close
Sari la conținut

CIH (virus informatic)

De la Wikipedia, enciclopedia liberă
CIH
Image
Mesaj de interceptare antivirus pe un sistem Windows 95
DezvoltatorChen Ing-hau (陳盈豪)
Versiune inițialăiunie 1998
Scris înlimbaj de asamblare  Modificați la Wikidata
Sistem de operareWindows 95, Windows 98, Windows Me
Platformăx86
TipVirus de fișiere
Prezență online
Modifică date / text Consultați documentația formatului

CIH, cunoscut și sub numele de Chernobyl sau Spacefiller, este un virus informatic distructiv care a apărut în 1998 și afecta sistemele de operare Windows 9x (Windows 95, 98 și ME). Virusul infecta fișiere Portable Executable (PE) și la data activării, suprascria primul megabyte al discului dur cu zerouri și încerca să rescrie cipul Flash BIOS, putând face computerul complet nefuncțional.[1][2]

Virusul a fost creat de studentul taiwanez Chen Ing-hau (陳盈豪, pinyin: Chén Yíngháo), pe atunci la Universitatea Tatung (Tatung Institute of Technology) din Taipei. Numele „CIH” provine din inițialele sale.[3][4]

Se estimează că a infectat sute de mii de computere, provocând daune estimate la sute de milioane de dolari (în special în Asia, unde Coreea de Sud și China au fost cele mai afectate).[5]

Istoric

[modificare | modificare sursă]

Virusul a fost detectat pentru prima dată în iunie 1998 în Taiwan. Chen Ing-hau a declarat că l-a creat ca o demonstrație a limitelor programelor antivirus din acea perioadă. După ce virusul s-a răspândit la universitate prin colegi, Chen a primit o mustrare oficială de la facultate, dar nu a fost exmatriculat, deoarece avertizase studenții să nu-l răspândească.[2][3]

Ulterior, Chen și-a cerut scuze universității și a colaborat cu studentul Weng Shi-hao (de la Universitatea Tamkang) pentru a dezvolta un program de dezinfecție distribuit gratuit.[2]

Interesul cercetătorilor a fost atras de tehnica neobișnuită prin care codul malițios se ascundea în fișierul infectat. Inițial, s-a crezut că efectul său distructiv se limita la coruperea datelor de pe hard disk, prin suprascrierea unei zone critice cu informații fără sens. Totuși, cu puțin timp înainte de data de activare din 26 iunie, utilizată de două variante, a fost identificată și o componentă suplimentară destinată deteriorării BIOS-ului calculatorului.[6] Până în august, majoritatea companiilor antivirus importante primiseră deja de la clienți cel puțin o variantă, iar unele confirmaseră existența mai multor versiuni ale virusului.[6]

În Taiwan, autoritățile nu l-au putut condamna inițial deoarece nu existau plângeri oficiale din partea victimelor (conform legislației de atunci). Cazul a contribuit însă la adoptarea unor legi mai stricte privind criminalitatea informatică.[5]

Numele „Chernobyl” a apărut din coincidența datei de activare (26 aprilie) cu aniversarea accidentului nuclear de la Cernobîl (26 aprilie 1986). Numele „Spacefiller” se datorează tehnicii de infectare: virusul își introduce codul în spațiile goale dintre secțiunile fișierelor PE, fără a mări dimensiunea lor.[2][7]

Caracteristici tehnice

[modificare | modificare sursă]

CIH este un virus informatic cu efecte distructive inclusiv asupra hardware-ului, care infectează fișiere Portable Executable (PE) din Windows 95, 98 și ME.[6] Ulterior, autorul i-a publicat și codul-sursă.[8]

Fișierele PE sunt formatul standard folosit de Windows pentru programe și componente asociate și conțin datele necesare rulării aplicațiilor,[9] care sunt împărțite în mai multe secțiuni, iar între acestea poate rămâne un spațiu neutilizat, numit slack space.[6] CIH folosește acest spațiu rezidual pentru a-și introduce codul fără a mări dimensiunea fișierului infectat. Tehnica, cunoscută ca cavity infection, mai fusese utilizată și de virusul Lehigh pentru MS-DOS, din 1987.[6] Păstrarea aceleiași dimensiuni ajută virusul să ascundă modificarea fișierului.

Mecanismul de infectare

[modificare | modificare sursă]

CIH infectează exclusiv fișiere executabile PE pe Windows 95/98/ME și nu afectează Windows NT sau versiuni mai vechi (Windows 3.x) și se răspândește prin deturnarea mecanismului de întreruperi al sistemului. La rularea unui program infectat, virusul modifică tabela care stabilește ce rutină se execută pentru un anumit semnal și face ca propriul cod să fie apelat cu drepturi de nivel kernel.[6][10]

După ce verifică dacă nu este deja încărcat, își reconstruiește codul în memorie și se instalează ca rezident. Apoi interceptează operațiile asupra fișierelor, astfel încât să fie activat de fiecare dată când sistemul deschide, salvează sau execută un fișier.[6]

Când primește controlul, CIH analizează fișierul vizat și, dacă este un PE neinfectat cu suficient spațiu rezidual între secțiuni, își inserează acolo codul și modifică antetul pentru a porni odată cu programul.[4] Dacă spațiul nu ajunge, nu infectează fișierul, dar îl marchează ca deja verificat.[6]

Prin acest procedeu, virusul putea compromite rapid multe fișiere, inclusiv unele doar deschise cu permisiune de scriere, chiar și prin rețea.[8][11] Tehnica era eficientă pe Windows 9x, dar nu funcționa pe Windows NT, 2000, XP și sistemele ulterioare, deoarece acestea blochează modificarea structurilor de nucleu de care CIH depinde.[12]

Declanșare și efecte

[modificare | modificare sursă]

În funcție de variantă, CIH se activa anual la 26 aprilie sau 26 iunie, ori lunar, în ziua de 26.[6] Dacă, la data de activare, era rulat un fișier infectat pe un sistem unde virusul se afla deja în memorie, acesta își executa încărcătura distructivă.[6]

Atac asupra BIOS-ului

[modificare | modificare sursă]

Prima componentă a încărcăturii distructive încerca să suprascrie o porțiune mică, dar esențială, a cipului BIOS, ceea ce putea face sistemul imposibil de pornit.[6] BIOS-ul, aflat pe placa de bază, inițializează componentele hardware și lansează sistemul de operare la pornirea calculatorului.[13]

Primele versiuni de BIOS erau stocate pe cipuri ROM sau EPROM și nu puteau fi modificate ușor după fabricație. Ulterior au apărut cipuri reinscriptibile, însă reprogramarea lor rămânea dificilă pentru utilizatorii obișnuiți.[13] Până la mijlocul anilor 1990, BIOS-urile pe memorie flash deveniseră tot mai răspândite, fiind mai ieftine și putând fi rescrise direct de pe placa de bază.[13]

În mod normal, aceste cipuri aveau mecanisme de protecție la scriere, dar numeroși producători le livrau cu protecția dezactivată sau absentă, pentru a simplifica actualizările de BIOS. În aceste condiții, CIH putea încerca modificarea conținutului cipului.[6]

Virusul nu scria decât un singur octet, însă, deoarece memoria flash se rescrie pe blocuri, operația putea șterge și restul blocului afectat.[6] La repornire, BIOS-ul corupt împiedica finalizarea secvenței de pornire și lansarea sistemului de operare, astfel că calculatorul devenea inutilizabil până la înlocuirea cipului BIOS sau chiar a plăcii de bază.[6]

Totuși, nu toate sistemele erau vulnerabile: reușita atacului depindea de combinația dintre anumite cipuri flash BIOS și unele chipseturi populare pentru plăci de bază Pentium, în timp ce asupra altor configurații tentativa nu avea efect.[6]

Atac asupra hard discului

[modificare | modificare sursă]

A doua componentă a încărcăturii distructive a CIH viza hard diskurile calculatorului. Virusul suprascria cu date fără sens primul megabyte de pe fiecare disc, zonă care conține în mod normal structuri esențiale precum tabela principală de partiții, sectorul de boot și informații importante despre sistemul de fișiere.[6] Astfel, sistemul de operare nu mai putea identifica poziția fișierelor pe disc, iar conținutul devenea inaccesibil, chiar dacă datele în sine nu erau neapărat distruse complet, ceea ce făcea uneori posibilă recuperarea lor.[14] După compromiterea primului disc, virusul intra într-o buclă fără sfârșit în căutarea altor unități, lăsând calculatorul complet blocat și fără răspuns la comenzile utilizatorului.[6]

Răspândire și distribuție

[modificare | modificare sursă]

La descoperirea sa, în iunie 1998, CIH a fost considerat inițial un virus provenit din Taiwan, unde circula deja pe scară largă.[6] Un producător taiwanez de semiconductori l-a găsit pe 400 dintre cele 1.000 de calculatoare ale sale, dar a reușit să dezinfecteze majoritatea sistemelor înainte ca pagubele să devină grave.[15]

Până în august, infecții fuseseră confirmate în mai multe țări, printre care Statele Unite, Regatul Unit, Franța, Germania, Norvegia, Rusia, Chile, Australia și Coreea.[6] Virusul s-a răspândit rapid la nivel internațional mai ales prin distribuirea accidentală a unor copii piratate infectate, în special în Asia, unde pirateria software era frecventă, iar utilizarea programelor antivirus mai redusă.[16]

CIH a fost propagat involuntar și de organizații comerciale. Actualizări infectate au fost puse la dispoziția utilizatorilor de servicii și companii precum Wireplay, MPlayer.com și alte firme care distribuiau software online.[6][15][17] În același mod, Yamaha a publicat un upgrade de firmware infectat, IBM a livrat mii de calculatoare Aptiva contaminate, iar Origin Systems a oferit temporar un instalator infectat pentru jocul Wing Commander: Secret Ops.[18][19][20][21]

Și alte produse software au fost afectate: o versiune demonstrativă a jocului SiN, un utilitar destinat problemei Y2K și mai multe CD-uri distribuite împreună cu reviste de calculator au ajuns la utilizatori în stare infectată.[18][21][22][23] Printre publicațiile implicate s-au numărat Ultimate PC Gaming, PC Guru, ArabChip și Middle-East Windows Users Magazine.[22][24] Ulterior, s-a constatat că și CD-uri oferite la DEFCON 7 împreună cu Back Orifice 2000 conțineau virusul.[6]

Impactul mediatic și reacția publică

[modificare | modificare sursă]

După ce amploarea posibilă a pagubelor a devenit cunoscută, presa a început să trateze CIH cu alarmă încă din iulie 1998.[25] Totuși, una dintre datele de activare din acea lună a trecut fără efecte majore în Statele Unite, iar unii comentatori au pus sub semnul întrebării pericolul real pe care virusul îl reprezenta pentru majoritatea utilizatorilor de PC.[25][26]

Impactul a fost mai vizibil la declanșarea următoare, din 26 august 1998, care a căzut într-o zi lucrătoare; atunci s-a raportat că aproximativ 750 de calculatoare cu Windows din Statele Unite au fost afectate.[14]

Pe măsură ce se apropia data de 26 aprilie 1999, presa scrisă, televiziunile și posturile de radio din Statele Unite și Europa Occidentală au reluat avertismentele privind posibilele efecte ale virusului.[8] Data era importantă deoarece activa atât varianta 1.4, cât și varianta 1.2, mult mai răspândită.[27]

Chiar și atunci, unii analiști au rămas sceptici. Virusul, numit frecvent în presă „Cernobîl”, era comparat cu alte amenințări informatice intens mediatizate, iar unii observatori considerau că pericolul fusese exagerat, inclusiv de companiile antivirus.[27][28] Alții subliniau că cele mai periculoase luni pentru un virus sunt, de regulă, primele după apariție, iar CIH circula deja de aproximativ opt luni, ceea ce sugera un impact posibil mai redus.[29]

Prevenire, detectare și eliminare

[modificare | modificare sursă]

Principala metodă de apărare împotriva CIH era folosirea unui program antivirus actualizat periodic.[6] Până în vara anului 1998, marile soluții comerciale de antivirus puteau deja detecta virusul și elimina infecțiile, astfel încât utilizatorii care își verificau sistemele cu definiții recente îl puteau identifica și înlătura.[26][29] Detectarea se baza pe recunoașterea unui tipar hexazecimal comun variantelor cunoscute, deși fișierele infectate aflate în instalatoare sau arhive comprimate puteau fi mai greu de observat.[6][30]

O altă măsură de protecție împotriva efectului distructiv era blocarea posibilității de rescriere a BIOS-ului, de obicei prin dezactivarea jumperului de pe placa de bază.[6] Aceasta împiedica atacul asupra firmware-ului, dar nu proteja datele de pe hard disk. În timp, unii producători au introdus și mecanisme de recuperare a BIOS-ului, pentru cazul în care acesta era corupt.[6]

La început, eliminarea virusului cerea repornirea calculatorului de pe un disc curat, pentru a evita încărcarea lui în memorie în timpul scanării.[35] Mai târziu, companiile antivirus au lansat utilitare dedicate care puteau scoate virusul din memorie și permiteau curățarea sistemului fără restart.[29][31]

Moștenire

[modificare | modificare sursă]

După incidentul CIH, teama de viruși informatici a crescut și a favorizat răspândirea unor alarme false. În Siria, de exemplu, a circulat un avertisment despre un presupus atac programat pentru 1 iunie 1999, care nu s-a produs. Unele relatări de presă au amplificat panica, inclusiv prin prezentarea exagerată a vechiului virus AIDS II ca amenințare transmisă prin Internet.[32]

În același timp, cazul CIH a contribuit la o mai mare conștientizare a riscurilor informatice, determinând unele companii să acorde mai multă importanță copiilor de siguranță, utilizării programelor antivirus și regulilor interne de protecție a sistemelor.[32]

Din punct de vedere tehnic, trecerea de la Windows 9x la Windows XP a redus eficiența unor viruși de tipul CIH.[33][34] Sistemele Windows 9x permiteau aplicațiilor un acces mai larg la resurse sensibile, în timp ce arhitectura Windows NT, folosită de Windows XP, separa mai strict aplicațiile de nucleul sistemului, limitând modificarea componentelor critice și blocând funcționarea multor amenințări mai vechi.[34]

CIH a rămas important și pentru că a demonstrat practic pericolul rescrierii neautorizate a BIOS-ului flash.[6] La acea vreme, actualizările de firmware nu erau protejate prin semnături criptografice, iar comenzile necesare puteau fi folosite pentru modificarea BIOS-ului.[5] În 2009, NIST a propus recomandări pentru actualizări de BIOS semnate criptografic, menite să prevină alterarea neautorizată a firmware-ului.[35]

Incidente notabile

[modificare | modificare sursă]
  • Iulie 1998 - O versiune demo a jocului SiN (Activision), distribuită pe site-uri mirror, a fost infectată cu CIH (infecția nu provenea de la producător).[1]
  • Martie 1999 - IBM a livrat câteva mii de computere IBM Aptiva (modele 240, 301, 520, 580) cu virusul preinstalat.[36]
  • Iulie 1999 - CD-urile oficiale cu Back Orifice 2000 distribuite la DEF CON 7 conțineau virusul CIH.[37]
  • Decembrie 1999 - Un update de firmware pentru unitățile CD-R400 de la Yamaha a fost infectat.[1]
  • 2001 - O variantă a worm-ului LoveLetter circula sub forma unei „poze nude cu Jennifer Lopez” și conținea un dropper pentru CIH.[38]

Payload-ul principal s-a activat masiv pe 26 aprilie 1999, provocând daune semnificative, mai ales în Asia.[7]

Variante

[modificare | modificare sursă]
Variantă Denumiri alternative Dimensiune Data activării Șir intern Observații
CIH v1.2 CIH.1003 ~1003 octeți 26 aprilie CIH v1.2 TTIT Cea mai răspândită variantă; a provocat o mare parte din pagubele din 26 aprilie 1999 și a fost asociată în presă cu denumirea „virusul Cernobîl”.[11][27][30]
CIH v1.3 CIH.1010.A CIH.1010.B ~1010 octeți 26 iunie CIH v1.3 TTIT Există două subvariante foarte apropiate.[1][30]
CIH v1.4 CIH.1019 ~1019 octeți 26 ale fiecărei luni CIH v1.4 TATUNG Variantă cu activare lunară.[1][14][30]
CIH.1049 2 august Descoperită în mai 2002; s-a răspândit împreună cu viermele Klez.h; nu a fost larg distribuită.[8][39]
CIH.1106 Variantă rară, modificată, descoperită în decembrie 2002; nu s-a răspândit pe scară largă.[30]

Vezi și

[modificare | modificare sursă]

Note

[modificare | modificare sursă]
  1. 1 2 3 4 5 „Virus:DOS/CIH | F-Secure”. www.f-secure.com. Accesat în .
  2. 1 2 3 4 „Cih - The Virus Encyclopedia”. virus.wikidot.com. Accesat în .
  3. 1 2 „Cyber Virus Traced - CBS News” (în engleză). www.cbsnews.com. . Accesat în .
  4. „BBC News | World | Chernobyl virus suspect questioned”. news.bbc.co.uk. Accesat în .
  5. 1 2 3 „20 years ago today! What we can learn from the CIH virus…” (în engleză). Sophos. Accesat în .
  6. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 „Virus Bulletin 199808” (PDF). Virus Bulletin Ltd. august 1998. Accesat în .
  7. 1 2 „What is the Chernobyl virus?” (în engleză). Search Security. Accesat în .
  8. 1 2 3 4 „Virus Bulletin 199906” (PDF). Virus Bulletin Ltd. Accesat în .
  9. „Peering Inside the PE: A Tour of the Win32 Portable Executable File Format”. msdn.microsoft.com. Accesat în .
  10. „Software interrupt”. Nord VPN.
  11. 1 2 „Virus Bulletin 496442” (PDF). Virus Bulletin Ltd. Accesat în .
  12. Russinovich, Mark E.; Solomon, David A.; Ionescu, Alex (), Windows Internals (în engleză), Microsoft Press, ISBN 978-0-7356-4873-9, accesat în
  13. 1 2 3 „Smart Computing Article - Decoding RAM & ROM”. www.smartcomputing.com. Accesat în .
  14. 1 2 3 Diederich, Tom. „CNN - CIH virus causes little permanent damage - August 28, 1998”. www.cnn.com. Accesat în .
  15. 1 2 „CIH virus nearly infects thousands of users”. www.zdnet.com. Accesat în .
  16. „CIH: One Year Later” (în engleză). ZDNET. Accesat în .
  17. „CIH virus hits Net gaming sites mplayer.com, Wiretap”. www.zdnet.com. Accesat în .
  18. 1 2 „ZDNN: Gamers believe 'SiN' carries CIH virus”. www.zdnet.com. Accesat în .
  19. Weil, Nancy. „CNN - Some Aptivas shipped with CIH virus - April 8, 1999”. www.cnn.com. Accesat în .
  20. „Origin Inoculates Secret Ops” (în engleză). GameSpot. Accesat în .
  21. 1 2 PC Zone 68 (October 1998), accesat în
  22. 1 2 „Virus Bulletin 199810” (PDF). Virus Bulletin Ltd. Accesat în .
  23. „Virus Bulletin 199904” (PDF). Virus Bulletin Ltd. Accesat în .
  24. „Virus Bulletin Ltd 199907” (PDF). Virus Bulletin Ltd. Accesat în .
  25. 1 2 „NEWS WATCH; A Time-Delay Virus Skips Catastrophe Date”, The New York Times (în engleză), ISSN 0362-4331, accesat în
  26. 1 2 McWilliams, Brian. „CNN - Hardware-damaging virus is a worldwide problem - July 22, 1998”. www.cnn.com. Accesat în .
  27. 1 2 3 „Compressed Data; Antivirus Companies Sound a New Alarm”, The New York Times (în engleză), ISSN 0362-4331, accesat în
  28. „Melissa Virus” (în engleză). Federal Bureau of Investigation. Accesat în .
  29. 1 2 3 Fitzloff, Emily. „CNN - CIH virus may hit on Monday - April 22, 1999”. www.cnn.com. Accesat în .
  30. 1 2 3 4 5 "Visualizing windows executable viruses using self-organizing maps" (în engleză). ACM Digital Library. doi:10.1145/1029208.1029222. Accesat în .
  31. „W95.CIH”. www.symantec.com. Accesat în .
  32. 1 2 Kashoor, Ahmad Yarob. "Letter from Syria" (PDF). Virus Bulletin: 12–13. ISSN 0956-9979. Archived (PDF) from the original on July 25, 2025” (PDF). Virus Bulletin: 12–13. ISSN 0956-9979.
  33. „Windows XP marketing tab to hit $1 billion - CNET News” (în engleză). CNET. Accesat în .
  34. 1 2 Roman, Steven (). "Windows Architecture". Win32 API Programming with Visual Basic. O'Reilly & Associates. ISBN 1-56592-631-5. p. pp. 141–149.
  35. „Recommendations of the National Institute of Standards and Technology” (PDF). National Institute of Standards and Technology.
  36. „IBM says some Aptivas hit by virus” (în engleză). ZDNET. Accesat în .
  37. „Back Orifice CDs infected with CIH virus” (în engleză). ZDNET. Accesat în .
  38. „Virus poses as nude Jennifer Lopez photos” (în engleză). CNET. Accesat în .
  39. "Doubly infected" computer virus packs nasty surprise” (în engleză). New Scientist. Accesat în .
Adus de la https://ro.wikipedia.org/w/index.php?title=CIH_(virus_informatic)&oldid=17632637