Ο ιός «Τσέρνομπιλ» συγκεντρώνει φόρο τιμής εδώ και χρόνια. Τι είναι ένας ιός υπολογιστή Περιγραφή του ιού "Chernobyl" του Chernobyl

Τσερνόμπιλ - ένας επικίνδυνος ιός υπολογιστών

Ένας ιός είναι απλώς ένα πρόγραμμα γραμμένο από ένα άτομο που δεν επηρεάζει την υγεία του χρήστη που εργάζεται στον υπολογιστή. Τα παραμύθια και οι φήμες ότι οι ιοί, μέσω χρωμάτων και άλλων εφέ που εμφανίζονται στην οθόνη της οθόνης, σκοτώνουν τον εγκέφαλο, τρελαίνουν έναν άνθρωπο, δεν έχουν βάση. Εκατοντάδες ιοί εισέρχονται στον υπολογιστή, αυτό συμβαίνει κυρίως λόγω του αναλφαβητισμού του χρήστη στον υπολογιστή, της αδυναμίας χρήσης μέσων αποθήκευσης (δίσκοι, μονάδες flash).

- αναφέρεται σε μόνιμους ιούς που μολύνουν συστήματα Windows 95, Windows 98. Το μέγεθος του ιού είναι αμελητέο, μόνο 1 Kb. Κατά τη διείσδυση, ο ιός διαγράφει όλα τα δεδομένα από τους δίσκους, εισάγει τον κώδικά του στη μνήμη του προγράμματος, ενώ παρεμποδίζει τις κύριες εντολές στα αρχεία. Στη συνέχεια γράφει αντίγραφα του εαυτού του στα επηρεαζόμενα αρχεία. Έχοντας ολοκληρώσει την αφαίρεση της μνήμης, διαγράφει πληροφορίες από τους σκληρούς δίσκους, ανοίγοντας έτσι το δρόμο του σε όλους τους δίσκους του υπολογιστή, στις πληροφορίες του δίσκου.

Ο συγγραφέας του ιού είναι ο Ταϊβανός φοιτητής Chen Ying Hao, ο οποίος έγραψε τον ιό και τον έφερε στη ζωή το 1998. Μέχρι σήμερα, υπάρχουν τρία αντίγραφα του ιού από τον συγγραφέα. Διαφέρουν μεταξύ τους από μια μακρά σειρά κειμένου και τον χρόνο της διείσδυσης και της ήττας. προγράμματα Windows. Η πρώτη μαζική καταστροφή υπολογιστών συνέπεσε με την επέτειο του Τσερνομπίλ στις 26/04. Το 1999, η σύμπτωση της ενεργοποίησης του ιού και η ημερομηνία της έκρηξης του Τσερνομπίλ έδωσε το όνομα στον ιό. Από το Πανεπιστήμιο της Ταϊβάν, όπου σπούδασε ο συγγραφέας του ιού, μετακόμισε γρήγορα σε όλη τη χώρα, στη συνέχεια η επιδημία εξαπλώθηκε στο Ισραήλ, την Αυστρία, τη Μεγάλη Βρετανία, την Αυστραλία και μετά από κάποιο χρονικό διάστημα έφτασε στη Ρωσία. Η ήττα προγραμμάτων από έναν άγνωστο ιό και σε τόσο μεγάλη κλίμακα, ανησύχησε το κοινό, ενώ μισό εκατομμύριο επηρεάστηκαν προσωπικούς υπολογιστές. Κυρίως τα μικροτσίπ BIOS προσωπικών υπολογιστών υπέφεραν.

Είναι ενδιαφέρον να γνωρίζουμε τι περιλαμβάνεται στην πρώτη δεκάδα ειδικά επικίνδυνους ιούςστον κόσμο. Ο συγγραφέας του, όταν έμαθε για την έκταση της βλάβης που προκάλεσε ο απόγονός του, ζήτησε δημόσια συγγνώμη. Το πανεπιστημιακό αστείο, με το οποίο απλώς επρόκειτο να διαταράξει την εκπαιδευτική διαδικασία, εντός του πανεπιστημίου του, του έφερε τη φήμη. Αλλά σύμφωνα με τους νόμους της χώρας, ο μαθητής δεν παραβίασε το νόμο, δεν κρίθηκε.

Και το πιο σημαντικό, ο ιός λειτουργεί μία φορά το χρόνο - στις 26 Απριλίου, προκαλείται από την εκκίνηση του επηρεαζόμενου συστήματος και στο τέλος της εργασίας παραμένει πάντα στη μνήμη, μολύνοντας άλλα προγράμματα, παρατηρώντας τις ενέργειες των κατόχων υπολογιστών. Είναι πολύ δύσκολο να αφαιρέσετε έναν ιό· μετά την αφαίρεση, πολλά αρχεία και έγγραφα χάνονται. Καλές συμβουλές - μην αφαιρείτε μόνοι σας έναν ιό από τον υπολογιστή σας, επικοινωνήστε με έναν ειδικό, αυτή είναι η ευκαιρία σας να αποθηκεύσετε όσο το δυνατόν περισσότερα αρχεία, βοηθήστε τον υπολογιστή σας να ανανεώσει τη δύναμή του. Αναπαραγωγική ικανότητα κακόβουλο λογισμικόσπέρνει τον πανικό στους χρήστες. Μόνο μια ικανή προσέγγιση για την αφαίρεση και τη θεραπεία του ιού θα απαλλάξει τον χρήστη από την ταλαιπωρία.

Γνωστό και ως «Τσέρνομπιλ». Resident virus, λειτουργεί μόνο με Windows95/98 και μολύνει αρχεία PE
(Φορητό Εκτελεστό). Έχει ένα μάλλον μικρό μήκος - περίπου 1 Kb. ήταν
ανακαλύφθηκε "ζωντανό" στην Ταϊβάν τον Ιούνιο του 1998 - ο συγγραφέας του ιού μολύνθηκε
υπολογιστές στο τοπικό πανεπιστήμιο όπου εκείνος (ο συγγραφέας του ιού) εκείνη την εποχή
υποβλήθηκε σε εκπαίδευση. Μετά από κάποιο χρονικό διάστημα, τα μολυσμένα αρχεία ήταν (κατά λάθος;)
στάλθηκε σε τοπικές διασκέψεις στο Διαδίκτυο και ο ιός εξαφανίστηκε
Ταϊβάν: την επόμενη εβδομάδα, αναφέρθηκαν ιογενείς επιδημίες
Αυστρία, Αυστραλία, Ισραήλ και Ηνωμένο Βασίλειο. Στη συνέχεια ο ιός ανακαλύφθηκε σε
πολλές άλλες χώρες, συμπεριλαμβανομένης της Ρωσίας.

Περίπου ένα μήνα αργότερα, βρέθηκαν μολυσμένα αρχεία σε πολλά
Αμερικανικοί διακομιστές Ιστού που διανέμουν προγράμματα παιχνιδιών. Αυτό το γεγονός,
προφανώς, και χρησίμευσε ως η αιτία της παγκόσμιας ιογενούς επιδημίας που ακολούθησε. 26
Ο Απρίλιος του 1999 (περίπου ένα χρόνο μετά την εμφάνιση του ιού) λειτούργησε
«λογική βόμβα» ενσωματωμένη στον κώδικά του. Σύμφωνα με διάφορες εκτιμήσεις, την ημέρα αυτή
σε όλο τον κόσμο, περίπου μισό εκατομμύριο υπολογιστές επηρεάστηκαν - είχαν
τα δεδομένα στον σκληρό δίσκο καταστρέφονται και σε κάποιους επιπλέον είναι κατεστραμμένα
Περιεχόμενο τσιπ BIOS μητρικές πλακέτες. Αυτό το περιστατικό έχει γίνει
καταστροφή υπολογιστών - επιδημίες ιών και οι συνέπειές τους ποτέ πριν
που δεν ήταν τόσο μεγάλης κλίμακας και δεν έφεραν τέτοιες απώλειες.

Προφανώς, για τους λόγους που 1) ο ιός ήταν μια πραγματική απειλή για τους υπολογιστές κατά τη διάρκεια
σε όλο τον κόσμο και 2) η ημερομηνία λειτουργίας του ιού (26 Απριλίου) συμπίπτει με την ημερομηνία
ατύχημα στον πυρηνικό σταθμό του Τσερνομπίλ, ο ιός πήρε το δεύτερο
όνομα - "Τσέρνομπιλ" (Τσέρνομπιλ).

Ο συγγραφέας του ιού, πιθανότατα, δεν συνέδεσε την τραγωδία του Τσερνομπίλ
με τον ιό του και όρισε ως ημερομηνία της «βόμβας» την 26η Απριλίου
άλλος λόγος: στις 26 Απριλίου 1998 κυκλοφόρησε την πρώτη έκδοση
του ιού του (ο οποίος, παρεμπιπτόντως, δεν έφυγε από την Ταϊβάν) - 26
Απρίλιος, ο ιός CIH γιορτάζει με αυτόν τον τρόπο τα «γενέθλιά» του.

Πώς λειτουργεί ο ιός

Όταν εκκινείται ένα μολυσμένο αρχείο, ο ιός εγκαθιστά τον κώδικά του Μνήμη Windows,
παρεμποδίζει τις προσβάσεις αρχείων και, όταν ανοίγει αρχεία PE EXE, γράφει σε
το αντίγραφό σας. Περιέχει σφάλματα και σε ορισμένες περιπτώσεις κολλάει το σύστημα
κατά την εκτέλεση μολυσμένων αρχείων. Διαγράφει το Flash ανάλογα με την τρέχουσα ημερομηνία
BIOS και περιεχόμενα δίσκου.

Ηχογράφηση σε Flash BIOSείναι δυνατή μόνο στους αντίστοιχους τύπους μητρικών καρτών
πλακέτες και με την ενεργοποίηση της ρύθμισης του αντίστοιχου διακόπτη. Αυτό
ο διακόπτης είναι συνήθως ρυθμισμένος μόνο για ανάγνωση, ωστόσο αυτό
δεν ισχύει για όλους τους κατασκευαστές υπολογιστών. Δυστυχώς το Flash BIOS
σε ορισμένες σύγχρονες μητρικές πλακέτες δεν είναι δυνατή η προστασία
διακόπτης: μερικά από αυτά επιτρέπουν την εγγραφή σε Flash σε οποιαδήποτε θέση
διακόπτη, σε άλλους, η προστασία εγγραφής στο Flash μπορεί να ακυρωθεί μέσω προγραμματισμού.

Μετά την επιτυχή διαγραφή της μνήμης Flash, ο ιός μετακινείται σε άλλη
καταστροφική διαδικασία: διαγράφει πληροφορίες για όλα τα εγκατεστημένα
σκληροι ΔΙΣΚΟΙ. Σε αυτήν την περίπτωση, ο ιός χρησιμοποιεί άμεση πρόσβαση σε δεδομένα στο δίσκο και
παρακάμπτει έτσι την τυπική προστασία κατά των ιών που είναι ενσωματωμένη στο BIOS
γράφει σε τομείς εκκίνησης.

Υπάρχουν τρεις κύριες ("συγγραφείς") εκδόσεις του ιού. Μοιάζουν αρκετά
το ένα πάνω στο άλλο και διαφέρουν μόνο σε μικρές λεπτομέρειες του κώδικα σε διάφορα
υπορουτίνες. Οι εκδόσεις του ιού έχουν διαφορετικά μήκη, γραμμές κειμένου και ημερομηνία
Ενεργοποίηση της διαδικασίας διαγραφής δίσκου και του Flash BIOS:

Μήκος κειμένου Η ημερομηνία ενεργοποίησης εντοπίστηκε "ζωντανό"
1003 CIH 1.2 TTIT 26 Απριλίου Ναι
1010 CIH 1.3 TTIT 26 Απριλίου Αρ
1019 CIH 1.4 TATUNG 26 κάθε μήνα Ναι - σε πολλές χώρες

Τεχνικές λεπτομέρειες

Όταν μολύνει αρχεία, ο ιός αναζητά «τρύπες» (μπλοκ αχρησιμοποίητων δεδομένων) σε αυτά και
τους γράφει τον κωδικό του. Η παρουσία τέτοιων "τρυπών" οφείλεται στη δομή
Αρχεία PE: η θέση κάθε ενότητας στο αρχείο είναι ευθυγραμμισμένη σε μια συγκεκριμένη
την τιμή που καθορίζεται στην κεφαλίδα PE και στις περισσότερες περιπτώσεις μεταξύ του τέλους
η προηγούμενη ενότητα και η αρχή της επόμενης υπάρχει ένας ορισμένος αριθμός byte,
που δεν χρησιμοποιούνται από το πρόγραμμα. Ο ιός αναζητά το αρχείο για τέτοια αχρησιμοποίητα
μπλοκ, γράφει τον κωδικό του σε αυτά και αυξάνεται κατά την απαιτούμενη τιμή
τροποποιημένο μέγεθος τμήματος. Το μέγεθος των μολυσμένων αρχείων δεν αυξάνεται.

Εάν υπάρχει μια «τρύπα» επαρκούς μεγέθους στο τέλος οποιουδήποτε τμήματος,
ο ιός γράφει τον κώδικά του σε αυτό σε ένα μπλοκ. Εάν δεν υπάρχει τέτοια τρύπα,
ο ιός χωρίζει τον κώδικά του σε μπλοκ και τα γράφει στο τέλος διαφόρων ενοτήτων
αρχείο. Έτσι, ο κώδικας του ιού σε μολυσμένα αρχεία μπορεί να εντοπιστεί
Και πως ενιαίο μπλοκκώδικα και ως πολλά άσχετα μπλοκ.

Ο ιός αναζητά επίσης ένα αχρησιμοποίητο μπλοκ δεδομένων στην κεφαλίδα PE. Αν στο τέλος
Η κεφαλίδα έχει μια "τρύπα" τουλάχιστον 184 byte, την γράφει ο ιός
διαδικασία εκκίνησης. Στη συνέχεια, ο ιός αλλάζει τη διεύθυνση έναρξης του αρχείου:
γράφει τη διεύθυνση της διαδικασίας εκκίνησης σε αυτό. Ως αποτέλεσμα αυτής της προσέγγισης
η δομή του αρχείου γίνεται μάλλον μη τυπική: η διεύθυνση της έναρξης
Οι διαδικασίες του προγράμματος δεν παραπέμπουν σε κανένα τμήμα του αρχείου, αλλά εκτός
μονάδα με δυνατότητα φόρτωσης - στην κεφαλίδα του αρχείου. Ωστόσο, τα Windows95 δεν το κάνουν
προσοχή σε τέτοια "περίεργα" αρχεία, φορτώνει την κεφαλίδα του αρχείου στη μνήμη, στη συνέχεια
όλα τα τμήματα και μεταφέρει τον έλεγχο στη διεύθυνση που καθορίζεται στην κεφαλίδα - προς
διαδικασία εκκίνησης του ιού στην κεφαλίδα PE.

Έχοντας λάβει τον έλεγχο, η διαδικασία εκκίνησης του ιού εκχωρεί ένα μπλοκ μνήμης
Κλήση VMM στο PageAllocate, αντιγράφει τον κώδικά του εκεί και, στη συνέχεια, καθορίζει τις διευθύνσεις
τα υπόλοιπα μπλοκ κώδικα ιών (βρίσκονται στο τέλος των ενοτήτων) και τα προσαρτά
στον κωδικό της διαδικασίας εκκίνησης. Στη συνέχεια, ο ιός παρεμποδίζει το IFS API και
επιστρέφει τον έλεγχο στο κεντρικό πρόγραμμα.

Από την άποψη του λειτουργικού συστήματος, αυτή η διαδικασία είναι πιο ενδιαφέρουσα
ιός: αφού ο ιός αντιγράψει τον κώδικά του σε ένα νέο μπλοκ μνήμης και
μεταφέρεται ο έλεγχος εκεί, ο κωδικός ιού εκτελείται ως εφαρμογή Ring0 και
ο ιός μπορεί να υποκλέψει το AFS API (αυτό είναι αδύνατο για προγράμματα
εκτελείται στο Ring3).

Ο υποκλοπής IFS API χειρίζεται μόνο μία λειτουργία - άνοιγμα αρχείων.
Εάν ανοίξει ένα αρχείο με επέκταση EXE, ο ιός ελέγχει το εσωτερικό του
μορφή και γράφει τον κώδικά του στο αρχείο. Μετά τη μόλυνση, ο ιός ελέγχει
ημερομηνία συστήματος και καλεί τη διαδικασία Flash BIOS και Disk Sector Erase (βλ. παραπάνω).

Κατά τη διαγραφή του Flash BIOS, ο ιός χρησιμοποιεί τις κατάλληλες θύρες
ανάγνωση / εγγραφή, κατά τη διαγραφή τομέων δίσκου, ο ιός καλεί τη συνάρτηση VxD
άμεση πρόσβαση στο δίσκο IOS_SendCommand.

Γνωστές παραλλαγές του ιού

Ο συγγραφέας του ιού όχι μόνο κυκλοφόρησε αντίγραφα των μολυσμένων αρχείων "προς ελευθερία", αλλά και
έστειλε τα κείμενα του προέλευσης assembler του ιού. Αυτό έχει οδηγήσει σε αυτά
κείμενα διορθώθηκαν, συντάχθηκαν και σύντομα εμφανίστηκαν
τροποποιήσεις του ιού που είχαν διαφορετικά μήκη, αλλά από άποψη λειτουργικότητας
όλα αντιστοιχούσαν στον «γονιό» τους. Σε ορισμένες παραλλαγές του ιού,
η ημερομηνία της "βόμβας" άλλαξε ή αυτό το τμήμα δεν κλήθηκε ποτέ καθόλου.

Είναι επίσης γνωστό για τις «πρωτότυπες» εκδόσεις του ιού που λειτουργούν τις μέρες
εκτός από τις 26 [Απριλίου]. Αυτό το γεγονός εξηγείται από το γεγονός ότι ο έλεγχος της ημερομηνίας εισόδου
Ο κώδικας του ιού εμφανίζεται σύμφωνα με δύο σταθερές. Φυσικά, για να
ρυθμίστε το χρονόμετρο "βόμβας" για κάθε δεδομένη ημέρα, αρκεί να αλλάξετε μόνο
δύο byte στον κώδικα του ιού.

Ο πρώτος παγκόσμιος ιός που επηρέασε περίπου 500.000 υπολογιστές γιορτάζει τη 10η επέτειό του

Ο πρώτος παγκόσμιος ιός CIH, που ονομάζεται επίσης Τσερνόμπιλ, γιορτάζει τη 10η επέτειό του.

«Στις 26 Απριλίου 1999, συνέβη μια παγκόσμια καταστροφή υπολογιστών: σύμφωνα με διάφορες πηγές, περίπου μισό εκατομμύριο υπολογιστές σε όλο τον κόσμο επλήγησαν, οι συνέπειες των επιδημιών ιών δεν ήταν ποτέ τόσο τεράστιες και δεν συνοδεύτηκαν από τέτοιες παγκόσμιες απώλειες», θυμάται. Evgeny Aseev, αναλυτής ιών στο Kaspersky Lab.

Σύμφωνα με τον ίδιο, τότε τα στοιχεία για σκληροι ΔΙΣΚΟΙ, και στις μητρικές πλακέτες ορισμένων μηχανών, το περιεχόμενο των τσιπ του BIOS ήταν κατεστραμμένο.

"Αυτός ο ιός χρησίμευσε ως ένα είδος καμπής στην αντίληψη των απειλών υπολογιστών από τους χρήστες. Ήταν ο πρώτος ιός που όχι μόνο κατέστρεψε τα δεδομένα στο μολυσμένο μηχάνημα, αλλά επίσης απενεργοποίησε ορισμένους υπολογιστές εντελώς. Σε περίπτωση που το BIOS δεν μπορούσε να ξαναγραφτεί, ο υπολογιστής θα μπορούσε να είχε πεταχτεί στα σκουπίδια», λέει ο Sergey Komarov, επικεφαλής του τμήματος ανάπτυξης και έρευνας κατά των ιών στο Doctor Web.

Ο ιός πήρε το όνομά του CIH από το συντομευμένο όνομα του δημιουργού του, φοιτητή του Πανεπιστημίου της Ταϊβάν Chen Ing-Hau. Το δεύτερο όνομά του - "Τσέρνομπιλ" (Τσέρνομπιλ) εμφανίστηκε λόγω του γεγονότος ότι ο ιός ενεργοποιήθηκε στις 26 Απριλίου - την ημέρα της καταστροφής στον πυρηνικό σταθμό του Τσερνομπίλ.

"Ο συγγραφέας του ιού το έκανε έτσι ώστε, όταν εισχωρούσε στο μηχάνημα, ο ιός δεν παρήγαγε καμία επιβλαβή δράση. Περίμενε στις 26 Απριλίου κάθε έτους (αυτή ήταν η μέρα που εξερράγη το πυρηνικό εργοστάσιο του Τσερνομπίλ, γι' αυτό μερικοί άνθρωποι ονομάστε αυτόν τον ιό "Τσέρνομπιλ") και μετά λειτούργησε", λέει ο Komarov από τον Doctor Web.

Ο Evgeny Aseev από το Kaspersky Lab θυμάται ότι ο ιός του Τσερνομπίλ εντοπίστηκε για πρώτη φορά στην Ταϊβάν τον Ιούνιο του 1998 - ο συγγραφέας του ιού, Chen Ying-Hau, μόλυναν υπολογιστές σε ένα τοπικό πανεπιστήμιο. Μετά από κάποιο χρονικό διάστημα, η CIH έφυγε από την Ταϊβάν: η Αυστρία, η Αυστραλία, το Ισραήλ και το Ηνωμένο Βασίλειο ήταν μεταξύ των πρώτων χωρών που καλύφθηκαν από την επιδημία. Αργότερα, ο κακόβουλος κωδικός καταγράφηκε σε πολλές άλλες χώρες, συμπεριλαμβανομένης της Ρωσίας.

Πιστεύεται ότι η εμφάνιση μολυσμένων αρχείων σε αρκετούς αμερικανικούς διακομιστές ιστού που διανέμουν προγράμματα παιχνιδιών ήταν η αιτία της παγκόσμιας επιδημίας ιών.

Η έλλειψη επίσημων καταγγελιών από εταιρείες της Ταϊβάν επέτρεψε στον Τσεν να ξεφύγει από την τιμωρία τον Απρίλιο του 1999. Επιπλέον, το "Τσέρνομπιλ" τον έκανε διάσημο: χάρη στη συγγραφή του ιού, ο Chen Ying-Hau έλαβε μια αριστοκρατική δουλειά σε μια μεγάλη εταιρεία υπολογιστών.

ΔΕΚΑ ΧΡΟΝΙΑ ΑΡΓΟΤΕΡΑ. ΣΥΓΧΡΟΝΕΣ ΑΠΕΙΛΕΣ.

Σύμφωνα με τον Sergei Komarov, επικεφαλής του τμήματος ανάπτυξης και έρευνας κατά των ιών στο Doctor Web, εμφανίστηκαν αργότερα ιοί που ήταν παρόμοιοι με το Τσερνόμπιλ όσον αφορά την προσκόλλησή τους σε μια συγκεκριμένη ημερομηνία, αλλά δεν προκάλεσαν τέτοια βλάβη στους υπολογιστές.

"Αυτό πιθανότατα εξηγείται από το γεγονός ότι δεν έχει νόημα για το σύγχρονο κακόβουλο λογισμικό να απενεργοποιεί έναν υπολογιστή - είναι σημαντικό γι 'αυτούς ως πόρος, εργάζονται σε αυτό, κρύβοντας την παρουσία τους και δημιουργώντας εισόδημα για τους εγκληματίες του κυβερνοχώρου", πιστεύει ο Komarov. παρελθόν είναι η εποχή που οι εγκληματίες υπολογιστών, όπως ο Chen Ying-Hau, δημιούργησαν ιούς σε μια προσπάθεια να επιβληθούν και να γίνουν διάσημοι. κερδίζουν πολύ σοβαρά χρήματα με εγκληματικά μέσα», επιβεβαιώνει ο Evgeny Aseev από το Kaspersky Lab.

Σύμφωνα με τον ίδιο, το σχέδιο δράσης του ιού του Τσερνομπίλ προϋπέθετε δύο σενάρια: καλύτερη περίπτωση- αφαίρεση όλων των πληροφοριών από τη μνήμη του υπολογιστή, στη χειρότερη - πλήρη απενεργοποίηση του. Η εικόνα των σύγχρονων απειλών έχει αλλάξει δραματικά και είναι εντυπωσιακή ως προς την ποικιλομορφία της: "rootkits", κοινωνικά δίκτυα, διαδικτυακά παιχνίδια, "botnets" - τομείς και τεχνολογίες που απαρτίζουν μια πολύ μακριά από την πλήρη λίστα πηγών απειλών υπολογιστών. «Οι απατεώνες του κυβερνοχώρου ενεργούν όλο και πιο απρόβλεπτα και εξελιγμένα», δηλώνει ο Aseev. Σύμφωνα με τον ίδιο, σήμερα η «παραγωγή» κακόβουλων προγραμμάτων έχει τεθεί σε ροή, οι αναλυτές της Kaspersky Lab εντοπίζουν περισσότερους από 17.000 νέους ιούς καθημερινά.

Οι «Trojans» προηγούνται, κλέβοντας τα προσωπικά δεδομένα του χρήστη και μεταδίδοντας στους «ιδιοκτήτες» τους τον αριθμό της πιστωτικής κάρτας του κατόχου του μολυσμένου υπολογιστή.

Για την προώθηση νέων υπηρεσιών, διαφήμισης και συναφών υπηρεσιών, οι εταιρείες του Διαδικτύου χρησιμοποιούν ενεργά τις δυνατότητες κοινωνικά δίκτυα. Πέρυσι, το Odnoklassniki και το Vkontakte, ένα από τα πιο «τσιμπήματα» για εικονικούς απατεώνες, βρέθηκαν στο επίκεντρο πολυάριθμων επιθέσεων.

Η αγορά διαδικτυακών τυχερών παιχνιδιών αναπτύσσεται με τρομερούς ρυθμούς. Οι Trojans που επιτίθενται στους χρήστες ηλεκτρονικών συστημάτων πληρωμών και τραπεζικών συστημάτων έχουν αντικατασταθεί από Trojans παιχνιδιών που χρησιμοποιούν νέες τεχνολογίες, συμπεριλαμβανομένης της μόλυνσης αρχείων και της διανομής σε αφαιρούμενες μονάδες δίσκου. Οι ίδιοι "Trojans" χρησιμοποιήθηκαν για την οργάνωση "botnets" (το botnet είναι ένα δίκτυο μολυσμένων υπολογιστών).

«Η λέξη «botnet», που πριν από μερικά χρόνια βρέθηκε αποκλειστικά στο λεξικό των εργαζομένων σε εταιρείες προστασίας από ιούς, Πρόσφαταέγινε γνωστό σχεδόν σε όλους. Σήμερα, τα botnet είναι η κύρια πηγή ανεπιθύμητων μηνυμάτων, επιθέσεων DDoS και διανομής νέων ιών», σημειώνει ο Aseev.

Για να προστατευθούν από πιθανές απειλές, οι ειδικοί συνιστούν στους χρήστες να είναι προσεκτικοί και εξαιρετικά προσεκτικοί.

"Μην ανοίγετε ύποπτους συνδέσμους που αποστέλλονται από άγνωστες επαφές, ελέγξτε τις πληροφορίες που έχετε λάβει από "φίλους", μην χρησιμοποιείτε απλούς κωδικούς πρόσβασηςκαι μην τις εισάγετε πουθενά εκτός από αξιόπιστους πόρους και επίσης εγκαθιστάτε τακτικά ενημερώσεις για το λειτουργικό σύστημα και το λογισμικό προστασίας από ιούς», συμβουλεύει ο Evgeniy Aseev, αναλυτής ιών στο Kaspersky Lab.

«RIA Novosti», 27.04.2009

Δεν επιτρέπεται η χρήση όλου του υλικού που δημοσιεύεται στην ενότητα "Παρακολούθηση μέσων" του επίσημου ιστότοπου του Υπουργείου Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσικής Ομοσπονδίας χωρίς να αναφέρεται ο κάτοχος των πνευματικών δικαιωμάτων που καθορίζεται για κάθε δημοσίευση

Το επίσημο όνομα αυτού του ιού υπολογιστή είναι CIH ή Virus.Win9x.CIH. "" Ονομάστηκε επειδή ενεργοποιήθηκε στις 26 Απριλίου 1999 - στην επέτειο της γνωστής τραγωδίας. Ο δημιουργός του ιού, ένας μαθητής από την Ταϊβάν, ο Chen Yinghao, έγραψε το πρόγραμμά του τον Ιούνιο του 1998, αλλά περίμενε μέχρι τις 26 Απριλίου 1999 (την επέτειο της τραγωδίας του Τσερνομπίλ) για να το εκτοξεύσει, κάτι που, φυσικά, δύσκολα μπορεί να θεωρηθεί απλή σύμπτωση.

Η δεύτερη εκδοχή της προέλευσης του ονόματος του ιού είναι ότι κατέστρεψε πολλά λειτουργικά συστήματα υπολογιστών και έγινε κατά κάποιο τρόπο μια μεγάλη καταστροφή.

Ο ιός λειτουργεί μόνο υπό τα Windows 95/98 - και τα δύο συστήματα ήταν ευρέως διαδεδομένα τη στιγμή που γράφτηκε το άρθρο. Έχει τρεις εκδόσεις που διαφέρουν μεταξύ τους ως προς το μήκος, τα χαρακτηριστικά κωδικού και την ημερομηνία ενεργοποίησης: μία από τις εκδόσεις ενεργοποιήθηκε την 26η ημέρα κάθε μήνα.

Η ουσία του έργου του Τσερνόμπιλ είναι απλή: έγραψε τον κώδικά του στη μνήμη του λειτουργικού συστήματος, παρέκοψε την εκκίνηση αρχείων με την επέκταση .exe και στη συνέχεια έγραψε το αντίγραφό του σε αυτά. Ο ιός δεν εκδηλώθηκε με κανέναν τρόπο πριν από την καθορισμένη ημερομηνία και ως εκ τούτου έμοιαζε με ωρολογιακή βόμβα. Στις 26 Απριλίου, ενεργοποιήθηκε, διαγράφοντας όλα τα δεδομένα στους σκληρούς δίσκους και καταστρέφοντας περαιτέρω το Flash BIOS. Ήταν αδύνατη η επαναφορά των αρχείων, οπότε η ζημιά που προκλήθηκε από τον ιό αποδείχθηκε κολοσσιαία.

Συνέπειες του «Τσέρνομπιλ»

Ο Chen Yinghao μόλυνα αρχικά τους υπολογιστές στο πανεπιστήμιό του, μετά τον οποίο ο ιός εισήλθε στο δίκτυο και τελικά κατέληξε στους σκληρούς δίσκους εκατοντάδων χιλιάδων ανθρώπων. Η επιδημία του ιού σάρωσε την Κίνα, την Αυστραλία, την Αυστρία, την Αγγλία, το Ισραήλ και πολλές άλλες χώρες.

Οι Ρώσοι δεν υπέφεραν πολύ από το Τσερνομπίλ, αλλά υπήρχαν ίχνη αυτού του ιού στη χώρα μας.

Σύμφωνα με τα μέσα δεδομένα, περισσότεροι από 500 χιλιάδες υπολογιστές παγκοσμίως επηρεάστηκαν από το Τσερνόμπιλ και πολλοί από αυτούς αποθήκευαν σημαντικά δεδομένα, έτσι οι άνθρωποι υπέστησαν μεγάλες απώλειες λόγω των ενεργειών του Chen Yinghao. Ταυτόχρονα, ο ίδιος ο φοιτητής δεν φανταζόταν καθόλου ότι ο ιός του θα γινόταν τόσο διαδεδομένος, επειδή σχεδίαζε να πραγματοποιήσει ένα «πείραμα» μόνο εντός του Πανεπιστημίου Datong.

Οι ειδικοί δεν χρειάστηκε να αναζητήσουν τον συγγραφέα ενός τόσο σοβαρού και τρομερού ιού. Ο Yinghao συνειδητοποίησε ότι με την πάροδο του χρόνου σίγουρα θα ταυτιζόταν και ως εκ τούτου, αποφασίζοντας να μην επιδεινώσει την κατάσταση, παραδόθηκε και μάλιστα ζήτησε δημόσια συγγνώμη από τους ανθρώπους που υπέφεραν ως αποτέλεσμα της μόλυνσης των υπολογιστών με τον ιό του. Για αυτό έλαβε αυστηρή επίπληξη στο πανεπιστήμιό του.

CIH, ή "Τσέρνομπιλ"(Virus.Win9x.CIH) είναι ένας ιός υπολογιστή που γράφτηκε από τον Ταϊβανό φοιτητή Chen Ying Hao τον Ιούνιο του 1998. Είναι ένας μόνιμος ιός που λειτουργεί μόνο κάτω από λειτουργικό σύστημα Windows 95/98.

Ιστορία

Στις 26 Απριλίου 1999, στην επέτειο του ατυχήματος του Τσερνομπίλ, ο ιός ενεργοποιήθηκε και κατέστρεψε δεδομένα στους σκληρούς δίσκους των μολυσμένων υπολογιστών. Σε ορισμένους υπολογιστές, τα περιεχόμενα των τσιπ του BIOS έχουν καταστραφεί. Ήταν η σύμπτωση της ημερομηνίας ενεργοποίησης του ιού και της ημερομηνίας του ατυχήματος στον πυρηνικό σταθμό του Τσερνομπίλ που έδωσε στον ιό το δεύτερο όνομα «Τσέρνομπιλ», που μεταξύ των ανθρώπων είναι πιο διάσημο από το «CIH».

Σύμφωνα με διάφορους υπολογισμούς, περίπου μισό εκατομμύριο προσωπικοί υπολογιστές σε όλο τον κόσμο υπέφεραν από τον ιό.

Σύμφωνα με το The Register, στις 20 Σεπτεμβρίου 2000, οι αρχές της Ταϊβάν συνέλαβαν τον δημιουργό του διάσημου ιού υπολογιστών.

Ονομα

Ο ιός CIH ονομάστηκε «Τσέρνομπιλ». Υπάρχουν δύο πιθανές εκδοχές για την προέλευση του ονόματος:

1. Ο ιός έχει προκαλέσει μεγάλη ζημιά σε πολλούς υπολογιστές σε όλο τον κόσμο.
2. Η ημερομηνία λειτουργίας της «λογικής βόμβας» που τοποθέτησε ο συγγραφέας συμπίπτει με την ημερομηνία του ατυχήματος στον πυρηνικό σταθμό του Τσερνομπίλ στις 26 Απριλίου.

Διάδοση

Ο πρώτος λειτουργικός ιός ανακαλύφθηκε στην Ταϊβάν τον Ιούνιο του 1998. Ο συγγραφέας του ιού μόλυνε υπολογιστές στο πανεπιστήμιό του. Την επόμενη εβδομάδα, ιογενείς επιδημίες αναφέρθηκαν στην Αυστρία, την Αυστραλία, το Ισραήλ και το Ηνωμένο Βασίλειο. Αργότερα, ίχνη του ιού βρέθηκαν σε πολλές άλλες χώρες, συμπεριλαμβανομένης της Ρωσίας. Μόλυνση πολλών αμερικανικών διακομιστών ιστού που διανέμουν παιχνίδια στον υπολογιστή, προκάλεσε μια παγκόσμια επιδημία ιών που ξεκίνησε στις 26 Απριλίου 1999. Σε μισό εκατομμύριο υπολογιστές, λειτούργησε μια «λογική βόμβα», οι πληροφορίες για τους σκληρούς δίσκους καταστράφηκαν και τα δεδομένα στα τσιπ του BIOS υπέστησαν ζημιές.

Αρχές εργασίας

Όταν εκκινείται ένα μολυσμένο αρχείο, ο ιός εγγράφει τον κώδικά του στη μνήμη των Windows, παρεμποδίζοντας την εκκίνηση αρχείων EXE και γράφοντας κακόβουλο κώδικα σε αυτά. Ανάλογα με την τρέχουσα ημερομηνία, ο ιός μπορεί να καταστρέψει τα δεδομένα στο Flash BIOS και στους σκληρούς δίσκους του υπολογιστή.

Συντάκτης ιών

Ο Chen Ing Hau γεννήθηκε στις 25 Αυγούστου 1975 στην Ταϊβάν.
Ο Chen έγραψε το CIH ενώ σπούδαζε στο Πανεπιστήμιο Tatung στην Ταϊπέι. Όταν δημιούργησε τον ιό, έλαβε αυστηρή επίπληξη από το πανεπιστήμιο.
Όταν έμαθε ότι ο ιός είχε διαδοθεί, έγινε νευρικός. Μερικοί από τους συμμαθητές του τον παρότρυναν να μην παραδεχτεί ότι δημιούργησε τον ιό, αλλά ο ίδιος ήταν βέβαιος ότι, εάν δοθεί αρκετός χρόνος, οι ειδικοί ασφαλείας θα μπορούσαν να το καταλάβουν. Ως εκ τούτου, ακόμη και πριν την αποφοίτηση, έγραψε μια επίσημη συγγνώμη στο Διαδίκτυο, στην οποία ζήτησε δημόσια συγχώρεση από τον λαό της Κίνας, του οποίου οι υπολογιστές υπέστησαν ζημιές. Λόγω της στρατιωτικής θητείας, ο Τσεν πήγε να υπηρετήσει. Σύμφωνα με το νόμο της Ταϊβάν εκείνη την εποχή, δεν παραβίασε κανέναν νόμο και δεν διώχθηκε ποτέ για τη δημιουργία αυτού του ιού.
Ο Chen αυτή τη στιγμή εργάζεται στη Gigabyte.

Δεδομένα

• Το "Chernobyl" λειτουργεί μόνο με Windows95/98.
• Ο ιός έχει ένα αρκετά μικρό μέγεθος περίπου 1 kB.
• Ο συγγραφέας του ιού έστειλε επίσης τον πηγαίο κώδικα του ιού.
• Τον Μάιο του 2006, ένας φοιτητής ενός από τα τεχνικά πανεπιστήμια στο Voronezh, ο Sergey Kazachkov, καταδικάστηκε σε 2 χρόνια φυλάκιση βάσει του άρθρου 273 του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας για διάδοση ιών υπολογιστών στο Διαδίκτυο, συμπεριλαμβανομένου του CIH

Αντιγραφή-επικόλληση και ελαφρά επεξεργασία από τη wikipedia