Tjernobyl-viruset på Windows 7. "Tjernobyl"-viruset har sedan många år tillbaka samlat in hyllningar. Hur uppstod viruset

CIH, eller "Tjernobyl"(Virus.Win9x.CIH) är ett datavirus skrivet av den taiwanesiska studenten Chen Ying Hao i juni 1998. Det är ett inbyggt virus som endast fungerar under operativsystemet Windows 95/98.

Berättelse

Den 26 april 1999, på årsdagen av Tjernobylolyckan, blev viruset aktivt och förstörde data på hårddiskarna på infekterade datorer. På vissa datorer har innehållet i BIOS-chips blivit skadat. Det var sammanträffandet av datumet för aktiveringen av viruset och datumet för olyckan vid kärnkraftverket i Tjernobyl som gav viruset det andra namnet "Tjernobyl", som bland folket är ännu mer känt än "CIH".

Enligt olika uppskattningar har omkring en halv miljon drabbats av viruset. personliga datorer runt världen.

Enligt The Register arresterade taiwanesiska myndigheter den 20 september 2000 skaparen av det berömda dataviruset.

namn

CIH-viruset fick namnet "Tjernobyl". Det finns två möjliga versioner av namnets ursprung:

  1. Viruset har orsakat stora skador på många datorer runt om i världen.
  2. Datumet för driften av den "logiska bomben" som planterats av författaren sammanfaller med datumet för olyckan vid kärnkraftverket i Tjernobyl den 26 april.

Spridning

Det första fungerande viruset upptäcktes i Taiwan i juni 1998. Författaren till viruset infekterade datorer vid sitt universitet. Under nästa vecka rapporterades virusepidemier i Österrike, Australien, Israel och Storbritannien. Senare hittades spår av viruset i flera andra länder, däribland Ryssland. Infektion av flera amerikanska webbservrar som distribuerar datorspel, orsakade en global viral epidemi som började den 26 april 1999. På en halv miljon datorer fungerade en "logisk bomb", information på hårddiskar förstördes och data på BIOS-chips skadades.

Arbetsprinciper

När en infekterad fil startas skriver viruset sin kod till Windows minne, avlyssnar lanseringen av EXE-filer och skriver till dem skadlig kod. Beroende på aktuellt datum kan viruset skada data på Flash BIOS och datorns hårddiskar.

Virusförfattare

Chen Ing Hau föddes den 25 augusti 1975 i Taiwan.
Chen skrev CIH medan han studerade vid Tatung University i Taipei. När han skapade viruset fick han en allvarlig reprimand från universitetet.
När han fick veta att viruset hade blivit utbrett blev han nervös. Några av hans klasskamrater uppmanade honom att inte erkänna att han skapat viruset, men han var själv övertygad om att säkerhetsexperter kunde ta reda på det, om de hade tillräckligt med tid. Redan innan han tog examen från universitetet skrev han därför en officiell ursäkt på Internet, där han offentligt bad om förlåtelse från folket i Kina, vars datorer skadades. På grund av militärtjänsten gick Chen för att tjäna. Enligt taiwanesisk lag vid den tiden bröt han inte mot några lagar, och han åtalades aldrig för att ha skapat detta virus.
Chen arbetar för närvarande på Gigabyte.

Data

  • "Tjernobyl" fungerar bara under Windows95/98.
  • Viruset har en ganska liten storlek på cirka 1 kB.
  • Virusets författare skickade också ut källkoden till viruset.
  • I maj 2006 dömdes en student vid ett av de tekniska universiteten i Voronezh, Sergey Kazachkov, till två års villkorligt fängelse enligt artikel 273 i den ryska federationens strafflag för spridning av datavirus på Internet, inklusive CIH

Kopiera inklistrat och något redigerat från wikipedia

Även känd som "Tjernobyl". Resident virus, fungerar endast under Windows95/98 och infekterar PE-filer
(Bärbar körbar). Den har en ganska liten längd - cirka 1Kb. var
upptäcktes "levande" i Taiwan i juni 1998 - författaren till det infekterade viruset
datorer vid det lokala universitetet där han (författaren till viruset) vid den tiden
genomgått utbildning. Efter en tid var de infekterade filerna (av misstag?)
skickas till lokala internetkonferenser och viruset tog sig ur
Taiwan: under den följande veckan rapporterades virusepidemier i
Österrike, Australien, Israel och Storbritannien. Sedan upptäcktes viruset i
flera andra länder, inklusive Ryssland.

Ungefär en månad senare hittades infekterade filer på flera
Amerikanska webbservrar som distribuerar spelprogram. Detta faktum,
uppenbarligen och fungerade som orsaken till den efterföljande globala virusepidemin. 26
April 1999 (ungefär ett år efter virusets uppkomst) fungerade
"logisk bomb" inbäddad i dess kod. Enligt olika uppskattningar, denna dag
runt om i världen drabbades ungefär en halv miljon datorer – det hade de
data på hårddisken förstörs, och på vissa plus är den skadad
BIOS-chipinnehåll moderkort. Denna händelse har blivit
datorkatastrof - virusepidemier och deras konsekvenser aldrig tidigare
som inte var så storskaliga och inte medförde sådana förluster.

Tydligen, av skälen att 1) ​​viruset var ett verkligt hot mot datorer under
runt om i världen och 2) datumet för virusoperationen (26 april) sammanfaller med datumet
olyckan vid kärnkraftverket i Tjernobyl fick viruset sin andra
namn - "Tjernobyl" (Tjernobyl).

Författaren till viruset kopplade troligen inte Tjernobyl-tragedin med
med sitt virus och satte datumet för "bomben" till den 26 april
en annan anledning: den 26 april 1998 släppte han den första versionen
av dess virus (som förresten inte lämnade Taiwan) - 26
april firar CIH-viruset sin "födelsedag" på detta sätt.

Hur viruset fungerar

När en infekterad fil startas installerar viruset sin kod i Windows-minnet,
fångar upp filåtkomster och, när du öppnar PE EXE-filer, skriver till
dem ditt exemplar. Innehåller buggar och i vissa fall hänger systemet
när du kör infekterade filer. Raderar Flash beroende på aktuellt datum
BIOS och diskinnehåll.

Att skriva till Flash BIOS är endast möjligt på motsvarande typer av moderkort.
kort och med aktiveringsinställningen för motsvarande omkopplare. Detta
omkopplaren är normalt inställd på skrivskyddad, men detta
inte sant för alla datortillverkare. Tyvärr Flash BIOS
på vissa moderna moderkort kan inte skyddas
switch: vissa av dem tillåter skrivning till Flash i valfri position
switch, på andra kan skrivskydd i Flash avbrytas programmatiskt.

Efter att ha lyckats radera Flash-minnet flyttar viruset till ett annat
destruktiv procedur: raderar information om alla installerade
hårddiskar. I det här fallet använder viruset direktåtkomst till data på disken och
därigenom kringgår standard antivirusskydd inbyggt i BIOS mot
skriver till startsektorer.

Det finns tre huvudsakliga ("författarens") versioner av viruset. De är ganska lika
ovanpå varandra och skiljer sig endast i mindre detaljer av koden i olika
subrutiner. Versioner av viruset har olika längd, textrader och datum
Utlöser diskraderingsproceduren och Flash BIOS:


Längd Text Aktiveringsdatum Upptäcks "levande"
1003 CIH 1.2 TTIT 26 april Ja
1010 CIH 1.3 TTIT 26 april nr
1019 CIH 1.4 TATUNG 26:e i varje månad Ja - i många länder

Tekniska detaljer

Vid infektering av filer letar viruset efter "hål" (block med oanvänd data) i dem och
skriver sin kod till dem. Förekomsten av sådana "hål" beror på strukturen
PE-filer: positionen för varje sektion i filen är anpassad till en specifik
värdet som anges i PE-huvudet, och i de flesta fall mellan slutet
föregående avsnitt och början av nästa finns ett visst antal byte,
som inte används av programmet. Viruset söker i filen efter sådana oanvända
blockerar, skriver sin kod i dem och ökar med önskat värde
ändrad sektionsstorlek. Storleken på infekterade filer ökar inte.

Om det finns ett "hål" av tillräcklig storlek i slutet av någon sektion,
viruset skriver in sin kod i det i ett block. Om det inte finns något sådant hål,
viruset delar upp sin kod i block och skriver dem till slutet av olika avsnitt
fil. Således kan viruskoden i infekterade filer upptäckas
både som ett enda kodblock och som flera orelaterade block.

Viruset letar också efter ett oanvänt datablock i PE-huvudet. Om i slutet
headern har ett "hål" på minst 184 byte, skriver viruset till den
din startprocedur. Viruset ändrar sedan startadressen för filen:
skriver adressen till sin startprocedure i den. Som ett resultat av detta tillvägagångssätt
filstrukturen blir ganska icke-standard: adressen till starten
programprocedurer pekar inte på någon del av filen, utan utanför
laddningsbar modul - i filhuvudet. Det gör dock inte Windows95
uppmärksamhet på sådana "konstiga" filer, laddar filhuvudet i minnet, sedan
alla sektioner och överför kontroll till adressen som anges i rubriken - till
startproceduren för viruset i PE-huvudet.

Efter att ha fått kontroll, allokerar startproceduren för viruset ett minnesblock
VMM anropar till PageAllocate, kopierar dess kod dit och bestämmer sedan adresserna
återstående viruskodblock (finns i slutet av avsnitt) och lägger till dem
till koden för din startprocedure. Viruset fångar sedan upp IFS API och
återställer kontrollen till värdprogrammet.

Ur synvinkel operativ system denna procedur är mest intressant i
virus: efter att viruset har kopierat sin kod till ett nytt minnesblock och
överförde kontrollen dit, körs viruskoden som Ring0-applikation, och
viruset kan fånga upp AFS API (detta är omöjligt för program
utförs i Ring3).

IFS API-interceptor hanterar bara en funktion - att öppna filer.
Om en fil med filtillägget EXE öppnas kontrollerar viruset sin interna fil
format och skriver sin kod till filen. Efter infektion kontrolleras viruset
systemdatum och anropar Flash BIOS och Disk Sector Erase-proceduren (se ovan).

När du raderar Flash BIOS använder viruset lämpliga portar
läs/skriv, när du raderar skivsektorer anropar viruset VxD-funktionen
direkt diskåtkomst IOS_SendCommand.

Kända varianter av viruset

Författaren till viruset släppte inte bara kopior av de infekterade filerna "till frihet", utan också
skickade ut källsamlartexterna för viruset. Detta har lett till dessa
texter korrigerades, sammanställdes och dök snart upp
modifieringar av viruset som hade olika längd, men vad gäller funktionalitet de
alla motsvarade sin "förälder". I vissa varianter av viruset,
datumet för "bomben" ändrades, eller så kallades den här sektionen aldrig alls.

Det är också känt om de "ursprungliga" versionerna av viruset som fungerar på dagar
annat än 26 [april]. Detta faktum förklaras av det faktum att incheckning av datumet
Viruskoden uppstår enligt två konstanter. Naturligtvis för att
ställ in "bomb"-timern för en viss dag, det räcker med att bara ändra
två byte i viruskoden.

Vanligtvis orsakar virus programvara skada på en dator. På ett eller annat sätt komplicerar virus arbetet på en dator, övervakar eller stjäl vissa användardata. Till exempel en mycket obehaglig sådan som väldigt irriterande förföljer användaren i vilken webbläsare som helst. Men allt är mjukvara. En skadad, virusinfekterad programvaruprodukt kan antingen repareras eller ersättas. Finns det virus som kan skada datorns hårdvara?

Virus Win95.CIH(Tjernobyl)

Tjernobyl - detta är namnet som gavs till det första dataviruset, som visade att virus inte bara kan skada programvara, men också Hårdvara dator. Tjernobyl-viruset, skrivet 1998 av en taiwanesisk student, skadade BIOS-innehållet på vissa moderkort, vilket kunde orsaka skada på själva moderkortet. Och det fanns sådana fall. Men ändå var huvudrätten att förstöra all information med hårddisk dator. Nåväl, i alla fall ett plus, eftersom behovet avtog. Alla de som hade oturen att få tag i detta virus har redan lidit här.

Viruset fick sitt förnamn - Win95.CIH - av sin författare. Han släppte förresten tre olika versioner av deras virus, som inte skilde sig mycket från varandra. Sanning, senaste versionen lanseras den 26:e varje månad. Och varje version hade sitt eget nummer. Men det andra namnet - Tjernobylviruset - fick han av datorvärlden. Varför? Eftersom viruset aktiverades den 26 april och orsakade alla destruktiva handlingar den dagen. Och den här dagen 1986 inträffade tyvärr Tjernobylolyckan. Även om, som författaren till viruset säger, lanseringsdatumet för viruset - den 26 april varje år - valdes bara för att viruset självt firade sin födelsedag den dagen. Han firade dock på sitt eget sätt.

Faran med Tjernobyl-viruset

Tjernobylviruset utgör inte längre någon fara, eftersom arbetsmiljön för detta virus är datorer i drift Windows-system 95 och 98. Men detta betyder inte alls att det inte finns någon risk för infektion med ett virus som kommer att inaktivera datorhårdvara. Detta visar bara att många runt om i världen är medvetna om denna möjlighet och vill replikera framgången för den taiwanesiska studenten. Och några har redan lyckats. Men de kommer sannolikt inte att kunna bli mer kända än Tjernobyl. Eftersom den första i sitt slag är lättare att komma ihåg.

Datavirus är till sin natur och distributionsmetod något som liknar sina biologiska "bröder", det är alltid lättare att förebygga en sjukdom och med mindre förlust än att hantera konsekvenserna. Det går att anföra många invändningar mot att tankarna ovan inte är helt korrekta, i vissa fall är det omöjligt att förutse allt. Men dessa invändningar gäller inte på något sätt fallet med Tjernobylviruset. Du kan parafrasera ett välkänt talesätt och argumentera för att du inte kan avsäga dig viruset, fängelset och scripet. Men hur kan man förklara förekomsten av detta virus på en dator i månader, när, som det är känt för alla virusskanner, som förtjänar att kallas en skanner!
Men låt oss lägga känslor åt sidan och så:

MYT 1 - när ett virus väl har utlösts är information förlorad för alltid

Denna myt stöds av många specialister. Även mycket respekterade företag, inklusive datorer, hävdar att efter att Tjernobyl-viruset har utlösts är information förlorad för alltid.
Dessa uttalanden är baserade på det faktum att dataåterställningsverktygen som används i deras dagliga praktik inte ger positiva resultat. Inte ens användningen av så kraftfulla återställningsverktyg som EasyRecovery och Tiramisu ger den önskade effekten.
Detta uttalande är dock felaktigt och till och med dödligt för många användare som drabbats av viruset. FomSoft-laboratoriets praxis motbevisar sådana påståenden. Efter en virusattack är den andra och efterföljande logiska partitionerna på hårddisken föremål för 100% återställning. Den första partitionen, enhet C:, återställs också till 100 % om den innehöll filsystem FAT-32. Om C:-enheten var markerad som FAT-16, kommer viruset att skriva över både FAT-kopior och rotinnehållsförteckningen. Men även i det här fallet är det möjligt att återställa icke-fragmenterade filer och, som regel, katalogträdstrukturen. Även vid defragmentering av underkataloger är det möjligt att hitta deras spridda sektorer och extrahera nödvändiga kataloger och filer från dem. Dessutom, till skillnad från EasyRecovery och Tiramisu, sparas ryska namn på filer och kataloger under återställningen. För att återställa information använder FomSoft-laboratoriet sin egen programvaraåterhämtning, som är skrivna med hänsyn till många års erfarenhet. Dessa mjukvaruverktyg är inte automatiska, de är bara verktyg för analys och ytterligare bearbetning av den eller den informationen. Därför är nyckeln till framgångsrik återhämtning inte programmet, med dess förutbestämda arbetsalgoritm, utan mänsklig intelligens och arbetserfarenhet.

MYT 2 - viruset är tillägnat Tjernobylolyckan

Denna myt är baserad på de tragiska händelserna vid kärnkraftverket i Tjernobyl, dess fjärde kraftenhet, ljust och sorgligt för oss alla.
Men händelserna i Tjernobyl har inget gemensamt och den verkliga anledningen som fick författaren till viruset att ställa in just detta datum. Oavsett hur banalt det är, är det födelsedagen för författaren till viruset.
Och slutligen, låt oss inte än en gång skylla på författaren till viruset, som uppriktigt ångrar sina gärningar, utan lägger våra händer på våra hjärtan och frågar oss själva - Vem är mer ansvarig för olyckan som hände och vad som behöver göras så att detta händer inte igen nästa år?

Alternativ för dataåterställning efter en virusattack

Återställning av information på hårddisken efter attacken av Tjernobyl-viruset har ett antal funktioner.
Den främsta garantin för framgångsrik återhämtning är frånvaron av införda snedvridningar i sektorutrymmet på den förstörda hårddisken. Sådana snedvridningar är resultatet av två huvudorsaker:

  • misslyckade återställningsförsök av specialister som inte känner till funktionerna och detaljerna för dataförvrängningar som introduceras till HDD med just detta virus;
  • drivs av användare "ofarliga" systemprogram FDISK.
Om det första skälet inte behöver kommentarer, bör särskild uppmärksamhet ägnas åt det andra. Det kommer att vara en uppenbarelse för många användare att veta att FDISK-programmet har en odokumenterad funktion. Vilket är det FDISK-program kontrollerar om hårddisken är formaterad. Om programmet anser att hårddisken är oformaterad, då utan förvarning, poäng den första och sjunde sektorn alla spår av det avsedda systemområdet i hexadecimal symbol 0F6h.

Om det inte finns några införda snedvridningar, eller om de kan neutraliseras, är den andra och efterföljande logiska partitionerna på hårddisken föremål för 100% återställning, oavsett typ av filsystem. (Om på hård dator drive är den enda, då blir dessa enheter D:, E:, etc.) .

Om enhet C: innehåller filsystemet FAT-32 kommer det också att återställas till 100 %

Om C:-enheten innehåller filsystemet FAT-16, är endast icke-fragmenterade filer och filer med en längd som är mindre än klusterstorleken föremål för återställning. (Vanligtvis är ett kluster 32 eller 16 kB stort.)

Det första globala viruset som drabbade cirka 500 000 datorer firar 10-årsjubileum

Det första globala CIH-viruset, även kallat Tjernobyl, firar sitt 10-årsjubileum.

"Den 26 april 1999 inträffade en global datorkatastrof: enligt olika källor drabbades ungefär en halv miljon datorer runt om i världen, aldrig tidigare har konsekvenserna av virusepidemier varit så massiva och inte åtföljts av sådana globala förluster", minns sig Evgeny Aseev, en virusanalytiker vid Kaspersky Lab.

Enligt honom förstördes då data på hårddiskarna, och innehållet i BIOS-chips skadades på moderkorten på vissa maskiner.

"Detta virus fungerade som en slags vändpunkt i uppfattningen av datorhot från användare. Det var det första viruset som inte bara skadade data på den infekterade maskinen, utan också inaktiverade vissa datorer helt. I händelse av att BIOS inte kunde skrivs om igen, kan datorn slängas i papperskorgen", säger Sergey Komarov, chef för antivirusutvecklings- och forskningsavdelningen på Doctor Web.

Viruset fick sitt namn CIH från det förkortade namnet på dess skapare, Taiwans universitetsstudent Chen Ing-Hau. Dess andra namn - "Tjernobyl" (Tjernobyl) dök upp på grund av att viruset aktiverades den 26 april - dagen för katastrofen vid kärnkraftverket i Tjernobyl.

"Författaren till viruset gjorde det så att viruset, när det penetrerade maskinen, inte producerade några skadliga handlingar. Han väntade den 26 april varje år (det var dagen då kärnkraftverket i Tjernobyl exploderade, vilket är anledningen till att vissa människor kalla detta virus "Tjernobyl") och sedan fungerade det," - säger Komarov från Doctor Web.

Evgeny Aseev från Kaspersky Lab påminner om att Tjernobyl-viruset först upptäcktes i Taiwan i juni 1998 – författaren till viruset, Chen Ying-Hau, infekterade datorer vid ett lokalt universitet. Efter en tid kom CIH ur Taiwan: Österrike, Australien, Israel och Storbritannien var bland de första länderna som omfattades av epidemin. Senare registrerades den skadliga koden i flera andra länder, inklusive Ryssland.

Man tror att uppkomsten av infekterade filer på flera amerikanska webbservrar som distribuerar spelprogram var orsaken till den globala virusepidemin.

Bristen på formella klagomål från taiwanesiska företag gjorde det möjligt för Chen att undkomma straff i april 1999. Dessutom gjorde "Tjernobyl" honom känd: tack vare att viruset skrevs fick Chen Ying-Hau ett prestigefyllt jobb i ett stort datorföretag.

TIO ÅR SENARE. MODERNA HOT.

Enligt Sergei Komarov, chef för antivirusutvecklings- och forskningsavdelningen på Doctor Web, dök det upp senare virus som liknade Tjernobyl när det gäller att vara bundna till ett visst datum, men de orsakade inte sådan skada på datorer.

"Detta förklaras med största sannolikhet av det faktum att det inte är meningsfullt för modern skadlig programvara att inaktivera en dator - det är viktigt för dem som en resurs, de arbetar med det, döljer sin närvaro och ger inkomster till cyberkriminella", tror Komarov. Det förflutna är den tid då datorkriminella, som Chen Ying-Hau, skapade virus i ett försök att hävda sig och bli kända. De tjänar mycket allvarliga pengar på kriminella medel”, bekräftar Evgeny Aseev från Kaspersky Lab.

Enligt honom föreslog handlingsschemat för Tjernobyl-viruset två scenarier: i bästa fall radering av all information från datorns minne, i värsta fall dess fullständiga inaktivering. Bilden av moderna hot har förändrats dramatiskt och är slående i sin mångfald: "rootkits", sociala nätverk, onlinespel, "botnät" - områden och tekniker som utgör en långt ifrån komplett lista över källor till datorhot. "Cyberbedragare agerar mer och mer oförutsägbart och sofistikerat", konstaterar Aseev. Enligt honom har "produktionen" av skadliga program i dag satts igång, Kaspersky Lab-analytiker upptäcker mer än 17 000 nya virus dagligen.

"Trojaner" är i täten, stjäl användarens personliga data och överför till sina "ägare" kreditkortsnumret för ägaren av den infekterade datorn.

För att främja nya tjänster, reklam och relaterade tjänster använder internetföretagen aktivt potentialen sociala nätverk. Förra året var Odnoklassniki och Vkontakte, en av de mest "godis" för virtuella bedragare, i epicentrum för många attacker.

Spelmarknaden online växer i en enorm takt. Trojaner som attackerar användare av onlinebetalnings- och banksystem har ersatts av speltrojaner som använder ny teknik, inklusive filinfektion och distribution på flyttbara enheter. Samma "trojaner" användes för att organisera "botnät" (ett botnät är ett nätverk av infekterade datorer).

"Ordet "botnät", som för några år sedan uteslutande fanns i lexikonet för anställda vid antivirusföretag, har nyligen blivit känt för nästan alla. Idag är "botnät" den främsta källan till spam, DDoS-attacker och distribution av nya virus," noterar Aseev.

För att skydda sig mot möjliga hot rekommenderar experter användare att vara försiktiga och vara extremt försiktiga.

"Öppna inte misstänkta länkar som skickats av okända kontakter, kontrollera informationen från "vänner", använd inte enkla lösenord och skriv inte in dem någonstans utom för pålitliga resurser, och installera även regelbundet uppdateringar för operativsystemet och antivirusprogramvaran", råder Evgeniy Aseev, en virusanalytiker på Kaspersky Lab.

"RIA Novosti", 27.04.2009

Det är inte tillåtet att använda allt material som publicerats i avsnittet "Mediaövervakning" på den officiella webbplatsen för ministeriet för telekom och masskommunikation i Ryska federationen utan att ange deras upphovsrättsinnehavare specificerad för varje publikation