Win95.CIH lub Czarnobyl

– jeden z najsłynniejszych i najniebezpieczniejszych wirusów komputerowych w historii informatyki. Twórcą wirusa Win95.CIH był Tajwańczyk, student i programista Chen Ing-Hau (od pierwszych liter jego imienia i nazwiska pochodzi nazwa CIH). Alternatywna i powszechna nazwa wirusa „Czarnobyl” pochodzi od przypadkowej zbieżności daty aktywacji tego wirusa z datą katastrofy atomowej w Czarnobylu. Wirus infekował jedynie pliki EXE w systemach Windows 95, Windows Millenium (ME) i Windows 98. Po aktywacji dnia 26 kwietnia każdego roku od 1999 roku (lub 26 dnia każdego miesiąca w kolejnych wersjach wirusa) wirus zamazywał boot sector (sektor rozruchowy) dysku twardego lub zamazywał zawartość pamięci Flash BIOS uszkadzając BIOS. Uszkodzenie boot sectora wiązało się z utratą danych na dysku, jakkolwiek odzyskanie ich było możliwe, ponieważ same dane nie były kasowane a jedynie dane umożliwiające ich prosty odczyt. W przypadku tego uszkodzenia wystarczyło formatowanie dysku twardego. Uszkodzenie BIOSu powodowało całkowite unieruchomienie komputera i przymus wymiany płyty głównej, ponieważ w tamtych czasach wgranie nowego BIOSa było trudne i mało popularne, choć było możliwe. Wirus Czarnobyl nie czynił szkód bezpośrednio w elektronice dysku twardego czy płyty głównej, jak to się powszechnie uważa, a jedynie w warstwie oprogramowania (boot sector i BIOS) bez której te dwa podzespoły komputera odmawiały posłuszeństwa.

Do zarażenia wirusem zazwyczaj dochodziło przez zainfekowane programy na dyskietkach czy CD-ROMach. Win95.CIH znalazł się przypadkowo również w aktualizacji oprogramowania firmware CD-ROM-u Yamahy oraz w grze SiN. Ocenia się że w pierwszym roku działalności wirusa (1999 rok) uszkodzeniu uległo ponad 500 000 komputerów w samej Azji (na całym świecie szacuje się ok. 2 mln komputerów). Nie bez powodu znalazł się więc na liście 20 największych zagrożeń komputerowych firmy Panda Security.

Twórca wirusa za wypuszczenie tak groźnego wirusa został ukarany jedynie na uczelni ponieważ tajwańskie prawo z 1999 roku przewidywało karę za przestępstwa komputerowe wyłącznie w wypadku wniesienia oskarżenia przez poszkodowanych. Tymczasem żadna z tysięcy zarażonych osób i firm nie wniosła przeciw niemu oskarżenia. Chen Ing-Hau dostał wzamian 20 ofert pracy od tajwańskich firm związanych z komputerami i oprogramowaniem. W jednej z nich – Wahoo International Enterprise Chen zatrudnia się jako tester sprzętu.

Obecnie wirus zagraża jedynie starszym komputerom, na których zainstalowany jest Windows 95 i Windows 98, które nie posiadają programu antywirusowego. Obe

capture his heart forever http://capturehislove.com/ capture his heart spell

cnie każdy program antywirusowy bez problemu odnajduje i potrafi usunąć tego wirusa z komputera.

JAK DZIAŁA WIN95.CIH?

Znanych jest kilka odmian wirusa CIH, które różnią się małymi fragmentami kodu i datą rozpoczęcia destrukcji (26 kwietnia każdego roku lub 26 dzień każdego miesiąca). Długość kodu wirusa wynosi ok. 1 kilobajta. Jest to wirus specyficzny dla plików wykonywalnych PE (Portable Executable) Windows 95/98. Podczas infekcji wirus szuka „dziur” w kodzie pliku PE, którego nieużywane fragmenty znajdują się pomiędzy tzw. sekcjami, opisanymi w nagłówku pliku. Po odnalezieniu takich dziur zapisuje tam swój kod, następnie zwiększa rozmiar sekcji o niezbędną wartość, tak aby rozmiar całego pliku nie wzrósł po infekcji. Jeśli dziura jest wystarczającej wielkości, wirus zapisuje swój kod do jednej sekcji. Jeśli nie, wirus dzieli swój kod na kilka części i zapisuje je na końcu kilku sekcji. Kod wirusa może być zatem podzielony wewnątrz zarażonego pliku na kilka części, co oczywiście utrudnia jego wykrycie przez program antywirusowy.
Wirus szuka także dziur w nagłówku plików PE. Jeśli znajdzie nieużywany blok nie mniejszy niż 284 bajty, zapisuje tam swoją procedurę startową. Następnie zmienia adres wejścia do programu w nagłówku PE na wartość wskazującą wejście do własnej procedury, umieszczonej w nagłówku. Adres wejścia do programu wskazuje zatem nie na odpowiednią sekcję, lecz na nagłówek – poza ładowany obszar pliku. Mimo tego, zainfekowane programy mogą działać bez problemów – Windows ignoruje niebezpieczeństwo, ładuje sekcje programu, następnie przekazuje sterowanie do procedury startowej wirusa w nagłówku PE…
CIH instaluje się w pamięci, przejmuje odwołania dostępu do pliku i infekuje otwierane pliki EXE. W niektórych przypadkach system zawiesza się podczas uruchamiania zainfekowanej aplikacji. Następnie wirus sprawdza datę systemową i uruchamia procedurę destrukcji, podczas której używa bezpośredniego dostępu do portów Flash BIOS i bezpośredniego dostępu do dysku. Zależnie od daty systemowej, CIH uruchamia swoją procedurę destrukcyjną, która próbuje zamazać Flash BIOS. Jest to oczywiście możliwe tylko wtedy, gdy płyta główna i chipset pozwalają na zapis do pamięci Flash.
Zwykle zapis pamięci Flash może być zablokowany przez przełącznik DIP, o ile płyta główna na to pozwala. Następnie procedura destrukcyjna wirusa CIH zamazuje dane na wszystkich twardych dyskach. Zamazując sektory rozruchowe dysków, wirus korzysta z bezpośrednich odwołań zapisu na dysk i omija zabezpieczenia antywirusowe zaimplementowane w BIOS-ie.

zp8497586rq
Użytkownicy trafili tutaj szukając: wirus czarnobyl, win95 cih, wirus komputerowy czarnobyl, skąd pochodzi twórca wirusa komputerowego czarnobyl, czarnobyl wirus komputerowy, wirusy komputerowe czarnobyl, skąd pochodzi twórca wirusa czarnobyl, win95cih, wirus cich, program czarnobyl

Post navigation

1 comment for “Win95.CIH lub Czarnobyl

Comments are closed.