CIH

Поведение
Удаление
Последствия
название
Псевдонимы
источники

Virus.Win9x.CIH или CIH, также известный как Чернобыль или Spacefiller , является вирус на Майкрософт Виндоус заражает только Windows 95, 98 и ME из-за особенностей VxD. Это было написано на Ассамблее.

Впервые он был обнаружен 25 июня 1998 года в Тайване. Согласно властям Тайбэя, Чэнь Ин-Хау написал вирус CIH, в котором его имя было получено из его инициалов. Он нанес большую часть ущерба в течение нескольких месяцев ExploreZip а также Мелисса внешность. Вопреки распространенному мнению, полезная нагрузка дата запуска не была основана на дате ядерной катастрофы на Чернобыльской АЭС.

Поведение

Когда в системе выполняется файл, инфицированный CIH, вирус становится резидентным, так как заражает каждый исполнимый файл, к которому осуществляется доступ. Он получит доступ к Ring 0 и станет драйвером VxD с привилегиями SYSTEM , выделив одну страницу памяти (1 КБ, функция «VMMCALL _PageAllocate» ). Он будет использовать функцию «IFSMgr_InstallFileSystemApiHook» , таким образом перехватывая каждую файловую операцию. Файлы, зараженные CIH, могут иметь тот же размер, что и исходные файлы, из-за того, как он заражает файлы собственным уникальным способом - вирус ищет пустые неиспользуемые места в файле.

Затем он разбивает себя на более мелкие части и вставляет свой код в эти неиспользуемые пробелы вместо начала или конца файла. Каждое зараженное вирусом пространство связано с другим с помощью JMP-атак. Благодаря этому, без запуска отключающей утилиты, одна вирусная проверка может заразить несколько файлов в системе, и, таким образом, быстро распространяется.

Вирус имеет два Полезная нагрузка в котором они оба активируются 26 апреля любого года. Первая полезная нагрузка перезаписывает основную загрузочную запись, в результате чего операционная система не загружается, так как она начинает записывать данные в секторе 0; используя бесконечный цикл, который приводит к зависанию системы, это заставляет пользователя выполнить полную перезагрузку своей системы. Эта полезная нагрузка использует функцию VxD "IOS_SendCommand", используемую со специально созданными параметрами. Вторая полезная нагрузка почти разделяет его черты от других вирусов, таких как Криз , Magistr , а также Бумеранг - он пытается нанести ущерб BIOS компьютера. Это делается путем перепрошивки BIOS, где он перезаписывает данные случайными символами, что делает BIOS нефункциональным. В результате ничего не может отображаться, когда пользователь запускает компьютер. Однако, если материнская плата не поддерживает вторую полезную нагрузку (например, процессор является более новым Pentium (например, Pentium Pro, 2, 3, 4 или выше) или если на материнской плате включена перемычка защиты от записи BIOS, то вторая полезная нагрузка завершится с ошибкой, и компьютер автоматически завершит самопроверку при включении питания, но, поскольку CIH перезаписал основную загрузочную запись, Windows не сможет загрузиться.

Однако, если вирус попытается запустить на виртуальной машине, это не приведет к повреждению хост-компьютера. Полезная нагрузка, которая перезаписывает BIOS, не будет работать на виртуальной машине, но полезная нагрузка MBR будет выполняться.

Несколько кусков кода внутри вируса CIH.

CIH будет работать только на операционных системах, использующих ядра на основе DOS, таких как Windows 95, 98 или ME, и не будет работать на тех, которые используют ядра на основе NT, таких как Windows 2000 и более поздних версий. Это происходит из-за того, что ядра на базе NT не позволяют приложениям иметь прямой доступ к аппаратным конфигурациям, а ядра на основе DOS позволяют приложениям иметь прямой доступ к ним. Тем не менее, существует вероятность разрушения BIOS.

Удаление

Fix-CIH может восстановить жесткий диск в случае сбоя второй полезной нагрузки. Пользователь должен загрузиться с загрузочного компакт-диска Windows и запустить эту утилиту. Результаты будут зависеть от системы. После завершения работы инструмента до того, как пользователь перезагрузит систему, необходимо установить дату до активации полезной нагрузки, то есть 26 апреля любого года, чтобы предотвратить повторную загрузку полезной нагрузки при перезагрузке.

Kill-CIH пытается восстановить зараженные файлы с их оригинальными копиями. Некоторые файлы требуют замены пользователя в режиме DOS, поскольку некоторые из этих файлов используются в операционной системе.

Если не все файлы очищены, пользователь может либо удалить ненужные зараженные файлы, либо загрузиться на загрузочный компакт-диск Windows и скопировать эти файлы на диск, чтобы перезаписать зараженные.

Пользователь может также выбрать удаление файлов, используя приложение Find для поиска расширения файла .vir.

Наконец, запустите проверку на вирусы еще раз, чтобы убедиться, что на компьютере нет CIH.

Последствия

По оценкам, в Южной Корее было затронуто до одного миллиона компьютеров, в результате чего ущерб составил более 250 миллионов долларов. Большинство компьютеров в Бостонском колледже были заражены, а некоторые были уничтожены, многие потеряли информацию непосредственно перед последними экзаменами. 200 компьютеров в Сингапуре и 100 в Гонконге были заражены вирусом, а также многие другие по всему миру. Десять крупных компаний в Индии также пострадали от вируса.

Вирус впервые распространился через пиратское программное обеспечение летом 1998 года, когда также были заражены по крайней мере четыре пиратские группы. Были также неподтвержденные сообщения о том, что вирус появился в «взломанной PWA» копии Windows 98.

С лета 1998 года по весну 1999 года несколько компаний непреднамеренно выпускали программное обеспечение, зараженное вирусом. Компания по производству видеоигр, известная как Origin Systems, непреднамеренно выпустила зараженную версию, связанную с ее игрой Wing Commander . Три игровых журнала из Европы отправили компакт-диски, зараженные вирусом, и в одном даже, как сообщается, была записка, информирующая пользователей о вирусе и предлагающая им дезинфицировать свои компьютеры после использования компакт-диска. Yamaha отправила зараженное обновление прошивки для своих приводов CD-R400. Компьютеры IBM Aptiva поставлялись с вирусом, предварительно установленным в марте 1999 года.

название

Чен Инг-Хау, автор вируса

CIH берет свое название от инициалов его автора, Чэнь Ин-Хау. Другое популярное название - Чернобыль - во многом связано с датой запуска полезной нагрузки, 26 апреля, которая совпадает с датой Чернобыльская ядерная катастрофа , Возможно, пресса часто использовала это имя, так как упоминание о печально известной катастрофе, вероятно, имело бы более драматический эффект в новостном сообщении, чем три инициала.

Псевдонимы

Другие детали

Некоторые люди выражают скептицизм по поводу способности вируса разрушать BIOS компьютера. В настоящее время есть два подтвержденных сообщения об уничтожении BIOS в результате вируса, но ни один из них не был в дикой природе: одному исследователю удалось получить вирус уничтожает один в лабораторном тесте, а YouTuber danooct1 загрузил видео с полезной нагрузкой BIOS в действии. Один эксперт по вирусам даже предположил, что сообщения о повреждении или разрушении BIOS были планом, чтобы заставить людей отказаться от совершенно хороших компьютеров, чтобы их перепродавали дилеры черного рынка. Он также предположил, что многие предполагаемые жертвы вируса, слишком стремящиеся избавиться от старых компьютеров, обвинили вирус в незначительных проблемах и сказали руководству, что им нужно новое оборудование. Заявленные затраты на ущерб, возможно, были связаны с новыми компьютерами и программным обеспечением, а не с ремонтом и потерей работы или времени.

Предполагалось, что дата запуска полезного груза - 26 апреля, будет ознаменована чернобыльской ядерной катастрофой. Фактически совпадает с датой рождения автора.

Варианты этого вируса появились еще в 2002 году. Один вариант, выпущенный в 2001 году, был прикреплен к сценарию VBS, который использовал социальная инженерия в виде обещающей картины Дженнифер Лопес, чтобы побудить пользователя открыть ее. Другие варианты включают в себя:

CIH v1.2 / CIH.1103 активируется 26 апреля, содержащий строки CIH v1.2 TTIT
CIH v1.3 / CIH.1010.A и CIH.1010.B аналогичны предыдущему варианту, но со строками CIH v1.3 TTIT
CIH v1.4 / CIH.1019 активируется 26-го числа любого месяца
CIH.1049 активируется 2 августа любого года

Также существует вариант вируса-червя, который называется Бумеранг , Хотя у Bumerang есть период задержки между заражением и полезной нагрузкой, он атакует целые сети одинаково разрушительным образом.