O vírus Win32/CIH, em suas 3 formas atualmente conhecidas, foi escrito na Ásia Sudeste em junho de 98. Duas dessas variantes foram observadas no campo. O vírus Win32/CIH ataca arquivos do Windows 95/98 que estão no formato PE (Portable Executable). Ele não infecta os mesmos tipos de arquivos no Windows NT. O vírus Win32/CIH aproveita todos os espaços não utilizados desse tipo de arquivo que, aliás, são bastantes.
O vírus Win32/CIH, da versão 1019, tem um ataque muito perigoso, que ocorre no dia 26 de cada mes. Nessa data o vírus tenta sobregravar a Flash-BIOS. Se a Flash-BIOS está configurada como WRITE-ENABLED (o que é o caso da maioria das novas placas-mãe) o vírus torna a máquina completamente inoperante, já que não é mais possível dar boot nessa máquina. Ao mesmo tempo o vírus também sobregrava grandes porções do disco rígido com sujeira.
As variantes 1003 e 1010 têm de diferente a data de ataque, que nesse caso só ocorre no dias 26 de abril.

As variantes desse vírus contém as seguintes strings, em formato não-encriptado:
(.1003) = CIH v1.2 TTIT,.EXE
(.1010) = CIH v1.3 TTIT,.EXE,zip
(.1019) = CIH v1.4 TATUNG,.EXE,nZip

Última atualização: domingo, 01 de dezembro de 2002