Målet til CIH-virus er ifølge eksperter IT Week har vært i kontakt med, å paralysere PC-ens BIOS (Basic Input/Output System). Dette kan gjøres på alle PC-er som har såkalt flash-BIOS og hvor muligheten til å skrive til denne er skrudd på.
Viruset, som trolig stammer fra Sørøst-Asia, fungerer kun sammen med Windows 95/98. Brukere av Windows NT vil ikke bli påvirket.
Viruset er laget for å angripe den 26. hver måned. Dette gjør viruset ved å overskrive sin medbragte last over i BIOS-en. Ifølge Graham Cluley, teknisk seniorkonsulent ved Dr Solomon's, kan viruset samtidig overskrive harddiskene på maskinen med uleselig kode.
- Vi har aldri sett et virus som kan gjøre dette før, sier Cluley til IT Week.
- Det skal nå være tre kjente utgaver av dette viruset, hvorav minst to finnes utenfor laboratoriene.
Selv om det er kjent at viruset aktiveres én gang i måneden, er det ikke kjent om det kan kopiere seg selv. Viruset er av en såkalt programparasittisk type, det vil si at det delvis kan skjule seg selv i ubrukte deler av kjørbare Windows-filer (*.EXE). Selv om innholdet i filen endres, skal filstørrelsen forbli den samme. Viruset kan også dele seg opp i flere deler hvis det ikke finnes ledige områder i den eksekverbare filen som er store nok til å romme hele viruset. Alt dette gjør at det er svært vanskelig å oppdage viruset.
Likevel tilbyr blant annet Dr Solomon's programvare som kan oppdage viruset, men foreløpig har ingen kommet med noen kur.
Det finnes likevel én måte å unngå viruset på: De aller fleste hovedkort i dag har flash-BIOS, det vil si at brukeren selv kan oppdatere BIOS-en ved hjelp av programvare. Denne muligheten skal det være mulig å skru av, hvis den i det hele tatt er skrudd på. Dette vil forhindre at viruset i å angripe, men det vil fortsatt kunne ligge i en eller flere av dine eksekverbare filer. Der ligger det og venter på neste gang du glemmer å stenge skrivemulighetene til BIOS etter at du har oppgradert den.
NB! Siste: Norman Data Defense har kur (se relatert artikkel - "CIH-viruset kan fjernes" - i margen til høyre).
