紧急追杀CIH病毒

1998年4月26日以来，我国计算机病毒监测网连续监测到一种被命名为CIH的恶性病毒。这是我国迄今为止发现的首例直接攻击、破坏硬件系统的计算机病毒，是破坏力最为严重的病毒之一。

与此同时，国内很多计算机应用单位相继被CIH病毒感染，造成重大损失，严重影响了计算机信息系统的正常应用，并引发了人们对CIH病毒的恐慌。一段时间以来，因特网上讨论这一病毒的电子邮件越来越多，甚至有些邮件附件本身就已经被CIH病毒感染。

8月31日，公安部计算机安全管理部门就此向全国有关部门、机构发出通报，要求做好CIH病毒的预防工作。

来自权威部门的消息说，CIH是一个纯粹的Windows95／98病毒，这个病毒很独特地使用了WindowsVxD（虚拟设备驱动程序）技术；该病毒发作时，硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失；再有就是CIH病毒发作时也可能会破坏某些类型的主板上的电可改写只读存储器（E2PROM）的BIOS。BIOS即电脑中的“基本输入／输出系统”，存放的是系统最基本的硬件参数和驱动程序，一旦被破坏则系统根本无法启动，唯一的修复途径就是送回厂家重新烧入BIOS。此时如果用户不想送回厂家“重烧”，而使用BIOS升级软件重新烧入BIOS，升级软件将报告“E2PROM型号不对”的错误。这就是说，CIH病毒已具备了对硬件的相当破坏能力，它可以彻底摧毁计算机。

一般用户都知道，传统意义上的病毒破坏的是数据而非硬件。因此，经常进行数据备份与软件更新，能够一定程度上防止数据文件被病毒破坏，而且即使文件被传染病毒，也可使用反病毒软件加以清除，至少可以尽最大可能恢复系统。防病毒专家认为，威胁到计算机硬件的CIH的出现，意味着病毒与反病毒的技术较量已开始发生质的改变。

“根据初步跟踪分析，CIH病毒是从海外传入内地的”，北京冠群金辰软件有限公司反病毒专家王铁肩介绍说：“目前该病毒的传播主要通过因特网和电子邮件，当然随着时间的推移，其传播主要还是通过软盘或光盘。”据权威病毒搜集网获得的信息，CIH病毒“原体”加“变种”一共有五种，它们的相互区别在于“原体”会使受感染文件增长，但不具破坏力；而“变种”不增长受感染文件，但有很强的破坏性，它们的发作时间分别为4月26日、6月26日和每月的26日。

CIH病毒只感染Windows95／98操作系统，从目前分析来看它对DOS操作系统似乎还没有什么影响，这可能是因为它使用了Windows下的VxD技术。所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows95／98用户就要特别注意了。CIH病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。

至于CIH病毒对BIOS的破坏，也并非想象中的那么可怕。要认清这点，我们先得简要介绍一下BIOS。

现在我们所使用的PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。

固化在ROM或EPROM的数据，只有施加特殊的电压或使用紫外线才有可能被清除，我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块，其目的便是防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠我们计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH会破坏BIOS。奔腾级别以下的计算机使用的就是这些只读存储器，因此它们的主人可以不必担心CIH病毒对BIOS的破坏。

但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。一般情况下这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。

改写E2PROM内的数据是需要一定逻辑条件的，不同的PC机系统这种条件可能并不相同，所以CIH并不会破坏所有使用E2PROM存储的BIOS的主板。根据可靠信息，BIOS为5V的技嘉主板、微星主板恰好在被破坏之列。需要说明的是，这些主板被破坏并非是这些主板本身质量不好，只是其E2PROM逻辑正好与CIH吻合，另外一种可能性就是CIH病毒的编制者有意要破坏这些品牌的主板。

所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM／EPROM之中，还是有一部分使用了E2PROM。如果您的主板BIOS恰好使用了E2PROM而且又恰好是CIH经常破坏的上面几种主板，就要特别留心了。

需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在它的发作日会摧毁硬盘所有数据，这是每个感染CIH病毒的用户不可避免的。

专家告诉我们，CIH并不像人们传说的那样可怕。国内有些反病毒软件能够检测到它的存在并有效清除它。但由于这一病毒是通过因特网和电子邮件传播的，其实时性和动态性是防治这一病毒的难点所在。病毒随时出现，防范必须随时进行，这是一般软件所难以做到的，原因在于：1．CIH病毒面向Windows95／98甚至NT，而一般反病毒软件都是面向DOS环境的；2．CIH病毒的传播、感染具有Windows下的实时性和隐蔽性，一般反病毒软件无法在Windows下检测到这种传播行为；3．绝大多数Windows应用程序的安装都是一个“解压缩，再安装”过程，CIH病毒有可能在解压缩过程中使系统受到感染，不具备压缩文件检测、实时反病毒能力的反病毒软件是无法检测到这种文件中的病毒并在安装过程中检测到病毒传播的。

认识到以上三点，我们得出的结论是：全面防治CIH病毒需要能够检测压缩文件病毒、具备病毒实时治愈能力的反病毒产品。可喜的是，目前国内市场已有这种反病毒产品，这便是冠群金辰公司出品的KILL98认证版（简称KILL98）。在Windows95／98环境中安装KILL98之后，KILL防毒墙便会在每次系统启动时均被自动加载，并在任务栏上显示出相应图标。KILL98防毒墙能够实时监控所有出入系统的文件（比如从因特网上下载的打包文件、电子邮件，或从软盘、光盘上安装、拷贝到系统中的文件等），对其加以病毒侦测、分析，一旦发现病毒立即加以清除，但并不会影响到文件的正常操作。

这里需要提醒大家的是，只有使用KILL病毒引擎4．12以上版本，KILL防毒墙才能够防治CIH病毒。新版KILL98发货时病毒引擎是4．10版的，那时针对CIH的防范措施还没有加进去，如果您要防治CIH，就必须对其进行更新。专家告诉我们，更新KILL病毒引擎的办法一共有三种：从因特网上通过KILL的FTP站点免费自动下载；使用因特网浏览器通过KILL的Web（万维网）站点手工下载，或者直接向KILL代理商索取最新KILL病毒引擎。

9月7日，美国Symantec反病毒研究中心也宣布研究出一种工具软件，可以“搜捕”到CIH病毒，然后用杀毒软件如NortonAntivirus予以剿灭并修复损坏的文件，该软件可使内存具有免疫力，防止CIH病毒侵袭。该工具现在亦可免费从Symantec的网站下载。