作者 DenTarg (Dentarg=蛋塔 ^0^) 看板 DreamApple 標題 [轉錄]有關CIH....一定要看!! 時間 Tue Jun 9 16:42:03 1998 ─────────────────────────────────────── 作者 leaping.bbs@bbs.ee.ncu.edu.tw (In My Own Beautiful W 看板 virus 標題 CIH 的作者說話了 時間 中央大學松濤風情資訊站 (Sat Jun 6 09:27:15 1998) ─────────────────────────────────────── 在大同資工的板子上看到的。這個變態當初還得意洋洋的！ 對！我真想砍他，忙著趕東西時，害我不敢在電腦上工作一個多星期！ 想打電話給大同校方，看他們怎麼處理這個唯恐天下不亂的混帳。 還將校名用上去，構成破壞校譽了吧？ ──────── 轉載文字 ─────── 相信不少人很想砍我... ~~~>_<~~ 我現在說什麼都沒用, 實在很抱歉... 對不起... 但有些事情要交代一下, 因為那些只會打著華麗騙人廣告的防毒公司沒交代清楚, 很容易造成更大的災害... 什麼人工智慧, 防未知病毒入侵, 全是唬爛... 防毒公司的廣告... 根本就是騙人的... 這次的事件, 就可以看得出來... 【目前的版本】 市面上有 v1.2 v1.3 v1.4 至於 v1.0 v1.1 則沒流到市面上... 【各版的特性】 v1.0 : 感染後, 檔案變大, 沒破壞力. v1.1 : 感染後, 檔案不會變大, 沒破壞力. v1.2 : 感染後, 檔案不會變大, 具破壞力. v1.3 : 感染後, 檔案不會變大, 具破壞力. 同時不感染部份自解檔. v1.4 : 感染後, 檔案不會變大, 具破壞力. 每月 26 日發作, 對所有自解檔都不感染. 目前的版本, 即使在 NT 環境下跑, 也不會發生錯誤, 但在 NT 下失去病毒的所有作用... 【發作時間】 (1) 如果中的是 v1.2 及 v1.3 版的話, 每年的 4/26 會發作... (2) 但如果中的是 v1.4 版, 則每個月的 26 日會發作... 【在 Windows 95/98 發作的樣子】 (1) 硬碟狂奔... 所有硬碟資料不見... 必須重新 fdisk... (2) 部份廠牌只需 5V 即可 reflash 的 BIOS EEPROM(如 : SST), 則會被清掉... 造成無法開機... 只有送去維修或是用 IC 燒錄器重新把資料燒回去... 想企圖用軟體從重新燒錄, 將會發現 reflash 程式誤判 EEPROM 型號, 導致無法燒入... 至於需要調 jumper 才可以 reflash 的 12V BIOS EEPROM, 則無法破壞(實際上, 我也沒試過...) 至於真的能洗掉 BIOS 資料嗎 !? 其相容性, 我不很清楚... 但我試過兩種主機板, 技嘉以及微星... 發作時, 確實可以... 那些以前抱著世界上根本沒有 BIOS 病毒的人, 現在大概不敢吭聲... 雖然這隻病毒沒寫入病毒碼在 BIOS 裡面, 而只是填入垃圾資料到 BIOS, 就足以證明, 部份 BIOS 可能會被病毒清掉其程式, 甚至被病毒感染... 這大概也是全世界第一隻能破壞 reflash BIOS 的病毒... 【如何發現自己已經中毒】 一般來說(這些方法並不一定能找到所有中毒的檔案, 可能少數找不到), 用 UltraEdit 開啟 C:\Windows\Notepad.exe, 然後查詢 CIH v1. 的字串... 若發現此字串, 就代表系統中標了... 此時系統已經藏有病毒... 千萬不要照著 Virus 版的方法, 跟白癡一樣, 再全部搜尋所有執行檔, 檢查有無這個 mark, 那只會擴大病情... 等你搜尋完後, 本來沒中的檔案, 也都中完了... 至於 Notepad.exe 沒找到這個字串, 則代表系統沒中毒... 這時才可以放心的用軟體搜尋完所有執行檔, 看看哪幾個新抓回來的檔案有毒... 其實目前更好的辦法, 可以到 Virus 版拿新出來的偵毒/解毒程式... 【如何偵毒/解毒】 在各大 BBS 站的 Virus 版, 就會有找的到... 各版本的解毒, 似乎都存在某些問題... 以 SSCAN 來說, 作者似乎沒把 SECTION TABLE, 以及病毒感染做的 mark 還原, 這將會造成 teleport, 自解檔, 等軟體在進行自我檢查是否有被修改時, 會發現被修改, 導致無法順利執行... 大概這樣子... 其他的解毒... 沒信心用... :( 中了 v1.4 版的人, 千萬記住每個月的 26 日會發作... 各版本的解毒, 似乎都存在某些問題... 以 SSCAN 來說, 作者似乎沒把 SECTION TABLE, 以及病毒感染做的 mark 還原, 這將會造成 teleport, 自解檔, 等軟體在進行自我檢查是否有被修改時, 會發現被修改, 導致無法順利執行... 以 SSCAN 來說, 作者似乎沒把 SECTION TABLE, 以及病毒感染做的 mark 還原, 這將會造成 teleport, 自解檔, 等軟體在進行自我檢查是否有被修改時, 會發現被修改, 導致無法順利執行... 大概這樣子... 其他的解毒... 沒信心用... :( 盡快拿解毒程式解毒... 盡快拿解毒程式解毒... 大同工學院 CIH 6/6 -- ＠, ●秘密情人● (bbs.cse.ttit.edu.tw) ~\ ◆ Post From: cseserv.cse.ttit.edu.tw ◆ -- -- ※ 發信站: 批踢踢實業坊(ptt.m8.ntu.edu.tw) ◆ From: devery.m1.ntu.e > -------------------------------------------------------------------------- < 作者: DenTarg (享受生命的喜悅..^0^) 看板: NTUMEB86-B 標題: Re: [轉錄]楓橋轉來的...有關CIH電腦病毒 .... 時間: Tue Jun 9 17:04:26 1998 ─────────────────────────────────────── 作者 eqvy.bbs@bbs.tku.edu.tw (<ㄚ泰98測試版>), 看板 virus 標題 CIH正確搜尋法 時間 淡江大學 BBS (Mon Jun 8 17:42:23 1998) ─────────────────────────────────────── 【如何發現自己已經中毒】 一般來說(這些方法並不一定能找到所有中毒的檔案, 可能少數找不到), 用 UltraEdit 開啟 C:\Windows\Notepad.exe, 然後查詢 CIH v1. 的字串... 若發現此字串, 就代表系統中標了... 此時系統已經藏有病毒... 千萬不要照著 Virus 版的方法, 跟白癡一樣, 再全部搜尋所有執行檔, 檢查有無這個 mark, 那只會擴大病情... 等你 搜尋完後, 本來沒中的檔案, 也都中完了... 至於 Notepad.exe 沒找到這個字串, 則代表系統沒中毒... 這時才可以放心的用軟體搜尋完所有執行檔, 看看哪幾個新抓回來的檔案有毒... 其實目前更好的辦法, 可以到 Virus 版拿新出來的偵毒/解毒程式.. -- ※ 來源:‧蛋捲廣場 bbs.tku.edu.tw‧[FROM: 163.13.212.235] -- ※ 發信站: 批踢踢實業坊(ptt.m8.ntu.edu.tw) ◆ From: devery.m1.ntu.e > -------------------------------------------------------------------------- < 作者: DenTarg (享受生命的喜悅..^0^) 看板: NTUMEB86-B 標題: Re: [轉錄]楓橋轉來的...有關CIH電腦病毒 .... 時間: Tue Jun 9 17:05:47 1998 作者 YaKai.bbs@snow.ice.ntnu.edu.tw (協尋 DQD-697), 看板 virus 標題 可能的來源 about CIH v1.2 時間 師大資訊白色情迷站 (Tue Jun 2 19:06:25 1998) ─────────────────────────────────────── 根據網友們給我的消息，我採樣了幾個 ftp 站的幾個檔案， 包括 cis.nctu, vit, tku, lit 等等 ... 純粹採用字串比對(註)，是否有 CIH 及 TTIT 的字樣，小弟目前發現兩個 檔案吻合，請大家注意 :: ftp.cis.nctu.edu.tw /Windows/Winsock/Text_Chat/ICQ/icq98a126.exe [此檔為 CIH v1.2] ftp.vit.edu.tw /upload/winamp191-sp1.exe [此檔為 CIH v1.4] (註) 由於弟在此方面無研究，只好用這個最笨的方法來測，如果這兩個檔 並非中毒，尚請見諒。 -- << 白色情迷常客 >> 歡迎蒞臨 http://www.ice.ntnu.edu.tw/~u84395 140.122.77.49 (bbs.ice.ntnu.edu.tw) 有事請扣 ICQ: 11728944 現任板工 [virus] [activeboard] 于 白色情迷 [virus] 于 大宇軟體之星 沒事來抓 ftp.chu.edu.tw/antivirus ～ 無心 ～ -- ★ 發信站: 白色情迷 (140.122.77.49) 來自: noheart.dorm1.nt -- -- ※ 發信站: 批踢踢實業坊(ptt.m8.ntu.edu.tw) ◆ From: devery.m1.ntu.e