Das „Tschernobyl“-Virus zollt seit Jahren Tribut. Was ist ein Computervirus "Chernobyl" Virus Chernobyl Beschreibung

Tschernobyl - ein gefährlicher Computervirus

Ein Virus ist nur ein von einer Person geschriebenes Programm, das die Gesundheit des Benutzers, der am Computer arbeitet, nicht beeinträchtigt. Märchen und Gerüchte, dass Viren durch Farbschemata und andere Effekte, die auf dem Bildschirm angezeigt werden, das Gehirn töten, eine Person verrückt machen, haben keine Grundlage. Hunderte von Viren dringen in den Computer ein, dies geschieht hauptsächlich aufgrund des Computer-Analphabetismus des Benutzers, der Unfähigkeit, Speichermedien (Festplatten, Flash-Laufwerke) zu verwenden.

- bezieht sich auf residente Viren, die Systeme mit Windows 95 und Windows 98 infizieren Die Größe des Virus ist vernachlässigbar, nur 1 KB. Beim Eindringen löscht der Virus alle Daten von den Festplatten, fügt seinen Code in den Programmspeicher ein und fängt die Hauptbefehle für Dateien ab. Dann schreibt es Kopien von sich selbst auf die betroffenen Dateien. Nach Abschluss der Entfernung des Speichers löscht es Informationen von den Festplatten und bahnt sich so den Weg zu allen Computerfestplatten, zu den Festplatteninformationen.

Der Autor des Virus ist der taiwanesische Student Chen Ying Hao, der den Virus geschrieben und 1998 zum Leben erweckt hat. Bis heute gibt es drei Autorenexemplare des Virus. Sie unterscheiden sich durch eine lange Textzeile und den Zeitpunkt des Durchbruchs und der Niederlage. Windows-Programme. Die erste Massenvernichtung von Computern fiel mit dem Jahrestag von Tschernobyl am 26.04. 1999, das Zusammentreffen der Aktivierung des Virus und des Datums der Explosion von Tschernobyl, gab dem Virus seinen Namen. Von der Taiwan University, wo der Autor des Virus studierte, zog er schnell durch das Land, dann breitete sich die Epidemie nach Israel, Österreich, Großbritannien, Australien aus und erreichte nach einiger Zeit Russland. Die Niederlage von Programmen durch einen unbekannten Virus in so großem Umfang alarmierte die Öffentlichkeit, während eine halbe Million davon betroffen waren persönliche Computer. Am meisten litten BIOS-Mikrochips von Personalcomputern.

Es ist interessant zu wissen, was in den Top Ten besonders enthalten ist gefährliche Viren in der Welt. Sein Autor entschuldigte sich öffentlich, als er vom Ausmaß des Schadens erfuhr, den sein Nachwuchs angerichtet hatte. Der Universitätswitz, mit dem er gerade den Bildungsprozess innerhalb seiner Universität stören wollte, brachte ihm Berühmtheit ein. Aber nach den Gesetzen des Landes hat der Student das Gesetz nicht gebrochen, wurde nicht verurteilt.

Und am wichtigsten ist, dass der Virus einmal im Jahr funktioniert - am 26. April wird er durch den Start des betroffenen Systems verursacht und bleibt am Ende der Arbeit immer im Speicher, infiziert andere Programme und beobachtet die Aktionen von PC-Besitzern. Es ist sehr schwierig, einen Virus zu entfernen; nach der Entfernung gehen viele Dateien und Dokumente verloren. Guter Rat - Entfernen Sie nicht selbst einen Virus von Ihrem Computer, wenden Sie sich an einen Spezialisten. Dies ist Ihre Chance, so viele Dateien wie möglich zu retten. Helfen Sie Ihrem Computer, seine Stärke zu erneuern. Fortpflanzungsfähigkeit Malware Panik unter den Benutzern säen. Nur ein kompetenter Ansatz zur Entfernung und Behandlung des Virus wird den Benutzer von Unannehmlichkeiten befreien.

Auch als „Tschernobyl“ bekannt. Residenter Virus, funktioniert nur unter Windows95/98 und infiziert PE-Dateien
(Portable ausführbare Datei). Es hat eine ziemlich kleine Länge - etwa 1 KB. War
Juni 1998 in Taiwan "lebend" entdeckt - der Urheber des Virus infiziert
Computer an der örtlichen Universität, wo er (der Autor des Virus) zu der Zeit war
Ausbildung absolviert. Nach einiger Zeit wurden die infizierten Dateien (aus Versehen?)
an lokale Internetkonferenzen gesendet, und der Virus kam heraus
Taiwan: In der folgenden Woche wurden Virusepidemien gemeldet
Österreich, Australien, Israel und Großbritannien. Dann wurde das Virus entdeckt
mehrere andere Länder, darunter Russland.

Etwa einen Monat später wurden auf mehreren infizierte Dateien gefunden
Amerikanische Webserver, die Spielprogramme verteilen. Dieser Fakt,
offenbar und diente als Ursache für die folgende globale Virusepidemie. 26
April 1999 (etwa ein Jahr nach Auftreten des Virus) funktionierte
"Logikbombe" eingebettet in seinen Code. Nach verschiedenen Schätzungen an diesem Tag
Weltweit waren etwa eine halbe Million Computer betroffen – das hatten sie
Die Daten auf der Festplatte werden zerstört, und auf einigen Plus ist sie beschädigt
Inhalt des BIOS-Chips Motherboards. Dieser Vorfall ist geworden
Computerkatastrophe - Virenepidemien und ihre Folgen noch nie zuvor
die nicht so groß waren und nicht solche Verluste brachten.

Anscheinend aus den Gründen, dass 1) der Virus eine echte Bedrohung für Computer darstellte
um die Welt und 2) das Datum der Virusoperation (26. April) stimmt mit dem Datum überein
Unfall im Kernkraftwerk Tschernobyl, das Virus bekam seinen zweiten
name - "Tschernobyl" (Tschernobyl).

Der Autor des Virus hat die Tragödie von Tschernobyl höchstwahrscheinlich nicht damit in Verbindung gebracht
mit seinem Virus und legte das Datum der „Bombe“ auf den 26. April fest
Ein weiterer Grund: Am 26. April 1998 veröffentlichte er die erste Version
seines Virus (das Taiwan übrigens nicht verlassen hat) - 26
April feiert das CIH-Virus auf diese Weise seinen "Geburtstag".

Wie das Virus funktioniert

Wenn eine infizierte Datei gestartet wird, installiert der Virus seinen Code in Windows-Speicher,
fängt Dateizugriffe ab und schreibt beim Öffnen von PE-EXE-Dateien hinein
ihnen Ihre Kopie. Enthält Fehler und hängt in einigen Fällen das System auf
beim Ausführen infizierter Dateien. Löscht Flash abhängig vom aktuellen Datum
BIOS- und Festplatteninhalte.

Aufnahme ein Flash-BIOS nur auf den entsprechenden Motherboardtypen möglich
Boards und mit der Aktivierungseinstellung des entsprechenden Schalters. Dies
Der Schalter ist normalerweise auf Nur-Lesen eingestellt, dies jedoch
gilt nicht für alle Computerhersteller. Leider Flash-BIOS
auf einigen modernen Motherboards kann nicht geschützt werden
Schalter: Einige von ihnen erlauben das Schreiben in Flash in jeder Position
Schalter, auf anderen kann der Schreibschutz in Flash programmgesteuert aufgehoben werden.

Nach dem erfolgreichen Löschen des Flash-Speichers wandert der Virus zu einem anderen
destruktives Verfahren: löscht Informationen über alle installierten
Festplatte. In diesem Fall verwendet der Virus direkten Zugriff auf Daten auf der Festplatte und
umgeht damit den standardmäßig im BIOS eingebauten Virenschutz
schreibt in Bootsektoren.

Es gibt drei Hauptversionen („Autoren“) des Virus. Sie sind ziemlich ähnlich
übereinander und unterscheiden sich nur in kleinen Details des Codes in diversen
Unterprogramme. Versionen des Virus haben unterschiedliche Längen, Textzeilen und Datumsangaben
Auslösen des Disk-Löschvorgangs und des Flash-BIOS:

Länge Text Aktivierungsdatum Als „lebendig“ erkannt
1003 CIH 1.2 TTIT 26. April Ja
1010 CIH 1.3 TTIT 26. April Nr
1019 CIH 1.4 TATUNG 26. eines jeden Monats Ja - in vielen Ländern

Technische Details

Beim Infizieren von Dateien sucht der Virus in ihnen nach „Löchern“ (Blöcken ungenutzter Daten) und
schreibt ihnen seinen Code. Das Vorhandensein solcher "Löcher" ist strukturbedingt
PE-Dateien: Die Position jedes Abschnitts in der Datei ist an einer bestimmten ausgerichtet
dem im PE-Header angegebenen Wert und in den meisten Fällen zwischen dem Ende
der vorherige Abschnitt und der Beginn des nächsten gibt es eine bestimmte Anzahl von Bytes,
die nicht vom Programm verwendet werden. Der Virus durchsucht die Datei nach solchen unbenutzten
Blöcke, schreibt seinen Code hinein und erhöht um den erforderlichen Wert
geänderte Abschnittsgröße. Die Größe der infizierten Dateien nimmt nicht zu.

Wenn am Ende eines Abschnitts ein "Loch" von ausreichender Größe vorhanden ist,
der Virus schreibt seinen Code in einem Block hinein. Wenn es kein solches Loch gibt,
Der Virus teilt seinen Code in Blöcke auf und schreibt sie an das Ende verschiedener Abschnitte
Datei. So kann der Virencode in infizierten Dateien erkannt werden
und wie einzelner Block Code und als mehrere unabhängige Blöcke.

Der Virus sucht auch nach einem ungenutzten Datenblock im PE-Header. Wenn am Ende
Header ein "Loch" von mindestens 184 Bytes hat, schreibt der Virus hinein
Ihre Startprozedur. Der Virus ändert dann die Startadresse der Datei:
schreibt die Adresse seiner Startprozedur hinein. Als Ergebnis dieser Vorgehensweise
Die Dateistruktur wird eher ungewöhnlich: die Adresse des Starts
Programmprozeduren zeigen nicht auf irgendeinen Abschnitt der Datei, sondern außerhalb
ladbares Modul - im Header der Datei. Windows95 jedoch nicht
Aufmerksamkeit auf solche "seltsamen" Dateien, lädt dann den Dateikopf in den Speicher
alle Abschnitte und überträgt die Kontrolle an die im Header angegebene Adresse - to
Startprozedur des Virus im PE-Header.

Nach Erhalt der Kontrolle weist die Startprozedur des Virus einen Speicherblock zu
VMM ruft PageAllocate auf, kopiert seinen Code dorthin und ermittelt dann die Adressen
verbleibende Virencodeblöcke (am Ende der Abschnitte) und hängt sie an
zum Code Ihrer Startprozedur. Der Virus fängt dann die IFS-API ab und
gibt die Steuerung an das Host-Programm zurück.

Aus Sicht des Betriebssystems ist dieses Verfahren am interessantesten in
Virus: nachdem der Virus seinen Code in einen neuen Speicherblock kopiert hat und
Dort wird die Kontrolle übertragen, der Virencode wird als Ring0-Anwendung ausgeführt, und
der Virus ist in der Lage, die AFS-API abzufangen (dies ist für Programme unmöglich
aufgeführt in Ring3).

Der IFS-API-Interceptor verarbeitet nur eine Funktion – das Öffnen von Dateien.
Wenn eine Datei mit der Erweiterung EXE geöffnet wird, überprüft der Virus seine interne
Format und schreibt seinen Code in die Datei. Nach der Infektion wird der Virus überprüft
Systemdatum und ruft das Verfahren zum Löschen des Flash-BIOS und des Festplattensektors auf (siehe oben).

Beim Löschen des Flash-BIOS verwendet der Virus die entsprechenden Ports
Lesen / Schreiben, beim Löschen von Festplattensektoren ruft der Virus die VxD-Funktion auf
direkter Festplattenzugriff IOS_SendCommand.

Bekannte Varianten des Virus

Der Autor des Virus veröffentlichte nicht nur Kopien der infizierten Dateien "in die Freiheit", sondern auch
die Source-Assembler-Texte des Virus verschickt. Dies hat zu diesen geführt
Texte wurden korrigiert, zusammengestellt und erschienen bald
Modifikationen des Virus, die unterschiedliche Längen hatten, aber in Bezug auf die Funktionalität sie
alle entsprachen ihrem "Elternteil". Bei einigen Varianten des Virus
Das Datum der „Bombe“ wurde geändert oder dieser Abschnitt wurde überhaupt nicht aufgerufen.

Es ist auch bekannt, dass die "Original" -Versionen des Virus tagelang funktionieren
außer am 26. [April]. Diese Tatsache erklärt sich aus der Tatsache, dass das Einchecken des Datums
Der Virencode tritt nach zwei Konstanten auf. Natürlich, um
Stellen Sie den "Bomben" -Timer für einen bestimmten Tag ein, es reicht aus, ihn nur zu ändern
zwei Bytes im Virencode.

Der erste globale Virus, der etwa 500.000 Computer befallen hat, feiert seinen 10. Geburtstag

Das erste globale CIH-Virus, auch Tschernobyl genannt, feiert seinen 10. Geburtstag.

„Am 26. April 1999 ereignete sich eine weltweite Computerkatastrophe: Laut verschiedenen Quellen waren rund eine halbe Million Computer weltweit betroffen, die Folgen von Virenepidemien waren noch nie so massiv und gingen nicht mit solchen weltweiten Schäden einher“, erinnert sich Evgeny Aseev, Virenanalyst bei Kaspersky Lab.

Ihm zufolge sind dann die Daten weiter Festplatte, und auf den Motherboards einiger Maschinen wurde der Inhalt der BIOS-Chips beschädigt.

„Dieser Virus diente als eine Art Wendepunkt in der Wahrnehmung von Computerbedrohungen durch Benutzer. Es war der erste Virus, der nicht nur die Daten auf dem infizierten Computer beschädigte, sondern auch einige Computer vollständig deaktivierte. Für den Fall, dass das BIOS dies nicht konnte umgeschrieben werden, könnte der Computer in den Müll geworfen werden", sagt Sergey Komarov, Leiter der Antiviren-Entwicklungs- und Forschungsabteilung bei Doctor Web.

Das Virus erhielt seinen Namen CIH von dem abgekürzten Namen seines Schöpfers, dem Studenten der Taiwan University, Chen Ing-Hau. Sein zweiter Name - "Tschernobyl" (Tschernobyl) - erschien aufgrund der Tatsache, dass das Virus am 26. April - dem Tag der Katastrophe im Kernkraftwerk Tschernobyl - aktiviert wurde.

„Der Autor des Virus hat es so gemacht, dass das Virus beim Eindringen in die Maschine keine schädlichen Aktionen auslöst. Er wartete am 26. April eines jeden Jahres (das war der Tag, an dem das Kernkraftwerk Tschernobyl explodierte, weshalb einige Leute nenne diesen Virus "Tschernobyl") und dann hat es funktioniert", - sagt Komarov von Doctor Web.

Evgeny Aseev von Kaspersky Lab erinnert sich, dass der Tschernobyl-Virus erstmals im Juni 1998 in Taiwan entdeckt wurde – der Autor des Virus, Chen Ying-Hau, infizierte Computer an einer örtlichen Universität. Nach einiger Zeit verließ CIH Taiwan: Österreich, Australien, Israel und Großbritannien gehörten zu den ersten Ländern, die von der Epidemie erfasst wurden. Später wurde der Schadcode in mehreren anderen Ländern registriert, darunter auch in Russland.

Es wird angenommen, dass das Erscheinen infizierter Dateien auf mehreren amerikanischen Webservern, die Spielprogramme verteilen, die Ursache für die weltweite Virenepidemie war.

Das Fehlen formeller Beschwerden taiwanesischer Unternehmen ermöglichte es Chen, im April 1999 einer Bestrafung zu entgehen. Außerdem machte ihn "Tschernobyl" berühmt: Dank des Schreibens des Virus erhielt Chen Ying-Hau einen prestigeträchtigen Job in einem großen Computerunternehmen.

ZEHN JAHRE SPÄTER. MODERNE BEDROHUNGEN.

Laut Sergei Komarov, Leiter der Antiviren-Entwicklungs- und Forschungsabteilung bei Doctor Web, tauchten später Viren auf, die in Bezug auf ihre Bindung an ein bestimmtes Datum Tschernobyl ähnelten, Computern jedoch keinen solchen Schaden zufügten.

„Das erklärt sich höchstwahrscheinlich dadurch, dass es für moderne Malware keinen Sinn macht, einen Computer zu deaktivieren – es ist für sie als Ressource wichtig, sie arbeiten daran, verbergen ihre Präsenz und generieren Einnahmen für Cyberkriminelle“, glaubt Komarov Vergangenheit ist die Zeit, in der Computerkriminelle wie Chen Ying-Hau Viren erstellten, um sich durchzusetzen und berühmt zu werden, und mit kriminellen Mitteln sehr viel Geld verdienten“, bestätigt Evgeny Aseev von Kaspersky Lab.

Ihm zufolge ging das Wirkungsschema des Tschernobyl-Virus von zwei Szenarien aus: in I'm besten fall- Entfernung aller Informationen aus dem Speicher des Computers, im schlimmsten Fall - seine vollständige Deaktivierung. Das Bild moderner Bedrohungen hat sich drastisch verändert und besticht durch seine Vielfalt: „Rootkits“, soziale Netzwerke, Online-Spiele, „Botnets“ – Bereiche und Technologien, die eine bei weitem nicht vollständige Liste der Quellen von Computerbedrohungen ausmachen. „Cyber-Betrüger agieren immer unvorhersehbarer und ausgeklügelter“, stellt Aseev fest.Ihm zufolge wurde heute die „Produktion“ von Schadprogrammen in Gang gesetzt, die Analysten von Kaspersky Lab entdecken täglich mehr als 17.000 neue Viren.

An der Spitze stehen „Trojaner“, die die persönlichen Daten des Benutzers stehlen und die Kreditkartennummer des Besitzers des infizierten Computers an deren „Besitzer“ übermitteln.

Um neue Dienstleistungen, Werbung und verwandte Dienstleistungen zu fördern, nutzen Internetunternehmen aktiv das Potenzial soziale Netzwerke. Letztes Jahr standen Odnoklassniki und Vkontakte, einer der „Leckerbissen“ für virtuelle Betrüger, im Epizentrum zahlreicher Angriffe.

Der Online-Glücksspielmarkt wächst mit enormer Geschwindigkeit. Trojaner, die Benutzer von Online-Zahlungs- und Banksystemen angreifen, wurden durch Gaming-Trojaner ersetzt, die neue Technologien verwenden, einschließlich Dateiinfektion und Verteilung auf Wechseldatenträgern. Dieselben „Trojaner“ wurden verwendet, um „Botnets“ zu organisieren (ein Botnet ist ein Netzwerk infizierter Computer).

„Das Wort ‚Botnet‘, das vor einigen Jahren ausschließlich im Lexikon der Mitarbeiter von Antiviren-Unternehmen zu finden war, In letzter Zeit wurde fast jedem bekannt. Heute sind Botnets die Hauptquelle für Spam, DDoS-Angriffe und die Verbreitung neuer Viren“, stellt Aseev fest.

Um sich vor möglichen Bedrohungen zu schützen, empfehlen Experten den Nutzern, Vorsicht walten zu lassen und äußerst vorsichtig zu sein.

"Öffnen Sie keine verdächtigen Links, die von unbekannten Kontakten gesendet wurden, überprüfen Sie die von "Freunden" erhaltenen Informationen, verwenden Sie sie nicht einfache Passwörter und geben Sie sie nirgendwo ein, außer bei vertrauenswürdigen Quellen, und installieren Sie außerdem regelmäßig Updates für das Betriebssystem und die Antivirensoftware", rät Evgeniy Aseev, Virenanalyst bei Kaspersky Lab.

"RIA Nowosti", 27.04.2009

Es ist nicht gestattet, alle im Abschnitt „Medienüberwachung“ der offiziellen Website des Ministeriums für Telekommunikation und Massenkommunikation der Russischen Föderation veröffentlichten Materialien zu verwenden, ohne den für jede Veröffentlichung angegebenen Urheberrechtsinhaber anzugeben

Der offizielle Name dieses Computervirus ist CIH oder Virus.Win9x.CIH. "" Es wurde benannt, weil es am 26. April 1999 aktiviert wurde - am Jahrestag der bekannten Tragödie. Der Schöpfer des Virus, ein Student aus Taiwan, Chen Yinghao, schrieb sein Programm im Juni 1998, wartete jedoch bis zum 26. April 1999 (dem Jahrestag der Tragödie von Tschernobyl), um es zu starten, was natürlich kaum als ein Programm angesehen werden kann Zufall.

Die zweite Version des Ursprungs des Namens des Virus ist, dass er viele Computerbetriebssysteme zerstörte und in gewisser Weise zu einer großen Katastrophe wurde.

Der Virus funktioniert nur unter Windows 95/98 – beide Systeme waren zum Zeitpunkt des Schreibens weit verbreitet. Es gibt drei Versionen, die sich in Länge, Code-Features und Aktivierungsdatum voneinander unterscheiden: Eine der Versionen wurde am 26. eines jeden Monats aktiviert.

Die Essenz der Arbeit von Tschernobyl ist einfach: Es schrieb seinen Code in den Betriebssystemspeicher, fing den Start von Dateien mit der Erweiterung .exe ab und schrieb dann seine Kopie hinein. Das Virus hat sich vor dem festgelegten Datum in keiner Weise manifestiert und wirkte daher wie eine Zeitbombe. Am 26. April wurde es aktiviert, löschte alle Daten auf Festplatten und beschädigte das Flash-BIOS weiter. Es war unmöglich, die Dateien wiederherzustellen, sodass sich der durch den Virus verursachte Schaden als kolossal herausstellte.

Folgen von „Tschernobyl“

Chen Yinghao infizierte zuerst Computer an seiner Universität, woraufhin der Virus in das Netzwerk eindrang und schließlich auf den Festplatten von Hunderttausenden von Menschen landete. Die Virusepidemie fegte über China, Australien, Österreich, England, Israel und viele andere Länder hinweg.

Die Russen haben nicht allzu sehr unter Tschernobyl gelitten, aber es gab Spuren dieses Virus in unserem Land.

Durchschnittlichen Daten zufolge waren weltweit mehr als 500.000 Computer von Tschernobyl betroffen, und viele von ihnen speicherten wichtige Daten, sodass die Menschen durch die Aktionen von Chen Yinghao große Verluste erlitten. Gleichzeitig hatte der Student selbst überhaupt nicht damit gerechnet, dass sich sein Virus so weit verbreiten würde, weil er vorhatte, ein „Experiment“ nur innerhalb der Datong University durchzuführen.

Die Experten mussten nicht nach dem Urheber eines so ernsten und schrecklichen Virus suchen. Yinghao erkannte, dass er im Laufe der Zeit mit Sicherheit identifiziert werden würde, und entschied sich daher, die Situation nicht zu verschlimmern, stellte sich selbst und entschuldigte sich sogar öffentlich bei Menschen, die unter der Infektion von Computern mit seinem Virus gelitten hatten. Dafür erhielt er an seiner Universität einen harten Verweis.

CIH, oder "Tschernobyl"(Virus.Win9x.CIH) ist ein Computervirus, der im Juni 1998 von dem taiwanesischen Studenten Chen Ying Hao geschrieben wurde. Es ist ein residenter Virus, der nur unter funktioniert Betriebssystem Windows 95/98.

Geschichte

Am 26. April 1999, dem Jahrestag des Unfalls von Tschernobyl, wurde der Virus aktiv und zerstörte Daten auf den Festplatten infizierter Computer. Auf einigen Computern wurde der Inhalt von BIOS-Chips beschädigt. Es war das Zusammentreffen des Datums der Aktivierung des Virus und des Datums des Unfalls im Kernkraftwerk Tschernobyl, das dem Virus den zweiten Namen "Tschernobyl" gab, der unter den Menschen noch bekannter ist als "CIH".

Verschiedenen Schätzungen zufolge litten etwa eine halbe Million PCs auf der ganzen Welt unter dem Virus.

Laut The Register verhafteten taiwanesische Behörden am 20. September 2000 den Erfinder des berühmten Computervirus.

Name

Das CIH-Virus wurde "Tschernobyl" genannt. Es gibt zwei mögliche Versionen der Herkunft des Namens:

1. Der Virus hat auf vielen Computern auf der ganzen Welt großen Schaden angerichtet.
2. Das Datum des Betriebs der vom Autor gepflanzten "logischen Bombe" fällt mit dem Datum des Unfalls im Kernkraftwerk Tschernobyl am 26. April zusammen.

Verbreitung

Der erste funktionierende Virus wurde im Juni 1998 in Taiwan entdeckt. Der Autor des Virus infizierte Computer an seiner Universität. In der darauffolgenden Woche wurden Virusepidemien aus Österreich, Australien, Israel und Großbritannien gemeldet. Später wurden Spuren des Virus in mehreren anderen Ländern gefunden, darunter auch in Russland. Verbreitende Infektion mehrerer amerikanischer Webserver Computerspiele, verursachte eine weltweite Virusepidemie, die am 26. April 1999 begann. Auf einer halben Million Computer funktionierte eine "logische Bombe", Informationen auf Festplatten wurden zerstört und Daten auf BIOS-Chips beschädigt.

Arbeitsprinzipien

Wenn eine infizierte Datei gestartet wird, schreibt der Virus seinen Code in den Windows-Speicher, fängt den Start von EXE-Dateien ab und schreibt schädlichen Code in sie. Je nach aktuellem Datum ist der Virus in der Lage, Daten auf dem Flash-BIOS und Computerfestplatten zu beschädigen.

Virenautor

Chen Ing Hau wurde am 25. August 1975 in Taiwan geboren.
Chen schrieb CIH während seines Studiums an der Tatung University in Taipeh. Als er den Virus erstellte, erhielt er von der Universität einen strengen Verweis.
Als er erfuhr, dass sich das Virus ausgebreitet hatte, wurde er nervös. Einige seiner Klassenkameraden drängten ihn, nicht zuzugeben, den Virus erfunden zu haben, aber er selbst war zuversichtlich, dass Sicherheitsexperten es mit genügend Zeit herausfinden würden. Deshalb schrieb er noch vor seinem Universitätsabschluss eine offizielle Entschuldigung im Internet, in der er die Menschen in China, deren Computer beschädigt wurden, öffentlich um Verzeihung bat. Aufgrund des Militärdienstes ging Chen zum Dienst. Nach damaligem taiwanesischem Recht hat er keine Gesetze gebrochen, und er wurde nie wegen der Schaffung dieses Virus strafrechtlich verfolgt.
Chen arbeitet derzeit bei Gigabyte.

Fakten

• "Tschernobyl" funktioniert nur unter Windows95/98.
• Das Virus hat eine ziemlich kleine Größe von etwa 1 kB.
• Der Autor des Virus hat auch den Quellcode des Virus verschickt.
• Im Mai 2006 wurde ein Student einer der technischen Universitäten in Woronesch, Sergey Kazachkov, zu zwei Jahren Bewährung nach Artikel 273 des Strafgesetzbuchs der Russischen Föderation wegen Verbreitung von Computerviren im Internet, einschließlich CIH, verurteilt

Copy-pasted und leicht bearbeitet aus Wikipedia