Csernobil (vírus)

CIH (Csernobil)

Információ

Fejlesztette	Chen Ing-Hau
Beírva	Szerelő
Környezet	Windows 95/98 / Me
típus	vírus

Csernobil néven is ismert , a CIH tajvani feltalálójának, Cheng Ing-Hau-nak köszönheti eredeti nevét. Először itt észlelték1998. júniusaz F-Secure által . Kezdetben terjedése Ázsiát érintette. Különböző termékeket megfertőztek még a piacra kerülésük előtt (a Win98 egyes verziói, néhány játék, magazin CD-k és még az IBM Aptiva számítógépek is ). Káros hatásait azonban csak akkor váltották ki először1998. augusztus 26. E "sztrájkok" második hullámát rögzítették1999. április 26(analóg módon az évforduló napján a csernobili katasztrófa ,1986. április 26). Ázsiát és Európát érintették, több ezer számítógép halt meg.

Etimológia

Ez a vírus névadója kioldó mechanizmus: a vírus elküldi díjat április 26 évfordulóján a robbanás a nukleáris erőművek a csernobili ami történt 1986. április 26.

A vírus kezdő neve, a CIH , állítólagos alkotója, a tajvani Chen Ing-Hau (陳盈 豪) kezdőbetűje. Abban az időben (1998), volt egy diák a tajvani Tatung Institute of Technology Taipei .

Kronológia

• 1997. június 2 : a vírus megjelenése Tajvanon .
• 1997. június : az F-Secure cég általi észlelés és gyors integráció a víruskereső szoftverbe . Ugyanebben a hónapban megjelennek az 1.2 , 1.3 és 1.4 változatok .
• 1997. július : A Windows 98 fertőzött verziója kering az interneten .
• 1997 augusztus : A Wing Commander játék kiadója fertőzött demó verziót kínál a webhelyén.
• 1998. április 26 : az 1.4-es verzió indítja el először a terhelést. A sajtó megkezdi az esemény ismertetését.
• 1998. szeptember A vírus megjelenik a firmware frissítést a CD-R400-lejátszó a Yamaha cég . Ugyanakkor két európai folyóirat szennyezett CD-ROM-okat terjeszt .
• 1998. október : Az egyik változat a SiN játék származó Activision sérül.
• 1999. március : Az Aptiva PC számítógépeket előre szállítják a vírussal.
• 1999. április 23 : A Liberation közzéteszi a "Csernobil, vírus programozva a gyilkolást 99.04.26-án" cikket.
• hétfő 1999. április 26 : vírusindító (1.2-es verzió); több tízezer gép érintett, főleg Ázsiában és Európában .
• kedd 1999. április 27 : A felszabadulás új cikket közöl : "A csernobili sebészeti sztrájkok".
• 1999. április 29 : a vírus szerzőjét a tajvani hatóságok letartóztatták. Ez utóbbi nyilvános bocsánatkérést mutat be. Panaszt nem nyújtottak be, az egyént a helyszínen engedték szabadon.
• 2000. április 26 : új, kisebb léptékű kiváltó ok (1.2-es verzió), főleg Ázsiát érinti.
• 2000. szeptember : Chen Ing-Haut a tajvani hatóságok ismét letartóztatják. Bizonytalan okokból ismét szabadon engedték, és gyorsan elfelejtették. Csak 2009-ben került elő újra, amikor részt vett a Taipei FreedomHEC konferencián.
• 2001: Az I Love You vírus Jennifer Lopez fényképeként bemutatott változata valójában a CIH egy változatát tartalmazza.

A következő években a forrás hiánya azt jelzi, hogy a vírus valószínűleg már nem okozott nagyobb kárt. Mostantól a víruskereső szoftverek 85% -a megállítja .

Technikai szempont

A szennyeződés mechanizmusa

A CIH csak a Microsoft Windows 95 , Windows 98 és Windows ME operációs rendszereken terjed .

A CIH egy rezidens vírus , vagyis a fertőzött program futtatásakor a vírus betöltődik a memóriába, és ott marad, hogy a gép (amelynek kiterjesztése . Exe ) futtatható fájljait szennyezni tudja .

Trigger

Az előrejelzések szerint a vírus fő változata kiváltódik 1999. április 26, a többi változat a hónap minden 26. napján megjelenik.

Díj

A vírus eredeti verziója véletlen adatokkal írja felül a gép minden merevlemezének ( MBR ) első megabájtját . Megpróbálja törölni a gép BIOS- át. Ez az utolsó művelet nem működik szisztematikusan, mert az alaplapon található bármelyik jumper megakadályozhatja az íráshoz való hozzáférést a BIOS-hoz.

Ennek az a következménye, hogy blokkolja a merevlemezen lévő adatokat, amelyet a rendszer olvashatatlanná tesz (a helyreállításuk, bár lehetséges, nagyon bonyolult egy nem szakértő számára). A BIOS törlése esetén a BIOS-t tartalmazó EEPROM cseréje vagy újraprogramozása elkerülhetetlen. Mivel a csere- vagy újraprogramozási műveletek nagyon összetettek és drágák, legtöbbször kifizetődő a számítógép alaplapjának egyszerű cseréje is.

Megjegyzések és hivatkozások

1. http://virusbusters.itcs.umich.edu//cih.html „PC Antivirus Update” (PCAVU) X.500 e-mail csoport az UM-en 1999. április 6-án
2. Internetes archívum: Felszabadítási cikk, 1999.04.23
3. Internetes archívum: Felszabadítási cikk, 1999.04.27
4. (in) A csernobili vírus emlékei
5. (in) FreedomHEC Tajpej 2009
6. Virustotal analízis eredményei

Lásd is

Kapcsolódó cikk

• Rosszindulatú

Külső linkek

• (fr) http://www.secuser.com/alertes/1999/tchernobyl.htm
• (fr) http://www.sophos.fr/virusinfo/analyses/w95cih.html
• (en) http://www.cert.org/incident_notes/IN-99-03.html
• (en) http://www.symantec.com/security_response/writeup.jsp?docid=2001-011112-1848-99