Was ist der Tschernobyl-Computervirus? Tschernobyl-Virus Wann ist das Tschernobyl-Virus aufgetreten?

Typischerweise verursachen Viren Softwareschäden auf einem Computer. Auf die eine oder andere Weise erschweren Viren die Arbeit des Computers, überwachen oder stehlen einige Benutzerdaten. Zum Beispiel ein sehr unangenehmes, das den Benutzer in jedem Browser sehr nervt. Aber es ist alles Software. Beschädigt, mit einem Virus infiziert Softwareprodukt kann entweder geheilt oder ersetzt werden. Gibt es Viren, die Computerhardware beschädigen können?

Virus Win95.CIH (Tschernobyl)

Tschernobyl – so heißt der erste Computervirus, der zeigte, dass Viren nicht nur Schaden anrichten können Software, aber auch Computerhardware. Der Tschernobyl-Virus, der 1998 von einem taiwanesischen Studenten geschrieben wurde, beschädigte den BIOS-Inhalt einiger Computer Motherboards, was zu Schäden am Motherboard selbst führen könnte. Und es gab solche Fälle. Dennoch bestand die Hauptaufgabe darin, alle Informationen zu vernichten Festplatte Computer. Zumindest ist es eine Art Pluspunkt, denn der Bedarf hat nachgelassen. Alle, die das Pech hatten, sich mit diesem Virus anzustecken, haben bereits gelitten.

Der Virus erhielt seinen Vornamen – Win95.CIH – von seinem Autor. Übrigens veröffentlichte er drei verschiedene Versionen seines Virus, die sich kaum voneinander unterschieden. Ist es wahr, neueste Version startet jeweils am 26. eines Monats. Und jede Version hatte ihre eigene Nummer. Doch den zweiten Namen – Tschernobyl-Virus – gab ihm die Computerwelt. Warum? Weil das Virus am 26. April aktiv wurde und an diesem Tag alle seine zerstörerischen Aktionen ausführte. Und leider ereignete sich an diesem Tag im Jahr 1986 der Unfall von Tschernobyl. Obwohl, wie der Autor des Virus sagt, das Erscheinungsdatum des Virus – der 26. April eines jeden Jahres – nur deshalb gewählt wurde, weil das Virus selbst an diesem Tag seinen Geburtstag feierte. Allerdings feierte er auf seine eigene Art.

Die Gefahr des Tschernobyl-Virus

Der Tschernobyl-Virus stellt keine Gefahr mehr dar, da die Arbeitsumgebung für diesen Virus Computer mit den Betriebssystemen Windows 95 und 98 sind. Dies bedeutet jedoch nicht, dass keine Gefahr einer Infektion mit einem Virus besteht, der die Computerhardware beschädigt. Dies zeigt nur, dass viele auf der ganzen Welt über diese Chance Bescheid wissen und den Erfolg des taiwanesischen Studenten wiederholen wollen. Und einige haben es bereits geschafft. Berühmter als Tschernobyl werden sie aber wohl kaum werden. Denn das erste seiner Art ist leichter zu merken.

CIH, oder „Tschernobyl“(Virus.Win9x.CIH) ist ein Computervirus, der im Juni 1998 vom taiwanesischen Studenten Chen Ying Hao geschrieben wurde. Es handelt sich um einen residenten Virus, der nur unter dem Betriebssystem funktioniert. Windows-System 95/98.

Geschichte

Am 26. April 1999, am Jahrestag des Unfalls von Tschernobyl, wurde der Virus aktiv und zerstörte Daten auf den Festplatten infizierter Computer. Auf einigen Computern war der Inhalt der BIOS-Chips beschädigt. Es war das Zusammentreffen des Datums der Aktivierung des Virus und des Datums des Unfalls von Tschernobyl, das dem Virus seinen zweiten Namen „Tschernobyl“ gab, der bei den Menschen noch beliebter ist als „CIH“.

Verschiedenen Schätzungen zufolge sind etwa eine halbe Million Menschen an dem Virus erkrankt. Personalcomputer auf der ganzen Welt.

Laut The Register verhafteten taiwanesische Behörden am 20. September 2000 den Schöpfer des berühmten Computervirus.

Name

Das CIH-Virus erhielt den Namen „Tschernobyl“. Zur Herkunft des Namens gibt es zwei mögliche Versionen:

  1. Der Virus verursachte auf vielen Computern weltweit großen Schaden.
  2. Das Datum des Einsatzes der vom Autor platzierten „logischen Bombe“ stimmt mit dem Datum des Unfalls im Kernkraftwerk Tschernobyl am 26. April überein.

Verbreitung

Der erste funktionierende Virus wurde im Juni 1998 in Taiwan entdeckt; der Autor des Virus infizierte Computer an seiner Universität. In der nächsten Woche wurden in Österreich, Australien, Israel und Großbritannien Virusepidemien registriert. Später wurden Spuren des Virus in mehreren anderen Ländern gefunden, darunter auch in Russland. Infektion mehrerer amerikanischer Webserver, die sich verbreiten Computerspiele war die Ursache einer weltweiten Virusepidemie, die am 26. April 1999 begann. Auf einer halben Million Computer wurde eine „Logikbombe“ ausgelöst, die Informationen auf Festplatten zerstörte und Daten auf BIOS-Chips beschädigte.

Funktionsprinzipien

Wenn Sie eine infizierte Datei ausführen, schreibt der Virus seinen Code in diese Windows-Speicher, indem es den Start von EXE-Dateien abfängt und Schadcode hineinschreibt. Je nach aktuelles Datum Der Virus kann Daten beschädigen Flash-BIOS Und Festplatten Computer.

Autor des Virus

Chen Ing Hau, geboren am 25. August 1975, Taiwan.
Chen schrieb CIH während seines Studiums an der Tatung-Universität in Taipeh. Als er den Virus erschuf, erhielt er von der Universität eine strenge Abmahnung.
Als er erfuhr, dass sich das Virus verbreitet hatte, wurde er nervös. Einige seiner Klassenkameraden rieten ihm dringend, die Entstehung des Virus nicht zuzugeben, aber er selbst war zuversichtlich, dass Sicherheitsexperten es mit genügend Zeit herausfinden könnten. Deshalb verfasste er noch vor seinem Universitätsabschluss eine offizielle Entschuldigung im Internet, in der er die Menschen in China, deren Computer beschädigt wurden, öffentlich um Vergebung bat. Wegen seines Militärdienstes ging Chen zum Militärdienst. Den damaligen taiwanesischen Gesetzen zufolge hat er keine Gesetze gebrochen und wurde nie wegen der Entstehung dieses Virus strafrechtlich angeklagt.
Chen arbeitet derzeit bei Gigabyte.

Fakten

  • „Chernobyl“ funktioniert nur unter Windows95/98.
  • Der Virus ist recht klein, etwa 1 kB.
  • Der Autor des Virus hat ebenfalls gesendet Quellcode Virus.
  • Im Mai 2006 wurde Sergei Kazachkov, ein Student an einer der technischen Universitäten in Woronesch, gemäß Artikel 273 des Strafgesetzbuches der Russischen Föderation zu zwei Jahren Bewährungsstrafe verurteilt, weil er Computerviren im Internet, darunter CIH, verbreitet hatte

Aus Wikipedia kopiert und leicht bearbeitet

Nun erinnern sich wahrscheinlich nur wenige Menschen daran, aber der 26. April ist nicht nur der Tag, an dem sich die Tragödie von Tschernobyl ereignete, sondern auch der Tag, an dem Hunderttausende Computerbenutzer auf der ganzen Welt alle Informationen auf ihren Festplatten und einige sogar ihre Motherboards verloren aufgrund des CIH-Virus. Wir erzählen Ihnen, was 1999 geschah, wer der Übeltäter war und wie sich das Virus weltweit verbreiten konnte.

Wer hat den Virus geschaffen und warum?

CIH, Virus.Win9x.CIH oder „Chernobyl“ ist ein Computervirus, der nur unter funktioniert Betriebssystem Windows 95/98/ME, geschrieben vom damaligen taiwanesischen Studenten Chen Yinghao. Es wurde erstmals im Juni 1998 „lebendig“ in Taiwan entdeckt, wo der Autor des Virus Computer an seiner Datung-Universität infizierte.

Chen Yinghao am Computer

Nach einiger Zeit verbreitete sich das Virus über lokale Internetkonferenzen und gelangte von dort aus ins Ausland. Später wurden Virusepidemien in Österreich, Australien, Israel und Großbritannien registriert. Und dann breitete sich das Virus auf andere Länder aus, darunter Russland und Weißrussland.

Etwa einen Monat später wurden infizierte Dateien entdeckt, die sich auf mehreren amerikanischen Webservern verbreiteten Spielprogramme, was zur globalen Virusepidemie beitrug.

Sie schreiben, dass Chen Yinghao einen Virus geschaffen habe, um Verkäufer zu bestrafen Antivirenprogramme, was sich im Kampf gegen Viren auf Universitätsrechnern als nutzlos erwies.

Als er erfuhr, dass sich das Virus auf der ganzen Welt ausgebreitet hatte, war er nervös, aber er war zuversichtlich, dass Sicherheitsexperten mit genügend Zeit in der Lage sein würden, es herauszufinden.

26. April 1999

Dieses Datum ist den Besitzern damals infizierter Computer vermutlich noch in Erinnerung. An diesem Tag explodierte die im Virencode eingebettete „logische Bombe“. Verschiedenen Schätzungen zufolge wurden an diesem Tag weltweit etwa eine halbe Million Computer beschädigt – ihre Daten auf ihrer Festplatte wurden zerstört, bei einigen wurde auch der Inhalt der darauf befindlichen BIOS-Chips beschädigt. Motherboards(daher waren sie völlig funktionsunfähig).

Dieser Vorfall war eine echte Computerkatastrophe – noch nie waren Virusepidemien und ihre Folgen so groß und verursachten so große Verluste.

Nach verschiedenen Schätzungen belief sich der Schaden durch das Virus auf 20 bis 80 Millionen Dollar. Dabei ist der moralische Schaden noch nicht mitgerechnet – eine große Zahl von Menschen hat ihre persönlichen Daten verloren, weil sie 1999 noch nicht verbreitet wurden Cloud-Speicher und Streaming-Dienste.

Da das Virus offenbar eine echte Bedrohung für Computer auf der ganzen Welt darstellte und das Datum seines Auftretens mit dem Datum des Unfalls im Kernkraftwerk Tschernobyl zusammenfiel, erhielt es offenbar seinen zweiten, viel gebräuchlicheren Namen – „Tschernobyl“.

Der Autor des Virus hat die Tragödie von Tschernobyl mit ziemlicher Sicherheit in keiner Weise mit seiner Idee in Verbindung gebracht und das Datum des Einsatzes der „Bombe“ aus einem ganz anderen Grund auf den 26. April festgelegt: An diesem Tag im Jahr 1998 ließ er die „Bombe“ frei erste Version seines Virus (die übrigens nie über die Grenzen Taiwans hinausging), d. h. Somit feiert das Virus am 26. April seinen „Geburtstag“.

So erinnerte sich eines der Opfer: „Nachdem das gesamte Büro eine Warnung erhalten hatte, änderte es das Datum, sodass es nicht aktiviert wurde ... Und wie ich es vermasselte und vergaß, es wieder abzuschrauben ... Und genau einen Monat später der Computer ist abgestürzt...“

Wie der Virus funktionierte

Wenn eine infizierte Datei gestartet wurde, installierte der Virus seinen Code im Windows-Speicher, fing Dateiaufrufe ab und schrieb beim Öffnen gestarteter EXE-Dateien eine Kopie von sich selbst in diese. Aufgrund von Fehlern im Code fror der Virus manchmal das System ein, wenn infizierte Dateien ausgeführt wurden. Und als das angegebene Datum erreicht war, habe ich versucht, das Flash-BIOS und den Inhalt der Festplatten zu löschen.


BIOS-Modul auf der Hauptplatine

Das Schreiben ins Flash-BIOS ist nur auf den entsprechenden Motherboard-Typen und bei aktiviertem entsprechenden Schalter möglich. Dieser Schalter ist normalerweise auf schreibgeschützt eingestellt, dies gilt jedoch nicht für alle Computerhersteller.

Leider kann das Flash-BIOS einiger moderner Motherboards nicht durch einen Schalter geschützt werden: Einige erlauben das Schreiben auf Flash in jeder Position des Schalters, bei anderen kann der Schreibschutz auf Flash programmgesteuert aufgehoben werden.

Nach dem Löschen des Flash-Speichers ging der Virus zu einem weiteren zerstörerischen Vorgang über: Er zerstörte Informationen auf allen installierten Festplatten. Gleichzeitig wurde der im BIOS integrierte Standard-Virenschutz gegen das Schreiben in Bootsektoren umgangen.

Es gibt drei Hauptversionen (sogenannte proprietäre Versionen) des Virus. Sie sind einander recht ähnlich und unterscheiden sich nur in kleinen Details des Codes in den verschiedenen Routinen. Versionen des Virus erhielten unterschiedliche Längen, Textzeilen und das Datum des Vorgangs zum Löschen der Festplatte und des Flash-BIOS.

Sie sind alle etwa 1 Kilobyte groß. Die ersten beiden Versionen funktionierten am 26. April, die dritte am 26. eines jeden Monats.

Was geschah als nächstes?

Der Autor des Virus hat nicht nur die Viren veröffentlicht, sondern auch die ursprünglichen Assembler-Codes des Virus verschickt. Dies führte dazu, dass diese Texte korrigiert und zusammengestellt wurden und bald Modifikationen des Virus auftauchten, die unterschiedlich lang waren, aber in der Funktionalität alle ihrem „Elternteil“ entsprachen.

Bei einigen Varianten des Virus wurde das Datum des Einsatzes der „Bombe“ geändert oder dieser Abschnitt wurde überhaupt nicht verwendet (Soforteinsatz). Denn um einen „Bomben“-Timer für einen bestimmten Tag einzustellen, reicht es aus, nur zwei Bytes im Virencode zu ändern.

Auch als „Tschernobyl“ bekannt. Residenter Virus, funktioniert nur unter Windows95/98 und infiziert PE-Dateien
(Portable ausführbare Datei). Die Länge ist recht kurz – etwa 1 KB. War
Im Juni 1998 in Taiwan „lebend“ entdeckt – der Urheber des Virus infiziert
Computer an der örtlichen Universität, an der er (der Autor des Virus) zu dieser Zeit war
wurde ausgebildet. Nach einiger Zeit wurden die infizierten Dateien (zufällig?)
an lokale Internetkonferenzen geschickt, und der Virus entkam
Taiwan: In der nächsten Woche wurden in Taiwan Virusepidemien registriert
Österreich, Australien, Israel und Großbritannien. Das Virus wurde dann entdeckt
mehrere andere Länder, darunter Russland.

Etwa einen Monat später wurden auf mehreren infizierte Dateien gefunden
Amerikanische Webserver, die Spielprogramme verteilen. Diese Tatsache
Offenbar war es die Ursache der darauffolgenden weltweiten Virusepidemie. 26
April 1999 (ungefähr ein Jahr nach dem Auftreten des Virus) funktionierte
„Logikbombe“ in seinen Code eingebettet. Nach verschiedenen Schätzungen an diesem Tag
Weltweit waren etwa eine halbe Million Computer betroffen – das hatten sie
Die Daten auf der Festplatte wurden zerstört, teilweise auch beschädigt
Inhalt von BIOS-Chips auf Motherboards. Dieser Vorfall wurde real
Computerkatastrophe – Virusepidemien und ihre Folgen gab es noch nie
Darüber hinaus waren sie nicht so groß angelegt und brachten keine solchen Verluste.

Anscheinend aus den Gründen, dass 1) der Virus während dieser Zeit eine echte Bedrohung für Computer darstellte
auf der ganzen Welt und 2) das Datum des Auftretens des Virus (26. April) stimmt mit dem Datum überein
Nach dem Unfall im Kernkraftwerk Tschernobyl erhielt das Virus seinen zweiten
Name - „Tschernobyl“

Der Urheber des Virus hat höchstwahrscheinlich in keiner Weise einen Zusammenhang mit der Tragödie von Tschernobyl hergestellt
mit seinem Virus und legte den Termin für die Explosion der „Bombe“ auf den 26. April fest.
Ein weiterer Grund: Am 26. April 1998 veröffentlichte er die erste Version
seines Virus (das Taiwan übrigens nie verlassen hat) - 26
Im April feiert das CIH-Virus auf ähnliche Weise seinen „Geburtstag“.

Wie der Virus funktioniert

Wenn Sie eine infizierte Datei ausführen, installiert der Virus seinen Code im Windows-Speicher.
Fängt Dateianfragen ab und schreibt in die Datei, wenn PE-EXE-Dateien geöffnet werden
ihnen Ihr Exemplar. Enthält Fehler und friert in manchen Fällen das System ein
beim Ausführen infizierter Dateien. Je nach aktuellem Datum wird Flash gelöscht
BIOS- und Festplatteninhalte.

Das Schreiben ins Flash-BIOS ist nur auf den entsprechenden Motherboard-Typen möglich.
Boards und wenn der entsprechende Schalter auf „Zulassen“ eingestellt ist. Das
Normalerweise ist der Schalter jedoch auf „schreibgeschützt“ eingestellt
Dies gilt nicht für alle Computerhersteller. Leider Flash-BIOS
ist auf einigen modernen Motherboards möglicherweise nicht geschützt
Schalter: Einige von ihnen ermöglichen die Aufnahme im Flash in jeder Position
Bei anderen kann der Flash-Schreibschutz programmgesteuert außer Kraft gesetzt werden.

Nach erfolgreicher Löschung des Flash-Speichers wandert der Virus zu einem anderen
destruktives Verfahren: Löscht Informationen zu allen installierten Dateien
Festplatten. In diesem Fall nutzt der Virus den direkten Zugriff auf Daten auf der Festplatte und
Dadurch wird der im BIOS integrierte Standard-Virenschutz umgangen
schreibt in Bootsektoren.

Es gibt drei Hauptversionen („Autorenversionen“) des Virus. Sie sind ziemlich ähnlich
voneinander und unterscheiden sich nur in geringfügigen Codedetails
Unterprogramme Versionen des Virus haben unterschiedliche Längen, Textzeilen und Datumsangaben
Auslösen des Datenträgerlöschvorgangs und Flash-BIOS:


Länge Text Auslösedatum „Live“ erkannt
1003 CIH 1.2 TTIT 26. April Ja
1010 CIH 1.3 TTIT 26. April Nr
1019 CIH 1,4 TATUNG 26 jedes Monats Ja – in vielen Ländern

Technische Details

Beim Infizieren von Dateien sucht der Virus nach „Lücken“ (Blöcken ungenutzter Daten) in ihnen und
schreibt seinen Code hinein. Das Vorhandensein solcher „Löcher“ ist strukturbedingt
PE-Dateien: Die Position jedes Abschnitts in der Datei ist an einer bestimmten Position ausgerichtet
der im PE-Header angegebene Wert und in den meisten Fällen zwischen dem Ende
der vorherige Abschnitt und der Anfang des nächsten haben eine bestimmte Anzahl von Bytes,
die vom Programm nicht verwendet werden. Der Virus durchsucht die Datei nach solchen unbenutzten Dateien
Blöcke, schreibt seinen Code hinein und erhöht sie um den erforderlichen Wert
geänderte Abschnittsgröße. Die Größe infizierter Dateien nimmt nicht zu.

Wenn am Ende eines Abschnitts ein „Loch“ ausreichender Größe vorhanden ist,
Der Virus schreibt seinen Code in einem Block hinein. Wenn es kein solches „Loch“ gibt,
Der Virus teilt seinen Code in Blöcke auf und schreibt sie an das Ende verschiedener Abschnitte
Datei. Dadurch kann der Virencode in infizierten Dateien erkannt werden
sowohl als einzelner Codeblock als auch als mehrere unabhängige Blöcke.

Der Virus sucht auch nach einem nicht verwendeten Datenblock im PE-Header. Wenn am Ende
Hat der Header ein „Loch“ von mindestens 184 Byte Größe, schreibt der Virus hinein
Ihr Startvorgang. Der Virus ändert dann die Startadresse der Datei:
schreibt die Adresse seiner Startprozedur hinein. Als Ergebnis dieses Ansatzes
Die Dateistruktur wird völlig vom Standard abweichen: die Adresse des Starts
Programmprozeduren verweisen nicht auf einen Abschnitt der Datei, sondern darüber hinaus
geladenes Modul - im Dateiheader. Allerdings zahlt sich Windows95 nicht aus
Aufmerksamkeit auf solche „seltsamen“ Dateien lenkt, lädt dann den Dateiheader in den Speicher
alle Abschnitte und überträgt die Kontrolle an die im Header angegebene Adresse - an
Virus-Startvorgang im PE-Header.

Nachdem die Viren-Startprozedur die Kontrolle erhalten hat, weist sie einen Speicherblock zu
VMM ruft PageAllocate auf, kopiert seinen Code dorthin und ermittelt dann die Adressen
verbleibenden Blöcke des Virencodes (am Ende der Abschnitte) und hängt sie an
zum Code Ihrer Startprozedur. Der Virus fängt dann die IFS-API ab und
gibt die Kontrolle an das Host-Programm zurück.

Aus Sicht des Betriebssystems ist dieses Verfahren am interessantesten
Virus: Nachdem der Virus seinen Code in einen neuen Speicherblock kopiert hat und
dort die Kontrolle übergeben, der Virencode wird als Ring0-Anwendung ausgeführt und
Der Virus ist in der Lage, die AFS-API abzufangen (dies ist für Programme unmöglich).
ausgeführt in Ring3).

Der IFS-API-Interceptor übernimmt nur eine Funktion – das Öffnen von Dateien.
Wenn eine Datei mit der Erweiterung EXE geöffnet wird, überprüft der Virus deren interne Datei
Format und schreibt seinen Code in die Datei. Nach der Infektion prüft der Virus
Systemdatum und ruft den Vorgang zum Löschen von Flash-BIOS und Festplattensektoren auf (siehe oben).

Beim Löschen des Flash-BIOS verwendet der Virus die entsprechenden Ports
Lesen/Schreiben, beim Löschen von Festplattensektoren ruft der Virus die VxD-Funktion auf
Direkter Zugriff auf Festplatten IOS_SendCommand.

Bekannte Virusvarianten

Der Autor des Virus hat nicht nur Kopien infizierter Dateien veröffentlicht, sondern auch
hat die Original-Assemblertexte des Virus verschickt. Dies hat zu diesen geführt
Die Texte wurden korrigiert, zusammengestellt und erschienen bald
Modifikationen des Virus, die unterschiedliche Längen hatten, aber in Bezug auf die Funktionalität sie
alle entsprachen ihrem „Elternteil“. In einigen Varianten des Virus gab es
Das Datum der „Bomben“-Operation wurde geändert oder dieser Abschnitt wurde überhaupt nicht aufgerufen.

Es ist auch bekannt, dass die „ursprünglichen“ Versionen des Virus an Tagen funktionieren
abweichend vom 26. [April]. Dieser Umstand erklärt sich dadurch, dass das Datum eingecheckt wurde
Der Virencode erfolgt nach zwei Konstanten. Natürlich, um
Stellen Sie einen „Bomben“-Timer für einen bestimmten Tag ein, ändern Sie ihn einfach
zwei Bytes im Virencode.

CIH, oder „Tschernobyl“(Virus.Win9x.CIH) ist ein Computervirus, der im Juni 1998 vom taiwanesischen Studenten Chen Ying Hao geschrieben wurde. Es handelt sich um einen residenten Virus, der nur unter dem Betriebssystem Windows 95/98 ausgeführt wird.

Geschichte

Am 26. April 1999, am Jahrestag des Unfalls von Tschernobyl, wurde der Virus aktiv und zerstörte Daten auf den Festplatten infizierter Computer. Auf einigen Computern war der Inhalt der BIOS-Chips beschädigt. Es war das Zusammentreffen des Datums der Aktivierung des Virus und des Datums des Unfalls von Tschernobyl, das dem Virus seinen zweiten Namen „Tschernobyl“ gab, der bei den Menschen noch beliebter ist als „CIH“.

Verschiedenen Schätzungen zufolge waren weltweit etwa eine halbe Million PCs von dem Virus betroffen.

Laut The Register verhafteten taiwanesische Behörden am 20. September 2000 den Schöpfer des berühmten Computervirus.

Name

Das CIH-Virus erhielt den Namen „Tschernobyl“. Zur Herkunft des Namens gibt es zwei mögliche Versionen:

  1. Der Virus verursachte auf vielen Computern weltweit großen Schaden.
  2. Das Datum des Einsatzes der vom Autor platzierten „logischen Bombe“ stimmt mit dem Datum des Unfalls im Kernkraftwerk Tschernobyl am 26. April überein.

Verbreitung

Der erste funktionierende Virus wurde im Juni 1998 in Taiwan entdeckt; der Autor des Virus infizierte Computer an seiner Universität. In der nächsten Woche wurden in Österreich, Australien, Israel und Großbritannien Virusepidemien registriert. Später wurden Spuren des Virus in mehreren anderen Ländern gefunden, darunter auch in Russland. Die Infektion mehrerer amerikanischer Webserver, die Computerspiele verbreiten, löste eine weltweite Virenepidemie aus, die am 26. April 1999 begann. Auf einer halben Million Computer wurde eine „Logikbombe“ ausgelöst, die Informationen auf Festplatten zerstörte und Daten auf BIOS-Chips beschädigte.

Funktionsprinzipien

Wenn eine infizierte Datei gestartet wird, schreibt der Virus seinen Code in den Windows-Speicher, fängt den Start von EXE-Dateien ab und schreibt Schadcode in diese. Abhängig vom aktuellen Datum kann der Virus Daten im Flash-BIOS und auf Computerfestplatten beschädigen.

Autor des Virus

Chen Ing Hau, geboren am 25. August 1975, Taiwan.
Chen schrieb CIH während seines Studiums an der Tatung-Universität in Taipeh. Als er den Virus erschuf, erhielt er von der Universität eine strenge Abmahnung.
Als er erfuhr, dass sich das Virus verbreitet hatte, wurde er nervös. Einige seiner Klassenkameraden rieten ihm dringend, die Entstehung des Virus nicht zuzugeben, aber er selbst war zuversichtlich, dass Sicherheitsexperten es mit genügend Zeit herausfinden könnten. Deshalb verfasste er noch vor seinem Universitätsabschluss eine offizielle Entschuldigung im Internet, in der er die Menschen in China, deren Computer beschädigt wurden, öffentlich um Vergebung bat. Wegen seines Militärdienstes ging Chen zum Militärdienst. Den damaligen taiwanesischen Gesetzen zufolge hat er keine Gesetze gebrochen und wurde nie wegen der Entstehung dieses Virus strafrechtlich angeklagt.
Chen arbeitet derzeit bei Gigabyte.

Fakten

  • „Chernobyl“ funktioniert nur unter Windows95/98.
  • Der Virus ist recht klein, etwa 1 kB.
  • Der Autor des Virus hat auch den Quellcode des Virus verschickt.
  • Im Mai 2006 wurde Sergei Kazachkov, ein Student an einer der technischen Universitäten in Woronesch, gemäß Artikel 273 des Strafgesetzbuches der Russischen Föderation zu zwei Jahren Bewährungsstrafe verurteilt, weil er Computerviren im Internet, darunter CIH, verbreitet hatte

Aus Wikipedia kopiert und leicht bearbeitet

VERWANDTE ARTIKEL