Чернобыльский вирус
Содержание:
Что необходимо предпринять
Специальных рекомендаций на тему: «как уберечься от вируса Win95.CIH», не существует. Более того, неправильно было бы настраивать владельцев компьютеров на борьбу только с одним вирусом. Довольно распространены и другие, не менее опасные, вирусы, после которых восстановить информацию действительно удается очень редко. Например, многочисленные клоны вируса «One Half». Вирус Win95.CIH «нагнал страху» не потому, что он так опасен, а потому, что действие его проявилось у всех в один день. В отличие от Win95.CIH, «One Half» (как и большинство других) периодически портит информацию только на отдельных компьютерах, причем друзья пострадавшего владельца остаются в твердой уверенности, что с ними этого не произойдет.
Таким образом, главная рекомендация заключается в том, что необходимо серьезно относиться к защите от вирусов.
В рамках данной статьи вряд ли целесообразно еще раз приводить рекомендации по борьбе с вирусами. В периодической печати (а значит, и на сайтах ведущих компьютерных журналов) этим вопросам посвящены обширные статьи. Хочется сделать только одно небольшое пожелание:
Господа! Мойте руки перед едой!
Хронология
- 2 июня 1997 г. : появление вируса на Тайване .
- Июнь 1997 г. : обнаружение компанией F-Secure и быстрая интеграция в ее антивирусное ПО . В этом же месяце появляются варианты 1.2 , 1.3 и 1.4 .
- Июль 1997 г. : В Интернете циркулирует зараженная версия Windows 98 .
- Август 1997 г. : издатель игры Wing Commander предлагает на своем сайте зараженную демо- версию .
- 26 апреля 1998 г. : версия 1.4 запускает свою загрузку впервые. Пресса начинает освещать событие.
- Сентябрь 1998 : Вирус появляется в микропрограммного обновления для на проигрывателе CD-R400 от Yamaha компании . В то же время два европейских журнала распространяют зараженные компакт-диски .
- Октябрь 1998 г. : Версия игры SiN от Activision взломана.
- Март 1999 г. : Компьютеры Aptiva PC поставляются с предустановленным вирусом.
- 23 апреля 1999 г. : Liberation публикует статью «Чернобыль, вирус, запрограммированный на убийство 26.04.99».
- понедельник 26 апреля 1999 г. : вирусный триггер (версия 1.2); затронуты несколько десятков тысяч машин, особенно в Азии и Европе .
- вторник 27 апреля 1999 г. : Liberation публикует новую статью «Чернобыльские хирургические забастовки».
- 29 апреля 1999 г. : автор вируса арестован властями Тайваня. Последний приносит публичные извинения. Жалоба подана не была, человек был отпущен на место.
- 26 апреля 2000 г. : новый триггер меньшего масштаба (версия 1.2), в основном затрагивающий Азию.
- Сентябрь 2000 г. : Чэнь Инг-Хау снова арестован тайваньскими властями. Его снова отпустили по неясным причинам, и о нем быстро забыли. Он вернулся на поверхность только в 2009 году, когда участвовал в конференции FreedomHEC в Тайбэе.
- 2001: Вариант вируса I Love You, показанный на фотографии Дженнифер Лопес, на самом деле содержит вариант CIH.
В последующие годы отсутствие источника указывает на то, что вирус, вероятно, больше не нанес серьезного ущерба. Сейчас его останавливает 85% антивирусных программ .
История
Вирус впервые появился в 1998 году. В марте 1999 года несколько тысяч IBM Aptivas были поставлены с вирусом CIH, всего за месяц до того, как вирус сработал. В июле 1999 года организаторы обнаружили , что копии инструмента удаленного администрирования Back Orifice 2000, выданные для участников DEF CON 7, были заражены CIH. 31 декабря 1999 г. компания Yamaha отправила обновление программного обеспечения для своих приводов CD-R400, зараженных вирусом. В июле 1998 года демо — версия первого лица шутер игры SiN был заражен одним из его зеркал.
Двойная полезная нагрузка CIH была доставлена впервые 26 апреля 1999 года, при этом большая часть повреждений была нанесена в Азии . CIH заполнил первые 1024 КБ загрузочного диска хоста нулями, а затем атаковал некоторые типы BIOS . Обе эти полезные нагрузки приводили к неработоспособности главного компьютера, и для большинства обычных пользователей вирус по существу уничтожил компьютер. Технически, однако, можно было заменить микросхему BIOS , а методы восстановления данных на жестком диске появились позже.
Сегодня CIH не так широко распространен, как раньше, из-за осведомленности об угрозе и того факта, что он влияет только на более старые операционные системы Windows 9x ( , , ME ).
Вирус снова вернулся в 2001 году, когда вариант червя LoveLetter в файле VBS, который содержал программу-дроппер для вируса CIH, распространился по Интернету под видом обнаженной фотографии Дженнифер Лопес .
Модифицированная версия вируса под названием CIH.1106 была обнаружена в декабре 2002 года, но не считается серьезной угрозой.
Чернобыль — опасный компьютерный вирус
Вирус, это всего лишь программа, написанная человеком, которая не влияет на здоровье работающего за компьютером пользователя. Сказки и слухи о том, что вирусы путем цветовых гамм, других эффектов выносящихся на экран монитора, убивают мозг, сводят с ума человека, не имеют под собой почвы. В компьютер попадают сотни вирусов, происходит это, прежде всего из-за компьютерной безграмотности пользователя, неумения пользоваться носителями информации (дисками, флешками).
– относится к резидентным вирусам, поражающим системы Windows 95, Windows 98. Размер вируса ничтожен, всего 1 Кб. Внедряясь, вирус стирает все данные с дисков, вводит свой код в память программы, при этом перехватывает основные команды к файлам. Затем пишет на пораженных файлах свои копии. Завершив удаление памяти, он стирает информацию с винчестеров, таким образом, очищая себе путь ко всем дискам компьютера, к информации дисков.
Автором вируса является студент из Тайвани Чэнем Ин Хао, который написал вирус и воплотил его в жизнь в 1998 году. На сегодняшний день существует три авторские копии вируса. Отличаются они друг от друга длинной, строкой текста и временем внедрения и поражения программ Windows. Первое массовое поражение компьютеров совпало с годовщиной Чернобыля 26.04. 1999 года, совпадение активации вируса и датой взрыва Чернобыля и дало название вирусу. Из тайванского университета, где учился автор вируса, он быстро перемещался по стране, затем эпидемия перекинулась на Израиль, Австрию, Великобританию, Австралию, спустя некоторое время он достиг и России. Поражение программ неизвестным вирусом, и еще так масштабно, встревожило общественность, в то время пострадало полмиллиона персональных компьютеров. В основном пострадали микросхемы BIOS персональных компьютеров.
Интересно знать, что входит в десятку особо опасных вирусов в мире. Его автор, когда узнал о масштабах вреда нанесенного своим детищем, публично извинился. Университетская шутка, которой он всего лишь собрался сорвать учебный процесс, в пределах своего вуза, принесла ему недобрую славу. Но по законам страны, студент не нарушал закона, не был судим.
И самое главное вирус срабатывает один раз в году – 26 апреля, вызывается запуском пораженной системы, и при завершении работы всегда остается в памяти, заражая другие программы, наблюдая за действием владельцев ПК. Удалить вирус очень сложно, после удаления утрачивается множество файлов и документов. Добрый совет – не удаляйте вирус с компьютера самостоятельно, обратитесь к специалисту, это ваш шанс сохранить максимум файлов, помочь компьютеру возобновить силы. Способность размножения вредоносных программ сеют панику среди пользователей. Только грамотный подход к удалению и лечению вируса, освободит пользователя от неудобств.
Сейчас, наверное, мало кто помнит, но 26 апреля — это не только день, когда произошла чернобыльская трагедия, но и дата, когда сотни тысяч пользователей компьютеров по всему миру лишились всей информации на своих дисках, а некоторые — и материнских плат из-за вируса CIH. Рассказываем, что произошло в 1999 году, кто был виновником и как вирус смог распространиться глобально.
26 апреля 1999 года
Эту дату наверняка до сих пор вспоминают обладатели зараженных на тот момент компьютеров. В этот день сработала «логическая бомба», заложенная в код вируса. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров — у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчено содержимое микросхем BIOS на материнских платах (таким образом они оказались полностью неработоспособными).
Данный инцидент стал настоящей компьютерной катастрофой — вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.
По разным оценкам , ущерб от вируса составил от 20 до 80 миллионов долларов. Это не считая моральный урон — огромное количество людей потеряло свои личные данные, ведь в 1999 году еще не были распространены облачные хранилища и стриминговые сервисы.
Видимо, потому, что вирус нес реальную угрозу компьютерам во всем мире и дата его срабатывания совпала с датой аварии на Чернобыльской атомной электростанции, он получил свое второе, гораздо более распространенное, имя — «Чернобыль» (Chernobyl).
Автор вируса почти наверняка никак не связывал чернобыльскую трагедию со своим детищем и поставил дату срабатывания «бомбы» на 26 апреля по совсем другой причине: именно в этот день в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня), т.е. таким образом 26 апреля вирус отмечает свой «день рождения».
Вот, что вспоминал один из пострадавших: «Получив предупреждение, всей конторой меняли дату — чтоб он не активировался… И как я лоханулся, забыв ее назад потом открутить… И ровно через месяц комп накрылся…».
Effects
In South Korea, it was estimated that as many as one million computers were affected, resulting in more than 250 million dollars in damages. Most computers at Boston College were infected and some were destroyed. Many students lost their information just before their final examinations. 200 computers in Singapore and 100 in Hong Kong were infected with the virus, along with many others around the world. Ten major companies in India were also affected by the virus.
The virus first spread through pirated software in the summer of 1998 when at least four pirate groups were infected. There were also unconfirmed reports that the virus appeared in a «PWA-cracked copy» of Windows 98.
From the summer of 1998 to the spring of 1999, several companies unintentionally released software infected by the virus. A video game company known as Origin Systems unintentionally released an infected download related to its Wing Commander game. Three gaming magazines from Europe shipped compact demo discs infected with the virus and one even reportedly included a note informing users about the virus and suggesting that they must disinfect their computers after using the compact disc. Yamaha shipped an infected firmware upgrade for their CD-R400 drives. IBM Aptiva computers came with the virus pre-installed in March 1999.
Antivirus Aliases
- Avast!: Win95:CIH
- Avira: W95/CIH.A
- CA:
- ClamAV: CIH.2
- Doctor Web: Win95.CIH.1003
- Eset: Win95/CIH
- F-Prot: W32/CIH.1019.A
- F-Secure:
- Grisoft: Win32/CIH
- Kaspersky Lab: Virus.Win9x.CIH also known as: Win95.CIH
- McAfee: W95/CIH.1019a
- Norman:
- Panda: W95/CIH
- RAV: Win95/CIH.1003
- Bitdefender: Win95.CIH.Gen
- Sophos: W95/CIH-10xx
- Symantec: W95.CIH
- Trend Micro: PE_CIH.1003
- Vexira: Win95.CIH
Other Facts
Some had expressed skepticism over the virus’s ability to destroy a computer’s BIOS, though it was later proven it cold. There were no confirmed cases in the wild of a BIOS being destroyed as a result of CIH, however one researcher did manage to get the virus to destroy one in a lab test. Because the virus causes so much destruction before reaching this stage, it would likely be detected and removed or it would destroy itself before it could get that far.
One virus expert even speculated that the reports of BIOS corruption or destruction was a ploy to get people to discard perfectly good computers in order for them to be resold by black market dealers. He also speculated that many alleged victims of the virus, all too eager to get rid of old computers, blamed the virus for minor problems and told the management that they needed new equipment. The reported costs of damage may have actually been in new computers and software rather than repairs and lost work/time.
The Payload Trigger, the 26th of April, was initially thought to commemorate the Chernobyl disaster. It actually coincides with Chen’s Birthday.
Variants of this virus have come out as late as 2002. One variant released in 2001 was attached with a VBS script that used social engineering in the form of promising a picture of Jennifer Lopez to encourage the user to open it.
Chen Ing-Hau worked with Weng Shi-hao, a student at Taiwan’s Tamkang University to write a disinfection program. Tamkang University is located in Tamsui District, home of another virus though one created at a different university.
Sources
Bob Sullivan. ZDnet, CIH Virus Finds a few Victims. 1999.04.27
Motoaki Yamamura. Symantec.com W95.CIH
Greg Sandoval, CNet. ZDNet, Virus Dresses up as Naked Jennifer Lopez. 2001.06.01
Thor Olavsrud. InternetNews, Promises of Jennifer Lopez Nude Deliver Destructive Virus 2001.06.01
Rob Rosenberger. Vmyths.com, ‘The mother of all viruses,’ part 2. 1998.08.15
-.-, Another urban legend in the making. 1999.04.29
F-Secure Antivirus, CIH
汪文豪 (Wang Wenhao). 親子天下, 從駭電腦到愛旅行─昔日網路小子陳盈豪. 2009.10
Name[]
CIH takes its name from both the initials of its author, Chen Ing-Hau, and from comments left in some EXEs upon infection. Its other popular name, Chernobyl, comes largely from its payload trigger date, April 26, which is the same date as the Chernobyl nuclear disaster. The name may have been used frequently by the press, as a reference to an infamous disaster would probably have greater dramatic effect in a news report than three initials.
The name Spacefiller comes from the virus’ primary infection behavior of injecting its code in empty space in EXEs. This behavior is meant to help hide its presence, as infections may be noticed if file sizes suddenly change.
Aliases
- Avast!: Win95:CIH
- Avira: W95/CIH.A
- ClamAV: CIH.2
- Dr. Web: Win95.CIH.1003
- ESET NOD32: Win95/CIH
- F-Prot: W32/CIH.1019.A
- Grisoft: Win32/CIH
- Kaspersky Lab: Virus.Win9x.CIH
- McAfee: W95/CIH.1019a
- Panda: W95/CIH
- RAV: Win95/CIH.1003
- Bitdefender: Win95.CIH.Gen
- Sophos: W95/CIH-10xx
- Symantec: W95.CIH
- Trend Micro: PE_CIH.1003
- Vexira: Win95.CIH
Последние проблемы
hydraruzxpnew4afaonion.co
(9 м. 15 с. назад)
hydraruzxpnew4afaonion.co
(27 м. 4 с. назад)
hydraruzxpnew4afaonion.co
(1 ч. 4 м. 56 с. назад)
ag-vmeste.ru
(1 ч. 34 м. 32 с. назад)
mos.ru
(1 ч. 46 м. 30 с. назад)
libertex.fxclub.org
(1 ч. 48 м. 13 с. назад)
kadets.net
(1 ч. 53 м. 56 с. назад)
hi5.com
(2 ч. 4 м. 13 с. назад)
ozon.ru
(2 ч. 5 м. 59 с. назад)
2i91.com
(2 ч. 15 м. 52 с. назад)
is.gd
(2 ч. 47 м. 32 с. назад)
2i91.com
(2 ч. 56 м. 36 с. назад)
mos.ru
(3 ч. 29 м. 21 с. назад)
is.gd
(3 ч. 37 м. 41 с. назад)
is.gd
(3 ч. 41 м. 4 с. назад)
tvua.biz
(3 ч. 47 м. 3 с. назад)
mos.ru
(3 ч. 53 м. 47 с. назад)
hydraruzxpnew4afaonion.co
(3 ч. 54 м. 23 с. назад)
mos.ru
(3 ч. 57 м. 34 с. назад)
hydraruzxpnew4afaonion.co
(4 ч. 15 с. назад)
mos.ru
(4 ч. 3 м. 27 с. назад)
mos.ru
(4 ч. 3 м. 59 с. назад)
mos.ru
(4 ч. 7 м. 35 с. назад)
mos.ru
(4 ч. 7 м. 37 с. назад)
mos.ru
(4 ч. 9 м. 4 с. назад)
функциональность
Hexdump первого вируса CIH
Файловый вирус резидентен в памяти и заражает файлы .exe ( Portable Executable ) под Windows 95 , Windows 98 и Windows ME . Windows NT и все операционные системы Windows на ее основе не поражены , а это значит, что вирус сегодня практически не актуален.
CIH запускает свой вредоносный код (полезную нагрузку) только в заранее запрограммированные дни, что означает, что зараженные компьютеры обычно остаются работоспособными в течение длительного времени и зараженные файлы могут передаваться дальше. Первая версия запускалась один раз в год, когда системная дата достигала 26 апреля. Следовательно, CIH — это так называемый вирус дня рождения. Вопреки информации, циркулирующей в Интернете, 26 апреля — не день рождения автора вируса Чен Инг-Хау. Это была дата, когда он покончил с вирусом.
Полезная нагрузка
Процедура повреждения первого перезаписывает таблицу разделов в основной загрузочной записи на жесткий диск с нулями, что делает невозможным доступ к данным на жестком диске без специальных решений для восстановления. Для таблицы разделов нет аппаратной защиты.
Он также пытается перезаписать BIOS компьютера. Однако это работает только с компьютерами с наборами микросхем Intel -430TX , на которых защита от перезаписи BIOS отсутствует или не активирована. После перезаписи BIOS зараженный компьютер больше не запускается. Микросхему BIOS на материнской плате необходимо заменить или переписать. Чтобы защитить Flash BIOS от перезаписи, на многих материнских платах есть перемычка , предназначенная для предотвращения непреднамеренных изменений в BIOS. Однако это не гарантирует какой-либо защиты, поскольку в некоторых версиях BIOS защита от записи для Flash BIOS устанавливается программным обеспечением, несмотря на наличие такой перемычки. Вирус пользуется этим и бесцеремонно деактивирует защиту от записи. Вопреки распространенному мнению, CIH не повреждает оборудование , а скорее прошивку . Хотя вирус известен своим эффектом полезной нагрузки, на практике он почти никогда не встречался.
Выявление и удаление
- Первые версии CIH еще в 1998 году были признаны почти всем используемым антивирусным программным обеспечением. Использование такого программного обеспечения еще не было само собой разумеющимся на рубеже тысячелетий, особенно в частном секторе, и утвердилось только в следующие десять лет.
- Системы Windows, основанные на NT, не были восприимчивы, как и операционные системы других производителей.
Как открыть сайт cih.ru?
Самые частые причины того, что не открывается сайт cih.ru могут заключатся в следующем:
- Сайт заблокирован Вашим провайдером. Для того чтобы открыть сайт воспользуйтесь VPN сервисами.
- Вирусы переписали файл hosts. Откройте файл C:\Windows\System32\drivers\etc\hosts (Windows) или /ets/hosts (Unix) и сотрите в нем строчки связанные с сайтом cih.ru.
- Ваш антивирус или фаервол блокирует доступ к данному сайту. Попробуйте отключаить их.
- Расширение AdBlock (или другое аналогичное) блокирует содержимое сайта. Отключите плагин для данного сайта.
- Иногда проблема с недоступностью сайта заключается в ошибке браузера. Попробуйте открыть сайт cih.ru в другом браузере, например: Firefox, Chrome, Opera, Internet Explorer, Safari.
- Проблемы с DNS у Вашего провайдера.
- Проблемы на стороне провайдера.
- Выполните команды ping cih.ru или tracert cih.ru . Если выполнение указанных команд завершается ошибкой, то проблема, скорей всего, на сетевом уровне.
Removal[]
Fix-CIH is able to undo the damage done to a Windows installation in some situations. This would allow you to access your files, however, this program does not disinfect a system. Care should be taken to not reactivate the payload after running this program.
Kill-CIH attempts to restore infected files to their original states by removing known pieces of CIH from EXEs. It is recommended that this utility be run from an MS-DOS boot disc or a Windows Boot or Setup Disc, as files may not be able to be cleaned if Windows is using them.
If not all files are able to be cleaned, the user can either delete the infected files or boot from a Windows Setup disc and copy clean files from said disc on top of the infected ones.
Finally, run a virus scan once again in order to ensure that the computer is CIH-free.
Здоровье детей из Чернобыля
В раках исследования ученые из России, Украины, Бразилии и ряда других стран изучили состояние здоровья детей ликвидаторов аварии и людей, которые жили в 70-километровой зоне вокруг станции. В распоряжении ученых оказались данные о 130 детях, которые были рождены в период с 1987 по 2002 год. На момент аварии их отцам было от 12 лет до 41 года, а матерям — от 10 до 33 лет. Средний возраст отцов и матерей на момент зачатия ребенка составлял 29 и 27 лет соответственно.
Помещение блочного щита управления энергоблока Чернобыльской атомной электростанции, 1985 год
Важно отметить, что мутации есть у каждого из нас. По расчетам ученых, в каждом поколении происходит около 100 мутаций и это совершенно нормально
Можно сказать, что таким образом мы эволюционируем и адаптируемся под окружающие условия. Если бы не эти генетические изменения, мы бы до сих пор ходили сгорбившись и имели грубые очертания лица как у древних людей. Но иногда мутации возникают из-за внешнего воздействия вроде радиации. Ученых интересовали мутации именно такого происхождения.
То же помещение, но уже в 2016 году
Изучив состояние детей, чьи родители в 1980-е годы подверглись радиационному излучению, ученые пришли к весьма обнадеживающему решению. По их словам, у потомков ликвидаторов аварии на Чернобыльской электростанции нет никаких мутаций, связанных с воздействием радиации. Стивен Чанок считает, что это открытие должно особенно порадовать людей, которые пережили катастрофу Фукусимы в 2011 году. Вот уже 10 лет эти люди боятся заводить детей, считая что потомки не будут здоровы. У детей ликвидаторов ЧАЭС особых проблем не обнаружено, а это значит, что жителям Японии тем более не нужно ничего бояться. Все-таки, дозы облучения в Японии были гораздо ниже, чем в Чернобыле.
Последствия аварии в Фукусиме
Чернобыльская катастрофа является одной из самых серьезных в современной истории. В результате взрыва в воздухе образовались облака радиоактивных частиц, которые впоследствии опустились вниз и отравили землю. В радиусе 30 километров от атомной электростанции было принято решение создать «зону отчуждения», куда можно попасть только по пропуску. Считается, что эта территория будет непригодна для жительства на протяжении 24 тысяч лет.
Стоит отметить, что Чернобыль — это далеко не самое радиоактивное место на нашей планете. На всемирной карте есть точка, где концентрация радиоактивного плутония в 1000 раз больше, чем на территории ЧАЭС. Подробнее об этом месте можно почитать в этом материале.
Эффекты
Вирус впервые появился на Тайване 2 июня 1998 года, но затем распространился по всему миру. 26 апреля 1999 года, что по совпадению совпало с годовщиной чернобыльской ядерной катастрофы в 1986 году, программа CIH впервые была активирована, что дало вирусу альтернативное название Чернобыль . Бесчисленное количество компьютеров по всему миру были поражены вирусом. С другой стороны, два варианта программы активируются один раз 26 июня, а другой — 26 числа каждого месяца.
Программист Чен Инг-Хау должен был отвечать в суде с 2000 года из-за пагубных последствий вируса. Процесс затянулся на годы безрезультатно. Приговора никогда не было.
Ситуация около 1999 г.
Распространению, по-видимому, способствовало заражение вирусом незаконно скопированного программного обеспечения , а также легальных программных продуктов. Поскольку коммерческие источники также пострадали от CIH:
- В августе 1998 года загрузка игры Wing Commander: Secret Ops была заражена.
- Также были затронуты выпуски компакт-дисков из европейских игровых журналов.
- Также был известен случай заражения программных файлов для прошивки — обновления от Yamaha предназначались для CD-приводов.
- Некоторые компьютеры IBM -Aptiva-PC были доставлены инфицированными CIH в марте 1999 года.
- Хакерская группа Cult of the Dead Cow распространила свои собственные компакт-диски на отраслевой конференции DefCon в 1999 году, которые оказались заражены вирусом CIH v1.2 TTIT. Группа извинилась и взяла на себя полную ответственность. Группа решительно отвергла обвинения в намеренном заражении компакт-дисков.
- 2011 E-угроз аналитик обнаружил программное обеспечение компании Bitdefender инфицированная с CIH Windows 98 видео драйверов на Microsoft, FTP — сервера . Поскольку вирус по-прежнему опасен для таких старых операционных систем, на сервере была бомба замедленного действия.