• Вирус чернобыль на windows 7. Вирус чернобыль. Как появился вирус

    2018-04-27 06:18:05

    "Чернобыль": кто и зачем создал вирус, уничтожавший диски и компьютеры

    Сейчас, наверное, мало кто помнит, но 26 апреля — это не только день, когда произошла чернобыльская трагедия, но и дата, когда сотни тысяч пользователей компьютеров по всему миру лишились всей информации на своих дисках, а некоторые — и материнских плат из-за вируса CIH. Рассказываем, что произошло в 1999 году, кто был виновником и как вирус смог распространиться глобально.

    Кто и почему создал вирус

    CIH, Virus.Win9x.CIH или «Чернобыль» — это компьютерный вирус, работающий только под операционной системой Windows 95/98/ME, написанный тайваньским (тогда еще) студентом Чэнь Инхао. Впервые обнаружен «в живом виде» на Тайване в июне 1998-го, где автор вируса заразил компьютеры в своем университете Датун (Tatung).

    Чэнь Инхао (справа)

    Спустя некоторое время вирус распространился по местным интернет-конференциям и уже оттуда выбрался за пределы страны. Позже вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. А затем вирус распространился в других странах, включая Россию и Беларусь.

    Примерно через месяц зараженные файлы были обнаружены на нескольких американских веб-серверах, распространяющих игровые программы, что способствовало глобальной вирусной эпидемии.

    Пишут, что Чэнь Инхао создал вирус, чтобы наказать продавцов антивирусных программ, которые оказались бесполезными в борьбе с вирусами на университетских компьютерах.

    Узнав, что вирус распространился по всему миру, он занервничал, однако был уверен, что при наличии достаточного запаса по времени эксперты по безопасности смогут его вычислить.

    26 апреля 1999 года

    Эту дату наверняка до сих пор вспоминают обладатели зараженных на тот момент компьютеров. В этот день сработала «логическая бомба», заложенная в код вируса. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров — у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчено содержимое микросхем BIOS на материнских платах (таким образом они оказались полностью неработоспособными).

    Данный инцидент стал настоящей компьютерной катастрофой — вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.

    По разным оценкам, ущерб от вируса составил от 20 до 80 миллионов долларов. Это не считая моральный урон — огромное количество людей потеряло свои личные данные, ведь в 1999 году еще не были распространены облачные хранилища и стриминговые сервисы.

    Видимо, потому, что вирус нес реальную угрозу компьютерам во всем мире и дата его срабатывания совпала с датой аварии на Чернобыльской атомной электростанции, он получил свое второе, гораздо более распространенное, имя — «Чернобыль» (Chernobyl).

    Автор вируса почти наверняка никак не связывал чернобыльскую трагедию со своим детищем и поставил дату срабатывания «бомбы» на 26 апреля по совсем другой причине: именно в этот день в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня), т.е. таким образом 26 апреля вирус отмечает свой «день рождения».

    Вот, что вспоминал один из пострадавших: «Получив предупреждение, всей конторой меняли дату — чтоб он не активировался… И как я лоханулся, забыв ее назад потом открутить… И ровно через месяц комп накрылся…».

    Как работал вирус

    При запуске зараженного файла вирус инсталлировал свой код в память Windows, перехватывал обращения к файлам и при открытии запускаемых EXE-файлов записывал в них свою копию. Из-за ошибок в коде вирус иногда «подвешивал» систему при запуске зараженных файлов. А в момент наступления указанной даты пытался стирать Flash BIOS и содержимое дисков.

    Модуль BIOS на материнской плате

    Запись в Flash BIOS возможна только на соответствующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение «только чтение», однако это справедливо не для всех производителей компьютеров.

    К сожалению, Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

    После стирания флеш-памяти вирус переходил к другой деструктивной процедуре: уничтожал информацию на всех установленных винчестерах. При этом он обходил встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.

    Известны три основные (так называемые авторские) версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса получили различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS.

    Все они имеют размер около 1 килобайта. Первые две версии срабатывали 26 апреля, третья — 26 числа каждого месяца.

    Что было дальше?

    Автор вируса не только выпустил вирусы «на свободу», но и разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти тексты были откорректированы, откомпилированы и вскоре появились модификации вируса, имевшие различные длины, однако по функциональности они все соответствовали своему «родителю».

    В некоторых вариантах вируса была изменена дата срабатывания «бомбы», либо этот участок вообще не использовался (моментальная сработка). Ведь для того, чтобы поставить таймер «бомбы» на любой заданный день, достаточно поменять лишь два байта в коде вируса.

    Обычно, вирусы приносят программный вред компьютеру. Тем или иным способом вирусы усложняют работу за компьютером, следят либо крадут какие-нибудь данные пользователя. Например, весьма неприятный , который очень назойливо преследует пользователя в любом браузере. Но всё это программно. Испорченный, зараженный вирусом программный продукт можно либо вылечить, либо заменить. А есть ли вирусы, которые могут нанести ущерб аппаратному обеспечению компьютера?

    Вирус Win95.CIH(Чернобыль)

    Чернобыль — такое название получил первый компьютерный вирус, который показал, что вирусы могут портить не только программное обеспечение, но и аппаратное обеспечение компьютера. Вирус Чернобыль, написанный в 1998 году тайваньским студентом, портил содержимое BIOS на некоторых системных платах, что могло вызвать порчу самой материнской платы. И такие случаи были. Но все же основным блюдом было уничтожение всей информации с жесткого диска компьютера. Ну хоть какой-то плюс, ведь необходимость спадала. Тут уже пострадали все те, кто имел несчастье прихватить данный вирус.

    Свое первое название — Win95.CIH — вирус получил от своего автора. Кстати, выпустил он три различных версии своего вируса, которые не сильно отличались друг от друга. Правда, последняя версия запускалась 26 числа каждого месяца. И каждая версия имела свой номер. А вот второе название — вирус Чернобыль — ему подарил компьютерный мир. Почему? Потому что вирус активизировался 26 апреля и производил все деструктивные действия в этот день. И именно в этот день 1986 года, к несчастью, произошла Чернобыльская авария. Хотя, как говорит автор вируса, дата запуска вируса - 26 апреля каждого года - была выбрана только потому, что в этот день праздновал свой день рождение сам вирус. Праздновал он, однако, по своему.

    Опасность вируса Чернобыль

    Вирус Чернобыль уже не несет никакой опасности, так как рабочая среда для этого вируса - компьютеры на операционных системах Windows 95 и 98. Но это вовсе не говорит о том, что опасности заражения вирусом, который выведет из строя аппаратное обеспечение компьютера, нет. Это говорит только о том, что многие по всему миру знают о такой возможности и хотят повторить успех тайваньского студента. И некоторым это уже удалось. Но стать более известным, чем «Чернобыль», они вряд ли смогут. Так как первого в своём роде легче запомнить.

    Также известен как «Чернобыль». Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы
    (Portable Executable). Имеет довольно небольшую длину — около 1Кб. Был
    обнаружен «в живом виде» на Тайване в июне 1998 — автор вируса заразил
    компьютеры в местном университете, где он (автор вируса) в то время
    проходил обучение. Через некоторое время зараженные файлы были (случайно?)
    разосланы в местные Интернет-конференции, и вирус выбрался за пределы
    Тайваня: за последующую неделю вирусные эпидемии были зарегистрированы в
    Австрии, Австралии, Израиле и Великобритании. Затем вирус был обнаружен и в
    нескольких других странах, включая Россию.

    Примерно через месяц зараженные файлы были обнаружены на нескольких
    американских Web-серверах, распространяющих игровые программы. Этот факт,
    видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26
    апреля 1999 года (примерно через год после появления вируса) сработала
    «логическая бомба», заложенная в его код. По различным оценкам, в этот день
    по всему миру пострадало около полумиллиона компьютеров — у них оказались
    уничтожены данные на жестком диске, а на некоторых плюс к тому испорчено
    содержимое микросхем BIOS на материнских платах. Данный инцидент стал настоящей
    компьютерной катастрофой — вирусные эпидемии и их последствия никогда до
    того не были столь масштабными и не приносили таких убытков.

    Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во
    всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой
    аварии на Чернобыльской атомной электростанции, вирус получил свое второе
    имя — «Чернобыль» (Chernobyl).

    Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со
    своим вирусом и поставил дату срабатывания «бомбы» на 26 апреля по совсем
    другой причине: именно 26 апреля в 1998 году он выпустил первую версию
    своего вируса (которая, кстати, так и не вышла за пределы Тайваня) — 26
    апреля вирус «CIH» отмечает подобным образом свой «день рождения».

    Как вирус работает

    При запуске зараженного файла вирус инсталлирует свой код в память Windows,
    перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в
    них свою копию. Содержит ошибки и в некоторых случаях завешивает систему
    при запуске зараженных файлов. В зависимости от текущей даты стирает Flash
    BIOS и содержимое дисков.

    Запись в Flash BIOS возможна только на соответсвующих типах материнских
    плат и при разрешающей установке соответственного переключателя. Этот
    переключатель обычно установлен в положение «только чтение», однако это
    справедливо не для всех производителей компьютеров. К сожалению Flash BIOS
    на некоторых современных материнских платах не может быть защищена
    переключателем: одни из них разрешают запись в Flash при любом положении
    переключателя, на других защита записи в Flash может быть отменена программно.

    После успешного стирания Flash-памяти вирус переходит к другой
    деструктивной процедуре: стирает информацию на всех установленных
    винчестерах. При этом вирус использует прямой доступ к данным на диске и
    тем самым обходит встроенную в BIOS стандартную антивирусную защиту от
    записи в загрузочные сектора.

    Известно три основные («авторские») версии вируса. Они достаточно похожи
    друг на друга и отличаются лишь незначительными деталями кода в различных
    подпрограммах. Версии вируса имеют различные длины, строки текста и дату
    срабатывания процедуры стирания дисков и Flash BIOS:


    Длина Текст Дата срабатывания Обнаружен «в живом виде»
    1003 CIH 1.2 TTIT 26 апреля Да
    1010 CIH 1.3 TTIT 26 апреля Нет
    1019 CIH 1.4 TATUNG 26 каждого месяца Да — во многих странах

    Технические детали

    При заражении файлов вирус ищет в них «дыры» (блоки неспользуемых данных) и
    записывает в них свой код. Присутствие таких «дыр» обусловлено структурой
    PE-файлов: позиция каждой секции в файле выравнена на определенное
    значение, указанное в PE-заголовке, и в большинстве случаев между концом
    предыдущей секции и началом последующей есть некоторое количество байт,
    которые не используются программой. Вирус ищет в файле такие неиспользуемые
    блоки, записывает в них свой код и увеличивает на необходимое значение
    размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

    Если в конце какой-либо секции присутствует «дыра» достаточного размера,
    вирус записывает в нее свой код одним блоком. Если же такой «дыры» нет,
    вирус дробит свой код на блоки и записывает их в конец различных секций
    файла. Таким образом, код вируса в зараженных файлах может быть обнаружен
    и как единый блок кода, и как несколько несвязанных между собой блоков.

    Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце
    заголовка есть «дыра» размером не менее 184 байт, вирус записывает в нее
    свою startup-процедуру. Затем вирус изменяет стартовый адрес файла:
    записывает в нее адрес своей startup-процедуры. В результате такого приема
    структура файла становится достаточно нестандартной: адрес стартовой
    процедуры программы указывает не в какую-либо секцию файла, а за пределы
    загружаемого модуля — в заголовок файла. Однако Windows95 не обращает
    внимания на такие «странные» файлы, грузит в память заголовок файла, затем
    все секции и передает управление на указанный в заголовке адрес — на
    startup-прецедуру вируса в PE-заголовке.

    Получив управление, startup-процедура вируса выделяет блок памяти
    VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса
    остальных блоков кода вируса (расположенных в конце секций) и дописывает их
    к коду своей startup-процедуры. Затем вирус перехватывает IFS API и
    возвращает управление программе-носителю.

    С точки зрения операционной системы эта процедура наиболее интересна в
    вирусе: после того, как вирус скопировал свой код в новый блок памяти и
    передал туда управление, код вируса исполняется как приложение Ring0, и
    вирус в состоянии перехватить AFS API (это невозможно для программ,
    выполняемых в Ring3).

    Перехватчик IFS API обрабатывает только одну функцию — открытие файлов.
    Если открывается файл с расширением EXE, вирус проверяет его внутренний
    формат и записывает в файл свой код. После заражения вирус проверяет
    системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше).

    При стирании Flash BIOS вирус использует соответствующие порты
    чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию
    прямого обращения к дискам IOS_SendCommand.

    Известные варианты вируса

    Автор вируса не только выпустил копии зараженных файлов «на свободу», но и
    разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти
    тексты были откорректированы, откомпилированы и вскоре появились
    модификации вируса, имевшие различные длины, однако по функциональности они
    все соответствовали своему «родителю». В некоторых вариантах вируса была
    изменена дата срабатывания «бомбы», либо этот участок вообще никогда не вызывался.

    Известно также об «оригинальных» версиях вируса, срабатывающих в дни,
    отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в
    коде вируса происходит по двум константам. Естественно, что для того, чтобы
    поставить таймер «бомбы» на любой заданный день, достаточно поменять лишь
    два байта в коде вируса.

    Официальное название данного компьютерного вируса – CIH или Virus.Win9x.CIH. « » его назвали, поскольку он активировался 26 апреля 1999 года – в годовщину известной трагедии. Создатель вируса, студент из Тайваня Чэнь Инхао, написал свою программу в июне 1998 г., но ждал с ее запуском до 26 апреля 1999 г. (годовщина чернобыльской трагедии), что, безусловно, трудно считать простым совпадением.

    Вторая версия происхождения названия вируса заключается в том, что он уничтожил множество ОС компьютеров и стал в некотором роде крупной катастрофой.

    Вирус работает только под ОС Windows 95/98 – обе системы были широко распространены на момент написания. У него есть три версии, которые отличаются друг от друга длиной, особенностями кода и датой срабатывания: одна из версий активировалась 26 числа каждого месяца.

    Суть работы «Чернобыля» проста: он прописывал свой код в память ОС, перехватывал запуск файлов с расширением.exe, после чего записывал в них свою копию. Вирус никак себя не проявлял до назначенной даты, а потому походил на бомбу замедленного действия. 26 апреля он активировался, стирал все данные на жестких дисках и далее повреждал Flash BIOS. Восстановить файлы было невозможно, поэтому ущерб, нанесенный вирусом, оказался колоссальным.

    Последствия «Чернобыля»

    Чэнь Инхао сначала заразил компьютеры в своем университете, после чего вирус попал в сеть и со временем оказался на жестких дисках сотен тысяч людей. Вирусная эпидемия охватила Китай, Австралию, Австрию, Англию, Израиль и многие другие страны.

    Россияне не слишком сильно пострадали от «Чернобыля», однако следы этого вируса были и в нашей стране.

    По усредненным данным, от «Чернобыля» пострадало более 500 тыс. компьютеров по всему миру, притом на многих из них хранились важные данные, поэтому люди понесли большие убытки из-за действий Чэня Инхао. При этом сам студент вовсе не предполагал, что его вирус станет столь широко распространенным, ведь он планировал провести «эксперимент» только в рамках университета Датун.

    Экспертам не пришлось искать автора столь серьезного и страшного вируса. Инхао понял, что со временем его непременно вычислят, а потому, решив не усугублять ситуацию, явился с повинной и даже публично принес извинения людям, пострадавшим в результате заражения компьютеров его вирусом. За это он получил серьезный выговор в своем университете.

    Первый глобальный вирус, поразивший около 500 тысяч компьютеров, отмечает 10-летний юбилей

    Первый глобальный вирус CIH, также получивший название "Чернобыль" (Chernobyl), отмечает 10-летний юбилей.

    "26 апреля 1999 года произошла глобальная компьютерная катастрофа: по различным данным, пострадало около полумиллиона компьютеров по всему миру, никогда еще последствия вирусных эпидемий не были столь масштабными и не сопровождались такими глобальными убытками", - вспоминает вирусный аналитик "Лаборатории Касперского" Евгений Асеев.

    По его словам, тогда оказались уничтожены данные на жестких дисках, а на материнских платах некоторых машин было повреждено содержимое микросхем BIOS.

    "Этот вирус послужил некой поворотной точкой в восприятии компьютерных угроз пользователями. Это был первый вирус, который нанес урон не только данным, находящимся на заразившейся машине, но и вывел из строя некоторые компьютеры целиком. В том случае, если BIOS нельзя было переписать заново, компьютер можно было выбрасывать на помойку", - отмечает в свою очередь руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

    Свое название CIH вирус получил от сокращенного имени своего создателя - студента тайваньского университета Чен Ин-Хау (Chen Ing-Hau). Его второе название - "Чернобыль" (Chernobyl) появилось из-за того, что вирус активировался 26 апреля - день катастрофы на Чернобыльской АЭС.

    "Автор вируса сделал так, что, проникая на машину, вирус не производил никаких вредоносных действий. Он выжидал 26 апреля каждого года (именно в этот день взорвалась АЭС в Чернобыле, поэтому некоторые называют этот вирус "Чернобыль") и тогда срабатывал", - говорит Комаров из "Доктор Веб".

    Евгений Асеев из "Лаборатории Касперского" напоминает, что вирус "Чернобыль" впервые был обнаружен на Тайване в июне 1998 года - автор вируса Чен Ин-Хау заразил компьютеры в местном университете. Через некоторое время CIH выбрался за пределы Тайваня: Австрия, Австралия, Израиль и Великобритания оказались в числе первых стран, охваченных эпидемией. Позднее вредоносный код был зарегистрирован и в нескольких других странах, в том числе в России.

    Полагают, что появление зараженных файлов на нескольких американских web-серверах, распространяющих игровые программы, и послужило причиной глобальной вирусной эпидемии.

    Отсутствие официальных жалоб со стороны тайваньских компаний позволило Чену в апреле 1999 года избежать наказания. Более того, "Чернобыль" сделал его знаменитым: благодаря написанию вируса Чен Ин-Хау получил престижную работу в крупной компьютерной компании.

    ДЕСЯТЬ ЛЕТ СПУСТЯ. СОВРЕМЕННЫЕ УГРОЗЫ.

    По словам руководителя отдела антивирусных разработок и исследований компании "Доктор Веб" Сергея Комарова, впоследствии появлялись вирусы, схожие с "Чернобылем" по привязанности к определенной дате, однако такого вреда компьютерам они не наносили.

    "Объясняется это, скорее всего, тем фактом, что современным вредоносным программам нет смысла выводить компьютер из строя - он важен для них как ресурс, они на нем работают, скрывая свое присутствие и принося доходы киберпреступникам", - полагает Комаров."Давно ушли в прошлое те времена, когда компьютерные преступники, подобно Чен Ин-Хау, создавали вирусы, стремясь самоутвердиться и прославиться. Деяния современных киберпреступных сообществ невозможно квалифицировать как простое хулиганство: за прошедшие годы виртуальные мошенники отточили мастерство и преследуют максимально приземленную цель - обогащение. Причем виртуальные мошенники зарабатывают криминальным путем очень серьезные деньги", - подтверждает Евгений Асеев из "Лаборатории Касперского".

    По его словам, схема действия вируса Chernobyl предполагала два сценария: в лучшем случае - удаление из памяти компьютера всей информации, в худшем - полный вывод его из строя. Картина современных угроз кардинально изменилась и поражает своим разнообразием: "руткиты", социальные сети, онлайн-игры, "ботнеты" - области и технологии, составляющие далеко не полный перечень источников компьютерных угроз. "Кибермошенники действуют все более непредсказуемо и изощренно", - констатирует Асеев.По его словам, сегодня "производство" вредоносных программ поставлено на поток, аналитики "Лаборатории Касперского" ежедневно детектируют более 17 тысяч новых вирусов.

    Лидируют "троянцы", ворующие личные данные пользователя и передающие своим "хозяевам" номер кредитной карточки владельца зараженного компьютера.

    Для продвижения новых услуг, рекламы и попутных сервисов интернет-компании активно используют потенциал социальных сетей. В минувшем году в эпицентре многочисленных атак оказались "Одноклассники" и "В контакте", одни из самых "лакомых кусочков" для виртуальных мошенников.

    Колоссальными темпами развивается рынок онлайн-игр. Сместив "троянцев", атакующих пользователей систем онлайн-платежей и банкинга, на первое место вышли игровые "троянцы", в которых применялись новые технологии, в том числе механизм заражения файлов и распространение на съемных накопителях. Эти же "троянцы" использовались для организации "ботнетов" (botnet - сеть, состоящая из зараженных компьютеров).

    "Слово "ботнет", которое несколько лет назад встречалось исключительно в лексиконе сотрудников антивирусных компаний, в последнее время стало известно практически всем. Сегодня "ботнеты" - основной источник распространения спама, DDoS-атак, рассылки новых вирусов", - отмечает Асеев.

    Чтобы обезопасить себя от возможных угроз, эксперты рекомендуют пользователям проявлять осторожность и быть предельно внимательными.

    "Не открывайте подозрительные ссылки, присланные незнакомыми контактами, проверяйте информацию, полученную от "друзей", не используйте простые пароли и не вводите их нигде, кроме доверенных ресурсов, а также регулярно устанавливайте обновления операционной системы и антивирусного ПО", - советует вирусный аналитик "Лаборатории Касперского" Евгений Асеев.

    "РИА Новости", 27.04.2009

    Не допускается использование всех материалов, размещенных в разделе «Мониторинг СМИ» официального сайта Министерства связи и массовых коммуникаций РФ, без указания их правообладателя, указанного для каждой публикации

    Читать еще: