“Çernobil”: diskleri ve bilgisayarları yok eden bir virüsü kim ve neden yarattı? Bilgisayar virüsü Çernobil Sonra ne oldu?

Şimdi muhtemelen çok az kişi hatırlıyor, ancak 26 Nisan sadece Çernobil trajedisinin meydana geldiği gün değil, aynı zamanda dünya çapında yüzbinlerce bilgisayar kullanıcısının disklerindeki tüm bilgileri ve bazılarının - hatta anakartlarını - kaybettiği tarihtir. CIH virüsü nedeniyle. Size 1999'da neler olduğunu, suçlunun kim olduğunu ve virüsün dünyaya nasıl yayıldığını anlatıyoruz.

Virüsü kim yarattı ve neden?

CIH, Virus.Win9x.CIH veya "Chernobyl", (o zamanlar) Tayvanlı öğrenci Chen Yinghao tarafından yazılmış, yalnızca Windows 95/98/ME işletim sisteminde çalışan bir bilgisayar virüsüdür. İlk olarak Haziran 1998'de Tayvan'da, virüsün yazarının Datung Üniversitesi'ndeki bilgisayarlara bulaştığı yerde "canlı" olarak keşfedildi.

Chen Yinghao bilgisayar başında

Bir süre sonra virüs yerel internet konferansları aracılığıyla yayıldı ve oradan da ülke dışına çıktı. Daha sonra Avusturya, Avustralya, İsrail ve İngiltere'de viral salgınlar kaydedildi. Daha sonra virüs Rusya ve Belarus dahil diğer ülkelere yayıldı.

Yaklaşık bir ay sonra, oyun programları dağıtan birkaç Amerikan web sunucusunda virüslü dosyalar keşfedildi ve bu da küresel bir virüs salgınına katkıda bulundu.

Chen Yinghao'nun virüsü, üniversite bilgisayarlarındaki virüslerle mücadelede işe yaramayan anti-virüs yazılımı satıcılarını cezalandırmak için yarattığını yazıyorlar.

Virüsün tüm dünyaya yayıldığını öğrendiğinde gergindi ama yeterli zamanla güvenlik uzmanlarının bunu çözebileceğinden emindi.

26 Nisan 1999

Bu tarih muhtemelen o dönemde virüs bulaşmış bilgisayarların sahipleri tarafından hala hatırlanmaktadır. Bu gün, virüs kodunun içine yerleştirilmiş “mantıksal bomba” patladı. Çeşitli tahminlere göre, bu gün dünya çapında yaklaşık yarım milyon bilgisayar hasar gördü - sabit disklerindeki veriler yok edildi ve bazılarında anakartlardaki BIOS yongalarının içeriği hasar gördü (bu nedenle tamamen çalışmaz hale geldiler) ).

Bu olay gerçek bir bilgisayar felaketiydi; viral salgınlar ve sonuçları daha önce hiç bu kadar büyük olmamıştı ve bu kadar kayıplara yol açmamıştı.

Çeşitli tahminlere göre virüsün verdiği zarar 20 ila 80 milyon dolar arasında değişiyordu. Bu manevi zararı saymıyor - çok sayıda insan kişisel verilerini kaybetti çünkü 1999'da bulut depolama ve akış hizmetleri henüz yaygın değildi.

Görünüşe göre, virüs dünyanın her yerindeki bilgisayarlar için gerçek bir tehdit oluşturduğundan ve faaliyet tarihi Çernobil nükleer santralindeki kaza tarihiyle çakıştığından, çok daha yaygın olan ikinci adını aldı: "Çernobil".

Virüsün yazarı neredeyse kesinlikle Çernobil trajedisini kendi beyin çocuğuyla hiçbir şekilde ilişkilendirmedi ve “bombanın” operasyon tarihini tamamen farklı bir nedenden dolayı 26 Nisan olarak belirledi: 1998'de bu gün yayınladı. virüsünün ilk versiyonu (bu arada, Tayvan sınırlarını asla aşmadı), yani. Böylece 26 Nisan'da virüs “doğum gününü” kutluyor.

Kurbanlardan biri şunları hatırladı: “Bir uyarı aldıktan sonra tüm ofis, etkinleştirilmemesi için tarihi değiştirdi... Ve o zaman vidayı sökmeyi unutarak nasıl da batırdım... Ve tam bir ay Daha sonra bilgisayar çöktü...”

Virüs nasıl çalıştı?

Virüs bulaşmış bir dosya başlatıldığında, virüs kodunu Windows belleğine yükledi, dosyalara yapılan çağrıları yakaladı ve başlatılan EXE dosyalarını açarken kendisinin bir kopyasını bunlara yazdı. Koddaki hatalar nedeniyle virüs bazen virüslü dosyaları çalıştırırken sistemi donduruyordu. Belirtilen tarih geldiğinde Flash BIOS'u ve disklerin içeriğini silmeye çalıştım.


Anakarttaki BIOS modülü

Flash BIOS'a yazmak yalnızca uygun anakart türlerinde ve ilgili anahtar etkinleştirildiğinde mümkündür. Bu anahtar genellikle salt okunur olarak ayarlanmıştır ancak bu, tüm bilgisayar üreticileri için geçerli değildir.

Ne yazık ki, bazı modern anakartlardaki Flash BIOS bir anahtarla korunamaz: bazıları anahtarın herhangi bir konumunda Flash'a yazmaya izin verir, diğerlerinde ise Flash'a yazma koruması programlı olarak iptal edilebilir.

Virüs, flash belleği sildikten sonra başka bir yıkıcı prosedüre geçti: Kurulu tüm sabit sürücülerdeki bilgileri yok etti. Aynı zamanda, önyükleme sektörlerine yazmaya karşı BIOS'ta yerleşik olan standart anti-virüs korumasını da atladı.

Virüsün üç ana (tescilli adı verilen) sürümü vardır. Birbirlerine oldukça benzerler ve yalnızca çeşitli rutinlerdeki kodun küçük ayrıntılarında farklılık gösterirler. Virüsün sürümleri farklı uzunluklar, metin satırları ve disk silme prosedürünün ve Flash BIOS'un çalışma tarihini aldı.

Hepsi yaklaşık 1 kilobayt boyutundadır. İlk iki versiyon 26 Nisan'da, üçüncüsü ise her ayın 26'sında çalıştı.

Sonra ne oldu?

Virüsün yazarı yalnızca virüsleri yayınlamakla kalmadı, aynı zamanda virüsün orijinal montaj kodlarını da gönderdi. Bu, bu metinlerin düzeltilmesine, derlenmesine ve kısa süre sonra virüsün farklı uzunluklara sahip değişikliklerinin ortaya çıkmasına neden oldu, ancak işlevsellik açısından hepsi "ebeveynlerine" karşılık geldi.

Virüsün bazı varyantlarında “bombanın” faaliyete geçme tarihi değiştirildi ya da bu bölüm hiç kullanılmadı (anlık operasyon). Sonuçta, herhangi bir güne "bomba" zamanlayıcı ayarlamak için virüs kodunda yalnızca iki baytı değiştirmek yeterlidir.

CIH, veya "Çernobil"(Virus.Win9x.CIH), Haziran 1998'de Tayvanlı öğrenci Chen Ying Hao tarafından yazılan bir bilgisayar virüsüdür. Yalnızca Windows 95/98 işletim sistemi altında çalışan yerleşik bir virüstür.

Hikaye

26 Nisan 1999'da Çernobil kazasının yıldönümünde virüs aktif hale geldi ve virüs bulaşan bilgisayarların sabit disklerindeki verileri yok etti. Bazı bilgisayarlarda BIOS yongalarının içeriği bozulmuştu. Virüsün aktifleştiği tarih ile Çernobil kazası tarihinin çakışması, virüse insanlar arasında "CIH"den bile daha popüler olan ikinci adı olan "Çernobil"i kazandırdı.

Çeşitli tahminlere göre dünya genelinde yarım milyona yakın kişisel bilgisayar virüsten etkilendi.

The Register'a göre, 20 Eylül 2000'de Tayvanlı yetkililer ünlü bilgisayar virüsünün yaratıcısını tutukladı.

İsim

CIH virüsüne "Çernobil" adı verildi. İsmin kökeninin iki olası versiyonu vardır:

  1. Virüs dünya çapında birçok bilgisayarda büyük hasara neden oldu.
  2. Yazarın yerleştirdiği "mantıksal bombanın" faaliyete geçme tarihi, 26 Nisan'da Çernobil nükleer santralindeki kaza tarihiyle örtüşüyor.

Yayma

İlk çalışan virüs Haziran 1998'de Tayvan'da keşfedildi; virüsün yazarı, üniversitesindeki bilgisayarlara bulaştı. Önümüzdeki hafta Avusturya, Avustralya, İsrail ve Birleşik Krallık'ta viral salgınlar kaydedildi. Virüsün izleri daha sonra Rusya dahil diğer birçok ülkede de bulundu. Bilgisayar oyunları dağıtan birkaç Amerikan web sunucusunun enfeksiyonu, 26 Nisan 1999'da başlayan küresel bir virüs salgınına neden oldu. Yarım milyon bilgisayarda bir "mantık bombası" tetiklendi, sabit disklerdeki bilgileri yok etti ve BIOS çiplerindeki verilere zarar verdi.

Çalışma prensipleri

Virüslü bir dosya başlatıldığında virüs, kodunu Windows belleğine yazar, EXE dosyalarının başlatılmasını engeller ve bunlara kötü amaçlı kod yazar. Geçerli tarihe bağlı olarak virüs, Flash BIOS ve bilgisayar sabit disklerindeki verilere zarar verebilir.

Virüsün yazarı

Chen Ing Hau, 25 Ağustos 1975, Tayvan'da doğdu.
Chen, Taipei'deki Tatung Üniversitesi'nde okurken CIH'yi yazdı. Virüsü yarattığında üniversiteden ciddi bir kınama aldı.
Virüsün yaygınlaştığını öğrenince tedirgin oldu. Sınıf arkadaşlarından bazıları ona virüsü yarattığını kabul etmemesini şiddetle tavsiye etti, ancak kendisi yeterli zaman verildiğinde güvenlik uzmanlarının bunu çözebileceğinden emindi. Bu nedenle, üniversiteden mezun olmadan önce bile internette resmi bir özür yazdı ve burada bilgisayarları zarar gören Çin halkından alenen af ​​diledi. Chen askerlik hizmeti nedeniyle askere gitti. O zamanki Tayvan yasalarına göre herhangi bir yasayı ihlal etmemişti ve bu virüsü yarattığı için hiçbir zaman cezai olarak suçlanmamıştı.
Chen şu anda Gigabyte'ta çalışıyor.

Veri

  • "Çernobil" yalnızca Windows95/98 altında çalışır.
  • Virüsün boyutu oldukça küçük, yaklaşık 1 kB.
  • Virüsün yazarı ayrıca virüsün kaynak kodunu da gönderdi.
  • Mayıs 2006'da, Voronej'deki teknik üniversitelerden birinde öğrenci olan Sergei Kazachkov, CIH de dahil olmak üzere internette bilgisayar virüsleri dağıttığı için Rusya Federasyonu Ceza Kanunu'nun 273. Maddesi uyarınca 2 yıl ertelenmiş hapis cezasına çarptırıldı.

Wikipedia'dan kopyalanıp yapıştırıldı ve biraz düzenlendi

Yazar Evgenia.Sergeevna bölümde bir soru sordum Diğer diller ve teknolojiler

Bilgisayar virüsleri. Çernobil.. devamını görün... ve en iyi cevabı aldım

Yanıtlayan: De_SAM[guru]
Kaynak: (virüs)

Yanıtlayan: Liprazin[guru]
CIH veya "Çernobil" (Virus.Win9x.CIH), Haziran 1998'de Tayvanlı öğrenci Chen Ying Hao tarafından yazılan bir bilgisayar virüsüdür. Yalnızca Windows 95/98 işletim sistemi altında çalışan yerleşik bir virüstür.
26 Nisan 1999'da Çernobil kazasının yıldönümünde virüs aktif hale geldi ve virüs bulaşan bilgisayarların sabit disklerindeki verileri yok etti. Bazı bilgisayarlarda BIOS yongalarının içeriği bozulmuştu. Virüse ikinci adını veren, insanlar arasında "CIH" den bile daha popüler olan "Çernobil", virüsün aktifleşme tarihi ile Çernobil kazası tarihinin çakışmasıydı.
Çeşitli tahminlere göre dünya genelinde yarım milyona yakın kişisel bilgisayar virüsten etkilendi.
20 Eylül 2000'de Tayvanlı yetkililer ünlü bilgisayar virüsünün yaratıcısını tutukladı.
Mayıs 2006'da, Voronej'deki teknik üniversitelerden biri olan Sergei Kazachkov'un öğrencisi, CIH dahil internette bilgisayar virüsleri dağıttığı için Rusya Federasyonu Ceza Kanunu'nun 273. Maddesi uyarınca 2 yıl ertelenmiş hapis cezasına çarptırıldı.
Teknik detaylar
Çernobil olarak da bilinir. Yerleşik virüs, yalnızca Windows95/98 altında çalışır ve PE (Taşınabilir Yürütülebilir) dosyalarına bulaşır. Uzunluğu oldukça kısadır - yaklaşık 1Kb. Haziran 1998'de Tayvan'da "canlı" olarak keşfedildi - virüsün yazarı, o sırada (virüsün yazarının) çalıştığı yerel bir üniversitedeki bilgisayarlara bulaştı. Bir süre sonra, virüslü dosyalar (yanlışlıkla?) yerel İnternet konferanslarına gönderildi ve virüs Tayvan'ın ötesine yayıldı: Sonraki hafta Avusturya, Avustralya, İsrail ve Birleşik Krallık'ta virüs salgınları kaydedildi. Virüs daha sonra Rusya dahil diğer birçok ülkede keşfedildi.
Yaklaşık bir ay sonra, oyun programları dağıtan birkaç Amerikan Web sunucusunda virüslü dosyalar keşfedildi. Görünüşe göre bu gerçek, ardından gelen küresel viral salgının nedeniydi. 26 Nisan 1999'da (virüsün ortaya çıkmasından yaklaşık bir yıl sonra), koduna yerleştirilmiş bir "mantıksal bomba" patladı. Çeşitli tahminlere göre, bu gün dünya çapında yaklaşık yarım milyon bilgisayar hasar gördü - sabit disklerindeki veriler yok edildi ve bazılarında anakartlardaki BIOS yongalarının içeriği zarar gördü. Bu olay gerçek bir bilgisayar felaketiydi; viral salgınlar ve sonuçları daha önce hiç bu kadar büyük olmamıştı ve bu kadar kayıplara yol açmamıştı.
Görünüşe göre, 1) virüsün tüm dünyadaki bilgisayarlar için gerçek bir tehdit oluşturması ve 2) virüsün faaliyete geçme tarihinin (26 Nisan) Çernobil nükleer santralindeki kaza tarihiyle çakışması nedeniyle, virüs ikinci adını aldı - “Çernobil”.
Virüsün yazarı büyük olasılıkla Çernobil trajedisini virüsüyle hiçbir şekilde ilişkilendirmedi ve tamamen farklı bir nedenden dolayı “bombanın” faaliyete geçme tarihini 26 Nisan olarak belirledi: 26 Nisan 1998'deydi. virüsünün ilk versiyonunu yayınladı (bu arada, Tayvan dışında hiçbir zaman yayınlanmadı) - 26 Nisan'da CIH virüsü "doğum gününü" benzer şekilde kutluyor.
[düzenlemek]
Virüs nasıl çalışır?
Virüs bulaşmış bir dosya başlatıldığında, virüs kodunu Windows belleğine yükler, dosyalara yapılan çağrıları engeller ve PE EXE dosyalarını açarken kendisinin bir kopyasını bunlara yazar. Hatalar içerir ve bazı durumlarda virüslü dosyaları çalıştırırken sistemi dondurur. Geçerli tarihe bağlı olarak Flash BIOS'u ve disklerin içeriğini siler.
Flash BIOS'a yazmak yalnızca uygun anakart türlerinde ve ilgili anahtar etkinleştirildiğinde mümkündür. Bu anahtar genellikle salt okunur olarak ayarlanmıştır ancak bu, tüm bilgisayar üreticileri için geçerli değildir. Ne yazık ki, bazı modern anakartlardaki Flash BIOS bir anahtarla korunamaz: bazıları anahtarın herhangi bir konumunda Flash'a yazmaya izin verir, diğerlerinde ise Flash'a yazma koruması programlı olarak iptal edilebilir.
Flash belleği başarıyla sildikten sonra virüs başka bir yıkıcı prosedüre geçer


Yanıtlayan: Grif[guru]


Yanıtlayan: Alexander Perepelkin[aktif]
İyi bir virüs oldukça güçlüdür. Bir keresinde onun yardımıyla okuldaki bilgisayarımı mahvettim çünkü bilgisayar bilimlerinden 4 aldım.


Yanıtlayan: Dmitry Kazankin[guru]


Yanıtlayan: Pavel Koltsov[guru]
en.wikipedia. org/wiki/Р§Рμрнобыл СЊ_(РІРёСЂСѓСЃ)


Yanıtlayan: Damir[aktif]
Vay be, bunu duymamıştım, Google'a girip burada okuyacağım


Yanıtlayan: Alexey Beifus[uzman]
Çernobil olarak da adlandırılan ilk küresel CIH virüsü 10. yılını kutladı. "26 Nisan 1999'da küresel bir bilgisayar
felaket: çeşitli kaynaklara göre dünya çapında yaklaşık yarım milyon bilgisayar etkilendi; virüs salgınlarının sonuçları daha önce hiç bu kadar büyük ölçekli olmamıştı ve bu kadar küresel kayıplara eşlik etmemişti," diye anımsıyor Kaspersky Lab virüs analisti Evgeny Aseev, RIA Novosti raporlar.
Ona göre, sabit disklerdeki veriler yok edildi ve bazı makinelerin anakartlarındaki BIOS yongalarının içeriği zarar gördü. "Bu virüs, kullanıcıların bilgisayar tehditlerini algılamasında bir nevi dönüm noktası görevi gördü. Sadece bulaştığı makinede bulunan verilere zarar vermekle kalmayıp, bazı bilgisayarları tamamen devre dışı bırakan ilk virüs oldu. BIOS yeniden yazılamadı, bilgisayar çöpe atılmış olabilirdi," diyor Doctor Web'in anti-virüs geliştirme ve araştırma departmanı başkanı Sergei Komarov.
Virüs, CIH adını, yaratıcısı Tayvan Üniversitesi öğrencisi Chen Ing-Hau'nun kısaltılmış adından almıştır. İkinci adı - "Çernobil" - virüsün Çernobil nükleer santralindeki felaketin olduğu gün olan 26 Nisan'da aktive olması nedeniyle ortaya çıktı.
"Virüsün yazarı, virüsün makineye girdiğinde herhangi bir zararlı eylem gerçekleştirmemesini sağladı. Her yıl 26 Nisan'ı bekledi (Çernobil'de nükleer santralin patladığı gün o gündü) Bazıları bu virüse neden “Çernobil” diyor) ve sonra işe yaradı,” diyor Doctor Web'den Komarov.
Kaspersky Lab'den Evgeny Aseev, Çernobil virüsünün ilk olarak Haziran 1998'de Tayvan'da keşfedildiğini, virüsün yazarı Chen Ying-Hau'nun yerel bir üniversitedeki bilgisayarlara bulaştığını hatırlıyor. Bir süre sonra CIH Tayvan'ın ötesine yayıldı: Avusturya, Avustralya, İsrail ve Birleşik Krallık salgından ilk etkilenen ülkeler arasındaydı. Daha sonra kötü amaçlı kod, Rusya dahil diğer birçok ülkede de kaydedildi.
Küresel virüs salgınının nedeninin, oyun programlarını dağıtan birkaç Amerikan web sunucusunda virüslü dosyaların ortaya çıkmasının olduğuna inanılıyor. Tayvanlı şirketlerin resmi şikayette bulunmaması, Chen'in Nisan 1999'da cezadan kaçmasına olanak sağladı. Üstelik Çernobil onu ünlü yaptı: Chen Ying-Hau, virüsü yazdığı için büyük bir bilgisayar şirketinde prestijli bir iş buldu. Chen Ying-Hau yalnızca 20 Eylül 2000'de tutuklandı.


Tipik olarak virüsler bilgisayara yazılım zararına neden olur. Öyle ya da böyle, virüsler bilgisayarın çalışmasını zorlaştırır, bazı kullanıcı verilerini izler veya çalar. Örneğin, kullanıcıyı herhangi bir tarayıcıda çok sinir bozucu bir şekilde rahatsız eden, çok hoş olmayan bir şey. Ama bunların hepsi yazılım. Virüs bulaşmış hasarlı bir yazılım ürünü iyileştirilebilir veya değiştirilebilir. Bilgisayar donanımına zarar verebilecek virüsler var mı?

Virüs Win95.CIH (Çernobil)

Çernobil, virüslerin sadece yazılıma değil bilgisayar donanımına da zarar verebileceğini gösteren ilk bilgisayar virüsüne verilen isimdir. 1998 yılında Tayvanlı bir öğrenci tarafından yazılan Çernobil virüsü, bazı anakartların BIOS içeriğini bozarak anakartın kendisine zarar verebilir. Ve böyle durumlar vardı. Ama yine de asıl yol bilgisayarın sabit diskindeki tüm bilgilerin yok edilmesiydi. En azından bu bir çeşit artı çünkü ihtiyaç azaldı. Bu virüse yakalanma talihsizliğini yaşayanların hepsi zaten acı çekti.

Virüs, ilk adını - Win95.CIH - yazarından almıştır. Bu arada virüsünün birbirinden pek de farklı olmayan üç farklı versiyonunu yayınladı. Doğru, en son sürüm her ayın 26'sında piyasaya sürüldü. Ve her versiyonun kendi numarası vardı. Ancak ikinci isim olan Çernobil virüsü ona bilgisayar dünyası tarafından verildi. Neden? Çünkü virüs 26 Nisan'da aktif hale geldi ve tüm yıkıcı eylemlerini o gün gerçekleştirdi. Ve ne yazık ki 1986'da bu gün Çernobil kazası meydana geldi. Her ne kadar virüsün yazarının dediği gibi, virüsün başlangıç ​​tarihi - her yıl 26 Nisan - sadece virüsün doğum gününü bu günde kutlaması nedeniyle seçilmiştir. Ancak kendi tarzında kutladı.

Çernobil virüsü tehlikesi

Çernobil virüsü artık bu virüsün çalışma ortamı Windows 95 ve 98 işletim sistemlerini çalıştıran bilgisayarlar olduğundan herhangi bir tehlike oluşturmuyor ancak bu, bilgisayar donanımına zarar verecek bir virüsün bulaşma tehlikesinin olmadığı anlamına gelmiyor. Bu sadece dünya çapında birçok kişinin bu fırsatı bildiği ve Tayvanlı öğrencinin başarısını tekrarlamak istediği anlamına geliyor. Ve bazıları zaten başarılı oldu. Ancak Çernobil'den daha ünlü olmaları pek mümkün değil. Çünkü türünün ilk örneğini hatırlamak daha kolaydır.

"Çernobil" olarak da bilinir. Yerleşik virüs, yalnızca Windows95/98 altında çalışır ve PE dosyalarına bulaşır
(Taşınabilir Çalıştırılabilir). Uzunluğu oldukça kısadır - yaklaşık 1Kb. Oldu
Haziran 1998'de Tayvan'da "canlı" olarak keşfedildi - bulaşan virüsün yazarı
kendisinin (virüsün yazarının) o sırada bulunduğu yerel üniversitedeki bilgisayarlar
eğitilmişti. Bir süre sonra, virüslü dosyalar (tesadüfen mi?)
yerel İnternet konferanslarına gönderildi ve virüs
Tayvan: Önümüzdeki hafta ülkede viral salgınlar kaydedildi
Avusturya, Avustralya, İsrail ve Büyük Britanya. Virüs daha sonra keşfedildi
Rusya dahil diğer birçok ülke.

Yaklaşık bir ay sonra, birkaç bilgisayarda virüslü dosyalar bulundu
Oyun programları dağıtan Amerikan Web sunucuları. Bu gerçek,
Görünüşe göre, sonraki küresel viral salgının nedeni buydu. 26
Nisan 1999 (virüsün ortaya çıkmasından yaklaşık bir yıl sonra) işe yaradı
Koduna gömülü "mantık bombası". Çeşitli tahminlere göre bu gün
dünya çapında yaklaşık yarım milyon bilgisayar etkilendi;
Sabit sürücüdeki veriler yok edildi ve bazılarında da hasar oluştu
anakartlardaki BIOS yongalarının içeriği. Bu olay gerçek oldu
bilgisayar felaketi - viral salgınlar ve sonuçları daha önce hiç görülmemişti
Üstelik o kadar da büyük değildiler ve bu tür kayıplar getirmediler.

Görünüşe göre, şu nedenlerden dolayı: 1) virüs, bilgisayarlara gerçek bir tehdit oluşturuyordu.
tüm dünyada ve 2) virüsün yayılma tarihi (26 Nisan) tarihe denk geliyor
Çernobil nükleer santralindeki kazada virüs ikincisini aldı
isim - "Çernobil"

Virüsün yazarı büyük olasılıkla Çernobil trajedisini
virüsüyle birlikte “bombanın” 26 Nisan’da patlayacağı tarihi belirledi.
başka bir sebep: 26 Nisan 1998'de ilk versiyonu yayınladı.
virüsü (bu arada Tayvan'dan hiç ayrılmadı) - 26
Nisan ayında CIH virüsü de “doğum gününü” benzer şekilde kutluyor.

Virüs nasıl çalışır?

Virüs bulaşmış bir dosyayı çalıştırdığınızda virüs, kodunu Windows belleğine yükler.
PE EXE dosyalarını açarken dosya isteklerini keser ve dosyaya yazar
onlar senin kopyan. Hatalar içeriyor ve bazı durumlarda sistemi donduruyor
virüslü dosyaları çalıştırırken. Geçerli tarihe bağlı olarak Flash'ı siler
BIOS ve disk içeriği.

Flash BIOS'a yazmak yalnızca ilgili anakart türlerinde mümkündür.
panolar ve ilgili anahtar izin verecek şekilde ayarlandığında. Bu
Anahtar genellikle salt okunur olarak ayarlanmıştır ancak bu
Bu, tüm bilgisayar üreticileri için geçerli değildir. Ne yazık ki Flash BIOS
bazı modern anakartlarda korunmayabilir
anahtar: bazıları Flash'ta herhangi bir konumda kayıt yapılmasına izin verir
diğerlerinde Flash yazma koruması programlı olarak geçersiz kılınabilir.

Flash belleği başarıyla sildikten sonra virüs başka bir belleğe geçer.
yıkıcı prosedür: kurulu olan tüm sistemlerdeki bilgileri siler
sabit sürücüler. Bu durumda virüs, diskteki verilere doğrudan erişimi kullanır ve
böylece BIOS'ta yerleşik olan standart anti-virüs korumasını atlarsınız
önyükleme sektörlerine yazar.

Virüsün üç ana (“yazarın”) sürümü vardır. Oldukça benzerler
birbirinden farklıdır ve yalnızca farklı kod ayrıntılarında farklılık gösterir.
altprogramlar Virüsün sürümleri farklı uzunluklara, metin satırlarına ve tarihlere sahiptir
disk silme prosedürünü ve Flash BIOS'u tetikleme:


Uzunluk Metin Tetikleme tarihi "canlı" olarak algılandı
1003 CIH 1.2 TTIT 26 Nisan Evet
1010 CIH 1.3 TTIT 26 Nisan Hayır
1019 CIH 1.4 TATUNG Her ayın 26'sı Evet - birçok ülkede

Teknik detaylar

Virüs, dosyalara bulaşırken, bunlarda "delikler" (kullanılmayan veri blokları) arar ve
kodunu bunların içine yazar. Bu tür "deliklerin" varlığı yapıdan kaynaklanmaktadır
PE dosyaları: Dosyadaki her bölümün konumu belirli bir değere göre hizalanmıştır.
PE başlığında ve çoğu durumda bitiş arasında belirtilen değer
önceki bölüm ve bir sonraki bölümün başlangıcı belirli sayıda bayta sahiptir,
program tarafından kullanılmaz. Virüs, dosyada kullanılmayan bu tür dosyaları arar.
bloklar, kodunu bunlara yazar ve bunları gereken değer kadar artırır
değiştirilmiş bölüm boyutu. Etkilenen dosyaların boyutu artmaz.

Herhangi bir bölümün sonunda yeterli büyüklükte bir "delik" varsa,
virüs kodunu tek blok halinde yazar. Eğer böyle bir “delik” yoksa,
virüs kodunu bloklara böler ve bunları çeşitli bölümlerin sonuna yazar
dosya. Böylece virüs bulaşan dosyalardaki virüs kodu tespit edilebiliyor
hem tek bir kod bloğu hem de birkaç ilgisiz blok olarak.

Virüs ayrıca PE başlığında kullanılmayan bir veri bloğunu da arar. Eğer sonunda
başlıkta en az 184 bayt boyutunda bir "delik" var, virüs ona yazıyor
başlatma prosedürünüz. Virüs daha sonra dosyanın başlangıç ​​adresini değiştirir:
başlatma prosedürünün adresini buna yazar. Bu yaklaşımın bir sonucu olarak
dosya yapısı oldukça standart dışı hale geliyor: başlangıcın adresi
program prosedürleri dosyanın herhangi bir bölümüne işaret etmez, ancak ötesinde
yüklü modül - dosya başlığında. Ancak Windows95 ödeme yapmıyor
bu tür "garip" dosyalara dikkat edin, dosya başlığını belleğe yükler, ardından
tüm bölümler ve kontrolü başlıkta belirtilen adrese aktarır -
PE başlığındaki virüs başlatma prosedürü.

Kontrolü aldıktan sonra virüs başlatma prosedürü bir bellek bloğu ayırır
VMM, PageAllocate'i çağırır, kodunu buraya kopyalar ve ardından adresleri belirler
kalan virüs kodu blokları (bölümlerin sonunda bulunur) ve bunları ekler
başlatma prosedürünüzün koduna. Virüs daha sonra IFS API'sine müdahale eder ve
kontrolü ana programa geri verir.

İşletim sistemi açısından bakıldığında bu prosedür en ilgi çekici olanıdır.
virüs: virüs kodunu yeni bir bellek bloğuna kopyaladıktan ve
Orada kontrolden geçilir, virüs kodu Ring0 uygulaması olarak çalıştırılır ve
virüs AFS API'sine müdahale edebilir (bu, programlar için imkansızdır)
Ring3'te yürütüldü).

IFS API önleyicisi yalnızca tek bir işlevi yerine getirir: dosyaları açmak.
EXE uzantılı bir dosya açılırsa, virüs onun dahili dosyasını kontrol eder.
biçimini alır ve kodunu dosyaya yazar. Enfeksiyondan sonra virüs kontrol edilir
sistem tarihini görüntüler ve Flash BIOS'u ve disk sektörlerini silme prosedürünü çağırır (yukarıya bakın).

Flash BIOS'u silerken virüs ilgili bağlantı noktalarını kullanır
okuma/yazma, disk sektörlerini silerken virüs VxD işlevini çağırır
IOS_SendCommand disklerine doğrudan erişim.

Bilinen virüs çeşitleri

Virüsün yazarı yalnızca virüslü dosyaların kopyalarını doğaya salmakla kalmadı, aynı zamanda
virüsün orijinal derleyici metinlerini gönderdi. Bu bunlara yol açtı
metinler düzeltildi, derlendi ve kısa sürede ortaya çıktı
virüsün farklı uzunluklara sahip modifikasyonları, ancak işlevsellik açısından bunlar
hepsi “ebeveynlerine” karşılık geliyordu. Virüsün bazı varyantlarında
“bomba” operasyonunun tarihi değiştirildi ya da bu bölüm hiç çağrılmadı.

Ayrıca virüsün günlerce çalışan “orijinal” versiyonları da biliniyor.
26 [Nisan]'dan farklı. Bu gerçek, tarihin kontrol edilmesiyle açıklanmaktadır.
Virüs kodu iki sabite göre oluşur. Doğal olarak, bunu yapabilmek için
Herhangi bir gün için bir “bomba” zamanlayıcı ayarlayın, sadece değiştirin
virüs kodunda iki bayt.