¿Cuáles son los tipos generales de virus biológicos y cuáles son los estados y fenómenos que ocurrirán después de ser infectado por el virus? ¡Gracias!

Análisis:

El famoso virus CIH.

El virus CIH, también conocido como Win95.CIH\Spacefiller\Win32.CIH\PE_CIH, etc., es un virus de tipo archivo y fue escrito por un estudiante universitario taiwanés llamado Chen Yinghao. El operador CIH es una herramienta llamada "Módulo de chat chino ICQ". Los virus CIH infectan archivos ejecutables (EXE) en sistemas Windows 95/98. Cuando se ejecuta un archivo EXE envenenado, el virus CIH reside en la memoria e infecta otros programas cuando se accede a él.

El virus CIH se propaga principalmente a través de la red (Internet y LAN) y discos ópticos (principalmente discos ópticos y disquetes pirateados). Inicialmente se propagaba a través de software pirateado (incluido algún software de juego popular "Tomb Raider). "). Difundir rápidamente. Debido a la popularidad de Internet, Internet se ha convertido en el canal de comunicación más importante. El virus CIH solo infecta Windows9x, incluidos Windows95, Windows97, Windows98 y aplicaciones con sufijos exe, vxd, vxe que se ejecutan en Windows9x e incluso archivos autoextraíbles. También infectará todas las unidades lógicas del disco duro. Si la computadora se reinicia desde la unidad C varias veces, el virus CIH crea una oportunidad para dañar el BIOS de la placa base de la computadora. El virus CIH sólo puede destruir esos BIOS actualizables (tipo FLASH), simplemente restaura los parámetros CMOS de este último BIOS a la configuración de fábrica de la computadora. Con múltiples arranques en caliente, el virus CIH causará los mismos estragos en el BIOS todos los días excepto el 26 del mes.

Tras ser descubierto en Taiwán a principios de junio de 1998, el virus comenzó a explotar por todo el mundo. Es precisamente porque el virus CIH utiliza exclusivamente la tecnología VxD que el virus se propaga en el entorno de Windows de una manera particularmente oculta y en tiempo real. Es difícil para el software antivirus general detectar la propagación de este virus en el sistema. >

C-CCI se convirtió en un virus popular en tan sólo unos meses.

Cinco versiones del desarrollo de la variante CIH:

Desde la aparición del virus CIH, ha habido al menos 5 versiones, incluidas v1.0, v1.1, v1.2, v1. Versión 3, v1.4, etc. V1.O es la versión original de CIH, que no es destructiva e infecta archivos ejecutables de Windows PE. V1.1 puede determinar automáticamente el sistema operativo, como Windows NT, y se oculta, por lo que no se mostrará la longitud del archivo infectado; aumentar V1.2. Se agregó código que destruye el disco duro del usuario y el programa BIOS del host del usuario, convirtiéndose en un virus vicioso. Este es un virus cruel. La versión V1.3 no está infectada con el programa autoextraíble WINZIP y la fecha del ataque cambia al 26 de junio de cada año. La versión V1.4 cambia la fecha del ataque y la información de derechos de autor del virus. La fecha del ataque es el 26 de cada mes.

Virus CIH v1.0:

La versión inicial v1.0 tiene solo 656 bytes de largo, su prototipo es relativamente simple y su estructura no ha mejorado mucho con respecto a los virus comunes. Su mayor "punto de venta" es que es uno de los pocos virus que puede infectar archivos ejecutables de Microsoft Windows PE y los archivos de programa que infecta han aumentado de tamaño. Esta versión de CIH no es destructiva.

Virus CIH v1.1:

A partir de la v1.1, el virus tenía una longitud de 796 bytes. Esta versión del virus CIH tiene la capacidad de detectar el software Win NT. Una vez que determina que el usuario está ejecutando Win NT, no funcionará y se ocultará para evitar generar mensajes de error. Al mismo tiempo, utiliza un código más optimizado. para reducir la duración del virus.

Otra ventaja de esta versión de CIH es que puede aprovechar los "espacios" en el archivo ejecutable de WIN PE, dividirse en varias partes según sea necesario y luego insertarlo en el archivo ejecutable de PE. puede infectar la mayoría de los archivos WIN PE sin aumentar la longitud del archivo.

CIH v1.2:

Cuando se desarrolló a la v1.2, además de corregir algunos defectos de la v1.1, también añadió código para destruir el disco duro del usuario y el programa BIOS del host del usuario, esta mejora lo hace ingresar a las filas de los virus viciosos. La longitud de esta versión del virus CIH es de 1003 bytes.

Virus CIH v1.3:

El mayor defecto del virus CIH v1.2 original es que cuando infecta un archivo ZIP autoextraíble, provocará que el paquete comprimido ZIP que se incluirá en el archivo autoextraíble. Aparece:

Encabezado de WinZip Self-Extractor dañado. Encabezado de Extractor dañado.

Posible causa: error de transferencia de disco o archivo.

La versión v1.3 del virus CIH fue algo apresurada y mejorada para solucionar los defectos anteriores. Una vez que determine que el archivo que está abriendo es un programa autoextraíble como WinZip, no quedará infectado. Además, esta versión de CIH ha modificado los tiempos de inicio. CIH v1.3 tiene un tiempo de arranque de 1010 bytes.

CIH v1.4:

Esta versión del virus CIH ha mejorado los defectos de la versión anterior. No infectará paquetes autoextraíbles ZIP, y ha modificado el tiempo de ataque. e información de derechos de autor del virus (La información de la versión se cambia a "CIH v1.4 Datong", que es la misma que la versión anterior, que es "CIH v1.4 Datong". La información de la versión anterior es "CIH). v1.x TTIT"), la longitud de esta versión es de 1019 bytes.

Calendario para la rápida propagación del virus CIH:

1998/6/2 Taiwán informó por primera vez del descubrimiento del virus CIH

1998/6/6 CIH v1 .2 fue descubierto

1998/6/12 CIH v1.3 fue descubierto

1998/6/26 CIH v1.3 causó cierto grado de daño

1998/6/30 Se descubrió CIH V1.4

1998/7 Se encontró en el entorno de INTERNET una instancia de infección distribuida basada en el sistema WIN98

El 26 de julio de 1998, CIH el virus comenzó a propagarse ampliamente en los Estados Unidos.

1998/8 Se descubrió que la DEMO estaba infectada en el sitio web del juego Wing Commander.

1998/8 CD de dos revistas europeas de juegos para PC. se descubrió que estaban infectados con CIH

26/8/1998 La versión 1.4 de CIH estalló y se propagó globalmente por primera vez

El 26 de agosto de 1998, el virus invadió China

El 31 de agosto de 1998, el Ministerio de Seguridad Pública emitió un aviso de emergencia, la agencia de noticias Xinhua y CCTV News transmitieron el texto completo

1998/9 Un cierto tipo de software de unidad de CD-R de Yamaha Corporation fue infectada con CIH

1998/10 La versión demo del juego distribuido globalmente SiN fue infectada. Se descubrió que estaba infectada con CIH

1999/3 Se descubrió que la versión 1.2 de CIH estar preinstalado en la máquina Aptiva de IBM

1999/4/26 CIH 1.2, más de 60 millones de computadoras en todo el mundo fueron infectadas grado de daño

2000/4/26 El segundo brote a gran escala de CIH versión 1.2, con pérdidas globales que exceden los mil millones de dólares;

El tercer brote de CIH el 26/4/2001 Sólo en Beijing, más de 6.000 computadoras han sido dañadas por CIH

2002/4/26 Hasta ahora, la velocidad de ataque de los virus CIH se ha ralentizado, pero el departamento de servicio al cliente de Jiangmin Company todavía recibe llamadas cada año. Docenas de casos de infección CIH de usuarios que piden ayuda.

¿Por qué CIH es tan "poderoso"?

Cuando el virus CIH ataca, sobrescribirá la mayoría de los datos en el disco duro, por lo que los datos solo se pueden restaurar desde la última copia de seguridad, el virus tiene otra forma de destruir los datos: intentar sobrescribirlos; los datos en los datos de Flash BIOS. Una vez que se sobrescribe Flash BIOS, la máquina no arrancará y solo podrá reiniciarse después de que se haya sobrescrito Flash BIOS. Este es el caso de muchos tipos de máquinas PENTIUM (como la Intel 430TX), y en la mayoría de estas máquinas el BIOS Flash está protegido por un puente y generalmente está apagado.

El virus CIH infecta archivos ejecutables de Windows (EXE), no infecta documentos de Word y Excel. CIH puede infectar sistemas Win95/98, pero no sistemas Windows NT.

El virus CIH utiliza un método especial para infectar archivos ejecutables. El tamaño del archivo infectado no cambiará en absoluto y el tamaño del código del virus es de aproximadamente 1K. Para obtener acceso a los archivos del sistema, el virus rastrea el salto del procesador del anillo 0 al anillo 3.

Los síntomas del virus CIH incluyen:

El sistema no puede iniciarse normalmente. El arranque en caliente le dará al virus la oportunidad de destruir el BIOS. Un BIOS no actualizable hará que los parámetros CMOS. cambiar al estado de fábrica, que se puede actualizar, el BIOS puede dañar la placa base. Las aplicaciones no se ejecutan correctamente y se congelan inexplicablemente.

El sistema no se puede apagar normalmente. Cuando aparece la pantalla "Windows se está cerrando..." en el sistema, el sistema fallará. Si se inicia en caliente, es posible que el hardware esté dañado. Además, el software infectado con el virus CIH aumentará de tamaño y el programa se dañará.

Tres formas de determinar si está infectado con el virus CIH

1. Dado que las versiones populares del virus CIH utilizan texto sin cifrar para identificar los números de versión, puede buscar los caracteres en la cadena del archivo ejecutable ("CIH v" o "CIH v1") para determinar si está infectado con el virus CIH. Si desea buscar una cadena más completa, pruebe con "CIH v1.2 TTIT", "CIH v1.3 TTIT", "CIH v1.4 TATUNG" y "CIH v1.4 TATUNG". No busque directamente la cadena de función "CIH", ya que está presente en muchos programas comunes, como la siguiente línea de código: