本來的 ICQ 中文化檔案沒有病毒，但是...

交叉傳播的結果，竟然收到回報：也有病毒了！病毒的名稱是現在網路上很普遍的 CIH 病毒。
 

據報，有些正在流通的 ICQ 中文化有病毒！這震驚了我！經過我的調查，原本我放上來的檔案是沒有病毒的，但是，經過一流通，卻讓有些人的 ICQ 中文化檔案感染了。除了感到痛心，也請大家小心！！如果您沒有感染上，那恭喜您，不過請繼續保持注意！您還是可能被其他檔案感染的！  也就是說，傳染的途徑可能是這樣的  沒有病毒的原始 ICQ 中文化 -> 被人抓下來使用 -> 感染病毒上去 -> 又被放上網路  所以從那一站起，無辜的 ICQ 中文化就帶病毒了！  這麼說來，不只 ICQ 中文化，有很多檔案都有感染，只是ICQ 中文化比較有警覺而已。

1. 不要因為 ICQ 中文化作者比較有警覺，就反而把病毒都推給 ICQ 中文化！  2. 根據瞭解，網路上感染病毒的 ICQ 中文化，不到 1%！反而 WinAMP SP1、所謂 Win98SP1 才多！Win98SP1 根本就有問題！  3. 網站上早就有完整的報導了，如何解毒、誰能解毒，都說明得很清楚了！  ICQ 中文化流傳得很廣、很快，我擔心這樣下去，少數有意或無意放置含病毒的檔案會到處流傳，才盡快的公告出來，請大家注意，沒想到竟然給人家的印象反而變成有點『罪魁禍首』，唉！二度傷害啊..........

一時之間，沒有一個掃毒軟體可以發覺，甚至連 PC-cillin 也感染上病毒了，Norton AntiVirus 也因為病毒感染無法啟動，Zlock 宣稱可以抓到，經過測試還是無法作用。所謂『防止未知病毒感染』頓時間變成了神話，所有的廣告似乎都不攻自破。這一切都是因為 CIH 病毒使用先進的寫法所致，在令人厭惡之際，也不禁對自稱為大同工學院的 CIH 感到佩服。 :-(
 

病毒流傳初期經過測試，  Norton antivirus 4.0 + 五月份病毒碼  ZLOCK BEST 98  PC-cillin 新世代版 + 病毒碼 371  McAfee VirusScan V3.16E for Windows 95  都沒有辦法找出病毒的蹤跡，甚至掃毒軟體也因此感染病毒。

於是網路之間爭相走告，至少用字串搜尋法還可以看到一些端倪，在許多人忐忑不安的測試下，發覺一經感染，早就已經迅速蔓延開來了。短短的幾天，網路上充斥著一股陰霾，兩週下來，終於...

病毒得以掃除！

淡江大學的翁世豪寫了新版的SSCAN，可以掃除 CIH 病毒了！這是經過測試，最好用的程式了。

緊接著，PC-cillin 也宣稱病毒碼 372 也具有偵測 CIH 病毒的能力，雖然還沒有公布，但歡迎索取；並同時推出 DOS 介面的掃毒程式。

Norton Avtivirus 也在 6/6 推出最新病毒碼，可以偵測到 CIH 病毒。

同一個時間，CIH 病毒的作者也發表聲明，公開向社會道歉，並寫了能『免疫』的『疫苗』：
 

──────── 轉載文字 ───────   相信不少人很想砍我... ~~~>_<~~   我現在說什麼都沒用, 實在很抱歉...   對不起...   但有些事情要交代一下, 因為那些只會打著華麗騙人廣告的防毒公司沒交代清楚, 很容易造成更大的災害...   什麼人工智慧, 防未知病毒入侵, 全是唬爛...   防毒公司的廣告... 根本就是騙人的... 這次的事件, 就可以看得出來...   【目前的版本】   市面上有 v1.2 v1.3 v1.4   至於 v1.0 v1.1 則沒流到市面上...      【各版的特性】   v1.0 : 感染後, 檔案變大, 沒破壞力.   v1.1 : 感染後, 檔案不會變大, 沒破壞力.   v1.2 : 感染後, 檔案不會變大, 具破壞力.   v1.3 : 感染後, 檔案不會變大, 具破壞力. 同時不感染部份自解檔.   v1.4 : 感染後, 檔案不會變大, 具破壞力. 每月 26 日發作, 對所有自解檔都不感染.   目前的版本, 即使在 NT 環境下跑,   也不會發生錯誤, 但在 NT 下失去病毒的所有作用...   【發作時間】   (1) 如果中的是 v1.2 及 v1.3 版的話, 每年的 4/26 會發作...   (2) 但如果中的是 v1.4 版, 則每個月的 26 日會發作...   【在 Windows 95/98 發作的樣子】   (1) 硬碟狂奔... 所有硬碟資料不見... 必須重新 fdisk...   (2) 部份廠牌只需 5V 即可 reflash 的 BIOS EEPROM(如 : SST), 則會被清掉...造成無法開機... 只有送去維修或是用 IC 燒錄器重新把資料燒回去...想企圖用軟體從重新燒錄, 將會發現 reflash 程式誤判 EEPROM 型號, 導致無法燒入...   至於需要調 jumper 才可以 reflash 的 12V BIOS EEPROM, 則無法破壞(實際上, 我也沒試過...)   至於真的能洗掉 BIOS 資料嗎 !? 其相容性, 我不很清楚... 但我試過兩種主機板, 技嘉以及微星... 發作時, 確實可以...   那些以前抱著世界上根本沒有 BIOS 病毒的人, 現在大概不敢吭聲... 雖然這隻病毒沒寫入病毒碼在 BIOS 裡面, 而只是填入垃圾資料到 BIOS, 就足以證明, 部份 BIOS 可能會被病毒清掉其程式, 甚至被病毒感染...   這大概也是全世界第一隻能破壞 reflash BIOS 的病毒...   【如何發現自己已經中毒】   一般來說(這些方法並不一定能找到所有中毒的檔案, 可能少數找不到), 用 UltraEdit 開啟 C:\Windows\Notepad.exe, 然後查詢 CIH v1. 的字串... 若發現此字串, 就代表系統中標了...   此時系統已經藏有病毒... 千萬不要照著 Virus 版的方法, 跟白癡一樣, 再全部搜尋所有執行檔, 檢查有無這個 mark, 那只會擴大病情... 等你搜尋完後, 本來沒中的檔案, 也都中完了...   至於 Notepad.exe 沒找到這個字串, 則代表系統沒中毒... 這時才可以放心的用軟體搜尋完所有執行檔, 看看哪幾個新抓回來的檔案有毒...   其實目前更好的辦法, 可以到 Virus 版拿新出來的偵毒/解毒程式...   【如何偵毒/解毒】   在各大 BBS 站的 Virus 版, 就會有找的到... 各版本的解毒, 似乎都存在某些問題...   以 SSCAN 來說, 作者似乎沒把 SECTION TABLE, 以及病毒感染做的 mark 還原, 這將會造成 teleport, 自解檔, 等軟體在進行自我檢查是否有被修改時, 會發現被修改, 導致無法順利執行...   大概這樣子... 其他的解毒... 沒信心用... :(   中了 v1.4 版的人, 千萬記住每個月的 26 日會發作...   大概這樣子... 其他的解毒... 沒信心用... :(       盡快拿解毒程式解毒...   大同工學院 CIH 6/6

並協助 SSCAN 寫最新的掃毒軟體：
 

《２.２０S (特別版)》 �Q1998.06.06�R   一. 更版說明:   1. 修改 CIH 系列病毒偵/解毒模組。   (可解 CIH v1.2/v1.3/v1.4)   二. 作者的話:   SSCAN v2.10s 版經過一天多大家的使用，並告訴我一些的問題，做了此次的改版。(看來中毒的人不少，我的信箱信件不斷 :Q)   本次改版中特別針對 WinZip 自解檔在被感染後會不能執行的問題做徹底的解決。但是也許會有少數會自我偵測是否被更改的程式在解毒後仍然會說自己被修改過了.. 這是由於 CIH 病毒對原始檔案的資料並沒有完全保留，雖然這版盡力去把所有的資訊算回來還原，但仍然有 1 個 BYTE 無法算回來，這個部份我不敢冒然去猜測，只有針對 WinZip 的自解檔及 Teleport 程式來處理。   所以說 WinZip 的自解檔在這版解毒後將可以 100% 還原，其它檔案因無法一一針對，而因為那個無法還原的 1 BYTE 的關係本版 SSCAN 也不會將病毒的 MARK 還原(1 BYTE 不同和 2 BYTE 不同沒啥差別，要不就全部還原，要不也差不到那一二 BYTE)，如此保留解毒後的檔案不會再被 CIH 病毒感染(免疫)。   PS.注意，因 WinZip 的自解檔及 TELEPORT 為 100% 還原，連同病毒的MARK 也去除了因此解毒後不具免疫的能力！   **** 另外，此次改版 CIH 病毒的作者參與解毒的討論，他後悔自己做錯事讓大家困擾，也深感抱歉，並很有誠意的提供包含原始程式在內的許多資訊幫助此版解毒程式的製作。   既然事情已經發生，該毒作者也深表悔意，希望這件事能平和的結束，並希望類似的事件永遠不要再發生!!      PS. 2.10s 版中的日期誤打為 98/06/06, 應該為 98/06/05   如果您使用上有任何問題，歡迎 e-mail 至 u4510830@tknet.tku.edu.tw   by 翁世豪 (Shi-hao Weng)   --   ---[ ＳSCAN (偵/解)已知未知巨集病毒 & (偵測)一般病毒 & 變體引擎等 ]----下傳 SSCAN v2.20s 特別版 <98/06/06> 可至:   ftp://ftp.tku.edu.tw/OS/dos/anti-virus/sscan/ss980606.exe   http://tknet.tku.edu.tw/~u4510830 or http://sscan.yeah.net   -----------------------------------------------------------------[PD]--   Shi-hao Weng E-mail: u4510830@tknet.tku.edu.tw

一個戲劇性的、超強的病毒，宣告走進尾聲。
 
有一點牢騷的是，有網頁上說，『趨勢科技獨家首先提出PE_CIH解藥』？實在令人不大敢恭維，率先提出解決方案的，是一位還在當兵網友，率先寫出有效防毒的，是 SSCAN，而日昨趨勢公司還在電視新聞上要大家要用『搜尋字串』的方式找毒，不知情的觀眾一定會被有毒的檔案總管感染得更深............，唉！我已經拒絕使用這有效但廣告誇大的軟體了！因為這次它並沒有及時發揮『偵測未知病毒』的功能！自己也被病毒肆虐！

但是，我覺得趨勢公司以及 Norton 專注於這個問題，並盡力的找出解決的方案，這樣負責任的精神，的確值得我們讚揚與鼓勵的！

我為無辜的 ICQ 中文化感到難過，也提醒您要時時備份自己重要的資料，更要提醒您，下載檔案一定要從可靠的地方下載才行，現在的病毒真是太可怕了。

一抹淺藍
ec@ms1.palmary.net.tw