※ [本文轉錄自 sometimes 信箱]
作者: redhair (雷黑爾軒) 看板: sttmountain
標題: 最近很流行的病毒
時間: Sun Jun 7 22:56:42 1998
最近一種很厲害的病毒到處感染網路上的電腦,
如果最近曾經抓過檔案的,尤其是 winamp191,icq,win98...
快用以下的方法 Check!
CIH 1.2/1.4 是近來最流行的病毒,為 poppy 2 病毒之變種,
目前各大 ftp 之 shareware 和一大堆地下站之軟體皆受到感染,
一經使用受感染之軟體即中毒,且散播廣泛且迅速.
此病毒是 poppy 2 病毒的變種,利用中斷取得 ring 0 攻佔系統,
受到感染的檔案,大小日期皆不變.
病毒一開始潛伏在檔案中,等執行到被感染的檔,
病毒就進入記憶體,準備大量感染所有 *.exe 執行檔,
症狀是一開始有許多 zip 自解檔不可使用,出現以下訊息:
Winzip Self-Extractor header corrupt.
Possible cause:bad disk or file transfer error
除了 zip 自解檔外,硬碟內所有 *.exe 執行檔皆被感染,
使用 Ultra Edit 來看 ASCII Code,出現 "CIH v1.2 TTIT" 或是
"CIH v1.4 TATUNG" 字串,此時用 Win95 或 Win98 的尋找檔案來搜尋,
文字填 "CIH v1",就可發現數百個檔案受到感染.
(據稱有些受感染檔案找不到 CIH 字串)
更慘的是,市面上常見之防毒軟體(包括 pccillin,zlock,norton,mcafee...)
無一能偵測病毒.
目前之對策為:
若已經發病,win95/98 重灌,接著趕快搜尋出所有感染之檔案,
中毒的檔案先不要砍,等防毒軟體的公司開發出病毒碼.
=====
標題 如何知到你有沒有中毒???
用Ultra Edit去開啟notepad.exe
然後找字串"CIH"
如果找得到, 那恭喜了...
=====
如何解(不完全)
ftp:/140.115.20.242/virus/ss980605.exe
檔案蠻小的 不過功能還算強大
--
看那煙波 聽那雲湧 愛◢◣的小孩
投身於千幻之表 成大山協
沈浸於唯真之實 北極星隊
成大山協 HomePage http://140.116.5.22/~mountain/
--
⊕ Origin: 柴門霍夫 IPA.DormC.nccu.edu.tw ⊕ From: eesol01.ee.ncku.edu.tw
--
Origin: 柴門霍夫 IPA.DormC.nccu.edu.tw (140.119.145.100)