###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Cernobîl cih. Virusul informatic Cernobîl. Cernobîl - un virus informatic periculos

    04.11.2020 Recenzii

    Cunoscut și sub numele de „Cernobîl”. Virus rezident, funcționează numai sub Windows95/98 și infectează fișierele PE
    (Executabil portabil). Are o lungime destul de scurtă - aproximativ 1 Kb. A fost
    descoperit „în viață” în Taiwan în iunie 1998 - autorul virusului infectat
    computerele de la universitatea locală în care se afla el (autorul virusului) în acel moment
    a fost antrenat. După ceva timp, fișierele infectate au fost (din întâmplare?)
    trimis la conferințe locale pe internet și virusul a ieșit din
    Taiwan: în săptămâna următoare, au fost înregistrate epidemii virale
    Austria, Australia, Israel și Marea Britanie. Virusul a fost apoi descoperit în
    alte câteva țări, inclusiv Rusia.

    Aproximativ o lună mai târziu, fișierele infectate au fost găsite pe mai multe
    Servere Web americane care distribuie programe de jocuri. Acest lucru,
    Aparent, a fost cauza epidemiei virale globale ulterioare. 26
    Aprilie 1999 (la aproximativ un an de la apariția virusului) a funcționat
    „bombă logică” încorporată în codul său. Potrivit diverselor estimări, în această zi
    în întreaga lume, aproximativ o jumătate de milion de computere au fost afectate – au avut
    Datele de pe hard disk au fost distruse, iar pe unele au fost, de asemenea, deteriorate
    conținutul cipurilor BIOS de pe plăcile de bază. Acest incident a devenit real
    Dezastru informatic - epidemiile virale și consecințele lor nu au mai fost văzute până acum
    Mai mult, nu erau atât de mari și nu aduceau astfel de pierderi.

    Aparent, din motivele pentru care 1) virusul a reprezentat o amenințare reală pentru computere în timpul
    peste tot în lume și 2) data de funcționare a virusului (26 aprilie) coincide cu data
    accident la centrala nucleară de la Cernobîl, virusul a primit al doilea
    nume - „Cernobîl”

    Cel mai probabil, autorul virusului nu a legat tragedia de la Cernobîl cu
    cu virusul său și a stabilit data pentru ca „bomba” să explodeze pe 26 aprilie.
    un alt motiv: pe 26 aprilie 1998 a lansat prima versiune
    a virusului său (care, apropo, nu a părăsit niciodată Taiwanul) - 26
    În aprilie, virusul CIH își sărbătorește „ziua de naștere” într-un mod similar.

    Cum funcționează virusul

    Când rulați un fișier infectat, virusul își instalează codul în memorie Windows,
    interceptează cererile de fișiere și scrie în fișier la deschiderea fișierelor PE EXE
    ei copia ta. Conține erori și în unele cazuri îngheață sistemul
    când rulează fișiere infectate. Depinzând de data curentașterge Flash
    BIOS și conținutul discului.

    Scrierea pe Flash BIOS este posibilă numai pe tipurile corespunzătoare de plăci de bază.
    plăci și când comutatorul corespunzător este setat să permită. Acest
    Comutatorul este de obicei setat doar pentru citire, dar acest lucru
    Acest lucru nu este valabil pentru toți producătorii de computere. Din păcate, Flash BIOS
    este posibil să nu fie protejat pe unele plăci de bază moderne
    comutator: unele dintre ele permit înregistrarea în Flash în orice poziție
    comutator; pe altele, protecția la scriere Flash poate fi suprascrisă în mod programatic.

    După ștergerea cu succes a memoriei Flash, virusul trece la altul
    procedură distructivă: șterge informații despre toate instalate
    hard disk-uri. În acest caz, virusul folosește acces direct la datele de pe disc și
    prin aceasta ocolind standardul încorporat în BIOS protectie antivirus din
    scrie în sectoarele de boot.

    Există trei versiuni principale („autorului”) ale virusului. Ele sunt destul de asemănătoare
    reciproc și diferă doar în detalii minore ale codului în diferite
    subrutine Versiunile virusului au lungimi, linii de text și date diferite
    declanșarea procedurii de ștergere a discului și Flash BIOS:


    Lungime Text Data declanșării Detectat „în direct”
    1003 CIH 1.2 TTIT 26 aprilie Da
    1010 CIH 1.3 TTIT 26 aprilie Nr
    1019 CIH 1.4 TATUNG 26 din fiecare lună Da - în multe țări

    Detalii tehnice

    Când infectează fișiere, virusul caută „găuri” (blocuri de date neutilizate) în ele și
    își scrie codul în ele. Prezența unor astfel de „găuri” se datorează structurii
    Fișiere PE: poziția fiecărei secțiuni din fișier este aliniată la un anumit
    valoarea specificată în antetul PE și, în majoritatea cazurilor, între sfârșit
    secțiunea anterioară și începutul celei următoare au un anumit număr de octeți,
    care nu sunt folosite de program. Virusul caută în fișier astfel de neutilizate
    blochează, își scrie codul în ele și le crește cu valoarea necesară
    dimensiunea secțiunii modificată. Dimensiunea fișierelor infectate nu crește.

    Dacă există o „găuri” de dimensiuni suficiente la capătul oricărei secțiuni,
    virusul își scrie codul într-un singur bloc. Dacă nu există o astfel de „gaură”,
    virusul își împarte codul în blocuri și le scrie la sfârșitul diferitelor secțiuni
    fişier. Astfel, codul virusului din fișierele infectate poate fi detectat
    atât ca un singur bloc de cod, cât și ca mai multe blocuri neînrudite.

    Virusul caută și un bloc de date neutilizat în antetul PE. Dacă la final
    antetul are o „gaură” de cel puțin 184 de octeți, îi scrie virusul
    procedura de pornire. Virusul schimbă apoi adresa de pornire a fișierului:
    scrie în el adresa procedurii sale de pornire. Ca urmare a acestei abordări
    structura fișierului devine destul de nestandard: adresa de început
    procedurile programului nu indică nicio secțiune a fișierului, ci mai departe
    modul încărcat - în antetul fișierului. Cu toate acestea, Windows95 nu plătește
    atenție la astfel de fișiere „ciudate”, încarcă antetul fișierului în memorie, apoi
    toate secțiunile și transferă controlul către adresa specificată în antet - către
    procedura de pornire a virusului în antetul PE.

    După ce a primit controlul, procedura de pornire a virusului alocă un bloc de memorie
    VMM apelează la PageAllocate, își copiază codul acolo, apoi determină adresele
    blocurile rămase de cod viruși (situate la sfârșitul secțiunilor) și le adaugă
    la codul procedurii de pornire. Virusul interceptează apoi API-ul IFS și
    returnează controlul programului gazdă.

    Din punct de vedere al sistemului de operare, această procedură este cea mai interesantă
    virus: după ce virusul și-a copiat codul în bloc nou memorie şi
    a trecut controlul acolo, codul virusului este executat ca aplicație Ring0 și
    virusul este capabil să intercepteze API-ul AFS (acest lucru este imposibil pentru programe
    executat în Ring3).

    Interceptorul IFS API gestionează o singură funcție - deschiderea fișierelor.
    Dacă un fișier este deschis cu Extensie EXE, virusul își verifică interiorul
    formatează și își scrie codul în fișier. După infectare, virusul se verifică
    data sistemului și apelează procedura de ștergere a BIOS Flash și a sectoarelor de disc (vezi mai sus).

    Când ștergeți Flash BIOS, virusul folosește porturile corespunzătoare
    citire/scriere, la ștergerea sectoarelor de disc, virusul apelează funcția VxD
    acces direct la discuri IOS_SendCommand.

    Variante de virus cunoscute

    Autorul virusului a eliberat nu numai copii ale fișierelor infectate în sălbăticie, ci și
    a trimis textele de asamblare originale ale virusului. Acest lucru a dus la acestea
    textele au fost corectate, compilate și au apărut curând
    modificări ale virusului care au avut lungimi diferite, dar din punct de vedere al funcționalității acestea
    toate corespundeau „părintelui” lor. În unele variante ale virusului a existat
    data operațiunii „bombă” a fost schimbată sau această secțiune nu a fost apelată deloc.

    De asemenea, se știe despre versiunile „originale” ale virusului care funcționează în zile
    diferit de 26 [aprilie]. Acest fapt se explică prin faptul că verificarea datei în
    Codul virusului apare în funcție de două constante. Desigur, pentru a
    setați un temporizator „bombă” pentru orice zi, doar schimbați
    doi octeți în codul virusului.

    Cernobîl - un virus informatic periculos

    Un virus este doar un program scris de o persoană care nu afectează sănătatea utilizatorului care lucrează la computer. Basmele și zvonurile că virușii, prin schemele de culori și alte efecte afișate pe ecranul monitorului, ucid creierul și înnebunesc o persoană, nu au nicio bază. Sute de viruși intră într-un computer, acest lucru se întâmplă în principal din cauza analfabetismului computerului utilizatorului și a incapacității de a utiliza medii de stocare (discuri, unități flash).

    – se referă la viruși rezidenți care infectează sistemele Windows 95 și Windows 98. Dimensiunea virusului este neglijabilă, doar 1 KB. Odată injectat, virusul șterge toate datele de pe discuri, își introduce codul în memoria programului și, în același timp, interceptează comenzile de bază ale fișierelor. Apoi scrie copii ale lui însuși pe fișierele afectate. După ce a finalizat eliminarea memoriei, șterge informațiile de pe hard disk-uri, golindu-și astfel calea către toate discurile computerului și informațiile despre disc.

    Autorul virusului este un student din Taiwan, Chen Ying Hao, care a scris virusul și l-a adus la viață în 1998. Până în prezent, există trei copii originale ale virusului. Se deosebesc unul de celălalt într-un șir lung de text și momentul introducerii și înfrângerii programe Windows. Prima distrugere în masă a computerelor a coincis cu aniversarea de la Cernobîl pe 26 aprilie. 1999, coincidența activării virusului și data exploziei de la Cernobîl a dat numele virusului. De la universitatea taiwaneză unde a studiat autorul virusului s-a mutat rapid în toată țara, apoi epidemia s-a extins în Israel, Austria, Marea Britanie, Australia, iar după ceva timp a ajuns în Rusia. Înfrângerea programelor de către un virus necunoscut, și la o scară atât de mare, a alarmat publicul, la acel moment jumătate de milion fiind afectați calculatoare personale. În mare parte, cipurile BIOS ale computerelor personale au fost afectate.

    Este interesant de știut ce este inclus în primii zece viruși deosebit de periculoși din lume. Autorul acesteia, când a aflat de amploarea prejudiciului cauzat de creația sa, și-a cerut scuze în mod public. Gluma universitară, cu care tocmai urma să perturbe procesul educațional în limitele universității sale, i-a adus faimă proastă. Dar conform legilor țării, studentul nu a încălcat legea și nu a fost condamnat.

    Și cel mai important, virusul se declanșează o dată pe an - pe 26 aprilie, este cauzat de pornirea sistemului afectat, iar la terminarea lucrărilor rămâne întotdeauna în memorie, infectând alte programe, observând acțiunile proprietarilor de PC-uri. Este foarte dificil să eliminați un virus; după eliminare, multe fișiere și documente se pierd. Un sfat bun - nu elimina singur virusul de pe computer, contactați un specialist, aceasta este șansa dvs. de a salva cât mai multe fișiere și de a vă ajuta computerul să-și recapete puterea. Capacitate de reproducere malware semăna panica printre utilizatori. Doar o abordare competentă pentru eliminarea și tratarea virusului va elibera utilizatorul de neplăceri.

    În data de 26 a fiecărei luni, după declanșarea codului virusului distructiv, plăcile de bază ale computerelor pot fi aruncate la gunoi. Dar numai dacă aceste computere infectate cu virusul Win95.CIH aveau comutatorul de scriere Flash BIOS într-o poziție care permitea scrierea în acest ROM. Și, de regulă, toate computerele sunt furnizate și vândute cu această poziție a comutatorului.

    Virusul Win95.CIH a fost scris în Taiwan, distribuit de autorul său prin internet și a afectat în prezent majoritatea țărilor din Asia de Sud-Est, precum și unele țări europene (în special, Suedia a fost foarte grav afectată).

    Virusul Win95.CIH poate fi ușor detectat și tratat folosind programul Dr.. versiuni web 4.01. Vă rugăm să verificați toate fișierele primite. Fiți deosebit de atenți la toate fișierele primite prin Internet.


    Descrierea virusului Win95.CIH

    Un virus rezident foarte periculos. Infectează fișierele în format EXE PE care rulează sistemul de operare Windows 95. Când infectează fișierele, virusul nu crește lungimea acestora, ci folosește un mecanism destul de interesant pentru infectarea fișierelor. Fiecare secțiune de cod a unui fișier EXE PE este aliniată la un anumit număr de octeți, de obicei neutilizați de program. Virusul scrie părți din codul său în astfel de zone, uneori „împrăștiindu-le” în întregul fișier (sau în toate secțiunile de cod). Un virus își poate scrie, de asemenea, procedura de pornire (procedura care primește mai întâi controlul la pornirea programului) sau chiar întregul său cod în zona antetului fișierului EXE PE și setează punctul de intrare al programului la această procedură de pornire. Astfel, punctul de intrare al unui fișier poate să nu aparțină niciunei secțiuni de cod a fișierului.

    Când primește controlul, virusul își alocă un bloc de memorie apelând funcția PageAllocate și „se adună bucată cu bucată” într-un singur întreg în această zonă de memorie alocată. Apoi, Win95.CIH interceptează API-ul IFS și oferă control programului purtător de viruși. La deschiderea fișierelor cu extensia EXE și formatul PE, virusul le infectează.

    Pe data de 26 a fiecărei luni, virusul distruge conținutul BIOS-ului Flash, scriind date aleatorii („gunoi”) în el. Ca urmare, după prima repornire, computerul nu mai pornește. Și, de regulă, chiar și în condiții industriale este destul de dificil să restabiliți conținutul Flash BIOS și să readuceți computerul la funcționalitate.

    În prezent, există 3 modificări ale virusului Win95.CIH, cu lungimea de 1003, 1010 și 1019 octeți. Acești viruși conțin în corpul lor următoarele texte:

    Win95.CIH.1003 - CIH v1.2 TTIT

    Win95.CIH.1010 - CIH v1.3 TTIT

    Win95.CIH.1019 - CIH v1.4 TATUNG

    P.S. În opinia mea, propunerea de a arunca la gunoi plăcile de bază deteriorate de virusul Win95.CIH este oarecum prematură. Flash BIOS, cu abilități speciale, poate fi reprogramat chiar și acasă. Dacă nu ați dobândit încă astfel de abilități, ar trebui să contactați vânzătorii sau reprezentanții producătorului „mamei” dumneavoastră cu o solicitare de înlocuire a BIOS-ului Flash.

    CIH, sau „Cernobîl”(Virus.Win9x.CIH) virus de calculator, scris de studentul taiwanez Chen Ying Hao în iunie 1998. Este un virus rezident care rulează numai sub sistemul de operare Windows 95/98.

    Poveste

    Pe 26 aprilie 1999, la aniversarea accidentului de la Cernobîl, virusul a devenit activ și a distrus datele de pe hard disk-urile computerelor infectate. Pe unele computere, conținutul cipurilor BIOS a fost corupt. Coincidența dintre data activării virusului și data accidentului de la Cernobîl a dat virusului al doilea nume „Cernobîl”, care este chiar mai popular printre oameni decât „CIH”.

    Potrivit diverselor estimări, aproximativ o jumătate de milion de computere personale din întreaga lume au fost afectate de virus.

    Potrivit The Register, la 20 septembrie 2000, autoritățile taiwaneze l-au arestat pe creatorul celebrului virus informatic.

    Nume

    Virusul CIH a fost numit „Cernobîl”. Există două versiuni posibile ale originii numelui:

    1. Virusul a provocat daune majore multor computere din întreaga lume.
    2. Data de funcționare a „bombei logice” instalată de autor coincide cu data accidentului de la centrala nucleară de la Cernobîl din 26 aprilie.

    Răspândirea

    Primul virus funcțional a fost descoperit în iunie 1998 în Taiwan; autorul virusului a infectat computerele de la universitatea sa. În săptămâna următoare, au fost înregistrate epidemii virale în Austria, Australia, Israel și Marea Britanie. Urme ale virusului au fost găsite ulterior în alte câteva țări, inclusiv în Rusia. Infectarea mai multor servere web americane care se distribuie jocuri pe calculator, a fost cauza unei epidemii virale globale care a început pe 26 aprilie 1999. O „bombă logică” a fost declanșată pe jumătate de milion de computere, distrugând informațiile de pe hard disk și dăunând datele de pe cipurile BIOS.

    Principii de lucru

    Când un fișier infectat este lansat, virusul își scrie codul în memoria Windows, interceptând lansarea fișierelor EXE și scriind în ele cod rău intenționat. În funcție de data curentă, virusul poate deteriora datele din Flash BIOS și hard disk-uri calculator.

    Autorul virusului

    Chen Ing Hau, născut pe 25 august 1975, Taiwan.
    Chen a scris CIH în timp ce studia la Universitatea Tatung din Taipei. Când a creat virusul, a primit o mustrare serioasă de la universitate.
    Când a aflat că virusul s-a răspândit, a devenit nervos. Unii dintre colegii săi l-au sfătuit cu fermitate să nu admită că a creat virusul, dar el însuși era încrezător că, având suficient timp, experții în securitate vor putea să-și dea seama. Prin urmare, chiar înainte de a absolvi facultatea, a scris o scuză oficială pe internet, în care a cerut public iertare de la poporul Chinei ale căror computere au fost avariate. Din cauza serviciului său militar, Chen a mers să servească. Conform legilor taiwaneze de la acea vreme, el nu a încălcat nicio lege și nu a fost niciodată acuzat penal pentru crearea acestui virus.
    Chen lucrează în prezent la Gigabyte.

    Date

    • „Cernobyl” funcționează numai sub Windows95/98.
    • Virusul este destul de mic ca dimensiune, aproximativ 1 kB.
    • Autorul virusului a trimis și el sursă virus.
    • În mai 2006, Serghei Kazachkov, student la una dintre universitățile tehnice din Voronezh, a fost condamnat la 2 ani de închisoare cu suspendare în temeiul articolului 273 din Codul Penal al Federației Ruse pentru distribuirea de viruși informatici pe internet, inclusiv CIH.

    Copiat și lipit și ușor editat de pe Wikipedia

    De obicei, virușii provoacă daune software-ului unui computer. Într-un fel sau altul, virușii complică munca computerului, monitorizează sau fură unele date ale utilizatorului. De exemplu, una foarte neplăcută, care bântuie foarte enervant pe utilizator în orice browser. Dar totul este software. Corupt, infectat cu un virus software poate fi fie vindecat, fie înlocuit. Există viruși care pot deteriora hardware-ul computerului?

    Virus Win95.CIH (Cernobîl)

    Cernobîl este numele dat primului virus informatic, care a arătat că virușii pot corupe nu numai software-ul, ci și Hardware calculator. Virusul Cernobîl, scris în 1998 de un student taiwanez, a corupt conținutul BIOS al unor plăci de bază, care ar putea cauza daune placa de baza. Și au fost astfel de cazuri. Dar totuși, felul principal a fost distrugerea tuturor informațiilor din hard disk calculator. Ei bine, cel puțin este un fel de plus, pentru că nevoia s-a domolit. Toți cei care au avut ghinionul de a dobândi acest virus au suferit deja.

    Virusul și-a primit prenumele - Win95.CIH - de la autorul său. Apropo, a eliberat trei versiuni diferite virusul lor, care nu erau foarte diferiți unul de celălalt. Este adevarat, ultima versiune lansat pe 26 a fiecărei luni. Și fiecare versiune avea propriul său număr. Dar al doilea nume - virusul Cernobîl - i-a fost dat de lumea computerelor. De ce? Pentru că virusul a devenit activ pe 26 aprilie și și-a desfășurat toate acțiunile distructive în acea zi. Și tocmai în această zi din 1986, din păcate, a avut loc accidentul de la Cernobîl. Deși, după cum spune autorul virusului, data de lansare a virusului - 26 aprilie a fiecărui an - a fost aleasă doar pentru că virusul însuși și-a sărbătorit ziua de naștere în această zi. Cu toate acestea, a sărbătorit în felul său.

    Pericolul virusului Cernobîl

    Virusul Cernobîl nu mai prezintă niciun pericol, deoarece mediul de lucru pentru acest virus este operarea computerelor sisteme Windows 95 și 98. Dar asta nu înseamnă că nu există pericol de infectare cu un virus care va deteriora hardware-ul computerului. Acest lucru înseamnă doar că mulți din întreaga lume știu despre această oportunitate și doresc să repete succesul studentului taiwanez. Și unii au reușit deja. Dar este puțin probabil să devină mai faimoși decât Cernobîl. Pentru că primul de acest fel este mai ușor de reținut.