ไวรัสคอมพิวเตอร์เชอร์โนบิลคืออะไร? ไวรัสเชอร์โนบิล ไวรัสเชอร์โนบิลปรากฏขึ้นเมื่อใด

โดยทั่วไปแล้ว ไวรัสจะทำให้ซอฟต์แวร์เป็นอันตรายต่อคอมพิวเตอร์ ไม่ทางใดก็ทางหนึ่ง ไวรัสทำให้การทำงานของคอมพิวเตอร์ยุ่งยาก ตรวจสอบหรือขโมยข้อมูลผู้ใช้บางส่วน ตัวอย่างเช่นสิ่งที่ไม่พึงประสงค์อย่างยิ่งซึ่งหลอกหลอนผู้ใช้ในทุกเบราว์เซอร์อย่างน่ารำคาญ แต่มันคือซอฟต์แวร์ทั้งหมด เสียหายติดไวรัส ผลิตภัณฑ์ซอฟต์แวร์สามารถรักษาให้หายขาดหรือเปลี่ยนใหม่ได้ มีไวรัสที่สามารถสร้างความเสียหายให้กับฮาร์ดแวร์คอมพิวเตอร์ได้หรือไม่?

ไวรัส Win95.CIH (เชอร์โนบิล)

เชอร์โนบิล - นี่คือชื่อที่ตั้งให้กับไวรัสคอมพิวเตอร์ตัวแรกซึ่งแสดงให้เห็นว่าไวรัสสามารถสร้างความเสียหายได้ไม่เพียงเท่านั้น ซอฟต์แวร์แต่ยังรวมถึงฮาร์ดแวร์คอมพิวเตอร์ด้วย ไวรัสเชอร์โนบิลซึ่งเขียนขึ้นในปี 1998 โดยนักศึกษาชาวไต้หวันได้ทำลายเนื้อหา BIOS ของบางส่วน เมนบอร์ดซึ่งอาจทำให้เมนบอร์ดเสียหายได้ และมีกรณีเช่นนี้ แต่ถึงกระนั้นอาหารจานหลักก็คือการทำลายข้อมูลทั้งหมดจาก ฮาร์ดไดรฟ์คอมพิวเตอร์. อย่างน้อยมันก็มีข้อดีอยู่บ้าง เพราะความต้องการลดลงแล้ว ทุกคนที่โชคร้ายจากการได้รับไวรัสนี้ต้องทนทุกข์ทรมานแล้ว

ไวรัสได้รับชื่อแรก - Win95.CIH - จากผู้เขียน อย่างไรก็ตาม เขาปล่อยไวรัสออกมาสามเวอร์ชันที่แตกต่างกันซึ่งไม่ได้แตกต่างกันมากนัก จริงมั้ย, เวอร์ชันล่าสุดเปิดตัวในวันที่ 26 ของทุกเดือน และแต่ละเวอร์ชันก็มีหมายเลขของตัวเอง แต่ชื่อที่สอง - ไวรัสเชอร์โนบิล - ถูกตั้งให้กับเขาโดยโลกคอมพิวเตอร์ ทำไม เนื่องจากไวรัสเริ่มใช้งานในวันที่ 26 เมษายนและดำเนินการทำลายล้างทั้งหมดในวันนั้น และในวันนี้เมื่อปี 1986 โชคไม่ดีที่เกิดอุบัติเหตุเชอร์โนบิล แม้ว่าตามที่ผู้เขียนไวรัสกล่าวไว้ วันที่เปิดตัวของไวรัส - วันที่ 26 เมษายนของทุกปี - ถูกเลือกเพียงเพราะตัวไวรัสฉลองวันเกิดในวันนี้เท่านั้น อย่างไรก็ตาม เขาก็เฉลิมฉลองในแบบของเขาเอง

อันตรายจากไวรัสเชอร์โนบิล

ไวรัสเชอร์โนบิลไม่ก่อให้เกิดอันตรายใด ๆ อีกต่อไป เนื่องจากสภาพแวดล้อมการทำงานของไวรัสนี้คือคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการ Windows 95 และ 98 แต่ไม่ได้หมายความว่าไม่มีอันตรายจากการติดไวรัสที่จะสร้างความเสียหายให้กับฮาร์ดแวร์คอมพิวเตอร์ นี่แสดงให้เห็นว่าหลายคนทั่วโลกทราบเกี่ยวกับโอกาสนี้และต้องการทำซ้ำความสำเร็จของนักเรียนชาวไต้หวันรายนี้ และบางคนก็ประสบความสำเร็จแล้ว แต่พวกเขาไม่น่าจะมีชื่อเสียงมากไปกว่าเชอร์โนบิล เพราะแบบแรกนั้นง่ายต่อการจดจำ

ซีไอเอช, หรือ "เชอร์โนบิล"(Virus.Win9x.CIH) เป็นไวรัสคอมพิวเตอร์ที่เขียนโดยนักเรียนชาวไต้หวัน Chen Ying Hao ในเดือนมิถุนายน พ.ศ. 2541 เป็นไวรัสประจำถิ่นที่ทำงานภายใต้ระบบปฏิบัติการเท่านั้น ระบบวินโดวส์ 95/98.

เรื่องราว

เมื่อวันที่ 26 เมษายน 2542 ซึ่งเป็นวันครบรอบอุบัติเหตุเชอร์โนบิล ไวรัสได้เริ่มทำงานและทำลายข้อมูลในฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่ติดไวรัส ในคอมพิวเตอร์บางเครื่อง เนื้อหาของชิป BIOS เสียหาย มันเป็นเรื่องบังเอิญของวันที่เปิดใช้งานไวรัสและวันที่เกิดอุบัติเหตุเชอร์โนบิลที่ทำให้ไวรัสมีชื่อที่สองว่า "เชอร์โนบิล" ซึ่งได้รับความนิยมในหมู่คนมากกว่า "CIH"

ตามการประมาณการต่างๆ ผู้คนประมาณครึ่งล้านต้องทนทุกข์ทรมานจากไวรัส คอมพิวเตอร์ส่วนบุคคลทั่วทุกมุมโลก

ตามรายงานของ The Register เมื่อวันที่ 20 กันยายน พ.ศ. 2543 ทางการไต้หวันได้จับกุมผู้สร้างไวรัสคอมพิวเตอร์อันโด่งดัง

ชื่อ

ไวรัส CIH มีชื่อว่า "เชอร์โนบิล" ที่มาของชื่อมีสองเวอร์ชันที่เป็นไปได้:

  1. ไวรัสทำให้เกิดความเสียหายร้ายแรงต่อคอมพิวเตอร์หลายเครื่องทั่วโลก
  2. วันที่ปฏิบัติการของ "ระเบิดตรรกะ" ที่ผู้เขียนปลูกนั้นตรงกับวันที่เกิดอุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิลเมื่อวันที่ 26 เมษายน

การแพร่กระจาย

ไวรัสที่ใช้งานได้ตัวแรกถูกค้นพบในเดือนมิถุนายน พ.ศ. 2541 ในไต้หวัน ซึ่งเป็นผู้เขียนคอมพิวเตอร์ที่ติดไวรัสในมหาวิทยาลัยของเขา ในสัปดาห์หน้า มีการบันทึกการแพร่ระบาดของไวรัสในออสเตรีย ออสเตรเลีย อิสราเอล และสหราชอาณาจักร ต่อมาพบร่องรอยของไวรัสในหลายประเทศ รวมถึงรัสเซียด้วย การแพร่เชื้อเว็บเซิร์ฟเวอร์ในอเมริกาหลายแห่ง เกมคอมพิวเตอร์เป็นสาเหตุของการแพร่ระบาดของไวรัสทั่วโลกที่เริ่มขึ้นเมื่อวันที่ 26 เมษายน พ.ศ. 2542 “ระเบิดลอจิก” เกิดขึ้นบนคอมพิวเตอร์ครึ่งล้านเครื่อง ทำลายข้อมูลในฮาร์ดไดรฟ์ และสร้างความเสียหายให้กับข้อมูลบนชิป BIOS

หลักการทำงาน

เมื่อคุณเรียกใช้ไฟล์ที่ติดไวรัส ไวรัสจะเขียนโค้ดลงไป หน่วยความจำวินโดวส์ขัดขวางการเปิดตัวไฟล์ EXE และการเขียนโค้ดที่เป็นอันตรายลงไป ขึ้นอยู่กับ วันที่ปัจจุบันไวรัสสามารถทำลายข้อมูลได้ แฟลชไบออสและ ฮาร์ดไดรฟ์คอมพิวเตอร์.

ผู้เขียนไวรัส

Chen Ing Hau เกิดเมื่อวันที่ 25 สิงหาคม พ.ศ.2518 ประเทศไต้หวัน
Chen เขียน CIH ขณะศึกษาอยู่ที่มหาวิทยาลัย Tatung ในไทเป เมื่อเขาสร้างไวรัส เขาได้รับการตำหนิอย่างรุนแรงจากมหาวิทยาลัย
เมื่อรู้ว่าไวรัสแพร่ระบาด เขาก็รู้สึกวิตกกังวล เพื่อนร่วมชั้นบางคนแนะนำเขาอย่างยิ่งว่าอย่ายอมรับว่าสร้างไวรัส แต่ตัวเขาเองมั่นใจว่าหากให้เวลาเพียงพอ ผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถเข้าใจเรื่องนี้ได้ ดังนั้น ก่อนสำเร็จการศึกษาจากมหาวิทยาลัย เขาจึงเขียนคำขอโทษอย่างเป็นทางการบนอินเทอร์เน็ต โดยเขาขอการอภัยจากประชาชนชาวจีนที่คอมพิวเตอร์ได้รับความเสียหายอย่างเปิดเผย เนื่องจากเขารับราชการทหาร เฉินจึงไปรับราชการ ตามกฎหมายของไต้หวันในเวลานั้น เขาไม่ได้ฝ่าฝืนกฎหมายใดๆ และเขาไม่เคยถูกตั้งข้อหาทางอาญาจากการสร้างไวรัสนี้
ปัจจุบัน Chen ทำงานที่ Gigabyte

ข้อเท็จจริง

  • "เชอร์โนบิล" ใช้งานได้กับ Windows95/98 เท่านั้น
  • ไวรัสมีขนาดค่อนข้างเล็กประมาณ 1 kB
  • ผู้เขียนไวรัสก็ส่งออกไปเช่นกัน ซอร์สโค้ดไวรัส.
  • ในเดือนพฤษภาคม 2549 Sergei Kazachkov นักศึกษาของมหาวิทยาลัยเทคนิคแห่งหนึ่งใน Voronezh ถูกตัดสินให้จำคุก 2 ปีภายใต้มาตรา 273 แห่งประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียในข้อหาเผยแพร่ไวรัสคอมพิวเตอร์บนอินเทอร์เน็ตรวมถึง CIH

คัดลอกและเรียบเรียงเล็กน้อยจาก Wikipedia

อาจมีเพียงไม่กี่คนที่จำได้ แต่วันที่ 26 เมษายนไม่เพียง แต่เป็นวันที่โศกนาฏกรรมเชอร์โนบิลเกิดขึ้น แต่ยังเป็นวันที่ผู้ใช้คอมพิวเตอร์หลายแสนคนทั่วโลกสูญเสียข้อมูลทั้งหมดบนดิสก์ของพวกเขาและบางส่วน - แม้แต่มาเธอร์บอร์ดของพวกเขา เนื่องจากไวรัส CIH เราบอกคุณว่าเกิดอะไรขึ้นในปี 1999 ใครคือผู้กระทำผิด และไวรัสแพร่กระจายไปทั่วโลกได้อย่างไร

ใครเป็นผู้สร้างไวรัสและทำไม?

CIH, Virus.Win9x.CIH หรือ “เชอร์โนบิล” เป็นไวรัสคอมพิวเตอร์ที่ทำงานภายใต้เท่านั้น ระบบปฏิบัติการ Windows 95/98/ME เขียนโดย (ในขณะนั้น) นักเรียนชาวไต้หวัน Chen Yinghao มันถูกค้นพบครั้งแรก "ยังมีชีวิตอยู่" ในไต้หวันในเดือนมิถุนายน พ.ศ. 2541 โดยผู้เขียนไวรัสตัวนี้ติดคอมพิวเตอร์ที่มหาวิทยาลัยต้าตุงของเขา

เฉิน หยิงห่าว อยู่ที่คอมพิวเตอร์

หลังจากนั้นไม่นาน ไวรัสก็แพร่กระจายผ่านการประชุมทางอินเทอร์เน็ตในท้องถิ่น และจากนั้นก็แพร่กระจายออกไปนอกประเทศ ต่อมามีการบันทึกการแพร่ระบาดของไวรัสในประเทศออสเตรีย ออสเตรเลีย อิสราเอล และสหราชอาณาจักร จากนั้นไวรัสก็แพร่กระจายไปยังประเทศอื่น ๆ รวมถึงรัสเซียและเบลารุส

ประมาณหนึ่งเดือนต่อมา ไฟล์ที่ติดไวรัสถูกค้นพบบนเว็บเซิร์ฟเวอร์ของอเมริกาหลายแห่งที่เผยแพร่ โปรแกรมเกมซึ่งมีส่วนทำให้เกิดการแพร่ระบาดของไวรัสทั่วโลก

พวกเขาเขียนว่า Chen Yinghao สร้างไวรัสเพื่อลงโทษผู้ขาย โปรแกรมป้องกันไวรัสซึ่งกลายเป็นว่าไร้ประโยชน์ในการต่อสู้กับไวรัสบนคอมพิวเตอร์ของมหาวิทยาลัย

เมื่อเขารู้ว่าไวรัสแพร่กระจายไปทั่วโลก เขาก็กังวล แต่เขามั่นใจว่าหากมีเวลาเพียงพอ ผู้เชี่ยวชาญด้านความปลอดภัยก็จะสามารถเข้าใจเรื่องนี้ได้

26 เมษายน 2542

วันที่นี้น่าจะยังจำได้โดยเจ้าของคอมพิวเตอร์ที่ติดไวรัสในขณะนั้น ในวันนี้ “ระเบิดลอจิคัล” ที่ฝังอยู่ในรหัสไวรัสดับลง ตามการประมาณการต่าง ๆ ในวันนี้คอมพิวเตอร์ประมาณครึ่งล้านเครื่องทั่วโลกได้รับความเสียหาย - ข้อมูลในฮาร์ดไดรฟ์ถูกทำลายและในบางส่วนเนื้อหาของชิป BIOS ในนั้นได้รับความเสียหาย เมนบอร์ด(จึงใช้งานไม่ได้โดยสิ้นเชิง)

เหตุการณ์นี้เป็นหายนะทางคอมพิวเตอร์อย่างแท้จริง - การแพร่ระบาดของไวรัสและผลที่ตามมาไม่เคยมีมาก่อนและนำมาซึ่งความสูญเสียดังกล่าว

ตามการประมาณการต่างๆ ความเสียหายจากไวรัสอยู่ระหว่าง 20 ถึง 80 ล้านดอลลาร์ นี่ไม่นับความเสียหายทางศีลธรรม - ผู้คนจำนวนมากสูญเสียข้อมูลส่วนบุคคลเนื่องจากในปี 2542 ยังไม่มีการเผยแพร่ข้อมูลเหล่านี้ ที่เก็บข้อมูลบนคลาวด์และบริการสตรีมมิ่ง

เห็นได้ชัดว่าเนื่องจากไวรัสเป็นภัยคุกคามต่อคอมพิวเตอร์ทั่วโลกและวันที่ดำเนินการใกล้เคียงกับวันที่เกิดอุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล จึงได้รับชื่อที่สองซึ่งธรรมดากว่ามาก - "เชอร์โนบิล"

ผู้เขียนไวรัสเกือบจะไม่ได้เชื่อมโยงโศกนาฏกรรมเชอร์โนบิลกับผลิตผลของเขา แต่อย่างใดและกำหนดวันปฏิบัติการของ "ระเบิด" ในวันที่ 26 เมษายนด้วยเหตุผลที่แตกต่างไปจากเดิมอย่างสิ้นเชิง: ในวันนี้ในปี 1998 ที่เขาเปิดตัว ไวรัสเวอร์ชั่นแรกของเขา (ซึ่งยังไงก็ไม่เคยเกินขอบเขตของไต้หวัน) เช่น ดังนั้นในวันที่ 26 เมษายน ไวรัสจึงเฉลิมฉลอง “วันเกิด” ของมัน

นี่คือสิ่งที่เหยื่อรายหนึ่งเล่า: “หลังจากได้รับคำเตือน ทั้งสำนักงานก็เปลี่ยนวันที่เพื่อไม่ให้เปิดใช้งานได้... แล้วฉันก็เมาจนลืมคลายเกลียวกลับ... และหนึ่งเดือนต่อมาจริงๆ คอมพิวเตอร์พัง...”

ไวรัสทำงานอย่างไร

เมื่อมีการเปิดตัวไฟล์ที่ติดไวรัส ไวรัสจะติดตั้งโค้ดลงในหน่วยความจำ Windows ดักฟังการเรียกไปยังไฟล์ และเมื่อเปิดไฟล์ EXE ที่เปิดตัว ไวรัสจะเขียนสำเนาของตัวเองลงในไฟล์เหล่านั้น เนื่องจากข้อผิดพลาดในรหัส บางครั้งไวรัสอาจทำให้ระบบค้างเมื่อเรียกใช้ไฟล์ที่ติดไวรัส และเมื่อถึงวันที่ระบุ ฉันก็พยายามลบ Flash BIOS และเนื้อหาของดิสก์


โมดูล BIOS บนเมนบอร์ด

การเขียนไปยัง Flash BIOS สามารถทำได้บนเมนบอร์ดประเภทที่เหมาะสมเท่านั้น และเมื่อมีการเปิดใช้งานสวิตช์ที่เกี่ยวข้อง โดยปกติสวิตช์นี้จะถูกตั้งค่าเป็นแบบอ่านอย่างเดียว แต่สิ่งนี้ไม่เป็นความจริงสำหรับผู้ผลิตคอมพิวเตอร์ทุกราย

น่าเสียดายที่ Flash BIOS บนมาเธอร์บอร์ดสมัยใหม่บางรุ่นไม่สามารถป้องกันด้วยสวิตช์ได้: บางตัวอนุญาตให้เขียนไปยัง Flash ในตำแหน่งใดก็ได้ของสวิตช์ ส่วนในรุ่นอื่น ๆ การป้องกันการเขียนไปยัง Flash สามารถยกเลิกได้โดยทางโปรแกรม

หลังจากลบหน่วยความจำแฟลชแล้ว ไวรัสได้ย้ายไปยังขั้นตอนการทำลายล้างอื่น: ทำลายข้อมูลในฮาร์ดไดรฟ์ที่ติดตั้งทั้งหมด ในเวลาเดียวกัน ก็สามารถข้ามการป้องกันไวรัสมาตรฐานที่มีอยู่ใน BIOS จากการเขียนไปยังเซกเตอร์สำหรับบูตได้

ไวรัสมีสามเวอร์ชันหลัก (เรียกว่าเป็นกรรมสิทธิ์) พวกมันค่อนข้างคล้ายกันและแตกต่างกันเพียงรายละเอียดเล็กๆ น้อยๆ ของโค้ดในรูทีนต่างๆ เวอร์ชันของไวรัสได้รับความยาว บรรทัดข้อความ และวันที่ดำเนินการของขั้นตอนการลบดิสก์และ Flash BIOS ที่แตกต่างกัน

ทั้งหมดนี้มีขนาดประมาณ 1 กิโลไบต์ สองเวอร์ชันแรกใช้งานได้ในวันที่ 26 เมษายน เวอร์ชันที่สาม - วันที่ 26 ของแต่ละเดือน

เกิดอะไรขึ้นต่อไป?

ผู้เขียนไวรัสไม่เพียงแต่ปล่อยไวรัสเท่านั้น แต่ยังส่งรหัสประกอบดั้งเดิมของไวรัสอีกด้วย สิ่งนี้นำไปสู่ความจริงที่ว่าข้อความเหล่านี้ได้รับการแก้ไข เรียบเรียง และในไม่ช้า การดัดแปลงไวรัสก็ปรากฏขึ้นซึ่งมีความยาวต่างกัน แต่ในแง่ของฟังก์ชันการทำงาน ทั้งหมดนั้นสอดคล้องกับ "ผู้ปกครอง" ของพวกเขา

ในไวรัสบางสายพันธุ์ วันที่ปฏิบัติการของ "ระเบิด" เปลี่ยนไป หรือไม่ได้ใช้ส่วนนี้เลย (การดำเนินการทันที) ท้ายที่สุดแล้ว ในการตั้งเวลา "ระเบิด" สำหรับวันใดวันหนึ่ง ก็เพียงพอแล้วที่จะเปลี่ยนรหัสไวรัสเพียงสองไบต์

หรือที่รู้จักกันในชื่อ "เชอร์โนบิล" ไวรัสประจำถิ่น ทำงานได้เฉพาะบน Windows95/98 และแพร่ระบาดในไฟล์ PE
(ปฏิบัติการแบบพกพา) มีความยาวค่อนข้างสั้น - ประมาณ 1Kb เคยเป็น
ค้นพบ "มีชีวิต" ในไต้หวันเมื่อเดือนมิถุนายน พ.ศ. 2541 - ผู้เขียนติดเชื้อไวรัส
คอมพิวเตอร์ของมหาวิทยาลัยในพื้นที่ที่เขา (ผู้เขียนไวรัส) อยู่ในขณะนั้น
ได้รับการฝึกอบรม หลังจากนั้นสักพัก ไฟล์ที่ติดไวรัสก็ถูก (บังเอิญ?)
ส่งไปยังการประชุมทางอินเทอร์เน็ตในพื้นที่ และไวรัสก็หลุดออกไป
ไต้หวัน: สัปดาห์หน้ามีการบันทึกการแพร่ระบาดของไวรัส
ออสเตรีย ออสเตรเลีย อิสราเอล และบริเตนใหญ่ จากนั้นจึงค้นพบไวรัสใน
อีกหลายประเทศรวมทั้งรัสเซียด้วย

ประมาณหนึ่งเดือนต่อมา พบไฟล์ที่ติดไวรัสในหลาย ๆ แห่ง
เว็บเซิร์ฟเวอร์ของอเมริกาจำหน่ายโปรแกรมเกม ข้อเท็จจริงนี้
เห็นได้ชัดว่าเป็นสาเหตุของการแพร่ระบาดของไวรัสทั่วโลกในเวลาต่อมา 26
เมษายน 2542 (ประมาณหนึ่งปีหลังจากไวรัสปรากฏ) ได้ผล
"ระเบิดลอจิก" ฝังอยู่ในโค้ดของมัน ตามการประมาณการต่างๆ ในวันนี้
คอมพิวเตอร์ทั่วโลกประมาณครึ่งล้านเครื่องได้รับผลกระทบ
ข้อมูลในฮาร์ดไดรฟ์ถูกทำลาย และบางส่วนก็ได้รับความเสียหายเช่นกัน
เนื้อหาของชิป BIOS บนเมนบอร์ด เหตุการณ์นี้กลายเป็นจริง
ภัยพิบัติทางคอมพิวเตอร์ - การแพร่ระบาดของไวรัสและผลที่ตามมาไม่เคยเห็นมาก่อน
ยิ่งกว่านั้นพวกมันมีขนาดไม่ใหญ่นักและไม่ได้นำมาซึ่งความสูญเสียดังกล่าว

เห็นได้ชัดว่าด้วยเหตุผล 1) ไวรัสก่อให้เกิดภัยคุกคามต่อคอมพิวเตอร์อย่างแท้จริงในระหว่างนั้น
ทั่วโลก และ 2) วันที่เริ่มปฏิบัติการของไวรัส (26 เมษายน) ตรงกับวันที่
อุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิล ไวรัสได้รับครั้งที่สอง
ชื่อ - "เชอร์โนบิล"

ผู้เขียนไวรัสน่าจะไม่ได้เชื่อมโยงกับโศกนาฏกรรมเชอร์โนบิล แต่อย่างใด
กับไวรัสของเขา และกำหนดวัน “ระเบิด” ที่จะดับในวันที่ 26 เมษายนนี้
เหตุผลอื่น: เมื่อวันที่ 26 เมษายน พ.ศ. 2541 เขาได้เปิดตัวเวอร์ชันแรก
ของไวรัส (ซึ่งไม่เคยออกจากไต้หวัน) - 26
ในเดือนเมษายน ไวรัส CIH จะเฉลิมฉลอง "วันเกิด" ในลักษณะเดียวกัน

ไวรัสทำงานอย่างไร

เมื่อคุณเรียกใช้ไฟล์ที่ติดไวรัส ไวรัสจะติดตั้งโค้ดลงในหน่วยความจำ Windows
สกัดกั้นคำขอไฟล์และเขียนลงในไฟล์เมื่อเปิดไฟล์ PE EXE
พวกเขาเป็นสำเนาของคุณ มีข้อผิดพลาดและในบางกรณีระบบค้าง
เมื่อเรียกใช้ไฟล์ที่ติดไวรัส ขึ้นอยู่กับวันที่ปัจจุบัน ลบ Flash
เนื้อหา BIOS และดิสก์

การเขียนไปยัง Flash BIOS สามารถทำได้บนเมนบอร์ดประเภทที่เกี่ยวข้องเท่านั้น
บอร์ดและเมื่อสวิตช์ที่เกี่ยวข้องถูกตั้งค่าให้อนุญาต นี้
โดยปกติสวิตช์จะถูกตั้งค่าเป็นแบบอ่านอย่างเดียวอย่างไรก็ตาม
สิ่งนี้ไม่เป็นความจริงสำหรับผู้ผลิตคอมพิวเตอร์ทุกราย น่าเสียดายที่แฟลชไบออส
อาจไม่ได้รับการปกป้องบนมาเธอร์บอร์ดสมัยใหม่บางรุ่น
สวิตช์: บางส่วนอนุญาตให้บันทึกในรูปแบบ Flash ในตำแหน่งใดก็ได้
สวิตช์; ในส่วนอื่น ๆ การป้องกันการเขียน Flash สามารถเขียนทับโดยทางโปรแกรมได้

หลังจากลบหน่วยความจำแฟลชได้สำเร็จ ไวรัสจะย้ายไปที่หน่วยความจำอื่น
ขั้นตอนการทำลายล้าง: ลบข้อมูลในการติดตั้งทั้งหมด
ฮาร์ดไดรฟ์ ในกรณีนี้ไวรัสจะใช้การเข้าถึงข้อมูลบนดิสก์โดยตรงและ
จึงข้ามการป้องกันไวรัสมาตรฐานที่มีอยู่ใน BIOS
เขียนไปยังบูตเซกเตอร์

ไวรัสมีสามเวอร์ชันหลัก (“ผู้เขียน”) พวกเขาค่อนข้างคล้ายกัน
และต่างกันเพียงรายละเอียดโค้ดย่อยที่แตกต่างกันเท่านั้น
รูทีนย่อย เวอร์ชันของไวรัสมีความยาว บรรทัดข้อความ และวันที่ต่างกัน
เรียกใช้ขั้นตอนการลบดิสก์และ Flash BIOS:


วันที่ทริกเกอร์ข้อความความยาวตรวจพบว่า "สด"
1003 CIH 1.2 TTIT 26 เมษายน ใช่
1010 CIH 1.3 TTIT 26 เมษายน ครั้งที่
1019 CIH 1.4 TATUNG 26 ของทุกเดือน ใช่ - ในหลายประเทศ

รายละเอียดทางเทคนิค

เมื่อติดไวรัสไฟล์ ไวรัสจะมองหา “รู” (บล็อกข้อมูลที่ไม่ได้ใช้) ในไฟล์เหล่านั้นและ
เขียนโค้ดของเขาลงไป การมีอยู่ของ "รู" ดังกล่าวเกิดจากโครงสร้าง
ไฟล์ PE: ตำแหน่งของแต่ละส่วนในไฟล์จะจัดอยู่ในตำแหน่งที่แน่นอน
ค่าที่ระบุในส่วนหัว PE และในกรณีส่วนใหญ่ระหว่างส่วนท้าย
ส่วนก่อนหน้าและส่วนต้นของส่วนถัดไปมีจำนวนไบต์ที่แน่นอน
ซึ่งโปรแกรมไม่ได้ใช้ ไวรัสจะค้นหาไฟล์ที่ไม่ได้ใช้
บล็อก เขียนโค้ดของเขาลงไปและเพิ่มตามค่าที่ต้องการ
ขนาดส่วนที่แก้ไข ขนาดของไฟล์ที่ติดไวรัสไม่เพิ่มขึ้น

หากมี "รู" ขนาดเพียงพอที่ปลายส่วนใดส่วนหนึ่ง
ไวรัสเขียนโค้ดลงในบล็อกเดียว หากไม่มี "รู" ดังกล่าว
ไวรัสจะแยกโค้ดออกเป็นบล็อคและเขียนไว้ที่ส่วนท้ายของส่วนต่างๆ
ไฟล์. ดังนั้นจึงสามารถตรวจพบรหัสไวรัสในไฟล์ที่ติดไวรัสได้
ทั้งเป็นบล็อกโค้ดเดียวและหลายบล็อกที่ไม่เกี่ยวข้องกัน

ไวรัสยังค้นหาบล็อกข้อมูลที่ไม่ได้ใช้ในส่วนหัว PE ถ้าถึงที่สุดแล้ว
ส่วนหัวมี “รู” ขนาดอย่างน้อย 184 ไบต์ ไวรัสจึงเขียนลงไป
ขั้นตอนการเริ่มต้นของคุณ ไวรัสจะเปลี่ยนที่อยู่เริ่มต้นของไฟล์:
เขียนที่อยู่ของขั้นตอนการเริ่มต้นลงไป ซึ่งเป็นผลมาจากแนวทางนี้
โครงสร้างไฟล์ค่อนข้างไม่เป็นมาตรฐาน: ที่อยู่ของการเริ่มต้น
ขั้นตอนของโปรแกรมไม่ได้ชี้ไปที่ส่วนใดๆ ของไฟล์ แต่ชี้ไปที่ส่วนอื่นๆ ของไฟล์
โหลดโมดูล - ในส่วนหัวของไฟล์ อย่างไรก็ตาม Windows95 ไม่จ่ายเงิน
ให้ความสนใจกับไฟล์ที่ “แปลก” ดังกล่าว จึงโหลดส่วนหัวของไฟล์ลงในหน่วยความจำ จากนั้น
ทุกส่วนและควบคุมการถ่ายโอนไปยังที่อยู่ที่ระบุไว้ในส่วนหัว - ถึง
ขั้นตอนการเริ่มต้นไวรัสในส่วนหัว PE

หลังจากได้รับการควบคุมแล้ว ขั้นตอนการเริ่มต้นไวรัสจะจัดสรรบล็อกหน่วยความจำ
VMM เรียก PageAllocate คัดลอกโค้ดที่นั่น จากนั้นกำหนดที่อยู่
บล็อกรหัสไวรัสที่เหลือ (อยู่ที่ส่วนท้ายของส่วน) และต่อท้าย
ไปที่รหัสของขั้นตอนการเริ่มต้นของคุณ จากนั้นไวรัสจะดักจับ IFS API และ
คืนการควบคุมไปยังโปรแกรมโฮสต์

จากมุมมองของระบบปฏิบัติการ ขั้นตอนนี้น่าสนใจที่สุด
ไวรัส: หลังจากที่ไวรัสได้คัดลอกโค้ดไปยังบล็อกหน่วยความจำใหม่และ
ผ่านการควบคุมที่นั่น รหัสไวรัสจะถูกดำเนินการเป็นแอปพลิเคชัน Ring0 และ
ไวรัสสามารถสกัดกั้น AFS API ได้ (ซึ่งเป็นไปไม่ได้สำหรับโปรแกรม
ดำเนินการใน Ring3)

IFS API Interceptor จัดการเพียงฟังก์ชันเดียวเท่านั้น นั่นคือการเปิดไฟล์
หากเปิดไฟล์ที่มีนามสกุล EXE ไวรัสจะตรวจสอบภายใน
จัดรูปแบบและเขียนโค้ดลงในไฟล์ หลังจากการติดเชื้อไวรัสจะตรวจสอบ
วันที่ของระบบและการเรียกขั้นตอนการลบ Flash BIOS และเซกเตอร์ดิสก์ (ดูด้านบน)

เมื่อลบ Flash BIOS ไวรัสจะใช้พอร์ตที่เกี่ยวข้อง
อ่าน/เขียน เมื่อลบเซกเตอร์ของดิสก์ ไวรัสจะเรียกใช้ฟังก์ชัน VxD
เข้าถึงดิสก์ IOS_SendCommand โดยตรง

ไวรัสสายพันธุ์ต่างๆ ที่รู้จัก

ผู้สร้างไวรัสไม่เพียงแต่ปล่อยสำเนาของไฟล์ที่ติดไวรัสออกสู่ระบบเท่านั้น แต่ยังรวมถึง
ส่งข้อความแอสเซมเบลอร์ดั้งเดิมของไวรัสออกไป สิ่งนี้ได้นำไปสู่สิ่งเหล่านี้
ข้อความได้รับการแก้ไข เรียบเรียง และปรากฏในไม่ช้า
การดัดแปลงไวรัสที่มีความยาวต่างกันแต่ในแง่ของการทำงาน
ทั้งหมดสอดคล้องกับ "ผู้ปกครอง" ของพวกเขา ในบางสายพันธุ์ของไวรัสก็มี
วันปฏิบัติการ “วางระเบิด” เปลี่ยนไป หรือส่วนนี้ไม่เคยถูกเรียกเลย

เป็นที่ทราบกันดีอยู่แล้วเกี่ยวกับไวรัสเวอร์ชัน "ดั้งเดิม" ที่ทำงานในแต่ละวัน
แตกต่างจากวันที่ 26 [เมษายน] ข้อเท็จจริงข้อนี้อธิบายได้จากข้อเท็จจริงที่ว่าการตรวจสอบวันที่
รหัสไวรัสเกิดขึ้นตามค่าคงที่สองตัว ตามธรรมชาติเพื่อที่จะ
ตั้งเวลา "ระเบิด" สำหรับวันใดวันหนึ่ง เพียงแค่เปลี่ยน
สองไบต์ในรหัสไวรัส

ซีไอเอช, หรือ "เชอร์โนบิล"(Virus.Win9x.CIH) เป็นไวรัสคอมพิวเตอร์ที่เขียนโดยนักเรียนชาวไต้หวัน Chen Ying Hao ในเดือนมิถุนายน พ.ศ. 2541 เป็นไวรัสประจำถิ่นที่ทำงานภายใต้ระบบปฏิบัติการ Windows 95/98 เท่านั้น

เรื่องราว

เมื่อวันที่ 26 เมษายน 2542 ซึ่งเป็นวันครบรอบอุบัติเหตุเชอร์โนบิล ไวรัสได้เริ่มทำงานและทำลายข้อมูลในฮาร์ดไดรฟ์ของคอมพิวเตอร์ที่ติดไวรัส ในคอมพิวเตอร์บางเครื่อง เนื้อหาของชิป BIOS เสียหาย มันเป็นเรื่องบังเอิญของวันที่เปิดใช้งานไวรัสและวันที่เกิดอุบัติเหตุเชอร์โนบิลที่ทำให้ไวรัสมีชื่อที่สองว่า "เชอร์โนบิล" ซึ่งได้รับความนิยมในหมู่คนมากกว่า "CIH"

ตามการประมาณการต่างๆ คอมพิวเตอร์ส่วนบุคคลประมาณครึ่งล้านเครื่องทั่วโลกได้รับผลกระทบจากไวรัส

ตามรายงานของ The Register เมื่อวันที่ 20 กันยายน พ.ศ. 2543 ทางการไต้หวันได้จับกุมผู้สร้างไวรัสคอมพิวเตอร์อันโด่งดัง

ชื่อ

ไวรัส CIH มีชื่อว่า "เชอร์โนบิล" ที่มาของชื่อมีสองเวอร์ชันที่เป็นไปได้:

  1. ไวรัสทำให้เกิดความเสียหายร้ายแรงต่อคอมพิวเตอร์หลายเครื่องทั่วโลก
  2. วันที่ปฏิบัติการของ "ระเบิดตรรกะ" ที่ผู้เขียนปลูกนั้นตรงกับวันที่เกิดอุบัติเหตุที่โรงไฟฟ้านิวเคลียร์เชอร์โนบิลเมื่อวันที่ 26 เมษายน

การแพร่กระจาย

ไวรัสที่ใช้งานได้ตัวแรกถูกค้นพบในเดือนมิถุนายน พ.ศ. 2541 ในไต้หวัน ซึ่งเป็นผู้เขียนคอมพิวเตอร์ที่ติดไวรัสในมหาวิทยาลัยของเขา ในสัปดาห์หน้า มีการบันทึกการแพร่ระบาดของไวรัสในออสเตรีย ออสเตรเลีย อิสราเอล และสหราชอาณาจักร ต่อมาพบร่องรอยของไวรัสในหลายประเทศ รวมถึงรัสเซียด้วย การติดไวรัสในเว็บเซิร์ฟเวอร์ในอเมริกาหลายแห่งที่จำหน่ายเกมคอมพิวเตอร์ทำให้เกิดการแพร่ระบาดของไวรัสไปทั่วโลกซึ่งเริ่มขึ้นเมื่อวันที่ 26 เมษายน พ.ศ. 2542 “ระเบิดลอจิก” เกิดขึ้นบนคอมพิวเตอร์ครึ่งล้านเครื่อง ทำลายข้อมูลในฮาร์ดไดรฟ์ และสร้างความเสียหายให้กับข้อมูลบนชิป BIOS

หลักการทำงาน

เมื่อมีการเปิดไฟล์ที่ติดไวรัส ไวรัสจะเขียนโค้ดลงในหน่วยความจำ Windows โดยขัดขวางการเปิดไฟล์ EXE และเขียนโค้ดที่เป็นอันตรายลงในไฟล์เหล่านั้น ไวรัสสามารถสร้างความเสียหายให้กับข้อมูลใน Flash BIOS และฮาร์ดไดรฟ์ของคอมพิวเตอร์ได้ ทั้งนี้ขึ้นอยู่กับวันที่ปัจจุบัน

ผู้เขียนไวรัส

Chen Ing Hau เกิดเมื่อวันที่ 25 สิงหาคม พ.ศ.2518 ประเทศไต้หวัน
Chen เขียน CIH ขณะศึกษาอยู่ที่มหาวิทยาลัย Tatung ในไทเป เมื่อเขาสร้างไวรัส เขาได้รับการตำหนิอย่างรุนแรงจากมหาวิทยาลัย
เมื่อรู้ว่าไวรัสแพร่ระบาด เขาก็รู้สึกวิตกกังวล เพื่อนร่วมชั้นบางคนแนะนำเขาอย่างยิ่งว่าอย่ายอมรับว่าสร้างไวรัส แต่ตัวเขาเองมั่นใจว่าหากให้เวลาเพียงพอ ผู้เชี่ยวชาญด้านความปลอดภัยจะสามารถเข้าใจเรื่องนี้ได้ ดังนั้น ก่อนสำเร็จการศึกษาจากมหาวิทยาลัย เขาจึงเขียนคำขอโทษอย่างเป็นทางการบนอินเทอร์เน็ต โดยเขาขอการอภัยจากประชาชนชาวจีนที่คอมพิวเตอร์ได้รับความเสียหายอย่างเปิดเผย เนื่องจากเขารับราชการทหาร เฉินจึงไปรับราชการ ตามกฎหมายของไต้หวันในเวลานั้น เขาไม่ได้ฝ่าฝืนกฎหมายใดๆ และเขาไม่เคยถูกตั้งข้อหาทางอาญาจากการสร้างไวรัสนี้
ปัจจุบัน Chen ทำงานที่ Gigabyte

ข้อเท็จจริง

  • "เชอร์โนบิล" ใช้งานได้กับ Windows95/98 เท่านั้น
  • ไวรัสมีขนาดค่อนข้างเล็กประมาณ 1 kB
  • ผู้เขียนไวรัสยังได้ส่งซอร์สโค้ดของไวรัสออกไปด้วย
  • ในเดือนพฤษภาคม 2549 Sergei Kazachkov นักศึกษาของมหาวิทยาลัยเทคนิคแห่งหนึ่งใน Voronezh ถูกตัดสินให้จำคุก 2 ปีภายใต้มาตรา 273 แห่งประมวลกฎหมายอาญาของสหพันธรัฐรัสเซียในข้อหาเผยแพร่ไวรัสคอมพิวเตอร์บนอินเทอร์เน็ตรวมถึง CIH

คัดลอกและเรียบเรียงเล็กน้อยจาก Wikipedia

บทความที่เกี่ยวข้อง