新CIH电脑病毒介绍及解决方案
CIH电脑病毒过去了,现在出现了新的CIH病毒,你还会解决吗!学习啦小编给你介绍,带你解决,希望能够帮助到你!欢迎回访!
新CIH电脑病毒介绍及解决:
一、
与传统的CIH病毒不同,新CIH病毒(WIN32.Yami)可以在Windows 2000/XP下运行,因此新CIH病毒的破坏范围比传统CIH病毒大得多。2003年5月17日,瑞星全球反病毒监测网络率先截获该恶性病毒,由于该病毒的破坏能力与当年臭名昭著的CIH病毒几乎完全一样,因此瑞星将该病毒命名为新CIH病毒。
新CIH病毒会驻留在系统内核,它首先判断打开的文件是否为Windows可执行文件(PE文件),如果不是则不进行感染操作,如果是则将病毒插入到PE文件各节的空隙中(与传统的CIH一样),因此感染后文件的长度不会增加。由于病毒自身的原因,感染时有些文件会被破坏,导致不能正常运行。新CIH病毒发作时企图用“YM Kill You”字符串信息覆盖系统硬盘,这样会导致数据恢复相当困难。它同时通过向主板BIOS中写入垃圾数据来对硬件系统进行永久性破坏。
新CIH病毒行为分析:
1、病毒搜索kernel32的起始偏移地址
2、取得病毒所用的API地址
3、进入Ring0
4、通过直接IO的方式写BIOS和硬盘
值得庆幸的是,这个新CIH病毒发作条件较为特殊,不会定期发作,而且只会通过感染文件来传播,因此不太可能在短期内造成巨大的破坏。各反病毒软件公司以最快的速度研发出查杀此病毒的专杀工具,因此该病毒的大面积破坏在很大程度上被控制住了。
二、
“新CIH(Win32.Yami)”病毒解决方案
知识库编号: RSV0511191
内容分类: 文件型病毒
关键词: 新CIH;Win32.Yami
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
如何清除“新CIH(Win32.Yami)”病毒?
【病毒介绍】
2005年5月17日,瑞星全球反病毒监测网率先截获一个恶性病毒,由于该病毒的破坏能力和当年臭名昭著的CIH病毒几乎完全一样,因此瑞星将该病毒命名“新CIH”病毒,危险等级判别为四星,并且发布了本年度第一次橙色(二级)安全警报。病毒具有以下特点:
1、与CIH一样,被“新CIH”感染的电脑,主板和硬盘数据将被破坏,致使电脑无法启动,硬盘上的数据丢失。不同的是,“新CIH”可以在Windows2000/XP系统下运行(CIH只能在Win 9X系统下运行),因此破坏范围比老CIH大得多。
2、“新CIH”和老的CIH病毒一样都是通过感染文件传播,发作后用一些垃圾数据覆盖系统硬盘,造成用户数据丢失,并且较难恢复。它同时会通过改写主板BIOS来对硬件系统进行破坏。
3、当年的CIH病毒只能在Windows9X系统下运行,随着Windows操作系统的不断发展,Win2000/XP逐渐成为主流,使CIH失去了生存空间。如果CIH能够在Windows2000/XP下面运行,那么每年它还可能会造成巨大损失。而这个“新CIH”病毒,则有可能将这一危险变为现实。
4、值得庆幸的是,这个新“CIH”发作条件较为特殊,不会定期发作,而且只会通过感染文件来传播。
【解决方案】
针对“新CIH”病毒,瑞星已经进行紧急升级,瑞星杀毒软件17.27.12版可彻底查杀此病毒。请用户升级瑞星到最新版本并打开监控中心全盘杀毒。用户还可以随时拨打瑞星反病毒急救电话:010-82678800来寻求帮助。
“新CIH(Win32.Yami)”病毒专杀工具(For Windows平台):http://it.rising.com.cn/service/technology/RS_Yami.htm
【小贴示】
CIH病毒是历史上第一个可以破坏电脑硬件的病毒,中毒电脑的主板和硬盘会被破坏,致使电脑无法启动,硬盘上的数据丢失。CIH病毒会在每年的4月26日发作,在1999年4月26日发作高峰的时候,全球超过六千万台电脑被不同程度破坏;第二年,CIH再度爆发,全球损失超过十亿美元。
其后,每年都会有不少用户电脑遭此病毒破坏而瘫痪。但是CIH病毒只能运行在Windows 9X操作系统下,随着Windows 2000/XP操作系统的普及,该病毒逐渐销声匿迹。
看了此文新CIH电脑病毒介绍及解决方案的人还看了: