Sólo por diversión
Detección de virus CIH: la mayoría del software antivirus del mercado, como Kingsoft Antivirus, el software antivirus Jiangmin, etc., pueden detectar y eliminar eficazmente este virus. , y la mayoría de ellos en el mercado. La mayoría de las computadoras ya usan Win. Según la información disponible, el virus se originó en Taiwán. Primero se propagó ampliamente en Europa y Estados Unidos con discos pirateados vendidos por dos grandes grupos piratas internacionales y luego se propagó a todos los rincones del mundo a través de Internet.
El virus CIH se propaga principalmente a través de Internet y correo electrónico, por supuesto, con el tiempo, también se propagará mediante el intercambio de disquetes o CD. Se informa que actualmente existen cinco tipos de virus CIH informados por la red autorizada de recopilación de virus, "prototipo" y "variante ****". La principal diferencia entre ellos es que el "prototipo" aumentará la cantidad de archivos infectados. . Pero no es destructivo. La principal diferencia entre ellos es que "prototipo" hará que el archivo infectado crezca, pero no tendrá un efecto destructivo mientras que "variante" no sólo hará que el archivo infectado crezca, sino que también será muy destructivo, especialmente si lo hay; una "variante", es atacada el día 26 de cada mes.
El virus CIH sólo infecta el sistema operativo Windows 95/98 Según el análisis actual, no parece tener ningún impacto en el sistema operativo DOS, por lo que sólo para usuarios que utilizan DOS, este virus no parece tenerlo. tiene algún impacto, pero si eres usuario de Windows 95/98, debes prestar especial atención. Es precisamente debido al uso exclusivo de la tecnología VxD por parte de CIH que la propagación de este virus en el entorno de Windows es particularmente en tiempo real y encubierta. Es difícil para el software antivirus general detectar la propagación de este virus en el sistema.
El virus "mutante" CIH ataca el 26 de abril de cada año (también hay una variante del virus que ataca el 26 de cada mes). Después de un ataque de virus CIH, la única forma de reparticionar el disco duro es crear un disco duro nuevo. El virus CIH también puede destruir el voltaje de algunos tipos de placas base y reescribir el BIOS de la memoria de solo lectura. Las placas base dañadas solo pueden enviarse a la fábrica original para su reparación y el BIOS puede volver a grabarse.
[Editar] ¿Qué tipo de BIOS dañará el virus CIH?
Por supuesto, el daño causado por CIH a la BIOS no es tan terrible como la gente piensa. Las PC actuales usan básicamente dos tipos de memoria de solo lectura para almacenar datos del BIOS, uno usa ROM o EPROM tradicional y el otro es E2PROM, que es la memoria en la que el fabricante ha grabado el BIOS de antemano. El BIOS se "graba" (también se llama "reforzado") en esta memoria mediante un método especial y luego se instala en la PC. Cuando encendemos la computadora, primero se ejecutarán y cargarán los programas y datos en el BIOS, de modo que nuestro sistema pueda identificar correctamente los distintos hardware instalados en la máquina y llamar a los controladores correspondientes, y luego el disco duro empezar a iniciar el sistema operativo. Los datos solidificados en ROM o EPROM sólo se pueden borrar aplicando un voltaje especial o usando luz ultravioleta, es por eso que cuando abrimos la carcasa de algunas computadoras, podemos ver un pequeño trozo de papel plateado o negro adherido a un chip. Para evitar los rayos UV. rayos de borrar datos del BIOS. Para borrar los datos almacenados en esta memoria de sólo lectura, el voltaje dentro del sistema informático no es suficiente. Por lo tanto, los usuarios que sólo utilizan esta memoria de sólo lectura para almacenar datos del BIOS no tienen motivos para preocuparse de que los virus CIH corrompan el BIOS. Sin embargo, las computadoras más recientes, especialmente Pentium y superiores, básicamente usan E2PROM para almacenar parte del BIOS. E2PROM también se conoce como "memoria electrónica regrabable de sólo lectura". Normalmente, no es fácil para el usuario reescribir los datos en esta memoria, pero usando lógica y voltajes especiales, los datos en la E2PROM se pueden reescribir. E2PROM se puede reescribir fácilmente utilizando la lógica de la CPU de la PC y el voltaje interno de la computadora. Así es exactamente como actualizamos el BIOS a través del software, y también es el método básico para que CIH destruya el BIOS.
La reescritura de datos en E2PROM requiere ciertas condiciones lógicas. Diferentes sistemas de PC pueden tener diferentes requisitos para tales condiciones. Por lo tanto, CIH no puede destruir todas las placas base que usan E2PROM para almacenar BIOS. Actualmente, solo se han informado placas base de 5 V, como Gigabyte y MSI. No quiere decir que la calidad de estas placas base sea mala, pero su lógica E2PROM coincide con CIH, y quizás los desarrolladores de CIH sean los mismos. O tal vez los compiladores CIH simplemente quieran romper deliberadamente ciertas marcas de placas base. Por lo tanto, para determinar si CIH es perjudicial para la placa base, primero debe determinar si el BIOS solo está grabado en ROM/EPROM o si se utiliza parte de E2PROM. Es importante tener en cuenta que, aunque CIH no destruye todos los BIOS, CIH dañará todos los datos del disco duro el día 26 del año "negro" mucho más de lo que dañará el BIOS. Cabe señalar que, aunque CIH no destruirá todos los BIOS, la gravedad de la destrucción de todos los datos del disco duro por parte de CIH el día 26 del año "negro" es mucho más grave que la destrucción del BIOS. Esto es inevitable para todos los usuarios. infectado con el virus CIH.
[Nota del editor] Versiones del virus CIH
El virus CIH es un virus basado en archivos que es extremadamente letal. Sus alias incluyen Win95.CIH, Spacefiller, Win32.CIH, PE_CIH. etc., infectan principalmente archivos ejecutables (formato ejecutable portátil) en Windows 95/98. La versión actual no infecta archivos ejecutables bajo DOS y WIN 3.X (formato NE, formato de archivo ejecutable Windows y OS/2 Windows 3.1) y no es efectiva contra Win NT. Su proceso de desarrollo ha pasado por un total de 5 versiones: v1.0, v1.1, v1.2, v1.3 y v1.4. La versión más popular es la v1.2. Según algunos informes, aparecen no menos de diez variantes al mismo tiempo, pero no parece haber signos de epidemia y el autor en realidad no ha entrado en contacto con estos llamados virus variantes CIH.
A medida que pasa el tiempo, se han mejorado continuamente varias versiones del virus CIH. Su proceso de desarrollo básico es:
1.0: La versión inicial V1.0 tiene solo 656 bytes. El prototipo parece ser relativamente simple y no presenta muchas mejoras con respecto a la estructura de los virus comunes. Su mayor "punto de venta" es que es el primer virus de este tipo que se lanza. Su mayor "punto de venta" es que es uno de los pocos virus que puede infectar ejecutables de Microsoft Windows PE y los archivos de programa que infecta son de mayor longitud, pero esta versión de CIH no es destructiva.
1.1: Hasta la versión v1.1, la longitud del virus es de 796 bytes. Esta versión de CIH tiene la capacidad de determinar el software Win NT. Una vez que determina que el usuario está ejecutando Win NT, dejará de ejecutarse y se ocultará para evitar generar mensajes de error. También utiliza un código más optimizado para acortar la duración del virus. . Otra ventaja de esta versión de CIH es que puede aprovechar los "espacios" en el archivo ejecutable WIN PE, dividirse en varias partes según sea necesario y luego insertarlo en el archivo ejecutable PE. Los archivos WINPE parciales no aumentan el tamaño. longitud del archivo.
1.2: Cuando se desarrolló a la v1.2, además de corregir algunos defectos de la v1.1, también agregó código para destruir el disco duro del usuario y el programa BIOS del host del usuario. Esta mejora lo convirtió en. Un virus vicioso, esta versión del virión CIH tiene 1003 bytes de longitud.
1.3: El mayor defecto del virus CIH v1.2 original es que cuando infecta un archivo ZIP autoextraíble, hará que el paquete comprimido ZIP muestre el siguiente mensaje de error durante la autoextracción: El encabezado del archivo autoextraíble de WinZip está dañado. Posible causa: error de transferencia de disco o archivo. La versión V1.3 del virus CIH parece tener prisa. Su punto de mejora es solucionar los defectos anteriores. El método de mejora es: una vez que se considera que el archivo abierto es un programa autoextraíble de WinZip, no lo será. infectado.
Al mismo tiempo, esta versión del virus CIH tiene un tiempo de aparición modificado. El virus CIH v1.3 tiene un tiempo de aparición de 1010 bytes.
1.4: Esta versión del virus CIH ha mejorado los defectos de la versión anterior y ya no infecta paquetes de software autoextraíbles ZIP. Al mismo tiempo, se ha actualizado la fecha de lanzamiento y la información de derechos de autor del virus. modificado (la información de la versión ha sido cambiada a: "CIH v1 .4 TIH"): "CIH v1.4 TATUNG", mientras que la información relacionada con la versión anterior era "CIH v1.x TTIT"), la longitud de esta versión es de 1019 bytes.
Podemos ver en la descripción anterior que, de hecho, entre las versiones relevantes de CIH, solo v1.2, v1.3 y v1.4 son realmente destructivas, entre las cuales v1 La fecha de inicio de . 2 del virus CIH es el 26 de abril de cada año y actualmente es la versión del virus más popular, mientras que la fecha de inicio de la versión v1.CIH del virus V1.3 es el 26 de junio y la versión del virus CIH V1.4 es la fecha del ataque. se cambió al 26 de cada mes. Este cambio acortó en gran medida el período de ataque del virus y aumentó la destructividad del virus.
[Editar] Características de ataque del virus CIH
CIH es un virus maligno cuando sus condiciones de ataque están maduras, destruirá los datos del disco duro y puede destruir su programa BIOS. características Sí:
1. Escriba datos basura secuencialmente desde el área de arranque principal del disco duro al disco duro en unidades de 2048 sectores hasta que los datos del disco duro se destruyan por completo. El peor de los casos es que se destruyan todos los datos del disco duro. El peor de los casos es que todos los datos del disco duro (incluidos todos los datos del disco lógico) se destruyan. Si no se realiza una copia de seguridad de la información importante, ¡simplemente llorará!
2. Se borrará la información del BIOS en la Flash Rom de algunas placas base.
[Editar] Características de la infección CIH
Debido a que las versiones populares de los virus CIH utilizan texto claro para identificar la información del número de versión, CIH se puede identificar buscando cadenas en archivos ejecutables infectados, el La cadena se caracteriza por "CIH v" o "CIH v1". Si desea buscar una cadena más completa, pruebe con "CIH v1.2 TTIT", "CIH v1.3 TTIT" y "CIH v1.4 TATUNG". No busque directamente la cadena característica "CIH", porque esta cadena característica existe en muchos programas normales. Por ejemplo, si el programa tiene las siguientes líneas de código: inc bx dec cx dec ax, entonces su código característico es "CIH (). 0x43; 0x49;0x48)", lo que fácilmente puede causar malentendidos.
El método de búsqueda específico es: primero abra "Explorador", seleccione la función de menú "Herramientas>Buscar>Archivo o Carpeta" y abra "Nombre y ubicación" en la ventana emergente "Buscar archivo". ventana de configuración ", ingrese la ruta y el nombre del archivo que desea buscar (como: *.EXE), luego ingrese la cadena característica que desea buscar - "CIH v" en la columna "Avanzado > Contiene texto" y finalmente haga clic la "tecla de búsqueda" Inicie la búsqueda Si durante la búsqueda se muestra una gran cantidad de archivos ejecutables que coinciden con los criterios de búsqueda, es obvio que su computadora anterior está infectada con el virus CIH. El método anterior tiene una desventaja fatal. Sí, si el usuario acaba de ser infectado con el virus CIH, un proceso de búsqueda tan amplio en realidad está ampliando el alcance de la infección del virus. El método recomendado es ejecutar el programa primero y luego buscar usando el método anterior. Programa ejecutable Notepad.exe para determinar si está infectado con el virus CIH. Otro método es buscar el campo IMAGE_NT_SIGNATURE en el archivo de Windows PE, que representa el. carácter de identificación "PE00", y luego verifique si el byte anterior está presente. Si es 0x00, significa que el programa no está infectado. Si el primer byte es 0x00, significa que el programa no está infectado con un virus. son otros valores, significa que el programa puede estar infectado con un virus CIH.
El último método es buscar en el campo IMAGE_NT_SIGNATURE - "PE00" y luego buscar el valor en el desplazamiento 0x28 para ver si es 55 8D 44 24 F8 33 DB 64. Si es así, significa que el programa ha sido infectado.
También he oído que cualquier máquina infectada con el virus CIH que reproduzca NEED FOR SPEED II fallará al cargar el disco del juego. No lo he probado, así que no sé si esto es realmente un problema.
El método adecuado para usuarios avanzados es buscar directamente el código de característica y modificarlo. El método es: primero procese los dos puntos de salto, es decir, busque: cadena de característica 5E CC 56 8B F0 y 5E. Cadena de caracteres de característica CC FB 33 DB, cambie el CC en estas dos cadenas características a 90 (nop) y luego busque las cadenas características CD 20 53 00 01 00 83 C4 20 y CD 20 67 00 40 00. 20 67 00 40 00 cadenas características, simplemente cámbielas todas a 90 (todos los valores anteriores están en hexadecimal).
Otro método es encontrar el punto de entrada correcto del programa PE original y completar el punto de entrada actual (aquí hay un programa CALC.EXE infectado como ejemplo. El método específico es: primero busque IMAGE_NT_SIGNATURE). campo - "PE00", luego busque un valor de 4 bytes comenzando desde el desplazamiento de 0x28, como "A0 02 00 00" (0x000002A0), y luego comenzando desde la posición de desplazamiento (es decir, 0x02A0) Encuentre los datos " 55 8D 44 24 F8 33 DB 64", pase 0x02A0 y luego pase 0x02A0 para encontrar los datos "55 8D 44 24 F8 33 DB 64". Agregue 0X005E de 0X02A0 para obtener el desplazamiento 0x02FE. Los datos en este desplazamiento son, por ejemplo, "CB 21 40 00" (OXOO4021CB). Reste OX40000 de este valor y obtendrá el número: "CB 21 00 00". OXOO0021CB), simplemente regrese a la posición desplazada desde el punto "PE00" a 0x28 (este es el punto de entrada del programa en formato Windows PE, el término se denomina punto de entrada del programa). Finalmente, complete "55 8D 44 24 F8 33 DB 64" como "00" para que podamos determinar fácilmente si el virus se ha eliminado. El antivirus manual según el método anterior generalmente es adecuado para cierto software individual (por ejemplo, algún software está incluido en el disquete, pero no se puede leer después de haber sido infectado por CIH, pero ahora quiero usarlo nuevamente, ¡jaja!) . El método antivirus manual anterior es generalmente aplicable a algunos programas individuales (por ejemplo, algunos programas están incluidos en el disquete, pero no se pueden leer después de haber sido infectados por CIH, pero se usan ahora, ¡jaja!). La desventaja de utilizar el método anterior es que el cadáver del virus permanecerá en el archivo ejecutable. Aunque no desempeñará ningún papel, puede resultar un poco incómodo pensar en ello (recuerde que "el cadáver del virus CIH permanece en la versión beta de WPS2000). "¿Incidente?) Entonces, si quieres matarlo por completo, te recomendamos que hagas esto. Por lo tanto, si desea escanear y eliminar a fondo, se recomienda utilizar algún software antivirus o herramientas antivirus específicas de CIH (las operaciones anteriores son las mismas que el escaneo y eliminación del software antivirus, debe usar un limpiar el disco del sistema para iniciar la computadora).
[editar] Fuente
El virus CIH fue escrito por el estudiante universitario taiwanés Chen Yinghao y fue introducido al continente desde Taiwán. El portador del virus CIH es una herramienta llamada "ICQ Chinese Chat Module", cuyo prototipo son los populares juegos piratas en CD-ROM "Tomb Raider", "Tomb Raider", etc. El portador de CIH es una herramienta llamada "ICQ Chinese Chat Module", que utiliza juegos de CD-ROM pirateados populares como "Tomb Raider" o Windows 95/98 como medio, se reimprime a través de varios sitios web en Internet y se propaga rápidamente. . En la actualidad, los principales medios de difusión son principalmente a través de Internet y el correo electrónico. Eso sí, con el paso del tiempo será principalmente a través de disquetes o CD.
[Editor responsable] Resumen
El virus CIH es un virus maligno que puede destruir el hardware del sistema informático. Según la información disponible, el virus se originó en Taiwán, primero se propagó ampliamente en Europa y Estados Unidos con discos pirateados vendidos por dos grandes grupos piratas internacionales y luego se propagó a todos los rincones del mundo a través de Internet. Actualmente, los virus se propagan principalmente a través de Internet y del correo electrónico. La propagación de virus informáticos ha superado las limitaciones de los medios de almacenamiento tradicionales. Internet y los discos ópticos se han convertido ahora en los catalizadores más eficaces para acelerar la propagación de virus informáticos. El virus CIH sólo infecta los sistemas operativos Windows 95/98 Según el análisis actual, no parece tener ningún impacto en los sistemas operativos DOS. Esto puede deberse a que utiliza la tecnología VxD (Virtual Device Driver) en Windows. Por lo tanto, para los usuarios que sólo usan DOS, este virus parece tener poco impacto, pero los usuarios que usan Windows 95/98 deben tener especial cuidado. Precisamente porque CIH utiliza exclusivamente la tecnología VxD, este virus se propaga en un entorno Windows de forma especialmente oculta y en tiempo real. Es difícil para el software antivirus general detectar la propagación de este virus en el sistema. El virus CIH aparece el día 26 de cada mes (una versión aparece cada año el 26 de abril). Cuando un virus CIH ataca, por un lado destruirá completamente los datos en el disco duro del sistema informático y, por otro lado, reescribirá el BIOS de algunas placas base de ordenador. Una vez reescrito el BIOS, el sistema no puede iniciarse. La única forma es enviar la computadora al fabricante para su reparación y reemplazar el chip del BIOS. Dado que el daño del virus CIH a los datos y al hardware es irreversible, una vez que estalla un virus CIH, los usuarios sólo pueden ver cómo se destruyen computadoras por valor de decenas de miles de yuanes y datos importantes acumulados durante muchos años. El virus CIH se reconoce actualmente como el primer virus que puede destruir el hardware del sistema informático y también es el virus maligno más letal. Desde una perspectiva técnica, el virus CIH está perfectamente integrado con el sistema operativo. El virus se compila utilizando la tecnología central VxD de Windows95/98 y se considera que está firmemente conectado a la capa inferior del sistema operativo, por lo que el virus CIH no se propagará al sistema operativo DOS ni al sistema operativo Windows NT. Esta característica técnica del virus CIH plantea grandes desafíos a nuestro uso de la tecnología antivirus tradicional para prevenir y tratar virus informáticos. Esto se debe a que las herramientas antivirus tradicionales que utilizamos son básicamente aplicaciones DOS puras o aplicaciones DOS simuladas que funcionan en Windows 95. No pueden penetrar profundamente en la capa inferior del sistema operativo Windows 95/98 y, por otro lado, no pueden eliminar completamente los virus CIH; Debido a que puede integrarse estrechamente con la capa inferior del sistema operativo, el virus CIH se propaga más rápido y está más oculto. Para prevenir virus como CIH que están estrechamente integrados con el sistema operativo, la mejor manera es utilizar software antivirus que esté estrechamente integrado con varios sistemas operativos. El virus CIH es un nuevo tipo de virus que utiliza la última tecnología que puede formatear discos duros y, por lo general, aprovecha que los internautas se conectan a Internet para propagar la infección. La última variante del virus CIH aparecerá el día 26 de cada mes y mostrará su mayor poder destructivo: formatear el disco duro. Los virus CIH generalmente no hacen nada destructivo ni muestran ninguna pantalla, solo ocupan algo de memoria. Sin embargo, cuando algunos programas de 32 bits están infectados, es posible que no funcionen correctamente o incluso que fallen. Sin embargo, el virus CIH reside en la memoria principal. Cada vez que se ejecuta, comprobará si la fecha de encendido es [26 de abril]. Si es así, modificará algunas configuraciones de la computadora a través de la parte de E/S de la computadora. : CF8, CFD , CFE y destruye todos los datos en el disco duro de la computadora, incluso la información en el área de datos y el área de arranque del disco duro no existe, lo que provoca que la computadora falle. Al reiniciar, aparecerá en la pantalla "FALLO DE ARRANQUE DEL DISCO, INSERTE EL DISCO DEL SISTEMA Y PRESIONE ENTER" (el disco duro no pudo iniciarse, inserte el disco del sistema y presione la tecla Enter). Si inicia la computadora con un disquete y luego ejecuta el comando C:, aparece "Especificación de unidad no válida".
Nota: CIH es el único virus hasta el momento capaz de dañar el hardware del ordenador.
[Editar]Código fuente del virus CIH
***************************; ***********************************************
; *Información del programa antivirus*
*******************************; ********************************************
; * *
* Diseñador: CIH Fuente: TTIT de TATUNG en Taiwán *
* Fecha de creación: 26/04/1998 Versión actual: 1.4 *
; * Hora de modificación: 31/05/1998 *
; * *
; * *
* Turbo Assembler Versión 4.0: /m cih *
* Turbo Link Versión 3.01: tlink /3 /t cih, cih.exe *
; ======================= ============================ ======================*
* Historial de modificaciones*
*====== ==================================== ============== ==================*
* v1.0 1. Cree un programa antivirus. *
; * 2. El virus modifica IDT para obtener permisos Ring0. *
; * v1.0 1.* 26/04/1998 3. El código de virus no recargará el sistema. *
; *************************************
inc byte ptr (OnBusy-@6)[esi] ; Habilitar OnBusy
************************* ************
; * Obtenga el número de unidad de FilePath, *
* luego establezca el nombre de la unidad en *
; * FileNameBuffer.*
*************************************
; * Ejemplo. Si DriveNumber es 03h, *
* DriveName es "C:".
*
; *************************************
; mov esi, offset FileNameBuffer
ad esi, FileNameBuffer-@6
push esi
mov al, [ebx+04h]
cmp al, 0ffh
je CallUniToBCSPath
ad al, 40h
mov ah, ':
mov [esi ], eax
inc esi
inc esi
********************; ***************
* UniToBCSPath *
***************; ************************
; * Este servicio *
* una ruta Unicode canonizada. *
; * Convertir a *
* Especifique el nombre de la ruta normal en la secuencia de caracteres BCS
VirusTotalNeedMemory = @9
; + NumberOfSections(?) *SizeOfScetionTable(28h)
[editar]El nuevo virus CIH
A diferencia de los virus CIH tradicionales, el nuevo virus CIH (WIN32.Yami) se puede utilizar en Windows 2000 /XP, por lo que el alcance del daño del nuevo virus CIH es mucho mayor que el del virus CIH tradicional. El 17 de mayo de 2003, la red global de monitoreo antivirus de Rising tomó la delantera en la interceptación de este virus cruel. Debido a que sus capacidades destructivas eran casi idénticas a las del notorio virus CIH de ese año, Rising lo nombró el nuevo virus CIH.
El nuevo virus CIH reside en el núcleo del sistema. Primero determinará si el archivo abierto es un archivo ejecutable de Windows (archivo PE). De lo contrario, no realizará la operación de infección. El virus se inserta en los espacios entre las partes del archivo PE (igual que el CIH tradicional), por lo que la longitud del archivo no aumenta después de la infección. Debido al virus en sí, algunos archivos se dañarán durante el proceso de infección, lo que impedirá que funcionen correctamente. El nuevo virus CIH intentará sobrescribir el disco duro del sistema con un mensaje de cadena "YM Kill You", dificultando bastante la recuperación de datos. También escribe datos basura en el BIOS de la placa base, dañando permanentemente el sistema de hardware.
Análisis de comportamiento del nuevo virus CIH:
1. El virus buscará la dirección de desplazamiento inicial del kernel32
2. por la dirección del virus
3. El virus atacará en condiciones relativamente especiales, no con regularidad, y sólo se propagará a través de archivos infectados, por lo que es poco probable que cause daños importantes a corto plazo. Las empresas de software antivirus han desarrollado herramientas especiales lo más rápido posible para detectar y eliminar este virus, por lo que el daño generalizado de este virus se ha contenido básicamente.