Se trata de un virus de la familia W32 que infecta ficheros ejecutables con extensiones EXE que se encuentren en formato PE de Windows (tanto en Windows 95, como en el 98 y en NT) cuyas acciones son muy destructivas. Además de esto es capaz de dejar totalmente inutilizada (sin datos) la BIOS del ordenador (solamente el ordenadores con un microprocesador Pentium Intel basado en el 430TX), con lo que no se podría arrancar el ordenador. La única solución para reparar esta avería sería colocar una nueva memoria (circuito integrado o chip) que contenga la información de una BIOS (CMOS).  

          El virus se activa el día 26 de abril para conmemorar la fecha del 26 de abril de 1986 en la que se produjo un desastre nuclear en la cuidad de Chernobyl, perteneciente a la antigua Unión Soviética. Como efectos o acciones que realiza el virus, además de eliminar la información de arranque contenida en la BIOS, éste también es capaz de eliminar o borrar toda la información contenida en el disco duro del PC infectado. 

          El momento en el que el virus se activa comienza a realizar su trabajo teniendo lugar esta activación cuando se ejecuta uno de los ficheros EXE que él ha infectado previamente. Al estar residente en memoria captura todas las operaciones que Windows realiza con los ficheros EXE, haciendo posible que la infección a cada uno de ellos sea extremadamente rápida.  

          Como nota que alberga alguna esperanza para lectores que tengan instalado exclusivamente MS/DOS ó Windows 3.x ó Windows NT (para estaciones o servidores) ó que trabajen en ordenadores Macintosh, diremos que CIH no realiza infecciones, y por lo tanto tampoco produce efectos destructivos. 
  
  
Modo de propagación: 
  
          CIH es un virus que puede llegar a nuestro ordenador mediante cualquiera de los medios que los virus utilizan para desplazarse por todo el mundo e infectar cualquier ordenador: unidades de disco (disquetes, CD-ROM y otro tipo de unidades que se puedan transportar), mediante la utilización de ficheros en una red, FTP, download, visita a páginas Web, recepción de mensajes de correo electrónico dentro de los cuales se envía un fichero infectado,...etc.).  

          Concretamente el virus CIH comenzó su propagación por el mundo debido a la divulgación de un CD que una revista de regaló en una de sus entregas. También se piensa que el origen de si su extensión radica en la visita a determinadas páginas Web accesibles mediante HTTP en Internet. De cualquier modo, el virus se ha encontrado en muchos lugares del globo terráqueo. 

          Una vez que el fichero infectado llega a un ordenador, la única forma de producir la infección del disco radica en la ejecución de ese fichero. De otro modo el virus nunca verá la luz y aunque se encuentre camuflado dentro de un fichero ejecutable, no se activará. 
  
 
Síntomas de infección: 

          El virus puede estar camuflado en cualquiera de los ficheros ejecutables con extensión EXE que se encuentran en cualquier unidad de disco accesible desde nuestro ordenador. Esto no significa que el virus este activo y por lo tanto pueda realizar cualquiera de sus destructivas actividades. Este sólo se activará en el momento que se ejecute el/los fichero/s EXE en el/los que se encuentra. 

          Partiendo de esta base y suponiendo que CIH ya se encuentra activo (el EXE que lo contenía se ha ejecutado), éste puede realizar acciones que el usuario es capaz de visualizar y otras que son internas e inapreciables.  

          Acciones destructivas que el virus lleva a cabo sin visualización explícita por parte del usuario: 

• Se queda residente en memoria. Esto implica que cualquier fichero EXE que se utilice mientras tanto en Windows 95/98 (que se abra, se cierre, se copie, se mueva, se cambie de nombre o se ejecute), será infectado.

 
• Reescritura y pérdida de la información contenida en el arranque inicial que se encuentra en la BIOS (circuito integrado, chip).

 
• Eliminación de toda la información del disco duro, mediante el formateo del mismo.

          La primera de las variantes que existen del virus CIH es la denominada CIH v1.3 ó también CIH.1010. Esta se activa, como la anterior, el día 26 pero correspondiente al mes de Junio. Si observamos su código, podemos ver que dentro de él contiene la cadena de texto "CIH v1.3 TT IT". 

          La segunda de ellas se denomina CIH v1.4 ó también CIH.1019 y se activa el 26 de todos los meses, produciendo efectos realmente destructivos. En esta fecha CIH.1019 intenta eliminar toda la información contenida en la BIOS, más concretamente en la Flash-BIOS (donde se almacenan los programas que permiten el arranque). Con ello se hace imposible ni tan siquiera que el ordenador intente la búsqueda de un disco de sistema (que le permita arrancar), ya que carece de un programa de arranque que realice esta operación. De todas formas, aunque pudiese arrancar, le sería inútil ya que la información del disco duro se habrá perdido definitivamente (a no ser que se cuente con una copia de seguridad en algún medio de almacenamiento). El modo en el que CHI.1019 corrompe la información del disco duro es sobreescribiendo basura en él. Si observamos su código, es posible apreciar que dentro de él contiene la cadena de texto "CIH v1.4 TATUNG". 
  
  
Métodos de infección: 
  
          El virus CIH es capaz de repartir su código vírico colocándolo en secciones no utilizadas del fichero al que ha infectado. Este es un buen método para no levantar sospechas ya que con ello evita el significativo aumento de tamaño del fichero contagiado. Por ello el virus se dedica a infectar ficheros EXE ejecutables en formato PE (Portable Executable), ya que aquellos contienen bastantes secciones libres, dentro de su código interno. 

          Debido a que CIH sólo infecta ficheros de 32 bit, su actuación está limitada a sistemas operativos como Windows 95/98/NT, pero solamente está capacitado para realizar infecciones de ficheros ejecutables (con extensión EXE) en sistemas con Windows 95 ó 98. 

          Cuando se está ejecutando uno de los programas EXE infectados, el virus aprovecha para colocarse como un programa más que se encuentra residente en memoria (esto no puede ocurrir en sistemas con Windows NT) y desde allí intenta infectar todo fichero EXE que se manipule (por intervención del usuario o mediante cualquiera de las tareas de Windows). En definitiva, cuando CIH queda residente en memoria captura el IFS (Installable File System), con la intención de infectar cualquiera de los ficheros EXE. 
  
  
Prevención y método de eliminación: 
  
          La mejor manera de prevenir la infección del virus CIH o eliminarlo, en su caso es la utilización de un completo y potente antivirus como Panda Antivirus. 
  
  
Notas de interés: 
  
          CIH fue localizado inicialmente en Taiwan (Sudeste Asiático) y según informaron en su momento las autoridades de Taipei, el virus fue redactado por el joven Chen Ing-Halu, cuando contaba con 24 años. Esto podría ser cierto ya que las iniciales del cada palabra del su nombre coinciden con el alias que se asocia al virus, CIH. 

          También se comenta que los primeros infectados por este virus fueron grupos de piratas informáticos que se dedicaban a la transferencia de ficheros de juegos por Internet. Mediante ellos, el CIH llegó a extenderse en multitud de lugares del planeta, empleando para ello muy poco tiempo.