| 怎样干净彻底查杀CIH病毒 |
|
|
| 赵发 中国电脑教育报 2001-09-12 |
cih病毒在我国流行后, 引起了广大计算机用户的注意,各反病毒厂商尽显才华,声称自己的杀病毒软件能杀cih病毒,但实际上,在查杀过程中发现了各种杀毒软件查杀cih病毒的效果是不一样的。对此,应广大读者的要求,谈谈kv300是怎样彻底查杀cih病毒的。
cih病毒有多个变种,只感染win 95、win 98的exe的pe格式文件,病毒代码分解为一个或多个不同大小的碎块,潜伏在文件内部的不同地方,文件总长度无变化。
pe文件格式是32位的,文件头标存放了文件各模块参数。 cih病毒修改了这些32位参数,并使其文件映象执行参数首先指向病毒的程序体。杀毒时,根据这些参数,找出病毒躲藏的每个位置,再杀掉病毒,并恢复原文件参数。
cih病毒僵尸、尸体、残余代码是怎样产生的?有破坏性吗?
杀cih病毒除需要对windows底层技术的了解、又需要对windows的pe格式文件有透彻的了解。如不了解,查杀这种病毒也可采取投机行为,有些杀毒软件仅仅修改一个病毒映象开始执行的参数,和少量的去掉了病毒头的部分字节,这么简单地被杀毒后还带毒的文件容易引起麻烦,因此应彻底杀净病毒,否则,杀不好,就会把文件杀坏。
cih病毒编写的短小精悍,但传染后难免有各种各样的bug,再加上windows系统的运行设置条件和被传染的文件头标数据模块的大小不一样,被cih病毒感染后,小部分文件会产生各种各样的不正常和特殊传染结果,大概有如下几种不正常情况:
●文件中的病毒体前部,被执行文件在执行中又被自身文件动态的覆盖上了一小部分代码。但文件映象执行参数首先还指向病毒的程序体,病毒有可能还会再被执行或残缺被执行。也有可能被执行到发作破坏指令部分。也有文件可能坏掉了,不能再执行了。这也会造成某些查毒软件对此漏查。
●某些文件中的病毒体,因为文件头标格式特殊,cih病毒躲藏在文件的后部,某些查毒软件也漏查漏杀。
●某些文件中的病毒体,残缺了一部分传染在文件内。
●某些杀毒软件,没认真彻底研究透32位的pe文件格式,只查杀出大多数pe文件头标在文件前部而潜藏的cih病毒,因而漏查了许多pe文件头标在文件深部而感染的cih病毒,这非常危险。
●有些杀毒软件,只简单的把感染文件中的cih病毒第一碎块中的文件映象开始执行指针参数恢复,没把病毒藏在文件体内的各个碎块清理掉。还有些杀毒软件,只简单的把病毒第一碎块中的文件映象开始执行指针参数恢复,再去掉病毒第一碎块中的部分字节。上述做法都使病毒体完整的或不完整的还留在文件内。
对上述现象,用户可用xe、或nu等工具即可搜索到文件中病毒体内的“cih”字样。
也可以在文件中搜索出病毒体内十分危险的破坏条件的代码。
cih病毒1.4版破坏条件的代码: c3 b0 07 e6 70 e4 71 34
cih病毒1.2、1.3版破坏条件的代码:b8 08 07 e6 70 e4 71 86 e0 e6 70 e4 71
以上所述的是cih病毒僵尸、尸体、残余代码产生的原因,但是由于有破坏的代码存在,危险就存在。
为什么kv300能查杀出一些漏网的cih病毒?
kv300有两套查毒方案:
kv300其独有的两套查毒方案,对付许多个变种的cih病毒效果十分明显。
kv300第一套常规查毒方法是:按文件头标的映象,算出病毒各碎块的潜藏位置和长度, 并清除病毒各碎块,再恢复文件原参数。其功能键是kv300的f2和f3。
kv300第二套查毒方法是:广谱过滤法查毒。不管cih病毒有多少个变种,都可以将病毒代码过滤出来。
全国百万kv系列的用户,可自我扩充下列广谱病毒特征码,就可立即查找“cih”病毒。“8d 44 %% 64 87 %% 8d 4b %% 0f 01 4c ?? 5b 83 c3" found cih virus!
"87 d5 ee c3 ?? 3a 66 27 53" found cih virus!
广谱过滤法查毒的功能键是kv300的f1和f4。
因kv300有上述两套查毒方案,所以查cih病毒更加安全可靠,不管以后cih病毒怎样变种,很难逃脱。
对漏掉的病毒,再用kv300第一种方法即可查出杀掉。
对某些软件杀的不完整的病毒,有些可用kv300协助再次查杀干净,还有一些,kv300的第二套广谱查毒功能可以查出,但是只给予警告,不好再杀,用户可用好文件替换或删除的做法。也有用某些杀毒软件杀毒后,留下了病毒的发作模块和破坏模块,再用这些软件查毒,就自认为没病毒了,一不小心,将这样的带有病毒体的文件也留下了。再用别的查毒软件查毒时,因取病毒的代码位置不一样,可能再查时就又报有cih病毒。所以也不要用一些劣质杀毒软件杀毒,免得自己欺骗自己。 如有的杀毒软件杀cih病毒后就在文件中留下了大部分病毒体。用户一定要用能将cih病毒彻底清除的杀毒软件,而不能用漏查漏杀cih病毒的软件,否则,后果严重。
kv300对一些没有彻底杀干净的cih病毒,大部分都可以再清除,或者报警提示。
目前,cih病毒流行很广,许多盗版光盘上都有,还有许多变种,发作时间不一样,靠跳过时间的做法不可取,应用可靠的杀毒软件经常检查。估计,今年和明年是cih病毒不断流行期,最近又一种windows变形病毒marburg在流行,用户应保持高度警惕,严格预防,建议经常用kv300查杀。
|
|
|
|
|
 |
|
|
|
|
|
|
|
