※ [本文轉錄自 sometimes 信箱] 作者: redhair (雷黑爾軒) 看板: sttmountain 標題: 最近很流行的病毒 時間: Sun Jun 7 22:56:42 1998 最近一種很厲害的病毒到處感染網路上的電腦, 如果最近曾經抓過檔案的,尤其是 winamp191,icq,win98... 快用以下的方法 Check! CIH 1.2/1.4 是近來最流行的病毒,為 poppy 2 病毒之變種, 目前各大 ftp 之 shareware 和一大堆地下站之軟體皆受到感染, 一經使用受感染之軟體即中毒,且散播廣泛且迅速. 此病毒是 poppy 2 病毒的變種,利用中斷取得 ring 0 攻佔系統, 受到感染的檔案,大小日期皆不變. 病毒一開始潛伏在檔案中,等執行到被感染的檔, 病毒就進入記憶體,準備大量感染所有 *.exe 執行檔, 症狀是一開始有許多 zip 自解檔不可使用,出現以下訊息: Winzip Self-Extractor header corrupt. Possible cause:bad disk or file transfer error 除了 zip 自解檔外,硬碟內所有 *.exe 執行檔皆被感染, 使用 Ultra Edit 來看 ASCII Code,出現 "CIH v1.2 TTIT" 或是 "CIH v1.4 TATUNG" 字串,此時用 Win95 或 Win98 的尋找檔案來搜尋, 文字填 "CIH v1",就可發現數百個檔案受到感染. (據稱有些受感染檔案找不到 CIH 字串) 更慘的是,市面上常見之防毒軟體(包括 pccillin,zlock,norton,mcafee...) 無一能偵測病毒. 目前之對策為: 若已經發病,win95/98 重灌,接著趕快搜尋出所有感染之檔案, 中毒的檔案先不要砍,等防毒軟體的公司開發出病毒碼. ===== 標題 如何知到你有沒有中毒??? 用Ultra Edit去開啟notepad.exe 然後找字串"CIH" 如果找得到, 那恭喜了... ===== 如何解（不完全） ftp:/140.115.20.242/virus/ss980605.exe 檔案蠻小的 不過功能還算強大 -- 看那煙波 聽那雲湧 愛◢◣的小孩 投身於千幻之表 成大山協 沈浸於唯真之實 北極星隊 成大山協 HomePage http://140.116.5.22/~mountain/ -- ⊕ Origin: 柴門霍夫 IPA.DormC.nccu.edu.tw ⊕ From: eesol01.ee.ncku.edu.tw -- Origin: 柴門霍夫 IPA.DormC.nccu.edu.tw (140.119.145.100)