發信人: triton (半顆勇敢的心), 信區: Virus 

標  題: CIH病毒是什么如何對付 

發信站: 武漢白云黃鶴站 (Thu Sep  3 21:53:50 1998) , 站內信件 

  

發信人: bluesea (藍海), 信區: Virus 

標  題: 昨天有人中毒沒有？ 

發信站: BBS 水木清華站 (Thu Aug 27 00:35:58 1998) 

  

病毒 Win95.CIH 1.4，每月26發作，可能改寫Flash BIOS，造成系統不能啟動。 

  

確認的清除工具：AVP 3.0.122+ NAV 4.0+最新update 

  

-- 

上帝創造貓，是為了讓人類體驗撫摸老虎的快樂。 

  

發信人: cal (無知), 信區: Virus 

標  題: about CIH... 

發信站: BBS 水木清華站 (Thu Aug 27 13:07:45 1998) 

  

  

  偶想知道如果是5v就可以reflash的EPROM,中了CIH之后就真的 

只有送去維修或是用 IC 燒錄器重新把資料燒回去？ 

各位有什么好的方法?上面的English FAQ和details都看過了, 

可是都是說要拿回去給factory重新把資料燒回去.... 

偶現在的Ax59pro沒有boot block programming protection. 

以前的T2P4就有,哎...ASUS的mainboard還是很不錯的...... 

  

下面這封信看過的就略過吧........ 

  

[copy] 

CIH病毒作者的一封信(轉寄) 

_________________ 轉載文字 __________________ 

    相信不少人很想砍我... ~~~>_<~~ 

    我現在說什麼都沒用, 實在很抱歉... 

    對不起... 

    但有些事情要交代一下, 因為那些只會打著華麗騙人廣告的防毒公司沒交代清 

楚, 很容易造成更大的災害... 

    什么人工智慧, 防未知病毒入侵, 全是唬爛... 

    防毒公司的廣告... 根本就是騙人的... 這次的事件, 就可以看得出來... 

  

【目前的版本】 

市面上有 v1.2 v1.3 v1.4 

至于 v1.0 v1.1 則沒流到市面上... 

  

【各版的特性】 

v1.0: 感染后, 檔案變大, 沒破壞力. 

v1.1: 感染后, 檔案不會變大, 沒破壞力. 

v1.2: 感染后, 檔案不會變大, 具破壞力. 

v1.3: 感染后, 檔案不會變大, 具破壞力. 同時不感染部份自解檔. 

v1.4: 感染后, 檔案不會變大, 具破壞力. 每月 26 日發作, 對所有自解檔都不感 

      染. 

目前的版本, 即使在 NT 環境下跑, 

也不會發生錯誤, 但在 NT 下失去病毒的所有作用... 

  

【發作時間】 

(1) 如果中的是 v1.2 及 v1.3 版的話, 每年的 4/26 會發作... 

(2) 但如果中的是 v1.4 版, 則每個月的 26 日會發作... 

  

【在 Windows 95/98 發作的樣子】 

(1) 硬碟狂奔... 所有硬碟資料不見... 必須重新 fdisk... 

(2) 部份廠牌只需 5V 即可 reflash 的 BIOS EEPROM(如 : SST), 則會被清掉... 

    造成無法開機... 只有送去維修或是用 IC 燒錄器重新把資料燒回去... 想企 

    圖用軟體從重新燒錄, 將會發現 reflash 程式誤判 EEPROM 型號,  導致無法 

    燒入... 

    至于需要調 jumper 才可以 reflash 的 12V BIOS EEPROM, 則無法破壞(實際 

上,我也沒試過...) 

    至于真的能洗掉 BIOS 資料嗎!?  其相容性, 我不很清楚... 但我試過兩種主 

機板, 技嘉以及微星... 發作時, 確實可以... 

    那些以前抱著世界上根本沒有 BIOS 病毒的人, 現在大概不敢吭聲... 雖然這 

只病毒沒寫入病毒碼在 BIOS 里面, 而只是填入垃圾資料到 BIOS , 就足以證明, 

部份 BIOS 可能會被病毒清掉其程式, 甚至被病毒感染... 

  

這大概也是全世界第一只能破壞 reflash BIOS 的病毒... 

  

【如何發現自己已經中毒】 

    一般來說 (這些方法并不一定能找到所有中毒的檔案, 可能少數找不到),  用 

UltraEdit 開啟 C:\Windows\Notepad.exe, 然后查詢 CIH v1. 的字串... 若發現 

此字串, 就代表系統中標了... 

    此時系統已經藏有病毒...  千萬不要照著 Virus 版的方法, 跟白癡一樣, 再 

全部搜尋所有執行檔, 檢查有沒有這個 mark, 那只會擴大病情... 等你搜尋完后, 

本來沒中的檔案, 也都中完了... 

    至于 Notepad.exe 沒找到這個字串, 則代表系統沒中毒...  這時才可以放心 

的用軟體搜尋完所有執行檔, 看看哪幾個新抓回來的檔案有毒... 

    其實目前更好的辦法, 可以到 Virus 版拿新出來的偵毒/解毒程式... 

  

【如何偵毒/解毒】 

    在各大 BBS 站的 Virus 版, 就會有找的到... 各版本的解毒, 似乎都存在某 

些問題... 



    以 SSCAN 來說, 作者似乎沒把 SECTION TABLE , 以及病毒感染做的 mark 還 

原, 這將會造成 teleport , 自解檔等軟體在進行自我檢查是否有被修改時, 會發 

現被修改, 導致無法順利執行... 

    大概這樣子... 其他的解毒... 沒信心用... :( 

    中了 v1.4 版的人, 千萬記住每個月的 26 日會發作... 

    大概這樣子... 其他的解毒... 沒信心用... :( 

    盡快拿解毒程式解毒... 

  

                                                大同工學院 CIH 6/6 

__________________ 轉載文字（完） __________________ 

  

  

-- 

      哦 算了吧  就這樣忘了吧