Voila, il me faudrait le max d'info sur le mode de fonctionnement du Win95CiH , si possible son code, son mode de propagation et tout ce qui peut servir pour le comparer à un virus biologique.( Et si vous pouvez me donner un nom de virus biologique qu'y s'en rapproche.

W32.CIH.Spacefiller (a.k.a Chernobyl)
 
 
What is W32.CIH.Spacefiller?
 
Chernobyl is a deadly virus. Unlike the other viruses that have surfaced recently, this one is much more than a nuisance. If infected, Chernobyl will erase data on your hard drive, and may even keep your machine from booting up at all. There are several variants in the wild. Each variant activates on a different date. Version 1.2 on April 26th, 1.3 on June 26th, and 1.4 on the 26th of every month.
 
How do I get it?
 
Chernobyl, a.k.a CIH, arrives as an executable file. This may be any program that runs under Windows95/98/NT. You're most likely to get the virus from downloading an infected program off of the web. However, recent IBM Aptiva's were accidentally shipped with the virus preinstalled.  
 
Who's at risk?
 
People running Microsoft Windows 95 or 98. Windows NT users can be a host to the virus and spread it. However it will not infect their systems.
 
What exactly does the virus do to my computer?
 
When it's contracted, it stays loaded in your computer's RAM so that whenever a program is run, that program also becomes infected. The virus is only 1kb in size and stores itself within empty spaces of files so detection is very difficult. Once infected the virus does two things. First, it overwrites and deletes data on your hard disk. It's only a matter of time before it hits the computer's master boot sector making all data inaccessible. Second, it tries to rewrite the computer's ROM BIOS completely crippling the computer and potentially destroying the chip altogether.
 
Is there a way that I can protect myself?
 
Yes. Purchase one of the leading anti-virus programs.
 
Is there a way to tell if I have the virus?
 
Yes. Symantec has made a free utility available (KILL_CIH) to check for this virus and temporarily remove it from memory. It will not clean your infected files.  
 
Is there a way that I can clean my computer?
 
Yes. Purchase one of the leading anti-virus programs. It's also a good idea to run KILL_CIH before installing such a product to prevent your scanner from becoming infected.
 
Network Associates McAfee VirusScan is one of the best and most popular virus scanners on the market. I use McAfee VirusScan. Their automated update and upgrade features are very handy and the program is straightforward and easy to use. Please follow the links bellow to learn more about these programs.

Risk Assessment  
Medium  
 
 
 
Virus Information  
Discovery Date:  07/01/1998  
Origin:  Taiwan  
Length:  N/A  
Type:  Virus  
SubType:  Win9x  
Minimum Dat:  4002  
Minimum Engine:  4.0.25  
DAT Release Date:  12/02/1998  
Description Added:  09/07/1999  
 
 
Virus Characteristics  
This family of viruses, written in South-East Asia, first appeared in June 1998. Currently there are three known variants; and at least two of these have been found `in the wild'. The viruses infect Windows 95 files in PE format. This virus contains a date activated payload. One alias to this virus is Chernobyl, which is a direct reference to the nuclear plant accident of the same name which occurred also on April 26th (in 1986).  
W95/CIH viruses are able to split up the body of the virus code and place it within unused parts of the infected file (PE files usually contain lots of unused space).  
 
The viruses contain a very dangerous payload, which triggers on the 26th of any month. On this date, they attempt to overwrite the flash-BIOS. If the flash-BIOS is write-enabled (and this is the case in most modern computers with a flash-BIOS) this renders the machine unusable because it will no longer boot. At the same time, they also overwrite the hard disk with garbage.  
 
The viruses contain the following (unencrypted) strings:  
 
CIH v1.2 TTIT  
 
 
 
Symptoms  
Increase in size of infected files.  
The date of activation for the damaging payload depends on the variant of the virus.  
 
Variant - Date of Payload
.1003 - on April 26th
.1010 - on April 26th
.1019 - on 26th of any month  
 
When the date condition is met, this virus will attempt to overwrite sectors on the hard drive and also attempt overwrite BIOS on flash-capable systems.  
 
 
Method Of Infection  
The only way to infect a computer with a file infecting virus is to execute an infected file on the computer. The infected file may come from a multitude of sources including: floppy diskettes, downloads through an online service, network, etc. Once the infected file is executed, the virus may activate.  
 
 
Variants  
Name  Type  Sub Type  Differences  
W95/CIH.1019  Virus  Win9x  Payload on 26th of any month.  
W95/CIH.1010  Virus  Win9x  Minor differences only.  
W95/CIH.1122  Virus  Win9x    
 
 
Aliases  
Name  
Chernobyl  
CIH v1.2  
W32/CIH.Spacefiller  
W95/CIH.1003b  
W95/CIH.1003dr  
Win95.CIH  
Win95/CIH.1003

C'est une belle saloperie ce truc, on me l'a envoyé une fois par courrier , il était dans un executable, heureusement, je ne clique jamais sur les fichiers exe sans les avoir scannés avec un antivirus à jour

Pas mieux.  
Mais même si tu es contaminé tu es tranquile jusqu'au 26 avril prochain.

Moi ce qu'il me faudrait plus précisément ce sont des statistiques précises... ( en grso pour faire une étude épidémiologique!!!)

moi j'y ai eut droit un jour ..en plus ct ma premiere machine et j'y connaissit pas grand chose.
 
il etait dans un fichier telecharger ... j'avais pas de bon Antivirus  
 
terrible:
 
le lendemain: plus de repertoire windows
reboot: plus de fichier sur la partition (1 DD de 15Go: 2Go, 12Go)
 
reboot (eh oui je savait pas k'a chake fois ct pire) .. plus de partitions
 
reboot: 15go rempli de je ne sais koi + modification des noms de partitions (caractere non present au clavier)
 
bref ..j'me suis amuse pdt 2 jours à comprendre ce ky m'arrivais
 
-> boot sur CD windows et reinstall :-/

MErci Dokey pour cette desciption des symptômes que je connais fort bien... Mais ce qui m'interesserai ça serait une base de donnée de chiffres exploitables, n'importe lesquels en rapport ou non avec le CIH mais sur les virus en général...
Merci à vous tous et surtout à Krapaud

Bon bah jvais faire des ondages sur BLABLA puisque personne a des stats!!!!

Putain que les gens sont imprudents! Tu ne cliques jamais sur un exécutable avant de l'avoir passé à l'antivirus? C'est con, car ça peut-être un nouveau virus que ton antivirus ne détectera pas. Les antivirus ne sont pas fiables à 100%, alors c'est con de cliquer sur n'importe quel exécutable sous prétexte que l'antivirus n'a rien détecté. Le meilleur antivirus reste le cerveau! Je ne clique jamaissur un exécutable, quel qu'il soit et d'où qu'il vienne, à moins que je ne connaisse celui qui me l'a envoyé, et qu'il m'ait expressément avertit qu'il m'envoyait ce fichier, et que j'en connaisse la nature. Pour ce qui est des messages dont je ne connais pas la provenance, je ne les ouvre même pas! Direct à la poubelle, et je bloque l'expéditeur. J'ai jamais été infecté de cette façon, même si on m'a envoyé des virus par mail. Dès que je vois un vbs, un bat, un .exe et que je connais pas l'expéditeur, ou que celui qui me l'envoie ne m'avertit pas expressément qu'il m'envoie ce fichier, je ne prend même pas la peine de le passer à l'antivirus: je le détruit.