Ровно 27 лет назад, 26 апреля 1999 года, вирус CIH размером 1 КБ активировал свою полезную нагрузку на сотнях тысяч машин под управлением Windows 9x по всему миру, обнуляя жесткие диски и записывая мусорные данные в BIOS материнских плат.
Считается, что этот вирус, написанный в 1998 году студентом Тайваньского университета Чэнь Ин-хао из Университета Татун, заразил около 60 миллионов компьютеров и нанес коммерческий ущерб, оцениваемый в 40 миллионов долларов. Он получил прозвище «Чернобыль», поскольку дата его активации, 26 апреля, совпала с годовщиной ядерной катастрофы 1986 года.
«Чернобыль» также был известен как вирус-заполнитель пространства из-за того, как он маскировался внутри исполняемых файлов. Вместо того чтобы добавлять код в конец файла и увеличивать его размер, CIH сканировал файлы Portable Executable Windows в поисках незанятых промежутков между секциями кода и распределял свою полезную нагрузку по этим пространствам. Зараженные файлы сохраняли прежний размер, что позволяло обойти проверки размера файлов, на которые полагались многие антивирусные инструменты той эпохи. Будучи размером около 1 КБ, вирус был достаточно компактным, чтобы распространяться через несколько крошечных полостей в одном EXE-файле.
После запуска CIH использовал эксплойт для повышения привилегий с кольца 3 процессора до кольца 0, получая доступ на уровне ядра для перехвата вызовов файловой системы и незаметного заражения каждого исполняемого файла, открываемого пользователем. Он работал только под управлением Windows 95, 98 и ME; Windows NT была неуязвима.
CIH глобально распространялся через каналы пиратского программного обеспечения летом 1998 года, но несколько случаев заражения произошли через легальные коммерческие источники, такие как ПК IBM Aptiva, часть которых была отгружена с предустановленным CIH в марте 1999 года, за месяц до даты активации. Yamaha также распространяла зараженное обновление прошивки для своих приводов CD-R400, а копии инструмента Back Orifice 2000, розданные на DEF CON 7 в том же году, также содержали вирус.
При активации двойная полезная нагрузка CIH сначала перезаписывала нулями начальный мегабайт загрузочного диска, уничтожая таблицу разделов и делая содержимое диска недоступным. Затем вирус пытался записать мусорные данные в чип BIOS материнской платы, что, в случае успеха, приводило к тому, что машина вообще не включалась без замены чипа. Атака на BIOS работала в основном на системах с определенными чипсетами на базе Intel 430TX с незащищенной флэш-памятью.
Несмотря на масштабы ущерба, тайваньские прокуроры не смогли предъявить обвинение Чэню, поскольку по местному законодательству того времени не было подано ни одного иска от пострадавших, а сам Чэнь утверждал, что написал CIH, чтобы бросить вызов производителям антивирусного ПО, чьи возможности обнаружения он считал преувеличенными. Этот инцидент побудил Тайвань принять новое законодательство о компьютерных преступлениях.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Luke James
