首次出版: 1998年07月06日
世界上之電腦病毒持續發展及增長,每天便有五至七隻新電腦病毒.這些新病毒 大多數都是不重要及沒趣味或從不廣泛蔓延,甚至不值得一提.但偶爾也有一些 極壞或譁眾取寵的病毒.最近的CIH與W97M/ZMK.J便是兩個好例子.W97M/ZMK.J (98世界盃巨集病毒)
這個病毒的病發程式是用世界盃之理念從而使廣大用戶大感興趣.病毒的其中一 個模組就是WorldCup98,但病毒之名稱卻是W97M/ZMK.J,那是表明它跟早期 之巨集病毒不同.它的病發日是七月十二日(即決賽當日),或開啟Word之時 為時鐘的第十二秒之數.目標在刪除以下之檔案:
C:\DOS\*.*
C:\Windows\Comand\*.*
C:\MS DOS.SYS
C:\IO.SYS
此外,它更會改動C:\AUTOEXEC.BAT及在其他INI檔案上國家名字.病毒之
對話閘更有以下之法文字句:
"VIVE LA COUPE DU MONDE 98!!!!"
"Virus WorldCup98"
"J'espère que tu aime le football…"
"Hip Hip Hourra!!!!"
"Bravo!!!
"Dommage pour toi, tu as PEERDU…" "mon choix était:…
"ZeMacroKiller98 est heureux ladédier ce virus"
" tous ceux qui aime FOOTBALL"
"Veuillez choisir une équipe"
這顯示了病毒可能源自法國.這病毒用了OrganizerCopy作感染,因此在Word97
service release (SR-1)是不能活躍.這病毒現時未有廣泛之報告,但從它的傳播限
制(如受制於Word板本)及病發時限,它可能不會廣泛蔓延.
F-Secure Anti-Virus 之最新(FSMACRO.DEF) 巨集防毒碼能偵察及清除 W97M/ZMK.J.客戶可從以下之ftp site取得.F-Secure Anti-Virus之註冊用戶更可 透過發展商提供之全自動網上更新系統GETMAC自動下載每日更新防毒碼.
ftp : //ftp.europe.datafellows.com/f-prot/tools/
ftp : //ftp.yuikee.com.hk/pub/f-prot/tools/
CIH病毒
CIH跟W97M/ZMK.J不同,CIH沒有像世界盃之類的題材.它感染Win95及 Win98之EXE檔案.CIH擁有一個高度破壞性的發病程式.它發病後的惡果已 經在好幾個國家發現及証實.CIH來自台灣,本年六月期間,它被放置在一些用戶討論組內發放. 傳播所及甚廣,發現地區包括瑞典,法國,德國,荷蘭,以色列及台灣.有些報 告指病源來自翻版之Win98及一些遊戲.
CIH 感染Win95及Win98 EXE之檔案,被感染的檔案一旦被執行,病毒停留在 記憶體並感染其他執行檔案.它擁有一個破壞程式:發病時,病毒會把硬盤開頭 加上胡亂數句.再者,病毒會把電腦上的Flash BIOS改寫.如果病毒成功病發 及運作,電腦將不會啟動直至Flash BIOS給從新輸入正確程式.此破壞Flash BIOS之程式只能在Pentium機之Intel 430TX chipset 及其互用chipset 執行. 受 影響的電腦將須要把Flash BIOS取出再用先進之ROM burner重新編程,即送往 修理.一般母版的Flash BIOS其實可用Jumper加以保護,可惜這個保護裝置一 般都沒有被使用.
CIH不會感染Win NT.現在確知有三個版本的CIH : CIH V1.2發病於4月26日, CIH : V1.3發病於6月26日,CIH V1.4 發病於每月26日.
隨著CIH被廣泛發現,並擁有極高破壞力之病發程式,廣大電腦用戶正面臨嚴 重的威脅,我們應加緊注意及早防範.
F-Secure Anti-Virus已經能夠處理CIH病毒,其雙引擎中的AVP掃描器內的病 毒碼經已更新.用戶可於下列ftp site取得更新碼:
ftp : //ftp.europe.datafellows.com/anti-virus/updates/avp/
ftp : //ftp.yuikee.com.hk/anti-virus/updates/avp/
其他病毒資料可於下列網站查閱:
http : //www.datafellows.com/vir-info/