5月19日,瑞星网站公布了“新CIH”病毒技术分析的最新进展,怀疑病毒作者为中国人,并进一步怀疑作者可能在将来释放威胁更大的病毒变种。
5月17日,瑞星网站发布了其本年度的第一次橙色(二级)安全警报,宣布截获了“新CIH”病毒,这是一个可以在windows 2000/XP系统下破坏电脑硬件的病毒。所谓“新CIH”和以前的CIH病毒一样都是通过感染文件传播,发作后用一些垃圾数据覆盖系统硬盘,造成用户数据丢失,并且较难恢复。它同时会通过改写主板BIOS来对硬件系统进行破坏。
经过两天的技术分析,瑞星公布了最新进展。反病毒工程师在“新CIH”病毒里发现了“yangmin”字符串,从而怀疑病毒可能是国人制造的。反病毒专家表示,字符串“yangmin”应该是作者表明自己身份的标志,作者可能叫做“杨明、杨鸣”,试图通过编写此病毒,而像CIH病毒的作者陈盈豪一样“扬名”立万。
此次分析的另一结果更加令人不安,病毒体里明确出现了版本标注“YM v 1.1”,这表明病毒作者极有可能在未来对此病毒进行改进,从而产生危害更大的变种。此前,由于“新CIH”采用较慢的感染文件传播的方式,且发作条件较为苛刻,不会定期发作,人们普遍认为其不太可能在短期内造成巨大的破坏。但一旦出现能够通过电子邮件等多种方式传播、发作条件和时间密集的病毒变种,危害程度可想而知。
对此病毒的进一步分析还表明,编写者借鉴了“CIH”和“莫国防(Win32.MGF.4408)”两大病毒的源代码,并在此基础上进行了改进。由于Windows 2000/XP系统的安全性能比较好,此前还没有出现过在这些操作系统下面能破坏硬件的电脑病毒。而在2003年12月29日,瑞星曾截获了一个名为“莫国防(Win32.MGF.4408)”的病毒,它可以突破Windows 2000系统的最高权限,使病毒可以对用户电脑进行任何危险操作。
尽管当时的“莫国防”病毒本身不具有很大的破坏性,但反病毒专家曾经警告说,要注意病毒作者利用这种编写手段改造出危害巨大的恶性病毒。时隔一年半,“新CIH”病毒先利用“莫国防”病毒的编写原理窃取windows 2000系统的最高权限,再利用CIH病毒的破坏功能对主板、硬盘等硬件进行破坏。
瑞星在技术分析的最后,还特意附上我国刑法第286条的摘要,警告病毒作者“故意制造、传播恶性病毒的人,可能会被判处5年以下有期徒刑或拘役,情况严重的,可被判处5年以上有期徒刑。”