W95/CIH er ifølge sikkerhetsekspertene et utbredt og svært destruktivt datavirus.
- CIH-viruset er det mest destruktive dataviruset som er spredt hittil. Det har dessverre også vist seg å være uvanlig spredningsdyktig og er nå blant de mest utbredte virus både i Norge og i utlandet. Over halvparten av innmeldte virusangrep i Norge i de siste månedene skyldes dette ene viruset, opplyser datavirusbekjemperne i børsnoterte Norman ASA på sine internettsider.
Konkurrenten PDI, som forhandler antivirusprogramvare fra DataFellows, advarer på sine websider også sterkt mot en kommende blåmandag for de som slurver med datasikkerheten. "Som vanlig" kan Mac-brukerne føle seg trygge - viruset fungerer bare for Windows 95 og Windows 98. Brukere av DOS, Windows 3.x eller Windows NT har i utgangspunktet heller ingen ting å frykte, men det er grunn til å gjøre NT-brukere oppmerksomme på at infiserte filer kan lagres på Windows NT-systemer, selv om det ikke kan infisere under NT eller gjøre noen av sine destruktive handlinger der.
Dersom din Windows-PC er infisert av viruset vil det slå til på 26. april ved at det overskriver alle data på harddisken din. Dessuten vil viruset gjøre et forsøk på å ødelegge maskinens oppstartsprogram på BIOS-brikken på hovedkortet. Lykkes viruset med dét er det ikke stort annet å gjøre enn å bytte ut BIOS - slik sett er CIH det første viruset som angriper og greier å ødelegge deler av selve maskinen.
Norman forklarer på sine nettsider i detalj hvor destruktivt viruset fungerer: "CIH-viruset har en dobbelt destruktiv aktiveringsmekanisme. Det ødelegger data på harddisken, og det forsøker å overskrive Flash-Bios minnet i maskinen. Viruset overskriver data på alle installerte harddisker, inkludert master boot record (MBR), system boot sector (SBS), file allocation table (FAT) og data. Bare dette er nok til at man vanligvis ikke kan rekonstruere dataene på maskinen etterpå. Som om dette ikke var nok, forsøker CIH (og lykkes ofte) å overskrive Flash-Bios. Flash-Bios minnet inneholder informasjon som maskinen bruker ved oppstart; det er dette minnet som benyttes når maskinen f.eks. ser etter en oppstartsdiskett eller installert harddisk. Når dette minnet blir overskrevet av CIH, kan ikke maskinen engang startes fra oppstartsdiskett - en er nødt til å fysisk erstatte biosbrikken. På enkelte hovedkort er flash-bios brikken fastmontert og en er nødt til å bytte hovedkortet på maskinen."
CIH-viruset er på omtrent 1 kilobyte og installerer seg i Windows-minnet og infiserer EXE-filer som kjøres eller åpnes.
Selve aktiveringen av viruset skjer på bestemte datoer, alt etter hvilke variant man er infisert med. Den mest vanlige versjonen i Norge er W95/CIH.1003 (eventuelt W95/CIH.1010.A eller W95/CIH.1019.B eller W95/CIH.1026) som altså aktiveres hvert år på datoen 26. april - det vil førstkommende mandag. Andre varianter av viruset slår til hvert år den 26. juni (W95/CIH.1010.B) og på den 26. i hver måned (W95/CIH.1019.A og W95/CIH.1035)
W95/CIH er ikke enkelt å oppdage fordi det kopierer sine instruksjoner i hulrom i filer, eller ubrukte deler av programmer som allerede er lastet på brukerens datamaskin. Den beste beskyttelsen mot viruset er et oppdatert antivirus-program, og at du følger det gamle gode rådet om ikke å åpne epost-vedlegg.
Det finnes verktøy som detekterer og fjerner viruset - her er noen streifetips:
På denne siden hos DataFellows er viruset beskrevet og her finner du også en spesialversjon for å identifisere og fjerne viruset.
Også Network Associates' A.V.E.R.T-sider - som står for Anti-Virus Emergency Response Team - finner du god informasjon om viruset og botemiddel-råd.
Norske Norman er også på ballen - informasjon fra denne siden danner mye av grunnlaget for digi.nos artikkel og herfra kan du laste ned en 30 dagers prøveversjon av selskapets antivirusprogramvare.
