關於每月26日發病的病毒!

作者Yfang (頭暈目眩喉嚨發炎!)

看板NccuJour62

標題關於每月26日發病的病毒!

時間Tue Apr 27 23:05:52 1999

Internet 上正流行一隻運用最新技術，會 Format 硬碟的最新病毒PE_CIHV1.2 。六月初電腦使用者藉著 BBS 站的 Newsgroup 奔相走告:”你的電腦被 PE_CIHV1.2 電腦病毒感染了沒？”。幾乎每天都有上百人在網路上 POST 相關訊息。目前最新的變種病毒為 PE_CIHV1.4 會在每月 26 日發病，並會展現最強大的破壞力-Format 硬碟。這隻電腦病毒採用前所未有的破壞技術，利用 Ring 0 的 IFSMgr_Ring0_FileIO的方式，這種感染方式類似前一陣子很流行的 “ PE_Anxiety.PoppyII ”。絕大多數的防毒軟體都偵測不到這隻病毒，在病毒潛伏期，有些32-bit的程式被感染之後，運作會不正常，甚至會造成當機。有些好心人士在網路上提供免費下載程式，卻遭有心人士放入 PE_CIH V1.2 病毒，於是一而在再而三的在網路上傳染，頓時求救呼聲毒氣燻天。目前趨勢科技已經可以偵測並清除此隻病毒。 PC-cillin 用戶，請上網下載最新病毒碼與掃毒引擎。目前該病毒有三種版本，CIH V1.2 在 4月 26 日發病，CIH V1.3 在6月 26 日發病，最新版本 CIH V1.4_TATUNG 則會在每月 26 日發病。某些公司行號、學術機構，尤其是平常和外界大量資料交換的機關，更是幾乎整個辦公室的電腦，都被這隻電腦病毒攻擊，網路上許多免費下載程式遭下毒，比如 ICQ 中文化程式。目前已經知道的感染狀況包含：WinZIP 無法解壓縮、電腦當機..等等。由於這隻病毒採用相當罕見的技術，被病毒感染的長度並不會增加，讓一般人無法察覺此病毒何時開始駐存在你的主記憶體中。PE_CIHV1.2以 PE Type 的可執行檔為感染目標，也就是說它會攔截副檔名為 ”.EXE ” 的檔案，並檢查其是否為”PE\0\0”？即使你只是做一個簡單的 Copy動作也會遭受感染。如果不是(例如普通的DOS.EXE檔案或是”NE” type)，則不會被攻擊。然後檢查”PE\0\0”之前的一個byte 是否是oxoo？，如果不是，表示這個檔案已經被感染過了。如果是，當然就難逃一劫了。 [PE_CIH V1.4病毒的感染方式及特徵] 當一個中毒的可執行檔執行時，它會先執行病毒的程式部份。它先利用”SIDT”及”INT3 指令，設法取得Ring 0 的控制權(據聞這種高級技術是自某些國內或國外某些專門討論如何寫出電腦的BBS站學來的)。再把病毒原先分成數段的程式，分段放入主記憶體中的高位址區間(COOOOOOOH─Virtual Memory Management)，並且結合成一個完整的程式。此後，即繼續駐存在主記憶體中。再回到原來的寄主程式去執行，讓您無法察覺此病毒何時開始駐存在你的主記憶體中。 [PE_CIH V1.4病毒的破壞性] PE_CIH V1.4這隻病毒平常並沒有作什麼破壞性的動作，也沒有顯示任何畫面，只是占用部份記憶體而已。但是有些32-bit的程式被感染之後，運作會不正常。甚至會造成當機。但是，這隻病毒在常駐記憶體之後，每次執行時都會檢查電腦日期是否為 4 月 26 日，如果是，它會透過電腦 I/0 埠： CF8,CFD,CFE 修改電腦的某些設定。並且把你電腦所有磁區的資料都毀了，甚至連硬碟分機分割區及開機區的資料都不在了，而且會造成電腦當機。幫你重開機時，則螢幕出現” Disk Boot Failure,Insert System Disk And Press Enter “ 若你用 A : 開機，再執行 C: 指令，則出現” Invalid drive specification “ 即使您曾經有備份開機區資料，但是，你硬碟中的資料，已全毀了，可不可以開機已經沒有意義了。 [如何得知我的電腦是否已被這個電腦病毒感染？] 有下列幾種方法。以”開始”的”尋找” 的”進階”選項設定，尋找所有的 .EXE 中含有” CIH V1.2 TTIT “的字串。如果有找到，則表示你的電腦已被感染了。另外一種方法是利用 Binary 檔案編輯器去檢查檔案 .EXE 中的 “PE\0\0 “之前的一個 byte 是否是 0x00 。正常情況應該是0，如果被改了，那表示這個檔案被感染了。其實，最正確的的方法應該是利用 Binary 檔案編輯器去找 “PE\0\0” 的位移， 0x28 處的 4個 Byte 值所指的位置的資料區（即一般電腦專業術語 Program Entry Point 程式起使進入點）是否是 “55 8D 44 24 F8 33 DB 64” ，如果是則表示這個檔案被感染了。 -- 不要週刊,不要季刊,也不要月刊, 只想要每天都看的到的報紙, 只想要每天跟喜歡的人在一起...... -- ※ 發信站: 批踢踢實業坊(ptt.twbbs.org) ◆ From: 140.119.195.160