9月1日，公安部为一个病毒发布了一份通报，要求各
地计算机管理监察处严家防范一种新的病毒。随后中央电
视台在新闻时间播报了这一条消息。转眼间，多家防病毒
软件公司纷纷出手，宣布自己能安全杀除这一病毒。这个
病毒就叫：CIH。

　　CIH起风波

　　一时还说不清楚 CIH病毒是怎样传入我国的，记者查
到的惟一正式报道是《中国计算机报》9月3日的报道。文
章称：最近，电子艺界（ElectronicArts）在它的站点上
公布了它的游戏软件“飞行指挥员” （WingCommander）
的一个续集，供游戏爱好者免费下载，在这个游戏的一些
最初拷贝里染上了CIH病毒。据了解，国内在4月26日就有
人最早受到了CIH病毒的攻击。

　　CIH 病毒发作时 ，会改写一些特定品牌主板的 BIOS
（电脑上的一块只读存诸器），使其中的数据出错。一般
用户的电脑如果受到了CIH 病毒的攻击，就只好到主板生
产厂家去，由厂家用特殊的办法刷新BIOS。而对于那些生
产厂家在国内没有分支机构的主板，就只能报废了。 CIH
是岂今为止，惟一有效破坏硬件的病毒，也是有史以来最
为恶性的电脑病毒。

　　CIH与DIR2

　　如果仅凭 CIH的破坏能力，它还不能引起电脑软件业
如此的关注，CIH 之所以与一般病毒不同就在于它是一个
纯Windows病毒。CIH使用了Win95/98最先进的虚拟设备驱
动（VxD）编程技术，利用了 Win95/98可执行文件系统的
漏洞（而使用DOS、Win3.2 的用户不会受到这个病毒的攻
击）。CIH 开创了病毒技术的新思维，它一出现就突破了
所有病毒防火墙的阻挡，使那些“预防未知病毒”的宣传
再次沦为笑谈.

　　Win95 的出现使操作系统具有了极大的复杂性，喜欢
编写病毒软件的人不太了解 Windows系统，因而自1995年
以来，病毒技术没有太大的发展，绝大多数病毒只是在以
往病毒的基础上作一些改造。除此之外，网络的风行也使
一些病毒编写者的兴趣有所转移。CIH 的出现给所有的人
敲响了警钟：CIH 病毒的出现，说明已经有许多人像当年
了解DOS系统那样了解了Windows，他们可以从 Windows的
底层找到漏洞。用一个不太确切的词来形容：CIH 是继宏
病毒之后又一个划时代的作品。

　　这样的作品并不多，在宏病毒之前，只有一个病毒可
以与之媲美，它就是DIR2。

　　DIR2是一场大战的终结者。

　　1994年前后，瑞星公司推出了防病毒卡。是用防毒卡
好，还是用防毒软件好？是当时人们争论的热点之一。防
病毒卡插在电脑里，由于不可改写，没有病毒感染的危险，
但能否防住未知病毒却没有定论。防病毒卡的生产厂家认
为能够找到病毒的最基本特征，就能够防住所有已知和未
知的病毒。 DIR2 病毒的出现彻底打破了防病毒卡公司的
防线，它不具有以往人们认定病毒的明显特征，它改写了
DOS系统，使自己不被发现，但它确确实实是一个病毒。

　　于是，防病毒卡一落千丈，而王江民的 KV300系列却
脱颖而出，以其开放性和快速更新成为杀病毒市场上的盟
主。

　　CIH：大洗牌的开始？

　　KV300一直在升级（差点升到Z＋＋版），也凭此获得
了用户的信任，销售达到20万套左右。但无法改变的现实
是，KV300一直都是一个DOS下的程序。王江民告诉记者，
早在7月份，KV300就将能够安全删除 CIH病毒的新版本放
到了网上，用KV300完全可以彻底杀除CIH，但这并不意味
着 KV300可以稳坐杀病毒软件的第一把交椅，因为竞争者
已经来了。

　　公安部下属企业中国金辰安全技术公司一直是国内杀
病毒软件市场上的劲旅，其产品 KILL也广为人知。8月份，
美国CA公司宣布与金辰公司合资，成立新的冠群金软件开
发公司。CA公司的杀病毒产品的排名一直在世界前五位，
而CA本身又是世界第二大软件公司，仅次于微软。CA的介
入使得KILL实力大增，日前，KILL98认证版获得了国内外
大大小小机构的认证标识多达12个，这使得KILL98的声誉
直线上升。KILL成了KV300有力的挑战者。

　　然而，KV300也并未沉寂。虽说从 KV200升级到KV300
后，王江民的KV系列一直没有质的变化，但据江民公司透
露，今年内他们将同一家世界著名杀毒软件公司合作，双
方共同推出KV300系列的新产品，介时，KV300将变成一个
跨平台的网络杀毒软件，可以同时在Win98/NT和UNIX等系
统上全方位防杀病毒。

　　CIH病毒预示了Windows杀病毒软件时代的到来。谁能
克敌制胜，谁就能成为时代娇子。

　　附：CIH怎样破坏BIOS

　　CIH对BIOS的破坏，也并非想象中的那么可怕。要认
请这点，我们先得简要介绍一下BIOS。

　　现在我们所使用的PC机基本上使用两种只读存储器存
放BIOS数据，一种是使用传统的ROM或EPROM，另一种就是
E2ROM。厂家事先将 BIOS 以特殊手段，“烧”入（ 又称
“固化”）到这些存储器中，然后将它们安装在 PC机里。
当我们打开计算机电源时，BIOS中程序和数据首先被执行、
加载，使得我们的系统能够正确识别机器里安装的各种硬
件并调用相应的驱动程序，然后硬盘再开始引导操作系统。

　　固化在ROM或EPROM的数据，只有施加以特殊的电压或
使用外线才有可能被清除，这就是为什么我们打开有些计
算机机箱时，可能会看到有块芯片上贴着一小块银色或黑
色纸块的原因一防止紫外线清除BIOS数据。要清除存储在
这类只读存储器中的数据，仅靠我们计算系统内部的电压
不够的。所以，仅使用这种只读存储器存储BIOS数据的用
户，就没有必要担心CIH会破坏BIOS。

　　但最新出产的计算机，特别是 Pentium以上计算机基
本上都使用了E2POM 存储部分BIOS。E2PROM又名“电可改
写只读存储器”一般情况下这种存储器中的数据并不会被
用户轻易改写，但只要施加以特殊的逻辑和电压，就有可
能将E2PROM中的数据改写掉。使用 PC机的CPU逻辑和计算
机内部电压就可轻易实现对E2PROM的改写这正是我们通过
软件升级BIOS的原理，也是CIH破坏BIOS的基本方法。

　　改写E2PROM的数据是需要一定逻辑条件的，不同的PC
机系统这种条件可能并不相同，所以 CIH并不会破坏所有
使用E2PROM存储的BIOS的主扳，前面已经说过，目前报导
的只有几种5V主板，这并不是说这些主扳的质量不好，只
不过E2PROM逻辑正好与CIH吻合，或者CIH的编制者也许就
是要有目的要破坏某些品牌的主扳。

　　所以，要判断 CIH对您的主扳究竟有没有危害，首先
应该判别您的 BIOS是仅仅烧在ROM/EPROM之中，还是有部
分使用了E2PROM。如果您的主板BIOS恰好使用了E2PROM而
且又是5V板子，就要特别留心了。

　　需要注意的是，虽然CIH并不会破坏所有BIOS，但CIH
在“黑色”的26日摧毁硬盘所有数据远比破坏BIOS要严重
得多——这是每个感染CIH病毒的用户都要重视的。

　　（摘自1998年11月26日《电脑日报》）