發信人: sscan.bbs@aidebbs.edu.tw (Shi-hao Weng), 信區: virus
標  題: SSCAN 公告 (98-06-06)
發信站: 臺灣學術網路 BBS 實驗站 (Sat Jun  6 17:47:10 1998)
轉信站: cis_nctu!news.cis.nctu!news.csie.nctu!aide_board
來  源: dial158.dialup.tku.edu.tw

關於某些檔案以及 WinZip 自解檔解毒後的問題,這是因為這些檔案會對自己做
檢查是否有被修改的動作,因此當檔案任何一個 byte 被更動即會說已壞掉不能
執行;換句話說這類檔案只要一被病毒感染就不能執行了..
也許是這樣, CIH 的作者在 CIH v1.4 中就不會感染 WinZip 的自解檔...

那解毒是否能完全把檔案內容還原?

因為 CIH 病毒對於某些原始資料並有保留下來,所以解毒時這些資料就不能還原
(請注意,這些資料不會對原檔案的執行或其它功能有影響,只是檔案和原來的有
幾 bytes 不同而已)..

目前 SSCAN v2.10s 會將所有病毒殘碼去除及進入點還原.

晚上應該會再出 SSCAN v2.20s, 這版將會以病毒中的資訊"盡量"把原資料算
回來.. (有些東西真的算不回來,盡量了)

另外,有些人用 Zlock Gscan 或 Trend 的 VBS 解毒後還是找到有 "CIH V1"
的字串而來信問是否沒解乾淨...
這是因為 Zlock Gscan 及 Trend VBS 沒有把病毒殘碼完全去掉所致..


ps. WinZip 的自解檔雖不能直接執行解壓, 但可以用 WinZip 開啟解壓縮..

ps2. CIH v1.3 我拿到了,謝謝網友們的提供!!

--
Shi-hao Weng
--
---[ ＳSCAN (偵/解)已知未知巨集病毒 & (偵測)一般病毒 & 變體引擎等 ]----
下傳 SSCAN v2.10s 特別版 <98/06/05> 可至:
     ftp://ftp.tku.edu.tw/OS/dos/anti-virus/sscan/ss980605.exe
     http://tknet.tku.edu.tw/~u4510830 or http://sscan.yeah.net
-----------------------------------------------------------------[PD]--
Shi-hao Weng E-mail: u4510830@tknet.tku.edu.tw