Что за вирус win95 cih

Программа не упакована и не криптована, поэтому антивирусы её определяют как заражённую CIH'ом. Это нормально.
В любом случае, код вируса не работает в NT+ системах, а только в Win9x.

"Умный вирусописатель" - словосочетание, содержащее в себе внутреннее противоречие.
У этих ребятишек неудовлетворённое больное самолюбие.
Далеко закинув, результатов можно не увидеть. А тут - опана! - все компьютеры
в родном университете загажены тобой! Круто!

В случае с CIH всё, правда, не так однозначно.
CIH занимался порчей BIOS'а - сразу же на рынке появилась куча "металлолома",
а народ радостно побежал в магазины за новыми компьютерами.
Да и "убитое" железо тоже можно было "вылечить", и небесплатно.
(Ха! - с помощью капроновой ниточки, если помните).

В общем, корыстные мотивы тут ярко выражены.
И сработать это было должно неподалёку от инициатора этой затеи,
иначе зачем бы он стал делать благо для торгашей и умельцев
на другом полушарии?

В раздаче выложена утилита (CIH_KILL), которая позволяет запустить CIH с опциями.
Если запустить безопасную версию вирусни, то можно посмотреть, как он заражает файлы и какие изменения в них при этом происходят.

День рождения WIN95.CIH

Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Был обнаружен "в живом виде" на Тайване в июне 1998 - автор вируса заразил компьютеры в местном университете, где он (автор вируса) в то время проходил обучение. Через некоторое время зараженные файлы были (случайно?) разосланы в местные Интернет-конференции, и вирус выбрался за пределы Тайваня: за последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. Затем вирус был обнаружен и в нескольких других странах, включая Россию.

Примерно через месяц зараженные файлы были обнаружены на нескольких американских Web-серверах, распространяющих игровые программы. Этот факт, видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26 апреля 1999 года (примерно через год после появления вируса) сработала "логическая бомба", заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров - у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчены микросхемы на материнских платах. Данный инцидент стал настоящей компьютерной катастрофой - вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.

Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой аварии на Чернобыльской атомной электростанции, вирус получил свое второе имя - "Чернобыль" (Chernobyl).

Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со своим вирусом и поставил дату срабатывания "бомбы" на 26 апреля по совсем другой причине: именно 26 апреля в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня) - 26 апреля вирус "CIH" отмечает подобным образом свой "день рождения".

Как вирус работает
При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответсвующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.

Известно три основные ("авторские") версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS:

Длина Текст Дата срабатывания Обнаружен "в живом виде"
1003 CIH 1.2 TTIT 26 апреля Да
1010 CIH 1.3 TTIT 26 апреля Нет
1019 CIH 1.4 TATUNG 26 каждого месяца Да - во многих странах

Технические детали
При заражении файлов вирус ищет в них "дыры" (блоки неспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено структурой PE-файлов: позиция каждой секции в файле выравнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.

Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.

Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю.

С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3).

Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше).

При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.

Известные варианты вируса
Автор вируса не только выпустил копии зараженных файлов "на свободу", но и разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти тексты были откорректированы, откомпилированы и вскоре появились модификации вируса, имевшие различные длины, однако по функциональности они все соответствовали своему "родителю". В некоторых вариантах вируса была изменена дата срабатывания "бомбы", либо этот участок вообще никогда не вызывался.

Известно также об "оригинальных" версиях вируса, срабатывающих в дни, отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в коде вируса происходит по двум константам. Естественно, что для того, чтобы поставить таймер "бомбы" на любой заданный день, достаточно поменять лишь два байта в коде вируса.

Десять лет назад вирус Win95.CIH, известный также как "Чих" или "Чернобыль", атаковал более полумиллиона компьютеров по всему миру. На зараженном PC вирус, свирепствовавший в эпоху Windows 95, "убивал" все, что находил - уничтожая не только данные, но и приводя в негодность аппаратную часть компьютера.

Вирус замедленного действия

Эпидемия вируса Win95.CIH - самого разрушительного за все предшествующие годы - накрыла мир 26 апреля 1999 года. Но создана эта логическая "бомба замедленного действия" была еще в 1998 году студентом Тайваньского технологического колледжа по имени Чэн Ин-Хау.

Кстати, название вирусу дали инициалы тайваньца- CIH, или, по-русски, "Чих", сообщает "Новая газета". "В народе" вирус известен также как "Чернобыль", из-за того что самая громкая его версия активируется в годовщину аварии на атомной электростанции.

Скорее всего, Чэн Ин-Хау не связывал Чернобыльскую трагедию со своим вирусом. 26 апреля у тайваньца день рождения. Таким образом, этот день можно считать днем рождения и разработчика, и его творения.

Следует отметить, что еще в 1999 году за ущерб, который причинил компьютерным системам страны вирус, его создателю грозило тюремное заключение сроком до трех лет. Следователи добрались до Чэна, когда он служил в армии, сообщает "Эхо Москвы". Вирусописатель извинился и заявил, что не хотел никому навредить - это была попытка бросить вызов производителям антивирусов.

Тогда судебное разбирательство не состоялось из-за отсутствия истца - ни от кого из граждан Тайваня не поступало официальных заявлений по этому поводу. Зато Чэн Ин-Хау написанный им вирус принес работу в крупной компании по разработке программного обеспечения, сообщает lenta.ru.

Вирус Win95.CIH поражает исполняемые файлы Windows 95 и 98. После запуска зараженного файла вирус становится резидентом и заражает другие файлы этого компьютера при их копировании или открытии. "Взрыв Чернобыля" активизируется 26 апреля - у версий вируса 1.2 и 1.3. Более поздняя версия 1.4 срабатывает 26 числа каждого месяца. При этом возможно выполнение двух вредоносных функций: затирание данных на жестких дисках и запись "мусора" во FLASH BIOS компьютера.

Если это удается, компьютер можно восстановить только заменой микросхемы BIOS или "перепрошивкой" этой микросхемы на специальном оборудовании. Как сообщают "Новые Известия", "Чернобыль" стал первым в истории компьютерным вирусом, способным наносить вред аппаратному обеспечению компьютера.

Сначала легендарным вирусом были заражены компьютеры в университете Чэн Ин-Хау. Через некоторое время зараженные файлы были разосланы в местные интернет-конференции, потом вирус вышел за пределы Тайваня. Потом он распространился на Австрию, Австралию, Израиль и Великобританию. Через американские игровые серверы он распространился по всему миру.

"Логическая бомба", заложенная в код вируса, сработала 26 апреля 1999 года - примерно через год после его появления вируса. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров.

Наибольший ущерб от вируса CIH понесли страны, в которых мало распространены антивирусные программы. В Индии, Бангладеш, странах Ближнего Востока количество выведенных из строя ПК исчислялось тысячами, а в Южной Корее, Турции, Китае - сотнями тысяч.

Эпидемия привела к значительным финансовым потерям. По оценкам специалистов, ущерб составил более $100 млн. Особенно сильно пострадала Южная Корея, где было заражено около 250 тыс. компьютеров.

26 апреля 2000 года компьютерный вирус "Чернобыль" нанес серьезный ущерб сотням компаний в Южной Корее. Сегодня вирус Win95.CIH "лечится" большинством современных антивирусных программ.

Чума XXI века

За прошедшие 10 лет, после появления "Чернобыля", мир подвергся немалому числу других опасных вирусов. Так, в мае 2000 года в интернете было зарегистрировано появление вируса I Love You - одного из наиболее вредоносных за всю историю существования сети. По некоторым оценкам, ущерб, нанесенный им пользователям персональных компьютеров во всем мире, составил более $10 млрд.

25-26 января 2003 года произошла активизация вируса Slammer, приведшая к значительному замедлению скорости работы интернета в Европе и Северной Америке. При этом некоторые регионы - в частности, Южная Корея - оказались и вовсе отрезанными от сети.

3 мая 2004 года атаке новейшего компьютерного вируса Сассер, который распространяется, используя недостатки программного обеспечения Windows, подверглась Италия. Десятки тысяч персональных компьютеров у частных пользователей и в различных организациях "зависли" и отключились на долгие часы. Особенно большой ущерб был нанесен электронным системам Итальянских железных дорог и Государственной почты. На некоторое время вышли из строя даже компьютеры МВД Италии. За информацию о создателе вируса компания Microsoft назначила премию в размере $250 тыс.

16 августа 2005 года произошла атака вируса на системы ведущих печатных изданий, а также радио - и ТВ-компаний США. В частности, временно была выведена из строя операционная система Windows-2000 в газете New York Times и на ТВ-каналах ABC и CNN. Хакер также взломал базы данных нескольких банков и произвел махинации со счетами, нарушив систему перечисления денежных средств. Инфицированы сотни тысяч компьютеров по всему миру.

20 января 2006 года был обнаружен вирус Nyxem, распространявшийся при помощи массовой рассылки по электронной почте. Вирус активируется третьего числа каждого месяца и делает попытки отключить программное обеспечение, связанное с обеспечением безопасности, а также уничтожить файлы определенных типов (в частности, документов Microsoft Office).

2 февраля 2006 года в результате атаки компьютерного вируса с 16:15 до 17:20 была приостановлена работа всех рынков Российской торговой системы - Срочного рынка ФОРТС, Классического и Биржевого рынков. После локализации проблемы пораженный компьютер был отключен от сети.

В январе 2007 года вирус Storm начал захватывать зараженные компьютеры и формировать сеть Storm, которая в сентябре того же года достигла, по различным оценкам, от 1 до 10 млн компьютеров.

С октября 2008 года по интернету "путешествует" вирус Conficker. Он уже успел проникнуть более чем в 12 млн компьютеров. Пострадали цифровые системы кораблей британских ВМС, а также Палата общин британского парламента. Вирус легко взламывает пароли, а потом использует зараженные машины для рассылки спама или как базы для хранения украденной информации. В феврале этого года компания Microsoft пообещала тому, кто поможет поймать создателя вируса, выплатить $250 тыс.

На вашем винчестере похозяйничала злобная тварь Win95.CIH ? Да — этот зловред до сих пор бродит по свету, то и дело принимаясь за старое. BIOS цел, но испорчен FAT? Еще не все потеряно — бесценная информация поддается восстановлению!
Все не так уж плохо: вирус портит каждый восьмой сектор всех жестких дисков. А это значит, что в любом случае теряется Master Boot Record (главная загрузочная запись), так как она находится в самом начале диска: Cyl0, Side0, Sec1 — что на русском языке означает: "Цилиндр 0, Сторона 0, Сектор 1". Иногда (в зависимости от объема диска) может потеряться Boot Record, расположенная на Cyl0, Side1, Sec1. То есть частично разрушены обе FAT. Первая копия начинается с Cyl0, Side1, Sec33. А вторая копия идет следом за ней.
Также частично разрушены файлы, находящиеся в самом начале диска. Это служебные файлы операционной системы, интереса они не представляют, и то, что они не подлежат восстановлению, нас не должно огорчать.
Теперь нужно восстановить Master Boot Record, Partition Table, Boot Record и FAT. Это не так сложно и страшно, как звучит. Для восстановления нам понадобятся программы Diskedit и dub.exe ( можно взять на нашем компакте ), а также второй жесткий диск.

Процесс пошел

Так как всего существует две копии FAT, то

DUB совсем не дуб, когда доходит до дела.

Теперь запускаем fdisk.exe . Надо создать основной раздел точно такого же размера, как раньше. Если этого не сделать — будут отличаться размеры FAT, и ROOT окажется в другом месте. Выходим из fdisk, перезагружаемся. Теперь форматируем диск: format /u /s . Это восстановит Master Boot Record, Partition Table и Boot Record.
Теперь, в качестве финального штриха, запускаем Diskedit, копируем на место первой и второй существующих FAT нашу исправленную версию. На место нового ROOT копируем старый, сохраненный. Перезагрузка.

All done!

Уф-ф. все получилось. Если нигде не было ошибок. Здесь, как у саперов, — достаточно одной неточности, и. Сапер от лопатки недалеко падает.
Будьте бдительны — не позволяйте всякой нечисти хозяйничать у вас на винчестере. Иначе придется пройти через то, что я описал.

"Лабораторией Касперского" (www.kaspersky.ru) меньше месяца назад был запущен новый сетевой проект — TOP 20 самых распространенных в Рунете вирусов (обновляется ежемесячно). Данные для сводки собираются не только по комментариям пользователей, но и по информации, предоставленной почтовыми службами и сайтами различной направленности. Так что выборка довольно большая, и на ее основе можно делать соответствующие выводы. По крайней мере, ознакомление со сводкой может локализовать поиск злобных вирей на вашей машине.
Если вы подозреваете, что на вашем компьютере поселился злобный "зверь", а полноценного антивирусного пакета под рукой нет, то, сверившись со сводкой, вы можете скачать из Сети несколько бесплатных утилит, призванных уничтожить конкретные вирусы (подобные программы выпускаются самыми различными компаниями и частными лицами). Сканируете свои винты на предмет наличия болезнетворных тварей — и спите спокойно.

Nimda шагает по Сети

Сбываются худшие предсказания экспертов, согласно которым червь Nimda войдет в историю Интернета как один из самых заразных вирусов. Казалось бы, сколько предупреждали, сколько объявлений на сайтах вешали. ничто не помогает. По сей час заражению ежедневно подвергаются около пятидесяти тысяч компьютеров. И на данный момент по всему миру заражено около трех миллионов машин, а ущерб от действия Nimda составил порядка четырехсот миллионов долларов.
Конечно, пока это не идет ни в какое сравнение с ущербом, нанесенным "червем" Code Red, буйствовавшим на территории Сети с июля по август месяц сего года. Тогда потери составили порядка двух с половиной миллиардов "зеленых рублей". Но Nimda, по заверениям тех же специалистов, только набирает обороты, и покончить с ним столь же быстро, как и с "Красным Кодом", не удастся.
А ведь для защиты от напасти достаточно лишь обновить антивирусные базы (практически все антивирусы на данный момент лечат Nimda) или скачать бесплатную утилиту-доктор с сайта "Лаборатории Касперского".

Вирусы — убийцы Интернета?

Не секрет, что человечество, сведя практически на нет потуги главного слуги эволюции — естественного обора — контролировать людскую численность и допускать к размножению лишь самых выдающихся, лоб в лоб столкнулось с проблемой чистоты вида. Увы, давно канули в бозе времена, когда генофонд нации составляли крепкие, здоровые гены сильнейших ее представителей. С ростом технологии рос и уровень жизни, а это, в свою очередь, вело к тому, что даже самые слабые — а зачастую именно они — имели возможность наравне с сильными оставить после себя потомство. В генофонде человечества начали накапливаться всевозможные заболевания, и сейчас мы, можно сказать, стоим на грани вымирания. Так считают ученые.
И кто бы мог подумать, что похожая картина происходит сейчас и с Интернетом. Только темпы развития ее куда как более высоки, а жизнь Сети, по мнению тех же самых ученых, увы, подходит к концу. Группа исследователей из корпорации MessageLabs, специализирующейся на контроле-сканировании почтовых отправлений, пришла к таким неутешительным выводам.
В начале 1999'го года каждое тысячное виртуальное письмо было заражено тем или иным вирусом. С наступлением 2000'го года количество инфицированной почты возросло ни много ни мало в два раза. Сейчас — в конце 2001'го — заразу можно подхватить из каждого 300'го послания. Проведя ряд несложных подсчетов, специалисты MessageLabs сделали заключение, что уже в 2004'ом году будет заражено каждое сотое письмо, ну а к 2008 году Сетью вообще нельзя будет пользоваться для общения, не боясь заразиться. Увы, Интернет оказался эволюционно несовершенным, его "иммунная" система — антивирусы — пока не выдерживает столь мощной атаки вирусов извне. Так что либо в самом ближайшем будущем будут придуманы радикально новые способы защиты виртуальных сообщений, либо Сеть будет мертва для общения. Хочется надеяться, что антивирусные лаборатории не подкачают, и наши внуки еще смогут насладиться радостью пребывания в онлайне.

Червь-FATоед

Это было 20 лет назад …

… насколько мы можем судить, во всяком случае, что тайваньский университетский студент по имени Чэнь Инг Хау решил создать компьютерный вирус , который продемонстрировал бы миру, насколько он был умным.

Вирус Чена был назван CIH , просто потому, что эти три буквы были видны внутри программного кода вредоносного ПО.

В 1998 году, когда мы впервые проанализировали вирус, мы не знали, что такое CIH, но он не сделал грубого слова на любом языке, о котором мы могли думать, поэтому он был таким же хорошим, как и любой другой.

С 1998 года многое изменилось на сценарии киберпреступности, а CIH, или W95 / CIH-10xx, чтобы использовать полное имя, которое использует Sophos для идентификации, в некотором смысле немного больше, чем любопытство музея.

Это предназначалось для Windows 95, которая в наши дни вымерла в дикой природе, поэтому код CIH нигде в реальном мире не живет в 2018 году.

Но по-прежнему стоит вспомнить много уроков, и мы можем извлечь уроки (или, возможно, переучиться) из того, как работает CIH.

Таким образом, CIH – это гораздо больше, чем музейное любопытство, когда дело доходит до осознания кибербезопасности!

Вредоносные программы могут называть свои творения тем, что они хотят – и вместо того, чтобы выбирать что-то вроде MaliciousObject.DOC, они обычно выбирают такие имена, как SYSUTIL.EXE, DOCLOADER.VBS или 2018-04-26-invoice.PDF, поэтому не так много на первый взгляд.

Но хорошо, если вы можете это назвать, о типичной программе Trojan Horse – это то, что ее не было до атаки, и после этого она не должна быть там, поэтому вы можете просто стереть ее как часть вашей очистки.

CIH, однако, является настоящим компьютерным вирусом – частью паразитного программного кода, который не может работать сам по себе, но для этого нужен файл хоста в качестве носителя.

Это потрясающе эффективная маскировка!

Вирусы распространяются автоматически

Разумеется, вирусы распространяются автоматически (это самораспространение, которое делает их вирусами, а не троянами), и как только они активны, вредоносное ПО CIH активно искало все другие программы на вашем компьютере и тоже включилось в них.

Другими словами, компьютер, зараженный CIH, не просто имел на нем один вирус, он, как правило, имел десятки или сотни – или, в случае файлового сервера, возможно, сотни тысяч – независимо опасных копий вирус на нем.

Эти зараженные файлы не juast иметь подлинные выглядящие имена , как 2018-04-26-invoice.PDF, они были действительно подлинные имена файлов, такие как NOTEPAD, вы могли установить CALC, Winword и любое другое программное обеспечение.

Хуже того, очистка была не просто вопросом улавливания зараженных файлов, потому что они были файлами, которые вам нужны, а затем перешли в безопасную и неинфекционную форму.

Дезинфекция означала, что вы метафорически выбирали муху из мази, с вниманием к деталям, достаточным для того, чтобы оставить позади мазь, которую все еще можно использовать после этого.

Вы также должны были идентифицировать и дезинфицировать все зараженные банки с мазью: если вы оставите только один из них, вирус может активироваться в любое время.

Что хуже, чем выкуп?

CIH собирался проявить хватку, а не зарабатывать деньги, мошенничая жертвами из-за того, чтобы расплатиться, чтобы избавиться от неприятностей.

Часть хвастовства состояла в том, что 26 апреля каждый год – годовщина создания Чена – CIH перестала быть вирусом.

Правильно: несанкционированное обновление прошивки, которое оставило ваш компьютер полностью не загружаемым и во многих случаях невосстановимым, по крайней мере, одним программным обеспечением.

Чип BIOS содержит код запуска, который запускается в тот момент, когда компьютер включен.

Процессоры Intel запускаются со всеми битами в своих регистрах процессора, установленными на ноль, за исключением регистра CS (кодового сегмента), который получает все свои биты, установленные в 1, так что самая первая инструкция выполняется из 20-битного адреса памяти FFFF: 0000, на 16 байт меньше предела памяти ПК в старой школе 1 МБ.

Этот адрес отображается в чип BIOS, поэтому во время запуска есть что-то полезное, а адрес реального режима FFFF: 0000 обычно содержит инструкцию JMP назад к самой части чипа BIOS, который CIH выполняет.

Таким образом, если вам не очень повезло, компьютер, который был поврежден CIH, будет висеть во второй инструкции машинного кода, через наносекунду после каждого перезапуска.

В те дни не было криптографической проверки обновлений прошивки, поэтому каждый мог написать что-либо, если знал, что это трюк, чтобы разрешить доступ к записи.

Если вы являетесь сетевым хакером, который когда-либо экспериментировал с портом, стучащим по сетевому устройству, это аналогичная идея для чипов памяти, за исключением того, что вы не можете выбрать свою последовательность детонации – она ​​жестко подключена к каждому чипу.

В 1998 году на некоторых материнских платах все еще были встроены микросхемы BIOS, поэтому технический пользователь с правильным чипом-репрограммистом мог перепрограммировать BIOS извне и оживить компьютер.

Но многие материнские платы уже использовали современную компактную технику пайки микросхемы BIOS прямо на поверхность платы, что делает ее столь же невозможной, как удаление, перепрограммирование и замена чипа CIH.

В качестве боковой ветки к этой истории мы модифицировали все уязвимые компьютеры для детонации вредоносных программ в SophosLabs после того, как мы выяснили этот вирус.

Мы аккуратно отключили линию включения записи на своих микросхемах BIOS, вместо этого подключили ее через переключатель на передней панели, чтобы мы могли запускать тесты вредоносных программ с помощью блока записи на устройствах.

Это защищало BIOS от модификаций, которые могли бы оставить нас с постоянно сломанными компьютерами или, что еще хуже, оборудованием для исследований, которое было тонко, но явно не подвержено риску даже после перезагрузки и полного восстановления диска.

К счастью, код BIOS-trashing в CIH никогда не попадал, и, кроме нескольких вариантов копий CIH, мы никогда не сталкивались с натиском вредоносного программного обеспечения.

Обрезка кода

Последняя заметная особенность CIH, которую мы рассмотрим здесь, технику, которая очень верна в моде среди тестеров проникновения и киберпреступников, – это трюк добавления вредоносного кода в существующий файл без изменения его размера.

Ранние паразитарные вирусы обычно были прединдерами или добавками, что означало, что они вставляли свои модификации в файл жертвы в самом начале или в самом конце, что облегчало кодирование вредоносных программ.

Но CIH – это инфектор полости, что означает, что он находит неиспользуемые или несущественные части файла-хозяина и вместо этого вставляет туда себя, так что размер зараженного файла не изменяется.

В наши дни такой тип обрезки кода обычно не используется для распространения вирусов, а вместо этого создает одноразовые троянные версии известных утилит, которые все еще работают так, как они привыкли, используя эту утилиту в качестве обложки для своего рода злонамеренная деятельность.

Что случилось с Ченом?

В апреле 1999 года, спустя год после его создания, вирус CIH все еще был вокруг, и 26 апреля 1999 года многие материнские платы были заблокированы юбилейным кодом Чэна.

После того, как Чен Инг Хау был избран автором CIH, мы предположили, что он столкнется с серьезными проблемами, вероятно, столкнется с тюремным заключением, а также с другими уголовными санкциями, такими как штраф или реституционный платеж.

Насколько нам известно, он был задержан и расследован в 2000 году, но из-за характера законов о кибербезопасности на Тайване в то время он никогда не был судим или не был осужден за какое-либо преступление.

Что учиться?

Будьте в безопасности, учитесь в прошлом, и если вы можете догадаться, какая кибербезопасность будет выглядеть через 20 лет …

… пожалуйста, дайте нам знать в комментариях!

Follow @NakedSecurity on Twitter for the latest computer security news.

Follow @NakedSecurity on Instagram for exclusive pics, gifs, vids and LOLs!

Читайте также:

• Иммунохроматографический тест для выявления антигенов ротавируса
• Вирусы тормозящие работу системы
• Девочка бешенство от собаки
• Штампы вирусов что это
• Когда можно делать операцию после прививки от гепатита

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.