počítačový vírus v Černobyle. Vírus "Černobyľ" zbiera hold už roky. "Černobyľ": kto a prečo vytvoril vírus, ktorý ničil disky a počítače

Tiež známy ako "Černobyľ". Rezidentný vírus, funguje iba pod Windows95/98 a infikuje súbory PE
(Prenosný spustiteľný súbor). Má pomerne malú dĺžku - asi 1 kB. Bol
objavený "živý" na Taiwane v júni 1998 - autor vírusom infikovaný
počítačov na miestnej univerzite, kde v tom čase on (autor vírusu).
absolvoval školenie. Po určitom čase boli infikované súbory (náhodou?)
poslal na miestne internetové konferencie a vírus sa z nich dostal
Taiwan: v priebehu nasledujúceho týždňa boli hlásené vírusové epidémie v
Rakúsko, Austrália, Izrael a Spojené kráľovstvo. Potom bol vírus objavený v r
niekoľko ďalších krajín vrátane Ruska.

Asi po mesiaci sa na viacerých našli infikované súbory
Americké webové servery, ktoré distribuujú herné programy. Tento fakt,
zrejme a slúžil ako príčina následnej globálnej vírusovej epidémie. 26
Apríl 1999 (asi rok po objavení sa vírusu) fungoval
„logická bomba“ zakomponovaná do jeho kódu. Podľa rôznych odhadov v tento deň
po celom svete bolo postihnutých asi pol milióna počítačov – mali
údaje na pevnom disku sú zničené a na niektorých plus sú poškodené
obsah čipov BIOS na základných doskách. Tento incident sa stal
počítačová katastrofa - vírusové epidémie a ich následky ešte nikdy predtým
ktoré neboli také rozsiahle a nepriniesli také straty.

Zrejme z dôvodov, že 1) vírus bol skutočnou hrozbou pre počítače počas
na celom svete a 2) dátum operácie vírusu (26. apríl) sa zhoduje s dátumom
havárie v jadrovej elektrárni v Černobyle, vírus dostal svoju druhú
názov - "Černobyľ" (Černobyľ).

Autor vírusu s najväčšou pravdepodobnosťou nespájal tragédiu v Černobyle
s jeho vírusom a stanovil dátum „bomby“ na 26. apríla
ďalší dôvod: 26. apríla 1998 vydal prvú verziu
svojho vírusu (ktorý, mimochodom, neopustil Taiwan) - 26
apríla vírus CIH takto oslavuje svoje „narodeniny“.

Ako funguje vírus

Po spustení infikovaného súboru vírus nainštaluje svoj kód do Pamäť systému Windows,
zachytáva prístupy k súborom a pri otváraní súborov PE EXE zapisuje do
ich vaša kópia. Obsahuje chyby a v niektorých prípadoch visí systém
pri spúšťaní infikovaných súborov. Vymaže blesk v závislosti od aktuálneho dátumu
BIOS a obsah disku.

Zápis do Flash BIOSu je možný len na zodpovedajúcich typoch základných dosiek.
dosky a s aktivačným nastavením príslušného spínača. Toto
prepínač je normálne nastavený len na čítanie
neplatí pre všetkých výrobcov počítačov. Bohužiaľ Flash BIOS
na niektorých moderných základných doskách nie je možné chrániť
prepínač: niektoré z nich umožňujú zapisovanie do Flash v ľubovoľnej polohe
prepínač, na ostatných sa dá ochrana proti zápisu vo Flashi programovo zrušiť.

Po úspešnom vymazaní pamäte Flash sa vírus presunie do inej
deštrukčný postup: vymaže informácie o všetkých nainštalovaných
pevné disky. V tomto prípade vírus využíva priamy prístup k dátam na disku a
tým obchádza štandardnú antivírusovú ochranu zabudovanú v systéme BIOS
zapisuje do zavádzacích sektorov.

Existujú tri hlavné ("autorské") verzie vírusu. Sú si dosť podobné
na seba a líšia sa len drobnými detailmi kódu v rôznych
podprogramy. Verzie vírusu majú rôzne dĺžky, riadky textu a dátum
Spustenie postupu vymazania disku a Flash BIOS:

Technické detaily

Pri infikovaní súborov v nich vírus hľadá „diery“ (bloky nepoužívaných dát).
napíše im svoj kód. Prítomnosť takýchto "dier" je spôsobená štruktúrou
Súbory PE: pozícia každej sekcie v súbore je zarovnaná na konkrétnu
hodnota uvedená v hlavičke PE a vo väčšine prípadov medzi koncom
predchádzajúca sekcia a začiatok nasledujúcej majú určitý počet bajtov,
ktoré program nepoužíva. Vírus hľadá v súbore takéto nevyužité
blokov, zapíše do nich svoj kód a zvýši o požadovanú hodnotu
upravená veľkosť sekcie. Veľkosť infikovaných súborov sa nezväčšuje.

Ak je na konci ktorejkoľvek časti „diera“ dostatočnej veľkosti,
vírus do nej zapíše svoj kód v jednom bloku. Ak taká diera neexistuje,
vírus rozdelí svoj kód na bloky a zapíše ich na koniec rôznych sekcií
súbor. Takto je možné zistiť kód vírusu v infikovaných súboroch
ako jeden blok kódu, tak aj ako niekoľko nesúvisiacich blokov.

Vírus tiež hľadá nevyužitý dátový blok v hlavičke PE. Ak na konci
hlavička má „dieru“ minimálne 184 bajtov, vírus do nej zapisuje
váš postup spustenia. Vírus potom zmení počiatočnú adresu súboru:
zapíše do neho adresu svojej spúšťacej procedúry. V dôsledku tohto prístupu
štruktúra súboru sa stáva dosť neštandardnou: adresa začiatku
procedúry programu neukazujú na žiadnu časť súboru, ale mimo
načítateľný modul - v hlavičke súboru. Windows95 však nie
Pozor na takéto "podivné" súbory, potom načíta hlavičku súboru do pamäte
všetky sekcie a prenesie riadenie na adresu uvedenú v hlavičke - na
postup spustenia vírusu v hlavičke PE.

Po získaní kontroly spúšťací postup vírusu pridelí blok pamäte
VMM zavolá PageAllocate, skopíruje tam jeho kód a potom určí adresy
zostávajúce bloky vírusového kódu (umiestnené na konci sekcií) a pripojí ich
na kód vašej procedúry spustenia. Vírus potom zachytí IFS API a
vráti riadenie hostiteľskému programu.

Z pohľadu operačného systému je tento postup najzaujímavejší
vírus: po tom, čo vírus skopíruje svoj kód do nového bloku pamäte a
tam prenesie kontrolu, kód vírusu sa spustí ako aplikácia Ring0 a
vírus je schopný zachytiť AFS API (toto nie je možné pre programy
vykonaná v Ring3).

Interceptor IFS API zvláda iba jednu funkciu – otváranie súborov.
Ak sa otvorí súbor s príponou EXE, vírus skontroluje jeho vnútro
formát a zapíše svoj kód do súboru. Po infekcii vírus kontroluje
systémový dátum a vyvolá procedúru Flash BIOS a vymazania sektora disku (pozri vyššie).

Pri vymazávaní Flash BIOS vírus používa príslušné porty
čítanie / zápis, pri vymazávaní sektorov disku vírus volá funkciu VxD
priamy prístup na disk IOS_SendCommand.

Známe varianty vírusu

Autor vírusu nielenže vydal kópie infikovaných súborov „na slobodu“, ale aj
rozoslal zdrojové texty assembleru vírusu. To viedlo k týmto
texty boli opravené, zostavené a čoskoro sa objavili
modifikácie vírusu, ktoré mali rôzne dĺžky, ale z hľadiska funkčnosti ich
všetky zodpovedali ich „rodičovi“. V niektorých variantoch vírusu
dátum „bomby“ bol zmenený, alebo táto sekcia nebola nikdy nazvaná.

Známe sú aj „pôvodné“ verzie vírusu, ktoré fungujú v dňoch
okrem 26. apríla. Túto skutočnosť vysvetľuje skutočnosť, že kontrola dátumu v
Kód vírusu sa vyskytuje podľa dvoch konštánt. Prirodzene, aby
nastavte časovač "bomby" na ktorýkoľvek daný deň, stačí ho zmeniť
dva bajty v kóde vírusu.

Černobyľ - nebezpečný počítačový vírus

Vírus je len program napísaný osobou, ktorý neovplyvňuje zdravie používateľa pracujúceho na počítači. Rozprávky a fámy, že vírusy prostredníctvom farebných schém a iných efektov zobrazovaných na obrazovke monitora zabíjajú mozog, privádzajú človeka do šialenstva, nemajú opodstatnenie. Do počítača vstupujú stovky vírusov, deje sa to predovšetkým kvôli počítačovej negramotnosti používateľa, neschopnosti používať pamäťové médiá (disky, flash disky).

- označuje rezidentné vírusy, ktoré infikujú systémy Windows 95, Windows 98. Veľkosť vírusu je zanedbateľná, iba 1 Kb. Počas infiltrácie vírus vymaže všetky dáta z diskov, vloží svoj kód do pamäte programu, pričom zachytí hlavné príkazy do súborov. Potom zapíše svoje kópie do ovplyvnených súborov. Po dokončení odstránenia pamäte vymaže informácie z pevných diskov, čím uvoľní cestu na všetky disky počítača k informáciám o disku.

Autorom vírusu je taiwanský študent Chen Ying Hao, ktorý vírus napísal a priviedol k životu v roku 1998. K dnešnému dňu existujú tri autorské kópie vírusu. Líšia sa od seba dlhým riadkom textu a časom prieniku a porážky. programy Windows. Prvé hromadné ničenie počítačov sa zhodovalo s výročím Černobyľu 26. 1999, zhoda aktivácie vírusu a dátum výbuchu v Černobyle dali vírusu meno. Z Taiwanskej univerzity, kde autor vírusu študoval, sa rýchlo pohyboval po krajine, potom sa epidémia rozšírila do Izraela, Rakúska, Veľkej Británie, Austrálie, po nejakom čase sa dostala aj do Ruska. Porážka programov neznámym vírusom a v takom veľkom rozsahu znepokojila verejnosť, pričom bolo postihnutých pol milióna osobné počítače. Väčšinou utrpeli mikročipy BIOS osobných počítačov.

Je zaujímavé vedieť, čo je zahrnuté v prvej desiatke nebezpečné vírusy vo svete. Jeho autor, keď sa dozvedel o rozsahu škôd spôsobených jeho potomkom, sa verejne ospravedlnil. Univerzitný vtip, ktorý sa práve chystal vyhodiť študijný proces, v rámci svojej univerzity mu priniesol slávu. Ale podľa zákonov krajiny študent neporušil zákon, nebol súdený.

A čo je najdôležitejšie, vírus funguje raz ročne - 26. apríla je to spôsobené spustením postihnutého systému a na konci práce vždy zostáva v pamäti, infikuje iné programy a sleduje činnosť majiteľov počítačov. Je veľmi ťažké odstrániť vírus, po odstránení sa stratí veľa súborov a dokumentov. Dobrá rada - neodstraňujte vírus z počítača sami, obráťte sa na špecialistu, toto je vaša šanca uložiť čo najviac súborov, pomôcť počítaču obnoviť jeho silu. Schopnosť reprodukovať škodlivé programy vyvoláva medzi používateľmi paniku. Iba kompetentný prístup k odstraňovaniu a liečbe vírusu zbaví používateľa nepohodlia.

2018-04-27 06:18:05

"Černobyľ": kto a prečo vytvoril vírus, ktorý ničil disky a počítače

Teraz si asi málokto pamätá, ale 26. apríl nie je len dňom, kedy došlo k tragédii v Černobyle, ale aj dňom, keď státisíce používateľov počítačov na celom svete stratili všetky informácie na svojich diskoch a niektorí dokonca prišli o svoje základné dosky. na vírus CIH. Hovoríme, čo sa stalo v roku 1999, kto bol vinníkom a ako sa vírus mohol šíriť globálne.

Kto vytvoril vírus a prečo

CIH, Virus.Win9x.CIH alebo "Černobyľ" je počítačový vírus, ktorý beží len pod operačným systémom Windows 95/98/ME, ktorý napísal taiwanský (vtedajší) študent Chen Yinghao. Prvýkrát bol objavený „naživo“ na Taiwane v júni 1998, kde autor vírusu infikoval počítače na svojej Tatungskej univerzite.

Chen Yinghao (vpravo)

Po určitom čase sa vírus rozšíril prostredníctvom miestnych internetových konferencií a odtiaľ sa dostal von z krajiny. Neskôr boli vírusové epidémie hlásené v Rakúsku, Austrálii, Izraeli a Spojenom kráľovstve. A potom sa vírus rozšíril do ďalších krajín vrátane Ruska a Bieloruska.

Asi o mesiac neskôr sa na niekoľkých amerických webových serveroch distribuujúcich herné programy našli infikované súbory, čo prispelo ku globálnej vírusovej epidémii.

Píšu, že Chen Yinghao vytvoril vírus, aby potrestal predajcov antivírusové programy, ktorá sa v boji proti vírusom na univerzitných počítačoch ukázala ako zbytočná.

Keď sa dozvedel, že vírus sa rozšíril po celom svete, znervóznel, no bol si istý, že s dostatkom času na to bezpečnostní experti dokážu prísť.

26. apríla 1999

Tento dátum si majitelia vtedy infikovaných počítačov zrejme ešte pamätajú. V tento deň fungovala „logická bomba“ vložená do vírusového kódu. Podľa rôznych odhadov bolo v ten deň poškodených asi pol milióna počítačov na celom svete – mali zničené dáta na pevných diskoch a na niektorých bol poškodený aj obsah BIOS čipov na základných doskách (takže sa ukázalo, že sú úplne nefunkčné ).

Tento incident bol skutočnou počítačovou katastrofou – vírusové epidémie a ich následky ešte nikdy neboli také rozsiahle a nepriniesli také straty.

Podľa rôznych odhadov sa škody spôsobené vírusom pohybovali od 20 do 80 miliónov dolárov. Nepočítam morálnu ujmu – veľké množstvo ľudí prišlo o svoje osobné údaje, pretože v roku 1999 ešte neboli distribuované cloud-ové úložisko a streamovacie služby.

Zrejme preto, že vírus bol skutočnou hrozbou pre počítače na celom svete a dátum jeho fungovania sa zhodoval s dátumom havárie v jadrovej elektrárni v Černobyle, dostal svoje druhé, oveľa bežnejšie meno – Černobyľ (Černobyľ).

Autor vírusu takmer určite nespájal černobyľskú tragédiu so svojimi potomkami a dátum „bomby“ stanovil na 26. apríla z úplne iného dôvodu: práve v tento deň roku 1998 vydal prvú verziu svojho vírusu. (ktorá mimochodom nikdy neprekročila hranice Taiwanu), t.j. 26. apríla teda vírus oslavuje svoje „narodeniny“.

Tu je to, čo si pripomenula jedna z obetí: „Po prijatí varovania celá kancelária zmenila dátum - aby sa neaktivoval ... A ako som to pokazil, zabudol som to odskrutkovať späť ... A presne o mesiac neskôr bol počítač zakrytý ... “.

Ako vírus fungoval

Pri spustení infikovaného súboru vírus nainštaloval svoj kód do pamäte Windows, zachytil prístup k súborom a pri spustení EXE súborov do nich zapísal svoju kópiu. Kvôli chybám v kóde vírus niekedy "zavesil" systém pri spustení infikovaných súborov. A v čase určeného dátumu sa pokúsil vymazať Flash BIOS a obsah diskov.

Modul BIOS na základnej doske

Zápis do Flash BIOSu je možný len na zodpovedajúcich typoch základných dosiek a ak je povolený príslušný prepínač. Tento prepínač je zvyčajne nastavený len na čítanie, ale nemusí to platiť pre všetkých výrobcov počítačov.

Žiaľ, Flash BIOS na niektorých moderných základných doskách nemôže byť chránený prepínačom: niektoré umožňujú zápis do Flash v ľubovoľnej polohe prepínača, na iných je možné ochranu proti zápisu vo Flashi softvérovo zrušiť.

Po vymazaní flash pamäte vírus prešiel k ďalšej deštruktívnej procedúre: zničil informácie na všetkých nainštalovaných pevných diskoch. Zároveň obišiel štandardnú antivírusovú ochranu zabudovanú v BIOSe zo zápisu do boot sektorov.

Existujú tri hlavné (tzv. autorské) verzie vírusu. Navzájom sú si dosť podobné a líšia sa iba drobnými detailmi kódu v rôznych podprogramoch. Verzie vírusu dostali rôzne dĺžky, riadky textu a dátum aktivácie postupu vymazania disku a Flash BIOS.

Všetky majú veľkosť približne 1 kilobajt. Prvé dve verzie fungovali 26. apríla, tretia 26. v každom mesiaci.

Čo sa stalo ďalej?

Autor vírusu nielenže vypustil vírusy „na slobodu“, ale rozoslal aj zdrojové texty assembleru vírusu. To viedlo k tomu, že sa tieto texty opravovali, skompilovali a čoskoro sa objavili modifikácie vírusu, ktoré mali rôzne dĺžky, no funkčne všetky zodpovedali svojmu „rodičovi“.

V niektorých variantoch vírusu bol zmenený dátum „bomby“, alebo sa táto sekcia nepoužívala vôbec (okamžitá spúšť). Na nastavenie časovača „bomby“ na ktorýkoľvek deň stačí zmeniť iba dva bajty v kóde vírusu.

Vírusy zvyčajne poškodzujú softvér počítača. Vírusy tak či onak komplikujú prácu počítača, monitoru alebo kradnú niektoré používateľské dáta. Napríklad veľmi nepríjemný, ktorý veľmi nepríjemne prenasleduje používateľa v akomkoľvek prehliadači. Ale to všetko je softvér. Poškodený softvérový produkt infikovaný vírusmi je možné opraviť alebo vymeniť. Existujú vírusy, ktoré môžu poškodiť hardvér počítača?

Vírus Win95.CIH (Černobyľ)

Černobyľ - tak sa nazýval prvý počítačový vírus, ktorý ukázal, že vírusy môžu nielen poškodiť softvér, ale tiež Hardvér počítač. Černobyľský vírus, ktorý v roku 1998 napísal taiwanský študent, poškodil obsah BIOSu na niektorých základných doskách, čo mohlo spôsobiť poškodenie samotného systému. základná doska. A boli také prípady. Hlavným jedlom však bolo zničenie všetkých informácií pevný disk počítač. Teda aspoň nejaké plus, lebo potreba ustúpila. Všetci, ktorí mali tú smolu chytiť tento vírus, tu už trpeli.

Vírus dostal svoje prvé meno - Win95.CIH - od svojho autora. Mimochodom, vypustil tri rôzne verzie ich vírusu, ktoré sa od seba príliš nelíšili. pravda, Najnovšia verzia spustený 26. dňa každého mesiaca. A každá verzia mala svoje vlastné číslo. Ale druhé meno - černobyľský vírus - mu dal počítačový svet. prečo? Pretože vírus sa aktivoval 26. apríla a v ten deň vyvolal všetky deštruktívne akcie. A v tento deň v roku 1986, žiaľ, došlo k havárii v Černobyle. Aj keď, ako hovorí autor vírusu, dátum spustenia vírusu – 26. apríl každého roku – bol vybraný len preto, že v ten deň sám vírus oslavoval svoje narodeniny. Oslavoval však po svojom.

Nebezpečenstvo černobyľského vírusu

Černobyľský vírus už nepredstavuje žiadne nebezpečenstvo, keďže pracovným prostredím tohto vírusu sú zapnuté počítače operačné systémy Windows 95 a 98. To ale vôbec neznamená, že nehrozí infekcia vírusom, ktorý znefunkční hardvér počítača. To len dokazuje, že mnohí na celom svete si uvedomujú túto príležitosť a chcú zopakovať úspech taiwanského študenta. A niektorým sa to už podarilo. Ale je nepravdepodobné, že by sa mohli stať slávnejšími ako Černobyľ. Od prvého svojho druhu je ľahšie zapamätateľné.