Ссылки, связанные с W95.CIH:

Подробное описание вируса и его "работы" из лаборатории AVP
Информация на Инфоарте
Утилита для обнаружения вируса Win95.CIH   www.kaspersky.ru/eng/trial/nocih.zip

Российские компании выпускающие антивирусные программнве продукты:
www.avp.ru
www.dials.ru
www.drweb.ru

CERT Coordination Center - ответы на вопросы:

http://www.cert.com/tech_tips/CIH_FAQ.html

Описание нескольких вариантов вируса CIH, тех, которые активизируются каждый месяц 26 числа (CIH.1019) и тех, которые срабатывают 26 апреля или 26 июня под Windows 95/96, на машинах с другими операционными системами вирус не работает.
Подробное техническое описание работы вируса представлено:

  Virus Bulletin

CIH

Aliases:

Win95/CIH, CIH.Spacefiller, PE_CIH. Variants of 1003 and 1019 bytes, and two of 1010 bytes are known.

Type:

Fragmented cavity infector utilizing PE section slack space.

Infection:

Hooks the Windows 9x file system API.

Self-recognition in files:

A non-zero byte immediately before the PE header.

Self-recognition in memory:

A non-zero value in DR0.

Hex pattern:

All variants.
E800 0000 005B 8D4B 4251 5050
0F01 4C24 FE5B 83C3 1CFA 8B2B

Payload:

Overwrites 2048 sectors at beginning of each hard disk and overwrites part of the Flash BIOS boot block.

Trigger:

Opening an uninfectable EXE file on 26 April (CIH.1003, CIH.1010.A), 26 June (CIH.1010.B) or on the 26th of any month (CIH.1019).

Removal:

Boot from a clean floppy disk, delete infected files and restore from backups.