W32/CIHに関する情報

1999年4月15日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)


 発病すると、ハードディスクの内容を破壊するウイルスの被害が増えているので、注意してください

(1)注意事項

4月26日、6月26日、毎月26日に発病する種類が発見されています。発病してからではデータを破壊される等修復が困難となるので、最新のワクチンソフトを用いて、発病する前に発見・駆除して下さい

Webサイトからダウンロードしたファイルからの感染被害が増えています。ダウンロードファイルは、必ず最新のワクチンソフトでウイルス検査をした後実行して下さい

・ワクチンソフトのウイルス定義ファイルは、最新のものを使用して下さい。

 参照:主なワクチンベンダーのWebサイト等一覧

(2)概要

 このウイルスはメモリ常駐型でWindows95/98の32ビット実行形式ファイル(PE(*)ファイル)で、拡張子がEXEのファイルに感染するファイル感染型ウイルスである。
感染したファイルを実行すると、メモリに常駐し、プログラムの実行、ファイルのコピー等でオープンしたプログラムファイルに感染する。
発病するとハードディスクを無意味なデータで上書きするため、ディスク内容にアクセスできなくなる。
 また、コンピュータが使用しているチップセットが、インテル430TXかその互換チップの場合には、BIOS ROMのブートブロックに無意味なデータを上書きして、内容を破壊する。
 (*PE:Portable Executable 処理速度を速め、拡張性のある実行プログラムの新しい形式) 

(3)修復方法

 ワクチンなどでCIHウイルスの感染が検出された場合は、感染ファイルを削除することによりウイルスを駆除することができる。
 ただし、プログラムの種類(※)によっては、当該ファイルの削除だけをおこなうと、トラブルが起きる場合があるので、アンインストール>再インストールの手順を追うことが必要になる場合もある。

  参照:「ファイル感染型ウイルスの修復方法」

(※)¥Windows\systemフォルダー内のファイルに感染しているような場合に、むやみにそのファイルを削除するとシステムが起動しなくなることがあるので注意されたい。
 このような場合には、必要なデータをバックアップした後、ハードディスクを初期化して、システム、アプリケーションの再インストールをする方が安全で確実である。

 発病した場合は、ハードディスクの内容が破壊されてしまうので、下記の方法によりハードディスクの初期化等を行う。

 1.FDから起動することができる場合

   FDから起動して、ハードディスクを初期化して、システム、アプリケーションを再インストールする。

 2.FDから起動することができない場合

   BIOS ROMの内容が破壊されているため、ROMの内容を書き換えるか、ROMを交換をする必要がある。
  (詳細は、使用されているパソコンメーカーにお問い合わせ下さい。)
   その後、1.の作業を行う。

ハードディスクの初期化、システム等の再インストールの方法については、マニュアルを参照されるか、お使いのパソコンまたはソフトウェアのメーカーにお問い合わせ下さい。

注)修復後は、必ず最新のワクチンソフトで検査をして、ウイルス感染が無くなったことを確認して下さい。


●下記サイトにも情報が掲載されているので、参照して下さい。


      ウイルス対策のトップページこちらをご覧ください。