CIH病毒简介
　　CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。它产自台湾，最早随盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。目前传播的主要途径是通过Internet和电子邮件。CIH病毒只感染Windows 95/98操作系统，从目前分析来看它对DOS操作系统似乎还没有什么影响，这可能是因为它使用了Windows下的VxD（虚拟设备驱动程序）技术造成的。但Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒。

　　CIH病毒每月26日都会爆发（有一种版本是每年4月26日爆发）。CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒。

　　从技术角度来看，该病毒使用了Windows 95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向Windows NT操作系统扩散。CIH病毒的这一技术特点对我们使用传统反病毒技术防治计算机病毒提出了巨大的挑战，这是因为我们所使用的传统反病毒工具基本上都是纯DOS或工作在Windows 95之下的仿真DOS应用程序，它们无法深入到Windows 95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。

发作现象

　　权威病毒搜集网目前报导的CIH病毒，“原体”加“变种”一共有5种之多，CIH病毒“变种” 不但不增长受感染文件，还有很强的破坏性，这个病毒有3个主要变种（CIHv1.2：4月26日发作，CIHv1.3：6月26日发作，CIHv1.4：每月26日发作），发作现象是：

1．攻击BIOS。CIH病毒最异乎寻常之处，是它对计算机BIOS的攻击。打开计算机时，BIOS首先取得系统的控制权，它从CMOS中读取系统设置参数，初始化并协调有关系统设备的数据流。CIH发作时，会试图向BIOS中写入垃圾信息，BIOS中的内容会被彻底洗去，造成计算机无法启动，只有更换主板或BIOS。据测试发现CIH能够破坏市面上常见的数十种BIOS。从这个角度上看，CIH病毒是首例直接攻击和破坏计算机硬件系统的病毒，会给众多的计算机用户带来摧毁性的结局。

2．覆盖硬盘。向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时，调用BIOS SendCommand直接对硬盘进行存取，将垃圾代码以2048个扇区为单位循环写入硬盘，直到所有硬盘（含逻辑盘）的数据均被破坏为止。

有一点需广大用户注意，千万不要因为自己的计算机主板上面有BIOS写入/防写入跳线，就认为CIH病毒奈何不得自己的计算机，许多主板上的BIOS写入/防写入跳线即使设置为防写入状态，BIOS依然会被改写，原因是部分BIOS芯片无需提高电压即可写入。

CIH病毒修复办法

1. 冠群公司
对于已经被CIH破坏的硬盘,可以作以下处理：
1)第一个逻辑盘通常是C:盘，通常不可完全恢复，但是如果使用Kill 98制作过应急盘，可以用Kill 98应急盘中保存的主引导区记录、分区表记录恢复硬盘，找回大部分文件。
2)其他逻辑盘只要不是FAT32，可以用NDD之类的磁盘工具或用Kill 98应急盘恢复，但需要使用者对硬盘的物理结构有足够的了解。
3)FAT32分区的逻辑盘的处理需要对FAT32结构具有深入了解的专业人员用Debug等工具手工进行恢复。
对于被CIH破坏的主板,可以作以下处理：
1)如果是能够提供良好服务的厂家品牌的主板，请与厂家联系。
2)找一个相同型号的主板（要求BIOS的厂家和版本必须严格相同），下载主板厂家提供的升级文件，取出坏BIOS，用新的BIOS片启动您的电脑，并在带电的情况下换回坏的BIOS片，从A盘写入。(此办法由于带电操作，有很大危险，有可能操作后造成硬件整体被破坏，请用户慎重！！！)
3)有的主版升级程序在写入时会检测BIOS版本号，如无则无法改写，用此种方法写入BIOS，则必须更换计算机的BIOS芯片,可以与您的硬件购买商或主板代理商联系。

2.瑞星公司
首先使用瑞星杀毒盘启动机器，然后运行瑞星杀毒软件DOS版，选择<Tools>菜单中的<Recovery Tool about CIH>项，本程序将自动分析硬盘是否需要修复。
1）如果出现“The hard disk is ok, needn't recover! Enter = return to main menu”信息，则表示你的硬盘系统是好的，不需要修复。
2）如果出现红色提示框，报告用户硬盘的分区信息和文件分配表（FAT）的类型，用户首先应该确认该提示信息是否正确。然后，再根据以下提示信息选择是否进行恢复。
“Recovery Partition Table?(Y/N)”
若选择“Y”，则瑞星杀毒软件将自动恢复硬盘的分区信息。
如果选择“N”，则瑞星杀毒软件将返回主菜单。
恢复硬盘分区结束后，瑞星杀毒软件将提示：“Recovery Drive C：(Y/N)”询问用户是否继续恢复C盘的文件。
如果选择“Y”，则瑞星杀毒软件将自动恢复C盘中的文件。
如果选择“N”，则瑞星杀毒软件将返回主菜单。
在恢复硬盘分区后，可以重新启动机器，此时可以看到完全恢复的D、E等扩展逻辑分区；在恢复硬盘分区后，再进一步恢复C盘的文件后，重新启动机器，则不仅可以找到扩展的逻辑分区，而且可以看到C盘上恢复的文件目录，这些目录名为“RISING.XXX”(XXX为0-999的数字编号)。这时扩展分区已恢复正常，将C盘中各个目录中的重要文件进行备份。

>>下一页