Сeйчaс, нaвeрнoe, мaлo ктo пoмнит, нo   26   aпрeля   — этo нe   тoлькo день, когда произошла Чернобыльская трагедия, но   и   дата, когда сотни тысяч пользователей компьютеров по   всему миру лишились всей информации на   своих дисках, а   некоторые   — и   материнских плат из-за вируса CIH. Рассказываем, что произошло в   1999 году, кто был виновник, и   как вирус смог распространиться глобально.

Кто и   почему создал вирус

CIH, Virus.Win9x.CIH или «Чернобыль»   — это компьютерный вирус, работающий только под операционной системой Windows 95/98/ME, написанный тайваньским (тогда еще) студентом Чэнь Инхао. Впервые обнаружен «в   живом виде» на   Тайване в   июне 1998, где автор вируса заразил компьютеры в   своем университете Датун (Tatung).

Чэнь Инхао за   компьютером

Спустя некоторое время вирус распространился по   местным интернет-конференциям, и   уже оттуда выбрался за   пределы страны. Позже вирусные эпидемии были зарегистрированы в   Австрии, Австралии, Израиле и   Великобритании. А   затем вирус был распространился в   других странах, включая Россию и   Беларусь.

Примерно через месяц зараженные файлы были обнаружены на   нескольких американских web-серверах, распространяющих игровые программы, что способствовало глобальной вирусной эпидемии.

Пишут, что Чэнь Инхао создал вирус, чтобы наказать продавцов антивирусных программ, которые оказались бесполезными в   борьбе с   вирусами на   университетских компьютерах.

Узнав, что вирус распространился по   всему миру, он   занервничал, однако был уверен, что при наличии достаточного запаса по   времени эксперты по   безопасности смогут его вычислить.

Позже он   опубликовал в   интернете официальное извинение, в   котором публично попросил прощения у   жителей Китая, компьютеры которых пострадали.

26   апреля 1999 года

Эту дату наверняка до   сих пор вспоминают обладатели зараженных на   тот момент компьютеров. В   этот день сработала «логическая бомба», заложенная в   код вируса. По   различным оценкам, в   этот день по   всему миру пострадало около полумиллиона компьютеров   — у   них оказались уничтожены данные на   жестком диске, а   на   некоторых плюс к   тому испорчено содержимое микросхем BIOS на   материнских платах (таким образом они оказались полностью неработоспособными).

Данный инцидент стал настоящей компьютерной катастрофой   — вирусные эпидемии и   их   последствия никогда до   того не   были столь масштабными и   не   приносили таких убытков.

По разным оценкам, ущерб от   вируса составил от   20 до   80 миллионов долларов. Это не   считая моральный урон   — огромное количество людей потеряло свои личные данные, ведь в   1999 году еще не   были распространены облачные хранилища и   стриминговые сервисы.

Видимо потому, что вирус нес реальную угрозу компьютерам во   всем мире и   дата его срабатывания совпала с   датой аварии на   Чернобыльской атомной электростанции, он   получил свое второе, гораздо более распространенное имя   — «Чернобыль» (Chernobyl).

Автор вируса почти наверняка никак не   связывал Чернобыльскую трагедию со   своим детищем и   поставил дату срабатывания «бомбы» на   26   апреля по   совсем другой причине: именно в   этот день в   1998 году он   выпустил первую версию своего вируса (которая, кстати, так и   не   вышла за   пределы Тайваня), т.е. таким образом 26   апреля вирус отмечает свой «день рождения».

Вот, что вспоминал один из   пострадавших: «Получив предупреждение, всей конторой меняли дату   — чтоб он   не   активизировался… И   как я   лоханулся, забыв ее   назад потом открутить… И   ровно через месяц комп накрылся…»

Как работал вирус

При запуске зараженного файла вирус инсталлировал свой код в   память Windows, перехватывал обращения к   файлам и   при открытии запускаемых EXE-файлов записывал в   них свою копию. Из-за ошибок в   коде вирус иногда «подвешивал» систему при запуске зараженных файлов. А   в   момент наступления указанной даты пытался стирать Flash BIOS и   содержимое дисков.

Модуль BIOS на   материнской плате

Запись в   Flash BIOS возможна только на   соответствующих типах материнских плат и   при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в   положение «только чтение», однако это справедливо не   для всех производителей компьютеров.

К   сожалению Flash BIOS на   некоторых современных материнских платах не   может быть защищена переключателем: одни из   них разрешают запись в   Flash при любом положении переключателя, на   других защита записи в   Flash может быть отменена программно.

После стирания Flash-памяти вирус переходил к   другой деструктивной процедуре: уничтожал информацию на   всех установленных винчестерах. При этом он   обходил встроенную в   BIOS стандартную антивирусную защиту от   записи в   загрузочные сектора.

Известно три основные (так называемые «авторские») версии вируса. Они достаточно похожи друг на   друга и   отличаются лишь незначительными деталями кода в   различных подпрограммах. Версии вируса получили различные длины, строки текста и   дату срабатывания процедуры стирания дисков и   Flash BIOS.

Все они имеют размер около 1 килобайта. Первые две версии срабатывали 26   апреля, третья   — 26 числа каждого месяца.

Что было дальше?

Автор вируса не   только выпустил вирусы «на   свободу», но   и   разослал их   исходные ассемблерные тексты вируса. Это привело к   тому, что эти тексты были откорректированы, откомпилированы и   вскоре появились модификации вируса, имевшие различные длины, однако по   функциональности они все соответствовали своему «родителю».

В   некоторых вариантах вируса была изменена дата срабатывания «бомбы», либо этот участок вообще не   использовался (моментальная сработка). Ведь для того, чтобы поставить таймер «бомбы» на   любой заданный день, достаточно поменять лишь два байта в   коде вируса.