რა არის ჩერნობილის კომპიუტერული ვირუსი? ჩერნობილის ვირუსი როდის გაჩნდა ჩერნობილის ვირუსი

როგორც წესი, ვირუსები იწვევს პროგრამულ ზიანს კომპიუტერს. ამა თუ იმ გზით, ვირუსები ართულებს კომპიუტერის მუშაობას, აკონტროლებს ან იპარავს მომხმარებლის გარკვეულ მონაცემებს. მაგალითად, ძალიან უსიამოვნო, რომელიც ძალიან შემაშფოთებლად ასვენებს მომხმარებელს ნებისმიერ ბრაუზერში. მაგრამ ეს ყველაფერი პროგრამული უზრუნველყოფაა. კორუმპირებული, ვირუსით ინფიცირებული პროგრამული პროდუქტიშეიძლება განკურნება ან ჩანაცვლება. არის თუ არა ვირუსები, რომლებმაც შეიძლება დააზიანოს კომპიუტერული ტექნიკა?

ვირუსი Win95.CIH (ჩერნობილი)

ჩერნობილი - ასე ერქვა პირველ კომპიუტერულ ვირუსს, რომელმაც აჩვენა, რომ ვირუსებს შეუძლიათ ზიანი მიაყენონ არა მარტო პროგრამული უზრუნველყოფა, არამედ კომპიუტერული ტექნიკა. ჩერნობილის ვირუსმა, რომელიც დაიწერა 1998 წელს ტაივანელი სტუდენტის მიერ, დაარღვია ზოგიერთი BIOS-ის შინაარსი. დედაპლატები, რამაც შეიძლება ზიანი მიაყენოს თავად დედაპლატს. და იყო ასეთი შემთხვევები. მაგრამ მაინც, მთავარი კურსი იყო ყველა ინფორმაციის განადგურება მყარი დისკიკომპიუტერი. ყოველ შემთხვევაში, ეს არის ერთგვარი პლიუსი, რადგან საჭიროება შემცირდა. ყველა, ვისაც ამ ვირუსის შეძენის უბედურება ჰქონდა, უკვე დაზარალდა.

ვირუსმა პირველი სახელი - Win95.CIH - ავტორისგან მიიღო. სხვათა შორის, მან გამოუშვა თავისი ვირუსის სამი განსხვავებული ვერსია, რომლებიც დიდად არ განსხვავდებოდნენ ერთმანეთისგან. მართალია, უახლესი ვერსიაყოველი თვის 26-ს ამოქმედდა. და თითოეულ ვერსიას ჰქონდა თავისი ნომერი. მაგრამ მეორე სახელი - ჩერნობილის ვირუსი - მას კომპიუტერულმა სამყარომ დაარქვა. რატომ? იმიტომ, რომ ვირუსი 26 აპრილს გააქტიურდა და იმ დღესვე განახორციელა ყველა მისი დესტრუქციული მოქმედება. და სწორედ 1986 წლის ამ დღეს მოხდა, სამწუხაროდ, ჩერნობილის ავარია. თუმცა, როგორც ვირუსის ავტორი ამბობს, ვირუსის გაშვების თარიღი - ყოველი წლის 26 აპრილი - მხოლოდ იმიტომ შეირჩა, რომ თავად ვირუსმა დაბადების დღე ამ დღეს აღნიშნა. თუმცა, მან თავისებურად აღნიშნა.

ჩერნობილის ვირუსის საფრთხე

ჩერნობილის ვირუსი აღარ წარმოადგენს საფრთხეს, რადგან ამ ვირუსის სამუშაო გარემო არის კომპიუტერები, რომლებიც მუშაობენ Windows 95 და 98 ოპერაციული სისტემებით, მაგრამ ეს არ ნიშნავს, რომ არ არსებობს ვირუსით ინფექციის საშიშროება, რომელიც დააზიანებს კომპიუტერის აპარატურას. ეს მხოლოდ იმაზე მეტყველებს, რომ მთელ მსოფლიოში ბევრმა იცის ამ შესაძლებლობის შესახებ და სურს გაიმეოროს ტაივნელი სტუდენტის წარმატება. და ზოგიერთმა უკვე მიაღწია წარმატებას. მაგრამ ნაკლებად სავარაუდოა, რომ ისინი გახდებიან უფრო ცნობილი, ვიდრე ჩერნობილი. იმის გამო, რომ ასეთი პირველი უფრო ადვილი დასამახსოვრებელია.

CIH, ან "ჩერნობილი"(Virus.Win9x.CIH) არის კომპიუტერული ვირუსი, რომელიც დაწერილია ტაივნელი სტუდენტის ჩენ ინგ ჰაოს მიერ 1998 წლის ივნისში. ეს არის რეზიდენტი ვირუსი, რომელიც მუშაობს მხოლოდ ოპერაციული სისტემის ქვეშ. Windows სისტემა 95/98.

ამბავი

1999 წლის 26 აპრილს, ჩერნობილის ავარიის წლისთავზე, ვირუსი გააქტიურდა და გაანადგურა მონაცემები ინფიცირებული კომპიუტერების მყარ დისკებზე. ზოგიერთ კომპიუტერზე, BIOS ჩიპების შინაარსი დაზიანებულია. ეს იყო ვირუსის გააქტიურების თარიღისა და ჩერნობილის ავარიის თარიღის დამთხვევა, რამაც ვირუსს მისცა მეორე სახელი "ჩერნობილი", რომელიც კიდევ უფრო პოპულარულია ხალხში, ვიდრე "CIH".

სხვადასხვა შეფასებით, დაახლოებით ნახევარი მილიონი ადამიანი დაზარალდა ვირუსით. პერსონალური კომპიუტერებიმთელ მსოფლიოში.

The Register-ის ცნობით, 2000 წლის 20 სექტემბერს ტაივანის ხელისუფლებამ დააკავა ცნობილი კომპიუტერული ვირუსის შემქმნელი.

სახელი

CIH ვირუსს ეწოდა "ჩერნობილი". სახელის წარმოშობის ორი შესაძლო ვერსია არსებობს:

  1. ვირუსმა დიდი ზიანი მიაყენა ბევრ კომპიუტერს მთელს მსოფლიოში.
  2. ავტორის მიერ დადგმული „ლოგიკური ბომბის“ მოქმედების თარიღი ემთხვევა ჩერნობილის ატომურ ელექტროსადგურზე მომხდარი ავარიის თარიღს 26 აპრილს.

გავრცელება

პირველი მოქმედი ვირუსი აღმოაჩინეს 1998 წლის ივნისში ტაივანში, ვირუსით დაინფიცირებული კომპიუტერები მის უნივერსიტეტში. მომდევნო კვირაში ვირუსული ეპიდემიები დაფიქსირდა ავსტრიაში, ავსტრალიაში, ისრაელსა და დიდ ბრიტანეთში. მოგვიანებით ვირუსის კვალი აღმოაჩინეს რამდენიმე სხვა ქვეყანაში, მათ შორის რუსეთში. რამდენიმე ამერიკული ვებ სერვერის დისტრიბუცია კომპიუტერული თამაშები, იყო გლობალური ვირუსული ეპიდემიის მიზეზი, რომელიც დაიწყო 1999 წლის 26 აპრილს. ნახევარ მილიონ კომპიუტერზე ამოქმედდა "ლოგიკური ბომბი", რომელიც ანადგურებდა ინფორმაციას მყარ დისკებზე და აზიანებდა მონაცემებს BIOS-ის ჩიპებზე.

ოპერაციული პრინციპები

როდესაც თქვენ აწარმოებთ ინფიცირებულ ფაილს, ვირუსი წერს მის კოდს Windows მეხსიერება EXE ფაილების გაშვების და მათში მავნე კოდის ჩაწერა. დამოკიდებულია იმაზე მიმდინარე თარიღივირუსმა შეიძლება დააზიანოს მონაცემები ფლეშ BIOSდა მყარი დისკებიკომპიუტერი.

ვირუსის ავტორი

ჩენ ინ ჰაუ, დაიბადა 1975 წლის 25 აგვისტოს, ტაივანი.
ჩენმა დაწერა CIH ტაიპეის ტატუნგის უნივერსიტეტში სწავლისას. როდესაც მან შექმნა ვირუსი, მან მიიღო სერიოზული საყვედური უნივერსიტეტისგან.
როდესაც შეიტყო, რომ ვირუსი ფართოდ გავრცელდა, ნერვიულობდა. ზოგიერთმა თანაკლასელმა მას მკაცრად ურჩია, არ ეღიარებინა ვირუსის შექმნა, მაგრამ ის თავად იყო დარწმუნებული, რომ საკმარისი დროის გაცემის შემთხვევაში, უსაფრთხოების ექსპერტები შეძლებდნენ ამის გარკვევას. ამიტომ, უნივერსიტეტის დამთავრებამდეც კი, მან ინტერნეტში ოფიციალური ბოდიში დაწერა, რომელშიც საჯაროდ პატიება სთხოვა ჩინეთის მცხოვრებლებს, რომელთა კომპიუტერები დაზიანდა. სამხედრო სამსახურის გამო ჩენი სამსახურში წავიდა. იმდროინდელი ტაივანის კანონების თანახმად, ის არ დაარღვია არცერთი კანონი და მას არასოდეს წაუყენებია სისხლის სამართლის პასუხისმგებლობა ამ ვირუსის შექმნისთვის.
ჩენი ამჟამად მუშაობს გიგაბაიტში.

ფაქტები

  • "ჩერნობილი" მუშაობს მხოლოდ Windows95/98-ის პირობებში.
  • ვირუსი საკმაოდ მცირე ზომისაა, დაახლოებით 1 კბ.
  • ვირუსის ავტორმაც გაგზავნა წყარო კოდივირუსი.
  • 2006 წლის მაისში ვორონეჟის ერთ-ერთი ტექნიკური უნივერსიტეტის სტუდენტს სერგეი კაზაჩკოვს მიესაჯა 2 წლით პირობითი თავისუფლების აღკვეთა რუსეთის ფედერაციის სისხლის სამართლის კოდექსის 273-ე მუხლით ინტერნეტში კომპიუტერული ვირუსების, მათ შორის CIH-ის გავრცელებისთვის.

კოპირებულია და ოდნავ დამუშავებულია ვიკიპედიიდან

ახლა, ალბათ, ცოტას ახსოვს, მაგრამ 26 აპრილი არა მხოლოდ ის დღეა, როდესაც მოხდა ჩერნობილის ტრაგედია, არამედ ის თარიღი, როდესაც ასიათასობით კომპიუტერის მომხმარებელმა მთელს მსოფლიოში დაკარგა მთელი ინფორმაცია დისკებზე, ზოგიერთმა კი - დედაპლატებიც კი. CIH ვირუსის გამო. ჩვენ გეტყვით რა მოხდა 1999 წელს, ვინ იყო დამნაშავე და როგორ შეძლო ვირუსმა გლობალურად გავრცელება.

ვინ შექმნა ვირუსი და რატომ?

CIH, Virus.Win9x.CIH ან „Chernobyl“ არის კომპიუტერული ვირუსი, რომელიც მუშაობს მხოლოდ ოპერაციული სისტემა Windows 95/98/ME, დაწერილი (მაშინდელი) ტაივანელი სტუდენტის ჩენ ინჰაოს მიერ. ის პირველად "ცოცხალი" აღმოაჩინეს ტაივანში 1998 წლის ივნისში, სადაც ვირუსის ავტორმა დააინფიცირა კომპიუტერები მის Datung უნივერსიტეტში.

ჩენ ინგჰაო კომპიუტერთან

გარკვეული პერიოდის შემდეგ, ვირუსი გავრცელდა ადგილობრივი ინტერნეტ კონფერენციების მეშვეობით და იქიდან გავიდა ქვეყნის ფარგლებს გარეთ. მოგვიანებით, ვირუსული ეპიდემიები დაფიქსირდა ავსტრიაში, ავსტრალიაში, ისრაელსა და დიდ ბრიტანეთში. შემდეგ კი ვირუსი გავრცელდა სხვა ქვეყნებში, მათ შორის რუსეთსა და ბელორუსიაში.

დაახლოებით ერთი თვის შემდეგ, ინფიცირებული ფაილები აღმოაჩინეს რამდენიმე ამერიკულ ვებ სერვერზე, რომლებიც ავრცელებდნენ თამაშის პროგრამები, რამაც ხელი შეუწყო გლობალურ ვირუსულ ეპიდემიას.

ისინი წერენ, რომ ჩენ ინჰაომ შექმნა ვირუსი გამყიდველების დასასჯელად ანტივირუსული პროგრამები, რომელიც უსარგებლო აღმოჩნდა უნივერსიტეტის კომპიუტერებზე ვირუსებთან ბრძოლაში.

როდესაც მან გაიგო, რომ ვირუსი მთელ მსოფლიოში გავრცელდა, ნერვიულობდა, მაგრამ დარწმუნებული იყო, რომ საკმარისი დროით, უსაფრთხოების ექსპერტები შეძლებდნენ ამის გარკვევას.

1999 წლის 26 აპრილი

ეს თარიღი ალბათ ჯერ კიდევ ახსოვთ იმ დროს ინფიცირებულ კომპიუტერების მფლობელებს. ამ დღეს ვირუსის კოდში ჩადებული „ლოგიკური ბომბი“ აფეთქდა. სხვადასხვა შეფასებით, ამ დღეს დაზიანდა დაახლოებით ნახევარი მილიონი კომპიუტერი მთელს მსოფლიოში - განადგურდა მათი მონაცემები მყარ დისკზე, ზოგიერთზე კი დაზიანდა მათზე არსებული BIOS ჩიპების შიგთავსი. დედაპლატები(ამიტომ ისინი სრულიად უმოქმედო იყვნენ).

ეს ინციდენტი იყო ნამდვილი კომპიუტერული კატასტროფა - ვირუსული ეპიდემიები და მათი შედეგები არასოდეს ყოფილა ასეთი მასშტაბური და ასეთი დანაკარგები.

სხვადასხვა შეფასებით, ვირუსის ზარალი 20-დან 80 მილიონ დოლარამდე მერყეობდა. ეს არ ითვლიან მორალურ ზიანს - უამრავმა ადამიანმა დაკარგა პერსონალური მონაცემები, რადგან 1999 წელს ისინი ჯერ არ იყო განაწილებული. ღრუბლოვანი საცავიდა სტრიმინგის სერვისები.

როგორც ჩანს, იმის გამო, რომ ვირუსი რეალურ საფრთხეს უქმნიდა კომპიუტერებს მთელ მსოფლიოში და მისი ექსპლუატაციის თარიღი დაემთხვა ჩერნობილის ატომურ ელექტროსადგურზე მომხდარი ავარიის თარიღს, მან მიიღო მეორე, ბევრად უფრო გავრცელებული სახელი - "ჩერნობილი".

ვირუსის ავტორს, რა თქმა უნდა, არავითარ შემთხვევაში არ დაუკავშირა ჩერნობილის ტრაგედია თავის ჭკუაზე და "ბომბის" მოქმედების თარიღი 26 აპრილს დანიშნა სრულიად განსხვავებული მიზეზის გამო: 1998 წლის ამ დღეს მან გაათავისუფლა მისი ვირუსის პირველი ვერსია (რომელიც, სხვათა შორის, არასოდეს გასცდა ტაივანის საზღვრებს), ე.ი. ამრიგად, 26 აპრილს ვირუსი აღნიშნავს თავის "დაბადებას".

ასე იხსენებს ერთ-ერთი დაზარალებული: „გაფრთხილების მიღების შემდეგ, მთელმა ოფისმა შეცვალა თარიღი, რომ არ გააქტიურებულიყო... და როგორ გავფუჭე, დამავიწყდა მისი ამოღება... და ზუსტად ერთი თვის შემდეგ. კომპიუტერი გაფუჭდა...“

როგორ მუშაობდა ვირუსი

როდესაც ინფიცირებული ფაილი გაშვებული იყო, ვირუსმა დააინსტალირა მისი კოდი Windows-ის მეხსიერებაში, ჩაჭრა ზარები ფაილებზე და როდესაც გახსნა EXE ფაილები, ჩაწერა მათში საკუთარი ასლი. კოდის შეცდომების გამო, ვირუსი ზოგჯერ ყინავს სისტემას ინფიცირებული ფაილების გაშვებისას. და როდესაც მითითებული თარიღი დადგა, ვცადე Flash BIOS-ის და დისკების შინაარსის წაშლა.


BIOS მოდული დედაპლატზე

Flash BIOS-ზე ჩაწერა შესაძლებელია მხოლოდ შესაბამისი ტიპის დედაპლატებზე და შესაბამისი გადამრთველის ჩართვის შემთხვევაში. ეს გადამრთველი ჩვეულებრივ დაყენებულია მხოლოდ წაკითხვაზე, მაგრამ ეს არ შეესაბამება კომპიუტერის ყველა მწარმოებელს.

სამწუხაროდ, ზოგიერთ თანამედროვე დედაპლატზე Flash BIOS არ არის დაცული გადამრთველით: ზოგიერთი მათგანი საშუალებას იძლევა ჩაწეროთ Flash-ზე გადამრთველის ნებისმიერ პოზიციაზე, ზოგზე, Flash-ზე ჩაწერის დაცვა შეიძლება გაუქმდეს პროგრამულად.

ფლეშ მეხსიერების წაშლის შემდეგ, ვირუსი გადავიდა სხვა დესტრუქციულ პროცედურაზე: მან გაანადგურა ინფორმაცია ყველა დაინსტალირებული მყარ დისკზე. ამავდროულად, მან გვერდი აუარა BIOS-ში ჩაშენებულ სტანდარტულ ანტივირუსულ დაცვას ჩატვირთვის სექტორებში ჩაწერისგან.

ვირუსის სამი ძირითადი (ე.წ. საკუთრების) ვერსია არსებობს. ისინი საკმაოდ ჰგვანან ერთმანეთს და განსხვავდებიან მხოლოდ კოდის მცირე დეტალებით სხვადასხვა რუტინაში. ვირუსის ვერსიებმა მიიღეს სხვადასხვა სიგრძე, ტექსტის ხაზები და დისკის წაშლის პროცედურისა და Flash BIOS-ის მუშაობის თარიღი.

ყველა მათგანის ზომაა დაახლოებით 1 კილობაიტი. პირველი ორი ვერსია მუშაობდა 26 აპრილს, მესამე - ყოველი თვის 26-ს.

რა მოხდა შემდეგ?

ვირუსის ავტორმა არა მხოლოდ გამოუშვა ვირუსები, არამედ გაგზავნა ვირუსის ორიგინალური ასამბლეის კოდები. ამან განაპირობა ის, რომ ეს ტექსტები გასწორდა, შედგენილია და მალევე გამოჩნდა ვირუსის მოდიფიკაციები, რომლებსაც განსხვავებული სიგრძე ჰქონდათ, მაგრამ ფუნქციონალურობით ისინი ყველა შეესაბამებოდა მათ „მშობელს“.

ვირუსის ზოგიერთ ვარიანტში შეიცვალა "ბომბის" მოქმედების თარიღი, ან საერთოდ არ იყო გამოყენებული ეს განყოფილება (მყისიერი ოპერაცია). ყოველივე ამის შემდეგ, იმისათვის, რომ დააყენოთ "ბომბის" ტაიმერი ნებისმიერი დღისთვის, საკმარისია მხოლოდ ორი ბაიტის შეცვლა ვირუსის კოდში.

ასევე ცნობილია როგორც "ჩერნობილი". რეზიდენტი ვირუსი მუშაობს მხოლოდ Windows95/98 ქვეშ და აინფიცირებს PE ფაილებს
(პორტატული შესრულებადი). ის საკმაოდ მოკლეა სიგრძით - დაახლოებით 1 კბ. იყო
აღმოაჩინეს "ცოცხალი" ტაივანში 1998 წლის ივნისში - ვირუსის ავტორი დაინფიცირდა
კომპიუტერები ადგილობრივ უნივერსიტეტში, სადაც ის (ვირუსის ავტორი) იმ დროს იმყოფებოდა
გაწვრთნილი იყო. გარკვეული პერიოდის შემდეგ, ინფიცირებული ფაილები იყო (შემთხვევით?)
გაიგზავნა ადგილობრივ ინტერნეტ კონფერენციებზე და ვირუსი გამოვიდა
ტაივანი: მომდევნო კვირაში ვირუსული ეპიდემიები დაფიქსირდა
ავსტრია, ავსტრალია, ისრაელი და დიდი ბრიტანეთი. შემდეგ ვირუსი აღმოაჩინეს
რამდენიმე სხვა ქვეყანა, მათ შორის რუსეთი.

დაახლოებით ერთი თვის შემდეგ, რამდენიმე ინფიცირებული ფაილი აღმოაჩინეს
ამერიკული ვებ სერვერები, რომლებიც ავრცელებენ თამაშის პროგრამებს. ეს ფაქტი
როგორც ჩანს, ეს იყო შემდგომი გლობალური ვირუსული ეპიდემიის მიზეზი. 26
1999 წლის აპრილი (ვირუსის გამოჩენიდან დაახლოებით ერთი წლის შემდეგ) მუშაობდა
მის კოდში ჩადებული „ლოგიკური ბომბი“. სხვადასხვა შეფასებით, ამ დღეს
მთელ მსოფლიოში დაახლოებით ნახევარი მილიონი კომპიუტერი დაზარალდა - მათ ჰქონდათ
მყარ დისკზე მონაცემები განადგურდა და ზოგიერთი მათგანიც დაზიანდა
BIOS ჩიპების შინაარსი დედაპლატებზე. ეს ინციდენტი რეალური გახდა
კომპიუტერული კატასტროფა - ვირუსული ეპიდემიები და მათი შედეგები აქამდე არასოდეს ყოფილა
უფრო მეტიც, ისინი არც ისე მასშტაბური იყო და არც ასეთი ზარალი მოუტანიათ.

როგორც ჩანს, იმ მიზეზების გამო, რომ 1) ვირუსი რეალურ საფრთხეს უქმნიდა კომპიუტერებს დროს
მთელ მსოფლიოში და 2) ვირუსის მოქმედების თარიღი (26 აპრილი) ემთხვევა თარიღს
ავარია ჩერნობილის ატომურ ელექტროსადგურზე, ვირუსმა მეორე მიიღო
სახელი - "ჩერნობილი"

ვირუსის ავტორს, სავარაუდოდ, არანაირად არ დაუკავშირა ჩერნობილის ტრაგედია
თავის ვირუსთან და "ბომბის" ამოქმედების თარიღი 26 აპრილს დანიშნა.
კიდევ ერთი მიზეზი: 1998 წლის 26 აპრილს მან გამოუშვა პირველი ვერსია
მისი ვირუსის (რომელიც, სხვათა შორის, არასოდეს დატოვა ტაივანი) - 26
აპრილში CIH ვირუსი თავის "დაბადებას" ანალოგიურად აღნიშნავს.

როგორ მუშაობს ვირუსი

როდესაც თქვენ აწარმოებთ ინფიცირებულ ფაილს, ვირუსი აყენებს მის კოდს Windows-ის მეხსიერებაში,
წყვეტს ფაილების მოთხოვნებს და წერს ფაილს PE EXE ფაილების გახსნისას
მათ თქვენი ასლი. შეიცავს შეცდომებს და ზოგიერთ შემთხვევაში ყინავს სისტემას
ინფიცირებული ფაილების გაშვებისას. მიმდინარე თარიღიდან გამომდინარე, წაშლის Flash-ს
BIOS და დისკის შინაარსი.

Flash BIOS-ში ჩაწერა შესაძლებელია მხოლოდ შესაბამისი ტიპის დედაპლატებზე.
დაფები და როდესაც შესაბამისი გადამრთველი დაყენებულია დასაშვებად. ეს
გადამრთველი ჩვეულებრივ დაყენებულია მხოლოდ წაკითხვაზე, თუმცა ეს
ეს არ შეესაბამება კომპიუტერის ყველა მწარმოებელს. სამწუხაროდ Flash BIOS
შეიძლება არ იყოს დაცული ზოგიერთ თანამედროვე დედაპლატზე
შეცვლა: ზოგიერთი მათგანი საშუალებას იძლევა ჩაწერა Flash-ში ნებისმიერ პოზიციაზე
გადართვა სხვაზე, Flash ჩაწერის დაცვა შეიძლება პროგრამულად გაუქმდეს.

Flash მეხსიერების წარმატებით წაშლის შემდეგ, ვირუსი გადადის სხვაზე
დესტრუქციული პროცედურა: წაშლის ინფორმაციას ყველა დაყენებულზე
მყარი დისკები. ამ შემთხვევაში, ვირუსი იყენებს პირდაპირ წვდომას დისკზე არსებულ მონაცემებზე და
ამით გვერდის ავლით BIOS-ში ჩაშენებული სტანდარტული ანტივირუსული დაცვა
წერს ჩატვირთვის სექტორებში.

ვირუსის სამი ძირითადი ("ავტორის") ვერსია არსებობს. ისინი საკმაოდ ჰგვანან ერთმანეთს
ერთმანეთი და განსხვავდებიან მხოლოდ მცირე კოდის დეტალებით სხვადასხვაში
ქვეპროგრამები ვირუსის ვერსიებს აქვთ სხვადასხვა სიგრძე, ტექსტის სტრიქონი და თარიღი
დისკის წაშლის პროცედურის და Flash BIOS-ის გააქტიურება:


ტექსტის სიგრძის ტრიგერის თარიღი აღმოჩენილია „ცოცხალი“
1003 CIH 1.2 TTIT 26 აპრილი დიახ
1010 CIH 1.3 TTIT 26 აპრილი No
1019 CIH 1.4 TATUNG 26 ყოველი თვის დიახ - ბევრ ქვეყანაში

ტექნიკური დეტალები

ფაილების ინფიცირებისას ვირუსი ეძებს მათში „ხვრელებს“ (გამოუყენებელი მონაცემების ბლოკებს) და
წერს მათში თავის კოდს. ასეთი "ხვრელების" არსებობა განპირობებულია სტრუქტურით
PE ფაილები: ფაილში თითოეული განყოფილების პოზიცია გასწორებულია გარკვეულზე
მნიშვნელობა მითითებულია PE სათაურში და უმეტეს შემთხვევაში ბოლოებს შორის
წინა განყოფილებას და მომდევნოს დასაწყისში აქვს ბაიტების გარკვეული რაოდენობა,
რომლებსაც პროგრამა არ იყენებს. ვირუსი ეძებს ფაილს ასეთ გამოუყენებელს
ბლოკავს, წერს მათ კოდს და ზრდის მათ საჭირო მნიშვნელობით
შეცვლილი განყოფილების ზომა. ინფიცირებული ფაილების ზომა არ იზრდება.

თუ რომელიმე მონაკვეთის ბოლოს არის საკმარისი ზომის "ხვრელი",
ვირუსი წერს თავის კოდს მასში ერთ ბლოკში. თუ არ არის ასეთი "ხვრელი",
ვირუსი ყოფს თავის კოდს ბლოკებად და წერს მათ სხვადასხვა განყოფილების ბოლოს
ფაილი. ამრიგად, ინფიცირებულ ფაილებში ვირუსის კოდის აღმოჩენა შესაძლებელია
როგორც კოდის ერთი ბლოკი, ასევე რამდენიმე დაუკავშირებელი ბლოკი.

ვირუსი ასევე ეძებს გამოუყენებელ მონაცემთა ბლოკს PE სათაურში. თუ ბოლოს
სათაურს აქვს "ხვრელი" მინიმუმ 184 ბაიტის ზომით, მასზე წერს ვირუსი
თქვენი გაშვების პროცედურა. შემდეგ ვირუსი ცვლის ფაილის საწყის მისამართს:
მასში წერს მისი გაშვების პროცედურის მისამართს. ამ მიდგომის შედეგად
ფაილის სტრუქტურა ხდება საკმაოდ არასტანდარტული: საწყისი მისამართი
პროგრამის პროცედურები არ მიუთითებს ფაილის რომელიმე მონაკვეთზე, არამედ მის ფარგლებს გარეთ
ჩატვირთული მოდული - ფაილის სათაურში. თუმცა, Windows95 არ იხდის
ყურადღება მიაქციეთ ასეთ "უცნაურ" ფაილებს, იტვირთება ფაილის სათაური მეხსიერებაში, შემდეგ
ყველა სექცია და გადასცემს კონტროლს სათაურში მითითებულ მისამართზე - to
ვირუსის გაშვების პროცედურა PE სათაურში.

კონტროლის მიღების შემდეგ, ვირუსის გაშვების პროცედურა გამოყოფს მეხსიერების ბლოკს
VMM დაურეკავს PageAllocate-ს, აკოპირებს მის კოდს იქ და შემდეგ განსაზღვრავს მისამართებს
ვირუსის კოდის დარჩენილი ბლოკები (მდებარეობს სექციების ბოლოს) და ანიჭებს მათ
თქვენი გაშვების პროცედურის კოდს. შემდეგ ვირუსი წყვეტს IFS API-ს და
უბრუნებს კონტროლს მასპინძელ პროგრამას.

ოპერაციული სისტემის თვალსაზრისით, ეს პროცედურა ყველაზე საინტერესოა
ვირუსი: მას შემდეგ, რაც ვირუსმა დააკოპირა მისი კოდი მეხსიერების ახალ ბლოკში და
გავიდა კონტროლი იქ, ვირუსის კოდი შესრულებულია Ring0 აპლიკაციის სახით და
ვირუსს შეუძლია შეაჩეროს AFS API (ეს შეუძლებელია პროგრამებისთვის
შესრულებულია Ring3-ში).

IFS API interceptor ამუშავებს მხოლოდ ერთ ფუნქციას - ფაილების გახსნას.
თუ ფაილი EXE გაფართოებით იხსნება, ვირუსი ამოწმებს მის შიდას
ფორმატირება და წერს მის კოდს ფაილში. ინფექციის შემდეგ ვირუსის შემოწმება ხდება
სისტემის თარიღი და მოუწოდებს Flash BIOS-ისა და დისკის სექტორების წაშლის პროცედურას (იხ. ზემოთ).

Flash BIOS-ის წაშლისას ვირუსი იყენებს შესაბამის პორტებს
წაკითხვა/ჩაწერა, დისკის სექტორების წაშლისას ვირუსი უწოდებს VxD ფუნქციას
პირდაპირი წვდომა დისკებზე IOS_SendCommand.

ვირუსის ცნობილი ვარიანტები

ვირუსის ავტორმა არა მხოლოდ გაავრცელა ინფიცირებული ფაილების ასლები ბუნებაში, არამედ
გაგზავნა ვირუსის ორიგინალური ასამბლერის ტექსტები. ამან გამოიწვია ეს
ტექსტები გასწორდა, შეადგინეს და მალევე გამოჩნდა
ვირუსის მოდიფიკაციები, რომლებსაც ჰქონდათ სხვადასხვა სიგრძე, მაგრამ ფუნქციონალური თვალსაზრისით ისინი
ყველა შეესაბამებოდა მათ „მშობელს“. ვირუსის ზოგიერთ ვარიანტში იყო
"ბომბის" ოპერაციის თარიღი შეიცვალა, ან ეს განყოფილება საერთოდ არ იყო გამოძახებული.

ასევე ცნობილია ვირუსის „ორიგინალური“ ვერსიების შესახებ, რომლებიც მუშაობს დღეებში
განსხვავდება 26 [აპრილის]გან. ეს ფაქტი აიხსნება იმით, რომ თარიღის შემოწმება
ვირუსის კოდი ხდება ორი მუდმივის მიხედვით. ბუნებრივია, იმისთვის, რომ
დააყენეთ „ბომბის“ ტაიმერი ნებისმიერი მოცემული დღისთვის, უბრალოდ შეცვალეთ
ორი ბაიტი ვირუსის კოდში.

CIH, ან "ჩერნობილი"(Virus.Win9x.CIH) არის კომპიუტერული ვირუსი, რომელიც დაწერილია ტაივნელი სტუდენტის ჩენ ინგ ჰაოს მიერ 1998 წლის ივნისში. ეს არის რეზიდენტი ვირუსი, რომელიც მუშაობს მხოლოდ Windows 95/98 ოპერაციული სისტემის ქვეშ.

ამბავი

1999 წლის 26 აპრილს, ჩერნობილის ავარიის წლისთავზე, ვირუსი გააქტიურდა და გაანადგურა მონაცემები ინფიცირებული კომპიუტერების მყარ დისკებზე. ზოგიერთ კომპიუტერზე, BIOS ჩიპების შინაარსი დაზიანებულია. ეს იყო ვირუსის გააქტიურების თარიღისა და ჩერნობილის ავარიის თარიღის დამთხვევა, რამაც ვირუსს მისცა მეორე სახელი "ჩერნობილი", რომელიც კიდევ უფრო პოპულარულია ხალხში, ვიდრე "CIH".

სხვადასხვა შეფასებით, დაახლოებით ნახევარი მილიონი პერსონალური კომპიუტერი მთელ მსოფლიოში დაზარალდა ვირუსით.

The Register-ის ცნობით, 2000 წლის 20 სექტემბერს ტაივანის ხელისუფლებამ დააკავა ცნობილი კომპიუტერული ვირუსის შემქმნელი.

სახელი

CIH ვირუსს ეწოდა "ჩერნობილი". სახელის წარმოშობის ორი შესაძლო ვერსია არსებობს:

  1. ვირუსმა დიდი ზიანი მიაყენა ბევრ კომპიუტერს მთელს მსოფლიოში.
  2. ავტორის მიერ დადგმული „ლოგიკური ბომბის“ მოქმედების თარიღი ემთხვევა ჩერნობილის ატომურ ელექტროსადგურზე მომხდარი ავარიის თარიღს 26 აპრილს.

გავრცელება

პირველი მოქმედი ვირუსი აღმოაჩინეს 1998 წლის ივნისში ტაივანში, ვირუსით დაინფიცირებული კომპიუტერები მის უნივერსიტეტში. მომდევნო კვირაში ვირუსული ეპიდემიები დაფიქსირდა ავსტრიაში, ავსტრალიაში, ისრაელსა და დიდ ბრიტანეთში. მოგვიანებით ვირუსის კვალი აღმოაჩინეს რამდენიმე სხვა ქვეყანაში, მათ შორის რუსეთში. რამდენიმე ამერიკული ვებ სერვერის ინფექციამ, რომლებიც ავრცელებენ კომპიუტერულ თამაშებს, გამოიწვია გლობალური ვირუსის ეპიდემია, რომელიც დაიწყო 1999 წლის 26 აპრილს. ნახევარ მილიონ კომპიუტერზე ამოქმედდა "ლოგიკური ბომბი", რომელიც ანადგურებდა ინფორმაციას მყარ დისკებზე და აზიანებდა მონაცემებს BIOS-ის ჩიპებზე.

ოპერაციული პრინციპები

როდესაც ინფიცირებული ფაილი გაშვებულია, ვირუსი წერს მის კოდს Windows მეხსიერებაში, წყვეტს EXE ფაილების გაშვებას და მათში მავნე კოდს წერს. მიმდინარე თარიღიდან გამომდინარე, ვირუსმა შეიძლება დააზიანოს მონაცემები Flash BIOS-ზე და კომპიუტერის მყარ დისკებზე.

ვირუსის ავტორი

ჩენ ინ ჰაუ, დაიბადა 1975 წლის 25 აგვისტოს, ტაივანი.
ჩენმა დაწერა CIH ტაიპეის ტატუნგის უნივერსიტეტში სწავლისას. როდესაც მან შექმნა ვირუსი, მან მიიღო სერიოზული საყვედური უნივერსიტეტისგან.
როდესაც შეიტყო, რომ ვირუსი ფართოდ გავრცელდა, ნერვიულობდა. ზოგიერთმა თანაკლასელმა მას მკაცრად ურჩია, არ ეღიარებინა ვირუსის შექმნა, მაგრამ ის თავად იყო დარწმუნებული, რომ საკმარისი დროის გაცემის შემთხვევაში, უსაფრთხოების ექსპერტები შეძლებდნენ ამის გარკვევას. ამიტომ, უნივერსიტეტის დამთავრებამდეც კი, მან ინტერნეტში ოფიციალური ბოდიში დაწერა, რომელშიც საჯაროდ პატიება სთხოვა ჩინეთის მცხოვრებლებს, რომელთა კომპიუტერები დაზიანდა. სამხედრო სამსახურის გამო ჩენი სამსახურში წავიდა. იმდროინდელი ტაივანის კანონების თანახმად, ის არ დაარღვია არცერთი კანონი და მას არასოდეს წაუყენებია სისხლის სამართლის პასუხისმგებლობა ამ ვირუსის შექმნისთვის.
ჩენი ამჟამად მუშაობს გიგაბაიტში.

ფაქტები

  • "ჩერნობილი" მუშაობს მხოლოდ Windows95/98-ის პირობებში.
  • ვირუსი საკმაოდ მცირე ზომისაა, დაახლოებით 1 კბ.
  • ვირუსის ავტორმა ასევე გაგზავნა ვირუსის წყაროს კოდი.
  • 2006 წლის მაისში ვორონეჟის ერთ-ერთი ტექნიკური უნივერსიტეტის სტუდენტს სერგეი კაზაჩკოვს მიესაჯა 2 წლით პირობითი თავისუფლების აღკვეთა რუსეთის ფედერაციის სისხლის სამართლის კოდექსის 273-ე მუხლით ინტერნეტში კომპიუტერული ვირუსების, მათ შორის CIH-ის გავრცელებისთვის.

კოპირებულია და ოდნავ დამუშავებულია ვიკიპედიიდან

დაკავშირებული სტატიები