Çernobil bilgisayar virüsü. "Çernobil" virüsü yıllardır haraç topluyor. "Çernobil": diskleri ve bilgisayarları yok eden bir virüsü kim ve neden yarattı?

"Çernobil" olarak da bilinir. Yerleşik virüs, yalnızca Windows95/98 altında çalışır ve PE dosyalarına bulaşır
(Taşınabilir Yürütülebilir). Oldukça küçük bir uzunluğa sahiptir - yaklaşık 1Kb. Oldu
Haziran 1998'de Tayvan'da "canlı" keşfedildi - virüsün yazarı enfekte oldu
o sırada (virüsün yazarı) bulunduğu yerel üniversitedeki bilgisayarlar
eğitim gördü. Bir süre sonra, virüslü dosyalar (yanlışlıkla?)
yerel İnternet konferanslarına gönderildi ve virüs
Tayvan: Takip eden hafta içinde, ülkede viral salgınlar bildirildi
Avusturya, Avustralya, İsrail ve Birleşik Krallık. Sonra virüs keşfedildi
Rusya dahil diğer birçok ülke.

Yaklaşık bir ay sonra, birkaç bilgisayarda virüslü dosyalar bulundu.
Oyun programları dağıtan Amerikan Web sunucuları. Bu gerçek,
görünüşe göre ve ardından gelen küresel viral salgının nedeni olarak hizmet etti. 26
Nisan 1999 (virüsün ortaya çıkmasından yaklaşık bir yıl sonra) çalıştı
koduna gömülü "mantık bombası". Çeşitli tahminlere göre, bu gün
dünya çapında, yaklaşık yarım milyon bilgisayar etkilendi -
sabit diskteki veriler yok edildi ve bazılarında bozuk
anakartlardaki BIOS yongalarının içeriği. Bu olay haline geldi
bilgisayar felaketi - virüs salgınları ve sonuçları daha önce hiç görülmemiş
bu kadar büyük ölçekli değildi ve bu tür kayıplar getirmedi.

Görünüşe göre, 1) virüs, sırasında bilgisayarlar için gerçek bir tehdit oluşturuyordu.
dünya genelinde ve 2) virüs operasyonunun tarihi (26 Nisan) tarihi ile çakışıyor
Çernobil nükleer santralinde kaza, virüs ikinci oldu
isim - "Çernobil" (Çernobil).

Virüsün yazarı, büyük olasılıkla, Çernobil trajedisini
virüsüyle ve “bomba” tarihini 26 Nisan olarak belirledi
başka bir sebep: 26 Nisan 1998'de ilk versiyonu yayınladı
virüsünün (bu arada Tayvan'dan ayrılmadı) - 26
Nisan, CIH virüsü "doğum gününü" bu şekilde kutluyor.

Virüs nasıl çalışır?

Virüs bulaşmış bir dosya başlatıldığında, virüs kodunu dosyaya yükler. Windows belleği,
dosya erişimlerini keser ve PE EXE dosyalarını açarken
onlar senin kopyan. Hatalar içerir ve bazı durumlarda sistemi kilitler
virüslü dosyaları çalıştırırken. Geçerli tarihe bağlı olarak Flash'ı siler
BIOS ve disk içeriği.

Flash BIOS'a yazmak yalnızca ilgili anakart türlerinde mümkündür.
panoları ve ilgili anahtarın etkinleştirme ayarı ile. Bu
anahtar normalde salt okunur olarak ayarlanmıştır, ancak bu
tüm bilgisayar üreticileri için doğru değildir. Maalesef Flash BIOS
bazı modern anakartlarda korunamaz
geçiş: bazıları herhangi bir konumda Flash'a yazmaya izin verir
geçiş, diğerlerinde, Flash'ta yazma koruması programlı olarak iptal edilebilir.

Flash belleği başarıyla sildikten sonra, virüs başka bir belleğe geçer.
yıkıcı prosedür: yüklü olan tüm bilgileri siler
sabit diskler. Bu durumda virüs, diskteki verilere doğrudan erişim kullanır ve
böylece BIOS'ta yerleşik olarak bulunan standart anti-virüs korumasını atlar.
önyükleme sektörlerine yazar.

Virüsün üç ana ("yazarın") sürümü vardır. Oldukça benzerler
üst üste gelir ve çeşitli kodlarda yalnızca küçük ayrıntılarda farklılık gösterir.
alt rutinler. Virüsün sürümleri farklı uzunluklara, metin satırlarına ve tarihe sahiptir.
Disk silme prosedürünü ve Flash BIOS'u tetikleme:

Teknik detaylar

Dosyalara bulaşırken, virüs onlarda "delikler" (kullanılmayan veri blokları) arar ve
kodunu onlara yazar. Bu tür "deliklerin" varlığı yapıdan kaynaklanmaktadır.
PE dosyaları: dosyadaki her bölümün konumu belirli bir
PE başlığında ve çoğu durumda son arasında belirtilen değer
önceki bölüm ve bir sonrakinin başında belirli sayıda bayt vardır,
program tarafından kullanılmaz. Virüs, dosyada kullanılmayanları arar.
bloklar, kodunu bunlara yazar ve gerekli değer kadar artar
değiştirilmiş bölüm boyutu. Etkilenen dosyaların boyutu artmaz.

Herhangi bir bölümün sonunda yeterli büyüklükte bir "delik" varsa,
virüs, kodunu bir blok halinde içine yazar. Böyle bir delik yoksa,
virüs, kodunu bloklara böler ve bunları çeşitli bölümlerin sonuna yazar
dosya. Böylece virüslü dosyalardaki virüs kodu tespit edilebilir.
hem tek bir kod bloğu hem de birkaç alakasız blok olarak.

Virüs ayrıca PE başlığında kullanılmayan bir veri bloğu arar. sonunda ise
başlıkta en az 184 baytlık bir "delik" var, virüs ona yazıyor
başlatma prosedürünüz. Virüs daha sonra dosyanın başlangıç ​​adresini değiştirir:
içine başlatma prosedürünün adresini yazar. Bu yaklaşımın bir sonucu olarak
dosya yapısı oldukça standart dışı hale gelir: başlangıcın adresi
program prosedürleri dosyanın herhangi bir bölümüne değil, dışarısına işaret eder.
yüklenebilir modül - dosyanın başlığında. Ancak, Windows95
bu tür "garip" dosyalara dikkat edin, dosya başlığını belleğe yükler, ardından
başlıkta belirtilen adrese tüm bölümler ve transferler kontrolü -
PE başlığındaki virüsün başlatma prosedürü.

Kontrolü aldıktan sonra, virüsün başlatma prosedürü bir bellek bloğu tahsis eder.
PageAllocate'e yapılan VMM çağrısı, kodunu oraya kopyalar, ardından adresleri belirler
kalan virüs kodu blokları (bölümlerin sonunda bulunur) ve bunları ekler
başlatma prosedürünüzün koduna. Virüs daha sonra IFS API'sini yakalar ve
kontrolü ana programa döndürür.

İşletim sistemi açısından, bu prosedür en ilginç olanıdır.
virüs: virüs kodunu yeni bir bellek bloğuna kopyaladıktan ve
kontrol oraya aktarılır, virüs kodu Ring0 uygulaması olarak yürütülür ve
virüs AFS API'sini yakalayabilir (bu, programlar için imkansızdır)
Ring3'te gerçekleştirilir).

IFS API önleyicisi yalnızca bir işlevi işler - dosyaları açar.
EXE uzantılı bir dosya açılırsa, virüs kendi iç dosyasını kontrol eder.
biçimlendirir ve kodunu dosyaya yazar. Enfeksiyondan sonra virüs kontrol eder
sistem tarihi ve Flash BIOS ve Disk Sektörü Silme prosedürünü başlatır (yukarıya bakın).

Flash BIOS'u silerken, virüs uygun bağlantı noktalarını kullanır.
oku / yaz, disk sektörlerini silerken virüs VxD işlevini çağırır
doğrudan disk erişimi IOS_SendCommand.

Virüsün bilinen varyantları

Virüsün yazarı, yalnızca virüslü dosyaların kopyalarını "özgürlüğe" değil, aynı zamanda
virüsün kaynak derleyici metinlerini gönderdi. Bu bunlara yol açtı
metinler düzeltildi, derlendi ve kısa sürede ortaya çıktı
virüsün farklı uzunluklara sahip, ancak işlevsellik açısından modifikasyonları
hepsi "ebeveynlerine" karşılık geldi. Virüsün bazı varyantlarında,
“bomba”nın tarihi değiştirildi veya bu bölüm hiç çağrılmadı.

Ayrıca virüsün günlerce çalışan "orijinal" versiyonları da biliniyor.
26 [Nisan] dışında. Bu gerçek, tarihin kontrol edilmesi gerçeğiyle açıklanmaktadır.
Virüs kodu iki sabite göre oluşur. Doğal olarak, yapabilmek için
herhangi bir gün için "bomba" zamanlayıcısını ayarlayın, yalnızca değiştirmek yeterlidir
virüs kodunda iki bayt.

Çernobil - tehlikeli bir bilgisayar virüsü

Virüs, yalnızca bir kişi tarafından yazılmış ve bilgisayarda çalışan kullanıcının sağlığını etkilemeyen bir programdır. Virüslerin monitör ekranında görüntülenen renk şemaları ve diğer efektler aracılığıyla beyni öldürdüğü, bir insanı delirttiğine dair peri masalları ve söylentilerinin hiçbir temeli yoktur. Bilgisayara yüzlerce virüs girer, bu öncelikle kullanıcının bilgisayar okuma yazma bilmemesi, depolama ortamını (diskler, flash sürücüler) kullanamaması nedeniyle olur.

- Windows 95, Windows 98 sistemlerine bulaşan yerleşik virüsleri ifade eder.Virüsün boyutu ihmal edilebilir, sadece 1 Kb. Virüs sızarken, tüm verileri disklerden siler, kodunu programın belleğine enjekte ederken, dosyalara ana komutları engeller. Ardından, etkilenen dosyalara kendisinin kopyalarını yazar. Belleğin çıkarılmasını tamamladıktan sonra, sabit sürücülerden bilgileri siler, böylece tüm bilgisayar disklerine, disk bilgilerine giden yolu temizler.

Virüsün yazarı, virüsü yazan ve 1998 yılında hayata geçiren Tayvanlı öğrenci Chen Ying Hao'dur. Bugüne kadar, virüsün üç yazarın kopyası var. Uzun bir metin satırı ve nüfuz ve yenilgi zamanı ile birbirlerinden farklıdırlar. Windows programları. Bilgisayarların ilk toplu imhası 26.04'te Çernobil'in yıl dönümüne denk geldi. 1999, virüsün aktivasyonunun ve Çernobil'in patlama tarihinin tesadüfi, virüse adını verdi. Virüsün yazarının çalıştığı Tayvan Üniversitesi'nden hızla ülke çapında hareket etti, ardından salgın bir süre sonra Rusya'ya ulaştıktan sonra İsrail, Avusturya, İngiltere, Avustralya'ya yayıldı. Programların bilinmeyen bir virüs tarafından ve bu kadar büyük ölçekte yenilgiye uğratılması halkı alarma geçirirken, yarım milyon kişi etkilendi. kişisel bilgisayarlar. Çoğunlukla kişisel bilgisayarların BIOS mikroçipleri zarar gördü.

Özellikle ilk ona nelerin dahil olduğunu bilmek ilginç. tehlikeli virüsler dünyada. Yazarı, yavrularının neden olduğu zararın boyutunu öğrendiğinde, kamuoyundan özür diledi. Üniversite şakası patlamak üzereydi çalışma süreci, üniversitesi içinde ona ün kazandırdı. Ama ülkenin kanunlarına göre öğrenci kanunu çiğnemedi, yargılanmadı.

Ve en önemlisi, virüs yılda bir kez çalışır - 26 Nisan'da, etkilenen sistemin başlatılmasından kaynaklanır ve çalışmanın sonunda, bilgisayar sahiplerinin eylemlerini gözlemleyerek diğer programları bulaştırarak her zaman bellekte kalır. Bir virüsü kaldırmak çok zordur, kaldırıldıktan sonra birçok dosya ve belge kaybolur. İyi tavsiye - virüsü bilgisayarınızdan kendiniz kaldırmayın, bir uzmana başvurun, bu, mümkün olduğunca çok dosya kaydetme şansınız, bilgisayarın gücünü yenilemesine yardımcı olun. Kötü amaçlı programları yeniden üretme yeteneği, kullanıcılar arasında panik yaratır. Yalnızca virüsü ortadan kaldırmak ve tedavi etmek için yetkin bir yaklaşım, kullanıcıyı rahatsızlıktan kurtaracaktır.

2018-04-27 06:18:05

"Çernobil": diskleri ve bilgisayarları yok eden bir virüsü kim ve neden yarattı?

Şimdi, muhtemelen çok az insan hatırlıyor, ancak 26 Nisan sadece Çernobil trajedisinin gerçekleştiği gün değil, aynı zamanda dünya çapında yüz binlerce bilgisayar kullanıcısının disklerindeki tüm bilgileri kaybettiği ve hatta bazılarının anakartlarını kaybettiği tarihtir. CIH virüsüne. 1999'da neler olduğunu, suçlunun kim olduğunu ve virüsün küresel olarak nasıl yayıldığını anlatıyoruz.

Virüsü kim ve neden yarattı?

CIH, Virus.Win9x.CIH veya "Çernobil" bilgisayar virüsü Tayvanlı (o zaman) öğrenci Chen Yinghao tarafından yazılan, yalnızca Windows 95/98/ME işletim sistemi altında çalışan . İlk olarak Haziran 1998'de Tayvan'da, virüsün yazarının Tatung Üniversitesi'ndeki bilgisayarlara bulaştığı “canlı” olarak keşfedildi.

Chen Yinghao (sağda)

Bir süre sonra virüs yerel internet konferansları aracılığıyla yayıldı ve oradan da ülke dışına çıktı. Daha sonra Avusturya, Avustralya, İsrail ve Birleşik Krallık'ta viral salgınlar bildirildi. Ardından virüs Rusya ve Beyaz Rusya dahil diğer ülkelere yayıldı.

Yaklaşık bir ay sonra, oyun programları dağıtan birkaç ABD web sunucusunda, küresel virüs salgınına katkıda bulunan virüslü dosyalar bulundu.

Chen Yinghao'nun satıcıları cezalandırmak için bir virüs yarattığını yazıyorlar antivirüs programlarıüniversite bilgisayarlarında virüslere karşı mücadelede işe yaramaz olduğu ortaya çıktı.

Virüsün dünyaya yayıldığını öğrendiğinde gerginleşti, ancak yeterli zamanla güvenlik uzmanlarının bunu çözebileceğinden emindi.

26 Nisan 1999

Bu tarih muhtemelen o sırada virüs bulaşan bilgisayarların sahipleri tarafından hala hatırlanıyor. Bu günde, virüs koduna gömülü “mantık bombası” işe yaradı. Çeşitli tahminlere göre, o gün dünya çapında yaklaşık yarım milyon bilgisayar hasar gördü - sabit disklerindeki veriler yok edildi ve bazılarında anakartlardaki BIOS yongalarının içeriği de bozuldu (böylece tamamen çalışmaz hale geldiler). ).

Bu olay gerçek bir bilgisayar felaketiydi - virüs salgınları ve sonuçları daha önce hiç bu kadar büyük ölçekli olmamıştı ve bu tür kayıplar getirmedi.

Çeşitli tahminlere göre virüsün verdiği zarar 20 ile 80 milyon dolar arasında değişiyordu. Bu ahlaki zararı saymıyor - çok sayıda insan kişisel verilerini kaybetti, çünkü 1999'da henüz dağıtılmadı Bulut depolama ve akış hizmetleri.

Görünüşe göre, virüs dünyadaki bilgisayarlar için gerçek bir tehdit olduğu ve çalışma tarihi Çernobil nükleer santralindeki kaza tarihiyle çakıştığı için, ikinci, çok daha yaygın olan adını - Çernobil (Çernobil) aldı.

Virüsün yazarı neredeyse kesinlikle Çernobil trajedisini yavrularıyla ilişkilendirmedi ve "bomba" tarihini tamamen farklı bir nedenle 26 Nisan olarak belirledi: 1998'de bu gün virüsünün ilk versiyonunu yayınladı. (bu arada, asla Tayvan'ın dışına çıkmadı), yani. Böylece 26 Nisan'da virüs “doğum gününü” kutluyor.

İşte kurbanlardan birinin hatırladığı şey: “Bir uyarı aldıktan sonra, tüm ofis tarihi değiştirdi - böylece etkinleştirilmeyecek ... Ve nasıl batırdım, daha sonra sökmeyi unuttum ... Ve tam olarak bir ay daha sonra bilgisayar kapatıldı ... ".

Virüs nasıl çalıştı

Virüs bulaşmış bir dosya başlatıldığında, virüs kodunu Windows belleğine yükledi, dosyalara erişimi engelledi ve başlatılmakta olan EXE dosyalarını açarken bunlara kendisinin bir kopyasını yazdı. Koddaki hatalar nedeniyle, virüslü dosyalar başlatıldığında virüs bazen sistemi "açtı". Ve belirtilen tarihte Flash BIOS'u ve disklerin içeriğini silmeye çalıştı.

Anakart üzerindeki BIOS modülü

Flash BIOS'a yazmak, yalnızca ilgili anakart türlerinde ve ilgili anahtar etkinleştirildiğinde mümkündür. Bu anahtar genellikle salt okunur olarak ayarlanır, ancak bu, tüm bilgisayar üreticileri için geçerli olmayabilir.

Ne yazık ki, bazı modern anakartlardaki Flash BIOS bir anahtarla korunamaz: bazıları herhangi bir anahtar konumunda Flash'a yazmaya izin verir, diğerleri ise Flash'ta yazma koruması yazılım tarafından iptal edilebilir.

Flash belleği sildikten sonra virüs başka bir yıkıcı prosedüre geçti: kurulu tüm sabit sürücülerdeki bilgileri yok etti. Aynı zamanda, BIOS'ta yerleşik olan standart anti-virüs korumasını, önyükleme sektörlerine yazmaktan atladı.

Virüsün üç ana (sözde yazarın) sürümü vardır. Birbirlerine oldukça benzerler ve çeşitli alt programlarda kodun yalnızca küçük ayrıntılarında farklılık gösterirler. Virüsün sürümleri farklı uzunluklar, metin satırları ve disk silme ve Flash BIOS prosedürünün etkinleştirilme tarihi aldı.

Hepsinin boyutu yaklaşık 1 kilobayttır. İlk iki versiyon 26 Nisan'da, üçüncü versiyon ise her ayın 26'sında çalıştı.

Sonra ne oldu?

Virüsün yazarı sadece virüsleri "özgürlüğe" salmakla kalmadı, aynı zamanda virüsün kaynak derleyici metinlerini de gönderdi. Bu, bu metinlerin düzeltilmesine, derlenmesine ve kısa süre sonra virüsün farklı uzunluklara sahip olan değişikliklerinin ortaya çıkmasına neden oldu, ancak işlevsellik açısından hepsi "ebeveynlerine" karşılık geldi.

Virüsün bazı türevlerinde "bomba"nın tarihi değiştirilmiş veya bu bölüm hiç kullanılmamıştır (anlık tetikleyici). Gerçekten de, herhangi bir gün için “bomba” zamanlayıcısını ayarlamak için virüs kodunda sadece iki baytı değiştirmek yeterlidir.

Genellikle, virüsler bir bilgisayara yazılım zararı getirir. Virüsler bir şekilde bilgisayarın çalışmasını zorlaştırır, bazı kullanıcı verilerini izler veya çalar. Örneğin, herhangi bir tarayıcıda kullanıcıyı çok rahatsız edici bir şekilde rahatsız eden çok hoş olmayan bir şey. Ama hepsi yazılım. Hasar görmüş, virüs bulaşmış bir yazılım ürünü onarılabilir veya değiştirilebilir. Bilgisayar donanımına zarar verebilecek virüsler var mı?

Virüs Win95.CIH(Çernobil)

Çernobil - bu, virüslerin sadece zarar vermediğini gösteren ilk bilgisayar virüsüne verilen isimdir. yazılım, ama aynı zamanda Donanım bilgisayar. 1998 yılında Tayvanlı bir öğrenci tarafından yazılan Çernobil virüsü, bazı anakartlardaki BIOS içeriğini bozarak sistemin kendisine zarar verebilir. anakart. Ve böyle durumlar vardı. Ama yine de ana yemek, tüm bilgilerin yok edilmesiydi. sabit disk bilgisayar. Eh, en azından biraz artı, çünkü ihtiyaç azaldı. Bu virüsü kapma talihsizliğine sahip olanlar zaten burada acı çekti.

Virüs ilk adını - Win95.CIH - yazarından aldı. Bu arada, üç tane yayınladı çeşitli versiyonlar birbirinden çok farklı olmayan virüslerinin. Gerçek, En son sürüm her ayın 26'sında başlatılır. Ve her versiyonun kendi numarası vardı. Ama ona ikinci isim - Çernobil virüsü - tarafından verildi. bilgisayar Dünyası. Neden? Niye? Çünkü virüs 26 Nisan'da devreye girdi ve tüm yıkıcı eylemleri o gün üretti. Ve 1986 yılında bu gün maalesef Çernobil kazası meydana geldi. Her ne kadar virüsün yazarının dediği gibi, virüsün lansman tarihi - her yılın 26 Nisan'ı - yalnızca virüsün o gün doğum gününü kutladığı için seçildi. Ancak kendi tarzında kutladı.

Çernobil virüsünün tehlikesi

Çernobil virüsü artık herhangi bir tehlike oluşturmuyor çünkü bu virüsün çalışma ortamı açık olan bilgisayarlar. işletim sistemleri Windows 95 ve 98. Ancak bu, bilgisayar donanımını devre dışı bırakacak bir virüs bulaşma tehlikesi olmadığı anlamına gelmez. Bu, dünyadaki birçok kişinin bu fırsatın farkında olduğunu ve Tayvanlı öğrencinin başarısını tekrarlamak istediğini gösteriyor. Ve bazıları zaten başarılı oldu. Ancak Çernobil'den daha ünlü olmaları pek mümkün değil. Türünün ilk örneği olduğundan hatırlaması daha kolaydır.