stringtranslate.com

CIH (компьютерный вирус)

CIH , также известный как Chernobyl или Spacefiller , — компьютерный вирус Microsoft Windows 9x , впервые появившийся в 1998 году. Его вредоносная нагрузка крайне разрушительна для уязвимых систем, он перезаписывает важную информацию на зараженных системных дисках и, в некоторых случаях, уничтожает системный BIOS . Вирус был создан Чэнь Ингхау (陳盈豪, пиньинь : Chén Yíngháo ), студентом Университета Татунг в Тайване . [1] Считается, что он заразил шестьдесят миллионов компьютеров по всему миру, что привело к предполагаемому коммерческому ущербу в размере 1 миллиарда новых тайваньских долларов ( 35 801 231,56 долларов США ). [1]

Чэнь утверждал, что написал вирус в качестве вызова смелым заявлениям разработчиков антивирусного программного обеспечения об эффективности противовирусных средств . [2] Чэнь заявил, что после того, как однокурсники в университете Татунг распространили вирус, он извинился перед школой и сделал антивирусную программу доступной для публичной загрузки. Вэн Ши-хао (翁世豪), студент университета Тамкан , был соавтором антивирусной программы. [2] Прокуроры на Тайване не смогли предъявить обвинение Чэню в то время, поскольку ни одна жертва не обратилась в суд. [3] Тем не менее, эти события привели к новому законодательству о компьютерных преступлениях на Тайване. [2]

Название «Чернобыльский вирус» было придумано некоторое время спустя после того, как вирус уже был хорошо известен как CIH, и относится к полному совпадению даты срабатывания полезной нагрузки в некоторых вариантах вируса (фактически дата создания вируса в 1998 году, чтобы сработать ровно через год) и катастрофы на Чернобыльской АЭС , которая произошла в Советском Союзе 26 апреля 1986 года. [4]

Название "Spacefiller" было введено потому, что большинство вирусов записывают свой код в конец зараженного файла, а зараженные файлы обнаруживаются, поскольку их размер увеличивается. В отличие от этого, CIH ищет пробелы в существующем программном коде, куда он затем записывает свой код, предотвращая увеличение размера файла; таким образом, вирус избегает обнаружения. [4]

История

Вирус впервые появился в 1998 году. В марте 1999 года несколько тысяч IBM Aptiva были отправлены с вирусом CIH, [5] всего за месяц до того, как вирус должен был сработать. В июле 1999 года копии инструмента удаленного администрирования Back Orifice 2000, выданные участникам DEF CON 7, были обнаружены организаторами как зараженные CIH. [6] 31 декабря 1999 года Yamaha отправила обновление программного обеспечения для своих приводов CD-R400, которое было заражено вирусом. В июле 1998 года демо- версия шутера от первого лица SiN была заражена одним из ее зеркальных сайтов. [7]

Двойная полезная нагрузка CIH была впервые доставлена ​​26 апреля 1999 года, причем большая часть ущерба пришлась на Азию . [8] CIH заполнял первые 1024 КБ загрузочного диска хоста нулями, а затем атаковал определенные типы BIOS . Обе эти полезные нагрузки служили для того, чтобы сделать хост-компьютер неработоспособным, и для большинства обычных пользователей вирус по сути уничтожал ПК. Технически, однако, было возможно заменить чип BIOS , [ нужна цитата ] и методы восстановления данных жесткого диска появились позже. [ нужна цитата ]

Сегодня CIH не так распространен, как раньше, из-за осведомленности об этой угрозе и того факта, что она затрагивает только старые операционные системы Windows 9x ( 95 , 98 , ME ).

Вирус снова вернулся в 2001 году, когда вариант червя LoveLetter в файле VBS , содержащем процедуру загрузки для вируса CIH, был распространен по Интернету под видом обнаженной фотографии Дженнифер Лопес .

Модифицированная версия вируса под названием CIH.1106 была обнаружена в декабре 2002 года, но она не получила широкого распространения и поражает только системы на базе Windows 9x. [9]

Специфика вируса

CIH распространяется в формате файла Portable Executable в операционных системах на базе Windows 9x, Windows 95, 98 и ME. CIH не распространяется в операционных системах на базе Windows NT или операционных системах на базе Win16, таких как Windows 3.x или ниже. [10]

CIH заражает файлы Portable Executable, разделяя большую часть своего кода на небольшие фрагменты, вставляемые в зазоры между разделами, которые обычно встречаются в файлах PE, и записывая небольшую процедуру повторной сборки и таблицу местоположений своих собственных сегментов кода в неиспользуемое пространство в конце заголовка PE. Это принесло CIH еще одно название — «Spacefiller». Размер вируса составляет около 1 килобайта , но из-за его нового метода заражения несколькими полостями зараженные файлы вообще не растут. Он использует методы перехода с кольца процессора 3 на 0 для перехвата системных вызовов.

Полезная нагрузка, которая считается чрезвычайно опасной, сначала включает в себя перезапись вирусом первого мегабайта (1024 КБ) жесткого диска нулями, начиная с сектора 0. Это удаляет содержимое таблицы разделов и может привести к зависанию компьютера или появлению синего экрана смерти .

Вторая полезная нагрузка пытается записать во Flash BIOS . BIOS, в которые вирус может успешно записать, имеют критические коды времени загрузки, замененные мусором. Эта процедура работает только на некоторых машинах. Большое внимание было уделено машинам с материнскими платами на базе чипсета Intel 430TX , но на сегодняшний день наиболее важной переменной в успешности CIH при записи в BIOS машины является тип микросхемы Flash ROM в машине. Различные микросхемы Flash ROM (или семейства микросхем) имеют различные процедуры разрешения записи, специфичные для этих микросхем. CIH не пытается проверить тип Flash ROM в своих машинах-жертвах и имеет только одну последовательность разрешения записи.

Для первой полезной нагрузки любая информация, которую вирус перезаписал нулями, теряется. Если первый раздел — FAT32 и более одного гигабайта , все, что будет перезаписано, — это MBR , таблица разделов, загрузочный сектор первого раздела и первая копия FAT первого раздела. MBR и загрузочные секторы можно просто заменить копиями стандартных версий; таблицу разделов можно перестроить, просканировав весь диск, а первую копию FAT можно восстановить из второй копии. Это означает, что полное восстановление без потери пользовательских данных может быть выполнено автоматически с помощью такого инструмента, как Fix CIH.

Если первый раздел не FAT32 или его размер меньше 1 ГБ, основная часть пользовательских данных на этом разделе останется нетронутой, но без корневого каталога и FAT их будет сложно найти, особенно при наличии значительной фрагментации.

Если вторая полезная нагрузка выполняется успешно, компьютер вообще не запустится. Затем требуется перепрограммирование или замена микросхемы Flash BIOS, поскольку большинство систем, в которых CIH может влиять на функции восстановления BIOS до его выпуска.

Варианты

Смотрите также

Ссылки

  1. ^ ab "從CIH「重裝駭客」變身「除錯超人」". iThome онлайн (на китайском языке). 25 августа 2006 г. Архивировано из оригинала 17 апреля 2013 г.
  2. ^ abc "從駭電腦到愛旅行─昔日網路小子陳盈豪 - 親子天下雜誌8期 - 陳盈豪,網路世界,宅男,網路沉迷». Parenting.com.tw (на китайском языке). 07.06.2013. Архивировано из оригинала 7 июня 2013 г.
  3. ^ «打擊駭客,不再無法可施 - 安全常識 - 法務部行政執行署嘉義分署» (на китайском языке). 行政執行署嘉義行政執行處. 10 декабря 2005 г. Архивировано из оригинала 29 октября 2013 г.{{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  4. ^ ab "Что такое вирус Чернобыля? (с картинками)". Easy Tech Junkie . Получено 2023-02-16 .
  5. ^ Weil, Nancy (1999-04-07). "Некоторые Aptivas поставлялись с вирусом CIH". CNN . Архивировано из оригинала 2007-01-04.
  6. ^ "Компакт-диски Back Orifice заражены вирусом CIH - Tech News на ZDNet". ZDNet . 14 июля 1999 г. Архивировано из оригинала 2007-03-11.
  7. ^ "Отчет из США: Геймеры считают, что игра Activision 'SiN' несет вирус CIH". ZDNet.co.uk . 28 июля 1998 г. Архивировано из оригинала 17 апреля 2009 г.
  8. Лемос, Роберт (25 мая 1999 г.). «Входит ли вирус CIH в список находящихся под угрозой исчезновения?».
  9. ^ "Virus:DOS/CIH". F-Secure Labs . Архивировано из оригинала 2001-01-28 . Получено 2021-12-07 .
  10. ^ "Вирус:DOS/CIH | F-Secure Labs". www.f-secure.com . Получено 2023-11-05 .

Внешние ссылки