(http://www.iloveguava.com)
【大紀元5月16日訊】 一個名為PE_CIH.1122的病毒將于5月19日發作。該病毒的別名還有:CIH.1122, Win32/CIH, Win95.CIH, Win32CIH1.4, CIH.C等﹐大小為1,122 字節。
據千龍新聞网報道﹐這是一個駐留內存的病毒,感染所有的PE EXE文件和ZIP文件。它將病毒代碼插入目標文件的每一個空區段內,這樣染毒文件的大小不會改變。PE_CIH.1122有個破坏模塊能夠用垃圾數据覆蓋染毒用戶的硬盤,從而造成机器無法啟動。
當執行時,PE_CIH.1122利用中斷3來獲取0環的优先權然后將自己裝入內存。之后便搜索所有.exe和.zip擴展名的文件。當它找到一個EXE文件后,就會搜索文件頭中的PE標志用以判斷該文件是否為PE可執行文件。如果是,則將下列字符寫入PE文件頭中:
This variant of PE_CIH adds the below code in between each line of its code:
當系統日期為5月19日時PE_CIH.1122企圖用隨机數据覆蓋硬盤同時破坏Flash BIOS中的數据,從而造成染毒系統的癱瘓。
該蠕虫利用了VXD机制,該机制在windwos95/98中可用但windwos NT不支持,因而該病毒無法感染NT系統。 (http://www.dajiyuan.com)
相關文章
