Компьютерный вирус чернобыль. Как вирус работает
Также известен как «Чернобыль». Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы
(Portable Executable). Имеет довольно небольшую длину — около 1Кб. Был
обнаружен «в живом виде» на Тайване в июне 1998 — автор вируса заразил
компьютеры в местном университете, где он (автор вируса) в то время
проходил обучение. Через некоторое время зараженные файлы были (случайно?)
разосланы в местные Интернет-конференции, и вирус выбрался за пределы
Тайваня: за последующую неделю вирусные эпидемии были зарегистрированы в
Австрии, Австралии, Израиле и Великобритании. Затем вирус был обнаружен и в
нескольких других странах, включая Россию.
Примерно через месяц зараженные файлы были обнаружены на нескольких
американских Web-серверах, распространяющих игровые программы. Этот факт,
видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26
апреля 1999 года (примерно через год после появления вируса) сработала
«логическая бомба», заложенная в его код. По различным оценкам, в этот день
по всему миру пострадало около полумиллиона компьютеров — у них оказались
уничтожены данные на жестком диске, а на некоторых плюс к тому испорчено
содержимое микросхем BIOS на материнских платах. Данный инцидент стал настоящей
компьютерной катастрофой — вирусные эпидемии и их последствия никогда до
того не были столь масштабными и не приносили таких убытков.
Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во
всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой
аварии на Чернобыльской атомной электростанции, вирус получил свое второе
имя — «Чернобыль» (Chernobyl).
Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со
своим вирусом и поставил дату срабатывания «бомбы» на 26 апреля по совсем
другой причине: именно 26 апреля в 1998 году он выпустил первую версию
своего вируса (которая, кстати, так и не вышла за пределы Тайваня) — 26
апреля вирус «CIH» отмечает подобным образом свой «день рождения».
Как вирус работает
При запуске зараженного файла вирус инсталлирует свой код в память Windows,
перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в
них свою копию. Содержит ошибки и в некоторых случаях завешивает систему
при запуске зараженных файлов. В зависимости от текущей даты стирает Flash
BIOS и содержимое дисков.
Запись в Flash BIOS возможна только на соответсвующих типах материнских
плат и при разрешающей установке соответственного переключателя. Этот
переключатель обычно установлен в положение «только чтение», однако это
справедливо не для всех производителей компьютеров. К сожалению Flash BIOS
на некоторых современных материнских платах не может быть защищена
переключателем: одни из них разрешают запись в Flash при любом положении
переключателя, на других защита записи в Flash может быть отменена программно.
После успешного стирания Flash-памяти вирус переходит к другой
деструктивной процедуре: стирает информацию на всех установленных
винчестерах. При этом вирус использует прямой доступ к данным на диске и
тем самым обходит встроенную в BIOS стандартную антивирусную защиту от
записи в загрузочные сектора.
Известно три основные («авторские») версии вируса. Они достаточно похожи
друг на друга и отличаются лишь незначительными деталями кода в различных
подпрограммах. Версии вируса имеют различные длины, строки текста и дату
срабатывания процедуры стирания дисков и Flash BIOS:
Длина Текст Дата срабатывания Обнаружен «в живом виде»
1003 CIH 1.2 TTIT 26 апреля Да
1010 CIH 1.3 TTIT 26 апреля Нет
1019 CIH 1.4 TATUNG 26 каждого месяца Да — во многих странах
Технические детали
При заражении файлов вирус ищет в них «дыры» (блоки неспользуемых данных) и
записывает в них свой код. Присутствие таких «дыр» обусловлено структурой
PE-файлов: позиция каждой секции в файле выравнена на определенное
значение, указанное в PE-заголовке, и в большинстве случаев между концом
предыдущей секции и началом последующей есть некоторое количество байт,
которые не используются программой. Вирус ищет в файле такие неиспользуемые
блоки, записывает в них свой код и увеличивает на необходимое значение
размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.
Если в конце какой-либо секции присутствует «дыра» достаточного размера,
вирус записывает в нее свой код одним блоком. Если же такой «дыры» нет,
вирус дробит свой код на блоки и записывает их в конец различных секций
файла. Таким образом, код вируса в зараженных файлах может быть обнаружен
и как единый блок кода, и как несколько несвязанных между собой блоков.
Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце
заголовка есть «дыра» размером не менее 184 байт, вирус записывает в нее
свою startup-процедуру. Затем вирус изменяет стартовый адрес файла:
записывает в нее адрес своей startup-процедуры. В результате такого приема
структура файла становится достаточно нестандартной: адрес стартовой
процедуры программы указывает не в какую-либо секцию файла, а за пределы
загружаемого модуля — в заголовок файла. Однако Windows95 не обращает
внимания на такие «странные» файлы, грузит в память заголовок файла, затем
все секции и передает управление на указанный в заголовке адрес — на
startup-прецедуру вируса в PE-заголовке.
Получив управление, startup-процедура вируса выделяет блок памяти
VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса
остальных блоков кода вируса (расположенных в конце секций) и дописывает их
к коду своей startup-процедуры. Затем вирус перехватывает IFS API и
возвращает управление программе-носителю.
С точки зрения операционной системы эта процедура наиболее интересна в
вирусе: после того, как вирус скопировал свой код в новый блок памяти и
передал туда управление, код вируса исполняется как приложение Ring0, и
вирус в состоянии перехватить AFS API (это невозможно для программ,
выполняемых в Ring3).
Перехватчик IFS API обрабатывает только одну функцию — открытие файлов.
Если открывается файл с расширением EXE, вирус проверяет его внутренний
формат и записывает в файл свой код. После заражения вирус проверяет
системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше).
При стирании Flash BIOS вирус использует соответствующие порты
чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию
прямого обращения к дискам IOS_SendCommand.
Известные варианты вируса
Автор вируса не только выпустил копии зараженных файлов «на свободу», но и
разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти
тексты были откорректированы, откомпилированы и вскоре появились
модификации вируса, имевшие различные длины, однако по функциональности они
все соответствовали своему «родителю». В некоторых вариантах вируса была
изменена дата срабатывания «бомбы», либо этот участок вообще никогда не вызывался.
Известно также об «оригинальных» версиях вируса, срабатывающих в дни,
отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в
коде вируса происходит по двум константам. Естественно, что для того, чтобы
поставить таймер «бомбы» на любой заданный день, достаточно поменять лишь
два байта в коде вируса.
Официальное название данного компьютерного вируса – CIH или Virus.Win9x.CIH. « » его назвали, поскольку он активировался 26 апреля 1999 года – в годовщину известной трагедии. Создатель вируса, студент из Тайваня Чэнь Инхао, написал свою программу в июне 1998 г., но ждал с ее запуском до 26 апреля 1999 г. (годовщина чернобыльской трагедии), что, безусловно, трудно считать простым совпадением.
Вторая версия происхождения названия вируса заключается в том, что он уничтожил множество ОС компьютеров и стал в некотором роде крупной катастрофой.
Вирус работает только под ОС Windows 95/98 – обе системы были широко распространены на момент написания. У него есть три версии, которые отличаются друг от друга длиной, особенностями кода и датой срабатывания: одна из версий активировалась 26 числа каждого месяца.
Суть работы «Чернобыля» проста: он прописывал свой код в память ОС, перехватывал запуск файлов с расширением.exe, после чего записывал в них свою копию. Вирус никак себя не проявлял до назначенной даты, а потому походил на бомбу замедленного действия. 26 апреля он активировался, стирал все данные на жестких дисках и далее повреждал Flash BIOS. Восстановить файлы было невозможно, поэтому ущерб, нанесенный вирусом, оказался колоссальным.
Последствия «Чернобыля»
Чэнь Инхао сначала заразил компьютеры в своем университете, после чего вирус попал в сеть и со временем оказался на жестких дисках сотен тысяч людей. Вирусная эпидемия охватила Китай, Австралию, Австрию, Англию, Израиль и многие другие страны.
Россияне не слишком сильно пострадали от «Чернобыля», однако следы этого вируса были и в нашей стране.
По усредненным данным, от «Чернобыля» пострадало более 500 тыс. компьютеров по всему миру, притом на многих из них хранились важные данные, поэтому люди понесли большие убытки из-за действий Чэня Инхао. При этом сам студент вовсе не предполагал, что его вирус станет столь широко распространенным, ведь он планировал провести «эксперимент» только в рамках университета Датун.
Экспертам не пришлось искать автора столь серьезного и страшного вируса. Инхао понял, что со временем его непременно вычислят, а потому, решив не усугублять ситуацию, явился с повинной и даже публично принес извинения людям, пострадавшим в результате заражения компьютеров его вирусом. За это он получил серьезный выговор в своем университете.
Компьютерные вирусы, по своей природе и способу распространения чем-то сродни своим
биологическим "собратьям", болезнь всегда легче и с меньшими потерями предотвратить,
чем бороться с последствиями. Возможно изложить массу возражений, что высказанные
выше мысли не совсем верны, в
некоторых случаях невозможно все предусмотреть. Но эти возражения никоем образом не
относятся к случаю с вирусом Чернобыль. Можно перефразировать известную поговорку и
утверждать, что от вируса, тюрьмы и сумы нельзя зарекаться. Но чем можно объяснить
существование этого вируса на компьютере в течении месяцев, когда как он известен
любому антивирусному сканеру, который достоин называться сканером!
Но отбросим эмоции в сторону и так:
МИФ 1 - после срабатывания вируса, информация теряется навсегда
Этот миф поддерживается многими специалистами. Даже очень уважаемые фирмы, в том числе
и компьютерные утверждают, что после срабатывания вируса Чернобыль, информация теряется
навсегда.
Эти утверждения основываются на том, что утилиты восстановления данных, применяемые в их
обыденной практике не дают положительных результатов. Даже применение таких мощных
утилит восстановления как EasyRecovery и Tiramisu не дает нужного эффекта.
Однако, это неверное и даже фатальное для многих пострадавших от вируса пользователей
утверждение. Практика работ лаборатории FomSoft
опровергает подобные утверждения. После атаки вируса восстановлению подлежат стопроцентному
восстановлению второй и последующие логические разделы винчестера. Первый раздел, диск C:,
также восстанавливается на все 100%, если он содержал файловую систему FAT-32. Если диск С:
был размечен как FAT-16, то в этом случае вирус затирает обе копии FAT и корневое
оглавление. Но даже в этом случае возможно восстановить
не фрагментированные файлы и
как правило, структуру дерева каталогов. Даже в случае дефрагментации субкаталогов удается
найти их разрозненные сектора и извлечь из них нужные каталоги и файлы. Причем, в отличии от
EasyRecovery и Tiramisu, при восстановлении сохраняются русские наименования файлов и
каталогов. Для восстановления информации лаборатория FomSoft применяет собственные
программные средства восстановления, которые написаны с учетом многолетнего опыта работы.
Эти программные средства не являются автоматическими, это только инструментарий анализа и
дополнительной обработки той или иной информации. Поэтому залогом успешного восстановления
является не программа, с ее заранее заложенным алгоритмом работы, а человеческий интеллект и
опыт работы.
МИФ 2 - вирус посвящен Чернобыльской аварии
В основе этого мифа лежит, яркое и печальное для всех нас трагические события на
Чернобыльской атомной электростанции, ее четвертом энергоблоке.
Однако, ничего общего и реальной причиной, побудившей автора вируса установит именно
эту дату, Чернобыльские события не имеют. Как это не банально, это день рождения автора
вируса.
И на последок, давайте не будем еще раз винить автора вируса, который искренне раскаивается
в содеянном, а положим руку на сердце и спросим себя - Кто в большей степени виновник в
случившемся несчастье и что нужно делать, чтобы это не повторилось на следующий год?
Возможности восстановления данных после вирусной атаки
Восстановление информации на винчестере после атаки вируса Чернобыль имеет рад
особенностей.
Главным залогом успешного восстановления является отсутствие привнесенных искажений в
секторное пространство разрушенного жесткого диска. Такие искажения являются следствием
двух основных причин:
- неудачных попыток восстановления специалистами, которые не знают особенности и специфику искажений данных вносимых на жесткий диск именно этим вирусом;
- запуск Пользователями "безобидной" системной программы FDISK.
Если привнесенных искажений нет, или их можно нейтрализовать, то сто процентному восстановлению подлежат второй и последующие логические разделы жесткого диска, не зависимо от типа файловой системы. (Если на компьютере жесткий диск единственный, то это будут диски D:, E: и т. д.) .
Если диск С: содержит файловую систему FAT-32, то он также будет восстановлен на 100%
Если диск С: содержит файловую систему FAT-16, то восстановлению подлежат только не фрагментированные файлы, и файлы длина который меньше размера кластера. (Обычно кластер имеет размер 32 или 16 Кбайт).
26 числа каждого месяца после срабатывания деструктивного кода вируса материнские платы компьютеров можно выбрасывать на помойку. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.
Вирус Win95.CIH был написан в Тайване, распространялся автором этого детища через Интернет, и в настоящее время поразил большинство стран Юго-Восточной Азии, а также некоторые европейские страны (в частности, очень серьезно пострадала Швеция).
Вирус Win95.CIH прекрасно детектируется и лечится с помощью программы Dr. Web версии 4.01. Пожалуйста, проверяйте все приходящие файлы. Особенно тщательно контролируйте все файлы, полученные через сеть Интернет.
Описание вируса Win95.CIH
Очень опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением операционной системы Windows 95. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выровнена на определенное количество байт, обычно неиспользуемых программой. В такие области вирус и записывает части своего кода, "разбрасывая" их иногда по всему файлу (или по всем кодовым секциям). А также вирус может записать свою стартовую процедуру (процедуру, первой получающую управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.
При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и "собирает себя по частям" в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.
26 числа каждого месяца вирус уничтожает содержимое Flash BIOS, записывая в него случайные данные ("мусор"). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.
В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:
Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG
P.S. На мой взгляд, предложение выбрасывать материнские платы, испорченные вирусом Win95.CIH, на помойку несколько преждевременно. Flash BIOS, при наличии специальных навыков, можно перепрограммировать даже в домашних условиях. Если же такие навыки Вы до сих пор не приобрели, стоит обратиться к продавцам или представителям фирмы-производителя Вашей "мамы" с просьбой заменить Flash BIOS.
CIH , или «Чернобыль» (Virus.Win9x.CIH) компьютерный вирус, написанный тайваньским студентом Чэнем Ин Хао в июне 1998 года. Представляет собой резидентный вирус, работающий только под операционной системой Windows 95/98.
История
26 апреля 1999 года, в годовщину Чернобыльской аварии вирус активизировался и уничтожил данные на жёстких дисках инфицированных компьютеров. На некоторых компьютерах было испорчено содержимое микросхем BIOS. Именно совпадение даты активации вируса и даты аварии на ЧАЭС дали вирусу второе название «Чернобыль», которое в народе даже более известно, чем «CIH».
По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру.
По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя знаменитого компьютерного вируса.
Название
Вирус CIH получил название «Чернобыль». Отмечают две возможные версии происхождения названия:
- Вирус нанёс крупный урон многим компьютерам во всем мире.
- Дата срабатывания «логической бомбы», заложенной автором, совпадает с датой аварии на Чернобыльской АЭС 26 апреля.
Распространение
Первый рабочий вирус был обнаружен в июне 1998 года в Тайване автор вируса заразил компьютеры в своём университете. За последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. Позднее следы вируса были обнаружены в нескольких других странах, включая Россию. Заражение нескольких американских веб-серверов, распространяющих компьютерные игры, послужило причиной глобальной вирусной эпидемии, начавшейся 26 апреля 1999 года. На полумиллионе компьютеров сработала «логическая бомба» была уничтожена информация на жёстких дисках и повреждены данные на микросхемах BIOS.
Принципы работы
При запуске зараженного файла вирус записывает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них вредоносный код. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.
Автор вируса
Чен Инь Хао (Chen Ing Hau), родился 25 августа, 1975 года, Тайвань.
Чен написал CIH во время своей учебы в университете Татунг (Tatung) в Тайпей. Когда он создал вирус, он получил серьезный выговор от университета.
Узнав, что вирус стал широко распространенным, он занервничал. Некоторые его одноклассники настоятельно советовали ему не признаваться в создании вируса, однако он сам был уверен, что при наличии достаточного запаса по времени эксперты по безопасности смогут его вычислить. Поэтому еще до окончания университета он написал официальное извинение в Интернете, в котором он публично попросил прощения у жителей Китая, компьютеры которых пострадали. Из-за воинской повинности Чен пошел служить. Согласно тайваньским законам тех времен он не нарушил никаких законов, и он никогда не привлекался к уголовной ответственности за создание этого вируса.
В настоящее время Чен работает в Gigabyte.
Факты
- «Чернобыль» работает только под Windows95/98.
- Вирус имеет довольно небольшой размер около 1 кБ.
- Автор вируса также разослал исходный код вируса.
- В мае 2006 года студент одного из технических вузов Воронежа Сергей Казачков был приговорён к 2 годам лишения свободы условно по статье 273 УК РФ за распространение компьютерных вирусов в интернете, в их числе был и CIH
Скопипастил и немного подредактировал с википедии
