Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Virus.Win9x.CIH

Detekováno 11/20/2002
Třída Virus
Platfoma Win9x
Popis

Technické údaje

Jedná se o specifický parazitární virus Windows95 / 98, který infikuje soubory Windows PE (Portable Executable), které mají délku asi 1 kilobytu. Také známý jako Černobyl. Tento virus byl v červnu 1998 nalezen na Taiwanu "v divočině", který byl propuštěn jeho autorem virem, který tehdy studoval na místní univerzitě. Virus (náhodně?) Byl zveřejněn na místní internetové konferenci, která uvolnila virus z Tchaj-wanu. Během týdne byl virus nalezen v Rakousku, Austrálii, Izraeli, ve Velké Británii a také byl hlášen z několika dalších zemí (Švýcarsko, Švédsko, USA, Rusko, Chile atd.).

Za zhruba měsíc byly infikované soubory náhodně uvedeny na několik webových serverů v USA (herní distribuční stránky), které způsobily celosvětovou virovou epidemii. Zhruba rok po výskytu virem 26. března 1999 způsobila "časová bomba" virového kódu počítačovou katastrofu, když byla asi polovina milionu počítačů poškozena kvůli virové infekci: všichni ztratili data na pevném disku , a mnoho z nich také zničilo základní desku systému BIOS (poškozené data pevného disku). Tento incident byl významný, protože v tuto chvíli nebyly známy takové globální a hrozné počítačové incidenty.

Vzhledem k tomu, že den vraždy "bomby" spadá do dne černobylské katastrofy, která šokovala svět 26. dubna 1986, získal virus, známý jako "CIH", své druhé jméno – "Černobyl".

Navzdory tomu virusový autor nespojil svou "bombu" s Černobylem (možná dokonce ani o Černobylu neslyšel). Zdá se, že den bomby byl vybrán z jiného důvodu. První virusová verze (která naštěstí neopustila Tchaj-wan) byla vydána 26. dubna 1998, takže virus 26. dubna 1999 oslavil své "narozeniny".

Jak virus funguje

Virus se sám nainstaluje do paměti systému Windows, vyvolá volání přístupu k souborům a infikuje otevřené soubory EXE. V závislosti na datu systému (viz níže) virus spustí svoji spouštěcí rutinu. Virus obsahuje chyby a v některých případech zastavuje počítač při spuštění infikované aplikace.

Spouštěcí rutina viru funguje s porty Flash BIOS a pokouší se přepsat paměť Flash pomocí "odpadků". To je možné pouze v případě, že základní deska a čipová sada umožňují zápis do paměti Flash. Obvykle zapisování do paměti Flash může být deaktivováno přepínačem DIP, avšak záleží na návrhu desky. Bohužel existují moderní základní desky, které nemohou být chráněny přepínačem DIP – také někteří z nich nevěnují pozornost na polohu spínače a tato ochrana nemá žádný vliv vůbec. Některé další designérské desky poskytují písemnou ochranu, kterou lze vyřadit nebo vyřadit ze softwaru.

Rutina spouštění pak přepíše data na všech nainstalovaných pevných discích. Virus využívá přímé volání pro zapisování disků, čímž dosáhne tohoto cíle a obchází standardní ochranu proti viru BIOS při přepisování sektorů MBR a zavádění.

Existují tři "původní" verze virů, které jsou velmi blízce příbuzné a liší se jen v několika částech jejich kódu. Mají různé délky, texty uvnitř kódu viru a datum spuštění:

Délka textu Datum spuštění nalezeno v divočině

1003 CIH 1.2 TTIT 26. dubna ANO

1010 CIH 1.3 TTIT 26. dubna NO

1019 CIH 1.4 TATUNG 26. dne kteréhokoliv měsíce ANO – mnoho zpráv

Technické údaje

Při napadení souboru virus vyhledává "jeskyně" v těle souboru. Tyto jeskyně jsou výsledkem struktury souboru PE: všechny oddíly souborů jsou zarovnány hodnotou, která je definována v záhlaví souboru PE a mezi koncem předchozí a další části jsou nepoužité bloky dat souborů. Virus hledá tyto jeskyně a zapisuje do nich kód. Virus pak zvyšuje velikost sekcí potřebnými hodnotami. Výsledkem je, že délka souboru se během infekce nezvýší.

Pokud je jeskyně dostatečně velká, virus ji ukládá do jedné části. V opačném případě rozdělí kód na několik částí a uloží je na konec několika částí. Jako výsledek, virový kód může být nalezen jako sada kusů, ne jako jeden blok v infikovaných souborech.

Virus také hledá jeskyni v záhlaví PE. Pokud existuje nepoužívaný blok o délce nejméně 184 bajtů, virus zapíše jeho spouštěcí rutinu. Virus pak opraví vstupní adresu v hlavičce PE s hodnotou, která ukazuje na spouštěcí rutinu umístěnou v záhlaví. Jedná se o stejný trik, který byl použit v viru "Win95.Murkry" : adresa vstupních bodů programu není do nějaké části souboru, ale do záhlaví souboru – z dat načíst soubor. Navzdory tomu infikované programy běží bez problémů – systém Windows nevěnuje pozornost takovým "podivným" souborům, načte hlavičku souboru do paměti, pak sekce souborů a pak předá kontrolu nad rutinním spuštěním viru v záhlaví PE.

Po spuštění rutiny spouštění virů přiděluje blok paměti pomocí volání PageAllocate VMM, zkopíruje se tam, vyhledá další bloky virového kódu a také je zkopíruje do přiděleného bloku paměti. Virus pak zavede systém IFS API a vrátí kontrolu do hostitelského programu.

Nejzajímavější věc v této části virového kódu je, že virus používá poměrně složité triky, které skočí z Ring3 do Ring0: když virus přeskočí do nově přidělené paměti, pak je jeho kód proveden jako rutina Ring0 a virus je schopen zavěste volání souborového systému (není možné v aplikaci Ring3, kde jsou spuštěny všechny uživatelské aplikace).

Spouštěč viru IFS API zachycuje pouze jednu funkci – otevření souboru. Když jsou otevřeny soubory PE .EXE, virus je infikuje za předpokladu, že jsou jeskyně dostatečné velikosti. Po infekci virus kontroluje datum souboru a vyvolá rutinu spouštění (viz výše).

Během běhu spouštěcí rutiny virus využívá přímý přístup k portům Flash BIOS a volání přímého přístupu k diskům VxD (IOS_SendCommand).

Jiné známé verze virů

Původní autor viru vydal nejen divoký kód viru v zasažených souborech EXE, ale i kód virového zdroje (assembler). Tyto zdrojové kódy byly patched, recompiled, a proto byly nalezeny nové verze virů. Většina těchto verzí je chybná a není schopna replikovat, ale ostatní mohou dělat. Všichni jsou velmi blízko původním virům, ale existuje několik rozdílů. Hlavní rozdíl spočívá v tom, že datum "bomby" se změnilo a nové varianty viru buď vymazávají data a Flash BIOS v jiných dnech, nebo je tato rutina nikdy volána.

Tam jsou také "originální" verze viru patched tak, že oni mají jiné "bomby" dny. Důvodem je to skutečně humorné: virus kontroluje datum spouštění tím, že porovná aktuální číslo dne a měsíce se dvěma konstantami (dva bajty). Při opravě těchto konstant je možné vybrat jakýkoli den, kdy virus poruší počítače.


Odkaz na originál