Černobyl až do počítače

Jmenuje se CIH, na svět přišel počátkem června loňského roku a pokud jste se s ním nevypořádali včas, udělal vám...


Jmenuje se CIH, na svět přišel počátkem června loňského roku a pokud jste se s
ním nevypořádali včas, udělal vám z dat uložených na pevném disku počítače
skutečný "Černobyl". Řeč je o počítačovém viru, který udeřil 26. dubna.
Překvapující je na něm především síla, s jakou zasáhl, přestože byl již delší
dobu známý, popsaný a pro antivirové programy nebyl problém se s ním vypořádat.
Virus CIH (alias Černobyl, neb se projevuje vždy v den, na který připadá výročí
tragické ukrajinské jaderné havárie) byl poprvé detekován na Tchaj-wanu, a to
2. června 1998. Dnes je známo několik verzí tohoto viru, rozšířené jsou
především varianty 1.2, 1.3 a 1.4. Prvně dvě jmenované se aktivují vždy 26.
každého měsíce, kdežto třetí čeká na svou příležitost do 26. dubna (pozor
každého roku, takže pokud jste letošek přečkali ve zdraví, radujete se
předčasně "Černobyl" udeří za rok zase!). Přitom je třeba upozornit na fakt, že
CIH pracuje pouze v operačních systémech Windows 95 a 98.
Počítačový virus CIH se dočkal značného rozšíření, a to především zásluhou
různých "Cover CD" vkládaných jako přílohy do rozmanitých počítačových
časopisů, často byl distribuovaný jako součást aktualizací ovladačů.
Po napadení souboru virus sám sebe rozdělí na několik částí pokaždé ovšem na
jiný počet, ten se liší případ od případu dle charakteru napadeného souboru.
Informaci o svém rozložení přitom zapíše do "Hlavičky viru". Díky tomu je pak
virus schopen své jednotlivé části (vyplňuje jimi mezery v souboru, takže se
soubor jeví jako neporušený) spojit v jeden fungující celek.
CIH se nahraje do paměti, kde trpělivě čeká, až přijde příkaz ke spuštění
souboru s koncovkou exe. Trigger rutina viru pracuje s Flash BIOS porty a snaží
se přepsat Flash paměť "nesmysly". Toto je možné v případě, dovolují-li
motherboard a chipset zapisování do Flash paměti. (Zapisování do Flash paměti
se dá zpravidla zablokovat DIP vypínačem, ale to je odvislé od designu
motherboardu.) Některé moderní motherboardy ovšem nemohou být chráněny DIP
vypínačem prostě ignorují pozici vypínače a ochrana nemá žádný efekt; jiný
hardware umožňuje ochranu proti zápisu zablokovat či přepsat softwarově. Virus
se v takovém případě věnuje přepsání dat na instalovaných pevných discích.
(Virus používá příkazy přímého zápisu na disk a obchází standardní BIOS virovou
ochranu, zatímco přepisuje MBR a boot sektory.)
"Autorem" počítačového viru CIH je Chen Ing-Hau (zkratka jeho jména také tvoří
název viru), bývalý student informatiky. Ze školy jej vyhodili počátkem
loňského roku poté, co poškodil data ve školním informačním systému. Nyní už má
čas přemýšlet o následcích svého viru CIH v chládku vězeňské cely. Ale možná je
to pro něj lepší než setkání s těmi, které "navštívil" virus CIH. Na světě
podle posledních zpráv nenávratně smazal data z 800 tisíc až jednoho milionu PC.

9 1801 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.