チェルノブイリウイルスは、長年にわたって賛辞を集めてきました。 コンピュータウイルス「チェルノブイリ」ウイルスチェルノブイリの説明とは
チェルノブイリは危険なコンピュータウイルスです
ウイルスは、コンピュータで作業しているユーザーの健康に影響を与えない、人によって書かれた単なるプログラムです。 ウイルスが脳を殺し、モニター画面の色やその他の効果によって人を狂わせるという物語や噂は根拠がありません。 何百ものウイルスがコンピューターに侵入します。これは、まず第一に、ユーザーのコンピューターの非識字、情報キャリア(ディスク、フラッシュドライブ)の使用不能が原因で発生します。
-Windows 95、Windows 98に感染するメモリ常駐型ウイルスを指します。ウイルスのサイズはごくわずかで、わずか1KBです。 ウイルスは自己紹介し、ディスクからすべてのデータを消去し、ファイルへのメインコマンドを傍受しながら、そのコードをプログラムメモリに入力します。 次に、感染したファイルに自分自身のコピーを書き込みます。 メモリの削除が完了すると、ハードドライブから情報が消去され、すべてのコンピュータディスクからディスク情報への道が開かれます。
ウイルスの作者は、1998年にウイルスを作成して生き返らせた台湾の学生Chen YingHaoです。 現在までに、ウイルスの3つの著作権コピーがあります。 それらは、長いテキスト行と、Windowsプログラムの実装と敗北の時間によって互いに異なります。 コンピューターの最初の大規模な破壊は、26.04のチェルノブイリの記念日と一致しました。 1999年、ウイルスの活性化とチェルノブイリ爆発の日付の一致により、ウイルスに名前が付けられました。 ウイルスの作者が研究した台湾の大学から、彼はすぐに国中を移動し、その後、流行はイスラエル、オーストリア、イギリス、オーストラリアに広がり、しばらくするとロシアにも到達しました。 未知のウイルスによるプログラムの敗北、そしてそのような大規模なものでさえ、50万台のパソコンが影響を受けた一方で、大衆を驚かせました。 主に、パソコンのBIOSチップが被害を受けました。
世界で最も危険な10のウイルスの1つを知ることは興味深いことです。 その作者は、彼の発案によって引き起こされた害の規模について知ったとき、公に謝罪しました。 彼が大学の範囲内で教育プロセスを混乱させるだけだった大学のジョークは、彼に悪名をもたらしました。 しかし、国の法律によれば、学生は法律に違反せず、有罪判決を受けませんでした。
そして最も重要なことは、ウイルスは年に1回トリガーされ、4月26日に影響を受けるシステムの起動によって引き起こされ、作業の最後に常にメモリに残り、他のプログラムに感染し、 PCの所有者。 ウイルスを削除することは非常に困難です。削除後、多くのファイルやドキュメントが失われます。 良いアドバイス-自分でコンピュータからウイルスを除去しないでください。専門家に連絡してください。これは、コンピュータがその強さを更新するのを助けるために、できるだけ多くのファイルを保存するチャンスです。 マルウェアの拡散能力は、ユーザーの間でパニックを広げています。 ウイルスの除去と治療への有能なアプローチだけが、ユーザーを不便から解放します。
「チェルノブイリ」としても知られています。 これは、Windows95 / 98でのみ機能し、PEファイルに感染するメモリ常駐型ウイルスです。
(ポータブル実行可能)。 それはかなり短いです-約1Kb。 だった
1998年6月に台湾で「ライブ」を発見-ウイルスに感染した作者
当時彼(ウイルスの作者)がいた地元の大学のコンピューター
訓練されました。 しばらくすると、感染したファイルは(偶然?)
地元のインターネット会議に送られ、ウイルスは出て行った
台湾:次の週に、ウイルスの発生が
オーストリア、オーストラリア、イスラエル、英国。 その後、ウイルスが発見され、
ロシアを含む他のいくつかの国。
約1か月後、感染したファイルがいくつかの場所で見つかりました
ゲームソフトウェアを配布するアメリカのWebサーバー。 この事実、
どうやら、そしてその後の世界的なウイルスの流行の原因でした。 26
1999年4月(ウイルスの出現から約1年後)は機能しました
そのコードに埋め込まれた「論理爆弾」。 様々な見積もりによると、この日
世界中で、約50万台のコンピューターが影響を受けました。
ハードディスク上のデータが破壊され、一部のプラスではデータが破損しています
マザーボード上のBIOSチップの内容。 この事件は現実のものになりました
コンピュータの災害-ウイルスの流行とその結果
それはそれほど大規模ではなく、そのような損失をもたらさなかった。
どうやら、1)ウイルスがコンピュータに本当の脅威をもたらしたという理由で
世界中で2)ウイルスがトリガーされた日付(4月26日)は日付と一致します
チェルノブイリ原子力発電所での事故、ウイルスは2番目になりました
名前-「チェルノブイリ」(チェルノブイリ)。
ウイルスの作者は、おそらくチェルノブイリの悲劇を
彼のウイルスと「爆弾」の日付を4月26日に設定しました
別の理由:彼が最初のバージョンをリリースしたのは1998年4月26日でした
彼らのウイルス(ちなみに、台湾から出ることはありませんでした)-26
4月、CIHウイルスは同様の方法で「誕生日」を祝います。
ウイルスはどのように機能しますか
感染したファイルが起動されると、ウイルスはそのコードをWindowsメモリにインストールします。
ファイルアクセスを傍受し、
それらのコピー。 エラーが含まれ、場合によってはシステムがハングします
感染したファイルを実行するとき。 現在の日付に応じて、フラッシュは消去されます
BIOSとディスクの内容。
フラッシュBIOSへの書き込みは、対応するタイプのマザーボードでのみ可能です。
ボードと対応するスイッチの有効化設定。 この
スイッチは通常読み取り専用に設定されていますが、これは
すべてのコンピューターメーカーに当てはまるわけではありません。 申し訳ありませんがフラッシュBIOS
一部の最新のマザーボードでは保護できません
スイッチ:それらのいくつかは、任意の位置でフラッシュへの書き込みを許可します
スイッチ、その他の場合、フラッシュ書き込み保護はソフトウェアによってオーバーライドできます。
フラッシュメモリの消去に成功した後、ウイルスは別のウイルスに移動します
破壊的な手順:インストールされているすべての情報を消去します
ハードドライブ。 この場合、ウイルスはディスク上のデータへの直接アクセスを使用し、
したがって、BIOSに組み込まれている標準のアンチウイルス保護をバイパスします。
ブートセクタに書き込みます。
ウイルスには3つの主要な(「作成者」)バージョンがあります。 それらは十分に似ています
お互いに、さまざまなコードの細部だけが異なります
サブルーチン。 ウイルスのバージョンには、長さ、テキスト行、日付が異なります
ディスクとフラッシュBIOSの消去手順をトリガーします。
長さテキストトリガーの日付検出された「ライブ」
1003 CIH 1.2 TTIT 4月26日はい
1010 CIH 1.3 TTIT 4月26日いいえ
1019 CIH 1.4 TATUNG26毎月はい-多くの国で
技術的な詳細
ファイルに感染すると、ウイルスはファイルの穴(未使用のデータのブロック)を探し、
それらにコードを書き込みます。 そのような「穴」の存在は、構造によるものです
PEファイル:ファイル内の各セクションの位置が特定のセクションに揃えられます
PEヘッダーで指定された値、ほとんどの場合、最後の間
前のセクションと次のセクションの先頭には、一定量のバイトがあります。
プログラムでは使用されません。 ウイルスはファイルを検索してそのような未使用のものを探します
ブロックし、コードを書き込み、必要な値だけ増やします
変更されたセクションのサイズ。 これにより、感染したファイルのサイズが大きくなることはありません。
セクションの終わりに十分なサイズの「穴」がある場合、
ウイルスはそのコードを1つのブロックに書き込みます。 そのような「穴」がなければ、
ウイルスはコードをブロックに分割し、さまざまなセクションの最後に書き込みます
ファイル。 したがって、感染したファイルのウイルスコードを検出することができます
単一のコードブロックとしても、いくつかの無関係なブロックとしても。
このウイルスは、PEヘッダーで未使用のデータブロックも探します。 最後の場合
ヘッダーに少なくとも184バイトの「穴」があり、ウイルスがそこに書き込みます
起動手順。 次に、ウイルスはファイルの開始アドレスを変更します。
スタートアッププロシージャのアドレスを書き込みます。 このテクニックの結果として
ファイル構造はかなり非標準になります:開始のアドレス
プログラムプロシージャは、ファイルのどのセクションも指していませんが、外部を指している
ロード可能なモジュール-ファイルヘッダー内。 ただし、Windows95は支払いません
そのような「奇妙な」ファイルに注意を払い、ファイルヘッダーをメモリにロードしてから
すべてのセクションとヘッダーで指定されたアドレスに制御を移します-から
PEヘッダーのウイルス起動手順。
制御を取得した後、ウイルスの起動手順はメモリのブロックを割り当てます
VMMはPageAllocateを呼び出し、そのコードをそこにコピーしてから、アドレスを決定します
残りのウイルスコードブロック(セクションの最後にあります)とそれらを追加します
スタートアッププロシージャのコードに。 次に、ウイルスはIFS APIを傍受し、
制御をホストプログラムに戻します。
オペレーティングシステムの観点から、この手順はで最も興味深いです
ウイルス:ウイルスがそのコードを新しいメモリブロックにコピーした後、
そこで制御を渡し、ウイルスコードをRing0アプリケーションとして実行し、
ウイルスはAFSAPIを傍受することができます(これは、次のようなプログラムでは不可能です。
Ring3で実行)。
IFS APIインターセプターは、ファイルを開くという1つの関数のみを処理します。
EXE拡張子の付いたファイルを開くと、ウイルスはその内部をチェックします
フォーマットして、そのコードをファイルに書き込みます。 感染後、ウイルスはチェックします
システム日付とフラッシュBIOSおよびディスクセクターを消去するための手順を呼び出します(上記を参照)。
フラッシュBIOSを消去すると、ウイルスは対応するポートを使用します
読み取り/書き込み、ディスクセクターを消去するとき、ウイルスはVxD関数を呼び出します
ディスクIOS_SendCommandへの直接アクセス。
ウイルスの既知の亜種
ウイルスの作者は、感染したファイルのコピーを「自由に」リリースしただけでなく、
ウイルスのソースアセンブリテキストを送信しました。 これは、これらが
テキストは修正され、編集され、すぐに登場しました
長さが異なるウイルスの変更ですが、機能的には
すべてが彼らの「親」に対応していました。 ウイルスの一部の亜種では、
「爆弾」がトリガーされた日付が変更されたか、このセクションがまったく呼び出されませんでした。
また、日にトリガーされるウイルスの「元の」バージョンについても知られています
26日以外[4月]。 この事実は、日付をチェックするという事実によって説明されます
ウイルスコードは2つの定数で発生します。 当然、するために
任意の日にタイマー「爆弾」を設定します。変更するだけで十分です
ウイルスコードの2バイト。
約50万台のコンピューターに感染した最初のグローバルウイルスが10周年を迎えます
チェルノブイリとも呼ばれる最初の世界的なCIHウイルスは、10周年を迎えます。
「1999年4月26日、世界的なコンピューターの大惨事が発生しました。さまざまな情報源によると、世界中で約50万台のコンピューターが影響を受けました。これまでにないほど広範囲にウイルスが発生し、そのような世界的な損失が発生しました」とEugeneAseev氏は振り返ります。 、KasperskyLabのウイルスアナリスト。
彼によると、その後、ハードドライブ上のデータが破壊され、BIOSチップの内容が一部のマシンのマザーボードで損傷したとのことです。
「このウイルスは、ユーザーによるコンピューターの脅威の認識におけるターニングポイントとして機能しました。これは、感染したマシンのデータを損傷しただけでなく、一部のコンピューターを完全に無効にした最初のウイルスでした。BIOSを書き換えることができなかった場合、コンピュータはゴミの山に投げ込まれた可能性があります」と、DoctorWebのウイルス対策開発および研究部門の責任者であるSergeiKomarov氏は述べています。
CIHウイルスの名前は、その作成者である台湾大学陳盈豪の学生の略称に由来しています。 その2番目の名前である「チェルノブイリ」(チェルノブイリ)は、チェルノブイリ原子力発電所の災害の日である4月26日にウイルスが活性化されたという事実から登場しました。
「ウイルスの作者は、マシンに侵入しても有害な行動を起こさないようにした。彼は毎年4月26日に待っていた(この日、チェルノブイリの原子力発電所が爆発したので、このウイルスと呼ばれる人もいる。 「チェルノブイリ」)そしてそれはうまくいった」とドクターウェブのコマロフは言う。
KasperskyLabのEvgenyAseevは、チェルノブイリウイルスが1998年6月に台湾で最初に検出されたことを思い出させます。ウイルスの作者であるChen Ying-Hauは、地元の大学のコンピューターに感染しました。 しばらくして、CIHは台湾を脱出しました。オーストリア、オーストラリア、イスラエル、英国は、この流行の影響を受けた最初の国の1つでした。 その後、悪意のあるコードはロシアを含む他のいくつかの国で登録されました。
ゲームプログラムを配布するいくつかのアメリカのWebサーバーに感染したファイルが出現し、世界的なウイルスの発生の原因となったと考えられています。
台湾企業からの正式な苦情がなかったため、陳は1999年4月に罰を免れた。 さらに、「チェルノブイリ」は彼を有名にしました。ウイルスを書いたおかげで、ChenYing-Hauは大手コンピューター会社で名誉ある仕事に就きました。
十年後。 現代の脅威。
DoctorWebのウイルス対策開発および研究部門の責任者であるSergeiKomarovによると、その後、特定の日付への付着という点ではチェルノブイリに類似したウイルスが出現しましたが、コンピューターにそのような害を及ぼすことはありませんでした。
「これは、現代のマルウェアがコンピューターを無効にする意味がないという事実によって説明される可能性が最も高いです。彼らはリソースとして重要であり、彼らはそれに取り組み、彼らの存在を隠し、サイバー犯罪者に収入をもたらします」とコマロフは信じています。 Chen Ying-Hauのようなコンピューター犯罪者が、自分自身を主張して有名になるためにウイルスを作成した時期です。現代のサイバー犯罪コミュニティの行為は、単純なフーリガニズムとは見なされません。長年にわたって、仮想詐欺師はスキルを磨き、追求してきました。最もありふれた目標-濃縮。犯罪的な方法で非常に深刻なお金を稼ぐ」-KasperskyLabのEvgenyAseevは確認します。
彼によると、チェルノブイリウイルスの行動計画は2つのシナリオを想定していました。せいぜい、コンピュータのメモリからすべての情報を削除し、最悪の場合、完全に無効にすることです。 現代の脅威の状況は劇的に変化し、その多様性が際立っています。「ルートキット」、ソーシャルネットワーク、オンラインゲーム、「ボットネット」は、コンピューターの脅威の完全なリストからはほど遠い領域とテクノロジーです。 「サイバー詐欺師はますます予測不可能で洗練された行動を取っています」とAseev氏は言います。彼によると、今日、悪意のあるプログラムの「本番」が配信されており、「KasperskyLab」のアナリストは毎日17,000を超える新しいウイルスを検出しています。 。
リーダーは、ユーザーの個人データを盗み、感染したコンピューターの所有者のクレジットカード番号を「所有者」に送信する「トロイの木馬」です。
インターネット企業は、新しいサービス、広告、および関連サービスを促進するために、ソーシャルネットワークの可能性を積極的に活用しています。 昨年、仮想詐欺師にとって最も「ちょっとしたこと」の1つであるOdnoklassnikiとVkontakteは、数多くの攻撃の震源地にありました。
オンラインゲーム市場は非常に速いペースで発展しています。 オンライン決済および銀行システムのユーザーを攻撃するトロイの木馬に取って代わったゲーム型トロイの木馬は、ファイル感染メカニズムやリムーバブルドライブでの配布などの新しいテクノロジーを採用してトップに躍り出ました。 同じ「トロイの木馬」が「ボットネット」の編成に使用されました(ボットネットは感染したコンピューターのネットワークです)。
数年前にウイルス対策会社の従業員の語彙にのみ見られた「ボットネット」という言葉は、最近ほとんどすべての人に知られるようになりました。今日、「ボットネット」はスパム、DDoS攻撃、および新しいウイルスの主な発生源です。 「Aseevノート。
潜在的な脅威から身を守るために、専門家はユーザーが注意を払い、非常に注意することを推奨しています。
「見知らぬ連絡先から送信された疑わしいリンクを開いたり、「友達」から受け取った情報を確認したり、単純なパスワードを使用したり、信頼できるリソース以外の場所にパスワードを入力したりしないでください。また、オペレーティングシステムとウイルス対策ソフトウェアのアップデートを定期的にインストールしてください」とアドバイスします。ウイルスアナリスト「KasperskyLabs」EvgenyAseev。
「RIANovosti」、2009年4月27日
ロシア連邦通信マスメディア省の公式ウェブサイトの「メディア監視」セクションに掲載されているすべての資料を、各出版物に指定されている著作権所有者を指定せずに使用することは許可されていません。
このコンピュータウイルスの正式名称はCIHまたはVirus.Win9x.CIHです。 ""有名な悲劇の記念日である1999年4月26日に発足したことから名付けられました。 ウイルスの作成者である台湾の陳盈豪の学生は、1998年6月に彼のプログラムを作成しましたが、1999年4月26日(チェルノブイリの悲劇の記念日)までその開始を待ちました。一致。
ウイルスの名前の由来の2番目のバージョンは、コンピュータの多くのオペレーティングシステムを破壊し、何らかの形で大災害になったことです。
このウイルスはWindows95 / 98でのみ機能します。この記事を書いている時点では、どちらのシステムも広く普及していました。 3つのバージョンがあり、長さ、コードの機能、およびアクティブ化の日付が異なります。バージョンの1つは、毎月26日にアクティブ化されました。
「チェルノブイリ」の作業の本質は単純です。彼は自分のコードをOSメモリに書き込み、拡張子が.exeのファイルの起動を傍受し、コピーをそれらに書き込みました。 ウイルスは指定された日付までまったく現れなかったため、時限爆弾のように見えました。 4月26日、ハードドライブ上のすべてのデータがアクティブ化されて消去され、FlashBIOSが破損しました。 ファイルを回復することは不可能だったので、ウイルスによって引き起こされた損害は甚大でした。
「チェルノブイリ」の結果
Chen Yinghaoは大学で最初にコンピューターに感染し、その後ウイルスがネットワークに侵入し、最終的には数十万人のハードドライブに感染しました。 ウイルスの流行は、中国、オーストラリア、オーストリア、イギリス、イスラエル、その他多くの国に広がっています。
ロシア人は「チェルノブイリ」にそれほど苦しんでいませんでしたが、私たちの国にもこのウイルスの痕跡がありました。
平均的なデータによると、世界中の50万台以上のコンピューターが「チェルノブイリ」によって被害を受け、さらに多くのコンピューターが重要なデータを保存していたため、チェン・インハオの行動により人々は大きな損失を被りました。 同時に、大同大学の枠内でのみ「実験」を行うことを計画していたため、学生自身は自分のウイルスがこれほど蔓延することをまったく期待していなかった。
専門家は、そのような深刻で恐ろしいウイルスの作者を探す必要はありませんでした。 Yinghaoは、時間の経過とともに確実に理解されることを認識し、状況を悪化させないことを決定し、コンピューターがウイルスに感染した結果として苦しんだ人々に告白し、公に謝罪しました。 このため、彼は大学で深刻な叱責を受けました。
CIH、 また 「チェルノブイリ」(Virus.Win9x.CIH)は、1998年6月に台湾の学生Chen YingHaoによって作成されたコンピュータウイルスです。 これは、Windows95 / 98オペレーティングシステムでのみ実行されるメモリ常駐型ウイルスです。
話
1999年4月26日、チェルノブイリ事故の記念日に、ウイルスは感染したコンピューターのハードドライブ上のデータを強化して破壊しました。 一部のコンピュータでは、BIOSチップの内容が破損しています。 ウイルスの活性化の日付とチェルノブイリ事故の日付の一致が、ウイルスに「CIH」よりも人々の間でさらによく知られている「チェルノブイリ」という2番目の名前を付けました。
さまざまな推定によると、このウイルスは世界中で約50万台のパーソナルコンピュータに影響を及ぼしました。
The Registerによると、2000年9月20日、台湾当局は有名なコンピュータウイルスの作成者を逮捕しました。
名前
CIHウイルスは「チェルノブイリ」と名付けられました。 名前の由来には2つのバージョンがあります。
- このウイルスは、世界中の多くのコンピューターに甚大な被害をもたらしました。
- 著者が作成した「論理爆弾」の日付は、4月26日のチェルノブイリ原子力発電所での事故の日付と一致しています。
広がる
最初に機能するウイルスは、1998年6月に台湾で発見されました。彼の大学では、ウイルスに感染したコンピューターの作成者です。 翌週、オーストリア、オーストラリア、イスラエル、英国でウイルスの流行が報告されました。 その後、ロシアを含む他のいくつかの国でウイルスの痕跡が見つかりました。 コンピュータゲームを配布するいくつかの米国のWebサーバーの感染は、1999年4月26日に始まった世界的なウイルスの発生を引き起こしました。 「論理爆弾」が50万台のコンピューターで発生し、ハードドライブ上の情報が破壊され、BIOSチップ上のデータが損傷しました。
作業原則
感染したファイルが起動されると、ウイルスはそのコードをWindowsメモリに書き込み、EXEファイルの起動を傍受し、悪意のあるコードを書き込みます。 現在の日付によっては、ウイルスはFlashBIOSおよびコンピュータのハードドライブ上のデータに損傷を与える可能性があります。
ウイルス作者
陳盈豪、1975年8月25日、台湾生まれ。
チェンは台北の大同大学で勉強しながらCIHを書きました。 彼がウイルスを作成したとき、彼は大学から厳しい叱責を受けました。
ウイルスが蔓延したことを知ると、彼は緊張した。 彼のクラスメートの何人かは、ウイルスの作成を認めないように強くアドバイスしましたが、彼自身は、十分な時間があれば、セキュリティの専門家がそれを理解できると確信していました。 そのため、大学を卒業する前から、インターネット上で公式の謝罪を書き、コンピューターが損傷した中国人に公に謝罪した。 彼の兵役のために、陳は仕えに行きました。 当時の台湾の法律によると、彼はいかなる法律にも違反しておらず、このウイルスを作成したとして起訴されることはありませんでした。
チェンは現在ギガバイトで働いています。
事実
- 「チェルノブイリ」はWindows95 / 98でのみ動作します。
- ウイルスのサイズは約1kBとかなり小さいです。
- ウイルスの作者もウイルスのソースコードを送信しています。
- 2006年5月、ヴォロネジの工科大学の1つに在籍するセルゲイ・カザチコフは、CIHを含むインターネット上でコンピューターウイルスを広めたとして、ロシア連邦刑法第273条に基づいて執行猶予付きの2年の刑を言い渡されました。
ウィキペディアから少しコピーして編集しました
