CIH
| Virus.Win9x.CIH | |
| |
| Skrócona nazwa |
CIH |
|---|---|
| Inne nazwy |
Czarnobyl, Spacefiller |
| Rodzina |
Wirusy |
| Rodzaj |
Portable Executable |
| Kraj pochodzenia |
Tajwan |
| Autor |
Chen Ing-hau (CIH) |
| Dotknięte systemy operacyjne |
Windows 9x |
CIH, znany również jako „Czarnobyl” lub „Spacefiller”, to wirus komputerowy działający na systemach Microsoft Windows 9x, który pojawił się po raz pierwszy w 1998 roku. Jego działanie jest bardzo szkodliwe dla niezabezpieczonych komputerów. Wirus nadpisuje krytyczne informacje na zainfekowanych dyskach, a w niektórych przypadkach potrafi uszkodzić pamięć BIOS. Wirus został stworzony przez Chen Ing-hau (陳盈 豪, pinyin: Chén Yíngháo), który był studentem na Tatung University na Tajwanie. Uważa się, że sześćdziesiąt milionów komputerów zostało zainfekowanych przez wirusa na skalę międzynarodową, co spowodowało szkody komercyjne w wysokości 1 miliarda USD.
Chen twierdził, że napisał wirusa jako wyzwanie przeciwko śmiałym twierdzeniom o skuteczności antywirusowej twórców oprogramowania antywirusowego[1]. Chen stwierdził, że po tym, jak wirus został rozprzestrzeniony na uniwersytecie Tatung przez kolegów z klasy, przeprosił szkołę i udostępnił program antywirusowy do publicznego pobrania; program antywirusowy był stworzony wraz z Weng Shi-hao (翁世豪), studentem na Tamkang University. Prokuratorzy na Tajwanie nie mogli wówczas postawić zarzutów Chenowi, ponieważ żadna ofiara nie wystąpiła z pozwem[2]. Wydarzenia te doprowadziły do powstania nowych przepisów dotyczących przestępczości komputerowej na Tajwanie.
Nazwa „wirus czarnobylski” została wymyślona jakiś czas po tym, jak wirus był już dobrze znany jako CIH, i odnosi się do całkowitej zbieżności daty uruchomienia ładunku w niektórych wariantach wirusa (w rzeczywistości data utworzenia wirusa w 1998 r.) Uruchamia się dokładnie tego samego dnia kiedy wydarzyła się katastrofa w Czarnobylu z 26 kwietnia 1986 na terenie Ukraińskiej Socjalistycznej Republiki Radzieckiej.
Nazwę „Spacefiller” wprowadzono, ponieważ większość wirusów zapisuje swój kod na końcu zainfekowanego pliku, a zainfekowane pliki są wykrywalne, ponieważ zwiększa się ich rozmiar. W przeciwieństwie do tego CIH szuka luk w istniejącym kodzie programu, w którym następnie zapisuje swój własny kod. Nie zwiększa to rozmiaru pliku i w ten sposób pomaga wirusowi uniknąć wykrycia.
Historia[edytuj | edytuj kod]
Wirus pojawił się po raz pierwszy w 1998 roku. W marcu 1999 r. Kilka tysięcy IBM Aptivas dostarczono z wirusem CIH[3], zaledwie miesiąc przed uruchomieniem wirusa. 31 grudnia 1999 r. Yamaha dostarczyła aktualizację oprogramowania na dyski CD-R400, które zostały zainfekowane wirusem. W lipcu 1998 r. Wersja demonstracyjna pierwszoosobowej strzelanki SiN została zainfekowana przez jeden z mirrorów wirusa.[4].
Drugi wariant CIH został opublikowany po raz pierwszy 26 kwietnia 1999 r., A większość szkód miała miejsce w Azji. CIH wypełniał pierwsze 1024 KB dysku rozruchowego hosta zerami, a następnie atakował niektóre typy systemu BIOS. Oba te warianty powodowały, że komputer nie działał, a dla większości zwykłych użytkowników wirus zasadniczo zniszczył komputer. Technicznie jednak możliwe było zastąpienie układu BIOS, a metody odzyskiwania danych z dysku twardego pojawiły się później.
Obecnie CIH nie jest tak rozpowszechniony, jak kiedyś, ze względu na świadomość zagrożenia oraz fakt, że dotyczy on tylko starszych systemów operacyjnych Windows 9x (95, 98, ME).
Wirus pojawił się ponownie w 2001 r., kiedy wariant robaka LoveLetter w pliku VBS, który zawierał procedurę droppera dla wirusa CIH, krążył w Internecie pod pozorem nagiego zdjęcia Jennifer Lopez.
Zmodyfikowana wersja wirusa o nazwie CIH.1106 została odkryta w grudniu 2002 r., Ale nie jest uważana za poważne zagrożenie.
Specyfika wirusa[edytuj | edytuj kod]
CIH rozprzestrzenia się w formacie Portable Executable w systemach operacyjnych Windows 9x, Windows 95, 98 i ME. CIH nie rozprzestrzenia się w systemach operacyjnych opartych na Windows NT ani systemach operacyjnych opartych na Win16, takich jak Windows 3.x lub starszych
CIH infekuje przenośne pliki wykonywalne, dzieląc większość swojego kodu na małe fragmenty wstawiane w luki między sekcjami powszechnie widoczne w plikach PE i zapisują niewiele ważącą procedurę ponownego złożenia do całości wraz z tablicą lokalizacji własnych segmentów kodu w niewykorzystanej przestrzeni na końcu nagłówka PE. Dzięki temu CIH zyskał inną nazwę „Spacefiller”. Rozmiar wirusa wynosi około 1 kilobajta, ale dzięki nowatorskiej metodzie infekcji pomiędzy pustymi fragmentami w kodzie programu jest bardzo trudny do wykrycia przez programy antywirusowe. Wykorzystuje metody przeskakiwania z pierścieni ochronnych procesora stopnia 3 na 0 w celu przechwycenia wywołań systemowych.
Oba warianty wirusa są bardzo niebezpieczne. Pierwszy nadpisuje pierwszy megabajt (1024 KB) dysku twardego zerami, zaczynając od sektora 0. Spowoduje to usunięcie zawartości tabeli partycji co może spowodować zawieszenie się urządzenia lub wyświetlenie niebieskiego ekranu śmierci.
Drugi ładunek próbuje zapisać się do pamięci Flash BIOS-u. Z powodu czegoś, co może być niezamierzoną funkcją tego kodu, BIOS-y, w których wirusowi uda się zapisać pomyślnie, krytyczny fragment kodu BIOS zostaje nadpisany niszcząc go w efekcie uniemożliwiając uruchomienie komputera. Ta procedura działa tylko na niektórych komputerach. Działał dosyć skutecznie w szczególności na maszynach z płytami głównymi opartymi na chipsecie Intel 430TX, ale najważniejszym czynnikiem wpływając na skuteczność drugiego wariantu wirusa jest rodzaj układu BIOS na płycie głównej. Różne układy pamięci BIOS (lub rodziny układów) mają różne procedury umożliwiające zapis specyficzne dla tych układów. CIH nie testuje rodzajów pamięci BIOS na zainfekowanym komputerze i ma tylko jedną sekwencję umożliwiającą zapis.
W przypadku pierwszego wariantu wszelkie informacje, które wirus zastąpił zerami, są tracone. Jeśli pierwszą partycją jest FAT32 i jest większa od 1 gigabajta, Wszystkie dane MBR, tablica partycji, sektor rozruchowy pierwszej partycji i pierwszą kopia FAT partycji MBR i sektor rozruchowy można po prostu zastąpić kopiami standardowych wersji.Tablicę partycji można odbudować skanując dysk a kopię partycji FAT można przywrócić z pomocą kopii zawartej w dalszych sektorach. Oznacza to, że pełne odzyskiwanie bez utraty danych użytkownika może być wykonywane automatycznie przez narzędzie takie jak Fix CIH.
Jeśli pierwsza partycja nie ma systemu plików FAT32 lub jest mniejsza niż 1 GB, większość danych użytkownika na tej partycji pozostanie nienaruszona, ale bez katalogu głównego i systemu plików FAT co sprawi że będzie trudna do odzyskania, szczególnie w przypadku znacznej fragmentacji.
Jeśli drugi wariant zainfekuje dysk z pamięcią BIOS, komputer w ogóle się nie uruchomi. Podczas takiej sytuacji trzeba p przeprogramować lub wymienić układ BIOS, ponieważ większość systemów, na których CIH został wywołany nie posiadało systemu BIOS w wersji dual.
CIH v1.2 / CIH.1003[edytuj | edytuj kod]
Ten wariant jest najczęstszy i aktywuje się 26 kwietnia.
Zawiera ciąg: CIH v1.2 TTIT
CIH v1.3 / CIH.1010. A i CIH1010. b[edytuj | edytuj kod]
Ten wariant aktywuje się również 26 kwietnia. Zawiera ciąg: CIH v1.3 TTIT
CIH v1.4 / CIH.1019[edytuj | edytuj kod]
Ten wariant aktywuje się 26 dnia każdego miesiąca. Nadal jest na aktywny choć nie jest tak powszechny. Zawiera ciąg CIH v1.4 TATUNG.
CIH.1049[edytuj | edytuj kod]
Ten wariant aktywuje się 2 sierpnia zamiast 26 kwietnia.
Przypisy[edytuj | edytuj kod]
- ↑ parenting.com.tw. 從駭電腦到愛旅行─昔日網路小子陳盈豪.
- ↑ cyy.moj.gov.tw. 打擊駭客,不再無法可施.
- ↑ Weil, Nancy. „Some Aptivas shipped with CIH virus”. CNN. April 8, 1998. Retrieved on march 28, 1998.
- ↑ US Report: Gamers believe Activision’s ‘SiN’ carries CIH virus – ZDNet.co.uk. news.zdnet.co.uk. [zarchiwizowane z tego adresu (2009-04-17)]..
Linki zewnętrzne[edytuj | edytuj kod]
- YouTube Prezentacja działania wirusa
- YouTube „Pięć ciekawych wirusów komputerowych” 4:07-5:37
- Baza danych F-Secure CIH. f-secure.com. [zarchiwizowane z tego adresu (2006-06-15)].
- Strona techniczna F-Secure CIH
- Strona techniczna CIH firmy Symantec
- Artykuł w wiadomości na temat e-maila Jennifer Lopez. news.zdnet.co.uk. [zarchiwizowane z tego adresu (2005-03-10)].
- FIX-CIH – strona Steve’a Gibsona na temat naprawy większości szkód spowodowanych przez CIH
- Kod źródłowy CIH 1.4