CIH 病毒 V1.2～V1.4版　　(1998/06/03)

　　台灣第一隻應用IFS VXD Service進行監控感染的病毒

此病毒為Windows 95/98檔案型病毒，其感染能力甚強，只要中毒後，使用檔案總管瀏覽到副檔名為 EXE 的 PE 檔均會被此病毒感染。此病毒可能為國人開發，類似先前流行過的 Poppy 2 病毒，具有 Ring 0 的存取能力，利用直接串聯 IFS 的系統服務，進而對檔案進行感染動作，1.2與1.3版會在每年的四月二十六日 Format 硬碟，而1.4版會在每月的二十六日 Format 硬碟。目前國內已傳出災情，因為病毒作者將病毒放置在網路上的一些熱門程式中(例如：Windows 98 Server Pack、中文化的應用程式等)，並傳到各大學 FTP 站上，使得中毒率劇增。

病毒長度：1003 or 1010 or 1019 Bytes。(病毒本身不到1KB，會將自己分解成數個小部份，藏在PE檔中的節區與節區的空白處，因此被感染後的檔案，其大小並不會改變。)

常駐能力：YES。

攔截中斷：IFSMgr。

病毒類型：PE。

病毒行為：

1. Open PE格式的執行檔時便會進行感染。

2. 1.2與1.3版會在每年的四月二十六日 Format 硬碟，而1.4版會在每月的二十六日 Format 硬碟。並造成Windows 95/98當機。

3. 是繼Poppy 2（全球第一隻）後，為台灣第一隻應用IFS VXD Service

進行監控System，並感染Win32（PE）的病毒。

4. IFS（Installable File System）為Zero-Base File I/O System Service，

通常為VXD才能直接存取，此病毒是直接串聯IFS的系統服務，對檔案進行感染。

5. 具有Ring 0的存取能力。

病毒訊息：

V1.2版為：CIH v1.2 TTIT

V1.3版為：CIH v1.3 TTIT

V1.4版為：CIH v1.4 TATUNG

回上頁 | 回首頁

建議使用IE 5.0或更新版本的IE瀏覽器與800 x600的螢幕解析度瀏覽本站

CIH 病毒 V1.2～V1.4版 (1998/06/03)

台灣第一隻應用IFS VXD Service進行監控感染的病毒

CIH 病毒 V1.2～V1.4版　　(1998/06/03)

　　台灣第一隻應用IFS VXD Service進行監控感染的病毒