Datorvīruss Černobiļa. Černobiļas vīruss jau daudzus gadus vāc cieņu. "Černobiļa": kas un kāpēc radīja vīrusu, kas iznīcināja diskus un datorus

Zināms arī kā "Černobiļa". Resident vīruss, darbojas tikai operētājsistēmā Windows95/98 un inficē PE failus
(Pārnēsājams izpildāms). Tas ir diezgan īss garumā - apmēram 1Kb. Bija
atklāja "dzīvu" Taivānā 1998. gada jūnijā - vīrusa autors bija inficēts
datori vietējā universitātē, kurā viņš (vīrusa autors) tajā laikā atradās
tika apmācīts. Pēc kāda laika inficētie faili tika (nejauši?)
nosūtīts uz vietējām interneta konferencēm, un vīruss izkļuva no
Taivāna: nākamajā nedēļā tika reģistrētas vīrusu epidēmijas
Austrija, Austrālija, Izraēla un Lielbritānija. Pēc tam vīruss tika atklāts
vairākas citas valstis, tostarp Krievija.

Apmēram mēnesi vēlāk inficētie faili tika atrasti vairākos
Amerikāņu tīmekļa serveri, kas izplata spēļu programmas. Šis fakts,
Acīmredzot tas bija nākamās globālās vīrusu epidēmijas cēlonis. 26
1999. gada aprīlis (apmēram gadu pēc vīrusa parādīšanās) strādāja
"loģiskā bumba", kas iestrādāta tās kodā. Pēc dažādām aplēsēm, šajā dienā
visā pasaulē tika ietekmēts aptuveni pusmiljons datoru – viņiem tas bija
Cietajā diskā esošie dati tika iznīcināti, un dažos tie arī tika sabojāti
BIOS mikroshēmu saturs mātesplatēs. Šis incidents kļuva reāls
datora katastrofa - vīrusu epidēmijas un to sekas vēl nekad nav redzētas
Turklāt tie nebija tik liela mēroga un nenesa tādus zaudējumus.

Acīmredzot tādu iemeslu dēļ, ka 1) vīruss radīja reālus draudus datoriem laikā
visā pasaulē un 2) vīrusa darbības datums (26. aprīlis) sakrīt ar datumu
avārija Černobiļas atomelektrostacijā, vīruss saņēma otro
nosaukums - "Černobiļa"

Vīrusa autors, visticamāk, nesaistīja Černobiļas traģēdiju ar
ar savu vīrusu un nosakiet "bumbas" noslīdēšanas datumu 26. aprīlī.
vēl viens iemesls: 1998. gada 26. aprīlī viņš izlaida pirmo versiju
vīruss (kas, starp citu, nekad nav atstājis Taivānu) - 26
Aprīlī CIH vīruss svin savu “dzimšanas dienu” līdzīgi.

Kā vīruss darbojas

Kad palaižat inficētu failu, vīruss instalē tā kodu Windows atmiņa,
pārtver failu pieprasījumus un ieraksta failā, atverot PE EXE failus
viņiem jūsu kopija. Satur kļūdas un dažos gadījumos iesaldē sistēmu
palaižot inficētus failus. Atkarībā no pašreizējā datuma izdzēš Flash
BIOS un diska saturs.

Ierakstīšana uz Flash BIOS ir iespējama tikai atbilstoša veida mātesplatēs.
dēļi un kad attiecīgais slēdzis ir iestatīts, lai atļautu. Šis
Slēdzis parasti ir iestatīts uz tikai lasāmu, tomēr tas
Tas neattiecas uz visiem datoru ražotājiem. Diemžēl Flash BIOS
dažās mūsdienu mātesplatēs var nebūt aizsargātas
slēdzis: daži no tiem ļauj ierakstīt Flash jebkurā pozīcijā
slēdzis; citos gadījumos Flash rakstīšanas aizsardzību var ignorēt programmatiski.

Pēc veiksmīgas zibatmiņas dzēšanas vīruss pāriet uz citu
destruktīva procedūra: dzēš informāciju par visu instalēto
cietie diski. Šajā gadījumā vīruss izmanto tiešu piekļuvi datiem diskā un
tādējādi apejot standarta pretvīrusu aizsardzību, kas iebūvēta BIOS
raksta sāknēšanas sektoros.

Ir trīs galvenās (“autora”) vīrusa versijas. Tie ir diezgan līdzīgi
viens otru un atšķiras tikai ar nelielām koda detaļām dažādās
apakšprogrammas Vīrusa versijām ir dažāds garums, teksta rindiņas un datums
diska dzēšanas procedūras un Flash BIOS aktivizēšana:

Tehniskas detaļas

Inficējot failus, vīruss meklē tajos “caurumus” (neizmantoto datu blokus) un
ieraksta tajās savu kodu. Šādu “caurumu” klātbūtne ir saistīta ar struktūru
PE faili: katras sadaļas pozīcija failā ir saskaņota ar noteiktu
vērtība, kas norādīta PE galvenē, un vairumā gadījumu starp beigām
iepriekšējā sadaļā un nākamās sākumā ir noteikts baitu skaits,
kurus programma neizmanto. Vīruss meklē failā šādu neizmantoto
bloķē, ieraksta tajos savu kodu un palielina tos par nepieciešamo vērtību
modificēts sadaļas izmērs. Inficēto failu lielums nepalielinās.

Ja kādas sadaļas beigās ir pietiekama izmēra "caurums",
vīruss ieraksta tajā savu kodu vienā blokā. Ja tāda “cauruma” nav,
vīruss sadala savu kodu blokos un ieraksta tos dažādu sadaļu beigās
failu. Tādējādi var atklāt vīrusa kodu inficētajos failos
gan kā viens koda bloks, gan kā vairāki nesaistīti bloki.

Vīruss arī meklē neizmantotu datu bloku PE galvenē. Ja beigās
galvenes "caurums" ir vismaz 184 baiti, vīruss uz to raksta
jūsu palaišanas procedūra. Pēc tam vīruss maina faila sākuma adresi:
ieraksta tajā startēšanas procedūras adresi. Šīs pieejas rezultātā
faila struktūra kļūst diezgan nestandarta: sākuma adrese
programmas procedūras nenorāda uz kādu faila sadaļu, bet tālāk
ielādēts modulis - faila galvenē. Tomēr Windows95 nemaksā
pievērsiet uzmanību šādiem "dīvainiem" failiem, ielādējiet faila galveni atmiņā un pēc tam
visas sadaļas un nodod kontroli uz galvenē norādīto adresi - uz
vīrusa palaišanas procedūra PE galvenē.

Saņemot kontroli, vīrusa palaišanas procedūra piešķir atmiņas bloku
VMM izsauc PageAllocate, kopē tā kodu un pēc tam nosaka adreses
atlikušos vīrusa koda blokus (atrodas sadaļu beigās) un pievieno tos
uz startēšanas procedūras kodu. Pēc tam vīruss pārtver IFS API un
atgriež kontroli resursdatora programmai.

No operētājsistēmas viedokļa šī procedūra ir visinteresantākā
vīruss: pēc tam, kad vīruss ir pārkopējis savu kodu jaunā atmiņas blokā un
tur nokārtojis kontroli, vīrusa kods tiek izpildīts kā Ring0 lietojumprogramma, un
vīruss spēj pārtvert AFS API (tas nav iespējams programmām
izpildīts Ring3).

IFS API pārtvērējs apstrādā tikai vienu funkciju - failu atvēršanu.
Ja tiek atvērts fails ar paplašinājumu EXE, vīruss pārbauda tā iekšējo
formātā un ieraksta tā kodu failā. Pēc inficēšanās vīruss pārbauda
sistēmas datumu un izsauc Flash BIOS un diska sektoru dzēšanas procedūru (skatiet iepriekš).

Dzēšot Flash BIOS, vīruss izmanto atbilstošos portus
lasīt/rakstīt, dzēšot diska sektorus vīruss izsauc VxD funkciju
tieša piekļuve diskiem IOS_SendCommand.

Zināmi vīrusu varianti

Vīrusa autors ne tikai izlaida savvaļā inficēto failu kopijas, bet arī
izsūtīja oriģinālos vīrusa montētāja tekstus. Tas ir novedis pie tiem
teksti tika laboti, apkopoti un drīz vien parādījās
vīrusa modifikācijas, kurām bija dažādi garumi, taču funkcionalitātes ziņā tās
visi atbilda viņu “vecākam”. Dažos vīrusa variantos bija
ir mainīts “bumbas” operācijas datums, vai arī šī sadaļa vispār netika izsaukta.

Ir zināms arī par vīrusa “oriģinālajām” versijām, kas darbojas dienās
atšķiras no 26. [aprīļa]. Šis fakts ir izskaidrojams ar to, ka, pārbaudot datumu
Vīrusa kods notiek saskaņā ar divām konstantēm. Protams, lai
iestatiet "bumbas" taimeri jebkurai dienai, vienkārši mainiet
divi baiti vīrusa kodā.

Černobiļa - bīstams datorvīruss

Vīruss ir tikai cilvēka rakstīta programma, kas neietekmē datorā strādājošā lietotāja veselību. Pasakām un baumām, ka vīrusi, izmantojot krāsu shēmas un citus monitora ekrānā redzamos efektus, nogalina smadzenes un padara cilvēku traku, nav pamata. Datorā nokļūst simtiem vīrusu, tas galvenokārt notiek lietotāja datora analfabētisma un nespējas izmantot datu nesējus (diskus, zibatmiņas) dēļ.

– attiecas uz rezidentiem vīrusiem, kas inficē sistēmas Windows 95 un Windows 98. Vīrusa izmērs ir niecīgs, tikai 1 KB. Pēc injicēšanas vīruss izdzēš visus datus no diskiem, ievada savu kodu programmas atmiņā un tajā pašā laikā pārtver failiem pamata komandas. Pēc tam tas ieraksta sevis kopijas ietekmētajos failos. Pabeidzot atmiņas izņemšanu, tas izdzēš informāciju no cietajiem diskiem, tādējādi atbrīvojot ceļu uz visiem datora diskiem un diska informāciju.

Vīrusa autors ir students no Taivānas Chen Ying Hao, kurš uzrakstīja vīrusu un atdzīvināja to 1998. gadā. Līdz šim ir trīs vīrusa oriģinālās kopijas. Tie atšķiras viens no otra ar garu teksta rindu un ievadīšanas un sakāves laiku Windows programmas. Pirmā datoru masveida iznīcināšana sakrita ar Černobiļas gadadienu 26. aprīlī. 1999. gads, vīrusa aktivizēšanās un Černobiļas sprādziena datuma sakritība deva vīrusam nosaukumu. No Taivānas universitātes, kurā vīrusa autors mācījies, tas ātri pārcēlās pa valsti, pēc tam epidēmija izplatījās Izraēlā, Austrijā, Lielbritānijā, Austrālijā un pēc kāda laika sasniedza Krieviju. Programmu sakāve ar nezināmu vīrusu un tik plašā mērogā satrauca sabiedrību, tajā laikā tika ietekmēts pusmiljons personālajiem datoriem. Pārsvarā tika ietekmētas personālo datoru BIOS mikroshēmas.

Interesanti uzzināt, kas ir iekļauts desmitniekā bīstami vīrusi pasaulē. Tās autors, uzzinot par viņa prāta radītā kaitējuma apmēru, publiski atvainojās. Koledžas joks, ko viņš tikko grasījās izvilkt. izglītības process universitātē atnesa viņam sliktu slavu. Bet saskaņā ar valsts likumiem students likumu nepārkāpa un netika notiesāts.

Un pats galvenais, vīruss tiek iedarbināts reizi gadā – 26. aprīlī, to izraisa skartās sistēmas palaišana, un pēc darba pabeigšanas tas vienmēr paliek atmiņā, inficējot citas programmas, vērojot datoru īpašnieku darbības. Ir ļoti grūti noņemt vīrusu, pēc noņemšanas daudzi faili un dokumenti tiek zaudēti. Labs padoms – neizņemiet vīrusu pats no datora, sazinieties ar speciālistu, šī ir jūsu iespēja saglabāt pēc iespējas vairāk failu un palīdzēt datoram atgūt spēkus. Ļaunprātīgas programmatūras spēja vairoties izraisa lietotāju paniku. Tikai kompetenta pieeja vīrusa noņemšanai un ārstēšanai atbrīvos lietotāju no neērtībām.

2018-04-27 06:18:05

"Černobiļa": kas un kāpēc radīja vīrusu, kas iznīcināja diskus un datorus

Tagad, iespējams, retais atceras, bet 26. aprīlis ir ne tikai diena, kad notika Černobiļas traģēdija, bet arī datums, kad simtiem tūkstošu datoru lietotāju visā pasaulē zaudēja visu informāciju savos diskos, bet daži - pat mātesplates. CIH vīrusa dēļ. Mēs pastāstām, kas notika 1999. gadā, kurš bija vaininieks un kā vīruss spēja izplatīties visā pasaulē.

Kas un kāpēc radīja vīrusu?

CIH, Virus.Win9x.CIH vai “Černobila” ir datorvīruss, kas darbojas tikai operētājsistēmā Windows 95/98/ME, kuras autors bija (toreiz) Taivānas students Čens Jinghao. Pirmo reizi tas tika atklāts “dzīvs” Taivānā 1998. gada jūnijā, kur vīrusa autors savā Datungas universitātē inficēja datorus.

Chen Yinghao (pa labi)

Pēc kāda laika vīruss izplatījās vietējās interneta konferencēs un no turienes izgāja ārpus valsts. Vēlāk vīrusu epidēmijas tika reģistrētas Austrijā, Austrālijā, Izraēlā un Apvienotajā Karalistē. Un tad vīruss izplatījās citās valstīs, tostarp Krievijā un Baltkrievijā.

Apmēram mēnesi vēlāk inficēti faili tika atklāti vairākos amerikāņu tīmekļa serveros, kas izplata spēļu programmas, veicinot globālu vīrusu epidēmiju.

Viņi raksta, ka Chen Yinghao radīja vīrusu, lai sodītu pārdevējus pretvīrusu programmas, kas izrādījās nederīgs cīņā pret vīrusiem universitātes datoros.

Uzzinot, ka vīruss ir izplatījies visā pasaulē, viņš bija satraukts, taču viņš bija pārliecināts, ka ar pietiekami daudz laika drošības eksperti spēs to izdomāt.

1999. gada 26. aprīlis

Šo datumu droši vien joprojām atceras tobrīd inficēto datoru īpašnieki. Šajā dienā nodega vīrusa kodā iestrādātā “loģiskā bumba”. Pēc dažādām aplēsēm, šajā dienā visā pasaulē tika bojāts aptuveni pusmiljons datoru - tika iznīcināti to cietajā diskā esošie dati, bet dažos tika bojāts mātesplatēs esošo BIOS mikroshēmu saturs (tātad tie bija pilnībā nedarbojami). ).

Šis incidents bija īsta datora katastrofa – vīrusu epidēmijas un to sekas vēl nekad nebija bijušas tik plašas un nesušas tik lielus zaudējumus.

Pēc dažādām aplēsēm, vīrusa radītie zaudējumi svārstījās no 20 līdz 80 miljoniem dolāru. Tas neskaita morālo kaitējumu - milzīgs skaits cilvēku zaudēja savus personas datus, jo 1999. gadā tie vēl nebija izplatīti mākoņglabātuve un straumēšanas pakalpojumi.

Acīmredzot, tā kā vīruss radīja reālus draudus datoriem visā pasaulē un tā darbības datums sakrita ar Černobiļas atomelektrostacijas avārijas datumu, tas saņēma savu otro, daudz izplatītāko nosaukumu - “Černobiļa”.

Vīrusa autors gandrīz noteikti nekādā veidā nesaistīja Černobiļas traģēdiju ar savu prātu un noteica "bumbas" darbības datumu 26. aprīlī pavisam cita iemesla dēļ: tieši šajā dienā 1998. gadā viņš atbrīvoja viņa vīrusa pirmā versija (kas, starp citu, nekad nepārsniedza Taivānas robežas), t.i. Tādējādi 26. aprīlī vīruss svin savu “dzimšanas dienu”.

Tā atcerējās viens no cietušajiem: “Saņēmis brīdinājumu, viss birojs nomainīja datumu, lai tas netiktu aktivizēts... Un kā es toreiz saskrūvēju, aizmirstot to noskrūvēt... Un tieši mēnesi vēlāk avarēja dators...”

Kā vīruss darbojās

Kad tika palaists inficēts fails, vīruss instalēja savu kodu Windows atmiņā, pārtvēra failu izsaukumus un, atverot palaistos EXE failus, ierakstīja tajos savu kopiju. Koda kļūdu dēļ vīruss dažkārt iesaldēja sistēmu, palaižot inficētos failus. Un, kad pienāca norādītais datums, es mēģināju izdzēst Flash BIOS un disku saturu.

BIOS modulis mātesplatē

Rakstīšana uz Flash BIOS ir iespējama tikai atbilstoša veida mātesplatēs un tad, ja ir iespējots attiecīgais slēdzis. Šis slēdzis parasti ir iestatīts uz tikai lasāmu, taču tas neattiecas uz visiem datoru ražotājiem.

Diemžēl dažās mūsdienu mātesplatēs Flash BIOS nevar aizsargāt ar slēdzi: dažas no tām ļauj rakstīt uz Flash jebkurā slēdža pozīcijā, bet citās Flash rakstīšanas aizsardzību var atcelt programmatiski.

Pēc zibatmiņas dzēšanas vīruss pārgāja uz citu destruktīvu procedūru: iznīcināja informāciju visos instalētajos cietajos diskos. Tajā pašā laikā tika apieta BIOS iebūvētā standarta pretvīrusu aizsardzība pret ierakstīšanu sāknēšanas sektoros.

Ir trīs galvenās (tā sauktās patentētās) vīrusa versijas. Tie ir diezgan līdzīgi viens otram un atšķiras tikai ar nelielām koda detaļām dažādās rutīnās. Vīrusa versijas saņēma dažādu garumu, teksta rindiņas un diska dzēšanas procedūras un Flash BIOS darbības datumu.

Tie visi ir aptuveni 1 kilobaitu lieli. Pirmās divas versijas darbojās 26. aprīlī, trešā - katra mēneša 26. datumā.

Kas notika tālāk?

Vīrusa autors ne tikai izlaida vīrusus, bet arī izsūtīja oriģinālos vīrusa montāžas kodus. Tas noveda pie tā, ka šie teksti tika laboti, apkopoti, un drīz vien parādījās vīrusa modifikācijas, kas bija dažāda garuma, taču funkcionalitātes ziņā tās visas atbilda savam “vecākam”.

Dažos vīrusa variantos tika mainīts “bumbas” darbības datums vai šī sadaļa netika izmantota vispār (tūlītēja darbība). Galu galā, lai jebkurai dienai iestatītu “bumbas” taimeri, vīrusa kodā pietiek nomainīt tikai divus baitus.

Parasti vīrusi rada programmatūras bojājumus datoram. Vienā vai otrā veidā vīrusi sarežģī datora darbu, uzrauga vai nozog dažus lietotāja datus. Piemēram, ļoti nepatīkama, kas ļoti kaitinoši vajā lietotāju jebkurā pārlūkprogrammā. Bet tas viss ir programmatūra. Bojātu programmatūras produktu, kas inficēts ar vīrusu, var izārstēt vai aizstāt. Vai ir vīrusi, kas var sabojāt datora aparatūru?

Vīruss Win95.CIH (Černobiļa)

Černobiļa - šādi sauc pirmo datorvīrusu, kas parādīja, ka vīrusi var sabojāt ne tikai programmatūra, bet arī Aparatūra dators. Černobiļas vīruss, ko 1998. gadā uzrakstīja Taivānas students, dažās mātesplatēs sabojāja BIOS saturu, kas var izraisīt pašas BIOS bojājumus. mātesplatē. Un bija tādi gadījumi. Bet tomēr galvenais bija visas informācijas iznīcināšana no cietais disks dators. Nu, tas vismaz ir kaut kāds pluss, jo vajadzība ir mazinājusies. Visi tie, kuriem ir bijusi nelaime iegūt šo vīrusu, jau ir cietuši.

Vīruss savu pirmo nosaukumu - Win95.CIH - saņēmis no tā autora. Starp citu, viņš atbrīvoja trīs dažādas versijas savu vīrusu, kas viens no otra īpaši neatšķīrās. Tā ir patiesība, jaunākā versija uzsākta katra mēneša 26. datumā. Un katrai versijai bija savs numurs. Bet otro vārdu - Černobiļas vīruss - viņam iedeva Datoru pasaule. Kāpēc? Jo vīruss aktivizējās 26.aprīlī un tajā dienā veica visas savas postošās darbības. Un tieši šajā dienā 1986. gadā diemžēl notika Černobiļas avārija. Lai gan, kā stāsta vīrusa autors, vīrusa palaišanas datums - katra gada 26.aprīlis - izvēlēts tikai tāpēc, ka šajā dienā savu dzimšanas dienu svinēja pats vīruss. Tomēr viņš svinēja savā veidā.

Černobiļas vīrusa briesmas

Černobiļas vīruss vairs nerada nekādas briesmas, jo šī vīrusa darba vide ir ieslēgti datori operētājsistēmas Windows 95 un 98. Bet tas nenozīmē, ka nepastāv draudi inficēties ar vīrusu, kas sabojās datora aparatūru. Tas nozīmē tikai to, ka daudzi visā pasaulē zina par šo iespēju un vēlas atkārtot Taivānas studenta panākumus. Un dažiem tas jau ir izdevies. Bet diez vai viņi kļūs slavenāki par Černobiļu. Tā kā pirmo šāda veida versiju ir vieglāk atcerēties.