精華區beta sttmountain 關於我們 聯絡資訊
發信人[email protected] (雷黑爾軒),
看板mountain
標 題[轉錄]有關CIH病毒(由大同工學院CIH本人發表)(轉寄)
發信站mybbs (Sat Jun 13 23:08:52 1998)
轉信站NCKU!news.ncku!ccnews.ncku!news2.ncku!news.nctu!news.csie.nctu!Amoybbs
發信人: [email protected] (生命不可承受之輕), 信區: ccns 標 題: 有關CIH病毒(由大同工學院CIH本人發表) 發信站: 夢之大地 (Sun Jun 7 02:32:57 1998) 轉信站: papa!news.ncku!news.civil.ncku!Dream Origin: bbs.ccns.ncku.edu.tw 相信不少人很想砍我... ~~~>_<~~ 我現在說什麼都沒用, 實在很抱歉... 對不起... 但有些事情要交代一下, 因為那些只會打著華麗騙人廣告的防毒公司沒交代清楚, 很容易造成更大的災害... 什麼人工智慧, 防未知病毒入侵, 全是唬爛... 防毒公司的廣告... 根本就是騙人的... 這次的事件, 就可以看得出來... 【目前的版本】 市面上有 v1.2 v1.3 v1.4 至於 v1.0 v1.1 則沒流到市面上... 【各版的特性】 v1.0 : 感染後, 檔案變大, 沒破壞力. v1.1 : 感染後, 檔案不會變大, 沒破壞力. v1.2 : 感染後, 檔案不會變大, 具破壞力. v1.3 : 感染後, 檔案不會變大, 具破壞力. 同時不感染部份自解檔. v1.4 : 感染後, 檔案不會變大, 具破壞力. 每月 26 日發作, 對所有自解檔都不感染. 目前的版本, 即使在 NT 環境下跑, 也不會發生錯誤, 但在 NT 下失去病毒的所有作用... 【發作時間】 (1) 如果中的是 v1.2 及 v1.3 版的話, 每年的 4/26 會發作... (2) 但如果中的是 v1.4 版, 則每個月的 26 日會發作... 【在 Windows 95/98 發作的樣子】 (1) 硬碟狂奔... 所有硬碟資料不見... 必須重新 fdisk... (2) 部份廠牌只需 5V 即可 reflash 的 BIOS EEPROM(如 : SST), 則會被清掉... 造成無法開機... 只有送去維修或是用 IC 燒錄器重新把資料燒回去... 想企圖用軟體從重新燒錄, 將會發現 reflash 程式誤判 EEPROM 型號, 導致無法燒入... 至於需要調 jumper 才可以 reflash 的 12V BIOS EEPROM, 則無法破壞(實際上, 我也沒試過...) 至於真的能洗掉 BIOS 資料嗎 !? 其相容性, 我不很清楚... 但我試過兩種主機板, 技嘉以及微星... 發作時, 確實可以... 那些以前抱著世界上根本沒有 BIOS 病毒的人, 現在大概不敢吭聲... 雖然這隻病毒沒寫入病毒碼在 BIOS 裡面, 而只是填入垃圾資料到 BIOS, 就足以證明, 部份 BIOS 可能會被病毒清掉其程式, 甚至被病毒感染... 這大概也是全世界第一隻能破壞 reflash BIOS 的病毒... 【如何發現自己已經中毒】 一般來說(這些方法並不一定能找到所有中毒的檔案, 可能少數找不到), 用 UltraEdit 開啟 C:\Windows\Notepad.exe, 然後查詢 CIH v1. 的字串... 若發現此字串, 就代表系統中標了... ^^^^^^^ 此時系統已經藏有病毒... 千萬不要照著 Virus 版的方法, 跟白癡一樣, 再全部搜尋所有執行檔, 檢查有無這個 mark, 那只會擴大病情... 等你搜尋完後, 本來沒中的檔案, 也都中完了... 至於 Notepad.exe 沒找到這個字串, 則代表系統沒中毒... 這時才可以放心的用軟體搜尋完所有執行檔, 看看哪幾個新抓回來的檔案有毒... 其實目前更好的辦法, 可以到 Virus 版拿新出來的偵毒/解毒程式... 【如何偵毒/解毒】 在各大 BBS 站的 Virus 版, 就會有找的到... 各版本的解毒, 似乎都存在某些問題... 以 SSCAN 來說, 作者似乎沒把 SECTION TABLE, 以及病毒感染做的 mark 還原, 這將會造成 teleport, 自解檔, 等軟體在進行自我檢查是否有被修改時, 會發現被修改, 導致無法順利執行... 大概這樣子... 其他的解毒... 沒信心用... :( 這時才可以放心的用軟體搜尋完所有執行檔, 看看哪幾個新抓回來的檔案有毒... 其實目前更好的辦法, 可以到 Virus 版拿新出來的偵毒/解毒程式... 【如何偵毒/解毒】 在各大 BBS 站的 Virus 版, 就會有找的到... 各版本的解毒, 似乎都存在某些問題... 以 SSCAN 來說, 作者似乎沒把 SECTION TABLE, 以及病毒感染做的 mark 還原, 這將會造成 teleport, 自解檔, 等軟體在進行自我檢查是否有被修改時, 會發現被修改, 導致無法順利執行... 大概這樣子... 其他的解毒... 沒信心用... :( 中了 v1.4 版的人, 千萬記住每個月的 26 日會發作... 盡快拿解毒程式解毒... 大同工學院 CIH 6/6 -- Origin: 柴門霍夫 IPA.DormC.nccu.edu.tw (140.119.145.100)