Win95/CIH・・・・・ハードウェアを破壊するウイルスの出現。

1998年8月27日、一部内容変更(発病日についてと、内部文字列のこと)
1999年4月23日、駆除プログラムのアップロード


W95/CIH 駆除プログラム(2000/10/17)
追加情報(1998/8/26)


1998年6月中旬頃から、かなり危険なウイルスがその被害を海外で広めてきており、対策が望まれる。

 Win95/CIHと呼ばれるこのウイルスは、Windows95 上の実行ファイルに感染し、メモリに常駐するタイプのもので、発病するとハードディスクの内容と、パソコンの種類によってはマザーボード上のバイオスROMの内容を破壊する。
特に、バイオスROMを破壊された場合、そのパソコンは2度と起動することはできなくなる。ハードディスクからも、フロッピディスクからも。

 発病日はWin95/CIHのバージョンによって異なるが、4月26日のもの、6月26日のもの、毎月26日のものがある。

 この被害にあう可能性のあるパソコンは、ペンティアムもしくは、その互換プロセッサを搭載し、インテル430TXチップセット(か、その互換チップ)を利用したパソコンのうちの一部である。このチップセットを使ったパソコンは、1996年あたりから現在に至るまで販売されており、かなりの台数があると思われる。

 もともとマザーボード上のバイオスROMは4年ほど前から、バージョンアップを容易にするために、フラッシュROMと呼ばれる、電気的に消去・書込可能なROMが利用されていた。
通常はバイオスのアップデートユーティリティを使って、バイオスプログラムを書き換えるのだが、フラッシュROMが書き込み可能な状態になっている場合、Win95/CIHウイルスによって無意味なデータで上書きされてしまう可能性がある。
上書きされるのは、ブートブロックと呼ばれる部分で、パソコンの起動に絶対に必要な−すなわち致命的な−場所である。

 ウイルス対策をせずに発病日を迎え、バイオスROMが破壊されてしまった場合、パソコンは全く起動できなくなる。
充分な対策を行い、そんな悲劇的な状況だけは、避けたいものである。

Win95/CIHウイルスについて

ウイルス概要:
このウイルスはWindows95/98の32ビットアプリケーションに感染するファイル感染型ウイルスです。
感染ファイルを実行すると、メモリに常駐し、WindowsシステムのIFS APIをフックして、ファイルオープンされた他のプログラムファイルに感染します。
ファイル感染はファイル中の未使用領域に対して行われるために、感染ファイルのサイズが増加することはありません。したがって、ファイルサイズを確認する方法では、ウイルス感染を見分けることはできません。

このウイルスには4つのバージョンが確認されており、そのうち3種は下記の特定日

 CIH ver1.2  4月26日
 CIH ver1.3  4月26日もしくは6月26日(オリジナルのver1.3は4月26日で、6月なのは改造品種らしい)
 CIH ver1.4  毎月26日

に発病します。バージョン番号は感染ファイルをダンプ表示(バイナリエディターやデバッガーなどで内部を表示する)すると、

 CIH v1.2 TTIT
 CIH v1.3 TTIT
 CIH v1.4 TATUNG

といった文字が入っています。ウイルスの感染・認識確認方法として正しい方法とは言えませんが、目安程度にはなるでしょう。
(なぜなら、ウイルスでなくても、ウイルスについて書かれた文書ならこの文字は含まれていますし、逆に文字を書き換えて流通させる人もいるからです)

発病内容は次の2つです。

1.ハードディスク内容を破壊します。
 発病した瞬間に、フリーズしてハードディスクアクセスランプが点灯したままになります。(実験済み)
 ハードディスクを無意味なデータで上書きするため、ディスクのほとんどすべての内容を失います。(Win95/CIH version1.4で実験)
 即座に電源を切れば、ディスクの後半部分のデータはサルベージできるかもしれませんが、非常に困難です。

2.フラッシュ・バイオスROMの内容を破壊します。
 コンピュータが使用しているチップセットが、インテル430TXかその互換チップの場合には、バイオスROMのブートブロックに無意味なデータを上書きして、内容を破壊します。
 フラッシュバイオスロムの内容が破壊された場合、そのコンピュータを再び起動することは不可能となり、ロムの交換などの修理が必要となります。コンピュータは起動できなくなるので、バイオスのアップデートユーティリティも使用できなくなり、修復は不可能です。



このウイルスの対策
このウイルスが発病してバイオスROM内容が破壊された場合、修復はROMの交換、あるいはROM書き込み装置を用いて修理するしか方法がありません。
したがって、発病前にワクチン等を利用してチェックするのが、もっとも適切な対策といえます。
特に発病日の26日前日までには1度以上ウイルスチェックをする必要があります。
また、できるならば、念の為にバイオスの「書き込み許可/不許可選択ジャンパースイッチ」は書き込み不可能な状態にしておくべきでしょう。
(ただしマザーボードによって場所が異なりますし、存在しない場合もありますから、マニュアル等で確認が必要です)


運悪く、被害にあった場合は:
そのパソコンにメーカーの保証がある場合は、迷わずそちらに連絡するのがよいでしょう。
特にノートパソコンなどでは、ROMはハンダづけされている場合があり、交換も不可能なので、修理扱いでメーカーに送るしか方法はありません。
ただし、有償修理の場合、修理費は、かなり高額になる場合があります。


Win95/CIHウイルスを発見可能なアンチウイルス製品について:
直接、各社の方からお聞きした情報です。
ただし、Win95/CIHウイルスの発生確認が6月ですから、それ以降の、できるだけ新しいバージョンを利用してください。

 ・シマンテック社、ノートンアンチウイルス

 ・データフェローズ社[(株)山田洋行 扱]、F-SECURE Anti Virus 4.01 (AVPエンジン)

 ・ネットワークアソシエイツ社、ウイルススキャン
  (要Beta DATA file。駆除は単体プログラムを用意)

 ・ソフォス社[(株)シー・エス・イー 扱]、Anti−Virus SWEEP
  (最新IDEファイル:アップデートデータファイル をホームページに用意)