男色众多一公子轻狂:CIH病毒！！！！！

CIH（英语又称为 Chernobyl 或 Spacefiller）是一种电脑病毒，其名称源自它的作者当时仍然是台湾大同工学院（现大同大学）学生的电脑技术鬼才陈盈豪的名字拼音缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用户系统上的全部信息，在某些情况下，会重写系统的BIOS。因为CIH病毒的1.2和1.3版，发作日期为4月26日，正好是俄国核电厂灾害“切尔诺贝利核事故”的纪念日，故曾被认为病毒作者撰写动机和切尔诺贝利事件有关，因此CIH病毒也被称作切尔诺贝利（Chernobyl）病毒。

【历史】
1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运出一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏了BIOS，无法启动。至2000年4月26日，许多损坏发生在亚洲，但是病毒没有传播开来。2001年3月，Anjulie蠕虫病毒被发现，它将CIH v1.2植入感染的系统。现在，CIH不再像他刚出现时分布那么广泛传播，因为人们以对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统。

这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。
一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。

只有CIH感染大量发信的计算机蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows 95，98和windows Me系统上发作，影响有限。

【病毒特征】
CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT、Windows 2000或者Windows XP上传播。

由于CIH会感染可执行文件，它会占据一般的可执行文件空余的位置。因此，CIH又有一个绰号叫“空间填充者（Spacefiller）”。这个病毒大小约1KB，但是文件不会增大。它使用从处理器环3到0跳转的方法触发系统调用。

当他发作时，是非常危险的。首先病毒会在硬盘和软盘中从第0扇区开始的第一个兆字节（1024KB）写入零数据。这样经常删除了分区表的内容，将有可能死机。

第二个，他也会尝试将垃圾信息写入Flash BIOS。这一过程会在基于Intel 430TX芯片组的机器上起作用，如果保护跳线是关闭的。上述芯片组将允许电脑程序刷写Flash BIOS。

对于第一个，如果数据很重要，可以将硬盘交给一些专业恢复数据的公司，这将有可能使数据恢复；或者在某些情况下，可以使用Fix CIH，一个由史蒂夫·吉布森编写的免费软件。否则，必须运行FDISK重新划分分区。不过，当第二种情况发生时，电脑将无法启动。需要请技术人员重写或更换Flash BIOS芯片。

【版本】
CIH v1.2（CIH.1103）
这是最常见的版本，他的发作时间为4月26日。它包含这个字符串：CIH v1.2 TTIT。

CIH v1.3（CIH.1010A和CIH1010.B）
这个版本的CIH也是在4月26日发作。它包含这个字符串：CIH v1.3 TTIT。

CIH v1.4（CIH.1019）
它在每月26日发作。他仍然存在，虽然他并不常见。它包含这个字符串：CIH v1.4 TATUNG。

CIH.1106
他还是个变化很小的，最近的一个变种，出现在2002年12月。

CIH病毒传播的主要途径是Internet和电子邮件，当然随着时间的推移，它也会通过软盘或光盘的交流传播。据悉，权威病毒搜集网目前报道的CIH病毒， “原体”加“变种”一共有五种之多，相互之间主要区别在于“原体”会使受感染文件增长，但不具破坏力；而“变种”不但使受感染的文件增长，同时还有很强的破坏性，特别是有一种“变种”，每月26日都会发作。

CIH病毒只感染Windows 95/98操作系统，从目前分析来看，它对DOS操作系统似乎还没有什么影响，所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒“变种”在每年4月26日（有一种变种是每月26日）都会发作。发作时硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失。CIH病毒发作后，就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压，改写只读存储器的BIOS，被破坏的主板只能送回原厂修理，重新烧入BIOS。
CIH病毒详情

【目前的版本】
市面上有v1.2v1.3v1.4，至于v1.0v1.1则没流到市面上...

【各版的特性】
v1.0感染后,档案变大,没破坏力。
v1.1感染后,档案不会变大,没破坏力。
v1.2感染后,档案不会变大,具破坏力。
v1.3感染后,档案不会变大,具破坏力，同时不感染部份自解档。
v1.4感染后,档案不会变大,具破坏力，每月26日发作,对所有自解档都不感染。

目前的版本,即使在NT环境下跑,也不会发生错误,但在NT下失去病毒的所有作用...

【发作时间】
(1)如果中的是v1.2及v1.3版的话,每年的4/26会发作...
(2)但如果中的是v1.4版,则每个月的26日会发作...

【在Windows95/98发作的样子】
(1)硬碟狂奔...所有硬碟资料不见...必须重新fdisk...
(2)部份厂牌只需5V即可reflash的BIOSEEPROM(如SST),则会被清掉...造成无法开机...只有送去维修或是用IC烧录器重新把资料烧回去...

想企图用软体从重新烧录,将会发现reflash程式误判EEPROM型号,导致无法烧入...至于需要调jumper才可以reflash的12VBIOSEEPROM,则无法破坏(实际上,我也没试过...)至于真的能洗掉BIOS资料吗!?其相容性,我不很清楚...但我试过两种主机板,技嘉以及微星...发作时,确实可以...

那些以前抱着世界上根本没有BIOS病毒的人,现在大概不敢吭声...虽然这只病毒没写入病毒码在BIOS里面,而只是填入垃圾资料到BIOS,就足以证明,部份BIOS可能会被病毒清掉其程式,甚至被病毒感染...这大概也是全世界第一只能破坏reflashBIOS的病毒...

【如何发现自己已经中毒】
一般来说(这些方法并不一定能找到所有中毒的档案,可能少数找不到),用UltraEdit开启C\Windows\Notepad.exe,然后查询CIHv1.的字串...若发现此字串,就代表系统中标了...此时系统已经藏有病毒...千万不要照着Virus版的方法,跟白痴一样,再全部搜寻所有执行档,检查有没有这个mark,那只会扩大病情...

等你搜寻完后,本来没中的档案,也都中完了...至于Notepad.exe没找到这个字串,则代表系统没中毒...这时才可以放心的用软体搜寻完所有执行档,看看哪几个新抓回来的档案有毒...其实目前更好的办法,可以到Virus版拿新出来的侦毒/解毒程式...

【如何侦毒/解毒】
在各大BBS站的Virus版,就会有找的到...各版本的解毒,似乎都存在某些问题...以SSCAN来说,作者似乎没把SECTIONTABLE,以及病毒感染做的mark还原,这将会造成teleport,自解档等软体在进行自我检查是否有被修改时,会发现被修改,导致无法顺利执行...大概这样子...其他的解毒...没信心用...中了v1.4版的人,千万记住每个月的26日会发作...

请问你的机器是不是连网的机器，如果是的话没有必要担心了，因为上网的机器没有病毒是不可能的！
若没有连网，是单机，最好用杀毒软件查查！这样的病毒一般在感染时，通常造成机器启动慢，运行慢哈！

都什么年月了，还有CIH这种老古董病毒啊？