查看文章 |
CIH病毒简介 CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播。据悉,权威病 毒搜集网目前报道的CIH病毒, “原体”加“变种”一共有五种之多,相互之间主要区别在于“原体”会使受感染文件增长 ,但不具破坏力;而“变种”不但使受感染的文件增长,同时还有很强的破坏性,特别是有一种“变种”,每月26日都会发 作。 CIH病毒只感染Windows 95/98操作系统,从目前分析来看,它对DOS操作系统似乎还没有什么影响,所以,对于仅使用DOS的 用户来说,这种病毒似乎并没有什么影响,但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技 术,使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传 播。 CIH病毒“变种”在每年4月26日(有一种变种是每月26日)都会发作。发作时硬盘一直转个不停,所有数据都被破坏,硬盘 分区信息也将丢失。CIH病毒发作后,就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的 电压,改写只读存储器的BIOS,被破坏的主板只能送回原厂修理,重新烧入BIOS。
CIH病毒破坏哪一类BIOS 的ROM或EPROM,另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入(又称“固化”)到这些存储器中,然后将它们安 装在PC机里。当我们打开计算机电源时,BIOS中程序和数据首先被执行、加载,使得我们的系统能够正确识别机器里安装的 各种硬件并调用相应的驱动程序,然后硬盘再开始引导操作系统。 固化在ROM或EPROM中的数据,只有施加以特殊的电压或 使用紫外线才有可能被清除,这就是为什么我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块 的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据,仅靠计算系统内部的电压是不够的。所以, 仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH病毒会破坏BIOS。 但最新出产的计算机,特别是Pentium 以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下,这种存储器中的数 据并不会被用户轻易改写,但只要施加特殊的逻辑和电压,就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算 机内部电压就可轻易实现对E2PROM的改写,这正是我们通过软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。 改写 E2PROM内的数据需要一定的逻辑条件,不同PC机系统对这种条件的要求可能并不相同,所以CIH并不会破坏所有使用E2PROM 存储BIOS的主板,目前报道的只有技嘉和微星等几种5V主板,这并不是说这些主板的质量不好,只不过其E2PROM逻辑正好与 CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。 所以,要判断CIH对您的主板究竟有没有危害,首先 应该判别您的BIOS是仅仅烧在ROM/EPROM之中,还是有一部分使用了E2PROM。 需要注意的是,虽然CIH并不会破坏所有BIOS ,但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。
CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件 (PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件,并且在Win NT中无效。其发展过程经历了v1.0,v1.1、v1.2、v1.3、v1.4总共5 个版本,目前最流行的是v1.2版本,在此期间,据某些报导,同时产生了不下十个的变种,不过好像没有流行起来的迹象, 本人并未实际接触到这些所谓的CIH变种病毒。 CIH病毒的各种不同版本的随时间的发展不断完善,其基本发展历程为: 1.0:最初的 V1.0版本仅仅只有 656字节,其雏形显得比较简单,与普通类型的病毒在结构上并无多大的改善,其最大的“ 卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一,被其感染的程序文件长度增加 ,此版本的CIH不具有破坏性。 1.1:当其发展到v1.1版本时,病毒长度为796字节,此版本的CIH病毒具有可判断Win NT软件的功能,一旦判断用户运行的 是Win NT,则不发生作用,进行自我隐藏,以避免产生错误提示信息,同时使用了更加优化的代码,以缩减其长度。此版本 的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”,将自身根据需要分裂成几个部分后,分别插入到 PE类可执行文件中,这样做的优点是在感染大部分WINPE类文件时,不会导致文件长度增加。 1.2:当其发展到v1.2版本时,除了改正了一些v1.1版本的缺陷之外,同时增加了破坏用户硬盘以及用户主机BIOS程序的代 码,这一改进,使其步入恶性病毒的行列,此版本的CIH病毒体长度为1003字节。 1.3:原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时,将导致此ZIP压缩 包在自解压时出现如下的错误警告信息: WinZip Self-Extractor header corrupt. Possible cause: disk or file transfer error. v1.3版本的CIH病毒显得比较仓促,其改进点便是针对以上缺陷的,它的改进方法是:一旦判断开启的文 件是WinZip类的自解压程序,则不进行感染。同时,此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节 。 1.4:此版本的CIH病毒改进上上几个版本中的缺陷,不感染ZIP自解压包文件,同时修改了发作日期及病毒中的版权信息(版 本信息被更改为:“CIH v1.4 TATUNG”,在以前版本中的相关信息为“CIH v1.x TTIT”),此版本的长度为1019字节。 从上面的说明中,我们可以看出,实际上,在CIH的相关版本中,只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性 ,其中v1.2版本的CIH病毒发作日期为每年的4月26日,这也就是当前最流行的病毒版本,v1.3版本的发作日期为每年的6月 26日,而CIH v1.4版本的发作日期则被修改为每月的26日,这一改变大大缩短了发作期限,增加了其的破坏性。
CIH属恶性病毒,当其发作条件成熟时,其将破坏硬盘数据,同时有可能破坏BIOS程序,其发作特征是: 1、以2048个扇区为单位,从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据被全部破坏为止。最坏的情况下 硬盘所有数据(含全部逻辑盘数据)均被破坏,如果重要信息没有备份,那就只有哭了!
了CIH病毒,搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串,可尝试“CIH v1.2 TTIT”、 “CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”,不要直接搜索“CIH”特征串, 因为此特征串在很多的正常程序中也存在, 例如程序中存在如下代码行: inc bx dec cx dec ax 则它们的特征码正好是“CIH(0x43;0x49;0x48)”,容易产生误判。 具体的搜索方法为:首先开启“资源管理器”,选择其中的菜单功能“工具>查找>文件或文件夹”,在弹出的“查找文件” 设置窗口的“名称和位置”输入中输入查找路径及文件名(如:*.EXE),然后在“高级>包含文字”栏中输入要查找的特征字 符串--“CIH v”,最后点劝查找键”即可开始查找工作。如果在查找过程中, 显示出一大堆符合查找特征的可执行文件, 则表明您老的计算机上已经感染了CIH病毒。 实际上,在以上的方法中存在着一个致命的缺点,那就是:如果用户刚刚感染CIH病毒,那么这样一个大面积的搜索过程实 际上也是在扩大病毒的感染面。 一般情况下,推荐的方法是先运行一下“写字板”软件,然后使用上面的方法在“写字板”软件的可执行程序Notepad.exe 中搜索特征串,以判断是否感染了CIH病毒。 另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段,也就 是0x00004550,其代表的识别字符为“PE00”,然后查看其前一个字节是否为0x00,如果是,则表示程序未受感染,如果为 其他数值,则表示很可能已经感染了CIH病毒。 最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”,接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64,如果是,则表示此程序已被感染。 还听说凡是感染了CIH病毒的机器,如果玩NEED FOR SPEED II(极品飞车2)游戏时,会在读取游戏光盘时出现死机现象, 本 人没有尝试过,不知道实际上是不是有这一情况存在。 适合高级用户使用的一个方法是直接搜索特征代码,并将其修改掉,方法是:先处理掉两个转跳点,即搜索:5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串,将这两个特征串中的CC改90(nop),接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串,将其全部修改为90,即可(以上数值全部为16进制)。 另外一种方法是将原先的PE程序的正确入口点找回来,填入当前入口点即可(此处以一个被感染的CALC.EXE程序为例),具 体方法为:先搜IMAGE_NT_SIGNATURE字段--“PE00”,接着将距此点偏移0x28处的4个字节值,例如“A0 02 00 00” (0x000002A0),再由此偏移所指的位置(即0x02A0)找到数据“55 8D 44 24 F8 33 DB 64”, 并由0X02A0加上0X005E得到 0x02FE偏移,此偏移处的数据例如为“CB 21 40 00”(OXOO4021CB),将此值减去OX40000,将得数--“CB 21 00 00” (OXOO0021CB)值放回到距“PE00”点偏移0x28的位置即可(此处为Windows PE格式程序的入口点,术语称为Program Entry Point)。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”,使得我们容易判断病毒是否已经被杀除过。 按照 上面手工杀毒的方法一般适合于某些单独的软件(例如某些软件包含在软盘中,却被感染了CIH不读,可现在就要用,呵呵 !)。使用上述方法的缺点在于病毒体还将保留在可执行文件中,虽然不会起作用, 但是想起来可能会有点不舒服(记得 “WPS2000测试版残留CIH病毒尸体”的事件么?)。所以,想彻底杀灭,推荐使用某些反病毒软件进行或是CIH专用杀毒工 具(以上操作以及使用反病毒软件进行杀毒,必须使用干净的系统盘启动计算机)。
工具,并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介,经互联网各网站互相转载,使其迅速传播。目前传播 的主要途径主要通过Internet和电子邮件,当然随着时间的推移,其传播主要仍将通过软盘或光盘途径。
小结 团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。 目前传播的途径主要通过 Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚,Internet和光盘现已成为加速计算机病毒传播最有 效的催化剂。CIH病毒只感染Windows95/98操作系统,从目前分析来看它对DOS操作系统似乎还没有什么影响,这可能是因为 它使用了Windows下的VxD(虚拟设备驱动程序)技术造成的。所以,对于仅使用DOS的用户来说,这种病毒似乎并没有什么 影响,但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术,使得这种病毒在Windows环境下传 播,其实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。 CIH病毒每月26日都会爆发(有 一种版本是每年4月26日爆发)。CIH病毒发作时,一方面全面破坏计算机系统硬盘上的数据,另一方面对某些计算机主板的 BIOS进行改写。BIOS被改写后,系统无法启动,只有将计算机送回厂家修理,更换BIOS芯片。由于CIH病毒对数据和硬件的 破坏作用都是不可逆的,所以一旦CIH病毒爆发,用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦 。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。 从技术角度来看,CIH病 毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制,被认为是牢固地连接到了操作系统底 层,所以CIH病毒既不会向DOS操作系统传播,也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给我们使用传统反 病毒技术防治计算机病毒提出了巨大的挑战,这是因为我们所使用的传统反病毒工具基本上都是纯DOS或工作在Windows95之 下的仿真DOS应用程序,它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒;另一方面,由于能够与操作系统 底层紧密结合,CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身 能够与各种操作系统紧密结合的反病毒软件。 CIH 病毒是一种运用最新技术,会 Format 硬碟的最新病毒,通常都利用网 路族上网时,进行传播感染 。目前最新的变种病毒为CIH 会在每月 26 日发病,并会展现最强大的破坏力-Format 硬碟. CIH病毒平常并没有作什么破坏性的动作,也没有显示任何画面,只是占用部份记忆体而已。但是有些 32-bit的程式被感染 之后,运作会不正常,甚至会造成当机。但是,CIH病毒长驻在主记忆体之后,每次 执行时,会检查电的日期是否为﹝4月 26日﹞,如果是,它会透果你的电脑I/O部:CF8,CFD,CFE修改你 的电脑的某些设定,并且把你电脑所有硬盘的资料都毁 了,甚至连硬盘数据区及引导区的资料都不在了 ,并且让电脑当机。当你重新开机,屏幕会出现"DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER"(硬盘引导失败,请插入系统盘后敲击回车)。若是用软盘引导开机再执行C:指令, 则出现"Invalid drive specification"(不可用的驱动器编号)。即使曾经有备份引导区资料,但是你磁盘中的资料已全毁 ,可不可以开机已经没有意义了 . 关于NSIS ERROR 一.病毒名称: NSIS病毒,因为感染最显著症状为弹出NSIS Error对话框. 1.部分或全部安装程序(无论从哪里下载)均无法安装,点击时弹出NSIS Error对话框. 2.部分或全部应用程序无法使用,提示:已经被破坏或者内存错误等对话框. 3.无法安装或使用的程序均无法删除提示硬盘写保护或正在使用字样,即使重起也无法删除. 4.老症状:windows文件保护对话框弹出,提示文件被替换字样. 5.格c重装无效,目前任何杀毒软件.病毒专杀均无法查出问题所在.u盘,移动硬盘只要连过感染 机器再连别的机器就会感染其他,无论你是否在感染机器上拷过东西. 三.已知解决办法: 目前我以知的解决办法除了重分区后全盘底格再重装之外还没发现第二种彻底杀除此毒的办法. 对于电脑里储存有重要资料或者电脑知识匮乏的新手再次感染几率极高. 请勿相信什么主板坏了内存有问题或者还有甚者说是CPU问题(脑子进水啊),目前仅锁定硬盘导致。 打开下载的安装程序出现NSIS 错误 不完整,或存放该程序的磁盘区坏了,也可能因病毒.无论何种原因,建议你联系程序的作者,重新下载, 再安装或命令行中附加参数 /NCRC 试试安装.(不推荐此法). 如图:
The installer you are trying to use is corrupted or incomplete 这个安装程序是损坏或不完整的
这可能是由于一个损坏的磁盘,或者一个失败的下载\病毒 您可能要联系安装程序的作者,以获得新的拷贝副本 安装程序也可以跳过检查,不使用了ncrc验证而强制进行安装线开关(不推荐)
一、
解决思路:<详细分析去:http://hi.baidu.com/%BB%A8s%D0%A1%D1%FD (花S小妖)> <http://hi.baidu.com/%BB%A8s%D0%A1%D1%FD/blog/category/Nsis%20Error>详细分析
二、
1.尝试清空浏览器缓存,在IE选项中,清空IE临时文件。建议使用360,清除系统垃圾文件及历史记录. 2.尝试禁用任何下载加速器或下载工具,尝试使用IE另存为进行重新下载。 3.下载卡巴7.0升级病毒库,被感染型病毒破坏的可能性较大。推荐重启到带命令行的安全模式杀毒。 4.尝试关闭杀毒软件和网络防火墙最好将其卸载以免费导致出错. 5.使用磁盘扫描程序或chkdsk扫描并修复磁盘错误。 6.从另一台正常计算机重新下载安装包,再复制到曾出故障的电脑上。 7.还有一种极端的方法:单击开始,运行,输入CMD,进入命令行。浏览到NSIS安装文件路径, 执行程序名.exe /ncrc,安装程序将不作自身校验,强制进行安装。 可以尝试拔下内存条,重插一次。或者干脆啊换一个硬盘试一下.晕....汗.......郁闷. 注意自己的任务管理器中的进程 http://hi.baidu.com/xiaodehua/blog/item/8c9d033f062388e854e723ab.html 更多请参考上面地址! |
