CIH病毒会用一些随机数据覆盖受感染计算机系统硬盘，一旦数据遭受破坏，恢复起来比较困难。病毒还试图将垃圾数据存储到受感染计算机系统快闪BIOS中，从而对系统形成永久性破坏。该病毒不会感染Windows NT系统。
爆发年限:1998年6月

CIH病毒（1998年）是一位名叫陈盈豪的大学生所编写的，以热门盗版光盘游戏或Windows95/98为媒介，经互联网各网站互相转载，使其迅速传播。

CIH病毒属文件型病毒，其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，它主要感染Windows95/98下的可执行文件(PE格式，Portable Executable Format)，目前的版本不感染DOS以及WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)下的可执行文件，并且在Win NT中无效。
从技术角度来看，该病毒使用了Windows95/98最核心的VxD技术编制，被认为是牢固地连接到了操作系统底层，所以CIH病毒既不会向DOS操作系统传播，也不会向Windows NT操作系统扩散。CIH病毒的这一技术特点对我们使用传统反病毒技术防治计算机病毒提出了巨大的挑战，这是因为我们所使用的传统反病毒工具基本上都是纯 DOS或工作在Windows95之下的仿真DOS应用程序，它们无法深入到Windows95/98操作系统的底层去彻底清除CIH病毒；另一方面，由于能够与操作系统底层紧密结合，CIH病毒的传播就更为迅速、隐蔽。
病毒分析
CIH病毒的传染部分实际上是病毒在驻留内存过程中调用Windows 内核底层函数IFSMgr_InstallFileSystemApiHook函数挂接钩子时指针指示的那段程序。这段程序共586字节，感染过程如下：
文件的截获
每当系统出现要求开启文件的调用时，驻留内存的CIH病毒就截获该文件。病毒调用INT20的VxD call UniToBCSPath系统功能调用取回该文件的名和路径。
EXE文件的判断
对该文件名进行分析，若文件扩展名不为“.EXE”，不传染，离开病毒程序，跳回到Windows内核的正常文件处理程序上；
PE格式.EXE判别
目前，在Windows 95/98以及Windows NT，可执行文件.EXE采用的是PE格式。PE格式文件不同于MS-DOS文件格式和WIN 3.X(NE格式，Windows and OS/2 Windows 3.1 execution File Format)。PE格式文件由文件头和代码区（.text Section）、数据区（.data Section）、只读数据区（.rdata Section）、资源信息区（.rsrc Section）等文件实体部分组成。其中文件头又由MS-DOS MZ头、MS-DOS实模式短程序、PE 文件标识（Signature）、PE文件头、PE文件可选头以及各个Sections头组成。其格式结构图见图1。

1、通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块（boot block）内各写入一个字节的乱码，造成主机无法启动。
为了保存BIOS中的系统基本程序，BIOS先后采用了两种不同的存储芯片：ROM和PROM。ROM（只读存储器）广泛应用于x86时代，它所存储的内容不可改变，因而在当时也不可能有能够攻击BIOS的病毒；然而，随着闪存（FlashMemory）价格的下跌，奔腾机器上BIOS普遍采用PROM（可编程只读存储器），它可以在12伏以下的电压下利用软件的方式，从BIOS端口中读出和写入数据，以便于进行程序的升级。
　　CIH病毒正是利用闪存的这一特性，往BIOS里写入乱码，造成BIOS中的原内容被会彻底破坏，主机无法启动。
所幸的是，CIH只能对少数类型的主板BIOS构成威胁。这是因为，BIOS的软件更新是通过直接写端口实现的，而不同主板的BIOS端口地址各不相同。现在出现的CIH只有1K，程序量太小，还不可能存储大量的主板和BIOS端口数据。它只对端口地址为0CFEH和0CFD的BIOS（据有关资料为Intel 430TX chipset、部分Pentium chipsets）进行攻击。
　
2、 覆盖硬盘
通过调用Vxd call IOS_SendCommand直接对硬盘进行存取，将垃圾代码以2048个扇区为单位，从硬盘主引导区开始依次循环写入硬盘，直到所有硬盘（含逻辑盘）的数据均被破坏为止。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课