Вчера се навършиха 27 години от активирането на вируса CIH, по-известен като „Чернобил“. На 26 април 1999 година миниатюрен вирус с размер 1 килобайт нанесе удар по стотици хиляди компютри с Windows 9x по целия свят, като изтри твърдите дискове и записа „боклучави“ данни в BIOS чиповете на дънните платки.
Вирусът, написан от тайванския студент Чен Инхао от Университета Татун през 1998 година е заразил около 60 милиона компютъра и е нанесъл икономически щети на стойност около 40 милиона щатски долара. Прякорът „Чернобил“ е заради датата на активиране – 26 април, която съвпадна с годишнината от ядрената катастрофа през 1986 година.
„Чернобил“ е известен и като „запълващ“ вирус заради начина, по който се маскира в изпълнимите файлове. Вместо да добавя код в края на файла, увеличавайки размера му, CIH сканира преносимите изпълними файлове на Windows за неизползвани празнини между секциите на кода и поставя своя полезен товар в тези празнини. Заразените файлове оставаха със същия размер, което заблуждаваше проверките за размера на файловете, на които разчитаха много антивирусни инструменти от онова време. С размер около 1KB, вирусът беше достатъчно компактен, за да се разпредели в няколко миниатюрни „джобчета“ в един EXE файл.
След стартирането си CIH използваше експлойт, за да получави достъп на ниво ядро, за да прехване системните повиквания на файловата система и незабележимо да зарази всеки изпълним файл, отварян от потребителя. Той работеше само в Windows 95, 98 и ME. Windows NT беше неуязвим.
CIH се разпространи по целия свят чрез канали за пиратски софтуер през лятото на 1998 година, но няколко заразявания се случиха от легални търговски източници, като например компютрите IBM Aptiva, партида от които беше доставена с предварително инсталиран CIH през март 1999 година, месец преди датата на активиране. Yamaha също разпространява заразено обновяване на фърмуера за своите CD-R400 устройства, а копията на инструмента Back Orifice 2000, раздадени на DEF CON 7 през юли същата година също съдържаха вируса.
При активиране двойният полезен товар на CIH първо презаписваше първия мегабайт на диск за зареждане с нули, унищожавайки таблицата с дялове и правейки съдържанието на диска недостъпно. След това той се опитваше да запише невалидни данни в BIOS чипа на дънната платка, което в случай на успех водеше до пълна невъзможност за включване на машината без подмяна на чипа. Атаката срещу BIOS работеше основно на системи с определени чипсети Intel 430TX, които имаха незащитена флаш памет.
Въпреки мащаба на нанесените щети, тайванските прокурори не можаха да повдигнат обвинения срещу Чен, тъй като нито една от жертвите не беше подала иск, както изискваше местното законодателство по онова време. Самият Чен твърдеше, че е написал CIH, за да предизвика разработчиците на антивирусни програми, които според него преувеличаваха възможностите за откриване на своите продукти. Този инцидент подтикна Тайван към приемането на ново законодателство за компютърните престъпления.
Всичко важно от света на технологиите, директно в пощата ти.
С абонирането приемате нашите Условия и Политика за поверителност. Може да се отпишете с един клик по всяко време.
Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Google Новини, TikTok, Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iPhone, Huawei, Google Chrome, Microsoft Edge и Opera!
