如何对付cih病毒.txt

该文件夹里面重点描述了CIH病毒的源码和原理

发信人: triton (半颗勇敢的心), 信区: Virus 
标  题: CIH病毒是什么如何对付 
发信站: 武汉白云黄鹤站 (Thu Sep  3 21:53:50 1998) , 站内信件 
  
发信人: bluesea (蓝海), 信区: Virus 
标  题: 昨天有人中毒没有？ 
发信站: BBS 水木清华站 (Thu Aug 27 00:35:58 1998) 
  
病毒 Win95.CIH 1.4，每月26发作，可能改写Flash BIOS，造成系统不能启动。 
  
确认的清除工具：AVP 3.0.122+ NAV 4.0+最新update 
  
-- 
上帝创造猫，是为了让人类体验抚摸老虎的快乐。 
  
发信人: cal (无知), 信区: Virus 
标  题: about CIH... 
发信站: BBS 水木清华站 (Thu Aug 27 13:07:45 1998) 
  
  
  偶想知道如果是5v就可以reflash的EPROM,中了CIH之后就真的 
只有送去维修或是用 IC 烧录器重新把资料烧回去？ 
各位有什么好的方法?上面的English FAQ和details都看过了, 
可是都是说要拿回去给factory重新把资料烧回去.... 
偶现在的Ax59pro没有boot block programming protection. 
以前的T2P4就有,哎...ASUS的mainboard还是很不错的...... 
  
下面这封信看过的就略过吧........ 
  
[copy] 
CIH病毒作者的一封信(转寄) 
_________________ 转载文字 __________________ 
    相信不少人很想砍我... ~~~>_<~~ 
    我现在说什麽都没用, 实在很抱歉... 
    对不起... 
    但有些事情要交代一下, 因为那些只会打着华丽骗人广告的防毒公司没交代清 
楚, 很容易造成更大的灾害... 
    什么人工智慧, 防未知病毒入侵, 全是唬烂... 
    防毒公司的广告... 根本就是骗人的... 这次的事件, 就可以看得出来... 
  
【目前的版本】 
市面上有 v1.2 v1.3 v1.4 
至于 v1.0 v1.1 则没流到市面上... 
  
【各版的特性】 
v1.0: 感染后, 档案变大, 没破坏力. 
v1.1: 感染后, 档案不会变大, 没破坏力. 
v1.2: 感染后, 档案不会变大, 具破坏力. 
v1.3: 感染后, 档案不会变大, 具破坏力. 同时不感染部份自解档. 
v1.4: 感染后, 档案不会变大, 具破坏力. 每月 26 日发作, 对所有自解档都不感 
      染. 
目前的版本, 即使在 NT 环境下跑, 
也不会发生错误, 但在 NT 下失去病毒的所有作用... 
  
【发作时间】 
(1) 如果中的是 v1.2 及 v1.3 版的话, 每年的 4/26 会发作... 
(2) 但如果中的是 v1.4 版, 则每个月的 26 日会发作... 
  
【在 Windows 95/98 发作的样子】 
(1) 硬碟狂奔... 所有硬碟资料不见... 必须重新 fdisk... 
(2) 部份厂牌只需 5V 即可 reflash 的 BIOS EEPROM(如 : SST), 则会被清掉... 
    造成无法开机... 只有送去维修或是用 IC 烧录器重新把资料烧回去... 想企 
    图用软体从重新烧录, 将会发现 reflash 程式误判 EEPROM 型号,  导致无法 
    烧入... 
    至于需要调 jumper 才可以 reflash 的 12V BIOS EEPROM, 则无法破坏(实际 
上,我也没试过...) 
    至于真的能洗掉 BIOS 资料吗!?  其相容性, 我不很清楚... 但我试过两种主 
机板, 技嘉以及微星... 发作时, 确实可以... 
    那些以前抱着世界上根本没有 BIOS 病毒的人, 现在大概不敢吭声... 虽然这 
只病毒没写入病毒码在 BIOS 里面, 而只是填入垃圾资料到 BIOS , 就足以证明, 
部份 BIOS 可能会被病毒清掉其程式, 甚至被病毒感染... 
  
这大概也是全世界第一只能破坏 reflash BIOS 的病毒... 
  
【如何发现自己已经中毒】 
    一般来说 (这些方法并不一定能找到所有中毒的档案, 可能少数找不到),  用 
UltraEdit 开启 C:\Windows\Notepad.exe, 然后查询 CIH v1. 的字串... 若发现 
此字串, 就代表系统中标了... 
    此时系统已经藏有病毒...  千万不要照着 Virus 版的方法, 跟白痴一样, 再 
全部搜寻所有执行档, 检查有没有这个 mark, 那只会扩大病情... 等你搜寻完后, 
本来没中的档案, 也都中完了... 
    至于 Notepad.exe 没找到这个字串, 则代表系统没中毒...  这时才可以放心 
的用软体搜寻完所有执行档, 看看哪几个新抓回来的档案有毒... 
    其实目前更好的办法, 可以到 Virus 版拿新出来的侦毒/解毒程式... 
  
【如何侦毒/解毒】 
    在各大 BBS 站的 Virus 版, 就会有找的到... 各版本的解毒, 似乎都存在某 
些问题... 

    以 SSCAN 来说, 作者似乎没把 SECTION TABLE , 以及病毒感染做的 mark 还 
原, 这将会造成 teleport , 自解档等软体在进行自我检查是否有被修改时, 会发 
现被修改, 导致无法顺利执行... 
    大概这样子... 其他的解毒... 没信心用... :( 
    中了 v1.4 版的人, 千万记住每个月的 26 日会发作... 
    大概这样子... 其他的解毒... 没信心用... :( 
    尽快拿解毒程式解毒... 
  
                                                大同工学院 CIH 6/6 
__________________ 转载文字（完） __________________ 
  
  
-- 
      哦 算了吧  就这样忘了吧