对面的CIH杀过来

一、世纪病毒CIH
　　被形容为电脑界有史以来破坏力最强的CIH电脑病毒，在1999年4月26日肆虐全球！全球有六千万台电脑受到破坏，大量重要资料无法复原，灾情严重者，连硬件亦告破坏，造成损失难以估计！有些国家可以用损失惨重来形容，像土耳其和韩国就至少各有三十万台电脑硬盘资料受损，中国也有超过三十万台电脑受损。至于CIH病毒的发祥地----台湾，竟然连电脑产业的主管机构“行政院资策会”的电脑也因CIH而死机了。
　　这次电脑界的“灾难”其实颇富戏剧化。虽然CIH的原作者台湾的大学生已经“现身”，并提供破解程序，但这种破坏力甚强的电脑病毒早就通过因特网迅速蔓延到世界各地。而最令人担心的是这种病毒还出现“变种”，被其他人修改后再扩散开去，后遗症可能更严重。
　　不过，这次事件也有“好”的一面，就是原来很多电脑用户都没有病毒危机意识，有人就是因为“不信邪”，不相信CIH的破坏力将它下载，并经由因特网传播才造成严重破坏，难怪CIH的原作者亦对今次事件所产生的后果表示“相当吃惊”。所以无论你是否是这次事件的受害者，都应该加强对病毒的危机意识。
　　值得一提的是，国内一份著名的IT报纸于今年第18期头版刊登了一篇文章《今天有点烦-CIH病毒亲历记》。4月26日，该报某编辑打开电脑时，突然从Windows中退出，画面上独留一句“BOOT FAILURE”，从此电脑再不能如常启动。细想之下，当天正是CIH病毒的发病日！

　　CIH病毒（别名切尔诺贝利病毒，因为切尔诺贝利核电站核泄露事故即发生在4月26日）始自去年4月发源于台湾，瞬间在网际令人闻风丧胆。
　　CIH病毒的来源是台湾的大学校园，台湾“警政署刑事警察局”于99年4月29日证实制作这种国际知名病毒的是毕业于大同工学院的陈盈豪，目前该人在部队服役，警方已约请陈盈豪到案说明。
　　CIH较其他电脑病毒更具杀伤力的原因有二:
　　第一，电脑一旦遭此病毒入侵后，硬盘就会被不断写入垃圾代码，直至所有数据被破坏，比格式化还惨。更严重的是有可能连电脑启动时必需的BIOS都遭到破坏。除了储存在硬盘中的资料丢失外，主板更要送回原厂维修，其损失可谓不小。
　　第二，这个病毒发作时，电脑不会显示任何预警。若电脑中毒，则在使用时会突然死机，想再重新开机时却无法成功，实际上是CIH病毒已在作怪了。
　　根据台湾防毒软件公司趋势科技的介绍，CIH病毒专门感染 32 bit的PE格式可执行文件，是真正的Windows 95/98病毒。CIH病毒使用高难度技术VxD(Virtual Device Driver虚拟设备驱动程序)的方式来达到常驻目的，让所有文件的开启、读/写都要先经过它。更狡猾的是，被病毒感染的文件长度并不会增加，因此CIH也被称为填空专家(space filler)。CIH利用常驻在内存的机会达到大量感染的目的，只要执行任何一个中毒文件后，即会再传染给其他文件，甚至只是复制（copy）动作，都会受感染，而且一感染就是几十甚至几百个文件。由于病毒借助FTP为散播途径，网上热门下载的程序Windows 98 Service Pack和ICQ中文化程序都被下毒，因此一时间许多网友都感到人心惶惶，其忧心的程度与台湾去年爆发的“肠病毒”传染病不相上下，所以CIH在台湾也被称为“电脑肠病毒”。
　　同时，一般人以为这个病毒只在每年的4月26日发作一次，其实它的威力早就不止于此。该病毒现在主要流传的有三个版本，分别是CIH 1.2、CIH 1.3和CIH 1.4。CIH 1.2在每年的4月26日发病，1.3版在6月26日发病，1.4版则最为凶狠，在每月26日都会发病。而且CIH是属于常驻型病毒，在潜伏期毫无症状。在病毒潜伏期间，有些32 bit的程序被感染之后运行会不正常。现今已经知道的感染症状包括:WinZip无法解压缩、电脑死机等等，但很多人往往都将其视为电脑一时不稳定而不予理会，当然更不会进行“除虫”的工作了。
CIH的“历害”之处是它的传播途径甚为广泛，而且可以隐藏在电脑程序、电子邮件、电子贺卡及其他的电脑文件中，因而能够以几何级数的速度扩散开去。

二、始作俑者的自白
　　CIH的“元凶”陈盈豪在病毒大肆破坏全球电脑后现身，他对于这次事件表示“抱歉”。据了解，陈盈豪对自己一时错误造成无法弥补的损失感到相当后悔，并已通过有关渠道向台湾警方表达，将尽力配合处理善后。其实早于去年他就已自动提供破解方法并将之上传到网上。而引发他制造CIH病毒的动机竟然是“恶作剧”。
　　陈盈豪去年于台湾大同工学院毕业，目前正在服兵役。他是在大学时编写CIH病毒的，原意是想让防毒软件商出洋相，但他万万料想不到CIH的蔓延，竟然一发不可收拾。
　　最近在因特网的新闻组上流传一封怀疑是他发出的道歉信，信的开首是这样的:
　　“相信不少人很想砍我……我现在说什么都没用，实在很抱歉……对不起……但有些事情要交代一下，因为那些只会打着华丽骗人广告的防毒公司没交代清楚，很容易造成更大的灾害……什么人工智慧，防未知病毒入侵，全是唬入……防毒公司的广告……根本就是骗人的……这次的事件，就可以看得出来……。”
　　信中透露了CIH病毒的详情、发作症状、清除病毒的方法和侦察方法，但对于那些已经受害的用户，似乎只能说句爱莫能助。
　　至于在网上散布病毒会受到怎样的刑罚呢？台湾地区“立法院”在1997年9月特别针对电脑病毒的危害，在“刑法”第三百五十二条“毁弃毁损罪”增列“干扰他人电磁纪录的处理，足以损害于公众或他人者”，可处三年以下有期徒刑、拘役或一万元台币以下罚金的规定。但是如果在美国发生同样的事件，最高可处40年徒刑，或48万美金的罚款。
　　据悉陈盈豪在学期间专注于研究电脑病毒，也因此在好玩的心态下撰写出“CIH”病毒，该病毒的名称其实就是他的英文名字(Chen Ing Hao)的缩写。

三、如何得知电脑已经中了CIH的招
　　如果你还没来得及安装防毒软件，又害怕“CIH”病毒入侵你的电脑，那么有没有其他方法可以知道电脑是否已遭感染？以便尽早采取相应措施呢？以下几种方法可供参考:

1．电脑初级使用者:
　　以“开始”的“寻找”的“高级”选项设定，寻找所有的.EXE（可执行文件）中是否含有“CIH V1.2 TTIT”、 “CIH V1.3 TTIT”、 “CIH V1.4 TATUNG”字串之一，如果有，则表示你的电脑已被感染了。

2．电脑中级使用者
　　另一种方法是利用Binary文件编辑器检查.EXE中的“PE\0\0”之前的一个byte是否为“0x00”。正常情况应该是0，如果被改，那表示这个文件被感染。

3．电脑高级使用者
　　最准确的方法应该是利用Binary文件编辑器找“PE\0\0”的位移，0x28处的4个Byte值所指位置的资料区（即专业术语的Program Entry Point，程序起始进入点）是否为“55 8D 44 24 F8 33 DB 64”，如果是则表示这个文件被感染。

　　不过，由于这个病毒和另一个电脑病毒“PE_Anxiety poppyⅡ”一样，都是使用Ring 0的IFSMgr_Ring0_fileI0的方式，所以不管是你要执行程序或是只作Copy动作，都有可能成为病毒攻击的目标。它只拦截后缀名是.EXE的目标，并且检查是否是“PE\0\0”(PE类型的可执行文件)？如果不是，则不攻击。然后检查“PE/0/0”之前的一个byte是否是0X00？如果是，就开始进行感染。因此就算是利用上述的方法清除病毒，但只要有一个没有处理到，其他可执行文件就会再次被快速感染。

四、CIH“解药”和“疫苗”一览
　　目前因特网上有不少的网站都提供了CIH病毒的解决方法，各有不同之处，笔者在这里作一简介。

(1)SSCAN 2.50b杀毒程序
　　此程序的作者认为，各版本的防毒软件似乎都存在某些问题，所以他向大家推荐这个仅为97KB的SSCAN小程序。但作者补充说，SSCAN未尽完善，它不能清除病毒在文件中留下的记号，致使部分应用软件无法运行，如离线浏览器Teleport、自解压文档等等。
网址:
http://tknet.tku.edu.tw/~u4510830/ss980916.exe

(2)CIH原作者陈盈豪为表歉咎，也特意提供杀毒程序
网址:
http://www.w3.to/sscan

(3)AntiCIH疫苗
　　AntiCIH疫苗的作者强调，只要安装这个程序，就算不慎从网上下载带毒的文件，甚至电脑满载中毒的程序也不打紧，病毒将不会蔓延开去。而且作者强调AntiCIH不是常驻程序，它只会在系统的DR0暂存器上做个记号，并不占用任何内存。所以CIH准备常驻内存前，会判断DR0有没有记号，当病毒发现有记号时，便以为已经常驻内存，但实际上内存中没有任何CIH常驻程序。
网址:
http://tknet.tku.edu.tw/~u4510830/AntiCIH.exe

(4)硬盘数据挽救工具VRVFIX
　　北京信源自动化技术公司紧急制作出硬盘数据挽救工具--VRVFIX，可以完全恢复受损硬盘D分区以后的内容，但是C分区除外！
网址:
http://www.vrv.com.cn

　　此外，据路透社的报道，一名就读于孟加拉达卡大学的学生Monirul Islam Sharif表示，他自行编写出一个程序可使受CIH病毒破坏的硬盘“重生”。这位年仅21岁的孟加拉学生给程序取名为MRECOVER，已成功救活多台电脑，并表示稍后会将MRECOVER放到网上供人下载。

其他防毒软件的网站:
F-Secure:
http://www.DataFellows.com/gallery/anti-virus/download/f-cih.exe

McAfee VirusScan:
http://www.mcafee.com/

Norton AntiVirus:
ftp://ftp.symantec.com/public/english_us_can-ada/antivirus_definitions/norton_antivirus/kill_cih.exe
PC-Cillin:
http://www.antivirus.com/products/pcc/pc_cillin.htm
KILL98:
http://www.kill.com.cn

五、防毒公司的忠告
　　CIH病毒发难，最忙碌当然就是防毒软件公司了。以下是电脑病毒专家的建议和忠告。
　　客户日常应做好备份的工作，否则一旦病毒发作，从硬盘救回数据便难于登天。部分客户不愿定期升级防毒软件的病毒库，将会使防毒软件失去防御病毒能力。
　　有很大部分的公司管理层仍然相信，只要规定员工不随意用A Drive(意即软磁盘)，公司的电脑系统便可独善其身。但以现在电子邮件和因特网的普及程度，病毒其实每时每刻都在静悄悄地进入任何人的系统并加以破坏。一个普通消费者愿意购买价值数千乃至上万元的硬件设备，却不肯花一两百元安装防毒软件来保障这些硬件以至更宝贵的资料。有些人知道防毒的重要，但只用翻版软件，又如何能够凭注册号码向防毒软件供应商提出更新病毒资料库的要求呢？
　　最奇怪的是，就算使用正版防毒软件的人，也可能从来不更新病毒资料库，这无形中令防毒软件失去应有的效能。大家应该知道，现在每天平均有10至15种新电脑病毒出现，而更新程序只不过需要按一个图标，花你数分钟的时间而已。
　　至于以更改电脑中的日期来“避难”，专家认为这种牢记爆发日期的方法根本不能避过那么多种类的病毒，反而让人活在惶恐之中。面对目前已经发现的二万多种电脑病毒，防毒软件就等同公司的保安系统，而企业安装了有关软件亦要订立一套非常完善的处理病毒守则，例如是否长期执行自动保护(Auto Protect)程序？当员工发现使用中的电脑“中毒”时能否自己进行除毒，还是一定要交由MIS部门人员协助清除？多长时间才更新一次病毒资料？遇到像Melissa般的新病毒，甚至公司系统成为病毒发源地，又要怎样应变？其实许多防毒软件产品在更改设定方面都十分灵活，MIS人员也可通过局域网向企业内众多终端推行统一措施，故订立和奉行守则并不困难，只是事在人为。
　　对常在外地工作的朋友，专家的忠告是尽量使用装有防毒软件的手提电脑，因为酒店商务中心的防毒措施是否足够甚难估计。至于“过年过节”，大家就更要小心，因为电子贺卡正是一种普遍的病毒传播途径。总之，有新的IT技术和产品，便有可能出现新类型电脑病毒，大家惟有继续抗战到底！