In genere, i virus causano danni software a un computer. In un modo o nell'altro, i virus complicano il lavoro del computer, monitorano o rubano alcuni dati dell'utente. Ad esempio, molto spiacevole, che perseguita in modo molto fastidioso l'utente in qualsiasi browser. Ma è tutto software. Corrotto, infetto da un virus prodotto software può essere curato o sostituito. Esistono virus che possono danneggiare l'hardware del computer?

Virus Win95.CIH (Chernobyl)

Chernobyl: questo è il nome dato al primo virus informatico, che ha dimostrato che i virus non solo possono danneggiare software, ma anche hardware del computer. Il virus Chernobyl, scritto nel 1998 da uno studente taiwanese, ha corrotto il contenuto del BIOS di alcuni schede madri, che potrebbe causare danni alla scheda madre stessa. E c'erano casi del genere. Tuttavia, la cosa principale era la distruzione di tutte le informazioni provenienti da disco rigido computer. Beh, almeno è una sorta di vantaggio, perché la necessità è diminuita. Tutti coloro che hanno avuto la sfortuna di contrarre questo virus hanno già sofferto.

Il virus ha ricevuto il suo nome - Win95.CIH - dal suo autore. A proposito, ha rilasciato tre diverse versioni del suo virus, che non erano molto diverse l'una dall'altra. È vero? ultima versione lanciato il 26 di ogni mese. E ogni versione aveva il proprio numero. Ma il secondo nome, il virus Chernobyl, gli è stato dato dal mondo dei computer. Perché? Perché il virus si è attivato il 26 aprile e in quel giorno ha compiuto tutte le sue azioni distruttive. E proprio in questo giorno del 1986, purtroppo, si verificò l’incidente di Chernobyl. Anche se, come dice l'autore del virus, la data di lancio del virus - il 26 aprile di ogni anno - è stata scelta solo perché il virus stesso festeggiava il suo compleanno in questo giorno. Lui però ha festeggiato a modo suo.

Il pericolo del virus di Chernobyl

Il virus Chernobyl non rappresenta più alcun pericolo, poiché l'ambiente di lavoro di questo virus sono i computer che eseguono i sistemi operativi Windows 95 e 98. Ma ciò non significa che non vi sia pericolo di infezione da parte di un virus che danneggerà l'hardware del computer. Questo significa solo che in tanti nel mondo conoscono questa opportunità e vogliono ripetere il successo dello studente taiwanese. E alcuni ci sono già riusciti. Ma difficilmente diventeranno più famosi di Chernobyl. Perché il primo del suo genere è più facile da ricordare.

CIH, O "Chernobyl"(Virus.Win9x.CIH) è un virus informatico scritto dallo studente taiwanese Chen Ying Hao nel giugno 1998. È un virus residente che funziona solo sotto il sistema operativo. Sistema Windows 95/98.

Storia

Il 26 aprile 1999, nell'anniversario dell'incidente di Chernobyl, il virus si attivò e distrusse i dati sui dischi rigidi dei computer infetti. Su alcuni computer, il contenuto dei chip BIOS era danneggiato. È stata la coincidenza tra la data di attivazione del virus e la data dell'incidente di Chernobyl a dare al virus il suo secondo nome “Chernobyl”, che è ancora più popolare tra la gente di “CIH”.

Secondo varie stime, circa mezzo milione di persone hanno sofferto a causa del virus. personal computer in tutto il mondo.

Secondo The Register, il 20 settembre 2000, le autorità taiwanesi hanno arrestato il creatore del famoso virus informatico.

Nome

Il virus CIH è stato chiamato "Chernobyl". Esistono due possibili versioni dell'origine del nome:

1. Il virus ha causato gravi danni a molti computer in tutto il mondo.
2. La data di funzionamento della “bomba logica” piazzata dall’autore coincide con la data dell’incidente avvenuto il 26 aprile nella centrale nucleare di Chernobyl.

Diffondere

Il primo virus funzionante è stato scoperto nel giugno 1998 a Taiwan; l'autore del virus ha infettato i computer della sua università. Nella settimana successiva sono state registrate epidemie virali in Austria, Australia, Israele e Regno Unito. Tracce del virus furono successivamente trovate in diversi altri paesi, inclusa la Russia. Infezione di diversi server web americani in distribuzione giochi per computer, è stata la causa di un'epidemia virale globale iniziata il 26 aprile 1999. Una “bomba logica” è stata innescata su mezzo milione di computer, distruggendo le informazioni sui dischi rigidi e danneggiando i dati sui chip BIOS.

Principi di funzionamento

Quando esegui un file infetto, il virus scrive il suo codice Memoria di Windows, intercettando il lancio di file EXE e scrivendovi codice dannoso. A seconda di data corrente il virus può danneggiare i dati BIOS flash E dischi rigidi computer.

Autore del virus

Chen Ing Hau, nato il 25 agosto 1975, Taiwan.
Chen ha scritto CIH mentre studiava alla Tatung University di Taipei. Quando ha creato il virus, ha ricevuto un serio rimprovero da parte dell’università.
Quando ha saputo che il virus si era diffuso, si è innervosito. Alcuni dei suoi compagni di classe gli avevano fortemente consigliato di non ammettere di aver creato il virus, ma lui stesso era fiducioso che, con il tempo sufficiente, gli esperti di sicurezza sarebbero stati in grado di capirlo. Pertanto, anche prima di laurearsi all'università, ha scritto scuse ufficiali su Internet, in cui ha chiesto pubblicamente perdono al popolo cinese i cui computer sono stati danneggiati. A causa del suo servizio militare, Chen andò a prestare servizio. Secondo le leggi taiwanesi dell’epoca, non ha infranto alcuna legge e non è mai stato accusato penalmente di aver creato questo virus.
Chen attualmente lavora presso Gigabyte.

Fatti

• "Chernobyl" funziona solo sotto Windows95/98.
• Il virus è di dimensioni piuttosto ridotte, circa 1 kB.
• Anche l'autore del virus ha inviato codice sorgente virus.
• Nel maggio 2006, Sergei Kazachkov, uno studente di una delle università tecniche di Voronezh, è stato condannato a 2 anni di reclusione con sospensione condizionale ai sensi dell'articolo 273 del codice penale della Federazione Russa per aver distribuito virus informatici su Internet, incluso CIH

Copiato e leggermente modificato da Wikipedia

Ora, probabilmente, poche persone ricordano, ma il 26 aprile non è solo il giorno in cui si è verificata la tragedia di Chernobyl, ma anche la data in cui centinaia di migliaia di utenti di computer in tutto il mondo hanno perso tutte le informazioni sui loro dischi e, in alcuni casi, anche sulle loro schede madri. a causa del virus CIH. Vi raccontiamo cosa è successo nel 1999, chi è stato il colpevole e come il virus è riuscito a diffondersi a livello globale.

Chi ha creato il virus e perché?

CIH, Virus.Win9x.CIH o “Chernobyl” è un virus informatico che funziona solo sotto sistema operativo Windows 95/98/ME, scritto dall'allora studente taiwanese Chen Yinghao. È stato scoperto "vivo" per la prima volta a Taiwan nel giugno 1998, dove l'autore del virus ha infettato i computer della sua Università di Datung.

Chen Yinghao al computer

Dopo qualche tempo, il virus si è diffuso attraverso le conferenze Internet locali e da lì si è fatto strada fuori dal paese. Successivamente furono registrate epidemie virali in Austria, Australia, Israele e Regno Unito. E poi il virus si è diffuso in altri paesi, tra cui Russia e Bielorussia.

Circa un mese dopo, furono scoperti file infetti su diversi server web americani che distribuivano programmi di gioco, che ha contribuito all’epidemia virale globale.

Scrivono che Chen Yinghao ha creato un virus per punire i venditori programmi antivirus, che si è rivelato inutile nella lotta contro i virus sui computer universitari.

Quando ha saputo che il virus si era diffuso in tutto il mondo, era nervoso, ma era fiducioso che con il tempo sufficiente gli esperti di sicurezza sarebbero stati in grado di capirlo.

26 aprile 1999

Probabilmente questa data è ancora ricordata dai proprietari dei computer infettati in quel momento. Quel giorno è esplosa la “bomba logica” incorporata nel codice del virus. Secondo varie stime, in questo giorno, circa mezzo milione di computer in tutto il mondo sono stati danneggiati: i loro dati sul disco rigido sono stati distrutti e su alcuni il contenuto dei chip BIOS è stato danneggiato. schede madri(quindi erano completamente inutilizzabili).

Questo incidente è stato un vero disastro informatico: le epidemie virali e le loro conseguenze non erano mai state così grandi e hanno causato tali perdite.

Secondo diverse stime i danni del virus sarebbero compresi tra i 20 e gli 80 milioni di dollari. Questo senza contare il danno morale: un numero enorme di persone ha perso i propri dati personali perché nel 1999 non erano ancora stati distribuiti archiviazione nel cloud e servizi di streaming.

Apparentemente, poiché il virus rappresentava una vera minaccia per i computer di tutto il mondo e la data della sua operazione coincideva con la data dell'incidente nella centrale nucleare di Chernobyl, ha ricevuto il suo secondo nome, molto più comune: "Chernobyl".

L'autore del virus quasi certamente non ha collegato in alcun modo la tragedia di Chernobyl alla sua idea e ha fissato la data di funzionamento della "bomba" al 26 aprile per una ragione completamente diversa: è stato in questo giorno del 1998 che ha rilasciato la bomba prima versione del suo virus (che, tra l'altro, non ha mai oltrepassato i confini di Taiwan), vale a dire Così, il 26 aprile, il virus festeggia il suo “compleanno”.

Così ha ricordato una delle vittime: “Dopo aver ricevuto un avvertimento, tutto l'ufficio ha cambiato la data per non attivarlo... E come ho sbagliato, dimenticandomi di svitarlo allora... E esattamente un mese più tardi il computer si è bloccato...”

Come ha funzionato il virus

Quando veniva lanciato un file infetto, il virus installava il suo codice nella memoria di Windows, intercettava le chiamate ai file e, quando apriva i file EXE lanciati, scriveva una copia di se stesso al loro interno. A causa di errori nel codice, il virus a volte bloccava il sistema durante l'esecuzione di file infetti. E quando è arrivata la data specificata, ho provato a cancellare il Flash BIOS e il contenuto dei dischi.

Modulo BIOS sulla scheda madre

La scrittura nel Flash BIOS è possibile solo sui tipi appropriati di schede madri e quando l'interruttore corrispondente è abilitato. Questo interruttore è solitamente impostato su sola lettura, ma ciò non è vero per tutti i produttori di computer.

Sfortunatamente, il BIOS Flash su alcune schede madri moderne non può essere protetto da un interruttore: alcune consentono la scrittura su Flash in qualsiasi posizione dell'interruttore, su altre la protezione da scrittura su Flash può essere annullata a livello di programmazione.

Dopo aver cancellato la memoria flash, il virus è passato ad un'altra procedura distruttiva: ha distrutto le informazioni su tutti i dischi rigidi installati. Allo stesso tempo, ha aggirato la protezione antivirus standard integrata nel BIOS contro la scrittura nei settori di avvio.

Esistono tre versioni principali (cosiddette proprietarie) del virus. Sono abbastanza simili tra loro e differiscono solo per piccoli dettagli del codice nelle varie routine. Le versioni del virus hanno ricevuto lunghezze, righe di testo e date di esecuzione diverse della procedura di cancellazione del disco e del Flash BIOS.

Hanno tutti una dimensione di circa 1 kilobyte. Le prime due versioni funzionavano il 26 aprile, la terza il 26 di ogni mese.

Cosa è successo dopo?

L'autore del virus non solo ha rilasciato i virus, ma ha anche inviato i codici di assemblaggio originali del virus. Ciò ha portato al fatto che questi testi sono stati corretti, compilati e presto sono apparse modifiche del virus che avevano lunghezze diverse, ma in termini di funzionalità corrispondevano tutte al loro "genitore".

In alcune varianti del virus, la data di funzionamento della “bomba” è stata modificata, oppure questa sezione non è stata utilizzata affatto (funzionamento istantaneo). Dopotutto, per impostare un timer "bomba" per un dato giorno, è sufficiente modificare solo due byte nel codice del virus.

Noto anche come "Chernobyl". Virus residente, funziona solo sotto Windows95/98 e infetta i file PE
(Eseguibile portatile). È piuttosto breve: circa 1 KB. Era
scoperto “vivo” a Taiwan nel giugno 1998 - l'autore del virus infetto
computer dell'università locale dove lui (l'autore del virus) si trovava in quel momento
è stato addestrato. Dopo qualche tempo, i file infetti furono (per caso?)
inviato a conferenze Internet locali e il virus è uscito
Taiwan: nella settimana successiva si sono registrate epidemie virali
Austria, Australia, Israele e Gran Bretagna. Il virus è stato poi scoperto in
molti altri paesi, inclusa la Russia.

Circa un mese dopo, sono stati trovati file infetti su diversi
Server Web americani che distribuiscono programmi di gioco. Questo fatto
Apparentemente, è stata la causa della successiva epidemia virale globale. 26
L'aprile 1999 (circa un anno dopo la comparsa del virus) ha funzionato
"bomba logica" incorporata nel suo codice. Secondo varie stime, in questo giorno
in tutto il mondo sono stati colpiti circa mezzo milione di computer
I dati sul disco rigido sono stati distrutti e in alcuni casi anche danneggiati
contenuto dei chip BIOS sulle schede madri. Questo incidente è diventato reale
disastro informatico: le epidemie virali e le loro conseguenze non sono mai state viste prima
Inoltre, non erano così grandi e non comportavano tali perdite.

Apparentemente, per i motivi che 1) il virus rappresentava una vera minaccia per i computer durante
in tutto il mondo e 2) la data di operatività del virus (26 aprile) coincide con la data
Nell'incidente alla centrale nucleare di Chernobyl, il virus ha ricevuto il suo secondo
nome - "Chernobyl"

Molto probabilmente l'autore del virus non ha collegato la tragedia di Chernobyl
con il suo virus e fissò la data dell’esplosione della “bomba” il 26 aprile.
un altro motivo: fu il 26 aprile 1998 che pubblicò la prima versione
del suo virus (che, tra l'altro, non ha mai lasciato Taiwan) - 26
Ad aprile, il virus CIH festeggia il suo “compleanno” in modo simile.

Come funziona il virus

Quando esegui un file infetto, il virus installa il suo codice nella memoria di Windows,
intercetta le richieste di file e scrive sul file quando si aprono file PE EXE
loro la tua copia. Contiene errori e in alcuni casi blocca il sistema
durante l'esecuzione di file infetti. A seconda della data corrente, cancella Flash
BIOS e contenuto del disco.

La scrittura su Flash BIOS è possibile solo sui tipi corrispondenti di schede madri.
schede e quando l'interruttore corrispondente è impostato su consenti. Questo
L'interruttore è solitamente impostato su sola lettura, tuttavia questo
Questo non è vero per tutti i produttori di computer. Sfortunatamente Flash BIOS
potrebbe non essere protetto su alcune schede madri moderne
switch: alcuni di essi permettono la registrazione in Flash in qualsiasi posizione
switch; su altri, la protezione da scrittura Flash può essere ignorata a livello di codice.

Dopo aver cancellato con successo la memoria Flash, il virus si sposta su un'altra
procedura distruttiva: cancella le informazioni su tutti i file installati
dischi rigidi. In questo caso, il virus utilizza l'accesso diretto ai dati sul disco e
bypassando così la protezione antivirus standard integrata nel BIOS
scrive nei settori di avvio.

Esistono tre versioni principali (“dell’autore”) del virus. Sono abbastanza simili
tra loro e differiscono solo per dettagli minori del codice
subroutine Le versioni del virus hanno lunghezze, righe di testo e date diverse
attivando la procedura di cancellazione del disco e Flash BIOS:

Lunghezza Testo Data di attivazione Rilevato “in tempo reale”
1003 CIH 1.2 TTIT 26 aprile Sì
1010 CIH 1.3 TTIT 26 aprile n
1019 CIH 1.4 TATUNG 26 di ogni mese Sì, in molti paesi

Dettagli tecnici

Quando infetta i file, il virus cerca al loro interno dei “buchi” (blocchi di dati inutilizzati) e
scrive il suo codice in essi. La presenza di tali “buchi” è dovuta alla struttura
File PE: la posizione di ciascuna sezione nel file è allineata ad un certo
il valore specificato nell'intestazione PE e nella maggior parte dei casi tra la fine
la sezione precedente e l'inizio di quella successiva hanno un certo numero di byte,
che non vengono utilizzati dal programma. Il virus cerca nel file tali file non utilizzati
blocchi, scrive il suo codice al loro interno e li aumenta del valore richiesto
dimensione della sezione modificata. La dimensione dei file infetti non aumenta.

Se alla fine di ogni sezione è presente un "buco" di dimensioni sufficienti,
il virus vi scrive il suo codice in un blocco. Se non esiste un tale “buco”,
il virus divide il suo codice in blocchi e li scrive alla fine di varie sezioni
file. In questo modo è possibile rilevare il codice del virus nei file infetti
sia come un singolo blocco di codice che come diversi blocchi non correlati.

Il virus cerca anche un blocco di dati non utilizzato nell'intestazione PE. Se alla fine
ha un "buco" di almeno 184 byte, il virus vi scrive
la tua procedura di avvio. Il virus modifica quindi l'indirizzo iniziale del file:
vi scrive l'indirizzo della sua procedura di avvio. Come risultato di questo approccio
la struttura del file diventa del tutto non standard: l'indirizzo di start
le procedure del programma non puntano ad alcuna sezione del file, ma oltre
modulo caricato - nell'intestazione del file. Tuttavia, Windows95 non paga
attenzione a questi file “strani”, quindi carica l'intestazione del file in memoria
tutte le sezioni e trasferisce il controllo all'indirizzo specificato nell'intestazione - a
procedura di avvio del virus nell'intestazione PE.

Dopo aver ricevuto il controllo, la procedura di avvio del virus alloca un blocco di memoria
VMM chiama PageAllocate, copia lì il suo codice, quindi determina gli indirizzi
blocchi rimanenti del codice del virus (situati alla fine delle sezioni) e li aggiunge
al codice della procedura di avvio. Il virus intercetta quindi l'API IFS e
restituisce il controllo al programma host.

Dal punto di vista del sistema operativo, questa procedura è molto interessante
virus: dopo che il virus ha copiato il suo codice in un nuovo blocco di memoria e
passato il controllo lì, il codice del virus viene eseguito come applicazione Ring0 e
il virus è in grado di intercettare le API AFS (questo è impossibile per i programmi
eseguito in Ring3).

L'intercettatore API IFS gestisce solo una funzione: l'apertura dei file.
Se viene aperto un file con estensione EXE, il virus ne controlla l'interno
format e scrive il suo codice nel file. Dopo l'infezione, il virus controlla
data di sistema e richiama la procedura per cancellare il BIOS Flash e i settori del disco (vedere sopra).

Quando si cancella il Flash BIOS, il virus utilizza le porte corrispondenti
lettura/scrittura, quando si cancellano i settori del disco il virus richiama la funzione VxD
accesso diretto ai dischi IOS_SendCommand.

Varianti virali conosciute

L'autore del virus non solo ha rilasciato in giro copie di file infetti, ma anche
ha inviato i testi assembler originali del virus. Ciò ha portato a questi
i testi furono corretti, compilati e presto apparvero
modifiche del virus che avevano lunghezze diverse, ma in termini di funzionalità
tutti corrispondevano al loro “genitore”. In alcune varianti del virus c'era
la data dell'operazione “bomba” è stata cambiata, oppure questa sezione non è mai stata chiamata.

Si sa anche delle versioni “originali” del virus che funzionano a giorni
diverso dal 26 [aprile]. Questo fatto è spiegato dal fatto che il controllo della data
Il codice del virus si presenta secondo due costanti. Naturalmente, per
imposta un timer "bomba" per un dato giorno, basta cambiare
due byte nel codice del virus.

CIH, O "Chernobyl"(Virus.Win9x.CIH) è un virus informatico scritto dallo studente taiwanese Chen Ying Hao nel giugno 1998. È un virus residente che funziona solo con il sistema operativo Windows 95/98.

Storia

Il 26 aprile 1999, nell'anniversario dell'incidente di Chernobyl, il virus si attivò e distrusse i dati sui dischi rigidi dei computer infetti. Su alcuni computer, il contenuto dei chip BIOS era danneggiato. È stata la coincidenza tra la data di attivazione del virus e la data dell'incidente di Chernobyl a dare al virus il suo secondo nome “Chernobyl”, che è ancora più popolare tra la gente di “CIH”.

Secondo varie stime, circa mezzo milione di personal computer in tutto il mondo sono stati colpiti dal virus.

Secondo The Register, il 20 settembre 2000, le autorità taiwanesi hanno arrestato il creatore del famoso virus informatico.

Nome

Il virus CIH è stato chiamato "Chernobyl". Esistono due possibili versioni dell'origine del nome:

1. Il virus ha causato gravi danni a molti computer in tutto il mondo.
2. La data di funzionamento della “bomba logica” piazzata dall’autore coincide con la data dell’incidente avvenuto il 26 aprile nella centrale nucleare di Chernobyl.

Diffondere

Il primo virus funzionante è stato scoperto nel giugno 1998 a Taiwan; l'autore del virus ha infettato i computer della sua università. Nella settimana successiva sono state registrate epidemie virali in Austria, Australia, Israele e Regno Unito. Tracce del virus furono successivamente trovate in diversi altri paesi, inclusa la Russia. L'infezione di diversi server web americani che distribuivano giochi per computer ha causato un'epidemia di virus globale iniziata il 26 aprile 1999. Una “bomba logica” è stata innescata su mezzo milione di computer, distruggendo le informazioni sui dischi rigidi e danneggiando i dati sui chip BIOS.

Principi di funzionamento

Quando viene avviato un file infetto, il virus scrive il proprio codice nella memoria di Windows, intercettando l'avvio dei file EXE e scrivendovi codice dannoso. A seconda della data attuale, il virus può danneggiare i dati sul BIOS Flash e sui dischi rigidi del computer.

Autore del virus

Chen Ing Hau, nato il 25 agosto 1975, Taiwan.
Chen ha scritto CIH mentre studiava alla Tatung University di Taipei. Quando ha creato il virus, ha ricevuto un serio rimprovero da parte dell’università.
Quando ha saputo che il virus si era diffuso, si è innervosito. Alcuni dei suoi compagni di classe gli avevano fortemente consigliato di non ammettere di aver creato il virus, ma lui stesso era fiducioso che, con il tempo sufficiente, gli esperti di sicurezza sarebbero stati in grado di capirlo. Pertanto, anche prima di laurearsi all'università, ha scritto scuse ufficiali su Internet, in cui ha chiesto pubblicamente perdono al popolo cinese i cui computer sono stati danneggiati. A causa del suo servizio militare, Chen andò a prestare servizio. Secondo le leggi taiwanesi dell’epoca, non ha infranto alcuna legge e non è mai stato accusato penalmente di aver creato questo virus.
Chen attualmente lavora presso Gigabyte.

Fatti

• "Chernobyl" funziona solo sotto Windows95/98.
• Il virus è di dimensioni piuttosto ridotte, circa 1 kB.
• L'autore del virus ha anche inviato il codice sorgente del virus.
• Nel maggio 2006, Sergei Kazachkov, uno studente di una delle università tecniche di Voronezh, è stato condannato a 2 anni di reclusione con sospensione condizionale ai sensi dell'articolo 273 del codice penale della Federazione Russa per aver distribuito virus informatici su Internet, incluso CIH

Copiato e leggermente modificato da Wikipedia