Počítačový virus Černobyl. Černobylský virus sbírá hold již mnoho let. "Černobyl": kdo a proč vytvořil virus, který ničil disky a počítače

Také známý jako "Černobyl". Rezidentní virus, funguje pouze pod Windows95/98 a infikuje PE soubory
(Přenosný spustitelný soubor). Je poměrně krátký - asi 1 kb. Byl
objeven „živý“ na Tchaj-wanu v červnu 1998 - autor infikovaného viru
počítače na místní univerzitě, kde se v té době (autor viru) nacházel
byl vyškolen. Po nějaké době byly infikované soubory (náhodou?)
odeslány na místní internetové konference a virus se z nich dostal
Tchaj-wan: během příštího týdne byly registrovány virové epidemie v
Rakousko, Austrálie, Izrael a Velká Británie. Virus byl poté objeven v
několik dalších zemí, včetně Ruska.

Asi o měsíc později byly na několika nalezeny infikované soubory
Americké webové servery distribuující herní programy. Tento fakt,
Zřejmě to bylo příčinou následné celosvětové virové epidemie. 26
Duben 1999 (asi rok poté, co se virus objevil) fungoval
„logická bomba“ vložená do jejího kódu. Podle různých odhadů v tento den
po celém světě bylo postiženo asi půl milionu počítačů – měli
Data na pevném disku byla zničena a na některých byla také poškozena
obsah čipů BIOS na základních deskách. Tento incident se stal skutečným
počítačová katastrofa - virové epidemie a jejich následky nebyly dosud k vidění
Navíc nebyly tak rozsáhlé a nepřinášely takové ztráty.

Zřejmě z důvodů, že 1) virus představoval skutečnou hrozbu pro počítače během
po celém světě a 2) datum působení viru (26. dubna) se shoduje s datem
havárie v jaderné elektrárně v Černobylu, virus dostal svou druhou
jméno - "Černobyl"

Autor viru s největší pravděpodobností nijak nespojoval černobylskou tragédii
s jeho virem a stanovil datum, kdy „bomba“ vybuchne 26. dubna.
další důvod: 26. dubna 1998 vydal první verzi
jeho viru (který mimochodem nikdy neopustil Tchaj-wan) - 26
V dubnu slaví virus CIH své „narozeniny“ podobným způsobem.

Jak virus funguje

Když spustíte infikovaný soubor, virus do něj nainstaluje svůj kód Paměť Windows,
zachycuje požadavky na soubory a zapisuje do souboru při otevírání souborů PE EXE
je vaší kopií. Obsahuje chyby a v některých případech zamrzá systém
při spouštění infikovaných souborů. V závislosti na aktuálním datu vymaže Flash
BIOS a obsah disku.

Zápis do Flash BIOSu je možný pouze na odpovídajících typech základních desek.
desky a když je příslušný přepínač nastaven na povolení. Tento
Přepínač je obvykle nastaven na pouze pro čtení, nicméně toto
To neplatí pro všechny výrobce počítačů. Bohužel Flash BIOS
nemusí být na některých moderních základních deskách chráněny
přepínač: některé z nich umožňují záznam do Flash v libovolné poloze
přepínač na ostatních, lze ochranu proti zápisu Flash přepsat programově.

Po úspěšném vymazání paměti Flash se virus přesune na jinou
destruktivní postup: vymaže informace o všech nainstalovaných
pevné disky. V tomto případě virus využívá přímý přístup k datům na disku a
čímž obchází standardní antivirovou ochranu zabudovanou v BIOSu
zapisuje do boot sektorů.

Existují tři hlavní („autorské“) verze viru. Jsou si dost podobné
navzájem a liší se pouze v drobných detailech kódu v různých
podprogramy Verze viru mají různé délky, řádky textu a datum
spuštění procedury mazání disku a Flash BIOS:

Technické údaje

Při infikování souborů v nich virus hledá „díry“ (bloky nepoužívaných dat).
zapíše do nich svůj kód. Přítomnost takových „děr“ je způsobena strukturou
Soubory PE: pozice každé sekce v souboru je zarovnána na určitou
hodnotu uvedenou v hlavičce PE a ve většině případů mezi koncem
předchozí sekce a začátek následující mají určitý počet bajtů,
které program nepoužívá. Virus hledá v souboru takové nevyužité
bloků, zapíše do nich svůj kód a zvýší je o požadovanou hodnotu
upravená velikost sekce. Velikost infikovaných souborů se nezvětší.

Pokud je na konci jakékoli části „díra“ dostatečné velikosti,
virus do něj zapíše svůj kód v jednom bloku. Pokud taková „díra“ neexistuje,
virus rozdělí svůj kód do bloků a zapíše je na konec různých sekcí
soubor. Takto lze detekovat kód viru v infikovaných souborech
jak jako jeden blok kódu, tak jako několik nesouvisejících bloků.

Virus také hledá nevyužitý datový blok v hlavičce PE. Pokud na konci
hlavička má „díru“ o velikosti alespoň 184 bajtů, virus do ní zapisuje
váš postup spouštění. Virus poté změní počáteční adresu souboru:
zapíše do něj adresu své spouštěcí procedury. V důsledku tohoto přístupu
struktura souboru se stává zcela nestandardní: adresa začátku
procedury programu neukazují na žádnou část souboru, ale dále
načtený modul - v hlavičce souboru. Windows95 však neplatí
věnujte pozornost takovým „podivným“ souborům, poté načte záhlaví souboru do paměti
všech sekcí a předá řízení na adresu uvedenou v záhlaví - na
postup spouštění viru v hlavičce PE.

Po obdržení kontroly přidělí procedura spouštění viru blok paměti
VMM zavolá PageAllocate, zkopíruje tam svůj kód a poté určí adresy
zbývající bloky virového kódu (umístěné na konci sekcí) a připojí je
ke kódu vaší spouštěcí procedury. Virus poté zachytí IFS API a
vrátí řízení hostitelskému programu.

Z hlediska operačního systému je tento postup nejzajímavější
virus: poté, co virus zkopíruje svůj kód do nového paměťového bloku a
tam přenese kontrolu, kód viru se spustí jako aplikace Ring0 a
virus je schopen zachytit AFS API (to je nemožné pro programy
popraven v Ring3).

Interceptor IFS API zpracovává pouze jednu funkci – otevírání souborů.
Pokud je otevřen soubor s příponou EXE, virus zkontroluje jeho vnitřek
formát a zapíše svůj kód do souboru. Po infekci virus zkontroluje
systémové datum a vyvolá proceduru pro vymazání Flash BIOSu a sektorů disku (viz výše).

Při mazání Flash BIOS virus používá odpovídající porty
čtení/zápis, při mazání sektorů disku virus volá funkci VxD
přímý přístup k diskům IOS_SendCommand.

Známé varianty virů

Autor viru do volné přírody nejen vypustil kopie infikovaných souborů, ale také
rozeslal původní texty assembleru viru. To vedlo k těmto
texty byly opraveny, sestaveny a brzy se objevily
modifikace viru, které měly různé délky, ale z hlediska funkčnosti ano
všechny odpovídaly svému „rodičovi“. V některých variantách viru tam byl
datum operace „bomby“ bylo změněno nebo tato sekce nebyla nikdy vyvolána.

Je také známo, že „původní“ verze viru fungují ve dnech
jinak než 26. dubna. Tuto skutečnost vysvětluje skutečnost, že kontrola data v
Kód viru se vyskytuje podle dvou konstant. Přirozeně, aby
nastavit časovač "bomby" pro daný den, stačí změnit
dva bajty v kódu viru.

Černobyl – nebezpečný počítačový virus

Virus je pouze program napsaný osobou, který neovlivňuje zdraví uživatele pracujícího na počítači. Pohádky a fámy, že viry pomocí barevných schémat a dalších efektů zobrazovaných na obrazovce monitoru zabíjejí mozek a přivádějí člověka k šílenství, nemají opodstatnění. Do počítače se dostanou stovky virů, k tomu dochází především kvůli počítačové negramotnosti uživatele a neschopnosti používat paměťová média (disky, flash disky).

– označuje rezidentní viry, které infikují systémy Windows 95 a Windows 98 Velikost viru je zanedbatelná, pouze 1 KB. Po injekci virus vymaže všechna data z disků, zadá svůj kód do paměti programu a zároveň zachytí základní příkazy do souborů. Poté zapíše své kopie na postižené soubory. Po dokončení odstranění paměti vymaže informace z pevných disků, čímž uvolní cestu ke všem diskům počítače a informacím o disku.

Autorem viru je student z Tchaj-wanu Chen Ying Hao, který virus napsal a v roce 1998 přivedl k životu. K dnešnímu dni existují tři originální kopie viru. Liší se od sebe dlouhou řadou textu a časem uvedení a porážky programy pro Windows. První hromadné ničení počítačů se shodovalo s výročím Černobylu 26. dubna. 1999, shoda aktivace viru a datum výbuchu v Černobylu dalo jméno viru. Z tchajwanské univerzity, kde autor virus studoval, se virus rychle přesunul po celé zemi, poté se epidemie rozšířila do Izraele, Rakouska, Velké Británie, Austrálie a po nějaké době se dostala i do Ruska. Porážka programů neznámým virem a v tak velkém rozsahu znepokojila veřejnost, v té době bylo postiženo půl milionu osobní počítače. Postiženy byly většinou čipy BIOS osobních počítačů.

Je zajímavé vědět, co je zahrnuto v první desítce nebezpečné viry ve světě. Jeho autor, když se dozvěděl o rozsahu škod způsobených jeho duchovním dítětem, se veřejně omluvil. Vysokoškolský vtip, který se právě chystal vytáhnout. vzdělávací proces, na jeho univerzitě, mu přinesl špatnou slávu. Ale podle zákonů země student zákon neporušil a nebyl odsouzen.

A co je nejdůležitější, virus se spouští jednou ročně - 26. dubna, je způsoben spuštěním postiženého systému a po dokončení práce vždy zůstává v paměti, infikuje další programy a sleduje akce majitelů PC. Je velmi obtížné odstranit virus po odstranění, mnoho souborů a dokumentů je ztraceno. Dobrá rada – neodstraňujte virus z počítače sami, obraťte se na odborníka, je to vaše šance, jak zachránit co nejvíce souborů a pomoci vašemu počítači obnovit jeho sílu. Schopnost malwaru reprodukovat vyvolává mezi uživateli paniku. Pouze kompetentní přístup k odstranění a léčbě viru zbaví uživatele nepříjemností.

2018-04-27 06:18:05

"Černobyl": kdo a proč vytvořil virus, který ničil disky a počítače

Nyní si pravděpodobně málokdo pamatuje, ale 26. duben není jen dnem, kdy došlo k černobylské tragédii, ale také datem, kdy statisíce uživatelů počítačů na celém světě ztratily všechny informace na svých discích a někteří dokonce i o své základní desky. kvůli viru CIH. Řekneme vám, co se stalo v roce 1999, kdo byl viníkem a jak se virus mohl rozšířit globálně.

Kdo vytvořil virus a proč?

CIH, Virus.Win9x.CIH nebo „Černobyl“ je počítačový virus, běžící pouze pod operačním systémem Windows 95/98/ME, jehož autorem je (tehdejší) tchajwanský student Chen Yinghao. Poprvé byl objeven „živý“ na Tchaj-wanu v červnu 1998, kde autor viru infikoval počítače na jeho univerzitě Datung.

Chen Yinghao (vpravo)

Po nějaké době se virus rozšířil prostřednictvím místních internetových konferencí a odtud se dostal do zahraničí. Později byly virové epidemie zaznamenány v Rakousku, Austrálii, Izraeli a Velké Británii. A pak se virus rozšířil do dalších zemí, včetně Ruska a Běloruska.

Asi o měsíc později byly na několika amerických webových serverech distribuujících herní programy objeveny infikované soubory, které přispěly ke globální virové epidemii.

Píší, že Chen Yinghao vytvořil virus, aby potrestal prodejce antivirové programy, která se v boji s viry na univerzitních počítačích ukázala jako zbytečná.

Když se dozvěděl, že se virus rozšířil po celém světě, byl nervózní, ale byl si jistý, že s dostatkem času na to bezpečnostní experti dokážou přijít.

26. dubna 1999

Toto datum si majitelé tehdy infikovaných počítačů pravděpodobně stále pamatují. V tento den vybuchla „logická bomba“ vložená do kódu viru. Podle různých odhadů bylo v tento den po celém světě poškozeno asi půl milionu počítačů - byla zničena jejich data na pevném disku, u některých byl poškozen obsah čipů BIOS na základních deskách (tím byly zcela nefunkční ).

Tento incident byl skutečnou počítačovou katastrofou – virové epidemie a jejich následky nebyly nikdy předtím tak rozsáhlé a nepřinesly takové ztráty.

Podle různých odhadů se škody způsobené virem pohybovaly od 20 do 80 milionů dolarů. To nepočítá morální újmu – obrovské množství lidí přišlo o svá osobní data, protože v roce 1999 ještě nebyly distribuovány cloudové úložiště a streamovací služby.

Zřejmě proto, že virus představoval skutečnou hrozbu pro počítače po celém světě a datum jeho působení se shodovalo s datem havárie v jaderné elektrárně v Černobylu, dostal své druhé, mnohem běžnější jméno - „Černobyl“.

Autor viru téměř jistě nijak nespojoval černobylskou tragédii se svým duchovním dítětem a datum spuštění „bomby“ stanovil na 26. dubna ze zcela jiného důvodu: právě v tento den roku 1998 vydal první verze jeho viru (která mimochodem nikdy nepřekročila hranice Tchaj-wanu), tzn. 26. dubna tedy virus slaví své „narozeniny“.

Na to vzpomínala jedna z obětí: „Po obdržení varování celá kancelář změnila datum, aby se neaktivovalo... A jak jsem to podělal, zapomněl jsem to tenkrát odšroubovat... A přesně za měsíc později se počítač zhroutil...“

Jak virus fungoval

Při spuštění infikovaného souboru virus nainstaloval svůj kód do paměti Windows, zachytil volání souborů a při otevírání spuštěných EXE souborů do nich zapsal svou kopii. Kvůli chybám v kódu virus někdy zamrzl systém při spouštění infikovaných souborů. A když dorazilo zadané datum, zkusil jsem vymazat Flash BIOS a obsah disků.

Modul BIOS na základní desce

Zápis do Flash BIOSu je možný pouze na příslušných typech základních desek a při aktivaci odpovídajícího přepínače. Tento přepínač je obvykle nastaven na pouze pro čtení, ale to neplatí pro všechny výrobce počítačů.

Flash BIOS na některých moderních základních deskách bohužel nelze chránit přepínačem: některé umožňují zápis do Flash v libovolné poloze přepínače, na jiných lze ochranu proti zápisu do Flash programově zrušit.

Po vymazání flash paměti virus přešel k další destruktivní proceduře: zničil informace na všech nainstalovaných pevných discích. Zároveň obešel standardní antivirovou ochranu zabudovanou v BIOSu proti zápisu do boot sektorů.

Existují tři hlavní (tzv. proprietární) verze viru. Jsou si navzájem dost podobné a liší se pouze drobnými detaily kódu v různých rutinách. Verze viru obdržely různé délky, řádky textu a datum operace procedury mazání disku a Flash BIOS.

Všechny mají velikost asi 1 kilobajt. První dvě verze fungovaly 26. dubna, třetí - 26. každého měsíce.

Co se stalo pak?

Autor viru nejenže uvolnil viry, ale také rozeslal původní montážní kódy viru. To vedlo k tomu, že tyto texty byly opraveny, zkompilovány a brzy se objevily modifikace viru, které byly sice různě dlouhé, ale z hlediska funkčnosti všechny odpovídaly svému „rodičovi“.

U některých variant viru bylo změněno datum působení „bomby“ nebo tato sekce nebyla vůbec použita (okamžitá operace). Koneckonců, aby bylo možné nastavit časovač „bomby“ pro daný den, stačí změnit pouze dva bajty v kódu viru.

Viry obvykle způsobují poškození softwaru počítače. Viry tak či onak komplikují práci počítače, monitorují nebo kradou některá uživatelská data. Například velmi nepříjemný, který uživatele velmi nepříjemně pronásleduje v jakémkoli prohlížeči. Ale je to všechno software. Poškozený softwarový produkt infikovaný virem lze vyléčit nebo vyměnit. Existují viry, které mohou poškodit hardware počítače?

Virus Win95.CIH (Černobyl)

Černobyl – tak se jmenoval první počítačový virus, který ukázal, že viry dokážou nejen škodit software, ale také Hardware počítač. Černobylský virus, napsaný v roce 1998 tchajwanským studentem, poškodil obsah BIOSu na některých základních deskách, což mohlo způsobit poškození samotného BIOSu. základní deska. A takové případy byly. Ale přesto bylo hlavním chodem zničení všech informací z pevný disk počítač. No, alespoň je to nějaké plus, protože potřeba ustoupila. Všichni, kteří měli tu smůlu, že získali tento virus, již trpěli.

Virus dostal své křestní jméno - Win95.CIH - od svého autora. Mimochodem vydal tři různé verze jejich viru, které se od sebe příliš nelišily. Je to pravda, Nejnovější verze spuštěna 26. dne každého měsíce. A každá verze měla své vlastní číslo. Ale druhé jméno - černobylský virus - mu dal Počítačový svět. Proč? Protože virus se aktivoval 26. dubna a v ten den provedl všechny své destruktivní akce. A právě v tento den roku 1986 bohužel došlo k havárii v Černobylu. I když, jak říká autor viru, datum spuštění viru – 26. dubna každého roku – bylo zvoleno jen proto, že v tento den slavil sám virus své narozeniny. Slavil však po svém.

Nebezpečí černobylského viru

Černobylský virus již nepředstavuje žádné nebezpečí, protože pracovním prostředím tohoto viru jsou počítače operační systémy Windows 95 a 98. To ale neznamená, že nehrozí nákaza virem, který poškodí hardware počítače. To jen ukazuje, že mnozí po celém světě o této příležitosti vědí a chtějí úspěch tchajwanského studenta zopakovat. A některým se to již podařilo. Ale je nepravděpodobné, že se stanou slavnějšími než Černobyl. Protože první svého druhu se lépe pamatuje.