CIH (компьютерный вирус)

МЕСТО
МЕСТО
	Сообщение антивирусного перехвата в системе Windows 95

CIH , также известный как Chernobyl или Spacefiller , — это для Microsoft Windows 9x компьютерный вирус , впервые появившийся в 1998 году. Его полезная нагрузка очень разрушительна для уязвимых систем, перезаписывая критически важную информацию на зараженных системных дисках и, в некоторых случаях, разрушая системный BIOS . Вирус был создан Чэнь Инхау (陳盈豪, пиньинь : Chén Yíngháo ), студентом Университета Тадун на Тайване . ^{[ 1 ]} Считалось, что он заразил шестьдесят миллионов компьютеров по всему миру, в результате чего коммерческий ущерб составил примерно 1 миллиард тайваньских долларов (35 801 231,56 доллара США ). ^{[ 1 ]}

Чен утверждал, что написал вирус как вызов смелым заявлениям разработчиков антивирусного программного обеспечения об эффективности антивирусов . ^{[ 2 ]} Чен заявил, что после того, как однокурсники в Университете Татунг распространили вирус, он извинился перед школой и сделал антивирусную программу доступной для публичного скачивания. Вэн Ши-хао (翁世豪), студент Тамканского университета , соавтор антивирусной программы. ^{[ 2 ]} В то время прокуратура Тайваня не могла предъявить Чену обвинения, поскольку ни одна жертва не подала иск. ^{[ 3 ]} Тем не менее, эти события привели к принятию нового законодательства о компьютерных преступлениях на Тайване. ^{[ 2 ]}

Название «Чернобыльский вирус» было придумано спустя некоторое время после того, как вирус уже был хорошо известен как CIH, и указывает на полное совпадение даты срабатывания полезной нагрузки в некоторых вариантах вируса (фактически дата создания вируса в 1998 году, чтобы сработать ровно на год позже). ) и Чернобыльской катастрофы , случившейся в Советском Союзе 26 апреля 1986 года. ^{[ 4 ]}

Название «Spacefiller» было введено потому, что большинство вирусов записывают свой код в конец зараженного файла, причем зараженные файлы можно обнаружить, поскольку их размер увеличивается. CIH, напротив, ищет пробелы в существующем программном коде, куда затем записывает свой код, предотвращая увеличение размера файла; таким образом вирус избегает обнаружения. ^{[ 4 ]}

История

Вирус впервые появился в 1998 году. В марте 1999 года несколько тысяч IBM Aptivas были поставлены с вирусом CIH. ^{[ 5 ]} всего за месяц до того, как вирус сработает. В июле 1999 года копии инструмента удаленного администрирования Back Orifice 2000, розданные участникам DEF CON 7, были обнаружены организаторами как зараженные CIH. ^{[ 6 ]} 31 декабря 1999 года компания Yamaha отправила обновление программного обеспечения для своих приводов CD-R400, зараженных вирусом. В июле 1998 года демо- версия шутера от лица первого SiN была заражена одним из зеркальных сайтов. ^{[ 7 ]}

Двойная полезная нагрузка CIH была впервые доставлена 26 апреля 1999 года, причем большая часть повреждений произошла в Азии . ^{[ 8 ]} первые 1024 КБ хоста загрузочного диска CIH заполнял нулями , а затем атаковал определенные типы BIOS . Обе эти полезные нагрузки привели к выводу из строя главного компьютера, а для большинства обычных пользователей вирус фактически уничтожил ПК. Однако технически можно было заменить микросхему биоса , ^{[ нужна ссылка ]} а методы восстановления данных жесткого диска появились позже. ^{[ нужна ссылка ]}

Сегодня CIH не так широко распространен, как раньше, из-за осведомленности об угрозе и того факта, что он затрагивает только старые Windows 9x ( 95 , 98 , ME операционные системы ).

Вирус снова вернулся в 2001 году, когда вариант червя LoveLetter в файле VBS , содержащем программу-дроппер для вируса CIH, был распространен в Интернете под видом обнаженной фотографии Дженнифер Лопес .

Модифицированная версия вируса под названием CIH.1106 была обнаружена в декабре 2002 года, но она не получила широкого распространения и поражает только системы на базе Windows 9x. ^{[ 9 ]}

Специфика вируса

CIH распространяется в формате переносимого исполняемого файла в операционных системах на базе Windows 9x, Windows 95, 98 и ME. CIH не распространяется ни в операционных системах на базе Windows NT , ни в операционных системах на базе Win16, таких как Windows 3.x или ниже. ^{[ 10 ]}

CIH заражает переносимые исполняемые файлы, разбивая большую часть своего кода на небольшие фрагменты, вставленные в промежутки между сечениями, обычно наблюдаемые в PE-файлах, и записывая небольшую процедуру повторной сборки и таблицу расположений своих собственных сегментов кода в неиспользуемое пространство в хвосте. PE-заголовка. Это принесло CIH еще одно название «Spacefiller». Размер вируса составляет около 1 килобайта , но благодаря новому методу множественного заражения зараженные файлы вообще не растут. Он использует методы перехода с кольца процессора 3 на 0 для перехвата системных вызовов.

Полезная нагрузка, которая считается чрезвычайно опасной, сначала включает в себя перезапись вирусом первого мегабайта (1024 КБ) жесткого диска нулями, начиная с сектора 0. Это удаляет содержимое таблицы разделов компьютера и может привести к зависанию или сигналу тревоги. синий экран смерти .

Вторая полезная нагрузка пытается выполнить запись во Flash BIOS . В BIOS, которые могут быть успешно записаны вирусом, критические коды загрузки заменяются мусором. Эта процедура работает только на некоторых машинах. Большое внимание уделялось машинам с материнскими платами на базе Intel 430TX набора микросхем , но, безусловно, наиболее важной переменной в успехе CIH при записи в BIOS машины является тип микросхемы флэш-ПЗУ в машине. Различные микросхемы флэш-ПЗУ (или семейства микросхем) имеют разные процедуры разрешения записи, специфичные для этих микросхем. CIH не пытается проверить тип Flash ROM на своих машинах-жертвах и имеет только одну последовательность разрешения записи.

Для первой полезной нагрузки вся информация, которую вирус перезаписал нулями, теряется. Если первый раздел имеет формат FAT32 и имеет размер около одного гигабайта , все, что будет перезаписано, — это MBR , таблица разделов, загрузочный сектор первого раздела и первая копия FAT первого раздела. MBR и загрузочные сектора можно просто заменить копиями стандартных версий; таблицу разделов можно восстановить путем сканирования всего диска, а первую копию FAT можно восстановить из второй копии. Это означает, что полное восстановление без потери пользовательских данных может быть выполнено автоматически с помощью такого инструмента, как Fix CIH .

Если первый раздел не FAT32 или его размер меньше 1 ГБ, основная часть пользовательских данных в этом разделе все равно останется нетронутой, но без корневого каталога и FAT их будет сложно найти, особенно при значительной фрагментации.

Если вторая полезная нагрузка выполняется успешно, компьютер вообще не запустится. В этом случае требуется перепрограммирование или замена микросхемы Flash BIOS, поскольку большинство систем, поддерживающих CIH, могут повлиять на функции восстановления BIOS, существовавшие до предыдущих версий.

Варианты

Прозвище	Описание
CIH v1.2/CIH.1003	Этот вариант является наиболее распространенным и активируется 26 апреля. Он содержит строку: CIH v1.2 ТТИТ
CIH v1.3/CIH.1010.A и CIH1010.B	Этот вариант также активируется 26 апреля. Он содержит строку: CIH v1.3 ТТИТ
CIH v1.4/CIH.1019	Этот вариант активируется 26 числа любого месяца. Он содержит строку CIH v1.4 ТАТУНГ .
МЕСТО 1049.	Этот вариант активируется 2 августа вместо 26 апреля.

См. также

Ссылки

^ Перейти обратно: ^а ^б «От «тяжелого хакера» CIH до «отладочного супермена»» . iThome онлайн (на китайском языке). Архивировано из оригинала 17 апреля 2013 г.
^ Перейти обратно: ^а ^б ^с «От взлома компьютеров до любви к путешествиям — бывший интернет-ребёнок Чэнь Инхао — выпуск 8 журнала Parenting World — Чэнь Инхао, мир Интернета, отаку, интернет-зависимость» . Архивировано с 7 июня 2013 г. оригинал от 07.06.2013.
^ «Борьба с хакерами больше не невозможна - Общие знания о безопасности - Отделение Цзяи, Агентство административного правопорядка, Министерство юстиции» (на китайском языке) Управление административного правопорядка Цзяи, Агентство административного правопорядка. Архивировано из оригинала 2013 года. -10- 29. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
^ Перейти обратно: ^а ^б «Что такое Чернобыльский вирус? (с картинками)» . Легкий технический наркоман . Проверено 16 февраля 2023 г.
^ Вейл, Нэнси (7 апреля 1999 г.). «Некоторые Aptivas поставляются с вирусом CIH» . CNN . Архивировано из оригинала 4 января 2007 г.
^ «Компакт-диски Back Orifice, зараженные вирусом CIH — Tech News на ZDNet» . ЗДНет . 14 июля 1999 г. Архивировано из оригинала 11 марта 2007 г.
^ «Отчет США: геймеры считают, что SiN от Activision несет в себе вирус CIH» . ZDNet.co.uk . 28 июля 1998 г. Архивировано из оригинала 17 апреля 2009 г.
^ Лемос, Роберт (25 мая 1999 г.). «Вирус CIH находится в списке находящихся под угрозой исчезновения?» .
^ «Вирус:DOS/CIH» . F-Secure Labs . Архивировано из оригинала 28 января 2001 г. Проверено 7 декабря 2021 г.
^ «Вирус:DOS/CIH | F-Secure Labs» . www.f-secure.com . Проверено 5 ноября 2023 г.

Внешние ссылки

База данных F-Secure CIH
Техническая страница F-Secure CIH
Техническая страница Symantec CIH
Новостная статья об электронном письме Дженнифер Лопес
FIX-CIH — Сайт Стива Гибсона о том, как устранить большую часть повреждений, нанесенных CIH.
Исходный код CIH 1.4

[ithome-1] Перейти обратно: ^а ^б «От «тяжелого хакера» CIH до «отладочного супермена»» . iThome онлайн (на китайском языке). Архивировано из оригинала 17 апреля 2013 г.

[parenting-2] Перейти обратно: ^а ^б ^с «От взлома компьютеров до любви к путешествиям — бывший интернет-ребёнок Чэнь Инхао — выпуск 8 журнала Parenting World — Чэнь Инхао, мир Интернета, отаку, интернет-зависимость» . Архивировано с 7 июня 2013 г. оригинал от 07.06.2013.

[3] «Борьба с хакерами больше не невозможна - Общие знания о безопасности - Отделение Цзяи, Агентство административного правопорядка, Министерство юстиции» (на китайском языке) Управление административного правопорядка Цзяи, Агентство административного правопорядка. Архивировано из оригинала 2013 года. -10- 29. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )

[auto-4] Перейти обратно: ^а ^б «Что такое Чернобыльский вирус? (с картинками)» . Легкий технический наркоман . Проверено 16 февраля 2023 г.

[5] Вейл, Нэнси (7 апреля 1999 г.). «Некоторые Aptivas поставляются с вирусом CIH» . CNN . Архивировано из оригинала 4 января 2007 г.

[6] «Компакт-диски Back Orifice, зараженные вирусом CIH — Tech News на ZDNet» . ЗДНет . 14 июля 1999 г. Архивировано из оригинала 11 марта 2007 г.

[7] «Отчет США: геймеры считают, что SiN от Activision несет в себе вирус CIH» . ZDNet.co.uk . 28 июля 1998 г. Архивировано из оригинала 17 апреля 2009 г.

[8] Лемос, Роберт (25 мая 1999 г.). «Вирус CIH находится в списке находящихся под угрозой исчезновения?» .

[9] «Вирус:DOS/CIH» . F-Secure Labs . Архивировано из оригинала 28 января 2001 г. Проверено 7 декабря 2021 г.

[10] «Вирус:DOS/CIH | F-Secure Labs» . www.f-secure.com . Проверено 5 ноября 2023 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]