27 лет Чернобыльскому вирусу: легендарная угроза, заразившая миллионы ПК
2 просмотров
27 лет назад, 26 апреля 1999 года, было запущено одно из самых разрушительных вредоносных программ эпохи Windows 9x, CIH, также известное как Чернобыль. Его размер составлял всего около 1 КБ, но ущерб был огромен: вредоносная программа стирала данные на жестких дисках и пыталась записать ненужные данные в BIOS материнских плат.
CIH, как напоминают исследователи, был создан в 1998 году тайваньским студентом Чэнь Инхао из частного университета в Чжуншане.
По разным оценкам, вредоносная программа заразила около 60 миллионов компьютеров и нанесла ущерб примерно на 40 миллионов долларов. Прозвище Чернобыльский он получил из-за даты эксплуатации – 26 апреля, годовщины аварии на Чернобыльской АЭС.
Одной из особенностей ЦГИ была его секретность. Вредоносная программа не просто дописывалась в конец исполняемых файлов, увеличивая их размер, а искала свободное место внутри файлов Windows PE и распределяла свой код по этим «пустотам». В результате зараженные файлы оставались того же размера, что помогало обойти антивирусные проверки того времени.
После запуска CIH повысил свои привилегии до уровня ядра и перехватил операции с файлами. Это позволяло ему незаметно заражать исполняемые файлы, открываемые пользователем. Вирус работал только в Windows 95, Windows 98 и Windows ME; Системы семейства Windows NT были к этому невосприимчивы.
CIH распространялся в основном через пиратское программное обеспечение, однако зараженные копии попадали и в легальные каналы. Например, в марте 1999 года некоторые компьютеры IBM Aptiva поставлялись с предустановленной системой CIH. Yamaha также распространяла зараженное обновление прошивки для приводов CD-R400, а копии Back Orifice 2000, распространяемые на DEF CON 7, также содержали вирус.
При активации CIH сначала перезаписывал первый мегабайт загрузочного диска нулями. Это разрушило таблицу разделов и сделало содержимое диска недоступным. Затем вирус попытался повредить BIOS, записав в него неверные данные. Если атака прошла успешно, компьютер мог перестать включаться без замены чипа.
Несмотря на масштаб последствий, тайваньская прокуратура не смогла предъявить обвинения Чэнь Инхао: по тогдашним местным законам для этого требовался иск со стороны потерпевших, а таких заявлений не поступало. Сам автор утверждал, что создал CIH как вызов антивирусным компаниям, которые, по его мнению, преувеличивали возможности своих продуктов.
