名气最大的5个病毒 1998年 第35期 05版 #1台湾一号病毒   台湾一号病毒会在每月的13日影响你正常使用WORD文档和编辑器。它包含三个病毒宏:AutoClose、AutoNew、AutoOpen。   表现与危害:在每月13日,若用户使用Word打开一个带毒的文档(模板)时,病毒会被激发,激发时的现象是:在屏幕正中央弹出一个对话框,该对话框提示用户做一道算术题,如做错,它将会无限制地打开文件,直至内存不够,Word出错为止;如算术题做对,会提示用户“什么是巨集病毒(宏病毒)?”,回答是“我就是巨集病毒”,再提示用户:“如何预防巨集病毒?”,回答是“不要看我”。 #1DIR-Ⅱ病毒   1992年出现的DIR-Ⅱ病毒,曾经使几乎所有的查杀毒工具失效。   它不改变带毒程序的文件长度,也不改变带毒程序的日期和时间,如果用无病毒系统软盘引导机器,去查看文件名和字节数,都没有变化。再打开染毒盘中的.COM和.EXE文件看,开头1024、2048字节全是该病毒的代码,其后也不是原文的内容。原文的内容被病毒隐藏。如果进行COPY拷贝,就把.COM和.EXE文件都拷贝成了1024、2048、4096字节长的文件,其内容全是病毒的代码。如果我们这时轻易地用备份的.COM和.EXE文件去覆盖硬盘中某个文件,也就是说,将病毒覆盖死,那么这一步是有点错上加错了。这时,再查看染毒盘上其它文件的内容,都变成了刚覆盖进去的文件内容,病毒也被覆盖掉了。这是DIR2病毒与文件同归于尽、我死你也活不成的罪恶伎俩。 #1幽灵病毒   被国内外防病毒专家称为多维变形的“幽灵病毒”,最早产生于美国,其特点是每种病毒可变化出6万-4000亿个型态,像幽灵一样无处不在,危害极大。   表现:计算机启动过程较慢   危害:病毒活动期间,它把硬盘各柱面用一随机数加以加密,使硬盘本身的使用完全依赖于该病毒的存在。如把“幽灵”病毒加以强行清楚,或以干净的软盘启动,则硬盘数据无法使用,要是这时对硬盘进行读写,则会使硬盘数据混乱,即其中一部分的数据是加密的,而另一部分数据则是不加密的,从而使之无法再加以恢复。因而这种病毒的危害极其严重。 #1米开朗基罗病毒   英文是Michelangelo,于1991年4月被发现。估计来自瑞典或荷兰,是一个恶性的引导区型病毒。   与其它引导区型病毒一样,米氏病毒也是驻留内存的,占640KB之内的2KB高端内存。感染软盘的DOS引导扇区和硬盘的主引导扇区。对高密度和低密度的软盘,米氏病毒在感染时,都将原引导扇区回写到软盘中,但扇区位置是不一样的。   当3月6日启动PC机时,米氏病毒将会发作,除了像本来一样进行传染外,还将把硬盘和当时插在软驱中的软盘数据破坏掉。这种故意破坏性写盘的病毒就是恶性病毒。米氏病毒在PC机用户中造成的影响是巨大的。每当3月6日来临时,世界各国的报刊和电台就发布消息警告使用PC机的人们,要么在那天不要开机,要么把计算机的日期调过3月6日,以避免由米氏病毒造成的损失。 #1CIH病毒   CIH是一个纯粹的Windows95/98病毒,这个病毒很独特地使用了WindowsVxD(虚拟设备驱动程序)技术;该病毒发作时,硬盘一直转个不停,所有数据都被破坏,硬盘分区信息也将丢失;再有就是CIH病毒发作时也可能会破坏某些类型的主板上的电可改写只读存储器(EPROM)的BIOS。但CIH对BIOS的破坏,也并非想象中的那么可怕。要认清这点,我们先得简要介绍一下BIOS。现在我们所使用的PC机基本上使用两种只读存储器存放BIOS数据,一种是使用传统的ROM或EPROM,另一种就是EEPROM。厂家事先将BIOS以特殊手段,"烧"入(又称"固化")到这些存储器中,然后将它们安装在PC机里。当我们打开计算机电源时,BIOS中程序和数据首先被执行、加载,使得系统能够正确识别机器里安装的各种硬件并调用相应的驱动程序,然后硬盘再开始引导操作系统。   固化在ROM或EPROM的数据,只有施加以特殊的电压或使用外线才有可能被清除,这就是为什么我们打开有些计算机机箱时,可能会看到有块芯片上贴着一小块银色或黑色纸块的原因--防止紫外线清除BIOS数据。要清除存储在这类只读存储器中的数据,仅靠我们计算机系统内部的电压不够的。所以,仅使用这种只读存储器存储BIOS数据的用户,就没有必要担心CIH会破坏BIOS。   但最新出产的计算机,特别是Pentium以上计算机,基本上都使用了EEPROM存储部分BIOS。EEPROM又名“电可擦只读存储器”,一般也称为Flash ROM,通常这种存储器中的数据并不会被用户轻易改写,但只要施加以特殊的逻辑和电压,就有可能将EEPROM中的数据改写掉。使用PC机的CPU逻辑和计算机内部电压就可实现对EEPROM的改写,这正是我们通过软件升级BIOS的原理,也是CIH破坏BIOS的基本方法。   改写EEPROM的数据是需要一定逻辑条件的,不同的PC机系统,这种条件可能并不相同,所以CIH并不会破坏所有使用EEPROM存储的BIOS的主板,目前只有几种5V主板(这并不是说这些主板的质量不好)其EEPROM逻辑正好与CIH吻合,或者CIH的编制者也许就是要有目的地破坏某些品牌的主板。所以,要判断CIH对你的主板究竟有没有危害,首先应该判别你的BIOS是仅仅烧在ROM/EPROM之中,还是有部分使用了EEPROM。如果你的主板BIOS恰好使用了EEPROM而且又是5V板子,就要特别留心了。   需要注意的是,虽然CIH并不会破坏所有BIOS,但CIH在"黑色"的26日摧毁硬盘所有数据远比破坏BIOS要严重得多--这是每个感染CIH病毒的用户不可避免的。