CIH病毒实例及防范措施

（一）CIH病毒

CIH是我国台湾省以为名叫陈盈豪的大学生编写的。目前传播的主要途径是Internet和电子邮件。

CIH病毒是Win32病毒的一种，该病毒利用Windows9x对系统区内存保护不利的弱点对其进行攻击传染。它的特点是传播速度快，破坏力强。“新CIH”病毒可以在Windows 2000、Windows XP系统下运行（旧CIH只能在Windows 9x系统下运行），因此破坏范围比旧CIH大得多。2003年5月17日，瑞星全球反病毒监测网率先截获该恶性病毒，由于该病毒的破坏能力和当年的CIH病毒几乎完全一样，因此瑞星将该病毒命名为“新CIH”病毒。

“新CIH”病毒会驻留在系统内核，它首先判断打开的文件是否为Windows可执行文件（PE）文件，如果不是则不进行感染操作，是则将病毒插入到PE文件各节的空隙中（与传统的CIH一样），所以，感染后文件长度不会增加。由于病毒自身的原因，感染时有些文件会被损坏，导致不能正常运行。它发作时将企图用“YM Kill You”字符串信息覆盖系统硬盘，并且使数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。

1.CIH病毒的破坏性

CIH病毒感染Windows可执行文件，却不感染Word和Excel文档；感染Windows 9X系统，却不感染Windows NT系统。

CIH病毒采取一种特殊的方式对可执行文件进行感染，感染后的文件大小没有变化，病毒代码的大小在1KB左右。当一个已染毒的exe文件被执行时，CIH病毒驻留内存，在其他程序访问时对它们进行感染。

CIH最大的特点就是对计算机硬盘及BIOS具有超强的破坏能力。在病毒发作时，病毒从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据全被破坏为止。因此，当CIH被发现时，硬盘数据已经遭到破坏，当用户想到要采取措施时，面临的可能已经是一台瘫痪的计算机了。

CIH病毒发作时还试图覆盖BIOS中的数据。一旦BIOS被覆盖掉，机器将不能启动，只有对BIOS进行重写。

2.CIH病毒的传播原理

CIH病毒是通过文件进行传播的。计算机开机以后，如果运行了带病毒的文件，其病毒会驻留在Windows的系统内存里。此后，只要运行了PE格式的EXE文件，这些文件就会感染上该病毒。

与传统的DOS型病毒相比，无论是在内存的驻留方式上还是传染的方式上，以及病毒攻击的对象上，CIH病毒都与众不同。首先，CIH病毒利用当时许多BIOS芯片开放了可重写的特性，向计算机主板的BIOS端口写入乱码，开创了病毒直接进攻计算机主板芯片的先例。其次，病毒的代码很小，CIHv1.2只有1003个字节，其他版本的大小也差不多。CIH病毒绕过了Microsoft提供的应用程序界面，利用VxD（虚拟设备驱动程序）接口编程，直接进入Windows内核。

另外，CIH病毒通过文件进行传播，受感染的EXE文件的长度没有改变。以往的文件型病毒通常是将病毒程序追加到正常文件的后面，通过修改程序首指针来执行病毒程序。这样，受感染的文件长度就会增加。

CIH病毒利用了PE格式文件的文件头和各个区（Section）都可能存在自由空间碎片这一特性，将病毒程序拆成若干不等的块，见缝插针，插到感染文件不同的区内。在PE格式文件头的自由空间里，CIH病毒首先占用了（Section数+1）x8个字节数的空间（本书称为病毒块链表指针区），用于存放每个病毒块的长度（每块4字节）和块程序在文件里的首地址（每块4字节）。然后将计算出的可寄存在文件头内的病毒首块字节数送入病毒链表指针区；修改PE文件头，用病毒入口地址替换PE文件头原文件程序入口地址，而将原文件的入口地址保存在病毒程序的第94字节内，以供病毒执行完后返回正常文件执行。

由于病毒的首块部分除了病毒块链表指针区外，必须包含病毒的184字节驻留程序，若文件头的自由空间不足，病毒不会对该文件进行感染，只是将该文件置上已感染标志。

3.防范CIH病毒的措施

用户首先应了解CIH病毒的发作时间，如每年的4月26日、6月26日及每月26日。在病毒爆发前夕，提前进行查毒、杀毒，同时将系统时间改为其后的时间，如27日。

其次，杜绝使用盗版软件，尽量使用正版杀毒软件，并在更新系统或安装新的软件前，对系统或新软件进行一次全面的病毒检查，做到防患于未然。

最后，用户一定要对重要文件经常进行备份，万一计算机被病毒破坏还可以及时恢复。

4.感染了CIH病毒的处理

首先，注意保护主板的BIOS。应了解自己计算机主板的BIOS类型，如果是不可升级的，用户不必惊慌，因为CIH病毒对这种BIOS的最大危害，就是使BIOS返回到出厂时的设置，用户只要将BIOS重新设置即可。如果BIOS是可升级的，用户就不要轻易地从C盘重新启动计算机（否则BIOS就会被破坏），用户应及时地进入BIOS设置程序，将系统引导盘设置为A盘，然后用Windows的系统引导软盘启动系统到DOS7.0，对硬盘进行一次全面查毒。

由于CIH病毒主要感染可执行文件，不感染其他文件，因此用户在彻底清除硬盘所有的CIH病毒后，应该重新安装系统软件和应用软件。

最后，如果硬盘数据遭到破坏，可以直接使用瑞星等杀毒软件来恢复。用瑞星杀毒软件软盘来启动计算机，进入瑞星杀毒软件DOS版界面，选择【实用工具】菜单中的【修复硬盘数据】命令，根据提示操作，就可以对硬盘进行恢复。恢复完毕后，重启计算机，数据将会失而复得。也可以登录瑞星网站http：//www.rising.com.on下载硬盘修复专用工具完成数据的恢复。

（二）宏病毒

所谓宏，就是软件设计者为了在使用软件工作时，避免一再地重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当用户再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。在Word中对宏定义为“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。"Word宏是使用Word Basic语言来编写的。所谓“宏病毒”，就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。

宏病毒是一种新形态的计算机病毒.也是一种跨平台式计算机病毒，可以在Windows9X、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒行为。

Word模式可以定义出一种文件格式，这种格式中用户可以将文档资料以及该文档所需要的宏混在一起放在后缀为.doc的文件之中，这种做法已经不同于以往的软件将资料和宏分开存储的方法。这种宏是文档资料，而文档资料的携带性极高，如果宏随着文档而被分派到不同的工作平台。只要能被执行，它也就类似于计算机病毒的传染过程。

1.宏病毒的特点

（1）感染数据文件

以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的认识。

（2）多平台交叉感染

宏病毒冲破了以往病毒在单一平台上传播的局限。当Word、Excel这类著名应用软件在不同平台（如Windows、OS/2和Macintosh）上运行时，会被宏病毒交叉感染。

（3）容易编写

以往病毒是以二进制的机器码形式出现的，而宏病毒则是以人们容易阅读的源代码形式出现，所以编写和修改宏病毒比以往更容易。这也是前几年宏病毒的数量居高不下的原因。

（4）容易传播

只要一打开带有宏病毒的电子邮件，计算机就会被宏病毒感染。此后，打开或新建文件都可能染上宏病毒，这导致了宏病毒的感染率非常高。

2.宏病毒作用机制分析

宏病毒是一些制作病毒的专业人员利用Microsoft Office的开放性，即其中提供的Visual Basic编程接口，专门制作的一个或多个具有病毒特点的宏的集合，这种宏病毒的集合能够影响到计算机使用，并能通过Office的文档及其模板进行自我复制及传播。

宏病毒最经常感染的是Office中的.doc文档，下面以Word为例说明宏病毒的作用机制。

Word中的文件是通过模板来创建的。模板是为了形成最终文档而提供的特殊文档，可以包括以下几个元素：菜单、宏、格式。一般情况下，Word自动将新文档基于默认的通用模板Normal.dot。

病毒宏的传染通常是Word在打开一个带宏病毒的文档或模板时激活病毒宏，病毒宏将自身复制至Word的通用模板中，但不一定修改文件的扩展名，而用户在另存文档时，就无法将该文档转换为任何其他方式，只能用模板方式存盘，以后在打开或关闭文件时，病毒宏就会把病毒复制到该文件中。

一旦病毒宏侵入Word系统，就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和FilePrint等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会篡夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等。

由于Word允许对宏本身进行加密操作，因此有些宏病毒在.doc文档、.dot模板中是以BFF（Binary File Format）格式存放，这是一种加密压缩格式。有许多宏病毒是经过加密处理的，不经过特殊处理是无法进行编辑或观察的，这也是很多宏病毒无法手动杀除的主要原因。

大多数宏病毒中含有AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，以及对文档读写操作FileNew、FileOpen、FileSave、FileSaveAs、FileExit等宏控制文件的操作指令。这样，宏病毒才能获得文档（模板）操作控制权。

3.宏病毒的识别技巧(www.chuimin.cn)

除了使用杀毒软件来检测宏病毒之外，也可以通过手动方法来查看是否感染宏病毒，虽然方法不能针对所有的宏病毒，但对于一时没有杀毒软件的用户，通过这种方法也是相当有效的。

（1）打开Word中的“工具”→“宏”菜单中的“宏”功能，选中Normal.dot模板，若发现含有AutoOpen、AutoNew、AutoClose等自动宏，FileSave、FileSaveAs、FileExit等文件操作宏，以及含有AAAZAO、PayLoad之类的怪名称的宏，此时，该计算机很可能已经被宏病毒感染了。

（2）打开Word中的“工具”菜单，看不到“宏”选项，或可以看到“宏”选项，但鼠标点击“宏”功能没有反应，此时，该计算机可以肯定已经被宏病毒感染了。

（3）打开一个Word文档后，不对该文档进行任何操作，点击退出时，如果提示保存该文件，此时，Word中的Normal.dot模板很可能已经被宏病毒感染。

（4）打开Word文档后，对此文档进行另存操作，却只能以模板方式进行保存，此时，该文档很可能已经被宏病毒感染。

（5）在启动Word过程中出现内存不足现象，在使用过程中出现打印不正常现象，此时，该计算机很可能已经被宏病毒感染。

4.宏病毒的预防

防治宏病毒的根本措施在于限制宏的执行。以下是一些行之有效的方法。

（1）禁止所有自动宏的执行

在打开Word文档时，按住Shift键，即可禁止自动宏，从而达到防治宏病毒的目的。

（2）检查是否存在可疑的宏

当怀疑系统带有宏病毒时，首先应检查是否存在可疑的宏，特别是一些奇怪名字的宏肯定是病毒无疑，将它删除即可。即使删除错了，也不会对Word文档内容产生任何影响，仅仅是少了相应的“宏功能”而已。具体做法是，选择【工具】菜单中的【宏】命令，打开【宏】对话框，选择要删除的宏，单击【删除】按钮即可。

（3）按照自己的习惯设置

针对宏病毒感染Normal.dot模板的特点，可重新安装Word后，建立一个新文档，将Word的工作环境按照自己的使用习惯进行设置，并将需要使用的宏一次编制好，做完后保存新文档。这时生成的Normal.dot模板绝对没有宏病毒，可将其作备份。在遇到模板被宏病毒感染时，用备份的Normal.dot模板覆盖当前的模板可以消除宏病毒。

（4）使用Windows自带的写字板

在使用可能有宏病毒的Word文档时，先用Windows自带的写字板打开文档，将其转换为写字板格式的文件保存后，再用Word调用。因为写字板不调用、不保存任何宏，文档经过这样的转换，所有附带的宏包括宏病毒都将丢失，这条经验特别有用。

（5）提示保存Normal模板

大部分Word用户仅使用普通的文字处理功能，很少使用宏编程，对Normal.dot模板很少去进行修改。因此，可以选择【工具】|【选项】命令，打开【保存】选项卡，选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档，用户退出Word时，Word就会出现【更改的内容会影响到公用模板Normal，是否保存这些修改内容？】的提示信息，此时应单击【否】按钮，退出后进行杀毒。

（6）使用.rtf和.csv格式代替.doc和.xls

要想应付宏所产生的问题，可以使用.rtf格式的文档来代替.doc格式，用.csv格式的电子表格来代替.xls格式，因为这些格式不支持宏功能。在与其他人交换文件时，使用.rtf和.csv格式的文件最安全。

（三）木马病毒

特洛伊木马（Trojan）病毒（也叫黑客程序或后门病毒）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、窃取密码、记录键盘、攻击等功能，会破坏用户系统甚至使用户系统瘫痪。恶意的木马程序具备计算机病毒的特征，目前很多木马程序为了在更大范围内传播，会与计算机病毒相结合。因此，木马程序也可以看作一种伪装潜伏的网络病毒。

木马病毒的危害在于它对计算机系统具有强大的控制和破坏能力。功能强大的木马一旦被植入用户的计算机，木马的制造者就可以像操作自己的计算机一样控制服务端计算机，甚至可以远程监控用户的所有操作。在每年暴发的众多网络安全事件中，大部分网络入侵都是通过木马病毒进行的。著名的微软公司也曾经遭到过蠕虫木马的入侵，导致部分产品源码的泄露。

1.木马病毒的工作原理

在Windows系统中，木马一般作为一个网络服务程序在感染了木马的计算机后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一个TCP连接，从而被客户端远程控制。

木马一般不会让人看出破绽，对于木马程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowlnTaskBar也设置为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序即可。

木马是在计算机刚开机的时候运行的，进而常驻内存。其大都采用了Windows系统启动时自动加载应用程序的方法，包括wm.ini、system.ini和注册表等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这里现出原形。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名，而且不是熟悉的或以前没有见到过的启动文件项目，那么该计算机就可能中木马病毒了。当然也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。例如，AOL Trojan把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件。

在system.ini文件中，[BOOT]下面有“shell=Explorer.exe”项。如果等号后面不仅仅是explorer.exe，而是“shell=Explorer.exe程序名”，那么后面跟着的那个程序就是木马程序，说明该计算机中了木马。

隐蔽性强的木马都在注册表中做文章，因为注册表本身就非常庞大、众多的启动项目极易掩人耳目。

上面这些主键下面的启动项目都可以成为木马的藏身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的内容，通过regedit等注册表编辑工具查看SAM主键，里面应该是空的。

木马驻留在计算机内存以后，还要有客户端程序来控制才可以进行相应的“黑箱”操作。客户端要与木马服务器端进行通信就必须建立连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。

2.防范木马病毒的安全建议

对于木马病毒的防范工作，这里给出以下安全建议。

（1）使用专业安全厂商的正版防火墙产品，邀请经验丰富的信息安全专家对杀毒软件和防火墙进行合理配置。

（2）使用工具软件隐藏本机的真实IP地址。

（3）注意电子邮件的安全，尽量不要在网络中公开自己关键的邮箱地址，不要打开从陌生地址发送来的电子邮件，更不要在没有采取任何防护措施的情况下打开或下载邮件的附件。

（4）在使用即时通信工具时，不要轻易运行“好友”发送来的程序或单击相关链接。对从网络上下载的任何程序都要使用杀毒软件或木马诊断软件进行反复查杀，在确认安全之后再运行。

（5）尽量少浏览和访问个人网站。

（6）不要隐藏文件的扩展名。一些扩展名为VBS、SHS、PIF的文件多为木马病毒的特征文件，只有在显示文件全名时才能及时被发现。应在“文件夹选项”对话框中的“高级设置”选区中选择“显示所有文件和文件夹”选项。

（7）定期观察容易被病毒利用的启动配置，要熟悉每一个配置对应的文件，一旦发现有没见过的启动项，要立即检查是否是病毒创建的。

（8）定期观察系统服务管理器中的服务，检查是否有病毒新建的服务进程。定期检查系统进程，查看是否有可疑的进程。

（9）根据文件创建日期定期观察系统目录下是否有近期新创建的可执行文件，如果有的话，则很可能是病毒文件。