FANDOM


CIH,又稱切爾諾貝爾(車諾比)或「空間填充者」,是在Microsoft Windows系統上運作且極具破壞力的記憶體常駐檔案寄生病毒。首次發現於1998年6月25日,地點是台灣。根據台北檢察部門的資料,此病毒的作者陳盈豪(Chen Ing Hau,故簡稱CIH),為當年台灣大同工學院學生。

這個病毒包裝成一些Windows應用程式散佈出去,在最初的幾個月基本上沒有什麼異樣。

感染行為编辑

此病毒是TSR病毒,會感染任何執行過的應用程式。其感染後的大小必定等於該檔案佔用的總磁區大小,以每一磁區大小為4KB計算,如果執行的程式大小本身是等於4KB的倍數,那麼CIH就不會感染這個檔案,因為沒有可用的空間來填充,「空間填充者」這個名稱由此而來。

Cih-author-170

陳盈豪

Cih-code-0

觸發行為编辑

危險的觸發行為在4月26日發生。

在這一天執行任何受感染的程式,這病毒會以隨機資料覆寫硬碟,由磁區0開始,以一個無限迴避不斷執行直到整個硬碟的資料都摧毀殆盡,系統亦會無法繼續處理,如此一來下次開機將無法再以這個硬碟啟動。

而另一個更危險的行為,就是存取電腦的BIOS晶片並將其中的資料損毀,此舉會令電腦永久無法開機。如果該電腦的CPU並不支援有關操作,又或者在硬件上設定了對晶片的寫入保護,那麼這行為將不會影響到晶片。

變種编辑

在2002年,已經發現至少4個變種。

  • Virus.Win9x.CIH.1103:CIH 1.2版
  • Virus.Win9x.CIH.1010(A和B):CIH 1.3版
  • Virus.Win9x.CIH.1019:每月的26日都觸發
  • Virus.Win9x.CIH.1049:在8月2日觸發

其他資料编辑

移除方法编辑

如果刷BIOS的觸發行為失敗,使用Fix-CIH可以嘗試將被這病毒摧毀的資料復原,使用者必須以Windows啟動或移復光碟開機以執行這個工具。在完成後,如果不清楚電腦是受哪一個變種感染,在進入系統移除受感染的檔案前,建議先將日期設定在上述觸發日子以外的日期以防止再度觸發。

利用命令列功能,可以執行Kill-CIH用來停止CIH,以及偵測任何受感染的檔案。無法修復的檔案只有以乾淨的複本來覆蓋或刪除兩種結果。

對其他地方的影響编辑

這病毒散佈了到若干個國家或地區,造成極大的經濟損失。

在南韓,有估計約100萬部電腦受到影響並造成大約250萬美元的損失。

在美國的波士頓學院,有電腦受到CIH感染,部分更被刷BIOS,在期末考前損失大量資料。

在新加坡和香港,亦都有分別約200和100部電腦受感染。而在印度有10間大企業的電腦都受到CIH影響。

散佈途徑编辑

此病毒最初在1998年夏季,透過盜版軟件發佈,當時有4個群組的電腦先受感染。亦有傳在PWA破解複本的Windows 98中帶有CIH。

由1998年夏至1999年春,數間軟體公司無意中發佈了受CIH感染的軟體。其中一款受感染的遊戲「Wing Commander」,有三本遊戲雜誌提示玩家在使用受感染的CD後盡快使用防毒軟體掃瞄和修復受感染的檔案。Yamaha亦有一套受感染的CD-R400驅動軟體。而在1999年3月,IBM Aptiva的電腦更預先藏了CIH在系統中。

觸發日期和歷史的關係编辑

切爾諾貝爾核事故在1986年4月26日發生,而CIH亦剛巧在4月26日觸發,然而作者表示,他設定這天觸發,就純粹是因為他在這天生日,並不知道會跟當年事故的發生日期碰在一起。

其他版本编辑

  • Bumerang,CIH的蠕蟲版本,透過電郵傳播,有著同樣的破壞力。
  • FlashKiller,為木馬程式,一執行即摧毀硬碟資料以及BIOS。

參考來源编辑

  1. Symantec:W95.CIH
  2. Vmyths:病毒之母(第2節)
  3. CIH在F-secure的描述