Un virus es sólo un programa. ¿Cómo daña el hardware?
El virus CIH es uno de los virus más insidiosos jamás descubiertos. Cuando estalla, no sólo destruye el sector de arranque y la tabla de particiones del disco duro, sino que también destruye el programa del sistema en el chip flashBIOS del sistema informático, causando daños a la placa base. El virus CIH fue el primer virus descubierto que dañaba directamente el hardware del sistema informático.
El virus ataca el día 25 de cada mes, destruyendo los datos de la memoria del disco duro del ordenador y el programa BIOS del ordenador, provocando que el sistema se inicie de forma oscura.
1.¿Qué tipo de virus es el CIH?
El virus CIH es un virus de archivos y su alias es Win95. CIH, relleno de espacio, Win32. CIH y CIH. Infecta principalmente archivos ejecutables (formato PE) en Windows 95/98. La versión actual no infecta DOS ni WIN 3. X (formato NE, formato de archivo ejecutable de Windows y OS/2 Windows 3.1) y no tiene ningún efecto en Win NT. Su proceso de desarrollo ha pasado por cinco versiones: v1.0, v1.1, v1.2, v1.3 y v1.4. La versión más popular actualmente es la v1.2. Durante este período, entre las cinco versiones de v1.0, v1.1, v1.2, v1.3 y v1.4, solo están disponibles v1.2, v1.3 y v65438+. Entre ellos, la versión v1.2 solo ocurre el 26 de abril de cada año, también conocida como virus de Chernobyl (el aniversario del accidente nuclear en la ex Unión Soviética, la fecha de inicio de la v1.3 es el 26 de junio de cada año); La fecha de ataque a la versión es el día 26 de cada mes. El virus CIH sólo infecta entornos Windows 95/98. Los virus CIH permanecen en la memoria después de ejecutar un programa infectado. al ejecutar otro. exe, primero busque "cueva" en el archivo. Si no lo encuentra, se infectará inmediatamente. Cuando estalla el virus CIH, los datos del disco duro, el registro de arranque maestro del disco duro, el sector de arranque del sistema y la tabla de asignación de archivos se sobrescriben, lo que provoca la pérdida de datos del disco duro, especialmente los datos de la unidad C, y la destrucción del BIOS Flash en algunos tipos de placas base, lo que inutiliza el ordenador. Es un virus cruel que daña el software y el hardware.
Varias versiones de los virus CIH se han ido mejorando continuamente con el tiempo. Su proceso de desarrollo básico es el siguiente:
Versión del virus CIH v1.0:
V1. La versión original de 0 tenía solo 656 bytes y el prototipo era relativamente simple. Su estructura no mejoró mucho en comparación con los virus comunes. Su mayor "punto de venta" era que era uno de los pocos virus que podía infectar archivos ejecutables de Microsoft Windows PE y la longitud del archivo del programa infectado aumentaba, por lo que esta versión de CIH no era destructiva.
Virus CIH versión v1.1:
Cuando se desarrolló a la versión v1.1, la longitud del virus era de 796 bytes. Esta versión del virus CIH tiene la capacidad de juzgar el software Win NT. Una vez que se determina que el usuario está ejecutando Win NT, no funcionará. Se ocultará para evitar generar mensajes incorrectos. Al mismo tiempo, utiliza código más optimizado para reducir su longitud. Otra característica sobresaliente de esta versión de CIH es que puede usar el "espacio" en el archivo ejecutable de clase WIN PE para dividirse en varias partes según sea necesario e insertarlas en el archivo ejecutable de clase PE respectivamente. La ventaja de esto es que cuando la mayoría de los archivos de clase WINPE están infectados, la longitud del archivo no aumenta.
Versión v1.2 del virus CIH:
Cuando se desarrolló a la versión v1.2, no solo corrigió algunos defectos de la versión v1.1, sino que también agregó la capacidad de destruir el disco duro del usuario y el código del programa del host del usuario. Esta mejora lo coloca en las filas de los virus viciosos. La longitud de esta versión del virus CIH es de 1003 bytes.
Versión del virus CIH v1.3:
El mayor defecto de la versión original del virus CIH (v1.2) es que cuando un archivo ZIP autoextraíble está infectado, aparece durante la autoextracción. Este archivo ZIP autoextraíble:
El encabezado del archivo autoextraíble WinZip está dañado.
Posible causa: Error de transferencia de disco o archivo.
mensaje de advertencia de error. La versión v1.3 del virus CIH parece un poco ansiosa y sus puntos de mejora son solucionar los defectos anteriores. Su método de mejora es: una vez que se determina que el archivo abierto es un programa autoextraíble de WinZip, no quedará infectado.
Al mismo tiempo, esta versión del virus CIH ha modificado el tiempo de ataque. La longitud del virus CIH v1.3 es de 1010 bytes.
Versión del virus CIH v1.4:
Esta versión del virus CIH ha mejorado los defectos de la versión anterior, no infecta archivos de paquetes autoextraíbles ZIP y modificó la fecha del ataque. y fecha en la información de derechos de autor del virus (la información de la versión se cambia a "CIH v1.4 TATUNG", la información relevante en la versión anterior es "CIH v1.x TTIT"). La longitud de esta versión es 1066.
Podemos ver en la descripción anterior que, de hecho, entre las versiones relevantes de CIH, solo la v1.2, v1.3 y v1.4 son realmente destructivas, la versión v1.2 del. El virus CIH tiene una fecha de brote el 26 de abril de cada año y actualmente es la versión más popular del virus. La fecha de ataque de la versión v1.3 es el 26 de junio de cada año, mientras que la fecha de ataque de la versión CIH v1.4 se cambia al 26 de cada mes, lo que acorta en gran medida el ciclo de ataque y aumenta su destructividad.
En segundo lugar, el daño causado por el brote del virus CIH:
CIH es un virus maligno. Cuando las condiciones de ataque estén maduras, destruirá los datos del disco duro y posiblemente el programa BIOS. Las características del ataque son las siguientes:
1. Escriba datos basura en el disco duro desde el área de arranque principal del disco duro en unidades de 2048 sectores, hasta que los datos del disco duro se destruyan por completo. En el peor de los casos, se destruirán todos los datos del disco duro (incluidos todos los datos del disco lógico). Si no hace una copia de seguridad de la información importante, ¡solo podrá llorar!
2. Se borrará la información del BIOS en la ROM flash de algunas placas base.
Tres. Características de la infección por el virus CIH:
En la versión popular del virus CIH, la información que identifica el número de versión está en texto claro, por lo que puedes identificar si estás infectado con el virus CIH buscando la cadena en el archivo ejecutable Buscar La cadena característica es "CIH v" o "CIH v1". Si desea buscar una cadena característica más completa, puede probar "CIH v1.2 TTIT", "CIH v1.3 TTIT". , "CIH v 1.4 Tatung", no busque directamente la cadena de características "CIH", porque esta cadena de características también existe en muchos programas normales. Por ejemplo, existen las siguientes líneas en el programa:
Company bx<. /p>
December cx
December Ax
Su código de firma es exactamente "CIH (0x 43; 0x490x48)", lo que es propenso a errores de juicio.
El método de búsqueda específico es el siguiente: primero abra el administrador de recursos, seleccione la función de menú Herramientas → Buscar → Archivo o carpeta, ingrese la ruta de búsqueda y el nombre del archivo (como *.EXE) en la ventana emergente. -up ventana de configuración del archivo de búsqueda Ingrese el nombre y la ubicación, y luego ingrese la cadena característica "CIH V" que se buscará en la columna "Avanzado → Contiene texto". Si durante la búsqueda se muestra una gran cantidad de archivos ejecutables que coinciden con las características de búsqueda, indica que su computadora anterior ha sido infectada con el virus CIH.
De hecho, los métodos anteriores tienen un defecto fatal, es decir, si el usuario acaba de ser infectado con el virus CIH, un proceso de búsqueda a gran escala en realidad expande el área de infección del virus. En circunstancias normales, el método recomendado es ejecutar primero el software WordPad y luego utilizar el método anterior para buscar cadenas características en el programa ejecutable Notepade.exe del software WordPad para determinar si está infectado con el virus CIH.
Otra forma de determinarlo es buscar el campo IMAGE_NT_SIGNATURE en el archivo PE de Windows, que es 0x00004550, que representa el carácter de identificación "PE00", y luego verificar si el byte anterior es 0x00. significa que el programa no ha sido infectado, si tiene otros valores, significa que es probable que esté infectado con el virus CIH.
El último método de evaluación es buscar primero en el campo IMAGE_NT_SIGNATURE - "pe00" y luego buscar si el valor en el desplazamiento 0x28 es 55 8D 44 24 F8 33 DB 64. Si es así, el programa ha sido infectado.
También he oído que cualquier máquina infectada con el virus CIH que reproduzca Need for Speed 2 se bloqueará al cargar el disco del juego. No lo he probado y no sé si esto realmente existe.
El método indicado para usuarios avanzados es buscar directamente la firma y modificarla. El método es el siguiente: primero elimine los dos puntos de salto, es decir, busque la cadena de características 5eCC56bf0 y la cadena de características 5E CC FB 33 DB, y cambie el CC en estas dos cadenas de características a 90 (nop). Luego busque las cadenas características de CD 20 53 00 01 00 83 C4 20 y CD 20 67 00 40 00, y cámbielas todas a 90 (los valores anteriores son 16 hexadecimales).
Otro método es encontrar el punto de entrada correcto del programa PE original y completar el punto de entrada actual (tome un programa CALC.EXE infectado como ejemplo). El método específico es el siguiente: primero busque el campo IMAGE_NT_SIGNATURE - "pe00" y luego desplace cuatro bytes en 0x28, como "a 0020000" (0x 000002 a 0). Los datos "55 8D 44 24 F8 33 DB 64" se encuentran en la ubicación indicada por este desplazamiento (es decir, 0x02A0. El desplazamiento de 0x02FE se obtiene sumando 0X005E a 0X02A0). Por ejemplo, los datos en este desplazamiento son "CB 21 4000" (OXOO 4021 CB), reste ese valor de OX40000. Simplemente coloque el valor de "CB 210000" (0x 0021CB) nuevamente en la posición desplazada 0x28 desde el punto "PE00" (aquí está el punto de entrada del programa de formato Windows PE, el término se denomina punto de entrada del programa). Finalmente, "55 8D 44 24 F8 33 DB 64" se completa con "00", lo que nos resulta conveniente para juzgar si el virus ha sido eliminado.
El método antivirus manual anterior generalmente se aplica a algunos programas individuales (por ejemplo, algunos programas están incluidos en el disquete, pero están infectados con CIH y se pueden usar ahora, ¡jaja!). La desventaja de utilizar el método anterior es que el cuerpo del virus permanecerá en el archivo ejecutable. Aunque no lo usaré, puede resultar un poco incómodo pensar en ello (¿recuerdan el incidente de “los restos del virus CIH muerto en WPS2000 beta”?). Por lo tanto, para verificar y eliminar minuciosamente, se recomienda utilizar algún software antivirus (las operaciones anteriores y el uso de software antivirus para eliminar virus deben utilizar un disco del sistema limpio para iniciar la computadora).
En cuarto lugar, el virus ha estallado, ¿qué debemos hacer?
Si el virus ya ha estallado, depende de tu suerte previa. En un caso, los datos del disco duro se corrompen. En este caso, puede suceder que la computadora se pueda iniciar con un disquete, pero una vez que intente acceder al disco duro, no será accesible, o se producirá un error de acceso, o se podrá acceder al disco duro, pero Se enumerará mucha información sin sentido.
Reparar el disco duro
En lo que respecta a la situación actual, todas las particiones lógicas excepto C: se pueden reparar por completo (depende de dónde se dañó. El ataque es general El síntoma es que el disco duro sigue girando. Nadie es tan estúpido como para apagar el disco duro después de escribir la partición primaria y luego escribir la partición lógica. Otra nota: según el programa que tengo a mano, la versión estándar de CIH. escribe datos basura en secuencia, destruyendo completamente el disco duro. Información. Escuché que algunos solo escriben 5M o datos similares, se desconoce si se puede reparar o no. . En resumen, ¡depende de tu suerte!
El virus CIH destruye el sector de arranque maestro y la tabla de particiones del disco duro, haciendo que los datos del disco duro sean inaccesibles. Siempre que se reconstruya el sector de arranque maestro y se restaure la tabla de particiones, se aprovecha la posibilidad de recuperación de datos. Sin embargo, el daño causado por el virus CIH a la unidad C es más grave que el virus de arranque anterior y es básicamente imposible restaurar la tabla de asignación de archivos de la unidad C. Para otros discos lógicos, existen herramientas disponibles para restaurarlos. Algunas empresas de software antivirus han lanzado herramientas de reparación, pero no son 100% efectivas. Si hay datos importantes en el disco duro, lo mejor es no hacerlo fácilmente y pedir a profesionales que lo reparen.
Reparar la placa base
Otra situación es que además de los datos del disco duro dañados, el programa BIOS en la Flash ROM de la placa base también está dañado. Esta situación se puede dividir en dos categorías, dependiendo del daño y de la estructura de la placa base:
Una es el daño total, que es terrible. La máquina se convirtió en un mudo de rostro negro que ni siquiera podía gritar. Esta falla solo se puede solucionar reescribiendo el BIOS. El método de escritura generalmente consiste en utilizar un "dispositivo de programación" compatible con Flash ROM.
En realidad, esto no es complicado. Un entusiasta de la electrónica puede obtener un chip barato como el 8255 (generalmente usado con computadoras como PC). Si la Flash ROM de la placa base de su máquina está instalada en el zócalo, se recomienda sacarla y buscar a alguien que le ayude a escribir otra (en general, es probable que necesite otro chip ROM con la misma o similar versión de BIOS, intenta encontrar uno prestado de un amigo).
Si realmente no puede encontrar un "dispositivo de programación" aquí, si tiene algunos discos de archivos similares a los utilizados para la actualización del BIOS de la placa base, puede tomar prestado el mismo chip del BIOS o transferir primero el BIOS prestado Inserte el chip ROM en la ranura ROM de su BIOS (recuerde desconectar primero el disco duro con el virus) y luego intente iniciarlo con un disco DOS limpio (simplemente inicie el sistema DOS básico, no cuelgue otros controladores). Una vez completado el inicio, debe comenzar a probar el peligroso trabajo de intercambio en caliente, es decir, desconectar la ROM del BIOS prestada, reemplazarla con una Flash Rom con datos dañados y luego iniciar el software de actualización del BIOS de la placa base para escribir. (Nota: el intercambio en caliente utilizado en este método es un tabú en el campo de la electrónica y no soy responsable de las pérdidas causadas).
En segundo lugar, la parte básica de inicio no está dañada. La característica de esta situación es que es posible que la máquina no arranque normalmente, pero todavía hay cierta sensación de arranque. Por ejemplo, puede detectar disquetes (asegurando que la computadora pueda iniciarse desde el disquete). Esta situación es relativamente feliz. En este caso, el BIOS básico aún se puede ejecutar, pero como generalmente solo admite tarjetas gráficas con interfaz IDE, es posible que no aparezca ninguna información en la pantalla. En este caso, debemos utilizar el método de "luz ciega". El principio es similar a la actualización del BIOS, que requiere que tengamos a mano algún software de programa de actualización del BIOS y luego primero realizamos un arranque de DOS en las máquinas de otras personas. , coloque la línea de comando requerida para la operación de actualización en el archivo autoexec.bat, luego lleve este disquete a la máquina dañada por el virus CIH, inícielo y luego haga algunas cosas como "Entrar" y presione las flechas hacia arriba y hacia abajo llaves. Con un poco de suerte, siga los pasos anteriores y su máquina se guardará.
En tercer lugar, es un desastre. Si ninguno de los métodos anteriores aplica, te sugiero que le preguntes al vendedor si puede ayudarte a solucionarlo. ¡No hay salida!
Verbo (abreviatura de verbo) vacuna contra el virus CIH
El otoño pasado, el fabricante del virus CIH escribió un programa de inmunidad contra el virus CIH con la ayuda de los autores del SSCAN anti -Software antivirus. Se puede garantizar que no será atacado por virus CIH después de la instalación.
Dado que este programa no tiene funciones antivirus ni de comprobación de virus, primero debe comprobar el disco duro con una herramienta antivirus antes de la instalación. Bajo la premisa de confirmar que no existe ningún virus CIH, instálelo en un entorno Windows 95/98 (los virus CIH solo ocurren en este entorno). Después de la instalación, el sistema se reiniciará automáticamente. En este momento, la computadora es inmune. Incluso si ejecuta software que contiene virus CIH, tendrá que reinstalar el sistema Windows 95/98 para infectarse.
El principio es el siguiente: cada vez que se enciende, el sistema ejecutará automáticamente el programa cih.exe inmediatamente, y el resultado de la operación es simplemente hacer una marca en un registro DR0 del sistema. El programa no reside en la memoria, no entra en conflicto con otro software antivirus y no puede infectarse. Si luego ejecuta un programa con un virus CIH, el virus CIH no residirá en la memoria (el virus CIH determinará el registro DR0 antes de que resida en la memoria, y el programa inmune ya lo ha marcado), y no ser infectado y atacado.
Aunque el ataque del virus CIH se puede evitar después de instalar el programa inmune, cuando un archivo que contiene el virus CIH se copia de una computadora con el programa inmune instalado a otra computadora sin el programa inmune instalado, siempre y cuando Ejecutar este archivo te infectará con el virus CIH, por lo que instalar un programa inmunológico no es la mejor idea.
VI. Crónica del virus CIH (extraído de "China Computer")
2 de junio de 1998: Se descubre el primer caso del virus CIH en la provincia china de Taiwán.
6 de junio de 1998: La primera muestra de virus CIH llega al Laboratorio Antivirus del DF.
6 de junio de 1998: la versión 1.2 del virus CIH fue lanzada y rastreada por la agencia antivirus FSAV.
12 de junio de 1998: la versión 1.3 del virus CIH fue lanzada y rastreada por la agencia antivirus FSAV.
26 de junio de 1998: La versión 1.3 del virus CIH estalló por primera vez, pero era menos dañino.
30 de junio de 1998: la versión 1.4 del virus CIH fue lanzada y rastreada por la agencia antivirus FSAV.
65 de junio de 438 a 0998 de julio: el virus CIH se propaga en Internet a través de software pirateado infectado.
Agosto de 1998: La versión de prueba del software del juego "Flight Captain" fue infectada por el virus CIH.
Agosto de 1998: Dos revistas europeas de juegos enviaron CD infectados con el virus CIH.
26 de agosto de 1998: Estalló la versión 1.4 del virus CIH y atrajo una amplia atención de los medios.
Septiembre de 1998: Yamaha Corporation lanzó el primer lote de software en CD-ROM infectado con el virus CIH.
10 de 1998: CIH infectó la versión de prueba de amplia circulación del software del juego SiN.
Marzo de 1999: la versión 1.2 del virus CIH invadió las computadoras Aptiva de IBM.
El 26 de abril de 1999, la versión 1.2 del virus CIH estalló por primera vez, causando enormes pérdidas a la industria informática.