¿Qué debo hacer si gano CIH? hay recompensas
El virus CIH aparecerá el día 26 de cada mes (una versión aparecerá el 26 de abril de cada año). Cuando el virus CIH estalla, por un lado destruye completamente los datos del disco duro del sistema informático y, por otro lado, reescribe la BIOS de algunas placas base de ordenador. Después de reescribir el BIOS, el sistema no pudo iniciarse, por lo que la computadora tuvo que enviarse de regreso al fabricante para su reparación y reemplazo del chip BIOS. El virus CIH es reconocido como el primer virus que puede dañar el hardware del sistema informático y también es el virus más mortal entre los virus malignos.
Desde un punto de vista técnico, el virus se compila utilizando la tecnología VxD. La tecnología VxD es el núcleo de Windows95/98 y se considera que está firmemente conectada a la capa inferior del sistema operativo, según indica el CIH. El virus no se propagará al sistema operativo DOS ni al sistema operativo Windows NT. Esta característica técnica del virus CIH plantea un gran desafío para nuestro uso de la tecnología antivirus tradicional para prevenir virus informáticos, porque las herramientas antivirus tradicionales que utilizamos son básicamente DOS puro o aplicaciones de DOS simuladas que funcionan en Windows 95, incapaces de Penetre profundamente en la capa inferior del sistema operativo Windows95/98 para eliminar completamente el virus CIH. Por otro lado, debido a que puede integrarse estrechamente con la capa inferior del sistema operativo, el virus CIH se propaga más rápida y encubiertamente.
Fenómeno de epilepsia
En la actualidad, existen cinco tipos de virus CIH informados por la red autorizada de recopilación de virus, incluidos el "tipo nativo" y el "tipo mutado" - * *. Las "variantes" del virus CIH no sólo no aumentan el número de archivos infectados, sino que además son extremadamente destructivas. Hay tres variantes principales de este virus (cihv 1.2:4: 26 de abril, cihv 1.3:6: 26 de junio.
1. Ataque al BIOS. Lo más inusual del virus CIH es que afecta El ataque al BIOS de la computadora Cuando se enciende la computadora, el BIOS primero obtiene el control del sistema. Lee los parámetros de configuración del sistema del CMOS, inicializa y coordina el flujo de datos de los dispositivos relevantes del sistema e intenta escribir información basura. El contenido del BIOS se eliminará por completo, lo que provocará que la computadora no pueda arrancar y solo será necesario reemplazar la placa base o el BIOS. Según las pruebas, CIH puede destruir docenas de BIOS comunes en el mercado. Desde el punto de vista del virus, el virus CIH es el primero. Los virus que atacan y dañan directamente los sistemas de hardware traerán consecuencias devastadoras para muchos usuarios de computadoras.
2 Escribir basura en el disco duro también es uno de los efectos destructivos. de CIH Durante el ataque, se llama al BIOS SendCommand para acceder directamente al disco duro y escribir código basura en el disco duro en unidades de 2048 sectores hasta que se destruyan todos los datos del disco duro (incluido el disco lógico). >
Hay una cosa que el usuario debe hacer. Nota: No crea que el virus CIH no puede ejecutarse en su computadora solo porque hay un puente de protección contra escritura/escritura del BIOS en la placa base de su computadora, incluso si el BIOS escribe. El puente de protección contra escritura en muchas placas base está configurado para protección contra escritura, el BIOS aún se reescribirá, porque algunos chips del BIOS se pueden escribir sin aplicar voltaje.
Método de reparación de virus CIH
1. . Guanqun Company
Para los discos duros dañados por CIH, se pueden realizar los siguientes tratamientos:
1) La primera unidad lógica suele ser la unidad C: y no se puede restaurar por completo. Sin embargo, si ha utilizado Kill98 para crear un disco de rescate, puede utilizar los registros del sector de arranque maestro y la tabla de particiones guardados en el disco de rescate de Kill9 8 para restaurar el disco duro y recuperar la mayoría de los archivos.
2) Otros discos lógicos, siempre que no sean FAT32, se pueden recuperar utilizando herramientas de disco como NDD o el disco de rescate de Kill98, pero los usuarios deben tener un conocimiento suficiente de la estructura física del disco duro. disco.
3) El procesamiento del disco lógico de la partición FAT32 requiere profesionales con un conocimiento profundo de la estructura FAT 32 para restaurarlo manualmente utilizando herramientas como Debug.
Para placas base CIH dañadas, puede hacer lo siguiente:
1) Si se trata de una placa base de un fabricante que puede brindar un buen servicio, comuníquese con el fabricante.
2) Busque una placa base del mismo modelo (el fabricante y la versión de B IOS deben ser exactamente iguales), descargue el archivo de actualización proporcionado por el fabricante de la placa base, extraiga el BIOS defectuoso e inicie su computadora con el nuevo chip BIOS Cuando la computadora esté encendida, vuelva al chip BIOS defectuoso y escriba desde la unidad A. (Este método es muy peligroso debido a la operación en vivo y puede causar que todo el hardware se destruya después de la operación. Tenga en cuenta ¡¡¡Cuidado!!!)
3) Algunos programas de actualización de control maestro detectarán el número de versión del BIOS al escribir. Si no, no se puede reescribir. Si escribe el BIOS de esta manera, debe reemplazar el chip BIOS de la computadora. Puede ponerse en contacto con su comprador de hardware o revendedor de placa base.
2. Empresas emergentes
Primero inicie con el disco antivirus Rising, luego ejecute la versión DOS del software antivirus Rising y seleccione este elemento en el menú. Este programa analiza automáticamente el disco duro para ver si necesita reparación.
1) Si aparece el mensaje "¡No hay problema con el disco duro, no es necesario restaurarlo! Ingrese = regresar al menú principal" significa que su sistema de disco duro está en buen estado y no necesita ser reparado.
2) Si aparece un cuadro rojo que informa la información de la partición del disco duro del usuario y el tipo de tabla de asignación de archivos (FAT), el usuario primero debe confirmar si la información solicitada es correcta. Luego, elija si desea restaurar según las siguientes indicaciones.
"¿Restaurar tabla de particiones? (Sí/No)"
Si selecciona "Y", el software Rising Antivirus restaurará automáticamente la información de la partición del disco duro.
Si seleccionas "n", Rising Antivirus volverá al menú principal.
Después de restaurar la partición del disco duro, el software antivirus Rising mostrará el siguiente mensaje: "Restaurar unidad c: (sí/n)" y preguntará al usuario si desea continuar recuperando archivos en la unidad c.
Si selecciona "Y", el software antivirus Rising restaurará automáticamente los archivos de la unidad c. Si selecciona "n", el software antivirus Rising volverá al menú principal.
Después de restaurar la partición del disco duro, puede reiniciar la máquina. En este momento, puede ver las particiones lógicas extendidas completamente restauradas, como D y E. Después de restaurar la partición del disco duro, puede continuar. restaure los archivos en la unidad C y reinicie la máquina. No solo puede encontrar la partición lógica extendida, sino que también puede ver el directorio de archivos recuperados en la unidad C, llamado "Rising. XXX" (XXX es un número del 0 al 999). ). En este momento, la partición extendida ha vuelto a la normalidad y se ha realizado una copia de seguridad de los archivos importantes en cada directorio de la unidad C.
3) Si aparece el mensaje "No se puede restaurar el disco duro, presione Enter = regresar al menú principal", significa que los datos de su disco lógico no se pueden restaurar usando esta función. Cuando esta función no puede recuperar los datos de su disco duro, puede comunicarse con nuestra empresa o solicitar que otro personal profesional de recuperación de datos realice análisis y utilice otros métodos de recuperación para garantizar que no se pierdan datos importantes.
3. Times Pioneer Company
Su "Xingtian 98" puede hacer que las computadoras sean inmunes al CIH de por vida. El método consiste en dar directamente al virus la "marca de infección" que debería haber existido después de que CIH infectara el sistema después del escaneo. Cuando el virus CIH infecta una computadora, primero detectará esta marca y creerá erróneamente que la computadora ha sido infectada por la computadora CIH, por lo que no será "reinfectada". También se garantiza la seguridad informática del usuario. Los principios relevantes de este método son los siguientes.
Dado que los virus informáticos se propagan en un área grande, la infección repetida de un archivo informático es inevitable. Sin embargo, la infección repetida de archivos de computadora puede causar anomalías en el sistema y afectar los planes del virus para propagar daños. En términos generales, habrá una "marca de infección" de virus (también llamada "firma de virus") en la estructura del programa de virus. Cuando un virus infecta un programa anfitrión, escribe un "indicador de infección" en el programa anfitrión como señal de que el programa ha sido infectado. Antes de que un virus infecte un programa de salud, busque marcadores de infección para ver si hay alguno. Si lo hay, se considera infectado; si no se encuentra ningún marcador de infección, el virus infectará el programa.
El virus CIH utiliza la tecnología VxD. Cuando infecta un sistema, toma el control del mismo. Si toma repetidamente el control del sistema, puede provocar una falla, destruyendo así la latencia del virus. Por lo tanto, el virus CIH dejará una "marca de infección" después de infectar el sistema, y la "marca de infección" se detectará antes de cada infección. Si se descubre, es poco probable que se produzca una reinfección.
"Xingtian 98" "clona" el "marcador de infección" del virus CIH. Siempre que los usuarios utilicen el software antivirus "Xingtian 98" (la última versión está disponible, actualice lo antes posible para los usuarios antiguos) para buscar virus, puede colocar permanentemente la vacuna CIH en el sistema informático, de modo que el sistema nunca más será infectado con el virus CIH (para todos los virus CIH) Son válidos los CIH variados o legendarios de segunda generación). (Nota: si el sistema está formateado, debe reutilizar "Xingtian98" para inmunizar el sistema).
4. Barber
El software McAfee VirusScan lanzado por American Network Alliance Company lo hará. Trata eficazmente los virus CIH y también proporciona soporte técnico en línea para que los usuarios puedan realizar servicios de actualización en línea en tiempo real. En la página web de Nai (), hay muchas sugerencias y planes sobre las características del virus CI H y su cura.
5. Beijing Jiang Min Company
El 26 de este mes, estalló el virus CIH v1.2. Las manifestaciones específicas incluyen: el disco duro no puede iniciarse normalmente, todas las particiones lógicas se pierden y el monitor que puede visualizarse normalmente no puede visualizarse normalmente (el BIOS de la máquina ha sido reescrito por un virus) y el disquete no puede iniciarse la computadora normalmente.
(1) En el primer caso, puede utilizar la tecla de función F10 del KV300 para reconstruir la tabla de particiones de su disco duro. Los pasos específicos son los siguientes:
1) Inicie la computadora con un disquete del sistema limpio. Después de que aparezca la pantalla principal del KV300, presione la tecla de función F10. El KV300 detectará automáticamente los parámetros del disco duro y el estado de la partición y reconstruirá la tabla de particiones anormales del disco duro. Por supuesto, se le pedirá que haga una copia de seguridad de una tabla de particiones dañada antes de reconstruirla;
2) Por razones de seguridad, se debe hacer una copia de seguridad de la tabla de particiones original. Durante la operación, presione "Y" dos veces como se le solicite. (2) Chip BIOS de la computadora Si un virus reescribe el BIOS, lo que hace que la computadora no pueda mostrar o que el disquete no pueda iniciarse, se debe reemplazar. Puede comunicarse con el comprador del hardware o con el agente de la placa base;
(3) En algunos casos especiales, si no puede reparar su lógica D, E, F... (excluyendo la unidad C) mediante el método anterior, por favor Póngase en contacto directamente con la empresa Jiang Min.
(4) La situación en la que se puede iniciar la computadora no está dentro del alcance de ser dañada por el virus CIH.
Caso típico del virus CIH
El 26 de abril de 1999, la empresa XX utilizó un disquete infectado con el virus CIH, provocando que ese día dos ordenadores resultaran dañados por el virus. No se pueden encontrar los datos del disco, lo que provoca su pérdida.
La situación de daño específica es la siguiente:
Las dos computadoras son modelos "586 (computadoras compatibles), que pueden ser las primeras placas base "586". El chip BIOS no es regrabable por software . Por lo tanto, las placas base de ambas computadoras no se ven afectadas y pueden continuar usándose.
Los discos duros de ambas computadoras tienen el mismo fenómeno: los discos duros no se pueden iniciar y no se pueden reconocer. se usa un disquete para arrancar, no se puede encontrar la unidad c.
El técnico usó la unidad A para arrancar desde DOS y usó un depurador para leer el sector de arranque principal de un disco duro en la memoria para su análisis y análisis. Descubrí que la tabla de particiones del disco duro estaba dañada. Eliminación de virus Luego lea el contenido de algunos sectores donde se encuentra la tabla de asignación de archivos y descubra que el contenido no es la tabla de particiones normal y está sobrescrito con algunos datos basura. >
Intente utilizar "n roton" disk doctor para reparar el disco duro:
En el primer paso, "Norton" encuentra la posición inicial de la primera partición en el primer sector y la columna 1FF de el disco duro (esta es una ubicación inusual. Generalmente, es la primera partición. La posición inicial está al principio de 1 y el sector de 1 es la columna 0). Norton no encontró la segunda partición (según el. usuario del disco, este disco duro tenía dos particiones antes de ser destruido. Después de encontrar la primera partición, reinicié la computadora y descubrí que el disco duro fue reconocido y algunos archivos en la unidad c todavía estaban allí. los nombres de los archivos y la estructura del directorio habían cambiado por completo. Los archivos del sistema y de datos originales de Windows95 en la unidad c ya no estaban allí. La partición d original parece imposible. /p>
Conclusión: El autor del virus tiene segundas intenciones.
Incluso si el BIOS de algunas placas base no se puede destruir, los datos del disco duro se destruirán irreparablemente. Sólo eligiendo un software antivirus con función antivirus en tiempo real podremos resistir completamente los ataques de los virus malignos CIH al sistema sin ninguna preocupación.