Variantes: 1.2 a 1.4

Virus de archivos

Infecta Archivos Ejecutables formato PE [Portable Executable] de Windows 95 y Windows 98.

Esta familia de virus, creada en el sureste de Asia, apareció por primera vez en Junio de 1998. Actualmente se conocen 3 diferentes variantes, de las cuales dos se han reportado "en el campo". Los virus infectan archivos ejecutables (de formato PE) de Windows 95 y Windows 98, más no ejecutables de Windows NT.

Los virus Win32/CIH son capaces de separar el cuerpo del virus y colocarlo en partes inusuales de los archivos infectados (Los archivos PE comúnmente contienen mucho espacio sin utilizar).

Los virus tienen una manfiestación muy peligrosa que se activa el 26 de cada mes. En esta fecha, tratan de sobreescribir el Flash-BIOS. Si el Flash-BIOS no tiene activa la protección contra escritura (la mayoría de las computadoras modernas no lo protegen) y el virus se activa, la computadora no podrá arrancar, ya que esta no tiene la información para hacerlo. Al mismo tiempo, los virus sobreescriben el disco duro con basura.

Los virus contienen las siguientes cadenas:

CIH v1.2 TTIT,.EXE

CIH v1.3 TTIT,.EXE,zip_

CIH v1.4 TATUNG,.EXE, nZip

Dr. Solomon’s FindVirus 7.86 es capaz de detectar estos virus, así como los drivers semanales fechados con el 19 de junio de 1998 (las variantes 1.2 y 1.3 son reportadas con el mensaje ‘like Win32/CIH’). Los drivers fechados al 26 de junio de 1998 identifican positivamente todas las variantes conocidas de este virus.

Más información sobre el Flash BIOS

Las computadoras más recientes, desde las 486 hasta las Pentium II tienen un Flash BIO. En la mayoría de las máquinas no hay una manera sencilla de saber si tiene Flash BIOS más que leer la documentación del fabricante o visitar su website ó servicio de soporte técnico.

Algunas computadoras tienen proección contra escritura desde el mismo hardware (a través de un Jumper en el motherboard), pero muchas no lo tienen, y aunque algunas tienen llamadas desde software para activar la protección, estas son facilmente eludidas.

Dependiendo del autor del BIOS o motherboard, se puede realizar un respaldo del BIOS, y si se sabe lo que hace, se puede recuperar de una situación con este virus, pero en la mayoría de los casos, el ataque de Win32/CIH puede ser catastrófico y requerirá que la máquina o el motherboard sea regresado al fabricante solicitando un reemplazo.

Los ingenieros de Dr. Solomon’s estan analizando actualmente diferentes códigos de BIOS y hardware y publicarán información más precisa, así como otros métodos para proteger el código del BIOS. Usted recibirá esta información conforme vaya siendo liberada.
 Usted podrá encontrar el extra-driver para este virus en www.drsolomon.com/vircen/extra