy其他 Win32 應用程式, 這些程式即會被感染。
7.如何得知我的電腦是否已被這個電腦病毒感染?
有下列幾種方法:1. 適用電腦初階使用者→
以"開始"的"尋找" 的"進階"選項設定,尋找所有的 .EXE 中含有" CIH V1.2 TTIT "的字串。如果有找到,則表示你的電腦已被感染了。2.適用電腦中階使用者→另外一種方法是利用
Binary 檔案編輯器去檢查檔案 .EXE 中的 "PE\0\0 "之前的一個 byte 是否是 0x00
。正常情況應該是0,如果被改了,那表示這個檔案被感染了。3.適用電腦高階使用→其實,最正確的的方法應該是利用
Binary 檔案編輯器去找 "PE\0\0"
的位移,0x28 處的 4個 Byte 值所指的位置的資料區(即一般電腦專業術語
Program Entry Point 程式起使進入點)是否是 "55 8D 44 24 F8 33 DB 64" ,如果是則表示這個檔案被感染了。
直接下載avp32129.zip
Download the CIH virus cleaner now (under 18k)
ss980916.exe sscan antivirus 100000k
前往防掃毒軟體區選擇防掃毒軟體
[An article considering the handling of a CIH outbreak, including concerns for heavily infested networks is available. It also covers the whys and wherefores of Flash ROM use and their implications for system design.]
[The August 1998 Editorial also pondered matters CIH-ish.]
go to antivirus area download the antivirus software.
I want to get the antivirus software now!!