Çernobıl kompüter virusu. “Çernobıl” virusu artıq illərdir ki, xərac toplayır. "Çernobıl": diskləri və kompüterləri məhv edən virusu kim və niyə yaradıb

“Çernobıl” kimi də tanınır. Rezident virus, yalnız Windows95/98 altında işləyir və PE fayllarını yoluxdurur
(Portativ icra edilə bilən). Kifayət qədər kiçik bir uzunluğa malikdir - təxminən 1 Kb. idi
1998-ci ilin iyununda Tayvanda "diri" aşkar edildi - yoluxmuş virusun müəllifi
o zaman (virusun müəllifi) olduğu yerli universitetdə kompüterlər
təlim keçib. Bir müddət sonra yoluxmuş fayllar (təsadüfən?)
yerli İnternet konfranslarına göndərildi və virus çıxdı
Tayvan: növbəti həftə ərzində viral epidemiyalar bildirildi
Avstriya, Avstraliya, İsrail və Böyük Britaniya. Sonra virus aşkar edildi
bir sıra digər ölkələr, o cümlədən Rusiya.

Təxminən bir ay sonra bir neçəsində yoluxmuş fayllar tapıldı
Oyun proqramlarını paylayan Amerika veb serverləri. Bu fakt,
görünür və sonrakı qlobal viral epidemiyanın səbəbi kimi xidmət etdi. 26
1999-cu ilin aprelində (virusun ortaya çıxmasından təxminən bir il sonra) işlədi
koduna daxil edilmiş "məntiq bombası". Müxtəlif hesablamalara görə, bu gün
dünyada təxminən yarım milyon kompüter təsirləndi - onlar idi
sabit diskdəki məlumatlar məhv edilir, bəzilərində isə xarab olur
ana platalardakı BIOS çiplərinin məzmunu. Bu hadisə halına gəldi
kompüter fəlakəti - virus epidemiyaları və onların nəticələri heç vaxt
ki, o qədər də böyük miqyaslı deyildi və belə itkilər gətirmədi.

Göründüyü kimi, səbəblərə görə 1) virus zamanı kompüterlər üçün real təhlükə idi
dünyada və 2) virus əməliyyatının tarixi (26 aprel) tarixlə üst-üstə düşür
Çernobıl Atom Elektrik Stansiyasında baş verən qəzada virus ikinci dəfə yayıldı
adı - "Çernobıl" (Çernobıl).

Virusun müəllifi, çox güman ki, Çernobıl faciəsini onunla əlaqələndirməyib
virusu ilə və "bombanın" tarixini 26 aprel olaraq təyin etdi
başqa bir səbəb: 26 aprel 1998-ci ildə ilk versiyasını buraxdı
virusunun (yeri gəlmişkən, Tayvanı tərk etmədiyi) - 26
Aprel ayında CIH virusu "ad gününü" belə qeyd edir.

Virus necə işləyir

Yoluxmuş fayl işə salındıqda, virus öz kodunu daxil edir Windows yaddaşı,
fayl girişlərinə müdaxilə edir və PE EXE fayllarını açarkən ona yazır
onlara sizin surətiniz. Hataları ehtiva edir və bəzi hallarda sistemi asır
yoluxmuş faylları işə saldıqda. Cari tarixdən asılı olaraq Flaşı silir
BIOS və disk məzmunu.

Flash BIOS-a yazmaq yalnız müvafiq anakart tiplərində mümkündür.
lövhələr və müvafiq keçidin imkan parametrləri ilə. Bu
keçid adətən yalnız oxumaq üçün təyin edilir, lakin bu
bütün kompüter istehsalçıları üçün doğru deyil. Təəssüf ki, Flash BIOS
bəzi müasir anakartlarda qorunmaq mümkün deyil
keçid: onlardan bəziləri istənilən mövqedə Flash-a yazmağa imkan verir
keçid, digərlərində, Flash-da yazma mühafizəsi proqramlı şəkildə ləğv edilə bilər.

Flash yaddaşı uğurla sildikdən sonra virus başqa birinə keçir
dağıdıcı prosedur: bütün quraşdırılmış məlumatları silir
sabit disklər. Bu halda virus diskdəki məlumatlara birbaşa çıxışdan istifadə edir və
bununla da BIOS-da quraşdırılmış standart anti-virus müdafiəsindən yan keçir
yükləmə sektorlarına yazır.

Virusun üç əsas (“müəllif”) versiyası var. Onlar olduqca oxşardırlar
bir-birinin üstündə və müxtəlif kodun yalnız kiçik detallarında fərqlənir
alt proqramlar. Virusun versiyaları müxtəlif uzunluqlara, mətn sətirlərinə və tarixə malikdir
Disk silmə prosedurunun və Flash BIOS-un işə salınması:

Texniki detallar

Faylları yoluxdurarkən virus onlarda “deşiklər” (istifadə olunmamış məlumat blokları) axtarır və
öz kodunu onlara yazır. Belə "deşiklərin" olması quruluşa bağlıdır
PE faylları: fayldakı hər bölmənin mövqeyi müəyyən bir yerə uyğunlaşdırılır
PE başlığında göstərilən dəyər və əksər hallarda son arasında
əvvəlki bölmə və sonrakı bölmənin əvvəlində müəyyən sayda bayt var,
proqram tərəfindən istifadə edilməyən. Virus faylda belə istifadə olunmayanları axtarır
bloklayır, onlara öz kodunu yazır və tələb olunan qiymətə artır
dəyişdirilmiş bölmə ölçüsü. Yoluxmuş faylların ölçüsü artmır.

Hər hansı bir hissənin sonunda kifayət qədər ölçüdə "deşik" varsa,
virus öz kodunu ona bir blokda yazır. Əgər belə bir çuxur yoxdursa,
virus öz kodunu bloklara bölür və onları müxtəlif bölmələrin sonuna qədər yazır
fayl. Beləliklə, yoluxmuş fayllardakı virus kodu aşkar edilə bilər
həm tək kod bloku, həm də bir-biri ilə əlaqəsi olmayan bir neçə blok kimi.

Virus həmçinin PE başlığında istifadə olunmamış məlumat blokunu axtarır. Əgər sonunda
başlıqda ən azı 184 baytlıq "deşik" var, virus ona yazır
işə salma prosedurunuz. Bundan sonra virus faylın başlanğıc ünvanını dəyişir:
onun işə başlama prosedurunun ünvanını ona yazır. Bu yanaşma nəticəsində
fayl strukturu olduqca qeyri-standart olur: başlanğıcın ünvanı
proqram prosedurları faylın hər hansı bölməsinə deyil, kənara işarə edir
yüklənə bilən modul - faylın başlığında. Bununla belə, Windows95 yoxdur
belə "qəribə" fayllara diqqət yetirir, fayl başlığını yaddaşa yükləyir, sonra
bütün bölmələr və nəzarəti başlıqda göstərilən ünvana köçürür - üçün
PE başlığında virusun işə salınması proseduru.

Nəzarəti qəbul edərək, virusun işə salınma proseduru yaddaş blokunu ayırır
VMM PageAllocate-ə zəng edir, kodunu oraya köçürür, sonra ünvanları müəyyənləşdirir
qalan virus kodu bloklarını (bölmələrin sonunda yerləşir) və onlara əlavə edir
başlanğıc prosedurunuzun koduna. Daha sonra virus IFS API-yə müdaxilə edir və
nəzarəti host proqramına qaytarır.

Əməliyyat sistemi baxımından bu prosedur ən maraqlıdır
virus: virus öz kodunu yeni yaddaş blokuna köçürdükdən sonra və
oraya nəzarət köçürülür, virus kodu Ring0 tətbiqi kimi icra edilir və
virus AFS API-ni ələ keçirə bilir (proqramlar üçün bu mümkün deyil
Ring3-də ifa olunur).

IFS API interceptor yalnız bir funksiyanı idarə edir - faylları açmaq.
EXE uzantılı fayl açılırsa, virus onun daxili faylını yoxlayır
formatlayır və kodunu fayla yazır. İnfeksiyadan sonra virus yoxlayır
sistem tarixi və Flash BIOS və Disk Sektorunun Silinməsi prosedurunu işə salır (yuxarıya baxın).

Flash BIOS-u silərkən virus müvafiq portlardan istifadə edir
oxumaq / yazmaq, disk sektorlarını silərkən virus VxD funksiyasını çağırır
birbaşa disk girişi IOS_SendCommand.

Virusun məlum variantları

Virusun müəllifi nəinki yoluxmuş faylların surətlərini “azadlığa” buraxıb, həm də
virusun mənbə assembler mətnlərini göndərdi. Bu, bunlara səbəb olub
mətnlər düzəldildi, tərtib edildi və tezliklə meydana çıxdı
müxtəlif uzunluqlara malik olan virusun modifikasiyaları, lakin funksionallıq baxımından onlar
hamısı "valideynlərinə" uyğun gəlirdi. Virusun bəzi variantlarında,
"bombanın" tarixi dəyişdirildi və ya bu bölmə heç vaxt çağırılmadı.

Günlərlə işləyən virusun "orijinal" versiyaları haqqında da məlumdur
26 [aprel] istisna olmaqla. Bu fakt tarixin yoxlanılması ilə izah olunur
Virus kodu iki sabitə uyğun olaraq baş verir. Təbii ki, etmək üçün
hər hansı bir gün üçün "bomba" taymerini təyin edin, yalnız dəyişdirmək kifayətdir
virus kodunda iki bayt.

Çernobıl - təhlükəli kompüter virusu

Virus sadəcə kompüterdə işləyən istifadəçinin sağlamlığına təsir etməyən bir şəxs tərəfindən yazılmış proqramdır. Virusların monitor ekranında göstərilən rəng sxemləri və digər effektlər vasitəsilə beyni öldürdüyü, insanı dəli etməsinə dair nağıl və şayiələrin heç bir əsası yoxdur. Yüzlərlə virus kompüterə daxil olur, bu, ilk növbədə istifadəçinin kompüter savadsızlığı, yaddaş daşıyıcılarından (disklər, fleş disklər) istifadə edə bilməməsi səbəbindən baş verir.

- Windows 95, Windows 98 sistemlərini yoluxduran rezident viruslara aiddir.Virusun ölçüsü cüzidir, cəmi 1 Kb. İnfiltrasiya zamanı virus disklərdən bütün məlumatları silir, öz kodunu proqramın yaddaşına yeridir, eyni zamanda faylların əsas əmrlərini ələ keçirir. Sonra təsirlənmiş fayllara öz surətlərini yazır. Yaddaşın çıxarılmasını başa çatdırdıqdan sonra o, sabit disklərdən məlumatları silir, beləliklə, bütün kompüter disklərinə, disk məlumatlarına gedən yolu təmizləyir.

Virusun müəllifi 1998-ci ildə virusu yazan və onu həyata keçirən tayvanlı tələbə Chen Ying Haodur. Bu günə qədər virusun üç müəllif nüsxəsi var. Onlar bir-birindən uzun mətn xətti və nüfuz və məğlubiyyət vaxtı ilə fərqlənirlər. Windows proqramları. Kompüterlərin ilk kütləvi məhvi 26.04.2019 Çernobılın ildönümünə təsadüf etdi. 1999-cu ildə virusun aktivləşməsi ilə Çernobılın partlama tarixinin üst-üstə düşməsi virusa adını verdi. Virusun müəllifinin oxuduğu Tayvan Universitetindən o, sürətlə ölkəni gəzdi, sonra epidemiya İsrail, Avstriya, Böyük Britaniya, Avstraliyaya yayıldı, bir müddət sonra Rusiyaya da çatdı. Proqramların naməlum bir virus tərəfindən məğlubiyyəti və belə geniş miqyasda, yarım milyon insan təsirləndiyi halda, ictimaiyyəti narahat etdi. fərdi kompüterlər. Əsasən fərdi kompüterlərin BIOS mikroçipləri zərər çəkdi.

Xüsusilə ilk onluğa nələrin daxil olduğunu bilmək maraqlıdır təhlükəli viruslar dünyada. Onun müəllifi, nəslinin vurduğu zərərin miqyasını öyrəndikdə, ictimaiyyətdən üzr istəyib. Universitet zarafatına az qalmışdı təhsil prosesi, universitet daxilində ona şöhrət gətirdi. Amma ölkə qanunlarına görə tələbə qanunu pozmayıb, mühakimə olunmayıb.

Və ən əsası, virus ildə bir dəfə işləyir - aprelin 26-da ona təsirlənmiş sistemin işə salınması səbəb olur və işin sonunda həmişə yaddaşda qalır, digər proqramları yoluxdurur, fərdi kompüter sahiblərinin hərəkətlərini müşahidə edir. Virusu silmək çox çətindir, silindikdən sonra bir çox fayl və sənədlər itirilir. Yaxşı məsləhət - virusu kompüterinizdən özünüz çıxarmayın, bir mütəxəssislə əlaqə saxlayın, bu, mümkün qədər çox fayl saxlamaq, kompüterin gücünü yeniləməyə kömək etmək şansınızdır. Zərərli proqramları təkrar istehsal etmək imkanı istifadəçilər arasında çaxnaşma yaradır. Virusun aradan qaldırılması və müalicəsi üçün yalnız səlahiyyətli bir yanaşma istifadəçini narahatlıqdan azad edəcəkdir.

2018-04-27 06:18:05

"Çernobıl": diskləri və kompüterləri məhv edən virusu kim və niyə yaradıb

İndi yəqin ki, az adam xatırlayır, amma aprelin 26-sı təkcə Çernobıl faciəsinin baş verdiyi gün deyil, həm də dünyada yüz minlərlə kompüter istifadəçisinin disklərindəki bütün məlumatları itirdiyi, bəzilərinin isə hətta ana platalarını itirdiyi tarixdir. CIH virusuna. 1999-cu ildə baş verənləri, günahkarın kim olduğunu və virusun qlobal miqyasda necə yayıla bildiyini danışırıq.

Virusu kim və nə üçün yaradıb

CIH, Virus.Win9x.CIH və ya "Çernobıl"dır kompüter virusu, yalnız Windows 95/98/ME əməliyyat sistemi altında işləyir, tayvanlı (o zaman) tələbə Chen Yinghao tərəfindən yazılmışdır. İlk dəfə 1998-ci ilin iyununda Tayvanda "canlı" olaraq aşkar edildi, burada virusun müəllifi Tatung Universitetində kompüterləri yoluxdurdu.

Chen Yinghao (sağda)

Bir müddət sonra virus yerli internet konfransları vasitəsilə yayıldı və oradan da ölkədən çıxdı. Daha sonra Avstriya, Avstraliya, İsrail və Böyük Britaniyada virus epidemiyaları qeydə alınıb. Və sonra virus digər ölkələrə, o cümlədən Rusiya və Belarusiyaya yayıldı.

Təxminən bir ay sonra, qlobal virus epidemiyasına töhfə verən oyun proqramlarını yayan ABŞ-ın bir neçə veb serverində yoluxmuş fayllar tapıldı.

Yazırlar ki, Chen Yinghao satıcıları cəzalandırmaq üçün virus yaradıb antivirus proqramları, universitet kompüterlərindəki viruslarla mübarizədə faydasız olduğu ortaya çıxdı.

Virusun bütün dünyaya yayıldığını biləndə əsəbiləşdi, lakin o, əmin idi ki, kifayət qədər vaxt keçdikcə təhlükəsizlik mütəxəssisləri bunu anlaya biləcəklər.

26 aprel 1999-cu il

Bu tarix, yəqin ki, o dövrdə yoluxmuş kompüterlərin sahibləri tərəfindən hələ də xatırlanır. Bu gün virus koduna daxil edilmiş “məntiqi bomba” işlədi. Müxtəlif hesablamalara görə, həmin gün dünyada yarım milyona yaxın kompüter zədələndi - onların sabit disklərindəki məlumatlar məhv edildi, bəzilərində isə ana platalardakı BIOS çiplərinin məzmunu da xarab oldu (beləliklə, onlar tamamilə işləmir oldular). ).

Bu hadisə əsl kompüter fəlakəti idi - virus epidemiyaları və onların nəticələri heç vaxt bu qədər genişmiqyaslı olmamışdı və belə itkilər gətirməmişdi.

Müxtəlif hesablamalara görə, virusun vurduğu zərər 20-80 milyon dollar arasında dəyişir. Bu, mənəvi zərəri saymır - çox sayda insan şəxsi məlumatlarını itirdi, çünki 1999-cu ildə onlar hələ paylanmamışdı. bulud saxlama və axın xidmətləri.

Göründüyü kimi, virus bütün dünyada kompüterlər üçün real təhlükə olduğundan və onun fəaliyyət göstərdiyi tarix Çernobıl AES-də baş vermiş qəzanın tarixinə təsadüf etdiyi üçün o, ikinci, daha çox yayılmış adını - Çernobıl (Çernobıl) aldı.

Virusun müəllifi, demək olar ki, Çernobıl faciəsini öz nəsli ilə bağlamayıb və "bomba"nın tarixini tamamilə başqa səbəbdən aprelin 26-na təyin edib: məhz 1998-ci ilin bu günü o, virusunun ilk versiyasını buraxıb. (yeri gəlmişkən, heç vaxt Tayvanın hüdudlarından kənara çıxmayıb), yəni. beləliklə, aprelin 26-da virus öz “ad gününü” qeyd edir.

Zərərçəkənlərdən birinin xatırladığı budur: “Xəbərdarlıq aldıqdan sonra bütün ofis tarixi dəyişdirdi - aktivləşməməsi üçün ... Və sonra onu yenidən açmağı unutaraq necə yıxıldım ... Və düz bir ay sonra kompüter əhatə olundu ... ".

Virus necə işləyirdi

Yoluxmuş fayl işə salındıqda, virus öz kodunu Windows yaddaşına quraşdırdı, fayllara girişi dayandırdı və işə salınan EXE fayllarını açarkən öz surətini onlara yazdı. Koddakı səhvlərə görə virus bəzən yoluxmuş fayllar işə salındıqda sistemi “asıb”. Və göstərilən tarixdə o, Flash BIOS-u və disklərin məzmununu silməyə çalışdı.

Ana platada BIOS modulu

Flash BIOS-a yazmaq yalnız müvafiq anakart tiplərində və müvafiq keçid aktiv olduqda mümkündür. Bu keçid adətən yalnız oxumaq üçün təyin edilir, lakin bu, bütün kompüter istehsalçıları üçün doğru olmaya bilər.

Təəssüf ki, bəzi müasir anakartlarda Flash BIOS-u keçidlə qorumaq mümkün deyil: onlardan bəziləri istənilən keçid mövqeyində Flash-a yazmağa imkan verir, digərlərində isə Flash-da yazma mühafizəsi proqram təminatı ilə ləğv edilə bilər.

Fleş yaddaşı sildikdən sonra virus başqa bir dağıdıcı prosedura keçdi: bütün quraşdırılmış sərt disklərdəki məlumatları məhv etdi. Eyni zamanda, o, BIOS-da quraşdırılmış standart anti-virus qorunmasını yazıdan yükləmə sektorlarına qədər keçdi.

Virusun üç əsas (sözdə müəllif versiyası) var. Onlar bir-birinə olduqca bənzəyirlər və müxtəlif alt proqramlarda kodun yalnız kiçik detallarında fərqlənirlər. Virusun versiyaları müxtəlif uzunluqları, mətn sətirlərini və diskin silinməsi və Flash BIOS prosedurunun aktivləşdirilməsi tarixini aldı.

Onların hamısının ölçüsü təxminən 1 kilobaytdır. İlk iki versiya aprelin 26-da, üçüncüsü isə hər ayın 26-da işləyirdi.

Sonra nə oldu?

Virusun müəllifi yalnız virusları "azadlığa" buraxmadı, həm də virusun mənbə assembler mətnlərini göndərdi. Bu ona gətirib çıxardı ki, bu mətnlər düzəldildi, tərtib edildi və tezliklə müxtəlif uzunluqlara malik olan, lakin funksional olaraq hamısı "valideynlərinə" uyğun gələn virusun modifikasiyaları meydana çıxdı.

Virusun bəzi variantlarında "bomba"nın tarixi dəyişdirilib və ya bu bölmə ümumiyyətlə istifadə edilməyib (instant trigger). Həqiqətən, hər hansı bir gün üçün "bomba" taymerini təyin etmək üçün virus kodunda yalnız iki baytı dəyişdirmək kifayətdir.

Adətən viruslar kompüterə proqram təminatı zərər verir. Bu və ya digər şəkildə viruslar kompüterin işini çətinləşdirir, bəzi istifadəçi məlumatlarına nəzarət edir və ya oğurlayır. Məsələn, hər hansı bir brauzerdə istifadəçini çox qıcıqlandıran çox xoşagəlməz bir şey. Amma hamısı proqram təminatıdır. Zədələnmiş, virusa yoluxmuş proqram məhsulu ya təmir edilə, ya da dəyişdirilə bilər. Kompüter avadanlıqlarına zərər verə bilən viruslar varmı?

Virus Win95.CIH(Çernobıl)

Çernobıl - bu, virusların nəinki zərər verə biləcəyini göstərən ilk kompüter virusuna verilən addır proqram təminatı, həm də Aparat kompüter. 1998-ci ildə Tayvanlı bir tələbə tərəfindən yazılmış Çernobıl virusu bəzi anakartlarda BIOS məzmununu pozdu və bu, sistemin özünə zərər verə bilər. ana plata. Və belə hallar olub. Ancaq yenə də əsas yemək bütün məlumatların məhv edilməsi idi sərt disk kompüter. Yaxşı, heç olmasa bir artı, çünki ehtiyac azaldı. Bu virusa yoluxmaq bədbəxtliyi yaşayanların hamısı artıq burada əziyyət çəkib.

Virus ilk adını - Win95.CIH - müəllifindən almışdır. Yeri gəlmişkən, üçü də buraxdı müxtəlif versiyalar bir-birindən çox da fərqlənməyən viruslarının. Doğrudurmu, son versiya hər ayın 26-da işə salınır. Və hər versiyanın öz nömrəsi var idi. Ancaq ikinci adı - Çernobıl virusunu ona verdi Kompüter Dünyası. Niyə? Çünki virus aprelin 26-da aktivləşib və bütün dağıdıcı hərəkətləri həmin gün həyata keçirib. Və 1986-cı ilin bu günü, təəssüf ki, Çernobıl qəzası baş verdi. Baxmayaraq ki, virusun müəllifinin dediyi kimi, virusun başlanğıc tarixi - hər il aprelin 26-sı yalnız virusun özü ad gününü həmin gün qeyd etdiyi üçün seçilib. Bununla belə, o, özünəməxsus şəkildə qeyd etdi.

Çernobıl virusunun təhlükəsi

Çernobıl virusu artıq heç bir təhlükə yaratmır, çünki bu virus üçün iş mühiti kompüterlərdir əməliyyat sistemləri Windows 95 və 98. Amma bu, heç də o demək deyil ki, kompüter avadanlığını sıradan çıxaracaq virusa yoluxma təhlükəsi yoxdur. Bu, yalnız onu göstərir ki, dünyada bir çox insan bu fürsətdən xəbərdardır və Tayvanlı tələbənin uğurunu təkrarlamaq istəyir. Bəziləri isə artıq uğur qazanıb. Ancaq çətin ki, Çernobıldan daha məşhur ola bilsinlər. İlk növünü xatırlamaq daha asandır.