Tjernobyl (virus)

CIH (Tjernobyl)

Information

Udviklet af	Chen Ing-Hau
Skrevet i	Samler
Miljø	Windows 95/98 / Me
Type	virus

Også kendt som Tjernobyl skylder CIH sit oprindelige navn til sin taiwanske opfinder Cheng Ing-Hau. Det blev først opdaget iJuni 1998af F-Secure . Oprindeligt påvirkede dets spredning Asien. Forskellige produkter blev inficeret, før de endda kom på markedet (nogle versioner af Win98, nogle spil, magasin-cd'er og endda IBM Aptiva- computere ). Imidlertid blev dens skadelige virkninger ikke udløst for første gang før26. august 1998. Den anden bølge af disse "strejker" blev optaget den26. april 1999(i analogi med jubilæumsdatoen for Tjernobyl- katastrofen ,26. april 1986). Asien og Europa er blevet ramt, tusinder af computere er døde.

Etymologi

Denne virus er opkaldt efter hans frigivelsesmekanisme: virussen sender sin afgift den 26. april , årsdagen for eksplosionen af kernekraftværket i Tjernobyl, der fandt sted den26. april 1986.

Virussens oprindelige navn, CIH , er initialerne for dets påståede skaber, taiwanske Chen Ing-Hau (陳盈 豪). På det tidspunkt (1998) var han studerende ved Taiwans Tatung Institute of Technology i Taipei .

Kronologi

• 2. juni 1997 : virusets udseende i Taiwan .
• Juni 1997 : detektion af firmaet F-Secure og hurtig integration i dets antivirussoftware . I samme måned vises varianterne 1.2 , 1.3 og 1.4 .
• Juli 1997 : En inficeret version af Windows 98 cirkulerer på Internettet .
• August 1997 : udgiveren af ​​spillet Wing Commander tilbyder en inficeret demo- version på sit websted.
• 26. april 1998 : version 1.4 udløser dens belastning for første gang. Pressen begynder at dække begivenheden.
• September 1998 : Den virus forekommer i en firmware- opdatering til den CD-R400-afspiller fra Yamaha selskab . Samtidig distribuerer to europæiske magasiner forurenede cd-rom'er .
• Oktober 1998 : En version af SiN- spillet fra Activision er kompromitteret.
• Marts 1999 : Aptiva pc- computere leveres med virussen.
• 23. april 1999 : Liberation offentliggør artiklen "Tjernobyl, virus programmeret til at dræbe den 26.04.1999".
• Mandag 26. april 1999 : virusudløser (version 1.2); flere titusinder af maskiner er berørt, især i Asien og Europa .
• tirsdag 27. april 1999 : Liberation offentliggør en ny artikel, "De kirurgiske strejker i Tjernobyl".
• 29. april 1999 : virusforfatteren arresteres af de taiwanske myndigheder. Sidstnævnte præsenterer en offentlig undskyldning. Der er ikke indgivet nogen klage, men personen blev løsladt på stedet.
• 26. april 2000 : ny mindre skala trigger (version 1.2), der hovedsagelig påvirker Asien.
• September 2000 : Chen Ing-Hau arresteres igen af ​​de taiwanske myndigheder. Han blev løsladt igen af ​​usikre årsager og blev hurtigt glemt. Han dukkede kun op igen i 2009, da han deltog i FreedomHEC Taipei-konferencen.
• 2001: En variant af I Love You- viruset vist som et foto af Jennifer Lopez indeholder faktisk en variant af CIH.

I de følgende år indikerer fraværet af en kilde, at virussen sandsynligvis ikke længere har gjort nogen større skade. Det stoppes nu af 85% af antivirussoftwaren .

Teknisk aspekt

Forureningsmekanisme

CIH spredes kun på operativsystemerne Microsoft Windows 95 , Windows 98 og Windows ME .

CIH er en hjemmehørende virus , det vil sige, at når det inficerede program udføres, indlæses virussen i hukommelsen og forbliver der for at være i stand til at forurene alle de eksekverbare filer på maskinen (hvis udvidelse er . Exe ).

Udløser

Den vigtigste variant af virussen forventes at blive udløst den 26. april 1999, andre varianter udløses hver 26. i måneden.

Oplade

Den originale version af virussen overskriver den første megabyte på hver harddisk ( MBR ) på maskinen med tilfældige data . Det forsøger at slette maskinens BIOS . Denne sidste handling fungerer ikke altid, fordi alle jumpere, der findes på bundkortet, kan forhindre skriveadgang til BIOS.

Dette har en konsekvens af at blokere dataene på harddisken, hvilket gøres ulæseligt af systemet (deres gendannelse, selvom det er muligt, er meget kompleks for en ikke-ekspert). Hvis BIOS slettes, er erstatning eller omprogrammering af EEPROM indeholdende BIOS uundgåelig. Udskiftning eller omprogrammering er meget kompleks og dyr, det er for det meste også rentabelt at udskifte computerens bundkort.

Noter og referencer

1. http://virusbusters.itcs.umich.edu//cih.html "PC Antivirus Update" (PCAVU) X.500 e-mail-gruppe ved UM den 6. april 1999
2. Webarkiv: Befrielsesartikel af 04/23/1999
3. Webarkiv: Befrielsesartikel af 27.04.1999
4. (i) erindringer af Tjernobyl virus
5. (in) FreedomHEC Taipei 2009
6. Resultater af virustotal analyse

Se også

Relateret artikel

• Malware

eksterne links

• (fr) http://www.secuser.com/alertes/1999/tchernobyl.htm
• (fr) http://www.sophos.fr/virusinfo/analyses/w95cih.html
• (da) http://www.cert.org/incident_notes/IN-99-03.html
• (da) http://www.symantec.com/security_response/writeup.jsp?docid=2001-011112-1848-99