Cómo lidiar con el virus CH-I

Introducción al virus CIH

La principal forma de propagación del virus CIH es a través de Internet y el correo electrónico. Por supuesto, a medida que pase el tiempo, también se propagará. a través de disquetes o CD. Exchange spread. Se informa que el virus CIH reportado actualmente por la red autorizada de recopilación de virus tiene un total de cinco "prototipos" y "variantes ****", la principal diferencia entre ellos es que el "prototipo" aumentará el archivo de infección. pero no tendrá la capacidad de destruir. La principal diferencia entre ellos es que "prototipo" hará que el archivo infectado crezca, pero no tiene capacidad destructiva, mientras que "variante" no sólo hará que el archivo infectado crezca, sino que también será muy destructivo, especialmente hay una "variante", cada uno; Será atacado el día 26 de cada mes.

El virus CIH sólo infecta el sistema operativo Windows 95/98 Según el análisis actual, no parece tener ningún impacto en el sistema operativo DOS, por lo que sólo para usuarios que utilizan DOS, este virus no parece tenerlo. tiene algún impacto, pero si eres usuario de Windows 95/98, debes prestar especial atención. Es precisamente debido al uso exclusivo de la tecnología VxD por parte de CIH que la propagación de este virus en el entorno de Windows es particularmente en tiempo real y encubierta. Es difícil para el software antivirus general detectar la propagación de este virus en el sistema.

El virus "mutante" CIH ataca el 26 de abril de cada año (también hay una variante del virus que ataca el 26 de cada mes). Después de un ataque de virus CIH, la única forma de reparticionar el disco duro es crear un disco duro nuevo.

Cuando el virus CIH ataca, también puede destruir el voltaje de ciertos tipos de placas base y reescribir el BIOS de la memoria de solo lectura. Las placas base dañadas solo pueden enviarse de vuelta a la fábrica original para su reparación. luego reprogramado en el BIOS.

¿Qué tipo de BIOS daña el virus CIH?

Por supuesto, el daño de CIH al BIOS no es tan terrible como la gente piensa.

Actualmente, los ordenadores personales utilizan básicamente dos tipos de memoria de sólo lectura para almacenar los datos de la BIOS, una es la ROM o EPROM tradicional y la otra es la E2PROM, que los fabricantes utilizan para "grabar" la BIOS en estas memorias. (también llamado "endurecimiento"). El BIOS se "graba" (también se llama "reforzado") en estas memorias de antemano mediante un método especial y luego se instala en la PC. Cuando encendemos la computadora, el programa y los datos del BIOS se ejecutarán y cargarán primero, de modo que nuestro sistema pueda identificar correctamente los distintos hardware instalados en la máquina y llamar al controlador correspondiente, y luego el disco duro comenzará a funcionar. iniciar el sistema operativo.

Los datos solidificados en la ROM o EPROM sólo se pueden borrar aplicando un voltaje especial o usando luz ultravioleta, por lo que cuando abrimos la caja de algunos ordenadores, podemos ver un chip A pegado en ella. pequeño trozo de papel plateado o negro para evitar que los rayos UV borren los datos del BIOS. Para borrar los datos almacenados en esta memoria de sólo lectura, el voltaje dentro del sistema informático no es suficiente.

Pero las computadoras más recientes, especialmente Pentium y superiores, usan E2PROM para almacenar algunos datos del BIOS. E2PROM también se conoce como "Memoria de sólo lectura regrabable electrónicamente". Normalmente, no es fácil para el usuario reescribir los datos en esta memoria, pero usando lógica y voltajes especiales, los datos en la E2PROM se pueden reescribir. Al utilizar la lógica de la CPU de la PC y el voltaje interno de la computadora, la E2PROM se puede reescribir fácilmente, que es la forma en que actualizamos el BIOS a través del software y también es el método básico para que CIH destruya el BIOS.

Reescribir los datos en E2PROM requiere ciertas condiciones lógicas y diferentes sistemas de PC pueden ser diferentes. Por lo tanto, CIH no dañará todas las placas base que usan E2PROM para almacenar BIOS. Se informa que solo unas pocas, como Gigabyte. y placas base MSI 5V, esto no significa que la calidad de estas placas base sea mala, es solo que su lógica E2PROM coincide con la lógica del CIH.

Con E2PROM, la placa base puede almacenar datos en E2PROM. Esto no quiere decir que estas placas base sean malas, es solo que su lógica E2PROM coincide con CIH, o que los autores de CIH simplemente quieren romper deliberadamente ciertas marcas de placas base.

Entonces, para determinar si CIH es perjudicial para su placa base, primero debe determinar si su BIOS solo está grabada en ROM/EPROM, o si parte de ella usa E2PROM.

Es importante tener en cuenta que, si bien CIH no destruirá todas las BIOS, sí destruirá todos los discos duros destruidos el día 26 del año "negro" (la fecha de lanzamiento de CIH). "26" destruye todos los datos del disco duro, no el BIOS, que es lo que inevitablemente hará todo usuario infectado con el virus CIH.

El virus CIH se propaga principalmente a través de Internet y correo electrónico, por supuesto, con el tiempo, también se propagará mediante el intercambio de disquetes o CD. Se informa que actualmente hay hasta cinco virus CIH reportados por la red de recopilación de virus autorizada, incluidos el "prototipo" y la "variante". La principal diferencia entre ellos es que el "prototipo" aumentará la cantidad de archivos infectados. no es destructivo. La principal diferencia entre ellos es que "prototipo" hará que el archivo infectado crezca, pero no tendrá un efecto destructivo mientras que "variante" no sólo hará que el archivo infectado crezca, sino que también será muy destructivo, especialmente si lo hay; una "variante", es atacada el día 26 de cada mes.

El virus CIH sólo infecta el sistema operativo Windows 95/98 Según el análisis actual, no parece tener ningún impacto en el sistema operativo DOS, por lo que sólo para usuarios que utilizan DOS, este virus no parece tenerlo. tiene algún impacto, pero si eres usuario de Windows 95/98, debes prestar especial atención. Es precisamente debido al uso exclusivo de la tecnología VxD por parte de CIH que la propagación de este virus en el entorno de Windows es particularmente en tiempo real y encubierta. Es difícil para el software antivirus general detectar la propagación de este virus en el sistema.

El virus "mutante" CIH ataca el 26 de abril de cada año (también hay una variante del virus que ataca el 26 de cada mes). Después de un ataque de virus CIH, la única forma de reparticionar el disco duro es crear un disco duro nuevo.

Detalles del virus CIH

Versión actual

Existe la versión V1.2V1.3V1.4 en el mercado. En cuanto a la versión V1.0V1.1, existe. No hay versión en el mercado Streaming...

Características de cada versión

V1.0 ha sido infectado, el archivo se ha vuelto más grande y no es destructivo.

Después de la infección V1.1, el archivo no aumentará de tamaño y no tendrá poder destructivo.

Después de ser infectados con v1.2, los archivos no se volverán más grandes ni más destructivos.

Después de la infección V1.3, el archivo no crecerá ni será destructivo, y la parte no infectada se autodescomprimirá.

V1.4 no está infectado, el archivo no aumentará, es destructivo, ataca el día 26 de cada mes y no infectará ningún archivo autoextraíble.

La versión actual se ejecutará sin errores incluso en el entorno NT, pero en el entorno NT, todos los efectos del virus desaparecerán...

Hora de aparición

(1) Si está infectado con v1.2 o v1.3, el virus atacará el 26 de abril de cada año...

(2) Sin embargo, si está infectado con v1. . Te infectará el virus el día 26 de cada mes...

Cómo se comporta en Windows 95/98

(1) El disco duro se vuelve loco... todos los datos del disco duro se perdieron... el disco debe restablecerse...

(2) Algunas BIOSEEPROM (como SST) que solo requieren 5 V para actualizarse se borrarán... Como resultado, la computadora no se puede iniciar... sólo se puede enviar para reparación O usar una grabadora IC para reescribir los datos...

Intentar volver a flashear la EEPROM desde el software provocará que el programa flashee para juzgar mal el tipo de EEPROM y evitar que se queme...

No es necesario ajustar los puentes para que la EEPROM funcione correctamente. En cuanto a la 12VBIOSEEPROM que requiere un puente para volver a flashear, no se puede destruir (de hecho, todavía no la he probado...). ¡En cuanto a si los datos del BIOS se pueden eliminar! No estoy seguro de la compatibilidad... pero lo probé en dos placas base, Gigabyte y MSI... cuando está encendido, funciona...

Personas que pensaban que los virus de BIOS no existían ahora no diré nada más... Aunque este virus no escribió el código del virus en el BIOS, sino que solo ingresó datos basura en el BIOS, esto es suficiente para demostrar que parte del BIOS puede ser borrado por el virus, o incluso infectado por el virus.... . Este puede ser el primer virus del mundo que solo puede dañar el BIOS al actualizarlo...

Cómo saber si está infectado

En términos generales (es posible que estos métodos no puedan para encontrar todos los archivos infectados), es posible que no se encuentren algunos archivos), use UltraEdit para abrir el archivo C\Windows\Notepad.exe y luego busque la cadena CIHv1... Si encuentra esta cadena, significa que el el sistema ha sido infectado... En este momento, el sistema ya tiene virus... no sean idiotas, sigan la versión del virus y luego busquen todos los archivos ejecutables para verificar si hay esta marca, esto solo amplificará la enfermedad....

Después de la búsqueda, los archivos que no estaban en el programa también están en el programa.... En cuanto a Notepad.exe, no puede encontrar esta cadena, lo que significa que el sistema no está envenenado... En este punto, puede estar seguro de usar software para buscar todos los archivos y ver qué archivos recién capturados están infectados... De hecho, una mejor manera es ir a la sección de virus para obtener nuevos programas de detección/detección...

Cómo detectar/comprobar antivirus

En la versión de virus de los principales sitios BBS, habrá una búsqueda... Varias versiones de software antivirus parecen tener algunos problemas. .. Tome SSCAN como ejemplo, el autor no parece tener Restore SECTIONTABLE ni indicadores de infección de virus, lo que provocará que documentos blandos como teletransportes y archivos autoextraídos se encuentren modificados al verificar si se han modificado. haciendo imposible una ejecución fluida... Eso es todo... otros antídotos... No sé cómo usarlos... Usuarios que han sido infectados con la versión v1.4, por favor recuerden que serán atacados en el 26 de cada mes...