基本介紹
- 中文名:聖誕CIH病毒
- 外文名:PE_KRIZ.3740
- 爆發時間:12月25日
- 類型:計算機病毒
聖誕CIH病毒介紹,聖誕CIH病毒破壞力,聖誕CIH相關病毒,聖誕CIH病毒檔案,聖誕CIH病毒發展歷程,CIH病毒v1.0版本,CIH病毒v1.1版本,CIH病毒v1.2版本,CIH病毒v1.3版本,CIH病毒v1.4版本,CIH病毒發作時所產生的破壞性,防範——關鍵是提前防毒,
聖誕CIH病毒介紹
通過這個病毒的名字,我們可以看出這個病毒的一些基本特徵:這個病毒的名字是由三部分組成,第一部分"PE"表征著這個病毒的類型,PE是Portable Execute的縮寫 (與Native Execute的NE相對照),它表明這個病毒類型是32位定址的線性增強模型保護模式檔案;下劃線作為分隔設定,後面的"KRIZ"是這個病毒名字的第二部分,也是這個病毒的真實名字。由於這個病毒的觸發模組代碼部分是以日期作為判斷條件的,即病毒的發作是在每次的12月25日,由於剛好是聖誕節的時間,所以我們也稱它為聖誕節病毒(Christmas Virus),KRIZ就是按聖誕節(Christmas)的英文發音來起的名字;這個名字的第三部分是".3740",這部分表征著病毒的屬性,即:這個病毒惡性代碼大小為3740位元組。
了解了這個病毒名字的含義,我們就已經了解了這個病毒的不少特徵了,由於這個病毒是一個Win32 Exec型的病毒,所以也有人稱它為W/32.KRIZ病毒;又由於這個病毒是在聖誕節時間發作,並且它與4月26日發作的CIH(PE_CIH,又稱Win95_CIH)有類似的破壞性,所以又有人稱它為"聖誕CIH"病毒,但這個病毒的破壞性比起4月26日發作的CIH來,是有過之而無不及。
通常KERNEL32.DLL檔案只能在唯讀情況下才能被打開,這種情況下病毒是不能感染它的。那么病毒到底是如何進行感染的呢?首先,病毒會先在Windows系統目錄中創建一個臨時檔案來製做一個副本檔案KRIZED.TT6,然後感染它並在 WININIT.INI檔案中輸入"重命名"指令,於是用這樣的辦法首先感染了KERNEL32.DLL副本,而在 Windows在第二次啟動時,以染毒的副本檔案強制替換原始的KERNEL32.DLL,這樣這個唯讀檔案就被感染了。
這種聖誕CIH病毒是一種駐留記憶體型的病毒,可以在WIN95/98/NT等多種操作平台上肆意傳播。當執行染毒檔案時,病毒會首先感染KERNELL32.DLL檔案,以駐留windows系統。一旦感染了KERNEL32.DLL檔案,病毒就會修改輸出功能表(Export table)和功能地址,這樣在Windows下一次啟動時,病毒鍊表(virus hooker)就會過濾調用KERNEL32的功能操作,從而便於病毒監測檔案讀取行為。感染KERNEL32.DLL的病毒會使鍊表檔案讀取功能異常,會阻止檔案進行複製、開啟、移動等操作,並會感染所讀取的檔案,但這個病毒"智商"很高,它並不是只進行簡單的感染動作,而是會對躲避反病毒軟體對它的偵測,當啟動染毒系統後,病毒會對正在操作的檔案進行感染,但它首先會檢查檔案名稱,如果檔案名稱有可能是防毒軟體的話,病毒就不會感染它們(後面將給出這個病毒所不感染的具體檔案名稱),否則它將感染每一個正在操作中的EXE和DLL檔案。
當感染一個檔案時,病毒會根據自己的版本選擇是在檔案末端寫入病毒代碼,還是在檔案末端創建一個新檔案,將自己的代碼加密並寫入。為有效區別檔案是否染毒,避免對同一檔案進行重複感染而造成系統異常,病毒會在檔案頭保留區寫入"666" ID字元串作為感染標記,它在感染某個檔案之前會先檢查此檔案是否含有自身的"感染標記",有則放棄,沒有則進行感染。這一行為本來是為病毒的隱蔽傳播而設計的,而在反病毒專家的眼裡,它反而成為偵測這種病毒的一個依據了;除此之外,這個病毒還帶有一些版權資訊,裡面有很多髒話,而沒有太大的作用,就不多介紹了。
聖誕CIH病毒破壞力
綜合以上,大家可以注意到"聖誕CIH"的破壞性比以往的CIH病毒更為厲害:
1. 以往的CIH可以破壞主機板的BIOS,"聖誕CIH"同樣可以做到;
2. 以往的CIH只感染WIN95/98系統,而"聖誕CIH"除此之外還感染NT系統,破壞範圍更廣;
3. 以往的CIH只是覆蓋了C驅數據,而"聖誕CIH"除此之外還覆蓋所有的邏輯分區數據,破壞力更大;
4. "聖誕CIH"比以往的CIH具有更高的智商,可以更隱蔽地進行傳播。
為避免此病毒可能會因為覆寫檔案而造成不必要的麻煩,所以建議大家以防為主,提早安裝反病毒工具預防;另外我們還想提醒廣大用戶,修改計算機系統時間的話,可能會使該病毒提前發作,所以請大家留心
附:這種病毒不會感染的檔案名稱清單
AVP32.EXE, _AVPM.EXE, ALERTSVC.EXE, AMON.EXE, AVP32.EXE, AVPM.EXE,N32SCANW.EXE, NAVAPSVC.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVRUNR.EXE,NAVWNT.EXE, NOD32.EXE, NPSSVC.EXE, NSCHEDNT.EXE, NSPLUGIN.EXE, SCAN.EXE,SMSS.EXE
聖誕CIH相關病毒
從1998年的4月26日開始,26日成為一個令電腦用戶頭痛又恐慌的日子,因為在那一天CIH病毒誕生了!1999年4月26日,這個遊蕩在網際網路和個人電腦間的黑色幽靈,在全球全面發作。這一天,對於中國電腦用戶來說,無疑是個令人心悸的災難日:開機、螢幕沒有任何顯示,只有死一般的沉寂。黑色幽靈第一次對中國用戶發起了大規模的進攻。 損失是慘重的,可以統計的經濟損失以億計算,對電腦用戶的震動並因此而產生的對計算機病毒的恐懼感,著實讓國內外的防病毒軟體大大的火了一把。
聖誕CIH病毒檔案
病毒名稱:CIH
發作日期:每月26日
產地:台灣省
病毒類型:檔案感染型
聖誕CIH病毒發展歷程
CIH病毒的各種不同版本的隨時間的發展不斷完善,其基本發展歷程為:
CIH病毒v1.0版本
最初的V1.0版本僅僅只有656位元組,其雛形顯得比較簡單,與普通類型的病毒在結構上並無多大的改善,其最大的“賣點”是在於其是當時為數不多的、可感染Microsoft Windows PE類執行檔的病毒之一,被其感染的程式檔案長度增加,此版本的CIH不具有破壞性。
CIH病毒v1.1版本
當其發展到v1.1版本時,病毒長度為796位元組,此版本的CIH病毒具有可判斷Win NT軟體的功能,一旦判斷用戶運行的是Win NT,則不發生作用,進行自我隱藏,以避免產生錯誤提示信息,同時使用了更加最佳化的代碼,以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類執行檔中的“空隙”,將自身根據需要分裂成幾個部分後,分別插入到PE類執行檔中,這樣做的優點是在感染大部分WINPE類檔案時,不會導致檔案長度增加。
CIH病毒v1.2版本
當其發展到v1.2版本時,除了改正了一些v1.1版本的缺陷之外,同時增加了破壞用戶硬碟以及用戶主機BIOS程式的代碼,這一改進,使其步入惡性病毒的行列,此版本的CIH病毒體長度為1003位元組。
CIH病毒v1.3版本
原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包檔案(ZIP self-extractors file)時,將導致此ZIP壓縮檔在自解壓時出現:
WinZip Self-Extractor header corrupt.
Possible cause: disk or file transfer error.
的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促,其改進點便是針對以上缺陷的,它的改進方法是:一旦判斷開啟的檔案是WinZip類的自解壓程式,則不進行感染。同時,此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。
CIH病毒v1.4版本
此版本的CIH病毒改進上上幾個版本中的缺陷,不感染ZIP自解壓包檔案,同時修改了發作日期及病毒中的版權資訊(版本信息被更改為:“CIH v1.4 TATUNG”,在以前版本中的相關信息為“CIH v1.x TTIT”),此版本的長度為1019位元組。
從上面的說明中,我們可以看出,實際上,在CIH的相關版本中,只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性,其中v1.2版本的CIH病毒發作日期為每年的4月26日,這也就是當前最流行的病毒版本,v1.3版本的發作日期為每年的6月26日,而CIH v1.4版本的發作日期則被修改為每月的26日,這一改變大大縮短了發作期限,增加了其的破壞性。
CIH病毒發作時所產生的破壞性
CIH屬惡性病毒,當其發作條件成熟時,其將破壞硬碟數據,同時有可能破壞BIOS程式,其發作特徵是: