De obicei, virușii provoacă daune software-ului unui computer. Într-un fel sau altul, virușii complică munca computerului, monitorizează sau fură unele date ale utilizatorului. De exemplu, una foarte neplăcută, care bântuie foarte enervant pe utilizator în orice browser. Dar totul este software. Corupt, infectat cu un virus produs software poate fi fie vindecat, fie înlocuit. Există viruși care pot deteriora hardware-ul computerului?

Virus Win95.CIH (Cernobîl)

Cernobîl - acesta este numele dat primului virus de calculator, care a arătat că virușii pot dăuna nu numai software, dar și hardware de calculator. Virusul Cernobîl, scris în 1998 de un student taiwanez, a corupt conținutul BIOS al unor plăci de bază, care ar putea cauza deteriorarea plăcii de bază în sine. Și au fost astfel de cazuri. Dar totuși, felul principal a fost distrugerea tuturor informațiilor din hard disk calculator. Ei bine, cel puțin este un fel de plus, pentru că nevoia s-a domolit. Toți cei care au avut ghinionul de a dobândi acest virus au suferit deja.

Virusul și-a primit prenumele - Win95.CIH - de la autorul său. Apropo, el a lansat trei versiuni diferite ale virusului său, care nu erau foarte diferite unele de altele. Este adevărat, ultima versiune lansat pe data de 26 a fiecărei luni. Și fiecare versiune avea propriul său număr. Dar al doilea nume - virusul Cernobîl - i-a fost dat de lumea computerelor. De ce? Pentru că virusul a devenit activ pe 26 aprilie și și-a desfășurat toate acțiunile distructive în acea zi. Și tocmai în această zi din 1986, din păcate, a avut loc accidentul de la Cernobîl. Deși, după cum spune autorul virusului, data de lansare a virusului - 26 aprilie a fiecărui an - a fost aleasă doar pentru că virusul însuși și-a sărbătorit ziua de naștere în această zi. Cu toate acestea, a sărbătorit în felul său.

Pericolul virusului Cernobîl

Virusul Cernobîl nu mai prezintă niciun pericol, deoarece mediul de lucru pentru acest virus sunt computerele care rulează sisteme de operare Windows 95 și 98 Dar asta nu înseamnă că nu există niciun pericol de infectare cu un virus care va deteriora hardware-ul computerului. Acest lucru înseamnă doar că mulți din întreaga lume știu despre această oportunitate și doresc să repete succesul studentului taiwanez. Și unii au reușit deja. Dar este puțin probabil să devină mai faimoși decât Cernobîl. Pentru că primul de acest fel este mai ușor de reținut.

CIH, sau „Cernobîl”(Virus.Win9x.CIH) este un virus informatic scris de studentul taiwanez Chen Ying Hao în iunie 1998. Este un virus rezident care funcționează numai sub sistemul de operare. sistem Windows 95/98.

Poveste

Pe 26 aprilie 1999, la aniversarea accidentului de la Cernobîl, virusul a devenit activ și a distrus datele de pe hard disk-urile computerelor infectate. Pe unele computere, conținutul cipurilor BIOS a fost corupt. Coincidența dintre data activării virusului și data accidentului de la Cernobîl a dat virusului al doilea nume „Cernobîl”, care este chiar mai popular printre oameni decât „CIH”.

Potrivit diverselor estimări, aproximativ o jumătate de milion de oameni au suferit de virus. calculatoare personale peste tot în lume.

Potrivit The Register, la 20 septembrie 2000, autoritățile taiwaneze l-au arestat pe creatorul celebrului virus informatic.

Nume

Virusul CIH a fost numit „Cernobîl”. Există două versiuni posibile ale originii numelui:

1. Virusul a provocat daune majore multor computere din întreaga lume.
2. Data de funcționare a „bombei logice” instalată de autor coincide cu data accidentului de la centrala nucleară de la Cernobîl din 26 aprilie.

Răspândirea

Primul virus funcțional a fost descoperit în iunie 1998 în Taiwan, autorul virusului a infectat computerele de la universitatea sa. În săptămâna următoare, au fost înregistrate epidemii virale în Austria, Australia, Israel și Marea Britanie. Urme ale virusului au fost găsite ulterior în alte câteva țări, inclusiv în Rusia. Infectarea mai multor servere web americane care se distribuie jocuri pe calculator, a fost cauza unei epidemii virale globale care a început pe 26 aprilie 1999. O „bombă logică” a fost declanșată pe jumătate de milion de computere, distrugând informațiile de pe hard disk și dăunând datele de pe cipurile BIOS.

Principii de funcționare

Când rulați un fișier infectat, virusul își scrie codul memorie Windows, interceptând lansarea fișierelor EXE și scriind cod rău intenționat în ele. În funcție de data curentă virusul poate deteriora datele de pe Flash BIOSŞi hard disk-uri calculator.

Autorul virusului

Chen Ing Hau, născut pe 25 august 1975, Taiwan.
Chen a scris CIH în timp ce studia la Universitatea Tatung din Taipei. Când a creat virusul, a primit o mustrare serioasă de la universitate.
Când a aflat că virusul s-a răspândit, a devenit nervos. Unii dintre colegii săi l-au sfătuit cu fermitate să nu admită că a creat virusul, dar el însuși era încrezător că, având suficient timp, experții în securitate vor putea să-și dea seama. Prin urmare, chiar înainte de a absolvi facultatea, a scris o scuză oficială pe internet, în care a cerut public iertare de la poporul Chinei ale căror computere au fost avariate. Din cauza serviciului său militar, Chen a mers să servească. Conform legilor taiwaneze de la acea vreme, el nu a încălcat nicio lege și nu a fost niciodată acuzat penal pentru crearea acestui virus.
Chen lucrează în prezent la Gigabyte.

Fapte

• „Cernobyl” funcționează numai sub Windows95/98.
• Virusul este destul de mic ca dimensiune, aproximativ 1 kB.
• Autorul virusului a trimis și el cod sursă virus.
• În mai 2006, Serghei Kazachkov, student la una dintre universitățile tehnice din Voronezh, a fost condamnat la 2 ani de închisoare cu suspendare în temeiul articolului 273 din Codul Penal al Federației Ruse pentru distribuirea de viruși informatici pe internet, inclusiv CIH.

Copiat și ușor editat de pe Wikipedia

Acum, probabil, puțini oameni își amintesc, dar 26 aprilie nu este doar ziua în care a avut loc tragedia de la Cernobîl, ci și data la care sute de mii de utilizatori de computere din întreaga lume au pierdut toate informațiile de pe discurile lor, iar unii - chiar și plăcile de bază. din cauza virusului CIH. Vă spunem ce s-a întâmplat în 1999, cine a fost vinovat și cum a putut virusul să se răspândească la nivel global.

Cine a creat virusul și de ce?

CIH, Virus.Win9x.CIH sau „Chernobyl” este un virus informatic care funcționează numai sub sistem de operare Windows 95/98/ME, scris de (pe atunci) student taiwanez Chen Yinghao. A fost descoperit pentru prima dată „în viață” în Taiwan în iunie 1998, unde autorul virusului a infectat computerele de la Universitatea sa Datung.

Chen Yinghao la computer

După ceva timp, virusul s-a răspândit prin intermediul conferințelor locale pe internet și de acolo și-a făcut drum în afara țării. Ulterior, au fost înregistrate epidemii virale în Austria, Australia, Israel și Marea Britanie. Și apoi virusul s-a răspândit în alte țări, inclusiv în Rusia și Belarus.

Aproximativ o lună mai târziu, fișierele infectate au fost descoperite pe mai multe servere web americane care distribuiau programe de joc, care a contribuit la epidemia virală globală.

Ei scriu că Chen Yinghao a creat un virus pentru a pedepsi vânzătorii programe antivirus, care s-a dovedit a fi inutilă în lupta împotriva virușilor de pe computerele universitare.

Când a aflat că virusul s-a răspândit în întreaga lume, a fost nervos, dar era încrezător că, cu suficient timp, experții în securitate vor putea să-și dea seama.

26 aprilie 1999

Probabil că această dată este încă amintită de proprietarii de computere infectate la acea vreme. În această zi, „bomba logică” încorporată în codul virusului a explodat. Potrivit diverselor estimări, în această zi, aproximativ jumătate de milion de computere din întreaga lume au fost deteriorate - datele lor de pe hard disk au fost distruse, iar pe unele, conținutul cipurilor BIOS de pe ele a fost deteriorat. plăci de bază(astfel erau complet inoperabili).

Acest incident a fost un adevărat dezastru informatic - epidemiile virale și consecințele lor nu au fost niciodată atât de mari și au adus astfel de pierderi.

Potrivit diverselor estimări, pagubele cauzate de virus au variat între 20 și 80 de milioane de dolari. Aceasta fără a lua în calcul prejudiciul moral - un număr mare de oameni și-au pierdut datele personale, deoarece în 1999 nu erau încă distribuite stocare în cloudși servicii de streaming.

Aparent, deoarece virusul reprezenta o amenințare reală pentru computerele din întreaga lume și data funcționării sale a coincis cu data accidentului de la centrala nucleară de la Cernobîl, a primit al doilea nume, mult mai comun, - „Cernobîl”.

Autorul virusului aproape sigur nu a legat în niciun fel tragedia de la Cernobîl cu creația sa și a stabilit data funcționării „bombei” pe 26 aprilie dintr-un motiv complet diferit: în această zi din 1998 a lansat prima versiune a virusului său (care, apropo, nu a depășit niciodată limitele Taiwanului), adică. Astfel, pe 26 aprilie, virusul își sărbătorește „ziua de naștere”.

Așa și-a amintit una dintre victime: „Primind un avertisment, tot biroul a schimbat data ca să nu fie activat... Și cum am dat peste cap, uitând să-l deșurub pe atunci... Și exact o lună. mai târziu computerul s-a prăbușit...”

Cum a funcționat virusul

Când a fost lansat un fișier infectat, virusul și-a instalat codul în memoria Windows, a interceptat apelurile către fișiere și, la deschiderea fișierelor EXE care au fost lansate, a scris o copie a lui însuși în ele. Din cauza erorilor din cod, virusul a înghețat uneori sistemul atunci când rulează fișiere infectate. Și când a sosit data specificată, am încercat să șterg BIOS-ul Flash și conținutul discurilor.

Modul BIOS pe placa de baza

Scrierea în Flash BIOS este posibilă numai pe tipurile adecvate de plăci de bază și când comutatorul corespunzător este activat. Acest comutator este de obicei setat doar pentru citire, dar acest lucru nu este valabil pentru toți producătorii de computere.

Din păcate, Flash BIOS pe unele plăci de bază moderne nu poate fi protejat de un comutator: unele dintre ele permit scrierea pe Flash în orice poziție a comutatorului, pe altele, protecția la scriere pe Flash poate fi anulată programatic.

După ștergerea memoriei flash, virusul a trecut la o altă procedură distructivă: a distrus informațiile de pe toate hard disk-urile instalate. În același timp, a ocolit protecția antivirus standard încorporată în BIOS împotriva scrierii în sectoarele de boot.

Există trei versiuni principale (așa-numitele proprietare) ale virusului. Ele sunt destul de asemănătoare între ele și diferă doar în detalii minore ale codului în diferitele rutine. Versiunile virusului au primit diferite lungimi, linii de text și data de funcționare a procedurii de ștergere a discului și Flash BIOS.

Toate au o dimensiune de aproximativ 1 kilooctet. Primele două versiuni au funcționat pe 26 aprilie, a treia - pe 26 a fiecărei luni.

Ce sa întâmplat mai departe?

Autorul virusului nu numai că a eliberat virușii, dar a trimis și codurile de asamblare originale ale virusului. Acest lucru a dus la faptul că aceste texte au fost corectate, compilate, iar în curând au apărut modificări ale virusului care aveau lungimi diferite, dar în ceea ce privește funcționalitatea, toate corespundeau „părintelui lor”.

În unele variante ale virusului, data de funcționare a „bombei” a fost schimbată sau această secțiune nu a fost folosită deloc (operare instantanee). La urma urmei, pentru a seta un temporizator „bombă” pentru orice zi, este suficient să schimbați doar doi octeți în codul virusului.

Cunoscut și sub numele de „Cernobîl”. Virus rezident, funcționează numai sub Windows95/98 și infectează fișierele PE
(Executabil portabil). Are o lungime destul de scurtă - aproximativ 1 Kb. A fost
descoperit „în viață” în Taiwan în iunie 1998 - autorul virusului infectat
computerele de la universitatea locală în care se afla el (autorul virusului) în acel moment
a fost antrenat. După ceva timp, fișierele infectate au fost (din întâmplare?)
trimis la conferințe locale pe internet și virusul a ieșit din
Taiwan: în săptămâna următoare, au fost înregistrate epidemii virale
Austria, Australia, Israel și Marea Britanie. Virusul a fost apoi descoperit în
alte câteva țări, inclusiv Rusia.

Aproximativ o lună mai târziu, fișierele infectate au fost găsite pe mai multe
Servere Web americane care distribuie programe de jocuri. Acest fapt
Aparent, a fost cauza epidemiei virale globale ulterioare. 26
Aprilie 1999 (la aproximativ un an de la apariția virusului) a funcționat
„bombă logică” încorporată în codul său. Potrivit diverselor estimări, în această zi
în întreaga lume, aproximativ o jumătate de milion de computere au fost afectate – au avut
Datele de pe hard disk au fost distruse, iar pe unele au fost, de asemenea, deteriorate
conținutul cipurilor BIOS de pe plăcile de bază. Acest incident a devenit real
Dezastru informatic - epidemiile virale și consecințele lor nu au mai fost văzute până acum
Mai mult, nu erau atât de mari și nu aduceau astfel de pierderi.

Aparent, din motivele pentru care 1) virusul a reprezentat o amenințare reală pentru computere în timpul
peste tot în lume și 2) data de funcționare a virusului (26 aprilie) coincide cu data
accident la centrala nucleară de la Cernobîl, virusul a primit al doilea
nume - „Cernobîl”

Cel mai probabil, autorul virusului nu a legat tragedia de la Cernobîl cu
cu virusul său și a stabilit data pentru ca „bomba” să explodeze pe 26 aprilie.
un alt motiv: pe 26 aprilie 1998 a lansat prima versiune
a virusului său (care, apropo, nu a părăsit niciodată Taiwanul) - 26
În aprilie, virusul CIH își sărbătorește „ziua de naștere” într-un mod similar.

Cum funcționează virusul

Când rulați un fișier infectat, virusul își instalează codul în memoria Windows,
interceptează cererile de fișiere și scrie în fișier la deschiderea fișierelor PE EXE
ei copia ta. Conține erori și în unele cazuri îngheață sistemul
când rulează fișiere infectate. În funcție de data curentă, șterge Flash
BIOS și conținutul discului.

Scrierea pe Flash BIOS este posibilă numai pe tipurile corespunzătoare de plăci de bază.
plăci și când comutatorul corespunzător este setat să permită. Acest
Comutatorul este de obicei setat doar pentru citire, însă aceasta
Acest lucru nu este valabil pentru toți producătorii de computere. Din păcate, Flash BIOS
este posibil să nu fie protejat pe unele plăci de bază moderne
comutator: unele dintre ele permit înregistrarea în Flash în orice poziție
comutator; pe altele, protecția la scriere Flash poate fi anulată în mod programatic.

După ștergerea cu succes a memoriei Flash, virusul trece la altul
procedură distructivă: șterge informații despre toate instalate
hard disk-uri. În acest caz, virusul folosește acces direct la datele de pe disc și
ocolind astfel protecția antivirus standard încorporată în BIOS
scrie în sectoarele de boot.

Există trei versiuni principale („autorului”) ale virusului. Ele sunt destul de asemănătoare
reciproc și diferă doar în detalii minore ale codului în diferite
subrutine Versiunile virusului au lungimi, linii de text și date diferite
declanșarea procedurii de ștergere a discului și Flash BIOS:

Lungime Text Data declanșării Detectat „în direct”
1003 CIH 1.2 TTIT 26 aprilie Da
1010 CIH 1.3 TTIT 26 aprilie Nr
1019 CIH 1.4 TATUNG 26 din fiecare lună Da - în multe țări

Detalii tehnice

Când infectează fișiere, virusul caută „găuri” (blocuri de date neutilizate) în ele și
își scrie codul în ele. Prezența unor astfel de „găuri” se datorează structurii
Fișiere PE: poziția fiecărei secțiuni din fișier este aliniată la un anumit
valoarea specificată în antetul PE și, în majoritatea cazurilor, între sfârșit
secțiunea anterioară și începutul celei următoare au un anumit număr de octeți,
care nu sunt folosite de program. Virusul caută în fișier astfel de neutilizate
blochează, își scrie codul în ele și le crește cu valoarea necesară
dimensiunea secțiunii modificată. Dimensiunea fișierelor infectate nu crește.

Dacă există o „găuri” de dimensiuni suficiente la capătul oricărei secțiuni,
virusul își scrie codul într-un singur bloc. Dacă nu există o astfel de „gaură”,
virusul își împarte codul în blocuri și le scrie la sfârșitul diferitelor secțiuni
fişier. Astfel, codul virusului din fișierele infectate poate fi detectat
atât ca un singur bloc de cod, cât și ca mai multe blocuri neînrudite.

Virusul caută și un bloc de date neutilizat în antetul PE. Dacă la final
antetul are o „gaură” de cel puțin 184 de octeți, îi scrie virusul
procedura de pornire. Virusul schimbă apoi adresa de pornire a fișierului:
scrie în el adresa procedurii sale de pornire. Ca urmare a acestei abordări
structura fișierului devine destul de nestandard: adresa de început
procedurile programului nu indică nicio secțiune a fișierului, ci mai departe
modul încărcat - în antetul fișierului. Cu toate acestea, Windows95 nu plătește
atenție la astfel de fișiere „ciudate”, încarcă antetul fișierului în memorie, apoi
toate secțiunile și transferă controlul către adresa specificată în antet - către
procedura de pornire a virusului în antetul PE.

După ce a primit controlul, procedura de pornire a virusului alocă un bloc de memorie
VMM apelează la PageAllocate, își copiază codul acolo, apoi determină adresele
blocurile rămase de cod viruși (situate la sfârșitul secțiunilor) și le adaugă
la codul procedurii de pornire. Virusul interceptează apoi API-ul IFS și
returnează controlul programului gazdă.

Din punct de vedere al sistemului de operare, această procedură este cea mai interesantă
virus: după ce virusul și-a copiat codul într-un nou bloc de memorie și
a trecut controlul acolo, codul virusului este executat ca aplicație Ring0 și
virusul este capabil să intercepteze API-ul AFS (acest lucru este imposibil pentru programe
executat în Ring3).

Interceptorul IFS API gestionează o singură funcție - deschiderea fișierelor.
Dacă este deschis un fișier cu extensie EXE, virusul își verifică interiorul
formatează și își scrie codul în fișier. După infectare, virusul se verifică
data sistemului și apelează procedura de ștergere a BIOS Flash și a sectoarelor de disc (vezi mai sus).

Când ștergeți Flash BIOS, virusul folosește porturile corespunzătoare
citire/scriere, la ștergerea sectoarelor de disc, virusul apelează funcția VxD
acces direct la discuri IOS_SendCommand.

Variante de virus cunoscute

Autorul virusului a eliberat nu numai copii ale fișierelor infectate în sălbăticie, ci și
a trimis textele de asamblare originale ale virusului. Acest lucru a dus la acestea
textele au fost corectate, compilate și au apărut curând
modificări ale virusului care au avut lungimi diferite, dar din punct de vedere al funcționalității acestea
toate corespundeau „părintelui” lor. În unele variante ale virusului a existat
data operațiunii „bombă” a fost schimbată sau această secțiune nu a fost apelată deloc.

De asemenea, se știe despre versiunile „originale” ale virusului care funcționează în zile
diferit de 26 [aprilie]. Acest fapt se explică prin faptul că verificarea datei în
Codul virusului apare în funcție de două constante. Desigur, pentru a
setați un temporizator „bombă” pentru orice zi, doar schimbați
doi octeți în codul virusului.

CIH, sau „Cernobîl”(Virus.Win9x.CIH) este un virus informatic scris de studentul taiwanez Chen Ying Hao în iunie 1998. Este un virus rezident care rulează numai sub sistemul de operare Windows 95/98.

Poveste

Pe 26 aprilie 1999, la aniversarea accidentului de la Cernobîl, virusul a devenit activ și a distrus datele de pe hard disk-urile computerelor infectate. Pe unele computere, conținutul cipurilor BIOS a fost corupt. Coincidența dintre data activării virusului și data accidentului de la Cernobîl a dat virusului al doilea nume „Cernobîl”, care este chiar mai popular printre oameni decât „CIH”.

Potrivit diverselor estimări, aproximativ jumătate de milion de computere personale din întreaga lume au fost afectate de virus.

Potrivit The Register, la 20 septembrie 2000, autoritățile taiwaneze l-au arestat pe creatorul celebrului virus informatic.

Nume

Virusul CIH a fost numit „Cernobîl”. Există două versiuni posibile ale originii numelui:

1. Virusul a provocat daune majore multor computere din întreaga lume.
2. Data de funcționare a „bombei logice” instalată de autor coincide cu data accidentului de la centrala nucleară de la Cernobîl din 26 aprilie.

Răspândirea

Primul virus funcțional a fost descoperit în iunie 1998 în Taiwan, autorul virusului a infectat computerele de la universitatea sa. În săptămâna următoare, au fost înregistrate epidemii virale în Austria, Australia, Israel și Marea Britanie. Urme ale virusului au fost găsite ulterior în alte câteva țări, inclusiv în Rusia. Infectarea mai multor servere web americane care distribuiau jocuri pe calculator a provocat o epidemie globală de virus care a început pe 26 aprilie 1999. O „bombă logică” a fost declanșată pe jumătate de milion de computere, distrugând informațiile de pe hard disk și dăunând datele de pe cipurile BIOS.

Principii de funcționare

Când un fișier infectat este lansat, virusul își scrie codul în memoria Windows, interceptând lansarea fișierelor EXE și scriind cod rău intenționat în ele. În funcție de data curentă, virusul poate deteriora datele de pe Flash BIOS și hard disk-urile computerului.

Autorul virusului

Chen Ing Hau, născut pe 25 august 1975, Taiwan.
Chen a scris CIH în timp ce studia la Universitatea Tatung din Taipei. Când a creat virusul, a primit o mustrare serioasă de la universitate.
Când a aflat că virusul s-a răspândit, a devenit nervos. Unii dintre colegii săi l-au sfătuit cu fermitate să nu admită că a creat virusul, dar el însuși era încrezător că, având suficient timp, experții în securitate vor putea să-și dea seama. Prin urmare, chiar înainte de a absolvi facultatea, a scris o scuză oficială pe internet, în care a cerut public iertare de la poporul Chinei ale căror computere au fost avariate. Din cauza serviciului său militar, Chen a mers să servească. Conform legilor taiwaneze de la acea vreme, el nu a încălcat nicio lege și nu a fost niciodată acuzat penal pentru crearea acestui virus.
Chen lucrează în prezent la Gigabyte.

Fapte

• „Cernobyl” funcționează numai sub Windows95/98.
• Virusul este destul de mic ca dimensiune, aproximativ 1 kB.
• Autorul virusului a trimis și codul sursă al virusului.
• În mai 2006, Serghei Kazachkov, student la una dintre universitățile tehnice din Voronezh, a fost condamnat la 2 ani de închisoare cu suspendare în temeiul articolului 273 din Codul Penal al Federației Ruse pentru distribuirea de viruși informatici pe internet, inclusiv CIH.

Copiat și ușor editat de pe Wikipedia