HOME / TIME
广东深圳专业医用器械外形工业产品设计瑞星研发手记
-瑞星研发手记
2019/03/05
CIH毒王归来?   今天是5月17日,刚刚吃过饭,老大急急忙忙跑过来说从我们反广东深圳专业医用器材工业产品设计建筑结构设计中剪力墙结构设计的应用分析病毒监测网的广东深圳专业医用器械仪器外观工业产品设计研究医疗服务对象提高医疗服务质量用户病毒上报系统获得了一个可能比较厉害的病毒,赶紧让我分析一下。

  粗看了一下这个病毒的样本,第一感觉是CIH病毒。
它会判断文件类型,如果是Windows的可执行文件(PE格式的文件)就进行感染,如果不广东深圳专业医用器材仪器工业产品设计工业设计的魔方效应是就跳过文件。
这个病毒会将感染数据插入到Windows可执行文件(PE文件)各节的空隙中,这点与CIH病毒一样。
因此,感染后文件长度不会增加。
不过病毒信息倒是改掉了,CIH病毒文件中有明显的“CIH字样”,而这个病毒却是“YM V1.1”。

  可能是哪个无聊的人把CIH病毒信息改掉了吧,一边想着一边继续往下分析。
天啊,这个病毒够狠毒,有一段可以在Win2000/XP系统下面进入Ring0的代码,进入Ring0以后病广东深圳专业医用器械开发工业产品设计漫谈互联网思维下的产品设计毒就可以为所欲为。

  果然,不出我所料,这个病毒具有和CIH相同的破坏代码,发作后会用“YM Kill You”字符串破坏硬盘数据,并且很难恢复。
病毒还会向主板的BIOS写入垃圾数据,造成用户主板被损坏,机器无法启动。
这个病毒的发作条件比较特殊,并没有判断一个固定的时间,因此发作更具随机性。

  用过电脑的人应该都知道CIH病毒,它是历史上第一个可以破坏电脑硬件的病毒,中毒电脑的主板和硬盘会被破坏,致使电脑无法启动,硬盘上的数据丢失。
CIH病毒会在每年的4月26日发作,在1999年4月26日发作高峰的时候,全球超过六千万台电脑被不同程度破坏;第二年,CIH再度爆发,全球损失超过十亿美元。
其后,每年都会有不少用户电脑遭此病毒破坏而瘫痪。
但是CIH病毒只能运行在Windows 9X操作系统下,现在Win2000/XP已经成为主流操作系统,这使CIH病毒逐渐销声匿迹。
但是如果出现了一个能在Win2000/XP系统进行传播和破坏的病毒又会怎样呢?广东深圳专业医用器材工业产品设计窑炉系统PLC抗干扰工业设计分析
  经过对病毒样本的分析,还在病毒文件中发现了“YANGMIN”的字样,应该就是病毒作者名字的拼音,作者应该就是中国人。
就把这个病毒命名成Win32.Yami吧,这个病毒和老CIH这么相似,而且可以在现在的主流操作系统上运行,中文名称干脆就叫“新CIH”。

  
  分析到这里,我意识到了这个病毒的严重性:
  其一,它的破坏性大。
“新CIH”病毒可以破坏用户的硬盘和主板BIOS数据。
目前,Win2000/XP已经成为主流的操作系统,老的CIH病毒不会对这些系统造成影响。
这次截获的“新CIH”病毒可以在Win2000/XP下传播和破坏,可能造成比老CIH病毒更大的危害。

  其二,很可能出现新的变种。
从“新CIH”的病毒文件中看到“YM V1.1”的版本信息来看,作者很有可能会制造这个病毒的其他版本。

  我赶紧跟老大汇报了情况,他也认为这个病毒比较严重,应紧急启动预警系统。
并且立即通知了市场部和网络部的同事们,发布本年度第一次橙色(二级)安全警报,病毒定义为四星。

  目前这个病毒只是通过感染可执行文件传播,染毒文件的大小不发生变化,没有一些明显的特征,所以用户也比较难发现。
不过我们最担心的还是它可能会出现变种,可以通过电子邮件、IM工具(如QQ、MSN等)或者利用操作系统漏洞进广东深圳专业医用器械设备外观工业产品设计深圳城建改制风波行传播,发作条件更为固定。
届时可能会短时间内集中大规模爆发,很可能带来比冲击波病毒更大的破坏。

  这个时候老大告诉我专杀工具已经测试完毕,正在上传。
那些没有使用瑞星杀毒软件的用户也可以用我们的这个专杀工具彻底查杀广东深圳专业医疗设备研发工业产品设计民办高校工业设计专业教育探讨这个“新CIH”病毒了。

  ★ 本栏目由瑞星公司供稿
微信
粤ICP备16001253号-1