cih病毒創造者

A. CIH病毒的歷史

1998年9月，雅馬哈公司為感染了該病毒的CD-R400驅動提供一個固件更新。1998年10月，用戶傳播的Activision公司游戲SiN的一個演示版因為在某一用戶的機器上接觸被感染文件而受到感染。這個公司的傳染源來自IBM1999年3月間發售的已感染CIH病毒的一組Aptiva品牌個人電腦。1999年4月26日，公眾開始關注CIH首次發作時，這些電腦已經運行一個月了。這是一宗大災難，全球不計其數的電腦硬碟被垃圾數據覆蓋，甚至破壞BIOS，無法啟動。至2000年4月26日，亞洲報稱發生多宗損壞，但病毒沒有傳播開來。2001年3月發現Anjulie蠕蟲病毒，它將CIH v1.2植入感染的系統。
這個病毒的死灰復燃是在2001年。一個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔里的愛蟲病毒的一個變種包含CIH病毒的掛鉤常式，從而使該病毒在互聯網上傳播開來。
一個修改版本是CIH.1106，發現於2002年12月，但是沒有嚴重的破壞性。
只有CIH感染大量發信的電腦蠕蟲（如求職信病毒）所使用的程序，或有Anjulie蠕蟲病毒參與時，CIH才會被看成是一個威脅。但是CIH病毒只在windows 95，98和windows Me系統上發作，影響有限。現在由於人們對它的威脅有了認知，且它只能運行於舊的Windows 9X操作系統，CIH不再像它剛出現時分布那麼廣泛傳播。

B. 當年的CIH病毒製造者為什麼沒被判刑

當時沒有法律說這樣做要坐牢的。

C. cih病毒歷史

1998年7月26日CIH病毒開始襲擊美國,CIH病毒製造者陳贏豪

1998年7月26日，一種名叫CIH的惡性病毒開始襲擊美國，該病毒同時對

BIOS和硬碟發起攻擊。8月26日，CIH病毒侵入中國，造成嚴重損失。為此，公

安部發出緊急通知，各反病毒軟體廠商紛紛推出新版殺毒軟體，一時沸沸揚

揚，人心惶惶。

該病毒作者陳盈豪(一台灣大學生)發表公開道歉：事件發生於5月底，病毒

先從宿舍內部迅速擴大到各大網站，因為網路四通八達，病毒感染力極強，造

成始料不及的災難...

至今每月26日，對於使用視窗95/98系統的用戶開始趕在病毒發作前，對電

腦進行徹底排查。

D. cih病毒的介紹

類型：駐留型計算機病毒

特徵： 該計算機病毒屬於W32家族，感染Windows 95/98中以EXE為後綴的可行性文件。它具有極大的破壞性，可以重寫BIOS使之無用(只要計算機的微處理器是Pentium Intel 430TX)，其後果是使用戶的計算機無法啟動，唯一的解決方法是替換系統原有的晶元(chip)，該計算機病毒於4月26日發作，它還會破壞計算機硬碟中的所以信息。該計算機病毒不會影響MS/DOS、Windows 3.x和Windows NT操作系統。

傳播途徑： CIH可利用所有可能的途徑進行傳播：軟盤、CD-ROM、Internet、FTP下載、電子郵件等。只有當執行受感染的文件時計算機病毒才會發作，否則計算機病毒將永遠處於潛伏狀態。 症狀： 計算機病毒可能隱藏在任何以EXE為擴展名的可執行文件中，但是，只有執行這些文件，計算機病毒才會發作。一旦計算機病毒被激活(執行了帶毒文件)，計算機病毒就是進行破壞活動，有些是可見的，而另外一些則可能不被注意。

以下就是計算機病毒可能產生的影響：

1.它會駐留內存，這意味著Windows 95/98系統調用任何(打開、關閉、重命名、復制或運行)以EXE為擴

展名的文件時都會感染計算機病毒。

2.覆蓋和重寫BIOS信息使之無法工作。

3.破壞硬碟中的所有信息(格式化硬碟) 遭到計算機病毒破壞的計算機啟動時有如下提示："DISK BOOT

FAILURE， INSERT SYSTEM DISK AND PRESS ENTER"。而且，如果用戶從軟盤引導並試圖訪問硬碟，就會出現如下信息"INVALID DRIVE SPECIFICATION"。 該計算機病毒在其代碼中包含以下字元串"CIH v1.2 TT IT"。

該計算機病毒的第一個變種稱為CIH v1.3或CIH.1010，這個變種會在6月26日發作，它在其代碼中包含以下

字元串："CIH v1.3 TT IT"。 第二個變種稱為 CIH v1.4或CIH.1019，它會在每個月的26日發作，具有極大的

破壞性。它將刪除Flash-BIOS 中的所有信息，因此會使計算機連系統盤都找不到，因為BIOS中已經沒有執行該

功能的程序。

但是，即使啟動了計算機，硬碟也找不到，因為硬碟信息也已丟失CHI.1019 破壞硬碟信息的方式是重寫其中的內容。這個變種在其代碼中包含以下字元串："CIH v1.4 TATUNG"。

感染方式： CIH將自己的代碼放在硬碟受感染文件的可用扇區內，因此這些文件的長度不會增加，達到了

隱藏的目的。事實上，計算機病毒感染以EXE為擴展名的Windows可執行文件的原因是這些文件內有大量的可用扇區來隱藏計算機病毒代碼。CIH隻影響32位文件，因此只限於Windows 95/98系統。 當CIH計算機病毒進入內存後，它會截取Installable File System (IFS)以便感染所有擴展名為EXE的可執行文件。

E. CIH病毒的由來，症狀和危害以及作者其人

CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。這個病毒產自台灣，集嘉通訊公司（技嘉子公司）手機研發中心主任工程師陳盈豪在其於台灣大同工學院念書期間製作。 最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵
CIH病毒是：
1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息將被清除。
3、v1.4版本每月26號發作，v1.3版本每年6月26號發作，以下版本4月26號發作。

陳盈豪（1975年－），台灣的電腦鬼才，CIH病毒製作者。現為集嘉通訊公司（技嘉子公司）手機研發中心主任工程師，以研究操作系統核心為主，試圖開發更符合人性的智慧型手機操作系統。
電腦鬼才—陳盈豪，據初步統計，來自台灣的CIH電腦病毒這次共造成全球 6000萬台電腦癱瘓，其中韓國損失最為嚴重，共有30萬台電腦中毒，佔全國電腦總數的15%以上，損失更是高達兩億韓元以 上。土耳其、孟加拉、新加坡、馬來西亞、俄羅斯、中國內地的電腦均慘遭CIH病毒的襲擊。製造這場「電腦大屠殺」的是台灣現役軍人、大學畢業生陳盈豪。CIH電腦病毒風暴過後，有的把CIH的始作俑者陳盈豪抬升為「天才」,有的把他貶為「鬼才」 。
陳盈豪現在供職於集嘉通訊公司，擔任集嘉通訊公司手機研發中心主任工程師。

F. CIH病毒誰知道是誰發明的

CIH（英語又稱為 Chernobyl 或 Spacefiller）是一種電腦病毒，其名稱源自它的作者當時仍然是台灣大同工學院（現大同大學）學生的電腦技術鬼才陳盈豪的名字拼音縮寫。它被認為是最有害的廣泛傳播的病毒之一，會破壞用戶系統上的全部信息，在某些情況下，會重寫系統的BIOS。因為CIH病毒的1.2和1.3版，發作日期為4月26日，正好是俄國核電廠災害「切爾諾貝利核事故」的紀念日，故曾被認為病毒作者撰寫動機和切爾諾貝利事件有關，因此CIH病毒也被稱作切爾諾貝利（Chernobyl）病毒。

【歷史】
1998年9月，雅馬哈公司為感染了該病毒的CD-R400驅動提供一個固件更新。1998年10月，用戶傳播的Activision公司游戲SiN的一個演示版因為在某一用戶的機器上接觸被感染文件而受到感染。這個公司的傳染源來自IBM1999年3月間發售的已感染CIH病毒的一組Aptiva品牌個人電腦。1999年4月26日，公眾開始關注CIH首次發作時，這些電腦已經運出一個月了。這是一宗大災難，全球不計其數的電腦硬碟被垃圾數據覆蓋，甚至破壞了BIOS，無法啟動。至2000年4月26日，許多損壞發生在亞洲，但是病毒沒有傳播開來。2001年3月，Anjulie蠕蟲病毒被發現，它將CIH v1.2植入感染的系統。現在，CIH不再像他剛出現時分布那麼廣泛傳播，因為人們以對它的威脅有了認知，且它只能運行於舊的Windows 9X操作系統。

這個病毒的死灰復燃是在2001年。一個用珍妮佛洛佩茲的裸照偽裝的VBScript文檔里的愛蟲病毒的一個變種包含CIH病毒的掛鉤常式，從而使該病毒在互聯網上傳播開來。
一個修改版本是CIH.1106，發現於2002年12月，但是沒有嚴重的破壞性。

只有CIH感染大量發信的計算機蠕蟲（如求職信病毒）所使用的程序，或有Anjulie蠕蟲病毒參與時，CIH才會被看成是一個威脅。但是CIH病毒只在windows 95，98和windows Me系統上發作，影響有限。

【病毒特徵】
CIH以可移植可執行文件格式在Windows 95、Windows 98和Windows ME上傳播。CIH不會在Windows NT、Windows 2000或者Windows XP上傳播。

由於CIH會感染可執行文件，它會占據一般的可執行文件空餘的位置。因此，CIH又有一個綽號叫「空間填充者（Spacefiller）」。這個病毒大小約1KB，但是文件不會增大。它使用從處理器環3到0跳轉的方法觸發系統調用。

當他發作時，是非常危險的。首先病毒會在硬碟和軟盤中從第0扇區開始的第一個兆位元組（1024KB）寫入零數據。這樣經常刪除了分區表的內容，將有可能死機。

G. CIH病毒作者陳盈豪現在怎麼樣了2007.9.3

曾開發出令人聞之色變的計算機病毒「CIH」，集嘉通訊主任工程師陳盈豪現在將黑客知識轉換成企業研發動力，成為研發團隊的幕後推手，替企業帶來無盡商機。
「CIH」，這3個單字曾經是令人聞之色變的計算機病毒名稱縮寫，在1998年6月開始被注意後，曾感染全球約6000萬台電腦，還造成高達10億美元的商 業損失，更獲選2006年7月Varbusiness前10大計算機病毒排行榜之中，而其作者就是當年就讀於大同工學院的陳盈豪，現在的他則是集嘉通訊主任工程師，以研究操作系統核心為主，試圖開發更符合人性的智能型手機系統。

H. CIH 病毒的製造者是誰

台灣的陳盈豪,現在供職於一家美國IT公司

I. CIH病毒的創始人是誰

CIH病毒
CIH病毒簡介

CIH病毒傳播的主要途徑是Internet和電子郵件，當然隨著時間的推移，它也會通過軟盤或光碟的交流傳播。據悉，權威病毒搜集網目前報道的CIH病毒， 「原體」加「變種」一共有五種之多，相互之間主要區別在於「原體」會使受感染文件增長，但不具破壞力；而「變種」不但使受感染的文件增長，同時還有很強的破壞性，特別是有一種「變種」，每月26日都會發作。

CIH病毒只感染Windows 95/98操作系統，從目前分析來看，它對DOS操作系統似乎還沒有什麼影響，所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows 95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播的實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。

CIH病毒「變種」在每年4月26日（有一種變種是每月26日）都會發作。發作時硬碟一直轉個不停，所有數據都被破壞，硬碟分區信息也將丟失。CIH病毒發作後，就只有對硬碟進行重新分區了。再有就是CIH病毒發作時也可能會破壞某些類型主板的電壓，改寫只讀存儲器的BIOS，被破壞的主板只能送回原廠修理，重新燒入BIOS。

CIH病毒破壞哪一類BIOS？

當然，CIH對BIOS的破壞，也並非想像中的那麼可怕。

現在PC機基本上使用兩種只讀存儲器存放BIOS數據，一種是使用傳統的ROM或EPROM，另一種就是E2PROM。廠家事先將BIOS以特殊手段「燒」入（又稱「固化」）到這些存儲器中，然後將它們安裝在PC機里。當我們打開計算機電源時，BIOS中程序和數據首先被執行、載入，使得我們的系統能夠正確識別機器里安裝的各種硬體並調用相應的驅動程序，然後硬碟再開始引導操作系統。

固化在ROM或EPROM中的數據，只有施加以特殊的電壓或使用紫外線才有可能被清除，這就是為什麼我們打開有些計算機機箱時，可能會看到有塊晶元上貼著一小塊銀色或黑色紙塊的原因——防止紫外線清除BIOS數據。要清除存儲在這類只讀存儲器中的數據，僅靠計算系統內部的電壓是不夠的。所以，僅使用這種只讀存儲器存儲BIOS數據的用戶，就沒有必要擔心CIH病毒會破壞BIOS。

但最新出產的計算機，特別是Pentium以上的計算機基本上都使用了E2PROM存儲部分BIOS。E2PROM又名「電可改寫只讀存儲器」。一般情況下，這種存儲器中的數據並不會被用戶輕易改寫，但只要施加特殊的邏輯和電壓，就有可能將E2PROM中的數據改寫掉。使用PC機的CPU邏輯和計算機內部電壓就可輕易實現對E2PROM的改寫，這正是我們通過軟體升級BIOS的原理，也是CIH破壞BIOS的基本方法。

改寫E2PROM內的數據需要一定的邏輯條件，不同PC機系統對這種條件的要求可能並不相同，所以CIH並不會破壞所有使用E2PROM存儲BIOS的主板，目前報道的只有技嘉和微星等幾種5V主板，這並不是說這些主板的質量不好，只不過其E2PROM邏輯正好與CIH吻合，或者CIH的編制者也許就是要有目的地破壞某些品牌的主板。

所以，要判斷CIH對您的主板究竟有沒有危害，首先應該判別您的BIOS是僅僅燒在ROM/EPROM之中，還是有一部分使用了E2PROM。

需要注意的是，雖然CIH並不會破壞所有BIOS，但CIH在「黑色」的26日摧毀硬碟上所有數據遠比破壞BIOS要嚴重得多——這是每個感染CIH病毒的用戶不可避免的。

------------------------------------------------------------------------------------------------

CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種，不過好象沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。

CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

CIH病毒v1.0版本：

最初的 V1.0版本僅僅只有 656位元組，其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本：

當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」，將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。

CIH病毒v1.2版本：

當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時，將導致此ZIP壓縮包在自解壓時出現如下的錯誤警告信息：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是：一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。

CIH病毒v1.4版本：

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。

從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

CIH病毒發作時所產生的破壞性：

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵是：

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。 最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息將被清除。

感染CIH病毒的特徵：

由於流行的CIH病毒版本中，其標識版本號的信息使用的是明文，所以可以通過搜索可執行文件中的字元串來識別是否感染了CIH病毒，搜索的特徵串為「CIH v」或者是「CIH v1.」如果你想搜索更完全的特徵字元串，可嘗試「CIH v1.2 TTIT」、「CIH v1.3 TTIT」以及「CIH v1.4 TATUNG」，不要直接搜索「CIH」特徵串， 因為此特徵串在很多的正常程序中也存在，例如程序中存在如下代碼行：

inc bx

dec cx

dec ax

則它們的特徵碼正好是「CIH(0x43;0x49;0x48)」，容易產生誤判。

具體的搜索方法為：首先開啟「資源管理器」，選擇其中的菜單功能「工具>查找>文件或文件夾」，在彈出的「查找文件」設置窗口的「名稱和位置」輸入中輸入查找路徑及文件名(如：*.EXE)，然後在「高級>包含文字」欄中輸入要查找的特徵字元串--「CIH v」，最後點勸查找鍵」即可開始查找工作。如果在查找過程中， 顯示出一大堆符合查找特徵的可執行文件，則表明您老的計算機上已經感染了CIH病毒。

實際上，在以上的方法中存在著一個致命的缺點，那就是：如果用戶剛剛感染CIH病毒，那麼這樣一個大面積的搜索過程實際上也是在擴大病毒的感染面。一般情況下，推薦的方法是先運行一下「寫字板」軟體，然後使用上面的方法在「寫字板」軟體的可執行程序Notepade.exe中搜索特徵串，以判斷是否感染了CIH病毒。

另外一個判斷方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE欄位，也就是0x00004550，其代表的識別字元為「PE00」，然後查看其前一個位元組是否為0x00，如果是，則表示程序未受感染，如果為其他數值，則表示很可能已經感染了CIH病毒。

最後一個判斷方法是先搜索IMAGE_NT_SIGNATURE欄位--「PE00」，接著搜索其偏移0x28位置處的值是否為55 8D 44 24 F8 33 DB 64，如果是，則表示此程序已被感染。

還聽說凡是感染了CIH病毒的機器，如果玩NEED FOR SPEED II游戲時，會在讀取游戲光碟時出現死機現象， 本人沒有嘗試過，不知道實際上是不是有這一情況存在。

適合高級用戶使用的一個方法是直接搜索特徵代碼，並將其修改掉，方法是：先處理掉兩個轉跳點，即搜索：5E CC 56 8B F0 特徵串以及5E CC FB 33 DB特徵串，將這兩個特徵串中的CC改90(nop)，接著搜索 CD 20 53 00 01 00 83 C4 20 與 CD 20 67 00 40 00特徵字串，將其全部修改為90，即可（以上數值全部為16進制）。

另外一種方法是將原先的PE程序的正確入口點找回來，填入當前入口點即可（此處以一個被感染的CALC.EXE程序為例），具體方法為：先搜IMAGE_NT_SIGNATURE欄位--「PE00」，接著將距此點偏移0x28處的4個位元組值，例如「A0 02 00 00」(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到數據「55 8D 44 24 F8 33 DB 64」， 並由0X02A0加上0X005E得到0x02FE偏移，此偏移處的數據例如為「CB 21 40 00」（OXOO4021CB），將此值減去OX40000，將得數--「CB 21 00 00」（OXOO0021CB）值放回到距「PE00」點偏移0x28的位置即可（此處為Windows PE格式程序的入口點，術語稱為Program Entry Point）。最後將「55 8D 44 24 F8 33 DB 64」全部填成「00」，使得我們容易判斷病毒是否已經被殺除過。

按照上面手工殺毒的方法一般適合於某些單獨的軟體（例如某些軟體包含在軟盤中，卻被感染了CIH不讀，可現在就要用，呵呵！）。使用上述方法的缺點在於病毒體還將保留在可執行文件中，雖然不會起作用， 但是想起來可能會有點不舒服（記得「WPS2000測試版殘留CIH病毒屍體」的事件么？）。所以，想徹底殺滅，推薦使用某些反病毒軟體進行或是CIH專用殺毒工具（以上操作以及使用反病毒軟體進行殺毒，必須使用干凈的系統盤啟動計算機）。

------------------------------------------------------------------------------------------------

CIH病毒是一位名叫陳盈豪的台灣大學生所編寫的，從台灣傳人大陸地區的。CIH的載體是一個名為「ICQ中文Ch_at模塊」的工具，並以熱門盜版光碟游戲如「古墓奇兵」或Windows95/98為媒介，經互聯網各網站互相轉載，使其迅速傳播。目前傳播的主要途徑主要通過Internet和電子郵件，當然隨著時間的推移，其傳播主要仍將通過軟盤或光碟途徑。CIH病毒屬文件型病毒，其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可執行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可執行文件，並且在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，目前最流行的是v1.2版本，在此期間，據某些報導，同時產生了不下十個的變種， 不過好象沒有流行起來的跡象，本人並未實際接觸到這些所謂的CIH變種病毒。

CIH病毒的各種不同版本的隨時間的發展不斷完善，其基本發展歷程為：

CIH病毒v1.0版本：

最初的 V1.0版本僅僅只有 656位元組， 其雛形顯得比較簡單，與普通類型的病毒在結構上並無多大的改善，其最大的「賣點」是在於其是當時為數不多的、可感染Microsoft Windows PE類可執行文件的病毒之一，被其感染的程序文件長度增加，此版本的CIH不具有破壞性。

CIH病毒v1.1版本：

當其發展到v1.1版本時，病毒長度為796位元組，此版本的CIH病毒具有可判斷Win NT軟體的功能，一旦判斷用戶運行的是Win NT，則不發生作用，進行自我隱藏，以避免產生錯誤提示信息，同時使用了更加優化的代碼，以縮減其長度。此版本的CIH另外一個優秀點在於其可以利用WIN PE類可執行文件中的「空隙」， 將自身根據需要分裂成幾個部分後，分別插入到PE類可執行文件中，這樣做的優點是在感染大部分WINPE類文件時，不會導致文件長度增加。

CIH病毒v1.2版本：

當其發展到v1.2版本時，除了改正了一些v1.1版本的缺陷之外，同時增加了破壞用戶硬碟以及用戶主機BIOS程序的代碼，這一改進，使其步入惡性病毒的行列，此版本的CIH病毒體長度為1003位元組。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在於當其感染ZIP自解壓包文件(ZIP self-extractors file)時， 將導致此ZIP壓縮包在自解壓時出現：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的錯誤警告信息。v1.3版本的CIH病毒顯得比較倉促，其改進點便是針對以上缺陷的，它的改進方法是： 一旦判斷開啟的文件是WinZip類的自解壓程序，則不進行感染。同時，此版本的CIH病毒修改了發作時間。v1.3版本的CIH病毒長度為1010位元組。

CIH病毒v1.4版本：

此版本的CIH病毒改進上上幾個版本中的缺陷，不感染ZIP自解壓包文件，同時修改了發作日期及病毒中的版權信息(版本信息被更改為：「CIH v1.4 TATUNG」，在以前版本中的相關信息為「CIH v1.x TTIT」)，此版本的長度為1019位元組。

從上面的說明中，我們可以看出，實際上，在CIH的相關版本中，只有v1.2、v1.3、v1.4這3個版本的病毒具有實際的破壞性，其中v1.2版本的CIH病毒發作日期為每年的4月26日，這也就是當前最流行的病毒版本，v1.3版本的發作日期為每年的6月26日，而CIH v1.4版本的發作日期則被修改為每月的26日，這一改變大大縮短了發作期限，增加了其的破壞性。

CIH病毒發作時所產生的破壞性：

CIH屬惡性病毒，當其發作條件成熟時，其將破壞硬碟數據，同時有可能破壞BIOS程序，其發作特徵是：

1、以2048個扇區為單位，從硬碟主引導區開始依次往硬碟中寫入垃圾數據，直到硬碟數據被全部破壞為止。 最壞的情況下硬碟所有數據(含全部邏輯盤數據)均被破壞，如果重要信息沒有備份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息將被清除。

------------------------------------------------------------------------------------------------

CIH病毒是一種能夠破壞計算機系統硬體的惡性病毒。據目前掌握的材料來看，這個病毒產自台灣，最早隨國際兩大盜版集團販賣的盜版光碟在歐美等地廣泛傳播，隨後進一步通過Internet傳播到全世界各個角落。

目前傳播的途徑主要通過Internet和電子郵件。計算機病毒的傳播已擺脫了傳統存儲介質的束縛，Internet和光碟現已成為加速計算機病毒傳播最有效的催化劑。CIH病毒只感染Windows95/98操作系統，從目前分析來看它對DOS操作系統似乎還沒有什麼影響，這可能是因為它使用了Windows下的VxD（虛擬設備驅動程序）技術造成的。所以，對於僅使用DOS的用戶來說，這種病毒似乎並沒有什麼影響，但如果是Windows95/98用戶就要特別注意了。正是因為CIH獨特地使用了VxD技術，使得這種病毒在Windows環境下傳播，其實時性和隱蔽性都特別強，使用一般反病毒軟體很難發現這種病毒在系統中的傳播。

CIH病毒每月26日都會爆發（有一種版本是每年4月26日爆發）。CIH病毒發作時，一方面全面破壞計算機系統硬碟上的數據，另一方面對某些計算機主板的BIOS進行改寫。BIOS被改寫後，系統無法啟動，只有將計算機送回廠家修理，更換BIOS晶元。由於CIH病毒對數據和硬體的破壞作用都是不可逆的，所以一旦CIH病毒爆發，用戶只能眼睜睜地看著價值萬元的計算機和積累多年的重要數據毀於一旦。CIH病毒現已被認定是首例能夠破壞計算機系統硬體的病毒，同時也是最具殺傷力的惡性病毒。

從技術角度來看，CIH病毒實現了與操作系統的完美結合。該病毒使用了Windows95/98最核心的VxD技術編制，被認為是牢固地連接到了操作系統底層，所以CIH病毒既不會向DOS操作系統傳播，也不會向WindowsNT操作系統擴散。CIH病毒的這一技術特點給我們使用傳統反病毒技術防治計算機病毒提出了巨大的挑戰，這是因為我們所使用的傳統反病毒工具基本上都是純DOS或工作在Windows95之下的模擬DOS應用程序，它們無法深入到Windows95/98操作系統的底層去徹底清除CIH病毒；另一方面，由於能夠與操作系統底層緊密結合，CIH病毒的傳播就更為迅速、隱蔽。防治類似CIH這種能夠與操作系統緊密結合的病毒最好的方法是使用本身能夠與各種操作系統緊密結合的反病毒軟體。