###
  • Programok
  • Biztonság
  • hírek
  • Érdekes
  • Tanácsot
  • hírek
  • Vélemények

    • Csernobil cih. Csernobil számítógépes vírus. Csernobil – veszélyes számítógépes vírus

    04.11.2020 Vélemények

    Más néven "Csernobil". Resident vírus, csak Windows95/98 alatt működik, és PE ​​fájlokat fertőz meg
    (Hordozható végrehajtható). Hossza meglehetősen rövid - körülbelül 1 Kb. Volt
    „élve” fedezték fel Tajvanon 1998 júniusában – a vírus szerzője fertőzött
    számítógépek azon a helyi egyetemen, ahol ő (a vírus szerzője) akkoriban tartózkodott
    képzett volt. Egy idő után a fertőzött fájlok (véletlenül?)
    elküldték a helyi internetes konferenciákra, és a vírus kijutott belőle
    Tajvan: a következő héten vírusjárványokat regisztráltak
    Ausztria, Ausztrália, Izrael és Nagy-Britannia. A vírust ekkor fedezték fel
    számos más ország, köztük Oroszország.

    Körülbelül egy hónappal később többen is találtak fertőzött fájlokat
    Játékprogramokat terjesztő amerikai webszerverek. Ezt a tényt,
    Nyilvánvalóan ez volt az oka a későbbi globális vírusjárványnak. 26
    1999 áprilisa (kb. egy évvel a vírus megjelenése után) működött
    kódjába ágyazott "logikai bomba". Különböző becslések szerint ezen a napon
    szerte a világon körülbelül félmillió számítógép érintett – volt
    A merevlemezen lévő adatok megsemmisültek, néhányon pedig megsérültek is
    az alaplapokon lévő BIOS chipek tartalma. Ez az eset valóra vált
    számítógépes katasztrófa - vírusjárványok és azok következményei még soha nem voltak tapasztalhatók
    Ráadásul nem voltak olyan nagyszabásúak, és nem hoztak ekkora veszteséget.

    Nyilvánvalóan azon okok miatt, hogy 1) a vírus valós veszélyt jelentett a számítógépekre közben
    az egész világon és 2) a vírus működésének időpontja (április 26.) egybeesik
    baleset a csernobili atomerőműben, a vírus megkapta a másodikat
    név - "Csernobil"

    A vírus szerzője valószínűleg nem a csernobili tragédiával hozta összefüggésbe
    vírusával, és április 26-ra tűzte ki a „bomba” felrobbanásának dátumát.
    egy másik ok: 1998. április 26-án adta ki az első verziót
    vírusának (amely egyébként soha nem hagyta el Tajvant) - 26
    Áprilisban a CIH vírus is hasonló módon ünnepli „születésnapját”.

    Hogyan működik a vírus

    Amikor egy fertőzött fájlt futtat, a vírus telepíti a kódját Windows memória,
    elfogja a fájlkéréseket és ír a fájlba a PE EXE fájlok megnyitásakor
    nekik a te példányod. Hibákat tartalmaz, és bizonyos esetekben lefagy a rendszer
    fertőzött fájlok futtatásakor. Attól függően, hogy a mostani dátum törli a Flash-t
    BIOS és lemez tartalma.

    A Flash BIOS-ba írás csak a megfelelő típusú alaplapokon lehetséges.
    táblák, és amikor a megfelelő kapcsoló engedélyezve van. Ez
    A kapcsoló általában csak olvashatóra van állítva, azonban ez
    Ez nem minden számítógépgyártóra igaz. Sajnos Flash BIOS
    előfordulhat, hogy egyes modern alaplapok nem védettek
    kapcsoló: némelyikük bármilyen helyzetben lehetővé teszi a Flash-felvételt
    kapcsoló; másokon a Flash írásvédelme programozottan felülírható.

    A Flash memória sikeres törlése után a vírus átkerül egy másikra
    destruktív eljárás: törli az összes telepített információt
    merevlemezek. Ebben az esetben a vírus közvetlen hozzáférést használ a lemezen lévő adatokhoz és
    ezzel megkerülve a BIOS-ba épített szabványt vírusvédelem tól től
    rendszerindító szektorokba ír.

    A vírusnak három fő („szerzői”) változata létezik. Eléggé hasonlóak
    egymást, és csak kisebb kódrészletekben különböznek egymástól
    szubrutinok A vírus verziói eltérő hosszúságúak, szövegsorosak és dátummal rendelkeznek
    a lemeztörlési eljárás és a Flash BIOS elindítása:


    Szöveg hosszának aktiválási dátuma „élőben” észlelve
    1003 CIH 1.2 TTIT április 26. Igen
    1010 CIH 1.3 TTIT április 26. sz
    1019 CIH 1.4 TATUNG 26 minden hónap Igen – sok országban

    Műszaki információk

    Fájlok megfertőzésekor a vírus „lyukakat” (fel nem használt adatok blokkjait) keres bennük, és
    beírja beléjük a kódját. Az ilyen „lyukak” jelenléte a szerkezetnek köszönhető
    PE fájlok: az egyes szakaszok pozíciója a fájlban egy bizonyoshoz igazodik
    a PE fejlécben megadott érték, és a legtöbb esetben a vége között
    az előző szakasz és a következő eleje bizonyos számú bájttal rendelkezik,
    amelyeket a program nem használ. A vírus megkeresi a fájlban az ilyen nem használtakat
    blokkolja, beírja beléjük a kódját és megnöveli a kívánt értékkel
    módosított szakaszméret. A fertőzött fájlok mérete nem növekszik.

    Ha egy megfelelő méretű "lyuk" van bármelyik szakasz végén,
    a vírus egy blokkban írja bele a kódját. Ha nincs ilyen „lyuk”,
    a vírus blokkokra bontja a kódját, és különféle szakaszok végére írja azokat
    fájlt. Így a fertőzött fájlok víruskódja észlelhető
    egyetlen kódblokkként és több nem kapcsolódó blokkként is.

    A vírus a PE fejlécben is keres egy nem használt adatblokkot. Ha a végén
    fejlécben van egy legalább 184 bájt méretű „lyuk”, a vírus erre ír
    az indítási eljárást. A vírus ezután megváltoztatja a fájl kezdőcímét:
    beírja az indítási eljárásának címét. Ennek a megközelítésnek az eredményeként
    a fájlszerkezet meglehetősen nem szabványossá válik: a kezdés címe
    A program eljárások nem a fájl bármely szakaszára mutatnak, hanem azon túlra
    betöltött modul - a fájl fejlécében. A Windows95 azonban nem fizet
    figyelni az ilyen „furcsa” fájlokra, betölti a fájl fejlécét a memóriába, majd
    minden szakaszt és átadja a vezérlést a fejlécben megadott címre - a
    vírusindítási eljárás a PE fejlécben.

    Az ellenőrzés megszerzése után a vírusindítási eljárás lefoglal egy memóriablokkot
    A VMM meghívja a PageAllocate programot, oda másolja a kódját, majd meghatározza a címeket
    a fennmaradó víruskód blokkokat (a szakaszok végén található), és hozzáfűzi azokat
    az indítási eljárás kódjához. A vírus ekkor elkapja az IFS API-t és
    visszaadja a vezérlést a gazdagépnek.

    Az operációs rendszer szempontjából ez az eljárás a legérdekesebb
    vírus: miután a vírus bemásolta a kódját új blokk memória és
    ott átadta az irányítást, a víruskód Ring0 alkalmazásként fut le, és
    a vírus képes elkapni az AFS API-t (programoknál ez lehetetlen
    Ring3-ban végrehajtva).

    Az IFS API elfogó csak egy funkciót kezel - a fájlok megnyitását.
    Ha egy fájlt a EXE kiterjesztés, a vírus ellenőrzi a belső
    formátumban, és beírja a kódját a fájlba. A fertőzés után a vírus ellenőrzi
    rendszerdátumot, és meghívja a Flash BIOS és a lemezszektorok törlésének eljárását (lásd fent).

    A Flash BIOS törlésekor a vírus a megfelelő portokat használja
    olvasás/írás, lemezszektorok törlésekor a vírus meghívja a VxD függvényt
    közvetlen hozzáférés a lemezekhez IOS_SendCommand.

    Ismert vírusváltozatok

    A vírus szerzője nemcsak a fertőzött fájlok másolatait bocsátotta a vadonba, hanem azt is
    kiküldte a vírus eredeti assembler szövegeit. Ez vezetett ezekhez
    a szövegeket kijavították, összeállították és hamarosan megjelentek
    a vírus különböző hosszúságú módosításai, de a funkcionalitás szempontjából igen
    mindegyik a „szülőjének” felelt meg. A vírus egyes változataiban előfordult
    a „bomba” művelet dátuma megváltozott, vagy ezt a szakaszt egyáltalán nem hívták.

    Ismeretesek a vírus „eredeti” változatai is, amelyek napközben működnek
    eltér [április 26-tól]. Ezt a tényt az magyarázza, hogy a dátum ellenőrzése
    A víruskód két konstans szerint fordul elő. Természetesen annak érdekében
    állítson be egy "bomba" időzítőt bármely adott napra, csak változtassa meg
    két bájt a víruskódban.

    Csernobil – veszélyes számítógépes vírus

    A vírus csak egy személy által írt program, amely nem befolyásolja a számítógépen dolgozó felhasználó egészségét. Nincs alapjuk azoknak a tündérmeséknek és pletykáknak, amelyek szerint a vírusok a képernyőn megjelenő színsémák és egyéb effektusok révén megölik az agyat és megőrjítik az embert. Vírusok százai jutnak be a számítógépbe, ez elsősorban a felhasználó számítógépes analfabéta és az adathordozók (lemezek, flash meghajtók) használatának képtelensége miatt történik.

    – a Windows 95 és Windows 98 rendszereket megfertőző rezidens vírusokra vonatkozik.A vírus mérete elhanyagolható, mindössze 1 KB. A befecskendezést követően a vírus minden adatot töröl a lemezekről, kódját beírja a program memóriájába, és ezzel egyidejűleg elfogja az alapvető parancsokat a fájlokhoz. Ezután másolatokat ír magáról az érintett fájlokra. A memória eltávolítása után törli az információkat a merevlemezekről, így megtisztítja az utat a számítógép összes lemezéhez és lemezinformációjához.

    A vírus szerzője egy tajvani diák, Chen Ying Hao, aki megírta és életre hívta a vírust 1998-ban. A vírusnak eddig három eredeti példánya van. A szöveg hosszú sorában és a bevezetés és a vereség időpontjában különböznek egymástól Windows programok. A számítógépek első tömeges megsemmisítése egybeesett Csernobil április 26-i évfordulójával. 1999, a vírus aktiválásának és a csernobili robbanás időpontjának egybeesése adta a vírus nevét. A tajvani egyetemről, ahol a vírus szerzője tanult, gyorsan átterjedt az országon, majd a járvány átterjedt Izraelre, Ausztriára, Nagy-Britanniára, Ausztráliára, majd egy idő után eljutott Oroszországba is. A programok egy ismeretlen vírus általi, és ekkora léptékű veresége riasztotta a közvéleményt, ekkor félmillióan érintettek személyi számítógépek. Leginkább a személyi számítógépek BIOS chipjei érintettek.

    Érdekes tudni, hogy mi szerepel a világ tíz különösen veszélyes vírusa között. Szerzője, amikor tudomást szerzett az agyszüleménye által okozott kár mértékéről, nyilvánosan bocsánatot kért. Rossz hírnevet hozott neki az egyetemi vicc, amellyel éppen az oktatási folyamatot akarta megzavarni egyeteme keretein belül. De az ország törvényei szerint a diák nem szegte meg a törvényt, és nem ítélték el.

    És ami a legfontosabb, a vírus évente egyszer indul ki - április 26-án, az érintett rendszer indítása okozza, és a munka végeztével mindig a memóriában marad, megfertőzve más programokat, megfigyelve a számítógép-tulajdonosok tevékenységét. Nagyon nehéz eltávolítani egy vírust, az eltávolítás után sok fájl és dokumentum elveszik. Jó tanács - ne távolítsa el saját maga a vírust a számítógépéről, forduljon szakemberhez, ez a lehetőség, hogy minél több fájlt mentsen el, és segítsen számítógépének visszanyerni erejét. Reproduktív képesség rosszindulatú pánikot keltenek a felhasználók között. Csak a vírus eltávolításának és kezelésének megfelelő megközelítése mentesíti meg a felhasználót a kellemetlenségektől.

    Minden hónap 26-án, a pusztító víruskód kioldása után a számítógépes alaplapokat a szemétbe lehet dobni. De csak akkor, ha ezeken a Win95.CIH vírussal fertőzött számítógépeken a Flash BIOS írási kapcsolója olyan helyzetben volt, amely lehetővé tette az írást erre a ROM-ra. És általában minden számítógépet ezzel a kapcsolóállással szállítanak és értékesítenek.

    A Win95.CIH vírust Tajvanon írták, szerzője az interneten keresztül terjesztette, és jelenleg a legtöbb délkelet-ázsiai országot, valamint néhány európai országot érintett (különösen Svédországot érintette nagyon súlyosan).

    A Win95.CIH vírus könnyen felismerhető és kezelhető a Dr. programmal. Webes verziók 4.01. Kérjük, ellenőrizze az összes bejövő fájlt. Legyen különösen óvatos az interneten keresztül kapott összes fájl esetében.


    A Win95.CIH vírus leírása

    Nagyon veszélyes rezidens vírus. A Windows 95 operációs rendszert futtató EXE PE formátumú fájlokat fertőzi meg.A fájlok megfertőzésekor a vírus nem növeli meg azok hosszát, hanem egy meglehetősen érdekes mechanizmust alkalmaz a fájlok megfertőzésére. Az EXE PE-fájl minden kódrészlete meghatározott számú bájthoz igazodik, amelyet általában nem használ a program. A vírus a kódja egy részét ilyen területekre írja, néha „szétszórja” azokat a teljes fájlban (vagy az összes kódszakaszban). A vírus az EXE PE fájl fejlécébe is beírhatja az indítási eljárását (az az eljárás, amely először kapja meg az irányítást a program indításakor), vagy akár a teljes kódját is, és beállíthatja a program belépési pontját erre az indítási eljárásra. Így egy fájl belépési pontja nem tartozhat a fájl egyik kódrészéhez sem.

    Az irányítás átvételekor a vírus a PageAllocate függvény meghívásával lefoglal magának egy memóriablokkot, és „darabonként összeállítja magát” egyetlen egésszé ezen a lefoglalt memóriaterületen. Ezután a Win95.CIH elfogja az IFS API-t, és átadja az irányítást a vírushordozó programnak. Az EXE kiterjesztésű és PE ​​formátumú fájlok megnyitásakor a vírus megfertőzi azokat.

    A vírus minden hónap 26-án megsemmisíti a Flash BIOS tartalmát, véletlenszerű adatokat ("szemetet") írva bele. Ennek eredményeként az első újraindítás után a számítógép leáll. És általában még ipari körülmények között is meglehetősen nehéz visszaállítani a Flash BIOS tartalmát és visszaállítani a számítógép működését.

    Jelenleg a Win95.CIH vírus 3, 1003, 1010 és 1019 bájt hosszúságú módosítása létezik. Ezek a vírusok szervezetükben a következő szövegeket tartalmazzák:

    Win95.CIH.1003 – CIH v1.2 TTIT

    Win95.CIH.1010 – CIH v1.3 TTIT

    Win95.CIH.1019 – CIH v1.4 TATUNG

    P.S. Véleményem szerint kissé korai az a javaslat, hogy a Win95.CIH vírus által sérült alaplapokat a szemétbe dobják. A Flash BIOS speciális ismeretekkel akár otthon is újraprogramozható. Ha még nem szerezte meg ezeket a készségeket, vegye fel a kapcsolatot az „anya” eladóival vagy képviselőivel, és kérje a Flash BIOS cseréjét.

    CIH, vagy "Csernobil"(Virus.Win9x.CIH) Számítógépes vírus Chen Ying Hao tajvani diák írta 1998 júniusában. Ez egy állandó vírus, amely csak Windows 95/98 operációs rendszer alatt fut.

    Sztori

    1999. április 26-án, a csernobili baleset évfordulóján a vírus aktivizálódott, és megsemmisítette a fertőzött számítógépek merevlemezein lévő adatokat. Egyes számítógépeken a BIOS chipek tartalma megsérült. A vírus aktiválódásának és a csernobili baleset időpontjának egybeesése adta a vírus második „Csernobil” nevét, amely még a „CIH”-nál is népszerűbb az emberek körében.

    Különböző becslések szerint a világon mintegy félmillió személyi számítógépet érintett a vírus.

    A The Register szerint 2000. szeptember 20-án a tajvani hatóságok letartóztatták a híres számítógépes vírus alkotóját.

    Név

    A CIH vírus a "Csernobil" nevet kapta. A név eredetének két lehetséges változata van:

    1. A vírus a világ számos számítógépében jelentős károkat okozott.
    2. A szerző által elhelyezett „logikai bomba” működési időpontja egybeesik a csernobili atomerőműben történt április 26-i balesettel.

    Terítés

    Az első működő vírust 1998 júniusában fedezték fel Tajvanon, a vírus szerzője az egyetemén fertőzte meg a számítógépeket. A következő héten vírusjárványokat regisztráltak Ausztriában, Ausztráliában, Izraelben és az Egyesült Királyságban. A vírus nyomait később több más országban, köztük Oroszországban is megtalálták. Több amerikai webszerver terjesztése fertőzése számítógépes játékok, egy 1999. április 26-án kezdődött globális vírusjárvány okozója volt. Félmillió számítógépen „logikai bombát” robbantottak ki, ami megsemmisítette a merevlemezeken lévő információkat és megsértette a BIOS-chipeken lévő adatokat.

    Munka elvei

    Amikor egy fertőzött fájl elindul, a vírus beírja a kódját a Windows memóriájába, elfogja az EXE fájlok indítását, és ír rájuk. rosszindulatú kód. Az aktuális dátumtól függően a vírus károsíthatja a Flash BIOS-on lévő adatokat és merevlemezek számítógép.

    A vírus szerzője

    Chen Ing Hau, született 1975. augusztus 25-én, Tajvanon.
    Chen CIH-t írt, miközben a Tatung Egyetemen tanult Tajpejben. Amikor létrehozta a vírust, komoly megrovást kapott az egyetemtől.
    Amikor megtudta, hogy a vírus széles körben elterjedt, ideges lett. Néhány osztálytársa határozottan azt tanácsolta neki, hogy ne ismerje el a vírus létrehozását, de ő maga bízott benne, hogy ha elegendő idő áll rendelkezésre, a biztonsági szakértők képesek lesznek rájönni. Ezért még az egyetem elvégzése előtt hivatalos bocsánatkérést írt az interneten, amelyben nyilvánosan bocsánatot kért Kína azon lakosságától, akiknek számítógépe megsérült. Katonai szolgálata miatt Chen szolgálatra ment. Az akkori tajvani törvények szerint semmilyen törvényt nem szegett meg, és soha nem vonták felelősségre a vírus létrehozásáért.
    Chen jelenleg a Gigabyte-nál dolgozik.

    Adat

    • A "Csernobil" csak Windows95/98 alatt működik.
    • A vírus meglehetősen kicsi, körülbelül 1 kB.
    • A vírus szerzője is kiküldte forrás vírus.
    • 2006 májusában Szergej Kazacskovot, az egyik voronyezsi műszaki egyetem hallgatóját az Orosz Föderáció Büntetőtörvénykönyvének 273. cikke alapján 2 év felfüggesztett börtönbüntetésre ítélték számítógépes vírusok, köztük a CIH internetes terjesztése miatt.

    A Wikipédiáról másolva és kissé szerkesztve

    A vírusok általában szoftveres károkat okoznak a számítógépben. A vírusok így vagy úgy megnehezítik a számítógép munkáját, figyelnek vagy ellopnak bizonyos felhasználói adatokat. Például egy nagyon kellemetlen, ami nagyon bosszantóan kísérti a felhasználót bármely böngészőben. De ez mind szoftver. Megrongálódott, vírussal fertőzött szoftver gyógyítható vagy pótolható. Vannak olyan vírusok, amelyek károsíthatják a számítógép hardverét?

    Vírus Win95.CIH (Csernobil)

    Csernobil a neve az első számítógépes vírusnak, amely megmutatta, hogy a vírusok nemcsak a szoftvereket, hanem a szoftvereket is megrongálhatják. Hardver számítógép. A csernobili vírus, amelyet 1998-ban írt egy tajvani diák, megsértette néhány számítógép BIOS-tartalmát. alaplapok, ami károsíthatja a alaplap. És voltak ilyen esetek. De mégis, a fő fogás az összes információ megsemmisítése volt merevlemez számítógép. Nos, ez legalább valami plusz, mert a szükség alábbhagyott. Mindazok, akiknek szerencsétlenségük volt megszerezni ezt a vírust, már szenvedtek.

    A vírus keresztnevét - Win95.CIH - szerzőjétől kapta. Egyébként hármat elengedett különböző verziók vírusukat, amelyek nem nagyon különböztek egymástól. Ez igaz, legújabb verzió minden hónap 26-án indul. És minden verziónak megvolt a saját száma. De a második nevet - a csernobili vírust - a számítógépes világ adta neki. Miért? Mert a vírus április 26-án vált aktívvá, és ezen a napon hajtotta végre minden pusztító akcióját. És sajnos 1986-ban ezen a napon történt a csernobili baleset. Bár, mint a vírus szerzője mondja, a vírus indulási dátumát - minden év április 26-át - csak azért választották, mert a vírus maga ünnepelte születésnapját ezen a napon. Ő azonban a maga módján ünnepelt.

    A csernobili vírus veszélye

    A csernobili vírus már nem jelent veszélyt, hiszen ennek a vírusnak a munkakörnyezete a számítógépek működtetése Windows rendszerek 95 és 98. Ez azonban nem jelenti azt, hogy ne állna fenn a számítógép hardverét károsító vírus általi fertőzés veszélye. Ez csak azt jelenti, hogy világszerte sokan tudnak erről a lehetőségről, és szeretnék megismételni a tajvani diák sikerét. És néhánynak már sikerült is. De nem valószínű, hogy híresebbek lesznek, mint Csernobil. Mert a maga nemében az elsőt könnyebb megjegyezni.