怀旧精品CIH

jehovah_king

现在已经没有什么威胁了，只是作为爱好收藏
infected









CIH病毒
维基百科，自由的百科全书 
汉漢▼
CIH 
常用名称        CIH
技术名称        Win32.CIH, Win95.CIH
别名        Spacefiller、PE_CIH
家族        CIH
分类        系统病毒
 - 感染系统        Windows 95/98
 - 感染文件        PE格式
发现时间        1998年9月
 - 发现地点        未知
 - 来源地        台湾
作者        陈盈豪（Chen Ing-hau）


CIH（英语又称为 Chernobyl 或 Spacefiller）是一种电脑病毒，其名称源自它的作者当时仍然是台湾大同工学院（现大同大学）学生陈盈豪的名字拼音或注音（Chen Ing-hau）缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用户系统上的全部信息，在某些情况下，会重写系统的BIOS。因为CIH病毒的1.2和1.3版发作日期为4月26日（第一版本病毒创造出来的时间），正好是前苏联（位于今日乌克兰）核电厂灾害“切尔诺贝利核事故”的纪念日，故曾被认为病毒作者撰写动机和切尔诺贝利事件有关，因此CIH病毒也被称作切尔诺贝利（Chernobyl）病毒。目录 [隐藏]
1 历史
2 病毒特征 
2.1 CIH v1.2（CIH.1103）
2.2 CIH v1.3（CIH.1010A和CIH1010.B）
2.3 CIH v1.4（CIH.1019）
2.4 CIH.1106
3 参见
4 外部链接


[编辑]
历史

1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运出一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法启动。至2000年4月26日，亚洲报称发生多宗损坏，但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒，它将CIH v1.2植入感染的系统。

这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。

一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。

只有CIH感染大量发信的计算机蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows 95，98和windows Me系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统，CIH不再像他刚出现时分布那么广泛传播。

[编辑]
病毒特征

CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT、Windows 2000或者Windows XP上传播。

由于CIH会感染可执行文件，它会占据一般的可执行文件空余的位置。因此，CIH又有一个绰号叫“空间填充者（Spacefiller）”。这个病毒大小不到1KB，但是文件不会增大。它使用从处理器环3到0跳转的方法触发系统调用。

当它发作时，是非常危险的。首先病毒会在硬体和软体中从第0扇区开始的第一个兆字节（1024KB）写入零数据。这样经常删除了分区表的内容，将有可能死机。

第二个，它也会尝试将垃圾信息写入Flash BIOS。如果保护跳线是关闭的，这一过程会在基于Intel 430TX芯片组的机器上起作用，上述芯片组将允许电脑程序刷写Flash BIOS。

对于第一个，如果数据很重要，可以将硬盘交给一些专业恢复数据的公司，这将有可能使数据恢复；或者在某些情况下，可以使用Fix CIH，一个由史蒂夫·吉布森编写的免费软件。否则，必须运行FDISK重新划分分区。不过，当第二种情况发生时，电脑将无法启动。需要请技术人员重写或更换Flash BIOS芯片。

[编辑]
CIH v1.2（CIH.1103）

这是最常见的版本，他的发作时间为4月26日。 它包含这个字符串：CIH v1.2 TTIT。

[编辑]
CIH v1.3（CIH.1010A和CIH1010.B）

这个版本的CIH也是在4月26日发作。 它包含这个字符串：CIH v1.3 TTIT。

[编辑]
CIH v1.4（CIH.1019）

它在每月26日发作。他仍然存在，虽然他并不常见。 它包含这个字符串：CIH v1.4 TATUNG。

[编辑]
CIH.1106

它还是个变化很小的、最近的一个变种，出现在2002年12月。

[编辑]
参见

[ 本帖最后由 jehovah_king 于 2009-5-29 11:09 编辑 ]

悠柚

D:\TDDownload\malware\malware.exe         已检测: Virus.Win9x.CIH!IK
Win9x是够老的了

einnawy

W95/CIH.C

wajika

楼主这个东西不用测试了把

Palkia

病毒        2009-05-29  11:10:35        F:\DL\malware.exe        Win95.CIH.1230        跳过，未处理

wajika

病毒信息
附件 malware.exe 含有Junk/FCIH-1249病毒  清除失败

jefffire

红伞不报，BD不报，comodo不报
没威胁了

jehovah_king

原帖由 wajika 于 2009-5-29 11:09 发表
楼主这个东西不用测试了把

没有说要测试，只是留给那些和我一样对传说中的病毒感兴趣的人

jehovah_king

原帖由 jefffire 于 2009-5-29 11:11 发表
红伞不报，BD不报，comodo不报
没威胁了

红伞报了，你没解压吧？

江湖的fans

微点未报