cih病毒创造者

A. CIH病毒的历史

1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运行一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏BIOS，无法启动。至2000年4月26日，亚洲报称发生多宗损坏，但病毒没有传播开来。2001年3月发现Anjulie蠕虫病毒，它将CIH v1.2植入感染的系统。
这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。
一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。
只有CIH感染大量发信的电脑蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows 95，98和windows Me系统上发作，影响有限。现在由于人们对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统，CIH不再像它刚出现时分布那么广泛传播。

B. 当年的CIH病毒制造者为什么没被判刑

当时没有法律说这样做要坐牢的。

C. cih病毒历史

1998年7月26日CIH病毒开始袭击美国,CIH病毒制造者陈赢豪

1998年7月26日，一种名叫CIH的恶性病毒开始袭击美国，该病毒同时对

BIOS和硬盘发起攻击。8月26日，CIH病毒侵入中国，造成严重损失。为此，公

安部发出紧急通知，各反病毒软件厂商纷纷推出新版杀毒软件，一时沸沸扬

扬，人心惶惶。

该病毒作者陈盈豪(一台湾大学生)发表公开道歉：事件发生于5月底，病毒

先从宿舍内部迅速扩大到各大网站，因为网络四通八达，病毒感染力极强，造

成始料不及的灾难...

至今每月26日，对于使用视窗95/98系统的用户开始赶在病毒发作前，对电

脑进行彻底排查。

D. cih病毒的介绍

类型：驻留型计算机病毒

特征： 该计算机病毒属于W32家族，感染Windows 95/98中以EXE为后缀的可行性文件。它具有极大的破坏性，可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX)，其后果是使用户的计算机无法启动，唯一的解决方法是替换系统原有的芯片(chip)，该计算机病毒于4月26日发作，它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。

传播途径： CIH可利用所有可能的途径进行传播：软盘、CD-ROM、Internet、FTP下载、电子邮件等。只有当执行受感染的文件时计算机病毒才会发作，否则计算机病毒将永远处于潜伏状态。 症状： 计算机病毒可能隐藏在任何以EXE为扩展名的可执行文件中，但是，只有执行这些文件，计算机病毒才会发作。一旦计算机病毒被激活(执行了带毒文件)，计算机病毒就是进行破坏活动，有些是可见的，而另外一些则可能不被注意。

以下就是计算机病毒可能产生的影响：

1.它会驻留内存，这意味着Windows 95/98系统调用任何(打开、关闭、重命名、复制或运行)以EXE为扩

展名的文件时都会感染计算机病毒。

2.覆盖和重写BIOS信息使之无法工作。

3.破坏硬盘中的所有信息(格式化硬盘) 遭到计算机病毒破坏的计算机启动时有如下提示："DISK BOOT

FAILURE， INSERT SYSTEM DISK AND PRESS ENTER"。而且，如果用户从软盘引导并试图访问硬盘，就会出现如下信息"INVALID DRIVE SPECIFICATION"。 该计算机病毒在其代码中包含以下字符串"CIH v1.2 TT IT"。

该计算机病毒的第一个变种称为CIH v1.3或CIH.1010，这个变种会在6月26日发作，它在其代码中包含以下

字符串："CIH v1.3 TT IT"。 第二个变种称为 CIH v1.4或CIH.1019，它会在每个月的26日发作，具有极大的

破坏性。它将删除Flash-BIOS 中的所有信息，因此会使计算机连系统盘都找不到，因为BIOS中已经没有执行该

功能的程序。

但是，即使启动了计算机，硬盘也找不到，因为硬盘信息也已丢失CHI.1019 破坏硬盘信息的方式是重写其中的内容。这个变种在其代码中包含以下字符串："CIH v1.4 TATUNG"。

感染方式： CIH将自己的代码放在硬盘受感染文件的可用扇区内，因此这些文件的长度不会增加，达到了

隐藏的目的。事实上，计算机病毒感染以EXE为扩展名的Windows可执行文件的原因是这些文件内有大量的可用扇区来隐藏计算机病毒代码。CIH只影响32位文件，因此只限于Windows 95/98系统。 当CIH计算机病毒进入内存后，它会截取Installable File System (IFS)以便感染所有扩展名为EXE的可执行文件。

E. CIH病毒的由来，症状和危害以及作者其人

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾，集嘉通讯公司（技嘉子公司）手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。 最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征
CIH病毒是：
1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！
2、某些主板上的Flash Rom中的BIOS信息将被清除。
3、v1.4版本每月26号发作，v1.3版本每年6月26号发作，以下版本4月26号发作。

陈盈豪（1975年－），台湾的电脑鬼才，CIH病毒制作者。现为集嘉通讯公司（技嘉子公司）手机研发中心主任工程师，以研究操作系统核心为主，试图开发更符合人性的智慧型手机操作系统。
电脑鬼才—陈盈豪，据初步统计，来自台湾的CIH电脑病毒这次共造成全球 6000万台电脑瘫痪，其中韩国损失最为严重，共有30万台电脑中毒，占全国电脑总数的15%以上，损失更是高达两亿韩元以 上。土耳其、孟加拉、新加坡、马来西亚、俄罗斯、中国内地的电脑均惨遭CIH病毒的袭击。制造这场“电脑大屠杀”的是台湾现役军人、大学毕业生陈盈豪。CIH电脑病毒风暴过后，有的把CIH的始作俑者陈盈豪抬升为“天才”,有的把他贬为“鬼才” 。
陈盈豪现在供职于集嘉通讯公司，担任集嘉通讯公司手机研发中心主任工程师。

F. CIH病毒谁知道是谁发明的

CIH（英语又称为 Chernobyl 或 Spacefiller）是一种电脑病毒，其名称源自它的作者当时仍然是台湾大同工学院（现大同大学）学生的电脑技术鬼才陈盈豪的名字拼音缩写。它被认为是最有害的广泛传播的病毒之一，会破坏用户系统上的全部信息，在某些情况下，会重写系统的BIOS。因为CIH病毒的1.2和1.3版，发作日期为4月26日，正好是俄国核电厂灾害“切尔诺贝利核事故”的纪念日，故曾被认为病毒作者撰写动机和切尔诺贝利事件有关，因此CIH病毒也被称作切尔诺贝利（Chernobyl）病毒。

【历史】
1998年9月，雅马哈公司为感染了该病毒的CD-R400驱动提供一个固件更新。1998年10月，用户传播的Activision公司游戏SiN的一个演示版因为在某一用户的机器上接触被感染文件而受到感染。这个公司的传染源来自IBM1999年3月间发售的已感染CIH病毒的一组Aptiva品牌个人电脑。1999年4月26日，公众开始关注CIH首次发作时，这些电脑已经运出一个月了。这是一宗大灾难，全球不计其数的电脑硬盘被垃圾数据覆盖，甚至破坏了BIOS，无法启动。至2000年4月26日，许多损坏发生在亚洲，但是病毒没有传播开来。2001年3月，Anjulie蠕虫病毒被发现，它将CIH v1.2植入感染的系统。现在，CIH不再像他刚出现时分布那么广泛传播，因为人们以对它的威胁有了认知，且它只能运行于旧的Windows 9X操作系统。

这个病毒的死灰复燃是在2001年。一个用珍妮佛洛佩兹的裸照伪装的VBScript文档里的爱虫病毒的一个变种包含CIH病毒的挂钩例程，从而使该病毒在互联网上传播开来。
一个修改版本是CIH.1106，发现于2002年12月，但是没有严重的破坏性。

只有CIH感染大量发信的计算机蠕虫（如求职信病毒）所使用的程序，或有Anjulie蠕虫病毒参与时，CIH才会被看成是一个威胁。但是CIH病毒只在windows 95，98和windows Me系统上发作，影响有限。

【病毒特征】
CIH以可移植可执行文件格式在Windows 95、Windows 98和Windows ME上传播。CIH不会在Windows NT、Windows 2000或者Windows XP上传播。

由于CIH会感染可执行文件，它会占据一般的可执行文件空余的位置。因此，CIH又有一个绰号叫“空间填充者（Spacefiller）”。这个病毒大小约1KB，但是文件不会增大。它使用从处理器环3到0跳转的方法触发系统调用。

当他发作时，是非常危险的。首先病毒会在硬盘和软盘中从第0扇区开始的第一个兆字节（1024KB）写入零数据。这样经常删除了分区表的内容，将有可能死机。

G. CIH病毒作者陈盈豪现在怎么样了2007.9.3

曾开发出令人闻之色变的计算机病毒「CIH」，集嘉通讯主任工程师陈盈豪现在将黑客知识转换成企业研发动力，成为研发团队的幕后推手，替企业带来无尽商机。
「CIH」，这3个单字曾经是令人闻之色变的计算机病毒名称缩写，在1998年6月开始被注意后，曾感染全球约6000万台电脑，还造成高达10亿美元的商 业损失，更获选2006年7月Varbusiness前10大计算机病毒排行榜之中，而其作者就是当年就读于大同工学院的陈盈豪，现在的他则是集嘉通讯主任工程师，以研究操作系统核心为主，试图开发更符合人性的智能型手机系统。

H. CIH 病毒的制造者是谁

台湾的陈盈豪,现在供职于一家美国IT公司

I. CIH病毒的创始人是谁

CIH病毒
CIH病毒简介

CIH病毒传播的主要途径是Internet和电子邮件，当然随着时间的推移，它也会通过软盘或光盘的交流传播。据悉，权威病毒搜集网目前报道的CIH病毒， “原体”加“变种”一共有五种之多，相互之间主要区别在于“原体”会使受感染文件增长，但不具破坏力；而“变种”不但使受感染的文件增长，同时还有很强的破坏性，特别是有一种“变种”，每月26日都会发作。

CIH病毒只感染Windows 95/98操作系统，从目前分析来看，它对DOS操作系统似乎还没有什么影响，所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows 95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播的实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒“变种”在每年4月26日（有一种变种是每月26日）都会发作。发作时硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失。CIH病毒发作后，就只有对硬盘进行重新分区了。再有就是CIH病毒发作时也可能会破坏某些类型主板的电压，改写只读存储器的BIOS，被破坏的主板只能送回原厂修理，重新烧入BIOS。

CIH病毒破坏哪一类BIOS？

当然，CIH对BIOS的破坏，也并非想像中的那么可怕。

现在PC机基本上使用两种只读存储器存放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是E2PROM。厂家事先将BIOS以特殊手段“烧”入（又称“固化”）到这些存储器中，然后将它们安装在PC机里。当我们打开计算机电源时，BIOS中程序和数据首先被执行、加载，使得我们的系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序，然后硬盘再开始引导操作系统。

固化在ROM或EPROM中的数据，只有施加以特殊的电压或使用紫外线才有可能被清除，这就是为什么我们打开有些计算机机箱时，可能会看到有块芯片上贴着一小块银色或黑色纸块的原因——防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据，仅靠计算系统内部的电压是不够的。所以，仅使用这种只读存储器存储BIOS数据的用户，就没有必要担心CIH病毒会破坏BIOS。

但最新出产的计算机，特别是Pentium以上的计算机基本上都使用了E2PROM存储部分BIOS。E2PROM又名“电可改写只读存储器”。一般情况下，这种存储器中的数据并不会被用户轻易改写，但只要施加特殊的逻辑和电压，就有可能将E2PROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可轻易实现对E2PROM的改写，这正是我们通过软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。

改写E2PROM内的数据需要一定的逻辑条件，不同PC机系统对这种条件的要求可能并不相同，所以CIH并不会破坏所有使用E2PROM存储BIOS的主板，目前报道的只有技嘉和微星等几种5V主板，这并不是说这些主板的质量不好，只不过其E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。

所以，要判断CIH对您的主板究竟有没有危害，首先应该判别您的BIOS是仅仅烧在ROM/EPROM之中，还是有一部分使用了E2PROM。

需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH在“黑色”的26日摧毁硬盘上所有数据远比破坏BIOS要严重得多——这是每个感染CIH病毒的用户不可避免的。

------------------------------------------------------------------------------------------------

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种，不过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。

CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：

CIH病毒v1.0版本：

最初的 V1.0版本仅仅只有 656字节，其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本：

当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”，将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本：

当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时，将导致此ZIP压缩包在自解压时出现如下的错误警告信息：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是：一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本：

此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

CIH病毒发作时所产生的破坏性：

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。 最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息将被清除。

感染CIH病毒的特征：

由于流行的CIH病毒版本中，其标识版本号的信息使用的是明文，所以可以通过搜索可执行文件中的字符串来识别是否感染了CIH病毒，搜索的特征串为“CIH v”或者是“CIH v1.”如果你想搜索更完全的特征字符串，可尝试“CIH v1.2 TTIT”、“CIH v1.3 TTIT”以及“CIH v1.4 TATUNG”，不要直接搜索“CIH”特征串， 因为此特征串在很多的正常程序中也存在，例如程序中存在如下代码行：

inc bx

dec cx

dec ax

则它们的特征码正好是“CIH(0x43;0x49;0x48)”，容易产生误判。

具体的搜索方法为：首先开启“资源管理器”，选择其中的菜单功能“工具>查找>文件或文件夹”，在弹出的“查找文件”设置窗口的“名称和位置”输入中输入查找路径及文件名(如：*.EXE)，然后在“高级>包含文字”栏中输入要查找的特征字符串--“CIH v”，最后点劝查找键”即可开始查找工作。如果在查找过程中， 显示出一大堆符合查找特征的可执行文件，则表明您老的计算机上已经感染了CIH病毒。

实际上，在以上的方法中存在着一个致命的缺点，那就是：如果用户刚刚感染CIH病毒，那么这样一个大面积的搜索过程实际上也是在扩大病毒的感染面。一般情况下，推荐的方法是先运行一下“写字板”软件，然后使用上面的方法在“写字板”软件的可执行程序Notepade.exe中搜索特征串，以判断是否感染了CIH病毒。

另外一个判断方法是在Windows PE文件中搜索IMAGE_NT_SIGNATURE字段，也就是0x00004550，其代表的识别字符为“PE00”，然后查看其前一个字节是否为0x00，如果是，则表示程序未受感染，如果为其他数值，则表示很可能已经感染了CIH病毒。

最后一个判断方法是先搜索IMAGE_NT_SIGNATURE字段--“PE00”，接着搜索其偏移0x28位置处的值是否为55 8D 44 24 F8 33 DB 64，如果是，则表示此程序已被感染。

还听说凡是感染了CIH病毒的机器，如果玩NEED FOR SPEED II游戏时，会在读取游戏光盘时出现死机现象， 本人没有尝试过，不知道实际上是不是有这一情况存在。

适合高级用户使用的一个方法是直接搜索特征代码，并将其修改掉，方法是：先处理掉两个转跳点，即搜索：5E CC 56 8B F0 特征串以及5E CC FB 33 DB特征串，将这两个特征串中的CC改90(nop)，接着搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00特征字串，将其全部修改为90，即可（以上数值全部为16进制）。

另外一种方法是将原先的PE程序的正确入口点找回来，填入当前入口点即可（此处以一个被感染的CALC.EXE程序为例），具体方法为：先搜IMAGE_NT_SIGNATURE字段--“PE00”，接着将距此点偏移0x28处的4个字节值，例如“A0 02 00 00”(0x000002A0)，再由此偏移所指的位置（即0x02A0）找到数据“55 8D 44 24 F8 33 DB 64”， 并由0X02A0加上0X005E得到0x02FE偏移，此偏移处的数据例如为“CB 21 40 00”（OXOO4021CB），将此值减去OX40000，将得数--“CB 21 00 00”（OXOO0021CB）值放回到距“PE00”点偏移0x28的位置即可（此处为Windows PE格式程序的入口点，术语称为Program Entry Point）。最后将“55 8D 44 24 F8 33 DB 64”全部填成“00”，使得我们容易判断病毒是否已经被杀除过。

按照上面手工杀毒的方法一般适合于某些单独的软件（例如某些软件包含在软盘中，却被感染了CIH不读，可现在就要用，呵呵！）。使用上述方法的缺点在于病毒体还将保留在可执行文件中，虽然不会起作用， 但是想起来可能会有点不舒服（记得“WPS2000测试版残留CIH病毒尸体”的事件么？）。所以，想彻底杀灭，推荐使用某些反病毒软件进行或是CIH专用杀毒工具（以上操作以及使用反病毒软件进行杀毒，必须使用干净的系统盘启动计算机）。

------------------------------------------------------------------------------------------------

CIH病毒是一位名叫陈盈豪的台湾大学生所编写的，从台湾传人大陆地区的。CIH的载体是一个名为“ICQ中文Ch_at模块”的工具，并以热门盗版光盘游戏如“古墓奇兵”或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。目前传播的主要途径主要通过Internet和电子邮件，当然随着时间的推移，其传播主要仍将通过软盘或光盘途径。CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，目前最流行的是v1.2版本，在此期间，据某些报导，同时产生了不下十个的变种， 不过好象没有流行起来的迹象，本人并未实际接触到这些所谓的CIH变种病毒。

CIH病毒的各种不同版本的随时间的发展不断完善，其基本发展历程为：

CIH病毒v1.0版本：

最初的 V1.0版本仅仅只有 656字节， 其雏形显得比较简单，与普通类型的病毒在结构上并无多大的改善，其最大的“卖点”是在于其是当时为数不多的、可感染Microsoft Windows PE类可执行文件的病毒之一，被其感染的程序文件长度增加，此版本的CIH不具有破坏性。

CIH病毒v1.1版本：

当其发展到v1.1版本时，病毒长度为796字节，此版本的CIH病毒具有可判断Win NT软件的功能，一旦判断用户运行的是Win NT，则不发生作用，进行自我隐藏，以避免产生错误提示信息，同时使用了更加优化的代码，以缩减其长度。此版本的CIH另外一个优秀点在于其可以利用WIN PE类可执行文件中的“空隙”， 将自身根据需要分裂成几个部分后，分别插入到PE类可执行文件中，这样做的优点是在感染大部分WINPE类文件时，不会导致文件长度增加。

CIH病毒v1.2版本：

当其发展到v1.2版本时，除了改正了一些v1.1版本的缺陷之外，同时增加了破坏用户硬盘以及用户主机BIOS程序的代码，这一改进，使其步入恶性病毒的行列，此版本的CIH病毒体长度为1003字节。

CIH病毒v1.3版本：

原先v1.2版本的CIH病毒最大的缺陷在于当其感染ZIP自解压包文件(ZIP self-extractors file)时， 将导致此ZIP压缩包在自解压时出现：

WinZip Self-Extractor header corrupt.

Possible cause: disk or file transfer error.

的错误警告信息。v1.3版本的CIH病毒显得比较仓促，其改进点便是针对以上缺陷的，它的改进方法是： 一旦判断开启的文件是WinZip类的自解压程序，则不进行感染。同时，此版本的CIH病毒修改了发作时间。v1.3版本的CIH病毒长度为1010字节。

CIH病毒v1.4版本：

此版本的CIH病毒改进上上几个版本中的缺陷，不感染ZIP自解压包文件，同时修改了发作日期及病毒中的版权信息(版本信息被更改为：“CIH v1.4 TATUNG”，在以前版本中的相关信息为“CIH v1.x TTIT”)，此版本的长度为1019字节。

从上面的说明中，我们可以看出，实际上，在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，其中v1.2版本的CIH病毒发作日期为每年的4月26日，这也就是当前最流行的病毒版本，v1.3版本的发作日期为每年的6月26日，而CIH v1.4版本的发作日期则被修改为每月的26日，这一改变大大缩短了发作期限，增加了其的破坏性。

CIH病毒发作时所产生的破坏性：

CIH属恶性病毒，当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：

1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。 最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！

2、某些主板上的Flash Rom中的BIOS信息将被清除。

------------------------------------------------------------------------------------------------

CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。据目前掌握的材料来看，这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。

目前传播的途径主要通过Internet和电子邮件。计算机病毒的传播已摆脱了传统存储介质的束缚，Internet和光盘现已成为加速计算机病毒传播最有效的催化剂。CIH病毒只感染Windows95/98操作系统，从目前分析来看它对DOS操作系统似乎还没有什么影响，这可能是因为它使用了Windows下的VxD（虚拟设备驱动程序）技术造成的。所以，对于仅使用DOS的用户来说，这种病毒似乎并没有什么影响，但如果是Windows95/98用户就要特别注意了。正是因为CIH独特地使用了VxD技术，使得这种病毒在Windows环境下传播，其实时性和隐蔽性都特别强，使用一般反病毒软件很难发现这种病毒在系统中的传播。

CIH病毒每月26日都会爆发（有一种版本是每年4月26日爆发）。CIH病毒发作时，一方面全面破坏计算机系统硬盘上的数据，另一方面对某些计算机主板的BIOS进行改写。BIOS被改写后，系统无法启动，只有将计算机送回厂家修理，更换BIOS芯片。由于CIH病毒对数据和硬件的破坏作用都是不可逆的，所以一旦CIH病毒爆发，用户只能眼睁睁地看着价值万元的计算机和积累多年的重要数据毁于一旦。CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒，同时也是最具杀伤力的恶性病毒。

从技术角度来看，CIH病毒实现了与操作系统的完美结合。该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向WindowsNT操作系统扩散。CIH病毒的这一技术特点给我们使用传统反病毒技术防治计算机病毒提出了巨大的挑战，这是因为我们所使用的传统反病毒工具基本上都是纯DOS或工作在Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。防治类似CIH这种能够与操作系统紧密结合的病毒最好的方法是使用本身能够与各种操作系统紧密结合的反病毒软件。