CIH (компьютерный вирус) - Википедия - CIH (computer virus)
 Сообщение о перехвате антивируса в системе Windows95 | |
| Распространенное имя | CIH вирус |
|---|---|
| Псевдонимы | Чернобыль, Spacefiller |
| Классификация | Вирус |
| Тип | Windows 9x |
| Начало координат | Тайвань |
| Авторы) | Чен Инг-хау (CIH) |
CIH, также известный как Чернобыль или же Spacefiller, это Microsoft Windows 9x Компьютерный вирус который впервые появился в 1998 году. Его полезная нагрузка очень разрушительна для уязвимых систем, перезаписывая критическую информацию на зараженных системных дисках и в некоторых случаях разрушая систему. BIOS. Вирус был создан Чен Инг-хау (陳盈 豪, пиньинь: Чен Ингао) который учился в Татунгский университет в Тайвань.[1] Шестьдесят миллионов компьютеров были заражены вирусом во всем мире, в результате чего, по оценкам, АМЕРИКАНСКИЙ ДОЛЛАР$ 1 миллиард коммерческого ущерба.[1]
Чен утверждал, что написал вирус как вызов против смелых заявлений о противовирусной эффективности антивирусное программное обеспечение Разработчики.[2] Чен заявил, что после того, как одноклассники распространили вирус по университету Татунг, он извинился перед школой и сделал антивирусную программу доступной для публичной загрузки; соавтором антивирусной программы является Вэн Ши-хао (翁世豪), студент Тамканский университет.[2] В то время прокуратура Тайваня не могла предъявить обвинения Чену, потому что нет жертв выступил с иском.[3] Эти события привели к новым компьютерное преступление законодательство Тайваня.[2]
Название «Чернобыльский вирус» было придумано через некоторое время после того, как вирус был уже хорошо известен как CIH, и относится к полному совпадению даты запуска полезной нагрузки в некоторых вариантах вируса (фактически, дата создания вируса в 1998 году, чтобы вызвать точно год спустя) и Чернобыльская катастрофа, что произошло в Советский союз 26 апреля 1986 г.
Название «Spacefiller» было введено, потому что большинство вирусов записывают свой код в конец зараженного файла, при этом зараженные файлы обнаруживаются, поскольку их размер увеличивается. В отличие от этого, CIH ищет пробелы в существующем программном коде, а затем пишет свой собственный код. Это не увеличивает размер файла и, таким образом, помогает вирусу избежать обнаружения.
История
Впервые вирус появился в 1998 году. В марте 1999 года несколько тысяч IBM Aptivas поставляется с вирусом CIH,[4] всего за месяц до запуска вируса. 31 декабря 1999 г. Ямаха поставили обновление программного обеспечения для своих дисководов CD-R400, зараженных вирусом. В июле 1998 г. демо версия шутер от первого лица игра SiN был заражен одним из его зеркальных сайтов.[5]
Двойная полезная нагрузка CIH была доставлена впервые 26 апреля 1999 г., при этом большая часть повреждений была нанесена Азия. CIH заполнил первые 1024 КБ принимающей стороны загрузочный диск с нулями, а затем атаковал определенные типы BIOS. Обе эти полезные нагрузки приводили к неработоспособности главного компьютера, и для большинства обычных пользователей вирус по существу уничтожил компьютер. Однако технически можно было заменить Микросхема BIOS, и методы восстановления жесткий диск данные появились позже.
Сегодня CIH не так широко распространен, как раньше, из-за осознания угрозы и того факта, что она затрагивает только пожилых людей. Windows 9x (95, 98, МНЕ ) операционные системы.
Вирус снова вернулся в 2001 году, когда вариант ЛюбовьПисьмо Червь в VBS файл, содержащий программу-дроппер для вируса CIH, был распространен в Интернете под видом обнаженной фотографии Дженнифер Лопес.
Модифицированная версия вируса под названием CIH.1106 была обнаружена в декабре 2002 года, но не считается серьезной угрозой.[нужна цитата ]
Специфика вируса
CIH распространяется под Переносимый исполняемый файл формат файла в операционных системах на базе Windows 9x, Windows 95, 98 и ME. CIH не распространяется на Windows NT операционные системы на базе Win16, такие как Windows 3.x или ниже.
CIH заражает переносимые исполняемые файлы, разбивая основную часть своего кода на небольшие фрагменты, вставленные в промежутки между разделами, обычно наблюдаемые в файлах PE, и записывая небольшую процедуру повторной сборки и таблицу местоположений своих собственных сегментов кода в неиспользуемое пространство в хвост PE-заголовка. Это принесло CIH другое название - Spacefiller. Размер вируса составляет около 1 килобайт, но благодаря новому методу множественного заражения зараженные файлы вообще не растут. Использует методы перехода с процессора звенеть От 3 до 0 для перехвата системных вызовов.
Полезная нагрузка, которая считается чрезвычайно опасной, в первую очередь включает перезапись вирусом первой мегабайт (1024 КБ) из жесткий диск с нулями, начиная с сектор 0. Это удаляет содержимое таблица разделов, и может вызвать вешать или подсказка синий экран смерти.
Вторая полезная нагрузка пытается записать во Flash BIOS. Из-за того, что может быть непреднамеренной особенностью этого кода[согласно кому? ], В BIOS, в которую вирус может успешно записать, критический код времени загрузки заменен мусором. Эта процедура работает только на некоторых машинах. Большое внимание уделялось машинам с материнскими платами на базе Intel 430TX чипсет, но, безусловно, наиболее важной переменной в успехе CIH при записи в BIOS машины является тип микросхемы Flash ROM в машине. Различные микросхемы Flash ROM (или семейства микросхем) имеют разные процедуры разрешения записи, специфичные для этих микросхем. CIH не пытается проверить тип Flash ROM на своих машинах-жертвах и использует только одну последовательность разрешения записи.
Для первой полезной нагрузки теряется любая информация, которую вирус перезаписал нулями. Если первый раздел FAT32, и около одного гигабайт, все, что будет перезаписано, это MBR, таблица разделов, загрузочный сектор первого раздела и первую копию FAT первого раздела. MBR и загрузочный сектор можно просто заменить копиями стандартных версий, таблицу разделов можно перестроить путем сканирования всего диска, а первую копию FAT можно восстановить из второй копии. Это означает, что полное восстановление без потери пользовательских данных может быть выполнено автоматически с помощью такого инструмента, как Исправить CIH.
Если первый раздел не FAT32 или меньше 1 ГБ, основная часть пользовательских данных на этом разделе все равно останется нетронутой, но без корневая директория и FAT будет сложно найти, особенно если будет значительная фрагментация.
Если вторая полезная нагрузка выполняется успешно, компьютер вообще не запускается. Для перепрограммирования или замены микросхемы Flash BIOS требуется технический специалист, так как большинство систем, поддерживающих CIH, могут повлиять на функции восстановления BIOS ранее.
Варианты
| Прозвище | Описание |
|---|---|
| CIH v1.2 / CIH.1003 | Этот вариант является наиболее распространенным и активируется 26 апреля. Он содержит строку: CIH v1.2 TTIT |
| CIH v1.3 / CIH.1010.A и CIH1010.B | Этот вариант также активируется 26 апреля. Он содержит строку: CIH v1.3 TTIT |
| CIH v1.4 / CIH.1019 | Этот вариант активируется 26 числа любого месяца. Он все еще в дикой природе, хотя и не так распространен. Он содержит строку CIH v1.4 TATUNG. |
| CIH.1049 | Этот вариант активируется 2 августа вместо 26 апреля. |
Смотрите также
Рекомендации
- ^ а б ithome.com.tw. 從 CIH 「重裝 駭客」 變身 「除錯 超人」 В архиве 2013-04-17 в Wayback Machine. 2006-08-25.
- ^ а б c parenting.com.tw. 從 駭 電腦 到 愛 旅行 ─ 昔日 網路 小子 陳盈 豪
- ^ cyy.moj.gov.tw. 打擊 駭客 , 不再 無法 可 施
- ^ Вейл, Нэнси. "Некоторые Aptivas поставляются с вирусом CIH." CNN. 8 апреля 1998 г. Проверено 28 марта 1998 г.
- ^ Отчет из США: геймеры считают, что «SiN» Activision несет вирус CIH - ZDNet.co.uk
внешняя ссылка
- База данных F-Secure CIH
- Техническая страница F-Secure CIH
- Техническая страница Symantec CIH
- Новостная статья об электронном письме Дженнифер Лопес
- FIX-CIH - Сайт разработан Стив Гибсон о том, как исправить большую часть повреждений от CIH
- Исходный код CIH 1.4