ウイルス情報

ウイルス名 危険度

W95/CIH.1003

企業ユーザ: 低
個人ユーザ: 低

種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4002 (現在7634)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 Chernobyl, CIH v1.2, W32/CIH.Spacefiller, W95/CIH.1003a, W95/CIH.1003b, W95/CIH.1003c, W95/CIH.1003d, W95/CIH.1003dr, W95/CIH.1003e, W95/CIH.1003f, W95/CIH.1049, Win95.CIH, Win95/CIH.1003
亜種 W95/CIH.1019, W95/CIH.1010, W95/CIH.1122
情報掲載日 98/07/01
発見日(米国日付) 98/07/01
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
  • 2003年5月29日更新情報

    4267定義ファイルから、W95/CIH.remnants を検出するようになりました。
    これには他のベンダーによって検出されるW95/CIHの害の無い残り物の検出、駆除の機能が含まれています。


  • このウイルスは、東南アジアで作成され、98年6月に報告されました。現在のところ三種類の亜種が報告されており、うち2種は、実際に被害報告があがっています。CIHは、Windows95のPE型実行形式ファイルファイルに感染します。別名の中の一つ”チェルノブイリ”は、1986年4月26日に起きました同名のチェルノブイリ原発事故を指しています。

  • CIHは、ウイルスコードの本体を分割することができ、それを感染ファイルの非使用部分に、埋め込みます(注:PE型実行形式ファイルには、通常、多くの未使用部分が含まれています)。

  • 本ウイルスには、毎月26日にフラッシュBIOSの上書きを試みるという、きわめて危険な発病機能が含まれています。フラッシュBIOSが書き込み可能状態になっているマシンでCIHが発病した場合、(フラッシュBIOSを搭載した最近のコンピュータはたいていこの設定になっています)マシンは起動不可能になってしまいます。この他、ハードディスクをごみデータで上書きするという発病も同時に発生します。

  • このウイルスは、下記の文字列を持っています。

    CIH v1.2 TTIT


以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • 感染ファイルサイズが増加する。

  • このウイルスの亜種の発病日は以下のようになっています。

    • .1003 - (4/26発病)
    • .1010 - (4/26発病)
    • .1019 - (毎月26日発病)

  • 発病日にハードディスクのセクターを上書きしようとし、フラッシュ BIOS が書き込み可能状態になっているマシンでは、BIOS も上書きしようとします。


感染方法

  • このファイル感染ウイルスが、コンピュータに感染する唯一の手段は、コンピュータ上での感染ファイルの実行です。感染ファイルは、フロッピーディスク、オンラインサービスによるダウンロード、およびネットワークなど、多数のソースから生じることが考えられます。いったん感染ファイルを実行すると、ウイルスが発動するおそれがあります。


亜種情報

    亜種名種別相違点
    W95/CIH.1019ウイルス毎月26日発病
    W95/CIH.1010ウイルスほぼ同じ
    W95/CIH.1122ウイルス