Virus CIH rok poté

Šestadvacátého dubna si připomeneme čtrnácté výročí od okamžiku tragické havárie v černobylské jaderné elektr


Šestadvacátého dubna si připomeneme čtrnácté výročí od okamžiku tragické
havárie v černobylské jaderné elektrárně a také první výročí od chvíle, kdy
"udeřil" počítačový virus CIH. Díky datu aktivace viru a také díky jeho
nebezpečným následkům jej novináři "překřtili" na Černobyl.
Přestože byl CIH objeven již v červnu 1998, mnoho počítačových uživatelů se
domnívalo, že virus se jich jaksi netýká a že "to už tady bylo". Bohužel,
neměli pravdu. Počítačový virus CIH byl poprvé detekován na Tchaj--wanu,
přičemž postupně se na světlo světa dostalo několik verzí tohoto viru, z nichž
jsou nejznámější varianty 1.2, 1.3 a 1.4. První dvě z nich se aktivují vždy 26.
každého měsíce, kdežto třetí čeká na svou příležitost do 26. dubna. Důležitá je
přitom i skutečnost, že virus CIH je "doma" v prostředí Windows 95/98. Čili:
Pracujete-li v jiném operačním systému, nemusíte mít z CIH obavu.
Především varianta 1.4 se dočkala velmi masového rozšíření, a to poněkud
paradoxně zásluhou jindy "důvěryhodných" zdrojů. Na Webu bylo možné jeden čas
najít infikované demo populární hry Wing Commander a to přímo na stránkách
výrobce! Časopisů, které "rozdávaly" vir CIH na všechny strany na svých CD
přílohách, bylo jen v Evropě několik desítek. A to nemluvíme o aktualizovaných
ovladačích, které byly i u mnoha renomovaných výrobců standardně "vybaveny"
virem CIH.
Do úplného výčtu "distributorů" CIH je nutné započítat i jistou portugalskou
společnost dodávající software všem lékárnám v zemi, která virus distribuovala
společně se svými programy. Ještě štěstí, že mnoho portugalských lékáren stále
ještě pracuje pod DOSem, jinak hrozilo zhroucení zdravotnictví v této zemi.
Paradoxní je, že portugalský dodavatel softwaru se v prvních chvílích snažil
veškerou vinu hodit na nadnárodní Microsoft tvrzením, že virus CIH byl
distribuován v jeho operačním systému. Tentokrát v tom ale byl počítačový
gigant skutečně nevinně.
Také v Indii se počítačoví uživatelé "radovali" z cédéčka, které bylo volně
šířeno na autosalonu v Novém Dilí. Že obsahovalo virus CIH, jistě netřeba
zdůrazňovat.
Virus CIH je specifickým parazitním virem infikujícím PE soubory (Portable
Executable). Při napadání souboru virus sám sebe rozdělí na několik částí
(jejich počet se liší případ od případu), přičemž tuto informaci zapíše do
hlavičky souboru. Díky této hlavičce je pak virus schopen své jednotlivé části,
jimiž vyplňuje mezery v souboru, spojit v jeden fungující celek.
Virus se sám instaluje do paměti Windows, kde vyčkává na příkaz ke spuštění
souboru a infikuje soubory s koncovkou EXE, které jsou otevírány. (Ve viru se
ovšem vyskytují chyby a v některých případech počítač "zatuhne" to je ostatně
nešvar mnoha virů, neboť autoři je zpravidla nijak důkladně netestují.) Trigger
rutina viru pracuje s Flash BIOS porty a snaží se přepsat Flash paměť
"nesmysly". Toto je možné, pokud motherboard a čipset dovolují zapisování do
Flash paměti. Normálně se dá zapisování do Flash paměti zablokovat DIP
vypínačem, avšak toto závisí na designu motherboardu. Bohužel existují moderní
motherboardy, které nemohou být ochráněny DIP vypínačem některé z nich ignorují
pozici vypínače a tato ochrana nemá vůbec žádný efekt, u jiného hardwaru může
být ochrana proti zápisu zablokována/přepsána softwarem. Trigger rutina viru
CIH v tom případě přepíše data na všech instalovaných pevných discích. Virus
používá příkazy přímého zápisu na disk a obchází standardní virovou ochranu
BIOSu, zatímco přepisuje MBR a boot sektory.
A to nejdůležitější nakonec: Pokud jste loňské řádění viru CIH "přežili" ve
zdraví, možná se radujete předčasně. Virus má totiž aktivační datum nastavené
na 26. dubna, na roku přitom nezáleží! Černobyl přijde i letos.
0 1015 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.