CIH病毒简介

特征：该计算机病毒属于W32家族，感染Windows95/98中以EXE为后缀的可行性文件。它具有极大的破坏性，可以重写BIOS使之无用(只要计算机的微处理器是PentiumIntel430TX)，其后果是使用户的计算机无法启动，唯一的解决方法是替换系统原有的芯片（chip ），该计算机病毒于4月26日发作，它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows3.x和WindowsNT操作系统。

传播途径：CIH可利用所有可能的途径进行传播：软盘、CD-ROM、Internet、FTP下载、电子邮件等。只有当执行受感染的文件时计算机病毒才会发作，否则计算机病毒将永远处于潜伏状态。症状：计算机病毒可能隐藏在任何以EXE为扩展名的可执行文件中，但是，只有执行这些文件，计算机病毒才会发作。一旦计算机病毒被激活（执行了带毒文件），计算机病毒就是进行破坏活动，有些是可见的，而另外一些则可能不被注意。

以下就是计算机病毒可能产生的影响：

1.它会驻留内存，这意味着Windows95/98系统调用任何（打开、关闭、重命名、复制或运行）以EXE为扩展名的文件时都会感染计算机病毒。

2.覆盖和重写BIOS信息使之无法工作。

3.破坏硬盘中的所有信息（格式化硬盘）遭到计算机病毒破坏的计算机启动时有如下提示："DISKBOOTFAILURE，INSERTSYSTEMDISKANDPRESSENTER"。而且，如果用户从软盘引导并试图访问硬盘，就会出现如下信息"INVALIDDRIVESPECIFICATION"。该计算机病毒在其代码中包含以下字符串"CIHv1.2TTIT"。

该计算机病毒的第一个变种称为CIHv1.3或CIH.1010，这个变种会在6月26日发作，它在其代码中包含以下字符串："CIHv1.3TTIT"。第二个变种称为CIHv1.4或CIH.1019，它会在每个月的26日发作，具有极大的破坏性。它将删除Flash-BIOS中的所有信息，因此会使计算机连系统盘都找不到，因为BIOS中已经没有执行该功能的程序。

但是，即使启动了计算机，硬盘也找不到，因为硬盘信息也已丢失CHI.1019破坏硬盘信息的方式是重写其中的内容。这个变种在其代码中包含以下字符串："CIHv1.4TATUNG"。

感染方式：CIH将自己的代码放在硬盘受感染文件的可用扇区内，因此这些文件的长度不会增加，达到了隐藏的目的。事实上，计算机病毒感染以EXE为扩展名的Windows可执行文件的原因是这些文件内有大量的可用扇区来隐藏计算机病毒代码。CIH只影响32位文件，因此只限于Windows95/98系统。当CIH计算机病毒进入内存后，它会截取InstallableFileSystem(IFS)以便感染所有扩展名为EXE的可执行文件。

备注：CIH首先在台湾被发现，根据台北官方的报告，计算机病毒是由24岁的陈盈豪（ChenIng-Halu）编制的，由于其名字第一个字母分别为C、I、H，所以这可能是计算机病毒名称的由来。