報告件数の減少のため、この脅威の危険度を「4」から「3」へ引き下げました。

W95.CIHウイルスはChernobylウイルスとも呼ばれ、1998年6月に台湾で発見されました。台北当局によると、このCIHウイルスは陳盈豪（チェン・イン・ハウ、ウイルス名は彼の頭文字から名づけられました）という名前の24歳の男性によって作成されたとのことです。

CIHは非常に破壊力の高いウイルスで、データを破壊するという発病症状を持っています。1999年4月26日、この症状が初めて発現し、多くのコンピュータユーザがデータを破壊されました。韓国では、約100万台ものコンピュータが影響を受け、推定2億5000万ドル相当の被害を受けたと報告されています。

2000年4月時点でこのウイルスは既に古いものとなっていますが、シマンテックでは、いまだこのウイルスは一般に出回っており、時代遅れになった非常に古いウイルス定義を使っていたり、アンチウイルス製品を使っていないPCユーザにとっては危険な存在であると考えています。

別名: Chernobyl, PE_CIH, Win95.CIH, Win32.CIH, W95/CIH.1003, CIH.Spacefiller

種別: ウイルス

感染サイズ: 最高1KB

対応日(Intelligent Updater)* 98/06/28(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 中 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 中 ダメージ: 高 感染力: 中

ダメージ

• 発症のタイミング: W95.CIH V1.2、V1.3（4月26日）、W95.CIH V1.4（毎月26日）
  
• 発病症状: データを破壊し、CMOSに影響を与える可能性がある。
  

CIHは32ビットのWindows 95/98/NT実行形式ファイルに感染するウイルスですが、Windows 95/98/MEでのみ動作し、Windows NTおよびWindows 2000環境では動作しません。Windows 95/98/MEマシン上で感染したプログラムが実行されると、このウイルスはコンピュータのメモリに常駐します。そのため、このウイルスを駆除するには次のいずれかの対応策を必ず行う必要があります。

• （推奨）Symantec Security Responseから配布されているCIH駆除ツールを実行する。このツールを実行することで、未感染のシステム起動ディスクで起動しなくても、このウイルスをメモリから削除することが可能です。
  
• コンピュータを救済ディスクから再起動する。
  
• NAV 2001/2002 CDからコンピュータを起動する（お使いのコンピュータ上で実行可能な場合）
  

上記のいずれかの対応策を講じなかった場合、Norton AntiVirusまたは他のアンチウイルス・プログラムでスキャンされたファイルすべてがCIHに感染してしまうことになります。

このウイルスはWindows NTのシステムファイルにも感染しますが、Windows NT/2000上でメモリに常駐したりファイルに感染することはできません。このウイルスはまた、DOS、Windows 3.1、Macintosh上でも動作しません。CIHウイルスは、常駐後にアクセスされた（実行またはコピーされた）ファイル全てに感染します。

CIHは特異な方法でファイルに感染するため、CIHに感染したファイルのファイルサイズは変化しません。このウイルスは、感染対象のファイルから使用されていない空の領域を探し出します。次に、自分自身を分割し、これらの空の領域に分散させて埋め込みます。そのため、NAVがCIHに感染したファイルを修復するとき、これらの分割されたウイルスを探してファイルから削除します。

1999年4月現在、3種類の亜種が確認されていますが、互いによく似ています。CIHバージョン1.2およびバージョン1.3は4月26日のチェルノブイリ記念日（1986年にソビエトで原子力事故が発生した日）に発症し、CIHバージョン1.4は毎月26日に発症することを除き、どのバージョンも同じ発病症状を持っています。

発病症状は2つあります。1つ目の発病症状は、無限ループを使ってハードディスクを先頭（セクタ0）から順にランダムなデータに書き換えてゆくというものです。この書き換え処理は、システムがクラッシュするまで行われるため、結果的にハードディスクやフロッピーディスクからシステムを起動することができなくなります。上書きされたハードディスク上のデータの修復は非常に困難か、あるいは全く修復できなくなります。この場合、バックアップから復元する以外にデータを回復する手段はありません。

2つ目の発病症状は、コンピュータに永久的にダメージを与えようとするもので、Flash BIOS（ハードディスクやシリアル、パラレルポート、キーボードなどのシステム機器の関連性やデータフローの初期化や管理を行う部分）を攻撃し、Flash BIOSに保存されているデータを破壊しようとします。その結果、システムを起動しようとしても、画面に何も表示されなくなってしまいます。このような事態が発生した場合はコンピュータの専門家に復旧サービスを依頼する以外に解決する手段はなくなります。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

W95.CIHウイルスを駆除する方法は2通りあります。
・（推奨）CIH駆除ツールを実行し、その後、Norton AntiVirusを使ってスキャンを実行する。
・ 救済ディスクセットまたはNorton AntiVirus 2001/2002 CD（CDからの起動をサポートしているCD-ROMドライブが必要）からコンピュータを再起動する方法。


（推奨）駆除ツールを使用した駆除方法

• このウイルスを最も容易に駆除する方法はCIH駆除ツールを実行し、その後、NAVでスキャンを実行する方法です。CIH駆除ツールは1998年8月3日時点で既知となっているW95.CIH(チェルノブイリ・ウイルス)の全亜種を検知し、Windows 95／Windows 98のメモリから安全に駆除します。
• まだウイルスに感染していないシステム上でこのツールを実行した場合は、次回システムを起動するまでの間、W95.CIHウイルスがシステムに感染するのを防ぐ予防接種となります。
  

注意：

• コンピュータがW95.CIHウイルスにすでに感染してしまっている場合は必ず、ウイルス定義の更新やスキャンの実行を行う前にCIH駆除ツールを実行してください。感染しているシステム上で、最初にこのツールを実行せずにウイルス駆除ソフトでスキャンを実行しようとすると、感染がさらに広がるおそれが生じてしまいます。最初にこのツールを実行すれば、その後スキャンしても安全な状態になります。
  
• CIH 駆除ツールはファイル上に存在するW95.CIHを検知も駆除もしませんが、メモリ上のウイルスを無効にすることで、Norton AntiVirusがウイルス感染を拡大させずにウイルスを駆除できるようにします。
  

CIH駆除ツールはDOSコマンドラインやログイン・スクリプトからでも実行可能です。ネットワーク管理者はこの方法により駆除処理を自動化することができます。この方法で駆除ツールを実行するには以下の手順にしたがってください。

1. ダウンロードページに記載の手順にしたがって、CIH駆除ツールをダウンロードし、実行します。ツールの実行手順で指示されている時点までは、コンピュータを再起動しないでください。
   
2. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
3. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
   
   • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
     
   • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
     
4. システム全体のスキャンを実行します。
   
5. W95.CIHに感染しているファイルが検出された場合は、[修復]をクリックします。
   
   

代替手段による駆除方法

駆除ツールを使わずにW95.CIHを駆除する方法です。

1. 以下のいずれかを実行します。
   

• システムをCD-ROMドライブから起動することができ、お使いのNorton AntiVirus がバージョン2001以上の場合：
  
  
  1. CD-ROMドライブにNorton AntiVirus CDを挿入し、コンピュータを再起動します。
     
  2. メニューが表示されたら、ウイルスのスキャンと修復を実行します。
     
  3. スキャンが完了したら、CD-ROMドライブからCDを取り出し、コンピュータを再起動します。
     
  4. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
     
     • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
       
     • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
       
  5. システム全体のスキャンを実行します。
     
  6. W95.CIHに感染しているファイルが検出された場合は、[修復]をクリックします。
     
• システムをCD-ROMドライブから起動できない、あるいは、お使いのNorton AntiVirusのバージョン が2000以前の場合：
  

1. 感染していないコンピュータにNorton AntiVirusをインストールします。
   
2. LiveUpdateを実行し、その後、システム全体のスキャンを実行します。
   
3. NAV のツールバーから[Rescue]をクリックします。
   
4. 画面に表示される指示にしたがって、基本救済ディスクセットを作成します。
   
5. 上記で作成した基本救済ディスクセットのうち"基本救済ブートディスク"を、感染しているコンピュータのフロッピーディスクドライブに挿入し、コンピュータを再起動します。
   
6. Rescue Disk]ウィンドウが表示されたら、矢印キーを使って[Norton AntiVirus]を選択します。
   
7. ウィンドウ下部に表示されているコマンドラインを次の内容に変更します。
   
   navdx /a /b+ /m+ /repair /cfg:a /log:c:\nvreplog.txt
   
   その後、Enterキーを押します。
   
   
8. スキャンが完了したら、手順6〜8を再び実行します。そのとき、コマンドラインの内容は次のように変更してください。
   
   navdx /a /b+ /m+ /delete /cfg:a /log:c:\nvdellog.txt
   
   その後、Enterキーを押します。
   
   
9. 2回目のスキャンが完了した時点で、駆除プロセスが完了したことになります。ディスクドライブからすべてのディスクを取り出し、コンピュータを再起動します。
   
10. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認します。
    
    • 個人のお客様向けNAV製品をお使いの場合（パッケージ製品）：詳しくは、"How toconfigure Norton AntiVirus to scan all files"（英語）をご覧ください。
      
    • 企業・法人のお客様向けNAV製品をお使いの場合（ライセンス製品）：詳しくは、"Norton AntiVirus Corporate Edition ですべてのファイルがウイルススキャンされるように設定する方法"をご覧ください。
      
11. システム全体のスキャンを実行します。
    
12. W95.CIHに感染しているファイルが検出されたら、[修復]をクリックします。
    

追加情報

発病症状が実行されてしまった場合の復旧方法

W95.CIHウイルスが26日に実行された場合、次の2つの発病処理が実行されるおそれがあります。

• ハードディスクの先頭2048セクタにある重要なデータ領域が上書きされる可能性があります。この事態が発生した場合、コンピュータをハードドライブから起動したときに"non-system disk"というメッセージが表示され、システム起動フロッピーまたは救済ディスクからシステムを起動しようとすると"invalid media"というメッセージが表示され、システムを起動できなくなります。このような状況に陥った場合、Norton Utilitiesを以下のように使ってこの問題を解決することができます。
  
• 最新版のNorton Utilities(NU)あるいはNorton AntiVirus救済ディスクセットをお持ちの場合は、それらを使うことでパーティション情報およびブートレコード情報を復旧し、その後、Norton Untilities Unformatを実行してください。
  
• コンピュータが感染した後になってNUを購入し、ウイルス感染の影響を受けたディスクに複数のパーティションが設定されていた場合、緊急用ディスクからndd/rebuildの実行を試み、その後、Unformatを実行してください。
  
• 影響を受けているディスクにパーティションが1つしかなかった場合、 データ復旧サービス業者に復旧を依頼する必要があるかもしれません。
  
• システムBIOSが上書きされる可能性があります。このような事態が発生した場合は、BIOSの開発元または販売元に連絡し、解決方法をお問い合わせください。
  

注意: BIOS情報が上書きされてしまうケースは極めて稀ですが、BIOS情報が上書きされてしまったことが原因でコンピュータが機能不能になった場合、状況によっては、BIOSまたはマザーボードを交換する必要が生じるかもしれません。