ไวรัสเชอร์โนบิลบน windows 7 ไวรัสเชอร์โนบิลได้รวบรวมส่วยมาหลายปีแล้ว ไวรัสปรากฏตัวอย่างไร

ซีไอเอช, หรือ "เชอร์โนบิล"(Virus.Win9x.CIH) เป็นไวรัสคอมพิวเตอร์ที่เขียนโดยนักเรียนชาวไต้หวัน Chen Ying Hao ในเดือนมิถุนายน พ.ศ. 2541 เป็นไวรัสประจำถิ่นที่ทำงานภายใต้ระบบปฏิบัติการ Windows 95/98 เท่านั้น

เรื่องราว

เมื่อวันที่ 26 เมษายน 2542 ซึ่งเป็นวันครบรอบอุบัติเหตุเชอร์โนบิล ไวรัสได้เริ่มทำงานและทำลายข้อมูลในฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่ติดไวรัส ในคอมพิวเตอร์บางเครื่อง เนื้อหาของชิป BIOS เสียหาย มันเป็นเรื่องบังเอิญของวันที่เปิดใช้งานไวรัสและวันที่เกิดอุบัติเหตุเชอร์โนบิลที่ทำให้ไวรัสมีชื่อที่สองว่า "เชอร์โนบิล" ซึ่งได้รับความนิยมในหมู่คนมากกว่า "CIH"

ตามการประมาณการต่างๆ ผู้คนประมาณครึ่งล้านต้องทนทุกข์ทรมานจากไวรัส คอมพิวเตอร์ส่วนบุคคลทั่วทุกมุมโลก

ตามรายงานของ The Register เมื่อวันที่ 20 กันยายน พ.ศ. 2543 ทางการไต้หวันได้จับกุมผู้สร้างไวรัสคอมพิวเตอร์อันโด่งดัง

ชื่อ

ไวรัส CIH มีชื่อว่า "เชอร์โนบิล" ที่มาของชื่อมีสองเวอร์ชันที่เป็นไปได้:

1. ไวรัสทำให้เกิดความเสียหายร้ายแรงต่อคอมพิวเตอร์หลายเครื่องทั่วโลก
2. วันที่ปฏิบัติการของ "ระเบิดตรรกะ" ที่ผู้เขียนปลูกนั้นตรงกับวันที่เกิดอุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิลเมื่อวันที่ 26 เมษายน

การแพร่กระจาย

ไวรัสที่ใช้งานได้ตัวแรกถูกค้นพบในเดือนมิถุนายน พ.ศ. 2541 ในไต้หวัน ซึ่งเป็นผู้เขียนคอมพิวเตอร์ที่ติดไวรัสในมหาวิทยาลัยของเขา ในสัปดาห์หน้า มีการบันทึกการแพร่ระบาดของไวรัสในออสเตรีย ออสเตรเลีย อิสราเอล และสหราชอาณาจักร ต่อมาพบร่องรอยของไวรัสในหลายประเทศ รวมถึงรัสเซียด้วย การแพร่เชื้อเว็บเซิร์ฟเวอร์ในอเมริกาหลายแห่ง เกมคอมพิวเตอร์เป็นสาเหตุของการแพร่ระบาดของไวรัสทั่วโลกที่เริ่มขึ้นเมื่อวันที่ 26 เมษายน พ.ศ. 2542 “ระเบิดลอจิก” เกิดขึ้นบนคอมพิวเตอร์ครึ่งล้านเครื่อง ทำลายข้อมูลในฮาร์ดไดรฟ์ และสร้างความเสียหายให้กับข้อมูลบนชิป BIOS

หลักการทำงาน

เมื่อคุณเรียกใช้ไฟล์ที่ติดไวรัส ไวรัสจะเขียนโค้ดลงไป หน่วยความจำวินโดวส์ขัดขวางการเปิดตัวไฟล์ EXE และเขียนถึงพวกเขา รหัสที่เป็นอันตราย- ไวรัสสามารถสร้างความเสียหายให้กับข้อมูลใน Flash BIOS และฮาร์ดไดรฟ์ของคอมพิวเตอร์ได้ ทั้งนี้ขึ้นอยู่กับวันที่ปัจจุบัน

ผู้เขียนไวรัส

Chen Ing Hau เกิดเมื่อวันที่ 25 สิงหาคม พ.ศ.2518 ประเทศไต้หวัน
Chen เขียน CIH ขณะศึกษาอยู่ที่มหาวิทยาลัย Tatung ในไทเป เมื่อเขาสร้างไวรัส เขาได้รับการตำหนิอย่างรุนแรงจากมหาวิทยาลัย
เมื่อรู้ว่าไวรัสแพร่ระบาด เขาก็รู้สึกวิตกกังวล เพื่อนร่วมชั้นบางคนแนะนำเขาอย่างยิ่งว่าอย่ายอมรับว่าสร้างไวรัส แต่ตัวเขาเองมั่นใจว่าหากให้เวลาเพียงพอ ผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถเข้าใจเรื่องนี้ได้ ดังนั้น ก่อนสำเร็จการศึกษาจากมหาวิทยาลัย เขาจึงเขียนคำขอโทษอย่างเป็นทางการบนอินเทอร์เน็ต โดยเขาขอการอภัยจากประชาชนชาวจีนที่คอมพิวเตอร์ได้รับความเสียหายอย่างเปิดเผย เนื่องจากเขารับราชการทหาร เฉินจึงไปรับราชการ ตามกฎหมายของไต้หวันในขณะนั้น เขาไม่ได้ฝ่าฝืนกฎหมายใดๆ และเขาไม่เคยถูกตั้งข้อหาทางอาญาจากการสร้างไวรัสนี้
ปัจจุบัน Chen ทำงานที่ Gigabyte

ข้อเท็จจริง

• "เชอร์โนบิล" ใช้งานได้กับ Windows95/98 เท่านั้น
• ไวรัสได้ค่อนข้างมาก ขนาดเล็กประมาณ 1 กิโลไบต์
• ผู้เขียนไวรัสยังได้ส่งซอร์สโค้ดของไวรัสออกไปด้วย
• ในเดือนพฤษภาคม 2549 Sergei Kazachkov นักศึกษาของมหาวิทยาลัยเทคนิคแห่งหนึ่งใน Voronezh ถูกตัดสินให้จำคุก 2 ปีภายใต้มาตรา 273 แห่งประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียในข้อหาเผยแพร่ไวรัสคอมพิวเตอร์บนอินเทอร์เน็ตรวมถึง CIH

คัดลอกและเรียบเรียงเล็กน้อยจาก Wikipedia

หรือที่รู้จักในชื่อ "เชอร์โนบิล" ไวรัสประจำถิ่น ทำงานได้เฉพาะบน Windows95/98 และแพร่ระบาดในไฟล์ PE
(ปฏิบัติการแบบพกพา) มีความยาวค่อนข้างสั้น - ประมาณ 1Kb เคยเป็น
ค้นพบ "มีชีวิต" ในไต้หวันเมื่อเดือนมิถุนายน พ.ศ. 2541 - ผู้เขียนติดเชื้อไวรัส
คอมพิวเตอร์ของมหาวิทยาลัยในพื้นที่ที่เขา (ผู้เขียนไวรัส) อยู่ในขณะนั้น
ได้รับการฝึกอบรม หลังจากนั้นสักพัก ไฟล์ที่ติดไวรัสก็ถูก (บังเอิญ?)
ส่งไปยังการประชุมทางอินเทอร์เน็ตในพื้นที่ และไวรัสก็หลุดออกไป
ไต้หวัน: สัปดาห์หน้ามีการบันทึกการแพร่ระบาดของไวรัส
ออสเตรีย ออสเตรเลีย อิสราเอล และบริเตนใหญ่ จากนั้นจึงค้นพบไวรัสใน
อีกหลายประเทศรวมทั้งรัสเซียด้วย

ประมาณหนึ่งเดือนต่อมา พบไฟล์ที่ติดไวรัสในหลาย ๆ แห่ง
เว็บเซิร์ฟเวอร์ของอเมริกาจำหน่ายโปรแกรมเกม ข้อเท็จจริงนี้
เห็นได้ชัดว่าเป็นสาเหตุของการแพร่ระบาดของไวรัสทั่วโลกในเวลาต่อมา 26
เมษายน 2542 (ประมาณหนึ่งปีหลังจากไวรัสปรากฏ) ได้ผล
"ระเบิดลอจิคัล" ฝังอยู่ในโค้ด ตามการประมาณการต่างๆ ในวันนี้
คอมพิวเตอร์ทั่วโลกประมาณครึ่งล้านเครื่องได้รับผลกระทบ
ข้อมูลในฮาร์ดไดรฟ์ถูกทำลาย และบางส่วนก็ได้รับความเสียหายเช่นกัน
เนื้อหาของชิป BIOS เปิดอยู่ เมนบอร์ด- เหตุการณ์นี้กลายเป็นจริง
ภัยพิบัติทางคอมพิวเตอร์ - การแพร่ระบาดของไวรัสและผลที่ตามมาไม่เคยเห็นมาก่อน
ยิ่งกว่านั้นพวกมันมีขนาดไม่ใหญ่นักและไม่ได้นำมาซึ่งความสูญเสียดังกล่าว

เห็นได้ชัดว่าด้วยเหตุผล 1) ไวรัสก่อให้เกิดภัยคุกคามต่อคอมพิวเตอร์อย่างแท้จริงในระหว่างนั้น
ทั่วโลก และ 2) วันที่เริ่มปฏิบัติการของไวรัส (26 เมษายน) ตรงกับวันที่
อุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ไวรัสได้รับครั้งที่สอง
ชื่อ - "เชอร์โนบิล"

ผู้เขียนไวรัสน่าจะไม่ได้เชื่อมโยงกับโศกนาฏกรรมเชอร์โนบิล แต่อย่างใด
กับไวรัสของเขา และกำหนดวัน “ระเบิด” ที่จะดับในวันที่ 26 เมษายนนี้
เหตุผลอื่น: เมื่อวันที่ 26 เมษายน พ.ศ. 2541 เขาได้เปิดตัวเวอร์ชันแรก
ของไวรัส (ซึ่งไม่เคยออกจากไต้หวัน) - 26
ในเดือนเมษายน ไวรัส CIH จะเฉลิมฉลอง "วันเกิด" ในลักษณะเดียวกัน

ไวรัสทำงานอย่างไร

เมื่อคุณเรียกใช้ไฟล์ที่ติดไวรัส ไวรัสจะติดตั้งโค้ดลงในหน่วยความจำ Windows
สกัดกั้นคำขอไฟล์และเขียนลงในไฟล์เมื่อเปิดไฟล์ PE EXE
พวกเขาเป็นสำเนาของคุณ มีข้อผิดพลาดและในบางกรณีระบบค้าง
เมื่อเรียกใช้ไฟล์ที่ติดไวรัส ขึ้นอยู่กับวันที่ปัจจุบัน ลบ Flash
เนื้อหา BIOS และดิสก์

การเขียนไปยัง Flash BIOS สามารถทำได้บนเมนบอร์ดประเภทที่เกี่ยวข้องเท่านั้น
บอร์ดและเมื่อสวิตช์ที่เกี่ยวข้องถูกตั้งค่าให้อนุญาต นี้
โดยปกติสวิตช์จะถูกตั้งค่าเป็นแบบอ่านอย่างเดียวอย่างไรก็ตาม
สิ่งนี้ไม่เป็นความจริงสำหรับผู้ผลิตคอมพิวเตอร์ทุกราย น่าเสียดายที่แฟลชไบออส
อาจไม่ได้รับการปกป้องบนมาเธอร์บอร์ดสมัยใหม่บางรุ่น
สวิตช์: บางส่วนอนุญาตให้บันทึกในรูปแบบ Flash ในตำแหน่งใดก็ได้
สวิตช์; ในส่วนอื่น ๆ การป้องกันการเขียน Flash สามารถเขียนทับโดยทางโปรแกรมได้

หลังจากลบหน่วยความจำแฟลชได้สำเร็จ ไวรัสก็ย้ายไปที่หน่วยความจำอื่น
ขั้นตอนการทำลายล้าง: ลบข้อมูลในการติดตั้งทั้งหมด
ฮาร์ดไดรฟ์ ในกรณีนี้ไวรัสจะใช้การเข้าถึงข้อมูลบนดิสก์โดยตรงและ
จึงข้ามการป้องกันไวรัสมาตรฐานที่มีอยู่ใน BIOS
เขียนไปยังบูตเซกเตอร์

ไวรัสมีสามเวอร์ชันหลัก ("ของผู้เขียน") พวกเขาค่อนข้างคล้ายกัน
และต่างกันเพียงรายละเอียดโค้ดย่อยที่แตกต่างกันเท่านั้น
รูทีนย่อย เวอร์ชันของไวรัสมีความยาว บรรทัดข้อความ และวันที่ต่างกัน
เรียกใช้ขั้นตอนการลบดิสก์และ Flash BIOS:

รายละเอียดทางเทคนิค

เมื่อติดไวรัสไฟล์ ไวรัสจะมองหา "รู" (บล็อกข้อมูลที่ไม่ได้ใช้) ในไฟล์เหล่านั้นและ
เขียนโค้ดของเขาลงไป การมีอยู่ของ "รู" ดังกล่าวเกิดจากโครงสร้าง
ไฟล์ PE: ตำแหน่งของแต่ละส่วนในไฟล์จะถูกจัดให้อยู่ในตำแหน่งที่แน่นอน
ค่าที่ระบุในส่วนหัว PE และในกรณีส่วนใหญ่ระหว่างส่วนท้าย
ส่วนก่อนหน้าและส่วนต้นของส่วนถัดไปมีจำนวนไบต์ที่แน่นอน
ซึ่งโปรแกรมไม่ได้ใช้ ไวรัสจะค้นหาไฟล์ที่ไม่ได้ใช้
บล็อก เขียนโค้ดของเขาลงไปและเพิ่มตามค่าที่ต้องการ
ขนาดส่วนที่แก้ไข ขนาดของไฟล์ที่ติดไวรัสไม่เพิ่มขึ้น

หากมี "รู" ขนาดเพียงพอที่ปลายส่วนใดส่วนหนึ่ง
ไวรัสเขียนโค้ดลงในบล็อกเดียว หากไม่มี "รู" ดังกล่าว
ไวรัสจะแยกโค้ดออกเป็นบล็อคและเขียนไว้ที่ส่วนท้ายของส่วนต่างๆ
ไฟล์. ดังนั้นจึงสามารถตรวจพบรหัสไวรัสในไฟล์ที่ติดไวรัสได้
ทั้งในรูปแบบโค้ดบล็อกเดียวและหลายบล็อกที่ไม่เกี่ยวข้องกัน

ไวรัสยังค้นหาบล็อกข้อมูลที่ไม่ได้ใช้ในส่วนหัว PE ถ้าถึงที่สุดแล้ว
ส่วนหัวมี “รู” ขนาดอย่างน้อย 184 ไบต์ ไวรัสจึงเขียนลงไป
ขั้นตอนการเริ่มต้นของคุณ ไวรัสจะเปลี่ยนที่อยู่เริ่มต้นของไฟล์:
เขียนที่อยู่ของขั้นตอนการเริ่มต้นลงไป ซึ่งเป็นผลมาจากแนวทางนี้
โครงสร้างไฟล์ค่อนข้างไม่เป็นมาตรฐาน: ที่อยู่ของการเริ่มต้น
ขั้นตอนของโปรแกรมไม่ได้ชี้ไปที่ส่วนใดๆ ของไฟล์ แต่ชี้ไปที่ส่วนอื่นๆ ของไฟล์
โมดูลที่โหลด - ในส่วนหัวของไฟล์ อย่างไรก็ตาม Windows95 ไม่จ่ายเงิน
ให้ความสนใจกับไฟล์ที่ “แปลก” ดังกล่าว จึงโหลดส่วนหัวของไฟล์ลงในหน่วยความจำ จากนั้น
ทุกส่วนและควบคุมการถ่ายโอนไปยังที่อยู่ที่ระบุไว้ในส่วนหัว - ถึง
ขั้นตอนการเริ่มต้นไวรัสในส่วนหัว PE

หลังจากได้รับการควบคุมแล้ว ขั้นตอนการเริ่มต้นไวรัสจะจัดสรรบล็อกหน่วยความจำ
VMM เรียก PageAllocate คัดลอกโค้ดที่นั่น จากนั้นกำหนดที่อยู่
บล็อกรหัสไวรัสที่เหลือ (อยู่ที่ส่วนท้ายของส่วน) และต่อท้าย
ไปที่รหัสของขั้นตอนการเริ่มต้นของคุณ จากนั้นไวรัสจะดักจับ IFS API และ
ส่งคืนการควบคุมไปยังโปรแกรมโฮสต์

จากมุมมอง ระบบปฏิบัติการขั้นตอนนี้น่าสนใจที่สุดใน
ไวรัส: หลังจากที่ไวรัสได้คัดลอกโค้ดไปยังบล็อกหน่วยความจำใหม่และ
ถ่ายโอนการควบคุมไปที่นั่น รหัสไวรัสจะถูกดำเนินการเป็นแอปพลิเคชัน Ring0 และ
ไวรัสสามารถสกัดกั้น AFS API ได้ (ซึ่งเป็นไปไม่ได้สำหรับโปรแกรม
ดำเนินการใน Ring3)

IFS API Interceptor จัดการเพียงฟังก์ชันเดียวเท่านั้น นั่นคือการเปิดไฟล์
หากเปิดไฟล์ที่มีนามสกุล EXE ไวรัสจะตรวจสอบภายใน
จัดรูปแบบและเขียนโค้ดลงในไฟล์ หลังจากการติดเชื้อไวรัสจะตรวจสอบ
วันที่ของระบบและการเรียกขั้นตอนการลบ Flash BIOS และเซกเตอร์ดิสก์ (ดูด้านบน)

เมื่อลบ Flash BIOS ไวรัสจะใช้พอร์ตที่เกี่ยวข้อง
อ่าน/เขียน เมื่อลบเซกเตอร์ของดิสก์ ไวรัสจะเรียกใช้ฟังก์ชัน VxD
เข้าถึงดิสก์ IOS_SendCommand โดยตรง

ไวรัสสายพันธุ์ต่างๆ ที่รู้จัก

ผู้สร้างไวรัสไม่เพียงแต่ปล่อยสำเนาของไฟล์ที่ติดไวรัสออกสู่ระบบเท่านั้น แต่ยังรวมถึง
ส่งข้อความแอสเซมเบลอร์ดั้งเดิมของไวรัสออกไป สิ่งนี้ได้นำไปสู่สิ่งเหล่านี้
ข้อความได้รับการแก้ไข เรียบเรียง และปรากฏในไม่ช้า
การดัดแปลงไวรัสที่มีความยาวต่างกันแต่ในแง่ของการทำงาน
ทั้งหมดสอดคล้องกับ "ผู้ปกครอง" ของพวกเขา ในบางสายพันธุ์ของไวรัสก็มี
วันปฏิบัติการ “วางระเบิด” เปลี่ยนไป หรือส่วนนี้ไม่เคยถูกเรียกเลย

เป็นที่ทราบกันดีอยู่แล้วเกี่ยวกับไวรัสเวอร์ชัน "ดั้งเดิม" ที่ทำงานในแต่ละวัน
แตกต่างจากวันที่ 26 [เมษายน] ข้อเท็จจริงข้อนี้อธิบายได้จากข้อเท็จจริงที่ว่าการตรวจสอบวันที่
รหัสไวรัสเกิดขึ้นตามค่าคงที่สองตัว ตามธรรมชาติเพื่อที่จะ
ตั้งเวลา "ระเบิด" สำหรับวันใดวันหนึ่ง เพียงแค่เปลี่ยน
สองไบต์ในรหัสไวรัส

โดยทั่วไปแล้ว ไวรัสจะทำให้ซอฟต์แวร์เป็นอันตรายต่อคอมพิวเตอร์ ไม่ทางใดก็ทางหนึ่ง ไวรัสทำให้การทำงานของคอมพิวเตอร์ยุ่งยาก ตรวจสอบหรือขโมยข้อมูลผู้ใช้บางส่วน ตัวอย่างเช่นสิ่งที่ไม่พึงประสงค์อย่างยิ่งซึ่งหลอกหลอนผู้ใช้ในทุกเบราว์เซอร์อย่างน่ารำคาญ แต่มันคือซอฟต์แวร์ทั้งหมด ผลิตภัณฑ์ซอฟต์แวร์ที่เสียหายซึ่งติดไวรัสสามารถรักษาให้หายขาดหรือเปลี่ยนใหม่ได้ มีไวรัสที่สามารถสร้างความเสียหายให้กับฮาร์ดแวร์คอมพิวเตอร์ได้หรือไม่?

ไวรัส Win95.CIH (เชอร์โนบิล)

เชอร์โนบิล - นี่คือชื่อที่ตั้งให้กับไวรัสคอมพิวเตอร์ตัวแรกซึ่งแสดงให้เห็นว่าไวรัสสามารถสร้างความเสียหายได้ไม่เพียงเท่านั้น ซอฟต์แวร์แต่ยัง ฮาร์ดแวร์คอมพิวเตอร์. ไวรัสเชอร์โนบิลซึ่งเขียนขึ้นในปี 1998 โดยนักเรียนชาวไต้หวันทำให้เนื้อหาของ BIOS บนเมนบอร์ดบางตัวเสียหายซึ่งอาจทำให้เมนบอร์ดเสียหายได้ และมีกรณีเช่นนี้ แต่ถึงกระนั้นอาหารจานหลักก็คือการทำลายข้อมูลทั้งหมดจาก ฮาร์ดไดรฟ์คอมพิวเตอร์. อย่างน้อยมันก็มีข้อดีอยู่บ้าง เพราะความต้องการลดลงแล้ว ทุกคนที่โชคร้ายจากการได้รับไวรัสนี้ต้องทนทุกข์ทรมานแล้ว

ไวรัสได้รับชื่อแรก - Win95.CIH - จากผู้เขียน โดยวิธีการที่เขาปล่อยสาม รุ่นที่แตกต่างกันไวรัสของพวกเขาซึ่งไม่ได้แตกต่างกันมากนัก จริงมั้ย, เวอร์ชันล่าสุดเปิดตัวในวันที่ 26 ของทุกเดือน และแต่ละเวอร์ชันก็มีหมายเลขของตัวเอง แต่ชื่อที่สอง - ไวรัสเชอร์โนบิล - มอบให้เขาโดย โลกคอมพิวเตอร์- ทำไม เนื่องจากไวรัสเริ่มใช้งานในวันที่ 26 เมษายนและดำเนินการทำลายล้างทั้งหมดในวันนั้น และในวันนี้เมื่อปี 1986 โชคไม่ดีที่เกิดอุบัติเหตุเชอร์โนบิล แม้ว่าตามที่ผู้เขียนไวรัสกล่าวไว้ วันที่เปิดตัวของไวรัส - วันที่ 26 เมษายนของทุกปี - ถูกเลือกเพียงเพราะตัวไวรัสฉลองวันเกิดในวันนี้เท่านั้น อย่างไรก็ตาม เขาก็เฉลิมฉลองในแบบของเขาเอง

อันตรายจากไวรัสเชอร์โนบิล

ไวรัสเชอร์โนบิลไม่ก่อให้เกิดอันตรายใดๆ อีกต่อไป เนื่องจากสภาพแวดล้อมการทำงานของไวรัสนี้คือการทำงานของคอมพิวเตอร์ ระบบวินโดวส์ 95 และ 98 แต่ไม่ได้หมายความว่าไม่มีอันตรายจากการติดไวรัสที่จะทำให้ฮาร์ดแวร์คอมพิวเตอร์ของคุณเสียหาย นี่แสดงให้เห็นว่าหลายคนทั่วโลกทราบเกี่ยวกับโอกาสนี้และต้องการทำซ้ำความสำเร็จของนักเรียนชาวไต้หวันรายนี้ และบางคนก็ประสบความสำเร็จแล้ว แต่พวกเขาไม่น่าจะมีชื่อเสียงมากไปกว่าเชอร์โนบิล เพราะแบบแรกนั้นง่ายต่อการจดจำ

ไวรัสคอมพิวเตอร์โดยธรรมชาติและวิธีการแพร่กระจายนั้นค่อนข้างคล้ายกับ "พี่น้อง" ทางชีววิทยา โรคนี้ป้องกันได้ง่ายกว่าและมีการสูญเสียน้อยกว่าการจัดการกับผลที่ตามมา เป็นไปได้ที่จะเสนอข้อโต้แย้งมากมายว่าความคิดที่แสดงไว้ข้างต้นนั้นไม่ถูกต้องทั้งหมด ในบางกรณีก็เป็นไปไม่ได้ที่จะคาดการณ์ทุกสิ่ง แต่การคัดค้านเหล่านี้ไม่สามารถนำไปใช้กับกรณีของไวรัสเชอร์โนบิลได้ คุณสามารถถอดความคำพูดที่รู้จักกันดีและบอกว่าคุณไม่สามารถละทิ้งไวรัส คุก และสคริปต์ได้ แต่เราจะอธิบายการมีอยู่ของไวรัสนี้ในคอมพิวเตอร์ได้อย่างไรเป็นเวลาหลายเดือนในเมื่อทุกคนรู้จัก เครื่องสแกนไวรัสที่ควรค่าแก่การเรียกว่าสแกนเนอร์!
แต่ขอแยกอารมณ์ออกไปแล้ว:

ความเชื่อผิดๆ 1 - เมื่อไวรัสถูกกระตุ้น ข้อมูลจะสูญหายไปตลอดกาล

ตำนานนี้ได้รับการสนับสนุนจากผู้เชี่ยวชาญหลายคน แม้แต่บริษัทที่ได้รับความเคารพนับถืออย่างมาก รวมถึงบริษัทคอมพิวเตอร์ ก็ยังอ้างว่าหลังจากไวรัสเชอร์โนบิลถูกกระตุ้น ข้อมูลก็สูญหายไปตลอดกาล
ข้อความเหล่านี้ขึ้นอยู่กับข้อเท็จจริงที่ว่ายูทิลิตี้การกู้คืนข้อมูลที่ใช้ในชีวิตประจำวันไม่ได้ให้ผลลัพธ์ที่เป็นบวก แม้แต่การใช้ยูทิลิตี้การกู้คืนที่ทรงพลังเช่น EasyRecovery และ Tiramisu ก็ไม่ได้ให้ผลตามที่ต้องการ
อย่างไรก็ตาม ข้อความนี้ไม่ถูกต้องและอาจถึงแก่ชีวิตได้สำหรับผู้ใช้จำนวนมากที่ได้รับผลกระทบจากไวรัส แนวปฏิบัติของห้องปฏิบัติการ FomSoft ปฏิเสธข้อความดังกล่าว หลังจากการโจมตีของไวรัส โลจิคัลพาร์ติชันที่สองและถัดไปของฮาร์ดไดรฟ์จะได้รับการกู้คืน 100% พาร์ติชันแรก ไดรฟ์ C: จะถูกกู้คืน 100% เช่นกัน หากมี ระบบไฟล์ไขมัน-32. หากไดรฟ์ C: ถูกทำเครื่องหมายเป็น FAT-16 ในกรณีนี้ไวรัสจะเขียนทับทั้งสำเนาของ FAT และสารบัญรูท แต่แม้ในกรณีนี้ก็เป็นไปได้ที่จะกู้คืนไฟล์ที่ไม่มีการแยกส่วนและตามกฎแล้วคือโครงสร้างแผนผังไดเร็กทอรี แม้ว่าไดเร็กทอรีย่อยจะถูกจัดเรียงข้อมูล แต่ก็เป็นไปได้ที่จะค้นหาเซกเตอร์ที่กระจัดกระจายและแยกไดเร็กทอรีและไฟล์ที่จำเป็นออกมา ยิ่งไปกว่านั้น ไม่เหมือนกับ EasyRecovery และ Tiramisu ชื่อไฟล์และไดเร็กทอรีภาษารัสเซียจะถูกเก็บรักษาไว้ระหว่างการกู้คืน ในการกู้คืนข้อมูล ห้องปฏิบัติการ FomSoft จะใช้ห้องปฏิบัติการของตัวเอง ซอฟต์แวร์การบูรณะซึ่งเขียนขึ้นโดยคำนึงถึงประสบการณ์หลายปี เครื่องมือซอฟต์แวร์เหล่านี้ไม่ได้เกิดขึ้นโดยอัตโนมัติ แต่เป็นเพียงเครื่องมือสำหรับการวิเคราะห์และการประมวลผลข้อมูลบางอย่างเพิ่มเติม ดังนั้นกุญแจสำคัญในการฟื้นตัวที่ประสบความสำเร็จจึงไม่ใช่โปรแกรมที่มีอัลกอริธึมการทำงานที่กำหนดไว้ล่วงหน้า แต่เป็นความฉลาดของมนุษย์และประสบการณ์การทำงาน

MYTH 2 - ไวรัสนี้อุทิศให้กับอุบัติเหตุเชอร์โนบิล

หัวใจของตำนานนี้อยู่ที่เหตุการณ์โศกนาฏกรรมที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ซึ่งเป็นหน่วยที่สี่ของโรงไฟฟ้านิวเคลียร์ที่สดใสและน่าเศร้าสำหรับเราทุกคน
อย่างไรก็ตาม เหตุการณ์เชอร์โนบิลไม่มีอะไรที่เหมือนกันกับเหตุผลที่แท้จริงที่ทำให้ผู้เขียนไวรัสต้องกำหนดวันที่นี้โดยเฉพาะ อาจดูเล็กน้อย แต่ก็เป็นวันเกิดของผู้เขียนไวรัส
และสุดท้ายนี้ อย่าโทษผู้เขียนไวรัสอีกเลยที่กลับใจจากสิ่งที่เขาทำไปอย่างจริงใจ แต่เอามือมาปิดหัวใจแล้วถามตัวเองว่า ใครคือคนที่ต้องตำหนิมากที่สุดสำหรับความโชคร้ายที่เกิดขึ้นและต้องทำอะไรเพื่อ ป้องกันไม่ให้สิ่งนี้เกิดขึ้นอีกในปีหน้าใช่ไหม?

ความเป็นไปได้ของการกู้คืนข้อมูลหลังจากการโจมตีของไวรัส

การกู้คืนข้อมูลในฮาร์ดไดรฟ์หลังจากการโจมตีของไวรัสเชอร์โนบิลมีคุณสมบัติหลายประการ
การรับประกันหลักของการกู้คืนที่ประสบความสำเร็จคือการไม่มีการบิดเบือนพื้นที่เซกเตอร์ของฮาร์ดไดรฟ์ที่ถูกทำลาย การบิดเบือนดังกล่าวเป็นผลมาจากสาเหตุหลักสองประการ:

• ความพยายามในการกู้คืนที่ไม่สำเร็จโดยผู้เชี่ยวชาญที่ไม่ทราบคุณสมบัติและข้อมูลเฉพาะของการบิดเบือนข้อมูลที่เกิดขึ้น ฮาร์ดไดรฟ์ไวรัสตัวนี้อย่างแน่นอน
• เปิดตัวโดยผู้ใช้บริการ "ไม่เป็นอันตราย" โปรแกรมระบบเอฟดิสค์.

หากไม่มีการบิดเบือนที่แนะนำ หรือสามารถทำให้เป็นกลางได้ โลจิคัลพาร์ติชันที่สองและพาร์ติชันถัดไปของฮาร์ดไดรฟ์จะได้รับการกู้คืน 100% โดยไม่คำนึงถึงประเภทของระบบไฟล์ (ถ้าเปิด. คอมพิวเตอร์อย่างหนักดิสก์เป็นเพียงดิสก์เดียวจากนั้นจะเป็นดิสก์ D:, E: ฯลฯ ) .

หากไดรฟ์ C: มีระบบไฟล์ FAT-32 ก็จะถูกกู้คืน 100% ด้วย

หากไดรฟ์ C: มีระบบไฟล์ FAT-16 จะสามารถกู้คืนได้เฉพาะไฟล์ที่ไม่มีการแยกส่วนและไฟล์ที่มีความยาวน้อยกว่าขนาดคลัสเตอร์เท่านั้น (โดยทั่วไปคลัสเตอร์จะมีขนาด 32 หรือ 16 KB)

ไวรัสตัวแรกของโลกที่ติดเชื้อคอมพิวเตอร์ประมาณ 500,000 เครื่อง ฉลองครบรอบ 10 ปี

ไวรัส CIH ตัวแรกของโลกหรือที่เรียกว่าเชอร์โนบิล ฉลองครบรอบ 10 ปี

“เมื่อวันที่ 26 เมษายน พ.ศ. 2542 ภัยพิบัติทางคอมพิวเตอร์ทั่วโลกได้เกิดขึ้น ตามแหล่งข่าวต่างๆ คอมพิวเตอร์ประมาณครึ่งล้านเครื่องทั่วโลกได้รับผลกระทบ ไม่เคยมีผลกระทบจากการแพร่ระบาดของไวรัสในวงกว้างขนาดนี้มาก่อนและมาพร้อมกับการสูญเสียทั่วโลกเช่นนี้ ” Evgeny Aseev นักวิเคราะห์ไวรัส Kaspersky Lab เล่า

ตามที่เขาพูดข้อมูลในฮาร์ดไดรฟ์ถูกทำลายและเนื้อหาของชิป BIOS บนเมนบอร์ดของเครื่องบางเครื่องได้รับความเสียหาย

“ไวรัสนี้ทำหน้าที่เป็นจุดเปลี่ยนในการรับรู้ถึงภัยคุกคามทางคอมพิวเตอร์โดยผู้ใช้ มันเป็นไวรัสตัวแรกที่ไม่เพียงสร้างความเสียหายให้กับข้อมูลที่อยู่ในเครื่องที่ติดไวรัสเท่านั้น แต่ยังปิดการใช้งานคอมพิวเตอร์บางเครื่องโดยสิ้นเชิงในกรณีที่ ไม่สามารถเขียน BIOS ใหม่ได้ คอมพิวเตอร์อาจถูกทิ้งลงถังขยะ” Sergei Komarov หัวหน้าฝ่ายพัฒนาแอนตี้ไวรัสและวิจัยของ Doctor Web กล่าว

ไวรัสได้ชื่อ CIH จากชื่อย่อของผู้สร้าง Chen Ing-Hau นักศึกษามหาวิทยาลัยไต้หวัน ชื่อที่สอง - "เชอร์โนบิล" - ปรากฏขึ้นเนื่องจากมีการเปิดใช้งานไวรัสเมื่อวันที่ 26 เมษายนซึ่งเป็นวันที่เกิดภัยพิบัติที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล

“ผู้เขียนไวรัสทำให้มันเมื่อเจาะเครื่องจักรไวรัสไม่ได้ทำอะไรที่เป็นอันตราย เขารอจนถึงวันที่ 26 เมษายนของทุกปี (ในวันนี้เองที่โรงไฟฟ้านิวเคลียร์ในเชอร์โนบิลระเบิดซึ่งก็คือ ทำไมบางคนถึงเรียกไวรัสนี้ว่า "เชอร์โนบิล") แล้วมันก็ได้ผล” - Komarov จาก Doctor Web กล่าว

Evgeny Aseev จาก Kaspersky Lab เล่าว่าไวรัสเชอร์โนบิลถูกค้นพบครั้งแรกในไต้หวันเมื่อเดือนมิถุนายน พ.ศ. 2541 ผู้เขียนไวรัส Chen Ying-Hau ติดไวรัสคอมพิวเตอร์ในมหาวิทยาลัยในท้องถิ่น หลังจากนั้นไม่นาน CIH ก็แพร่กระจายออกไปนอกไต้หวัน: ออสเตรีย ออสเตรเลีย อิสราเอล และสหราชอาณาจักร เป็นหนึ่งในประเทศแรกๆ ที่ได้รับผลกระทบจากโรคระบาด ต่อมาโค้ดอันตรายดังกล่าวได้รับการจดทะเบียนในประเทศอื่นๆ อีกหลายประเทศ รวมถึงรัสเซียด้วย

เชื่อกันว่าการปรากฏตัวของไฟล์ที่ติดไวรัสบนเว็บเซิร์ฟเวอร์ของอเมริกาหลายแห่งที่เผยแพร่โปรแกรมเกมเป็นสาเหตุของการแพร่ระบาดของไวรัสทั่วโลก

การไม่มีการร้องเรียนอย่างเป็นทางการจากบริษัทไต้หวันทำให้เฉินสามารถหลบหนีการลงโทษในเดือนเมษายน พ.ศ. 2542 ยิ่งไปกว่านั้น เชอร์โนบิลยังทำให้เขาโด่งดัง ต้องขอบคุณการเขียนไวรัส ทำให้ Chen Ying-Hau ได้รับงานอันทรงเกียรติในบริษัทคอมพิวเตอร์ขนาดใหญ่

สิบปีต่อมา ภัยคุกคามสมัยใหม่

ตามที่หัวหน้าฝ่ายพัฒนาและวิจัยป้องกันไวรัสที่ Doctor Web, Sergei Komarov ระบุว่าไวรัสที่คล้ายกับเชอร์โนบิลในไฟล์แนบในวันที่ระบุปรากฏขึ้นในเวลาต่อมา แต่พวกเขาไม่ได้ก่อให้เกิดอันตรายดังกล่าวกับคอมพิวเตอร์

“สิ่งนี้น่าจะอธิบายได้จากข้อเท็จจริงที่ว่ามัลแวร์ยุคใหม่ไม่สมเหตุสมผลที่จะปิดการใช้งานคอมพิวเตอร์ - มันเป็นสิ่งสำคัญสำหรับพวกเขาในฐานะที่เป็นทรัพยากร พวกเขาทำงานเพื่อซ่อนการมีอยู่และสร้างรายได้ให้กับอาชญากรไซเบอร์” Komarov เชื่อ ในอดีตเป็นช่วงเวลาที่อาชญากรคอมพิวเตอร์อย่าง Chen Ying-Hau ได้สร้างไวรัสเพื่อพยายามยืนยันตัวเองและมีชื่อเสียง ฝึกฝนทักษะของพวกเขาและบรรลุเป้าหมายที่ธรรมดาที่สุด นั่นคือการรวย พวกเขาหาเงินได้อย่างจริงจังด้วยวิธีการทางอาญา” Evgeniy Aseev จาก Kaspersky Lab ยืนยัน

ตามที่เขาพูด แผนการทำงานของไวรัสเชอร์โนบิลมีสองสถานการณ์: ในกรณีที่ดีที่สุด การลบข้อมูลทั้งหมดออกจากหน่วยความจำของคอมพิวเตอร์ ในกรณีที่เลวร้ายที่สุด คือปิดการใช้งานโดยสมบูรณ์ ภาพของภัยคุกคามยุคใหม่เปลี่ยนแปลงไปอย่างมากและมีความหลากหลายอย่างน่าทึ่ง เช่น รูทคิท โซเชียลเน็ตเวิร์ก เกมออนไลน์ บ็อตเน็ต พื้นที่และเทคโนโลยีที่ไม่รวมแหล่งที่มาของภัยคุกคามทางคอมพิวเตอร์ทั้งหมด “ผู้ฉ้อโกงทางไซเบอร์กำลังดำเนินการอย่างคาดเดาไม่ได้และซับซ้อนมากขึ้นเรื่อยๆ” Aseev กล่าว ในปัจจุบัน “การผลิต” ของมัลแวร์ได้แพร่กระจายออกไปแล้ว นักวิเคราะห์ของ Kaspersky Lab ตรวจพบไวรัสใหม่มากกว่า 17,000 ตัวทุกวัน

ผู้นำคือ "โทรจัน" ที่ขโมยข้อมูลส่วนบุคคลของผู้ใช้และโอนหมายเลขบัตรเครดิตของเจ้าของคอมพิวเตอร์ที่ติดไวรัสไปยัง "ผู้เชี่ยวชาญ"

เพื่อส่งเสริมบริการใหม่ การโฆษณา และบริการที่เกี่ยวข้อง บริษัทอินเทอร์เน็ตกำลังใช้ศักยภาพนี้อย่างจริงจัง เครือข่ายสังคมออนไลน์- เมื่อปีที่แล้ว Odnoklassniki และ VKontakte หนึ่งใน "เกร็ดความรู้" ที่สุดสำหรับนักต้มตุ๋นเสมือนจริง อยู่ที่ศูนย์กลางของการโจมตีหลายครั้ง

ตลาดเกมออนไลน์กำลังพัฒนาอย่างรวดเร็ว โทรจันสำหรับเล่นเกมเข้ามาแทนที่โทรจันที่โจมตีผู้ใช้ระบบการชำระเงินออนไลน์และระบบธนาคาร โดยใช้เทคโนโลยีใหม่ รวมถึงกลไกการติดไวรัสของไฟล์และการกระจายไปยังไดรฟ์แบบถอดได้ “โทรจัน” เดียวกันนี้ถูกใช้เพื่อจัดระเบียบ “บอตเน็ต” (บอตเน็ตคือเครือข่ายที่ประกอบด้วยคอมพิวเตอร์ที่ติดไวรัส)

“คำว่า “บอตเน็ต” ซึ่งเมื่อหลายปีก่อนพบได้เฉพาะในคำศัพท์ของพนักงานของบริษัทต่อต้านไวรัสเท่านั้น เมื่อไม่นานมานี้ “บอตเน็ต” เป็นแหล่งหลักของสแปม การโจมตี DDoS และการเผยแพร่ของ ไวรัสตัวใหม่” Aseev กล่าว

เพื่อป้องกันตัวเองจากภัยคุกคามที่อาจเกิดขึ้น ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ใช้ความระมัดระวังและเอาใจใส่อย่างยิ่ง

“อย่าเปิดลิงก์ที่น่าสงสัยที่ส่งมาจากผู้ติดต่อที่ไม่คุ้นเคย ตรวจสอบข้อมูลที่ได้รับจาก “เพื่อน” ห้ามใช้ รหัสผ่านง่ายๆและอย่าเข้าไปในที่อื่นนอกเหนือจากทรัพยากรที่เชื่อถือได้ และยังติดตั้งการอัปเดตระบบปฏิบัติการและซอฟต์แวร์ป้องกันไวรัสเป็นประจำ” Evgeniy Aseev นักวิเคราะห์ไวรัส Kaspersky Lab แนะนำ

"RIA โนโวสติ", 27/04/2552

ไม่อนุญาตให้ใช้สื่อทั้งหมดที่โพสต์ในส่วน "การตรวจสอบสื่อ" ของเว็บไซต์อย่างเป็นทางการของกระทรวงคมนาคมและสื่อมวลชนแห่งสหพันธรัฐรัสเซีย โดยไม่ระบุผู้ถือลิขสิทธิ์ที่ระบุไว้ในสิ่งพิมพ์แต่ละรายการ