ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win9x.CIH

Fecha de detección 11/20/2002
Clase Virus
Plataforma Win9x
Descripción

Detalles técnicos

Este es un virus parásito específico de Windows95 / 98 que infecta los archivos de Windows PE (Portable Executable), que tiene aproximadamente 1Kbyte de longitud. También conocido como Chernobyl. Este virus fue encontrado "en la naturaleza" en Taiwán en junio de 1998, siendo lanzado por su autor de virus que estaba estudiando en una universidad local en ese momento. El virus (¿accidentalmente?) Se publicó en una conferencia local de Internet que lanzó el virus fuera de Taiwan. En una semana, el virus se encontró en Austria, Australia, Israel, Reino Unido y también se informó en varios otros países (Suiza, Suecia, EE. UU., Rusia, Chile, etc.).

En aproximadamente un mes, los archivos infectados se colocaron accidentalmente en varios sitios web en los EE. UU. (Sitios de distribución de software de juegos) que causaron una epidemia mundial de virus. Aproximadamente un año después de la aparición del virus el 26 de marzo de 1999, la "bomba de tiempo" en el código del virus causó una catástrofe informática cuando alrededor de medio millón de computadoras sufrieron daños debido a la infección del virus: todos perdieron datos en el disco duro. y muchos de ellos también han destruido el BIOS de la placa base (además de daños en los datos del disco duro). Este incidente fue significativo ya que no se habían conocido incidentes informáticos mundiales y terribles conocidos hasta la fecha en este momento.

Debido a que el día de la "bomba" del virus cae en el día de la catástrofe de Chernobyl que conmocionó al mundo el 26 de abril de 1986, el virus, ya conocido como "CIH", obtuvo su segundo nombre: "Chernobyl".

A pesar de esto, el autor del virus no relacionó su "bomba" con Chernobyl (tal vez nunca había oído hablar de Chernobyl). Parece que el día de la "bomba" fue seleccionado por otra razón. La primera versión del virus (que afortunadamente no salió de Taiwán) fue lanzada el 26 de abril de 1998, por lo que el virus celebró su "cumpleaños" el 26 de abril de 1999.

Cómo funciona el virus

El virus se instala en la memoria de Windows, engancha las llamadas de acceso a archivos e infecta los archivos EXE que se abren. Dependiendo de la fecha del sistema (ver a continuación), el virus ejecuta su rutina de activación. El virus tiene errores y, en algunos casos, detiene la computadora cuando se ejecuta una aplicación infectada.

La rutina de activación del virus opera con los puertos de BIOS Flash e intenta sobrescribir la memoria Flash con "basura". Esto solo es posible si la placa base y el conjunto de chips permiten escribir en la memoria Flash. Por lo general, la escritura en la memoria flash se puede desactivar mediante un interruptor DIP, sin embargo, esto depende del diseño de la placa base. Desafortunadamente, hay placas base modernas que no pueden protegerse mediante un interruptor DIP; también, algunas de ellas no prestan atención a la posición del interruptor y esta protección no tiene ningún efecto. Algunos otros diseños de placa base ofrecen protección por escrito que puede ser deshabilitada / reemplazada por software.

La rutina de disparo luego sobrescribe los datos en todos los discos duros instalados. El virus utiliza llamadas directas de grabación en disco para lograr esto y evita la protección antivirus estándar del BIOS al sobrescribir los sectores MBR y de arranque.

Existen tres versiones de virus "originales" que están estrechamente relacionadas y solo difieren en algunas partes de su código. Tienen diferentes longitudes, textos dentro del código de virus y fecha de activación:

Longitud Texto Fecha de disparo Encontrado en el salvaje

1003 CIH 1.2 TTIT el 26 de abril SÍ

1010 CIH 1.3 TTIT el 26 de abril NO

1019 CIH 1.4 TATUNG el 26 de cualquier mes SÍ – muchos informes

Detalles técnicos

Al infectar un archivo, el virus busca "cuevas" en el cuerpo del archivo. Estas cuevas son el resultado de la estructura de archivos PE: todas las secciones de archivos están alineadas por un valor que se define en el encabezado del archivo PE, y hay bloques de datos de archivo no utilizados entre el final de la sección anterior y el siguiente. El virus busca estas cuevas y escribe su código en ellas. Luego, el virus aumenta el tamaño de las secciones según los valores necesarios. Como resultado, la longitud del archivo no aumenta al infectar.

Si hay una cueva de suficiente tamaño, el virus guarda su código en una sección. De lo contrario, divide su código en varias partes y las guarda al final de varias secciones. Como resultado, el código del virus se puede encontrar como un conjunto de piezas, no como un solo bloque en los archivos infectados.

El virus también busca una cueva en el encabezado PE. Si hay un bloque no utilizado de no menos de 184 bytes de longitud, el virus escribe su rutina de inicio allí. El virus luego parchea la dirección de entrada en el encabezado PE con un valor que apunta a la rutina de inicio colocada en el encabezado. Este es el mismo truco que se usó en el virus "Win95.Murkry" : dirección de los puntos de entrada del programa no a alguna sección de archivo, sino al encabezado del archivo: fuera de los datos de un archivo cargable. A pesar de esto, los programas infectados se ejecutan sin problemas: Windows no presta atención a esos archivos "extraños", carga el encabezado del archivo en la memoria, luego archiva secciones y luego pasa el control a la rutina de inicio del virus en el encabezado PE.

Cuando la rutina de inicio de virus toma el control, asigna un bloque de memoria mediante el uso de la llamada PageAllocate VMM, se copia allí, localiza otros bloques de código de virus y también los copia en el bloque de memoria asignado. Luego, el virus enlaza la API IFS del sistema y devuelve el control al programa host.

Lo más interesante de esta parte del código del virus es que el virus usa trucos bastante complejos para saltar de Ring3 a Ring0: cuando el virus salta a la memoria recientemente asignada, su código se ejecuta como rutina Ring0 y el virus puede enganche las llamadas al sistema de archivos (no es posible en Ring3, donde se ejecutan todas las aplicaciones de los usuarios).

El controlador de virus IFS API intercepta solo una función: apertura de archivo. Cuando se abren archivos PE .EXE, el virus los infecta, siempre que haya cuevas de suficiente tamaño. Después de la infección, el virus verifica la fecha del archivo y llama a la rutina de activación (ver arriba).

Mientras ejecuta su rutina de activación, el virus utiliza acceso directo a los puertos del BIOS de Flash y llamadas de acceso directo al disco de VxD (IOS_SendCommand).

Otras versiones de virus conocidas

El autor del virus original lanzó no solo el código de virus en los archivos EXE afectados a la naturaleza, sino también un código fuente de virus (ensamblador). Este código fuente fue parcheado, recompilado y se encontraron nuevas versiones de virus debido a esto. La mayoría de estas versiones tienen errores y no pueden replicarse, pero otras pueden funcionar. Todos ellos están muy cerca de los virus originales, pero hay algunas diferencias. La principal diferencia es que la fecha de la "bomba" ha cambiado, y las nuevas variantes del virus borran datos y Flash BIOS en otros días, o esta rutina nunca se llama.

También hay versiones "originales" del virus parcheadas para que tengan otros días de "bomba". La razón de esto es realmente graciosa: el virus comprueba la fecha de activación al comparar el número actual del día y el mes con dos constantes (dos bytes). Al aplicar parches a estas constantes, es posible seleccionar cualquier día en que el virus destruya las computadoras.


Enlace al original