ไวรัสคอมพิวเตอร์เชอร์โนบิล ไวรัสเชอร์โนบิลได้รวบรวมส่วยมาหลายปีแล้ว "เชอร์โนบิล": ใครและทำไมจึงสร้างไวรัสที่ทำลายดิสก์และคอมพิวเตอร์

หรือที่รู้จักในชื่อ "เชอร์โนบิล" ไวรัสประจำถิ่น ทำงานได้เฉพาะบน Windows95/98 และแพร่ระบาดในไฟล์ PE
(ปฏิบัติการแบบพกพา) มีความยาวค่อนข้างสั้น - ประมาณ 1Kb เคยเป็น
ค้นพบ "มีชีวิต" ในไต้หวันเมื่อเดือนมิถุนายน พ.ศ. 2541 - ผู้เขียนติดเชื้อไวรัส
คอมพิวเตอร์ของมหาวิทยาลัยในพื้นที่ที่เขา (ผู้เขียนไวรัส) อยู่ในขณะนั้น
ได้รับการฝึกอบรม หลังจากนั้นสักพัก ไฟล์ที่ติดไวรัสก็ถูก (บังเอิญ?)
ส่งไปยังการประชุมทางอินเทอร์เน็ตในพื้นที่ และไวรัสก็หลุดออกไป
ไต้หวัน: สัปดาห์หน้ามีการบันทึกการแพร่ระบาดของไวรัส
ออสเตรีย ออสเตรเลีย อิสราเอล และบริเตนใหญ่ จากนั้นจึงค้นพบไวรัสใน
อีกหลายประเทศรวมทั้งรัสเซียด้วย

ประมาณหนึ่งเดือนต่อมา พบไฟล์ที่ติดไวรัสในหลาย ๆ แห่ง
เว็บเซิร์ฟเวอร์ของอเมริกาจำหน่ายโปรแกรมเกม ข้อเท็จจริงนี้
เห็นได้ชัดว่าเป็นสาเหตุของการแพร่ระบาดของไวรัสทั่วโลกในเวลาต่อมา 26
เมษายน 2542 (ประมาณหนึ่งปีหลังจากไวรัสปรากฏ) ได้ผล
"ระเบิดลอจิคัล" ฝังอยู่ในโค้ด ตามการประมาณการต่างๆ ในวันนี้
คอมพิวเตอร์ทั่วโลกประมาณครึ่งล้านเครื่องได้รับผลกระทบ
ข้อมูลในฮาร์ดไดรฟ์ถูกทำลาย และบางส่วนก็ได้รับความเสียหายเช่นกัน
เนื้อหาของชิป BIOS บนเมนบอร์ด เหตุการณ์นี้กลายเป็นจริง
ภัยพิบัติทางคอมพิวเตอร์ - การแพร่ระบาดของไวรัสและผลที่ตามมาไม่เคยเห็นมาก่อน
ยิ่งกว่านั้นพวกมันมีขนาดไม่ใหญ่นักและไม่ได้นำมาซึ่งความสูญเสียดังกล่าว

เห็นได้ชัดว่าด้วยเหตุผล 1) ไวรัสก่อให้เกิดภัยคุกคามต่อคอมพิวเตอร์อย่างแท้จริงในระหว่างนั้น
ทั่วโลก และ 2) วันที่เริ่มปฏิบัติการของไวรัส (26 เมษายน) ตรงกับวันที่
อุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ไวรัสได้รับครั้งที่สอง
ชื่อ - "เชอร์โนบิล"

ผู้เขียนไวรัสน่าจะไม่ได้เชื่อมโยงกับโศกนาฏกรรมเชอร์โนบิล แต่อย่างใด
กับไวรัสของเขา และกำหนดวัน “ระเบิด” ที่จะดับในวันที่ 26 เมษายนนี้
เหตุผลอื่น: เมื่อวันที่ 26 เมษายน พ.ศ. 2541 เขาได้เปิดตัวเวอร์ชันแรก
ของไวรัส (ซึ่งไม่เคยออกจากไต้หวัน) - 26
ในเดือนเมษายน ไวรัส CIH จะเฉลิมฉลอง "วันเกิด" ในลักษณะเดียวกัน

ไวรัสทำงานอย่างไร

เมื่อคุณเรียกใช้ไฟล์ที่ติดไวรัส ไวรัสจะติดตั้งโค้ดของมันเข้าไป หน่วยความจำวินโดวส์,
สกัดกั้นคำขอไฟล์และเขียนลงในไฟล์เมื่อเปิดไฟล์ PE EXE
พวกเขาเป็นสำเนาของคุณ มีข้อผิดพลาดและในบางกรณีระบบค้าง
เมื่อเรียกใช้ไฟล์ที่ติดไวรัส ขึ้นอยู่กับวันที่ปัจจุบัน ลบ Flash
เนื้อหา BIOS และดิสก์

การเขียนไปยัง Flash BIOS สามารถทำได้บนเมนบอร์ดประเภทที่เกี่ยวข้องเท่านั้น
บอร์ดและเมื่อสวิตช์ที่เกี่ยวข้องถูกตั้งค่าให้อนุญาต นี้
โดยปกติสวิตช์จะถูกตั้งค่าเป็นแบบอ่านอย่างเดียวอย่างไรก็ตาม
สิ่งนี้ไม่เป็นความจริงสำหรับผู้ผลิตคอมพิวเตอร์ทุกราย น่าเสียดายที่แฟลชไบออส
อาจไม่ได้รับการปกป้องบนมาเธอร์บอร์ดสมัยใหม่บางรุ่น
สวิตช์: บางส่วนอนุญาตให้บันทึกในรูปแบบ Flash ในตำแหน่งใดก็ได้
สวิตช์; ในส่วนอื่น ๆ การป้องกันการเขียน Flash สามารถเขียนทับโดยทางโปรแกรมได้

หลังจากลบหน่วยความจำแฟลชได้สำเร็จ ไวรัสก็ย้ายไปที่หน่วยความจำอื่น
ขั้นตอนการทำลายล้าง: ลบข้อมูลในการติดตั้งทั้งหมด
ฮาร์ดไดรฟ์ ในกรณีนี้ไวรัสจะใช้การเข้าถึงข้อมูลบนดิสก์โดยตรงและ
จึงข้ามการป้องกันไวรัสมาตรฐานที่มีอยู่ใน BIOS
เขียนไปยังบูตเซกเตอร์

ไวรัสมีสามเวอร์ชันหลัก ("ของผู้เขียน") พวกเขาค่อนข้างคล้ายกัน
และต่างกันเพียงรายละเอียดโค้ดย่อยที่แตกต่างกันเท่านั้น
รูทีนย่อย เวอร์ชันของไวรัสมีความยาว บรรทัดข้อความ และวันที่ต่างกัน
เรียกใช้ขั้นตอนการลบดิสก์และ Flash BIOS:

รายละเอียดทางเทคนิค

เมื่อติดไวรัสไฟล์ ไวรัสจะมองหา "รู" (บล็อกข้อมูลที่ไม่ได้ใช้) ในไฟล์เหล่านั้นและ
เขียนโค้ดของเขาลงไป การมีอยู่ของ "รู" ดังกล่าวเกิดจากโครงสร้าง
ไฟล์ PE: ตำแหน่งของแต่ละส่วนในไฟล์จะถูกจัดให้อยู่ในตำแหน่งที่แน่นอน
ค่าที่ระบุในส่วนหัว PE และในกรณีส่วนใหญ่ระหว่างส่วนท้าย
ส่วนก่อนหน้าและส่วนต้นของส่วนถัดไปมีจำนวนไบต์ที่แน่นอน
ซึ่งโปรแกรมไม่ได้ใช้ ไวรัสจะค้นหาไฟล์ที่ไม่ได้ใช้
บล็อก เขียนโค้ดของเขาลงไปและเพิ่มตามค่าที่ต้องการ
ขนาดส่วนที่แก้ไข ขนาดของไฟล์ที่ติดไวรัสไม่เพิ่มขึ้น

หากมี "รู" ขนาดเพียงพอที่ปลายส่วนใดส่วนหนึ่ง
ไวรัสเขียนโค้ดลงในบล็อกเดียว หากไม่มี "รู" ดังกล่าว
ไวรัสจะแยกโค้ดออกเป็นบล็อคและเขียนไว้ที่ส่วนท้ายของส่วนต่างๆ
ไฟล์. ดังนั้นจึงสามารถตรวจพบรหัสไวรัสในไฟล์ที่ติดไวรัสได้
ทั้งในรูปแบบโค้ดบล็อกเดียวและหลายบล็อกที่ไม่เกี่ยวข้องกัน

ไวรัสยังค้นหาบล็อกข้อมูลที่ไม่ได้ใช้ในส่วนหัว PE ถ้าถึงที่สุดแล้ว
ส่วนหัวมี “รู” ขนาดอย่างน้อย 184 ไบต์ ไวรัสจึงเขียนลงไป
ขั้นตอนการเริ่มต้นของคุณ ไวรัสจะเปลี่ยนที่อยู่เริ่มต้นของไฟล์:
เขียนที่อยู่ของขั้นตอนการเริ่มต้นลงไป ซึ่งเป็นผลมาจากแนวทางนี้
โครงสร้างไฟล์ค่อนข้างไม่เป็นมาตรฐาน: ที่อยู่ของการเริ่มต้น
ขั้นตอนของโปรแกรมไม่ได้ชี้ไปที่ส่วนใดๆ ของไฟล์ แต่ชี้ไปที่ส่วนอื่นๆ ของไฟล์
โมดูลที่โหลด - ในส่วนหัวของไฟล์ อย่างไรก็ตาม Windows95 ไม่จ่ายเงิน
ให้ความสนใจกับไฟล์ที่ “แปลก” ดังกล่าว จึงโหลดส่วนหัวของไฟล์ลงในหน่วยความจำ จากนั้น
ทุกส่วนและควบคุมการถ่ายโอนไปยังที่อยู่ที่ระบุไว้ในส่วนหัว - ถึง
ขั้นตอนการเริ่มต้นไวรัสในส่วนหัว PE

หลังจากได้รับการควบคุมแล้ว ขั้นตอนการเริ่มต้นไวรัสจะจัดสรรบล็อกหน่วยความจำ
VMM เรียก PageAllocate คัดลอกโค้ดที่นั่น จากนั้นกำหนดที่อยู่
บล็อกรหัสไวรัสที่เหลือ (อยู่ที่ส่วนท้ายของส่วน) และต่อท้าย
ไปที่รหัสของขั้นตอนการเริ่มต้นของคุณ จากนั้นไวรัสจะดักจับ IFS API และ
ส่งคืนการควบคุมไปยังโปรแกรมโฮสต์

จากมุมมองของระบบปฏิบัติการ ขั้นตอนนี้น่าสนใจที่สุด
ไวรัส: หลังจากที่ไวรัสได้คัดลอกโค้ดไปยังบล็อกหน่วยความจำใหม่และ
ถ่ายโอนการควบคุมไปที่นั่น รหัสไวรัสจะถูกดำเนินการเป็นแอปพลิเคชัน Ring0 และ
ไวรัสสามารถสกัดกั้น AFS API ได้ (ซึ่งเป็นไปไม่ได้สำหรับโปรแกรม
ดำเนินการใน Ring3)

IFS API Interceptor จัดการเพียงฟังก์ชันเดียวเท่านั้น นั่นคือการเปิดไฟล์
หากเปิดไฟล์ที่มีนามสกุล EXE ไวรัสจะตรวจสอบภายใน
จัดรูปแบบและเขียนโค้ดลงในไฟล์ หลังจากการติดเชื้อไวรัสจะตรวจสอบ
วันที่ของระบบและการเรียกขั้นตอนการลบ Flash BIOS และเซกเตอร์ดิสก์ (ดูด้านบน)

เมื่อลบ Flash BIOS ไวรัสจะใช้พอร์ตที่เกี่ยวข้อง
อ่าน/เขียน เมื่อลบเซกเตอร์ของดิสก์ ไวรัสจะเรียกใช้ฟังก์ชัน VxD
เข้าถึงดิสก์ IOS_SendCommand โดยตรง

ไวรัสสายพันธุ์ต่างๆ ที่รู้จัก

ผู้สร้างไวรัสไม่เพียงแต่ปล่อยสำเนาของไฟล์ที่ติดไวรัสออกสู่ระบบเท่านั้น แต่ยังรวมถึง
ส่งข้อความแอสเซมเบลอร์ดั้งเดิมของไวรัสออกไป สิ่งนี้ได้นำไปสู่สิ่งเหล่านี้
ข้อความได้รับการแก้ไข เรียบเรียง และปรากฏในไม่ช้า
การดัดแปลงไวรัสที่มีความยาวต่างกันแต่ในแง่ของการทำงาน
ทั้งหมดสอดคล้องกับ "ผู้ปกครอง" ของพวกเขา ในบางสายพันธุ์ของไวรัสก็มี
วันปฏิบัติการ “วางระเบิด” เปลี่ยนไป หรือส่วนนี้ไม่เคยถูกเรียกเลย

เป็นที่ทราบกันดีอยู่แล้วเกี่ยวกับไวรัสเวอร์ชัน "ดั้งเดิม" ที่ทำงานในแต่ละวัน
แตกต่างจากวันที่ 26 [เมษายน] ข้อเท็จจริงข้อนี้อธิบายได้จากข้อเท็จจริงที่ว่าการตรวจสอบวันที่
รหัสไวรัสเกิดขึ้นตามค่าคงที่สองตัว ตามธรรมชาติเพื่อที่จะ
ตั้งเวลา "ระเบิด" สำหรับวันใดวันหนึ่ง เพียงแค่เปลี่ยน
สองไบต์ในรหัสไวรัส

เชอร์โนบิล - ไวรัสคอมพิวเตอร์ที่เป็นอันตราย

ไวรัสเป็นเพียงโปรแกรมที่เขียนโดยบุคคลที่ไม่ส่งผลกระทบต่อสุขภาพของผู้ใช้ที่ทำงานบนคอมพิวเตอร์ เทพนิยายและข่าวลือที่ว่าไวรัสนั้นไม่มีพื้นฐานมาจากการใช้โทนสีและเอฟเฟกต์อื่น ๆ ที่แสดงบนหน้าจอมอนิเตอร์ ฆ่าสมองและทำให้คนเป็นบ้าได้ ไวรัสหลายร้อยตัวเข้าไปในคอมพิวเตอร์ ซึ่งส่วนใหญ่เกิดจากการที่ผู้ใช้ไม่รู้หนังสือคอมพิวเตอร์และไม่สามารถใช้สื่อจัดเก็บข้อมูลได้ (ดิสก์ แฟลชไดรฟ์)

– หมายถึงไวรัสประจำถิ่นที่แพร่ระบาดไปยังระบบ Windows 95 และ Windows 98 ขนาดของไวรัสมีขนาดเล็กเพียง 1 KB เมื่อฉีดเข้าไป ไวรัสจะลบข้อมูลทั้งหมดออกจากดิสก์ ป้อนโค้ดลงในหน่วยความจำของโปรแกรม และในขณะเดียวกันก็ดักฟังคำสั่งพื้นฐานไปยังไฟล์ต่างๆ จากนั้นจะเขียนสำเนาของตัวเองลงในไฟล์ที่ได้รับผลกระทบ เมื่อลบหน่วยความจำเสร็จสิ้น ระบบจะลบข้อมูลจากฮาร์ดไดรฟ์ จึงเป็นการล้างเส้นทางไปยังดิสก์คอมพิวเตอร์และข้อมูลดิสก์ทั้งหมด

ผู้เขียนไวรัสนี้เป็นนักเรียนจากไต้หวัน Chen Ying Hao ผู้เขียนไวรัสและทำให้มันมีชีวิตในปี 1998 จนถึงปัจจุบันมีสำเนาต้นฉบับของไวรัสอยู่สามชุด พวกเขาแตกต่างกันในเรื่องข้อความยาวๆ และเวลาของการแนะนำและความพ่ายแพ้ โปรแกรมวินโดวส์- การทำลายล้างคอมพิวเตอร์ครั้งใหญ่ครั้งแรกเกิดขึ้นพร้อมกับวันครบรอบเชอร์โนบิลเมื่อวันที่ 26 เมษายน ปี 1999 ความบังเอิญของการเปิดใช้งานไวรัสและวันที่เกิดการระเบิดเชอร์โนบิลทำให้ชื่อของไวรัสนี้ จากมหาวิทยาลัยในไต้หวันที่ผู้เขียนไวรัสศึกษาอยู่ ก็แพร่ระบาดไปทั่วประเทศอย่างรวดเร็ว จากนั้นโรคระบาดก็แพร่กระจายไปยังอิสราเอล ออสเตรีย สหราชอาณาจักร ออสเตรเลีย และหลังจากนั้นระยะหนึ่งก็แพร่ระบาดไปถึงรัสเซีย ความพ่ายแพ้ของโปรแกรมด้วยไวรัสที่ไม่รู้จักและในวงกว้างดังกล่าวทำให้ประชาชนตื่นตระหนก ในเวลานั้นครึ่งล้านได้รับผลกระทบ คอมพิวเตอร์ส่วนบุคคล- ชิป BIOS ของคอมพิวเตอร์ส่วนบุคคลส่วนใหญ่ได้รับผลกระทบ

เป็นเรื่องที่น่าสนใจที่จะรู้ว่ามีอะไรรวมอยู่ในสิบอันดับแรก ไวรัสที่เป็นอันตรายในโลก เมื่อเขาทราบขอบเขตของความเสียหายที่เกิดจากผลิตผลของเขา ผู้เขียนก็ออกมาขอโทษต่อสาธารณะ เรื่องตลกของวิทยาลัยที่เขากำลังจะดึงออกมา กระบวนการศึกษาในมหาวิทยาลัยของเขาทำให้เขามีชื่อเสียงไม่ดี แต่ตามกฎหมายของประเทศนักศึกษาไม่ได้ฝ่าฝืนกฎหมายและไม่ถูกพิพากษาลงโทษ

และที่สำคัญที่สุด ไวรัสจะถูกกระตุ้นปีละครั้ง - ในวันที่ 26 เมษายน ซึ่งเกิดจากการเริ่มต้นระบบที่ได้รับผลกระทบ และเมื่อเสร็จสิ้นการทำงาน ไวรัสจะยังคงอยู่ในหน่วยความจำเสมอ แพร่ระบาดไปยังโปรแกรมอื่น ๆ สังเกตการกระทำของเจ้าของพีซี การลบไวรัสเป็นเรื่องยากมาก หลังจากลบแล้ว ไฟล์และเอกสารจำนวนมากจะสูญหาย คำแนะนำที่ดี - อย่าลบไวรัสออกจากคอมพิวเตอร์ด้วยตนเอง ติดต่อผู้เชี่ยวชาญ นี่เป็นโอกาสของคุณในการบันทึกไฟล์ให้ได้มากที่สุดและช่วยให้คอมพิวเตอร์ของคุณกลับมาแข็งแกร่งอีกครั้ง ความสามารถของมัลแวร์ในการทำซ้ำทำให้เกิดความตื่นตระหนกในหมู่ผู้ใช้ เฉพาะแนวทางที่มีความสามารถในการกำจัดและรักษาไวรัสเท่านั้นที่จะช่วยให้ผู้ใช้พ้นจากความไม่สะดวก

2018-04-27 06:18:05

"เชอร์โนบิล": ใครและทำไมจึงสร้างไวรัสที่ทำลายดิสก์และคอมพิวเตอร์

อาจมีเพียงไม่กี่คนที่จำได้ แต่วันที่ 26 เมษายนไม่เพียง แต่เป็นวันที่โศกนาฏกรรมเชอร์โนบิลเกิดขึ้น แต่ยังเป็นวันที่ผู้ใช้คอมพิวเตอร์หลายแสนคนทั่วโลกสูญเสียข้อมูลทั้งหมดบนดิสก์ของพวกเขาและบางส่วน - แม้แต่มาเธอร์บอร์ดของพวกเขา เนื่องจากไวรัส CIH เราบอกคุณว่าเกิดอะไรขึ้นในปี 1999 ใครคือผู้กระทำผิด และไวรัสแพร่กระจายไปทั่วโลกได้อย่างไร

ใครเป็นผู้สร้างไวรัสและทำไม?

CIH, Virus.Win9x.CIH หรือ “เชอร์โนบิล” คือ ไวรัสคอมพิวเตอร์ทำงานภายใต้ระบบปฏิบัติการ Windows 95/98/ME เท่านั้น ซึ่งเขียนโดย (ในขณะนั้น) นักเรียนชาวไต้หวัน Chen Yinghao มันถูกค้นพบครั้งแรก "ยังมีชีวิตอยู่" ในไต้หวันในเดือนมิถุนายน พ.ศ. 2541 โดยผู้เขียนไวรัสตัวนี้ติดคอมพิวเตอร์ที่มหาวิทยาลัยต้าตุงของเขา

เฉิน หยิงห่าว (ขวา)

หลังจากนั้นไม่นาน ไวรัสก็แพร่กระจายผ่านการประชุมทางอินเทอร์เน็ตในท้องถิ่น และจากนั้นก็แพร่กระจายออกไปนอกประเทศ ต่อมามีการบันทึกการแพร่ระบาดของไวรัสในประเทศออสเตรีย ออสเตรเลีย อิสราเอล และสหราชอาณาจักร จากนั้นไวรัสก็แพร่กระจายไปยังประเทศอื่น ๆ รวมถึงรัสเซียและเบลารุส

ประมาณหนึ่งเดือนต่อมา ไฟล์ที่ติดไวรัสถูกค้นพบบนเว็บเซิร์ฟเวอร์ของอเมริกาหลายแห่งที่เผยแพร่โปรแกรมเกม ซึ่งมีส่วนทำให้เกิดการแพร่ระบาดของไวรัสไปทั่วโลก

พวกเขาเขียนว่า Chen Yinghao สร้างไวรัสเพื่อลงโทษผู้ขาย โปรแกรมป้องกันไวรัสซึ่งกลายเป็นว่าไร้ประโยชน์ในการต่อสู้กับไวรัสบนคอมพิวเตอร์ของมหาวิทยาลัย

เมื่อเขารู้ว่าไวรัสแพร่กระจายไปทั่วโลก เขาก็กังวล แต่เขามั่นใจว่าหากมีเวลาเพียงพอ ผู้เชี่ยวชาญด้านความปลอดภัยก็จะสามารถเข้าใจเรื่องนี้ได้

26 เมษายน 2542

วันที่นี้น่าจะยังจำได้โดยเจ้าของคอมพิวเตอร์ที่ติดไวรัสในขณะนั้น ในวันนี้ “ระเบิดลอจิคัล” ที่ฝังอยู่ในรหัสไวรัสดับลง ตามการประมาณการต่าง ๆ ในวันนี้คอมพิวเตอร์ประมาณครึ่งล้านเครื่องทั่วโลกได้รับความเสียหาย - ข้อมูลในฮาร์ดไดรฟ์ถูกทำลายและในบางส่วนเนื้อหาของชิป BIOS บนเมนบอร์ดได้รับความเสียหาย (ทำให้ไม่สามารถใช้งานได้อย่างสมบูรณ์ ).

เหตุการณ์นี้เป็นหายนะทางคอมพิวเตอร์อย่างแท้จริง - การแพร่ระบาดของไวรัสและผลที่ตามมาไม่เคยมีมาก่อนและนำมาซึ่งความสูญเสียดังกล่าว

ตามการประมาณการต่างๆ ความเสียหายจากไวรัสอยู่ระหว่าง 20 ถึง 80 ล้านดอลลาร์ นี่ไม่นับความเสียหายทางศีลธรรม - ผู้คนจำนวนมากสูญเสียข้อมูลส่วนบุคคลเนื่องจากในปี 2542 ยังไม่มีการเผยแพร่ข้อมูลเหล่านี้ ที่เก็บข้อมูลบนคลาวด์และบริการสตรีมมิ่ง

เห็นได้ชัดว่าเนื่องจากไวรัสเป็นภัยคุกคามต่อคอมพิวเตอร์ทั่วโลกและวันที่ดำเนินการใกล้เคียงกับวันที่เกิดอุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล จึงได้รับชื่อที่สองซึ่งธรรมดากว่ามาก - "เชอร์โนบิล"

ผู้เขียนไวรัสเกือบจะไม่ได้เชื่อมโยงโศกนาฏกรรมเชอร์โนบิลกับผลิตผลของเขา แต่อย่างใดและกำหนดวันปฏิบัติการของ "ระเบิด" ในวันที่ 26 เมษายนด้วยเหตุผลที่แตกต่างไปจากเดิมอย่างสิ้นเชิง: ในวันนี้ในปี 1998 ที่เขาเปิดตัว ไวรัสเวอร์ชั่นแรกของเขา (ซึ่งยังไงก็ไม่เคยเกินขอบเขตของไต้หวัน) เช่น ดังนั้นในวันที่ 26 เมษายน ไวรัสจึงเฉลิมฉลอง “วันเกิด” ของมัน

นี่คือสิ่งที่เหยื่อรายหนึ่งเล่า: “หลังจากได้รับคำเตือน ทั้งสำนักงานก็เปลี่ยนวันที่เพื่อไม่ให้เปิดใช้งานได้... แล้วฉันก็เมาจนลืมคลายเกลียวกลับ... และหนึ่งเดือนต่อมาจริงๆ คอมพิวเตอร์พัง...”

ไวรัสทำงานอย่างไร

เมื่อมีการเปิดตัวไฟล์ที่ติดไวรัส ไวรัสจะติดตั้งโค้ดลงในหน่วยความจำ Windows ดักฟังการเรียกไปยังไฟล์ และเมื่อเปิดไฟล์ EXE ที่เปิดตัว ไวรัสจะเขียนสำเนาของตัวเองลงในไฟล์เหล่านั้น เนื่องจากข้อผิดพลาดในรหัส บางครั้งไวรัสอาจทำให้ระบบค้างเมื่อเรียกใช้ไฟล์ที่ติดไวรัส และเมื่อถึงวันที่ระบุ ฉันก็พยายามลบ Flash BIOS และเนื้อหาของดิสก์

โมดูล BIOS บนเมนบอร์ด

การเขียนไปยัง Flash BIOS สามารถทำได้บนเมนบอร์ดประเภทที่เหมาะสมเท่านั้น และเมื่อมีการเปิดใช้งานสวิตช์ที่เกี่ยวข้อง โดยปกติสวิตช์นี้จะถูกตั้งค่าเป็นแบบอ่านอย่างเดียว แต่สิ่งนี้ไม่เป็นความจริงสำหรับผู้ผลิตคอมพิวเตอร์ทุกราย

น่าเสียดายที่ Flash BIOS บนมาเธอร์บอร์ดสมัยใหม่บางรุ่นไม่สามารถป้องกันด้วยสวิตช์ได้: บางตัวอนุญาตให้เขียนไปยัง Flash ในตำแหน่งใดก็ได้ของสวิตช์ ส่วนในรุ่นอื่น ๆ การป้องกันการเขียนไปยัง Flash สามารถยกเลิกได้โดยทางโปรแกรม

หลังจากลบหน่วยความจำแฟลชแล้ว ไวรัสได้ย้ายไปยังขั้นตอนการทำลายล้างอื่น: ทำลายข้อมูลในฮาร์ดไดรฟ์ที่ติดตั้งทั้งหมด ในเวลาเดียวกัน ก็สามารถข้ามการป้องกันไวรัสมาตรฐานที่มีอยู่ใน BIOS จากการเขียนไปยังเซกเตอร์สำหรับบูตได้

ไวรัสมีสามเวอร์ชันหลัก (เรียกว่าเป็นกรรมสิทธิ์) พวกมันค่อนข้างคล้ายกันและแตกต่างกันเพียงรายละเอียดเล็กๆ น้อยๆ ของโค้ดในรูทีนต่างๆ เวอร์ชันของไวรัสได้รับความยาว บรรทัดข้อความ และวันที่ดำเนินการของขั้นตอนการลบดิสก์และ Flash BIOS ที่แตกต่างกัน

ทั้งหมดนี้มีขนาดประมาณ 1 กิโลไบต์ สองเวอร์ชันแรกใช้งานได้ในวันที่ 26 เมษายน เวอร์ชันที่สาม - วันที่ 26 ของแต่ละเดือน

เกิดอะไรขึ้นต่อไป?

ผู้เขียนไวรัสไม่เพียงแต่ปล่อยไวรัสเท่านั้น แต่ยังส่งรหัสประกอบดั้งเดิมของไวรัสอีกด้วย สิ่งนี้นำไปสู่ความจริงที่ว่าข้อความเหล่านี้ได้รับการแก้ไข เรียบเรียง และในไม่ช้า การดัดแปลงไวรัสก็ปรากฏขึ้นซึ่งมีความยาวต่างกัน แต่ในแง่ของฟังก์ชันการทำงาน ทั้งหมดนั้นสอดคล้องกับ "ผู้ปกครอง" ของพวกเขา

ในไวรัสบางสายพันธุ์ วันที่ปฏิบัติการของ "ระเบิด" เปลี่ยนไป หรือไม่ได้ใช้ส่วนนี้เลย (การดำเนินการทันที) ท้ายที่สุดแล้ว เพื่อตั้งค่าตัวจับเวลา "ระเบิด" สำหรับวันใดวันหนึ่ง การเปลี่ยนรหัสไวรัสเพียงสองไบต์ก็เพียงพอแล้ว

โดยทั่วไปแล้ว ไวรัสจะทำให้ซอฟต์แวร์เป็นอันตรายต่อคอมพิวเตอร์ ไม่ทางใดก็ทางหนึ่ง ไวรัสทำให้การทำงานของคอมพิวเตอร์ยุ่งยาก ตรวจสอบหรือขโมยข้อมูลผู้ใช้บางส่วน ตัวอย่างเช่นสิ่งที่ไม่พึงประสงค์อย่างยิ่งซึ่งหลอกหลอนผู้ใช้ในทุกเบราว์เซอร์อย่างน่ารำคาญ แต่มันคือซอฟต์แวร์ทั้งหมด ผลิตภัณฑ์ซอฟต์แวร์ที่เสียหายซึ่งติดไวรัสสามารถรักษาให้หายขาดหรือเปลี่ยนใหม่ได้ มีไวรัสที่สามารถสร้างความเสียหายให้กับฮาร์ดแวร์คอมพิวเตอร์ได้หรือไม่?

ไวรัส Win95.CIH (เชอร์โนบิล)

เชอร์โนบิล - นี่คือชื่อที่ตั้งให้กับไวรัสคอมพิวเตอร์ตัวแรกซึ่งแสดงให้เห็นว่าไวรัสสามารถสร้างความเสียหายได้ไม่เพียงเท่านั้น ซอฟต์แวร์แต่ยัง ฮาร์ดแวร์คอมพิวเตอร์. ไวรัสเชอร์โนบิลซึ่งเขียนขึ้นในปี 1998 โดยนักเรียนชาวไต้หวันทำให้เนื้อหาของ BIOS บนเมนบอร์ดบางตัวเสียหาย ซึ่งอาจทำให้ BIOS เสียหายได้ เมนบอร์ด- และมีกรณีเช่นนี้ แต่ถึงกระนั้นอาหารจานหลักก็คือการทำลายข้อมูลทั้งหมดจาก ฮาร์ดไดรฟ์คอมพิวเตอร์. อย่างน้อยมันก็มีข้อดีอยู่บ้าง เพราะความต้องการลดลงแล้ว ทุกคนที่โชคร้ายจากการได้รับไวรัสนี้ต้องทนทุกข์ทรมานแล้ว

ไวรัสได้รับชื่อแรก - Win95.CIH - จากผู้เขียน โดยวิธีการที่เขาปล่อยสาม รุ่นที่แตกต่างกันไวรัสของพวกเขาซึ่งไม่ได้แตกต่างกันมากนัก จริง, เวอร์ชันล่าสุดเปิดตัวในวันที่ 26 ของทุกเดือน และแต่ละเวอร์ชันก็มีหมายเลขของตัวเอง แต่ชื่อที่สอง - ไวรัสเชอร์โนบิล - มอบให้เขาโดย โลกคอมพิวเตอร์- ทำไม เนื่องจากไวรัสเริ่มใช้งานในวันที่ 26 เมษายนและดำเนินการทำลายล้างทั้งหมดในวันนั้น และในวันนี้เมื่อปี 1986 โชคไม่ดีที่เกิดอุบัติเหตุเชอร์โนบิล แม้ว่าตามที่ผู้เขียนไวรัสกล่าวไว้ วันที่เปิดตัวของไวรัส - วันที่ 26 เมษายนของทุกปี - ถูกเลือกเพียงเพราะตัวไวรัสฉลองวันเกิดในวันนี้เท่านั้น อย่างไรก็ตาม เขาก็เฉลิมฉลองในแบบของเขาเอง

อันตรายจากไวรัสเชอร์โนบิล

ไวรัสเชอร์โนบิลไม่ก่อให้เกิดอันตรายใดๆ อีกต่อไป เนื่องจากสภาพแวดล้อมการทำงานของไวรัสนี้เปิดอยู่ในคอมพิวเตอร์ ระบบปฏิบัติการ Windows 95 และ 98 แต่ไม่ได้หมายความว่าไม่มีอันตรายจากการติดไวรัสที่จะสร้างความเสียหายให้กับฮาร์ดแวร์คอมพิวเตอร์ นี่แสดงให้เห็นว่าหลายคนทั่วโลกทราบเกี่ยวกับโอกาสนี้และต้องการทำซ้ำความสำเร็จของนักเรียนชาวไต้หวันรายนี้ และบางคนก็ประสบความสำเร็จแล้ว แต่พวกเขาไม่น่าจะมีชื่อเสียงมากไปกว่าเชอร์โนบิล เพราะแบบแรกนั้นง่ายต่อการจดจำ