Blog (30)
Komentarze (6.3k)
Recenzje (0)

WinCIH aka Czarnobyl — historia jednego z najgroźniejszych wirusów

@dragon321WinCIH aka Czarnobyl — historia jednego z najgroźniejszych wirusów05.01.2018 21:47

Pamiętacie wirusa WinCIH, zwanego też popularnie Czarnobylem? Na jego temat urosło sporo mitów, z których oczywiście część nie była prawdą. Sam wirus dzisiaj jest już nieomal zapomniany – jedynie starsi użytkownicy komputerów o nim słyszeli czy nawet mieli nieprzyjemność go doświadczyć na własnym sprzęcie. Najciekawsze w jego historii jest to, że nigdy nie miał na celu rozpowszechnić się i wyrządzić szkody jakie wyrządził. Ba, nawet cel jego powstania jest nieco inny niż chęć narobienia bałaganu czy denerwowania użytkowników komputerów. No więc o co właściwie chodziło?

Historia

Wirus pochodzi z Tajwanu i został stworzony przez Cheng Ing-hau. Stąd też pochodzi nazwa wirusa „CIH” - czyli inicjały jego twórcy. Powstał w 1998 roku, jednak aktywować miał się rok później, 26 kwietnia 1999 roku. Stąd też popularna jego nazwa, czyli „Czarnobyl”. 26 kwietnia to też dzień, w którym nastąpiła znana katastrofa w elektrowni jądrowej Czarnobyl. Zbieżność dat jest jednak najpewniej przypadkowa. Wirus rozpowszechnił się po uczelni do której uczęszczał Cheng, a stamtąd szybko wyszedł na świat. Nie zauważony przez nikogo zarażał coraz więcej oprogramowania, które było rozpowszechniane wraz z wirusem. W marcu 1999 roku tysiące maszyn IBM Aptivas było zainfekowane wirusem. Nikt o tym nie wiedział, bo przecież wirus miał się aktywować dopiero miesiąc później. 31 grudnia 1999 roku Yamaha wypuściła aktualizacje oprogramowania do swojego napędu CD-R400, które było zainfekowane. W lipcu 1998 roku demo FPS SiN również było rozpowszechniane wraz z wirusem. No i 26 kwietnia się zaczęło. Wiele maszyn po prostu przestało się uruchamiać. W mediach grzmiało o wirusie, który niszczy sprzęt i usuwa dane. Ludzie szybko skojarzyli datę aktywacji wirusa z datą katastrofy w Czarnobylu i wirus wtedy zyskał swoją popularną nazwę. Powszechne stały się ostrzeżenia: „Jutro 26 kwietnia, nie włączajcie komputerów na wszelki wypadek”. W mediach straszono zniszczeniem sprzętu i koniecznością wymiany płyt głównych. A jaka była prawda? Jak zawsze dużo bardziej prozaiczna niż to co podawały media albo roznosiło się pocztą pantoflową.

CIH od technicznej strony

CIH zarażał pliki wykonywalne w formacie Portable Executable powszechnie stosowanym w systemach operacyjnych Windows. Jednak jego działanie było ograniczone dla Windowsów z rodziny 9x (95, 98 i ME). Nigdy nie działał na Windows NT, czy wcześniejszych Windowsach wykorzystujących Win16. Sposób w jaki dopisywał się do plików wykonywalnych też zasługuje na uwagę. O ile większość wirusów po prostu dopisuje swój kod do danego pliku, co skutkuje zmianą rozmiaru, o tyle CIH wyszukuje puste miejsca w binarkach i tam dopisuje swój kod. Stąd też jego kolejna nazwa „Spacefiller”. Nie zmienia przy tym rozmiaru pliku wykonywalnego co znacząco utrudniało jego wykrycie. Rozmiar wirusa wynosił około 1kB i kod używał później metod na przeskoczenie z Ring 3 do Ring 0 by uzyskać dostęp do wywołań systemowych i wykonać kod z uprawnieniami jądra (Ring to sposób podziału uprawnień kodu w trybie chronionym w procesorach x86. W Ring 0 siedzi jądro systemu, które ma najwyższe uprawnienia, Ring 3 to przestrzeń użytkownika z najmniejszymi uprawnieniami). Następnie wirus oczekiwał zaprogramowanej daty (która nieco się różniła w zależności od wersji) i kiedy ona nastała rozpoczynał swoje działanie. Na początku nadpisywał pierwszy 1 MB dysku zerami co powodowało usunięcie MBR, tablicy partycji, bootsectora pierwszej partycji oraz pierwszej kopii tablicy FAT co uniemożliwiało wystartowanie komputera z tego dysku i „kasowało dane”. W rzeczywistości oczywiście dane kasowane nie były i było możliwe ich przywrócenie. Jest to jeden z kilku mitów na temat wirusa. Samo skasowanie tablicy partycji mogło spowodować zawieszenie się systemu lub BSoD i po restarcie oczywiście system by już się nie uruchomił przez zniszczenie bootloadera. Po skończeniu pierwszego etapu, wirus przechodził do kolejnego, znacznie bardziej katastrofalnego w skutkach. Mianowicie starał się uzyskać dostęp do kości z zapisanym BIOS i wyczyścić krytyczny kod startowy. Warto wspomnieć, że nie wszędzie było to możliwe. Różne płyty główne miały różny sposób dostępu do BIOS, a CIH nie testował sposobu dostępu i posiadał kod tylko do zapisu. Jeżeli nadpisanie kodu BIOS zakończyło się sukcesem to użytkownik nie był w stanie już uruchomić komputera. Tutaj narodził się kolejny mit jakoby CIH niszczył płyty główne. Oczywiście nie jest to prawdą, gdyż ponowne zaprogramowanie kości BIOS przywracało komputer do życia. Niestety poziom świadomości wtedy nie był na tyle wysoki i w wielu przypadkach spotkanie z Czarnobylem kończyło się wymianą płyty głównej.

Jak już wspomniałem wyżej, CIH nie działał na Windows NT. Dlaczego? To bardzo proste. Windows z jądrem NT jest dużo bardziej restrykcyjny w kwestii dostępu do sprzętu niż były Windowsy oparte na DOS i CIH po prostu nie był w stanie uzyskać na nim odpowiednich uprawnień. Jednak w czasach działania wirusa Windows NT nie był popularny w domu. Pierwszy Windows NT kierowany do domu, czyli Windows XP miał się pojawić dopiero w 2001 roku. A i tak jego początki były na tyle mierne, że wielu zostawało przy sprawdzonym Windows 98 SE.

Znane są 4 odmiany tego wirusa. CIH v1.2/CIH.1003 był jego najbardziej rozpowszechnioną odmianą i aktywował się 26 kwietnia. Zawierał łańcuch znaków „CIH v1.2 TTIT”. Kolejną odmianą jest CIH v1.3/CIH.1010.A oraz CIH.1010.B. W kwestii daty aktywacji nie różnił się od poprzedniego wariantu. Zawierał łańcuch znaków: „CIH v1.3 TTIT”. Kolejny wariant jest groźniejszy od poprzednich. CIH v1.4/CIH 1019 aktywował się 26 dnia każdego miesiąca, jednak nie był tak rozpowszechniony jak poprzednie. Zawierał łańcuch znaków: „CIH v1.4 TATUNG”. Ostatni wariant CIH.1049 aktywował się 2 sierpnia, zamiast 26 kwietnia.

Kulisy powstania i konsekwencje dla twórcy

Cheng Ing-hau
Cheng Ing-hau

Można by się zastanawiać co kierowało Panem Chengiem w tworzeniu wirusa. Sprawa również okazuje się dość prozaiczna. CIH powstał w celu „upokorzenia” twórców antywirusów. W „The New York Times” przyznał, że nie chodziło mu o wywołanie takich szkód i jego jedynym celem było „zrobienie głupców z twórców antywirusów, które zakupione przez niego okazały się bezużyteczne”. Choć rozgłos spowodowany przez wirus mógł posłużyć twórcom antywirusów, którzy mogli reklamować się, że ich produkt potrafi przed nim ochronić. Sam Cheng razem z Weng Shi-hao stworzył antywirusa mającego pozbyć się jego niesfornego tworu i udostępnił go publicznie, a także przeprosił swoją szkołę.

Wydawałoby się, że twórca wirusa, który narobił takich szkód (liczonych w milionach maszyn) musiałby być nieźle ukarany. Los okazał się jednak dla Chenga łaskawy. Na Tajwanie nie było ówcześnie prawa, które pozwoliłoby Chenga ukarać. Wydarzenia tym spowodowane jednak popchnęły Tajwan do rewizji prawa w tym zakresie. A sam twórca został ukarany tylko na uczelni, później dostał też sporo ofert pracy.

Epilog

Dzisiaj Win.CIH jest tylko nieprzyjemną pieśnią przeszłości. Umarł wraz z Windowsami z linii 9x. W internecie nic oczywiście nie ginie i nadal można się na niego natknąć (można też znaleźć jego kod, który twórca także udostępnił co doprowadziło do powstania licznych adaptacji) – jednak dla dzisiejszych Windowsów nie stanowi on żadnego zagrożenia, nie wspominając o innych systemach. Jego istnienie ma więc sens jedynie w kwestii historycznej albo edukacyjnej. Ba, można się natknąć na filmy prezentujące jego działanie (wraz z niemożnością uruchomienia maszyny po jego ataku), a także pełno starych tematów na forach (także polskich) tworzonych przez ofiary wirusa (niektóre dość ciekawie wypowiadają się o twórcy). Warto jednak zwrócić uwagę na fakt, że media i poczta pantoflowa znacznie wyolbrzymiły skutki działania wirusa. Straszono koniecznością wymiany płyty głównej i bezpowrotnemu utraceniu danych, a kolega kolegi opowiadał o koledze, który po ataku wirusa musiał wymienić płytę główną. Oczywiście jak to zwykle bywa, prawda jest znacznie bardziej prozaiczna.

Źródła

https://wikipedia.org http://technowinki.onet.pl/artykuly/wirus-ktory-mial-zniszczyc-tysiace... https://www.securelist.pl/descriptions/164,win95_cih.html

https://upload.wikimedia.org/wikipedia/commons/thumb/0/07/CIH.png/267p...

https://i.ytimg.com/vi/RrnWFAx5vJg/hqdefault.jpg

https://sophosnews.files.wordpress.com/2011/04/cih-author-170.jpg

Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.