微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 灌水区 » 老资料:关于CIH病毒,刘旭先生答记者问  

作者:
标题: 老资料:关于CIH病毒,刘旭先生答记者问
青豆
高级用户

超级发动机


积分 523
发帖 489
注册 2006-9-28
来自 汹涌澎湃浮沉混沌湍流
#1  老资料:关于CIH病毒,刘旭先生答记者问

大家仔细看看,挺详细的。这段对话应该是在98年或更早,距今天快十年了,呵呵


附二:刘旭先生答记者问:
    记者:有关CIH病毒的消息,我们通过Internet网络有了一些了解
,在国内得到正式的消息是9月1日公安部的病毒通报,国内的反病毒
厂商对此反应速度很快,瑞星公司首先向公安部提供有关CIH病毒
比较详细资料,请问你是何时发现该病毒的?
    刘旭:7月8日前后,Internet网上对CIH病毒有了一些讨论,而在
此之前的6月初,CIH病毒已被发现,我在国内最早发现是8月月4日,一
个瑞星软件的用户打电脑告知发现一个新病毒,因为这是一家软件公
司(在此不便透露),他们对电脑也很了解,希望我们帮助清除.我当天拿
到了病毒的样本,凭经验来看,看这个病毒很小,其代码量没有超过1K,
相当的小,我当时感觉这个病毒不会有什么危害,只是很仔奇,因
为它是目前国内发现的唯一一个感染Windows 95/98系统文件的病毒。


    记者:那么当时您是如何处理这个病毒的?
    刘旭:按照我们惯常对待新病毒的方法,首先要分析病毒的结构,然后
编制相应的程序,实现对这个病毒的查找和杀灭,这一步大概用了十天
时间,当时手头的病毒标本是CIH1.4版的,我专门编写了查杀该病毒的
程序,并在各种可能的情况下进行测试,效果相当不错,其后用户又提
供了几个病毒样本,分别是CIH1.2、CIH1.3版,我又针对这两个版本重
新调整了杀毒模块。
    然后,我开始着手解剖CIH病毒,发现它具有多种功能,它可以读
CMOS中的时间数据,然后根据条件比较,如果条件适当(1.2版4月26日
,1.3版6月26,1.4版每月26日)便转入发作程序,发作部分为两
部分,一部分直接存取FLASH BIOS端口,将一堆垃圾码写入BIOS芯片中
,BIOS不可恢复,这部分是专门用来破坏BIOS的;另一部分则调用VXD
的IOS-SendCommand直接对硬盘进行存取,将垃圾码以2048个扇区为单位
循环写入硬盘直到所有硬盘(含逻辑盘)的数据均被破坏为止。因此,
所有硬盘中的数据均不能恢复,所以一旦病毒发作,其损失难以估量。


    记者:CIH病毒为什么能破坏计算机硬件?
    刘旭:CIH病毒是针对现有计算机的弱点而编制出来的。从编程手段上来
看,它的确可以称得上是计算机病毒的杰作。因为它的两个基本特点是
其他病毒所不具备的,其一是它采用了Windows VxD技术;其二是它可以
利用现在计算机BIOS可以写入的特点,通过程序可以改写BIOS的内容。
在这里需要说一说BIOS。BIOS是电脑硬件系统中必备的一个组成部
分,中文称为”基本输入输出系统”,其中存放的都是系统最基本的硬件
参数和驱动程序:以便识别出各种硬件设备,BIOS又俗称“开工程序”。
现在存放BIOS多采用Flash芯片,这种芯片可以通过程序来更改,有些主
板厂商利用这种芯片的特性,提供对BIOS的升级程序,以便支持更多的硬
件设备,CIH病毒就是利用BIOS可改写这一特性来实现对硬件系统的攻击的。


    记者:这样说早期采用EPROM的计算机可以避免被CIH病毒攻击?
    刘旭:是这样的;CIH病毒并不攻击所有计算机的硬件系统,只是对一
部分计算机构成威胁,这要看CIH病毒是否改写BIOS成功,但是CIH病毒
最致命的破坏是在发作时对硬盘系统的破坏,这是每一台感染CIH病毒的
计算机都不可避免的。CIH病毒在发作时首先攻击BIOS,不管攻击成功或
失败,它都会进一步攻击硬盘,将垃圾码以2048个扇区为单位循环写入硬
盘,知道所有硬盘(含逻辑盘)的数据均被破坏为止,发作现象是硬盘不
停的运转,再次启动时失败,此时硬盘只能重新分区并格式化,所有数据
丢失。对于计算机用户来说,这是最难以接受的。从目前的情况看,对
于病毒发作所损毁的硬盘,其数据很难恢复。


    记者:这真是一只凶狠的恶性病毒:目前对于用户来说。有什么预
防的办法吗?
    刘旭:就我的了解,国外反病毒软件厂商提供了一些反病毒软件,相
对于国内反病毒厂商来说要早。但从多查杀效果上来看。还存在一些问题
,主要是对于病毒的消除不彻底。我编制的瑞星杀病毒软件9.0版用了多
种技术,其中比较特殊的是DOS版和WINDOWS版联合使用因为CH病毒传染
的是Windows 95/98的可执行文件(EXE文件),当WINDOS启动之后,会使
用到一些执行文件,这些文件染毒后,即使查到也无法杀灭,因为此时文
件处于禁写状态。所以应当先用干净系统盘启动后,用瑞星的D0S版先清
查整个系统,然后安装瑞星的Windows版软件,由于这个病毒发作后破坏
力巨大,所以我专门在瑞星9.0中加入了一个功能模块,也就是定时查毒功能,用
户可自行定义按小时、天、星期自动查毒,所有查毒工作均在后台完成
不影响电脑的正常使用。


    记者:国内的反病毒软件厂商都推出了针对CIH病毒的软件,您认为
各家的反病毒软件都怎么样?
    刘旭:我是搞技术出身的,十多年来一直和计算机病毒打交道,这次
对CIH病毒反应比较迅速可能与我的习惯有关,因为几乎每见到一新病
毒,我都会把它解剖一番,这是从做瑞星防毒卡时就留下的习惯了。我
刚拿到CIH病毒时,也没太在意,因为它的代码量太少,不应当有什么
太多的功能,引起我好奇的主要有两个原因,一是因为它感染Windows 95/98的系
统文件,二是寄生的文件长度不改变:所以我非常仔细解剖了这个病毒
,才发现它极具攻击性。
    8月21日我完成了整个反病毒程序的编制,并将其放于瑞星的BBS站
点上供用户下载;8月25日我带着全套病毒资料向公安部十一局报了案,
引起了公安部的高度重视:8月31日公安部发布病毒通报;9月1日瑞星
公司召开新闻发布会,向各大媒体通报了CIH病毒的情况:应当说这次
瑞星的动作是很快的。
    对于竞争厂商的竞争产品,在此我不便多说,但有些人把BIOS
和CMOS混为一谈。其实目前流行的该病毒只有三个变种,分别是V1.2
,版木长度为1003字节,V1.3版本长度为1040字节,V1.4版本长度为,
1019字节,其中V1。4版本是每月26日发作。另外还有两种没有向外流
传的病毒:V1.0版本656字节,V1.1,版本796字节。


    记者:能否再问一个问题,您觉得一个消费者该如何选择反病毒软件
呢?
    刘旭:我记得有人曾跟我谈现在品牌竞争,所有的反病毒软件都差下
多,只要选准一个品牌就可以了,这个观点我不赞同,因为编病毒与反病
毒之间纯粹是一场智力的较量,凭的是真正的技术,单靠品牌是无法让用
户满意的。
    有时我甚至觉得,我真的很喜欢新奇的病毒,这可能与我搞技术有关
(笑),新的病毒的确能让我兴奋起来。就象职业杀手在追杀他的猎物一
样(笑),但这种病毒能给反病毒厂商提供机会,这是显露技术水平的一
次难得的机会。
    在这里多谈两句,瑞星在反病毒领域走过一段弯路,主要是在防病毒
卡向防病毒软件转变的过程中没有很好的过渡,现在应当说我们又走在了
前头,我建议用户不妨试验一下瑞星杀宏病毒的功能,相信用户一定会满
意,因为我花了两个多月的时间搞清了WORD和EXCEL文件的结构。


    记者:谢谢!希望有机会再能向你请教。
    刘旭:不用谢。

※ ※ ※ 本文纯属【青豆】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

                   积极主动 !
2007-8-21 10:25
查看资料  发短消息   编辑帖子
471795251
银牌会员

九三学社


积分 3818
发帖 3882
注册 2007-2-4
来自 山西省阳泉市晋东化工厂
#2  

CIH
老大
你敢运行吗?
说真的
不管什么情况,我都不敢
如果over了还得刷BIOS
太恐怖了

※ ※ ※ 本文纯属【471795251】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-21 16:17
查看资料  发短消息  QQ   编辑帖子
潘彼得
新手上路





积分 6
发帖 6
注册 2007-8-21
#3  

所以一旦病毒发作,其损失难以估量。

※ ※ ※ 本文纯属【潘彼得】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-21 17:46
查看资料  发短消息   编辑帖子
hshy83
注册用户





积分 174
发帖 174
注册 2006-8-26
来自 火星
#4  

N年前的历史

※ ※ ※ 本文纯属【hshy83】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-21 18:19
查看资料  发送邮件  发短消息   编辑帖子
太阳在我心
新手上路





积分 19
发帖 19
注册 2007-8-20
#5  

同意楼上几位滴观点,我觉得看了以后有种做SHOW的感觉

※ ※ ※ 本文纯属【太阳在我心】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-21 21:20
查看资料  发送邮件  发短消息   编辑帖子
及时行乐
新手上路





积分 1
发帖 1
注册 2007-8-22
#6  

我还是相信国产软件.对瑞星一直就非常的信任.

※ ※ ※ 本文纯属【及时行乐】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-22 18:30
查看资料  发送邮件  发短消息   编辑帖子
pcjuju
银牌会员

灌水大王~~


积分 2337
发帖 2290
注册 2006-10-16
#7  

那时候的瑞星确实很厉害!

※ ※ ※ 本文纯属【pcjuju】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

闪耀在东方的安全软件的新星——微点
2007-8-22 18:41
查看资料  发送邮件  发短消息   编辑帖子
方今
新手上路





积分 2
发帖 2
注册 2007-8-23
#8  

一直就是这么厉害的么?瑞星果然是做技术多于搞品牌。。。支持!

※ ※ ※ 本文纯属【方今】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-8-23 12:06
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#9  



  Quote:
Originally posted by 方今 at 2007-8-23 12:06:
一直就是这么厉害的么?瑞星果然是做技术多于搞品牌。。。支持!

截止到2004年

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-8-23 15:04
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号