破坏力更大的“圣诞CIH”病毒明天发作 _硬件_科技时代

新浪首页 > 科技时代 > 硬件 > 新浪科技 > 新闻报道

破坏力更大的“圣诞CIH”病毒明天发作
http://www.sina.com.cn 1999/12/24 15:54 新浪科技

　　警告：一种新型的CIH病毒将于12月25日全面爆发，它的破坏力远大于大家所熟知的4月26日CIH病毒，请广大计算机用户注意预防；乐亿阳趋势公司已对此率先提出全面解决方案，大家可以下载免费的PC-cillin反病毒软件进行预防，并请老用户火速升级。

　　这种名为PE_KRIZ.3740（又称圣诞CIH）的病毒，每逢12月25日发作，发作时同样可以破坏BI OS（破坏方式与4月26日CIH相同），还可以破坏CMOS数据，并且会用垃圾数据覆盖所有硬盘驱动器（包括C驱和其它所有逻辑分区）中的所有文件，更有甚者这个病毒的编写者为了能使病毒大面积传播与破坏，把病毒设计成了加密型病毒，并且使这个病毒可以成功地避开普通杀毒软件的侦测。

　　通过这个病毒的名字，我们可以看出这个病毒的一些基本特征：这个病毒的名字是由三部分组成，第一部分"PE" 表征着这个病毒的类型，PE是Portable Execute的缩写（与Native Execute的NE相对照），它表明这个病毒类型是32位寻址的线性增强模型保护模式文件；下划线作为分隔符，后面的"KRIZ"是这个病毒名字的第二部分，也是这个病毒的真实名字。由于这个病毒的触发模块代码部分是以日期作为判断条件的，即病毒的发作是在每次的12月25日，由于刚好是圣诞节的时间，所以我们也称它为圣诞节病毒（ChristmasVirus），KRIZ 就是按圣诞节（Christmas）的英文发音来起的名字；这个名字的第三部分是".3740"，这部分表征着病毒的属性，即：这个病毒恶性代码大小为3740字节。

　　了解了这个病毒名字的含义，我们就已经了解了这个病毒的不少特征了，由于这个病毒是一个Win32 Exec 型的病毒，所以也有人称它为W/32.KRIZ病毒；又由于这个病毒是在圣诞节时间发作，并且它与4月26日发作的C IH（PE_CIH，又称Win95_CIH）有类似的破坏性，所以又有人称它为"圣诞CIH"病毒，但这个病毒的破坏性比起4月26日发作的CIH来，是有过之而无不及。

　　这种圣诞CIH病毒是一种驻留内存型的病毒，可以在WIN95/98/NT等多种操作平台上肆意传播。当执行染毒文件时，病毒会首先感染KERNELL32.DLL文件，以驻留windows系统。

　　通常KERNEL32.DLL文件只能在只读情况下才能被打开，这种情况下病毒是不能感染它的。那么病毒到底是如何进行感染的呢？首先，病毒会先在Windows系统目录中创建一个临时文件来制做一个副本文件KRIZED.T T6，然后感染它并在WININIT.INI文件中入"重命名"指令，于是用这样的办法首先感染了KERNEL32. DLL副本，而在Windows在第二次启动时，以染毒的副本文件强制替换原始的KERNEL32.DLL，这样这个只读文件就被感染了。

　　一旦感染了KERNEL32.DLL文件，病毒就会修改输出功能表（Export table）和功能地址，这样在Windows下一次启动时，病毒链表（virushooker）就会过滤调用KERNEL32的功能操作，从而便于病毒监测文件读取行为。感染KERNEL32.DLL的病毒会使链表文件读取功能异常，会阻止文件进行复制、开启、移动等操作，并会感染所读取的文件，但这个病毒"智商"很高，它并不是只进行简单的感染动作，而是会对躲避反病毒软件对它的侦测，即：当启动染毒系统后，病毒会对正在操作的文件进行感染，但它首先会检查文件名，如果文件名有可能是防毒软件的话，病毒就不会感染它们（后面将给出这个病毒所不感染的具体文件名），否则它将感染每一个正在操作中的EX E和DLL文件。

　　当感染一个文件时，病毒会根据自己的版本选择是在文件末端写入病毒代码，还是在文件末端创建一个新文件，将自己的代码加密并写入。为有效区别文件是否染毒，避免对同一文件进行重复感染而造成系统异常，病毒会在文件头保留区写入" 666"ID字符串作为感染标记，它在感染某个文件之前会先检查此文件是否含有自身的"感染标记"，有则放弃，没有则进行感染。这一行为本来是为病毒的隐蔽传播而设计的，而在反病毒专家的眼里，它反而成为侦测这种病毒的一个依据了；除此之外，这个病毒还带有一些版权信息，里面有很多脏话，而没有太大的作用，就不多介绍了。

　　综合以上，大家可以注意到"圣诞CIH"的破坏性比以往的CIH病毒更为厉害：

　　1、以往的CIH可以破坏主板的BIOS，"圣诞CIH"同样可以做到；2、以往的CIH只感染WIN95/ 98系统，而除此之外还感染NT系统，破坏范围更广；3、以往的CIH只是覆盖了C驱数据，而"圣诞CIH"除此之外还覆盖所有的逻辑分区数据，破坏力更大；4、“圣诞CIH”比以往的CIH具有更高的智商，可以更隐蔽地进行传播。

　　目前乐亿阳趋势的反病毒产品已经完全可以侦测和清除此病毒，但为避免此病毒可能会因为覆写文件而造成不必要的麻烦，所以建议大家以防为主，提早安装，另外我们乐亿阳趋势作为专业的反病毒公司早在1999年8月19日就已经提供了此病毒的资料，而鉴于这种病毒的危害性，我们在这里再次提醒广大用户，一定要认真防范，不然可能会造成难以估量的损失。

　　另外我们还想提醒广大用户,修改计算机系统时间的话,可能会使该病毒提前发作,所以请大家留心,如果有病毒提前发作或是您想得到更多的病毒信息,请上网查询(www.trendmicro.com.cn)或打电话(010-6 8305866)给我们,我们可以给您帮助!附：这种病毒不会感染的文件名清单_AVP32.EXE, _AVPM. EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,N32SCA NW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUN R.EXE,NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,SMSS.EXE

相关报道:新千年到来前夕恶性病毒纷纷出笼
相关报道:新浪、趋势科技合作推出Y2K病毒诊断网站
相关连接:上海市加强对CIH病毒的防范
相关连接:CIH病毒制造者陈盈豪开发出全球最小的Linux
相关连接:病毒CIH作者被一家美国公司录用
相关连接:综述：告别CIH！
相关专题:CIH全剖析

 请您点击此处就本文发表您的高见

新浪首页 > 科技时代 > 硬件 > 新浪科技 > 新闻报道

网站简介 | 网站导航 | 广告服务 | 中文阅读 | 联系方式 | 招聘信息 | 帮助信息


			破坏力更大的“圣诞CIH”病毒明天发作 http://www.sina.com.cn 1999/12/24 15:54 新浪科技　　警告：一种新型的CIH病毒将于12月25日全面爆发，它的破坏力远大于大家所熟知的4月26日CIH病毒，请广大计算机用户注意预防；乐亿阳趋势公司已对此率先提出全面解决方案，大家可以下载免费的PC-cillin反病毒软件进行预防，并请老用户火速升级。　　这种名为PE_KRIZ.3740（又称圣诞CIH）的病毒，每逢12月25日发作，发作时同样可以破坏BI OS（破坏方式与4月26日CIH相同），还可以破坏CMOS数据，并且会用垃圾数据覆盖所有硬盘驱动器（包括C驱和其它所有逻辑分区）中的所有文件，更有甚者这个病毒的编写者为了能使病毒大面积传播与破坏，把病毒设计成了加密型病毒，并且使这个病毒可以成功地避开普通杀毒软件的侦测。　　通过这个病毒的名字，我们可以看出这个病毒的一些基本特征：这个病毒的名字是由三部分组成，第一部分"PE" 表征着这个病毒的类型，PE是Portable Execute的缩写（与Native Execute的NE相对照），它表明这个病毒类型是32位寻址的线性增强模型保护模式文件；下划线作为分隔符，后面的"KRIZ"是这个病毒名字的第二部分，也是这个病毒的真实名字。由于这个病毒的触发模块代码部分是以日期作为判断条件的，即病毒的发作是在每次的12月25日，由于刚好是圣诞节的时间，所以我们也称它为圣诞节病毒（ChristmasVirus），KRIZ 就是按圣诞节（Christmas）的英文发音来起的名字；这个名字的第三部分是".3740"，这部分表征着病毒的属性，即：这个病毒恶性代码大小为3740字节。　　了解了这个病毒名字的含义，我们就已经了解了这个病毒的不少特征了，由于这个病毒是一个Win32 Exec 型的病毒，所以也有人称它为W/32.KRIZ病毒；又由于这个病毒是在圣诞节时间发作，并且它与4月26日发作的C IH（PE_CIH，又称Win95_CIH）有类似的破坏性，所以又有人称它为"圣诞CIH"病毒，但这个病毒的破坏性比起4月26日发作的CIH来，是有过之而无不及。　　这种圣诞CIH病毒是一种驻留内存型的病毒，可以在WIN95/98/NT等多种操作平台上肆意传播。当执行染毒文件时，病毒会首先感染KERNELL32.DLL文件，以驻留windows系统。　　通常KERNEL32.DLL文件只能在只读情况下才能被打开，这种情况下病毒是不能感染它的。那么病毒到底是如何进行感染的呢？首先，病毒会先在Windows系统目录中创建一个临时文件来制做一个副本文件KRIZED.T T6，然后感染它并在WININIT.INI文件中入"重命名"指令，于是用这样的办法首先感染了KERNEL32. DLL副本，而在Windows在第二次启动时，以染毒的副本文件强制替换原始的KERNEL32.DLL，这样这个只读文件就被感染了。　　一旦感染了KERNEL32.DLL文件，病毒就会修改输出功能表（Export table）和功能地址，这样在Windows下一次启动时，病毒链表（virushooker）就会过滤调用KERNEL32的功能操作，从而便于病毒监测文件读取行为。感染KERNEL32.DLL的病毒会使链表文件读取功能异常，会阻止文件进行复制、开启、移动等操作，并会感染所读取的文件，但这个病毒"智商"很高，它并不是只进行简单的感染动作，而是会对躲避反病毒软件对它的侦测，即：当启动染毒系统后，病毒会对正在操作的文件进行感染，但它首先会检查文件名，如果文件名有可能是防毒软件的话，病毒就不会感染它们（后面将给出这个病毒所不感染的具体文件名），否则它将感染每一个正在操作中的EX E和DLL文件。　　当感染一个文件时，病毒会根据自己的版本选择是在文件末端写入病毒代码，还是在文件末端创建一个新文件，将自己的代码加密并写入。为有效区别文件是否染毒，避免对同一文件进行重复感染而造成系统异常，病毒会在文件头保留区写入" 666"ID字符串作为感染标记，它在感染某个文件之前会先检查此文件是否含有自身的"感染标记"，有则放弃，没有则进行感染。这一行为本来是为病毒的隐蔽传播而设计的，而在反病毒专家的眼里，它反而成为侦测这种病毒的一个依据了；除此之外，这个病毒还带有一些版权信息，里面有很多脏话，而没有太大的作用，就不多介绍了。　　综合以上，大家可以注意到"圣诞CIH"的破坏性比以往的CIH病毒更为厉害：　　1、以往的CIH可以破坏主板的BIOS，"圣诞CIH"同样可以做到；2、以往的CIH只感染WIN95/ 98系统，而除此之外还感染NT系统，破坏范围更广；3、以往的CIH只是覆盖了C驱数据，而"圣诞CIH"除此之外还覆盖所有的逻辑分区数据，破坏力更大；4、“圣诞CIH”比以往的CIH具有更高的智商，可以更隐蔽地进行传播。　　目前乐亿阳趋势的反病毒产品已经完全可以侦测和清除此病毒，但为避免此病毒可能会因为覆写文件而造成不必要的麻烦，所以建议大家以防为主，提早安装，另外我们乐亿阳趋势作为专业的反病毒公司早在1999年8月19日就已经提供了此病毒的资料，而鉴于这种病毒的危害性，我们在这里再次提醒广大用户，一定要认真防范，不然可能会造成难以估量的损失。　　另外我们还想提醒广大用户,修改计算机系统时间的话,可能会使该病毒提前发作,所以请大家留心,如果有病毒提前发作或是您想得到更多的病毒信息,请上网查询(www.trendmicro.com.cn)或打电话(010-6 8305866)给我们,我们可以给您帮助!附：这种病毒不会感染的文件名清单_AVP32.EXE, _AVPM. EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,N32SCA NW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUN R.EXE,NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,SMSS.EXE 相关报道:新千年到来前夕恶性病毒纷纷出笼相关报道:新浪、趋势科技合作推出Y2K病毒诊断网站相关连接:上海市加强对CIH病毒的防范相关连接:CIH病毒制造者陈盈豪开发出全球最小的Linux 相关连接:病毒CIH作者被一家美国公司录用相关连接:综述：告别CIH！相关专题:CIH全剖析请您点击此处就本文发表您的高见

新浪首页 > 科技时代 > 硬件 > 新浪科技 > 新闻报道