Win95.CIH

Очень опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением операционной системы Windows 95. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выравнена на определенное количество байт, обычно, не используемых программой. В такие области вирус и записывает части своего кода, «разбрасывая» их иногда по всему файлу (или по всем кодовым секциям). Также вирус может записать свою стартовую процедуру (процедуру, первой получающей управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.

При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и «собирает себя по частям» в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.

26 числа каждого месяца вирус уничтожает содержимое Flash BIOS, записывая в него случайные данные («мусор»). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.

В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG

Вирус Win95.CIH был написан в Тайване, распространялся автором этого детища в Интернет, и в настоящее время поразил большинство стран Юго-Восточной Азии, а также некоторые европейские страны (в частности, очень серьезно пострадала Швеция).