ویروس کامپیوتری چرنوبیل ویروس "چرنوبیل" سالهاست که ادای احترام می کند. "چرنوبیل": چه کسی و چرا ویروسی را ایجاد کرد که دیسک ها و رایانه ها را از بین می برد

همچنین به عنوان "چرنوبیل" شناخته می شود. ویروس Resident، فقط تحت Windows95/98 کار می کند و فایل های PE را آلوده می کند
(قابل حمل قابل اجرا). طول نسبتاً کمی دارد - حدود 1 کیلوبایت. بود
در ژوئن 1998 "زنده" در تایوان کشف شد - نویسنده ویروس آلوده شد
کامپیوترهای دانشگاه محلی که در آن زمان او (نویسنده ویروس) در آنجا بود
تحت آموزش قرار گرفت. پس از مدتی، فایل های آلوده (به طور تصادفی؟) بودند.
به کنفرانس های اینترنتی محلی ارسال شد و ویروس از آن خارج شد
تایوان: طی هفته بعد، همه گیری های ویروسی در این کشور گزارش شد
اتریش، استرالیا، اسرائیل و بریتانیا. سپس ویروس در آن کشف شد
چندین کشور دیگر از جمله روسیه.

حدود یک ماه بعد، فایل های آلوده در چندین مورد پیدا شد
وب سرورهای آمریکایی که برنامه های بازی را توزیع می کنند. این حقیقت،
ظاهرا، و به عنوان علت اپیدمی ویروسی جهانی متعاقب آن عمل کرد. 26
آوریل 1999 (حدود یک سال پس از ظهور ویروس) کار کرد
"بمب منطقی" در کد آن تعبیه شده است. طبق برآوردهای مختلف در این روز
در سراسر جهان، حدود نیم میلیون رایانه تحت تأثیر قرار گرفتند - آنها آسیب دیدند
اطلاعات روی هارد دیسک از بین می رود و در برخی از آنها خراب می شود
محتویات تراشه های بایوس روی مادربردها این حادثه تبدیل شده است
فاجعه رایانه ای - همه گیرهای ویروس و عواقب آنها قبلاً هرگز
که چندان بزرگ نبودند و چنین خساراتی به همراه نداشتند.

ظاهراً به دلایلی که 1) ویروس یک تهدید واقعی برای رایانه ها در طول مدت بوده است
در سراسر جهان و 2) تاریخ عملیات ویروس (26 آوریل) مصادف با تاریخ است.
حادثه در نیروگاه هسته ای چرنوبیل، ویروس دومین خود را گرفت
نام - "چرنوبیل" (چرنوبیل).

نویسنده ویروس، به احتمال زیاد، تراژدی چرنوبیل را با آن مرتبط نکرده است
با ویروس او و تاریخ "بمب" را 26 آوریل تعیین کرد
دلیل دیگر: در 26 آوریل 1998، او اولین نسخه را منتشر کرد
ویروس آن (که اتفاقاً تایوان را ترک نکرد) - 26
آوریل، ویروس CIH "تولد" خود را به این ترتیب جشن می گیرد.

نحوه عملکرد ویروس

هنگامی که یک فایل آلوده راه اندازی می شود، ویروس کد خود را در آن نصب می کند حافظه ویندوز,
دسترسی های فایل را قطع می کند و هنگام باز کردن فایل های PE EXE، در آن می نویسد
آنها کپی شما هستند. حاوی اشکالات است و در برخی موارد سیستم را هنگ می کند
هنگام اجرای فایل های آلوده بسته به تاریخ فعلی، فلش را پاک می کند
بایوس و محتویات دیسک.

نوشتن در بایوس فلش فقط در انواع مادربردهای مربوطه امکان پذیر است.
بردها و با تنظیم فعال سوئیچ مربوطه. این
سوئیچ معمولاً روی فقط خواندنی تنظیم می شود، با این حال
برای همه تولید کنندگان کامپیوتر صادق نیست. متاسفانه فلش بایوس
در برخی از مادربردهای مدرن نمی توان محافظت کرد
سوئیچ: برخی از آنها امکان نوشتن روی فلش را در هر موقعیتی فراهم می کنند
سوئیچ، در سایرین، حفاظت از نوشتن در فلش را می توان به صورت برنامه نویسی لغو کرد.

پس از پاک کردن موفقیت آمیز حافظه فلش، ویروس به دیگری منتقل می شود
رویه مخرب: اطلاعات همه نصب شده را پاک می کند
دیسکهای سخت. در این حالت، ویروس از دسترسی مستقیم به داده های روی دیسک و
بدین ترتیب حفاظت ضد ویروس استاندارد تعبیه شده در BIOS در مقابل را دور می زند
در بخش های بوت می نویسد.

سه نسخه اصلی ("نویسنده") از ویروس وجود دارد. کاملا شبیه هم هستند
بر روی یکدیگر و تنها در جزئیات جزئی کد در انواع مختلف متفاوت است
زیر برنامه ها نسخه های ویروس دارای طول، خطوط متن و تاریخ متفاوتی هستند
راه اندازی روش پاک کردن دیسک و فلش بایوس:

جزییات فنی

هنگام آلوده کردن فایل‌ها، ویروس به دنبال «حفره‌ها» (بلوک‌هایی از داده‌های استفاده نشده) در آنها می‌گردد
کد خود را برای آنها می نویسد. وجود چنین "سوراخ" به دلیل ساختار است
فایل های PE: موقعیت هر بخش در فایل به یک قسمت خاص تراز شده است
مقدار مشخص شده در هدر PE و در بیشتر موارد بین انتهای آن
قسمت قبل و ابتدای قسمت بعدی تعداد مشخصی بایت وجود دارد
که توسط برنامه استفاده نمی شود. ویروس فایل را برای موارد استفاده نشده جستجو می کند
بلاک می کند، کد خود را در آنها می نویسد و به مقدار لازم افزایش می یابد
اندازه بخش اصلاح شده حجم فایل های آلوده افزایش نمی یابد.

اگر یک "سوراخ" با اندازه کافی در انتهای هر بخش وجود داشته باشد،
ویروس کد خود را در یک بلوک در آن می نویسد. اگر چنین سوراخی وجود نداشته باشد،
ویروس کد خود را به بلوک ها تقسیم می کند و آنها را در انتهای بخش های مختلف می نویسد
فایل. بنابراین، کد ویروس در فایل های آلوده قابل شناسایی است
هم به عنوان یک بلوک واحد از کد و هم به عنوان چندین بلوک نامرتبط.

این ویروس همچنین به دنبال یک بلوک داده استفاده نشده در هدر PE می گردد. اگر در پایان
هدر دارای یک "حفره" حداقل 184 بایت است، ویروس روی آن می نویسد
روش راه اندازی شما سپس ویروس آدرس شروع فایل را تغییر می دهد:
آدرس روال راه اندازی خود را در آن می نویسد. در نتیجه این رویکرد
ساختار فایل نسبتاً غیر استاندارد می شود: آدرس شروع
رویه های برنامه به هیچ بخشی از فایل اشاره نمی کنند، بلکه به خارج از آن اشاره می کنند
ماژول قابل بارگیری - در هدر فایل. با این حال، Windows95 اینطور نیست
توجه به چنین فایل های "عجیب"، هدر فایل را در حافظه بارگذاری می کند
تمام بخش ها و کنترل را به آدرس مشخص شده در هدر - به انتقال می دهد
روش راه اندازی ویروس در هدر PE.

پس از دریافت کنترل، روش راه اندازی ویروس یک بلوک از حافظه را اختصاص می دهد
VMM به PageAllocate تماس می گیرد، کد آن را در آنجا کپی می کند، سپس آدرس ها را تعیین می کند
کد ویروس باقیمانده (در انتهای بخش ها قرار دارد) را بلوک می کند و آنها را اضافه می کند
به کد رویه راه اندازی شما. سپس ویروس IFS API و
کنترل را به برنامه میزبان برمی گرداند.

از نظر سیستم عامل، این رویه در بیشتر موارد جالب است
ویروس: پس از اینکه ویروس کد خود را در یک بلوک جدید از حافظه کپی کرد و
کنترل به آنجا منتقل می شود، کد ویروس به عنوان برنامه Ring0 اجرا می شود و
ویروس قادر است API AFS را رهگیری کند (این برای برنامه ها غیرممکن است
در Ring3 اجرا شد).

رهگیر IFS API تنها یک عملکرد را کنترل می کند - باز کردن فایل ها.
اگر فایلی با پسوند EXE باز شود، ویروس داخلی آن را بررسی می کند
فرمت کرده و کد آن را در فایل می نویسد. پس از عفونت، ویروس بررسی می شود
تاریخ سیستم و فراخوانی بایوس فلش و روش پاک کردن بخش دیسک (به بالا مراجعه کنید).

هنگام پاک کردن بایوس فلش، ویروس از پورت های مناسب استفاده می کند
خواندن / نوشتن، هنگام پاک کردن بخش های دیسک، ویروس تابع VxD را فراخوانی می کند
دسترسی مستقیم به دیسک IOS_SendCommand.

انواع شناخته شده ویروس

نویسنده این ویروس نه تنها نسخه هایی از فایل های آلوده را "به آزادی" منتشر کرد، بلکه همچنین
متن های اسمبلر منبع ویروس را ارسال کرد. این منجر به اینها شده است
متون تصحیح، گردآوری و به زودی ظاهر شدند
تغییراتی در ویروس که طول های متفاوتی داشتند، اما از نظر عملکرد آنها
همه با "والد" خود مطابقت داشتند. در برخی از انواع ویروس،
تاریخ "بمب" تغییر کرد یا این بخش اصلاً فراخوانی نشد.

همچنین در مورد نسخه های "اصلی" ویروس که در روز کار می کنند نیز شناخته شده است
غیر از 26 [آوریل]. این واقعیت با این واقعیت توضیح داده می شود که بررسی تاریخ در
کد ویروس بر اساس دو ثابت رخ می دهد. به طور طبیعی، به منظور
تایمر "بمب" را برای هر روز مشخص تنظیم کنید، فقط کافی است تغییر دهید
دو بایت در کد ویروس

چرنوبیل - یک ویروس رایانه ای خطرناک

ویروس فقط برنامه ای است که توسط شخصی نوشته شده است که بر سلامت کاربر کار بر روی رایانه تأثیری نمی گذارد. افسانه ها و شایعات مبنی بر اینکه ویروس ها از طریق طرح های رنگی و سایر افکت های نمایش داده شده بر روی صفحه مانیتور، مغز را می کشند، انسان را دیوانه می کنند، هیچ مبنایی ندارند. صدها ویروس وارد رایانه می شوند ، این در درجه اول به دلیل بی سوادی رایانه کاربر ، ناتوانی در استفاده از رسانه های ذخیره سازی (دیسک ها ، درایوهای فلش) اتفاق می افتد.

- به ویروس های مقیمی اطلاق می شود که سیستم های ویندوز 95، ویندوز 98 را آلوده می کنند.اندازه ویروس ناچیز است، فقط 1 کیلوبایت. ویروس در حین نفوذ، تمام داده ها را از روی دیسک ها پاک می کند، کد خود را به حافظه برنامه تزریق می کند، در حالی که دستورات اصلی فایل ها را رهگیری می کند. سپس کپی هایی از خود روی فایل های آسیب دیده می نویسد. پس از اتمام حذف حافظه، اطلاعات را از هارد دیسک پاک می کند، بنابراین راه خود را به تمام دیسک های کامپیوتر، به اطلاعات دیسک باز می کند.

نویسنده این ویروس دانشجوی تایوانی چن یینگ هائو است که این ویروس را نوشت و در سال 1998 آن را زنده کرد. تا به امروز، سه نسخه نویسنده از این ویروس وجود دارد. آنها با یک خط طولانی متن و زمان نفوذ و شکست با یکدیگر تفاوت دارند. برنامه های ویندوز. اولین کشتار جمعی کامپیوترها با سالگرد چرنوبیل در 26.04 مصادف شد. در سال 1999، همزمانی فعال شدن ویروس و تاریخ انفجار چرنوبیل، نام این ویروس را به این ویروس داد. از دانشگاه تایوان، جایی که نویسنده ویروس در آن تحصیل کرده بود، به سرعت در سراسر کشور حرکت کرد، سپس این بیماری همه گیر به اسرائیل، اتریش، بریتانیای کبیر، استرالیا گسترش یافت و پس از مدتی به روسیه رسید. شکست برنامه ها توسط یک ویروس ناشناخته و در چنین مقیاس وسیعی، افکار عمومی را نگران کرد و نیم میلیون نفر تحت تأثیر قرار گرفتند. کامپیوترهای شخصی. بیشتر ریزتراشه‌های BIOS رایانه‌های شخصی آسیب دیدند.

جالب است بدانید که چه چیزی در بین ده نفر برتر قرار دارد ویروس های خطرناکدر جهان. نویسنده آن وقتی از میزان آسیب ناشی از فرزندانش مطلع شد، علناً عذرخواهی کرد. شوخی دانشگاهی که می خواست منفجر شود فرآیند مطالعهدر دانشگاهش، او را بدنامی به ارمغان آورد. اما طبق قوانین کشور، دانش آموز قانون شکنی نکرد، مورد قضاوت قرار نگرفت.

و مهمتر از همه، ویروس یک بار در سال کار می کند - در 26 آوریل، به دلیل راه اندازی سیستم آسیب دیده ایجاد می شود، و در پایان کار همیشه در حافظه باقی می ماند، برنامه های دیگر را آلوده می کند و اقدامات صاحبان رایانه شخصی را مشاهده می کند. حذف یک ویروس بسیار دشوار است؛ پس از حذف، بسیاری از فایل ها و اسناد از بین می روند. توصیه خوب - خودتان ویروس را از رایانه خود حذف نکنید، با یک متخصص تماس بگیرید، این شانس شماست که تا حد امکان فایل ها را ذخیره کنید، به رایانه کمک کنید تا قدرت خود را تجدید کند. توانایی بازتولید برنامه های مخرب باعث ایجاد وحشت در بین کاربران می شود. تنها یک رویکرد شایسته برای حذف و درمان ویروس، کاربر را از ناراحتی رها می کند.

2018-04-27 06:18:05

"چرنوبیل": چه کسی و چرا ویروسی را ایجاد کرد که دیسک ها و رایانه ها را از بین می برد

اکنون، احتمالاً تعداد کمی از مردم به یاد دارند، اما 26 آوریل نه تنها روزی است که فاجعه چرنوبیل رخ داد، بلکه تاریخی است که صدها هزار کاربر رایانه در سراسر جهان تمام اطلاعات روی دیسک های خود را از دست دادند و حتی برخی مادربردهای خود را به دلیل از دست دادن به ویروس CIH ما می گوییم در سال 1999 چه اتفاقی افتاد، چه کسی مقصر بود و چگونه ویروس توانست در سطح جهانی گسترش یابد.

چه کسی و چرا ویروس را ایجاد کرد

CIH، Virus.Win9x.CIH یا "Chernobyl" است ویروس کامپیوتری، که فقط تحت سیستم عامل Windows 95/98/ME که توسط دانشجوی تایوانی (در آن زمان) Chen Yinghao نوشته شده است اجرا می شود. اولین بار در ژوئن 1998 به صورت زنده در تایوان کشف شد، جایی که نویسنده این ویروس کامپیوترهای دانشگاه تاتونگ خود را آلوده کرد.

چن ینگهائو (راست)

پس از مدتی، ویروس از طریق کنفرانس های اینترنتی محلی پخش شد و از آنجا به خارج از کشور رفت. بعدها، همه گیری های ویروسی در اتریش، استرالیا، اسرائیل و بریتانیا گزارش شد. و سپس ویروس به کشورهای دیگر از جمله روسیه و بلاروس سرایت کرد.

حدود یک ماه بعد، فایل‌های آلوده در چندین سرور وب ایالات متحده که برنامه‌های بازی را توزیع می‌کردند، یافت شد که به همه‌گیری جهانی ویروس کمک کرد.

آنها می نویسند که چن ینگهائو ویروسی برای مجازات فروشندگان ایجاد کرده است برنامه های آنتی ویروس، که معلوم شد در مبارزه با ویروس ها در رایانه های دانشگاه بی فایده است.

وقتی فهمید که ویروس در سراسر جهان پخش شده است، عصبی شد، اما مطمئن بود که با زمان کافی، کارشناسان امنیتی می توانند آن را کشف کنند.

26 آوریل 1999

این تاریخ احتمالاً هنوز توسط صاحبان رایانه های آلوده در آن زمان به یاد می ماند. در این روز، "بمب منطقی" تعبیه شده در کد ویروس کار کرد. بر اساس برآوردهای مختلف، حدود نیم میلیون رایانه در سراسر جهان در آن روز آسیب دیدند - آنها داده های هارد دیسک های خود را از بین بردند، و در برخی، محتویات تراشه های BIOS روی مادربردها نیز خراب شده بود (بنابراین معلوم شد که آنها کاملاً غیرقابل کار هستند. ).

این حادثه یک فاجعه کامپیوتری واقعی بود - همه گیرهای ویروس و پیامدهای آنها قبلاً هرگز در مقیاس بزرگ نبوده و چنین خساراتی را به همراه نداشته است.

بر اساس برآوردهای مختلف، خسارت ناشی از این ویروس بین 20 تا 80 میلیون دلار بود. این آسیب معنوی را در نظر نمی گیرد - تعداد زیادی از مردم داده های شخصی خود را از دست دادند، زیرا در سال 1999 آنها هنوز توزیع نشده بودند. فضای ذخیره ابریو خدمات استریم

ظاهراً به دلیل اینکه ویروس یک تهدید واقعی برای رایانه های سراسر جهان بود و تاریخ عملکرد آن با تاریخ حادثه در نیروگاه هسته ای چرنوبیل مصادف شد، نام دوم و بسیار رایج تر خود را دریافت کرد - چرنوبیل (چرنوبیل).

نویسنده ویروس تقریباً به طور قطع فاجعه چرنوبیل را با فرزندان خود وصل نکرد و تاریخ "بمب" را به دلیل کاملاً متفاوتی 26 آوریل تعیین کرد: در چنین روزی در سال 1998 بود که اولین نسخه ویروس خود را منتشر کرد. (که اتفاقاً هرگز از تایوان فراتر نرفت)، یعنی. بنابراین، در 26 آوریل، ویروس "تولد" خود را جشن می گیرد.

در اینجا چیزی است که یکی از قربانیان به یاد می آورد: "با دریافت یک اخطار، کل دفتر تاریخ را تغییر داد - تا فعال نشود ... و چگونه من خراب کردم و فراموش کردم که بعداً آن را باز کنم ... و دقیقاً یک ماه بعداً رایانه تحت پوشش قرار گرفت ... ".

نحوه عملکرد ویروس

هنگامی که یک فایل آلوده راه اندازی شد، ویروس کد خود را در حافظه ویندوز نصب کرد، دسترسی به فایل ها را قطع کرد و هنگام باز کردن فایل های EXE در حال راه اندازی، یک کپی از خود را در آنها نوشت. به دلیل اشکالات در کد، ویروس گاهی اوقات هنگام راه اندازی فایل های آلوده سیستم را "آویزان" می کند. و در زمان تعیین شده سعی کرد بایوس فلش و محتویات دیسک ها را پاک کند.

ماژول BIOS روی مادربرد

نوشتن در بایوس فلش فقط در انواع مادربردهای مربوطه و زمانی که سوئیچ مربوطه فعال باشد امکان پذیر است. این سوئیچ معمولاً روی فقط خواندنی تنظیم می شود، اما این ممکن است برای همه تولیدکنندگان رایانه صادق نباشد.

متأسفانه، بایوس فلش در برخی از مادربردهای مدرن را نمی توان با سوئیچ محافظت کرد: برخی از آنها امکان نوشتن روی فلش را در هر موقعیت سوئیچ فراهم می کنند، در برخی دیگر، حفاظت از نوشتن در Flash را می توان با نرم افزار لغو کرد.

پس از پاک کردن حافظه فلش، ویروس به یک روش مخرب دیگر رفت: اطلاعات موجود در تمام هارد دیسک های نصب شده را از بین برد. در همان زمان، او حفاظت استاندارد ضد ویروس تعبیه شده در بایوس را از نوشتن به بخش های بوت دور زد.

سه نسخه اصلی (به اصطلاح نویسنده) از ویروس وجود دارد. آنها کاملاً شبیه یکدیگر هستند و فقط در جزئیات جزئی کد در زیر روال های مختلف متفاوت هستند. نسخه‌های ویروس طول، خطوط متن و تاریخ فعال‌سازی پاک کردن دیسک و رویه فلش بایوس را دریافت کردند.

اندازه همه آنها حدود 1 کیلوبایت است. دو نسخه اول در 26 آوریل و نسخه سوم در 26 هر ماه کار کردند.

بعد چه اتفاقی افتاد؟

نویسنده این ویروس نه تنها ویروس ها را "به آزادی" منتشر کرد، بلکه متن های اسمبلر منبع ویروس را نیز ارسال کرد. این منجر به این واقعیت شد که این متون تصحیح، گردآوری شدند و به زودی اصلاحاتی از ویروس ظاهر شد که طول های متفاوتی داشت، اما از نظر عملکرد همه آنها با "والد" خود مطابقت داشتند.

در برخی از انواع ویروس، تاریخ "بمب" تغییر کرده است یا این بخش اصلا استفاده نشده است (محرک فوری). در واقع، برای تنظیم تایمر "بمب" برای هر روز، کافی است فقط دو بایت در کد ویروس تغییر دهید.

معمولاً ویروس ها باعث آسیب نرم افزاری به رایانه می شوند. ویروس‌ها به هر نحوی کار کامپیوتر را پیچیده می‌کنند، مانیتور می‌کنند یا برخی از داده‌های کاربر را سرقت می‌کنند. به عنوان مثال، یک مورد بسیار ناخوشایند که به طور بسیار آزاردهنده ای کاربر را در هر مرورگری آزار می دهد. ولی همش نرم افزاره یک محصول نرم افزاری آسیب دیده و آلوده به ویروس را می توان تعمیر یا جایگزین کرد. آیا ویروس هایی وجود دارند که می توانند به سخت افزار کامپیوتر آسیب برسانند؟

ویروس Win95.CIH (چرنوبیل)

چرنوبیل - این نامی است که به اولین ویروس رایانه ای داده شده است که نشان داد ویروس ها نه تنها می توانند آسیب ببینند نرم افزار، اما همچنین سخت افزارکامپیوتر. ویروس چرنوبیل که در سال 1998 توسط یک دانشجوی تایوانی نوشته شد، محتویات بایوس برخی از مادربردها را خراب کرد که می تواند به خود سیستم آسیب برساند. مادربرد. و چنین مواردی وجود داشت. اما با این حال، غذای اصلی از بین بردن تمام اطلاعات با هارد دیسککامپیوتر. خوب، حداقل مقداری مثبت، زیرا نیاز فروکش کرد. همه کسانی که بدشانسی گرفته اند تا به این ویروس مبتلا شوند، قبلاً در اینجا رنج کشیده اند.

این ویروس نام کوچک خود را - Win95.CIH - از نویسنده خود دریافت کرد. اتفاقا او سه نفر را آزاد کرد نسخه های مختلفویروس آنها که تفاوت چندانی با یکدیگر نداشتند. حقیقت، آخرین نسخهدر 26 هر ماه راه اندازی شد. و هر نسخه شماره مخصوص به خود را داشت. اما نام دوم - ویروس چرنوبیل - توسط او به او داده شد دنیای کامپیوتر. چرا؟ زیرا ویروس در 26 آوریل فعال شد و تمام اقدامات مخرب آن روز را ایجاد کرد. و در چنین روزی در سال 1986 متاسفانه حادثه چرنوبیل رخ داد. اگرچه همانطور که نویسنده ویروس می گوید، تاریخ راه اندازی ویروس - 26 آوریل هر سال - فقط به این دلیل انتخاب شده است که خود ویروس در آن روز تولد خود را جشن گرفته است. او اما به روش خودش جشن گرفت.

خطر ویروس چرنوبیل

ویروس چرنوبیل دیگر هیچ خطری ندارد، زیرا محیط کار برای این ویروس رایانه ها روشن است سیستم های عاملویندوز 95 و 98. اما این به هیچ وجه به این معنی نیست که خطر ابتلا به ویروسی که سخت افزار کامپیوتر را از کار می اندازد وجود ندارد. این فقط نشان می دهد که بسیاری در سراسر جهان از این فرصت آگاه هستند و می خواهند موفقیت دانش آموز تایوانی را تکرار کنند. و برخی قبلاً موفق شده اند. اما بعید است که بتوانند مشهورتر از چرنوبیل شوند. از آنجایی که اولین در نوع خود به خاطر سپردن آسان تر است.