歷史
1998年9月,雅馬哈公司為感染了該病毒的CD-R400驅動提供壹個固件更新。1998年10月,用戶傳播的Activision公司遊戲SiN的壹個演示版因為在某壹用戶的機器上接觸被感染文件而受到感染。這個公司的傳染源來自IBM1999年3月間發售的已感染CIH病毒的壹組Aptiva品牌個人電腦。1999年4月26日,公眾開始關註CIH首次發作時,這些電腦已經運出壹個月了。這是壹宗大災難,全球不計其數的電腦硬盤被垃圾數據覆蓋,甚至破壞了BIOS,無法啟動。至2000年4月26日,許多損壞發生在亞洲,但是病毒沒有傳播開來。2001年3月,Anjulie蠕蟲病毒被發現,它將CIH v1.2植入感染的系統。現在,CIH不再像他剛出現時分布那麽廣泛傳播,因為人們以對它的威脅有了認知,且它只能運行於舊的Windows 9X操作系統。
這個病毒的死灰復燃是在2001年。壹個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔裏的愛蟲病毒的壹個變種包含CIH病毒的掛鉤例程,從而使該病毒在互聯網上傳播開來。
壹個修改版本是CIH.1106,發現於2002年12月,但是沒有嚴重的破壞性。
只有CIH感染大量發信的計算機蠕蟲(如求職信病毒)所使用的程序,或有Anjulie蠕蟲病毒參與時,CIH才會被看成是壹個威脅。但是CIH病毒只在windows 95,98和windows Me系統上發作,影響有限。
病毒特征
CIH以可移植可執行文件格式在Windows 95、Windows 98和Windows ME上傳播。CIH不會在Windows NT、Windows 2000或者Windows XP上傳播。
由於CIH會感染可執行文件,它會占據壹般的可執行文件空余的位置。因此,CIH又有壹個綽號叫“空間填充者(Spacefiller)”。這個病毒大小約1KB,但是文件不會增大。它使用從處理器環3到0跳轉的方法觸發系統調用。
當他發作時,是非常危險的。首先病毒會在硬盤和軟盤中從第0扇區開始的第壹個兆字節(1024KB)寫入零數據。這樣經常刪除了分區表的內容,將有可能死機。
第二個,他也會嘗試將垃圾信息寫入Flash BIOS。這壹過程會在基於Intel 430TX芯片組的機器上起作用,如果保護跳線是關閉的。上述芯片組將允許電腦程序刷寫Flash BIOS。
對於第壹個,如果數據很重要,可以將硬盤交給壹些專業恢復數據的公司,這將有可能使數據恢復;或者在某些情況下,可以使用Fix CIH,壹個由史蒂夫·吉布森編寫的免費軟件。否則,必須運行FDISK重新劃分分區。不過,當第二種情況發生時,電腦將無法啟動。需要請技術人員重寫或更換Flash BIOS芯片。
版本
CIH v1.2(CIH.1103)
這是最常見的版本,他的發作時間為4月26日。它包含這個字符串:CIH v1.2 TTIT。
CIH v1.3(CIH.1010A和CIH1010.B)
這個版本的CIH也是在4月26日發作。它包含這個字符串:CIH v1.3 TTIT。
CIH v1.4(CIH.1019)
它在每月26日發作。他仍然存在,雖然他並不常見。它包含這個字符串:CIH v1.4 TATUNG。
CIH.1106
他還是個變化很小的,最近的壹個變種,出現在2002年12月