Comments 28
а первую копию таблицы FAT (если ее размер превышал 1 Гбайт) восстановив из второй копии
Вообще-то 1 мегабайт.А реально - ещё меньше.
Затирание данных, порча железа... ничего себе " доказать полную неэффективность антивирусов". Ну потер бы системные файлы, было бы достаточно наглядно, нет надо юзерам пакостить. Король отмазок прямо.
Понедельник был тяжёлый.
В универе тогда не заработало минимум половина парка компьютеров. А многие админы научились шить биос горячей заменой. И на материнках с тех пор начали ставить по 2 биоса.
А те кто не включил компьютер в тот день , тот ничего не заметил
но в конечном итоге в полицию Тайваня не поступило ни одного заявления от жертв
вот это я называю хэппиенд!
помню что на купленом диске с Dune 2000 им был заражён исталятор DIrectX. обнаружил что подцепил вирус как то случаной - qemm начал странно работать чтоли...
Чэнь Инхао успешно работает в компании Gigabyte Technology Co., Ltd. — тайваньской корпорации по производству материнских плат, видеокарт и другой компьютерной техники. О своем вирусописательском прошлом он предпочитает не вспоминать.
Ага, а потом внезапно видеокарты взламывают хакеров, укравших данные у разработчиков железа.
А исходник где?
А для чего в заголовке про 23 года? Автор до сих пор отбивается от атак вируса?
Ой, сейчас объясню. Дело в том, что если из даты 26 апреля 2022 года вычесть дату 26 апреля 1999 года, получится 23 года. Это называется "памятная дата". Данным термином обозначают день календаря, соответствующий годовщине какого-нибудь события. По сложившейся традиции памятные даты принято описывть так: "столько-то лет такому-то событию". На всякий случай: событие - это какое-либо значительное явление, факт общественной жизни. Так вот в нашем случае заголовок "23 года эпидемии Win.CIH" означает, что с момента события - эпидемии Win.CIH - прошло 23 года.
Если что-то осталось непонятным, пожалуйста, спрашивайте, не стесняйтесь!
Титулка с чёрной полосой сверху - это задумка автора или недокроп?
У меня это произошло в полночь с 25 на 26 апреля 1999 года - проезжая очередной вираж кармагеддона с параллельной давкой ии, внезапно вылетает синий экран. Перезагрузка ничего не дала. Где-то к трём часам ночи становиться понятно, что убит фат файловой системы. А у меня на диске было три готовые курсовые работы, которые мои друзья временно дали мне похранить на моём винте - у них компа небыло. 26 апреля весь день мы бегали по всему Омску с этим витном, с желанием восстановить файлы, но так восстановить диск и не смогли. Под вечер диск был отформатирован. Ребятам пришлось снова в ускоренном режиме решать свои курсовые работы.
Да ещё - в фате файловой системы было написано "чернобыль" на русском в кодировке koi8r. Получается что Чэнь Инхао знает русский, или это не он
в фате файловой системы было написано "чернобыль" на русском в кодировке koi8r. Получается что Чэнь Инхао знает русский, или это не он
Вирус достаточно простой, декомпилируется по щелчку пальцев, особенно если ловить его на болванку, так что у него была хренова гора вариаций, наляпанных энтузиастами. В том числе и русскоязычными.
о, земляк ;-) я тоже в 1999 заканчивал ОмГТУ, помню, друзья первые дипломные делали уже в автокаде. Необычно было.
эх....жаркие были тогда две недели беготни по знакомым, и знакомым знакомых для восстановления систем...
А я тогда спаял-таки программатор... И, не скрою, заработал на этом вире́ денег. Ну а восстанавливать инфу я умел и до. Неделю где-то я работал по 14-16 часов в сутки, потом ажиотаж начал спадать. В зеркало глянул как-то - страшная картина :(
О известности CIH или сопли на тему хакерства, вирусной сцены и журналистах
В плоскости разработки компьютерных вирусов, так же как и в плоскости "хакерства", лучшие те, о которых никто никогда не узнает. Потому, что известность в этом случае, является индикатором совершенных ошибок. Потому, что чем выше экспертиза автора, тем ниже вероятность обнаружить следы его работы.
Как справедливо отметили выше, cih с технологической точки зрения представляет из себя тот пример кода, проанализировав который, потом сильно жалеешь о потраченном на это времени.
Просто представьте на минуту, что автор этого мусора, потратил часть своей жизни не та то, чтобы удивить других специалистов своей мыслью ярко выраженной в коде, но потратил ее на то, чтобы написать примитивный код обнуления биоса чужой вычислительной машины. Да еще и в этом коде умудрился наделать ошибок.
Известность CIH, в большинстве случаев продиктована обозрениями в прессе, низкое качество которой в плоскости IT, требовало жареных новостей о взломанных через кофеварку сетях пентагона и тысячах уничтоженных злобными вирусами компьютеров.
На фоне сброшенного биоса никого не волновали новости о очередных достижениях в области полиморфизма, которые, фактически, делали существование инструментов обнаружения подобного ПО невозможным или бесполезным.
98 год, состояние вирусной сцены и ее закат
Достижения вирусной сцены и ее закат
98 год, это закат золотой эры вирусной сцены. Даже тем кто редко вылазил из криокамеры, стало ясно - существование вирусной сцены в рамках привычной модели распространения кода, посредством передачи файлов от одного человека другому - в прошлом. А это в свою очередь перечеркнуло как все наработки в области противодействия обнаружению такого кода в файлах, так и самих средств обнаружения.
А перечеркивать было что. К тому времени, задачи которыми мерялись ее участники, лежали, не много не мало, в плоскости неизлечимости скомпрометированного файла или системы. И подходы к решению этого вопроса были очень интересными.
Полиморфизм
Например подход, который выбирал стратегию когда профилактика скомпроимтированной системы, стоила дороже чем потери от параллельного существования на этой системе чужого кода. Схематично, типичный код вируса того времени, сосоял из двух важных частей: из кода кодировщика/декодировщика, и кода самого вируса. Где первый шифровал/расшифровывал второе. При этом, код кодировщика делали полиморфным. То есть таким, когда от копии к копии, нет совпадений байт в байт. Более того, не просто байт в байт, но алгоритмически они были разными.
Подобные решения, делали невозможным сигнатурный анализ файлов средствами противодействия. Выход из этой ситуации был только один - написание эмулятора, который в процессе анализа кода файла, выполняет его часть в своем эмуляторе позволяя выполнить процесс расшифровки основного кода вируса и уже тогда использовать сигнатуры.
Так вот, прогресс в работе над подобными полиморфными кодировщиками дошел до состояния, когда для анализа одного файла, требовалось не менее 5 минут времени работы на самой прогрессивной машине того времени. Что за сутки позволяло проверить около 300 файлов. Что естественно нельзя было считать приемлемым. В результате чего владелец такой системы, предпочитал мириться с наличием подобного кода, по крайней мере временно.
Пассивные средства противодействия обнаружения
Другим подходом было развитие "пассивных средств" сокрытия следов своей работы. В то время, существовал карт бланш - загрузка с чистой системы (например на дискете) и анализ системы при условии, что подобная загрузка предполагает уверенность - код вируса не может быть активирован. Ведь наша дискета с чистой системой. Так вот удалось разработать такой алгоритм интеграции кода в систему, при котором подобная чистая загрузка ничего показать не могла. Система была чиста. А между тем, стоило загрузиться с нее, как код получал управление.
Никакие средства, в том числе средства мониторинга контрольных сумм файлов системы (AdInf был самым популярным на то время) не могли обнаружить даже подозрения на компрометацию.
OneHalf, CIH, ILoveYou и т.д.
На фоне подобных чудес, такие подделки как OneHalf или ILoveYou, которые были на слуху у околокомьютерной тусовки были ничем неприметным трешем, о которых даже говорить было нечего. Очень простые примитивные решения. Единственной заслугой того же OneHalf было аккумулирование в себе почти всех известных средств сокрытия следов своей работы, которые, на момент его появления были устаревшими уже года два. По тем временам два года это вечность. Ну а CIH это было то, что побоялись бы показывать даже в зачет первой попытки заявить о себе на сцене.
А в чём проблема? Судя по вышеизложенному, этим богам сделать так, чтобы вирус передавался по сети, обходя все защиты и никак себя не обнаруживая — это как два пальца об асфальт.
Дело в том, что когда Вы говорите о сетевом стеке, то Вы говорите о наборе технологий, которые функционируют идентичным образом во всех возможных системах в рамках заявленной спецификации. В силу чего, контроль за корретностью работы сетевого стека, задача в миллион раз более простая, чем задача контроля работы запуска того или иного бинарного кода.
Кроме этого, Вы упускаете еще один важный момент. В случае файла, вы находитесь в ситуации, когда дискредитированная система, обладает всем необходимым для создания файла, содержащего evil code, который будет перенесен руками самого пользователя. И запущен.
В случае же сетевого стека, система должна искать другую систему, которая обладает рядом уязвимостей, используя которые туда можно передать свой код. Что на многие порядки сложнее.
Ну и решающим фактором будет тот, что современные системы, в ситуациях когда вдруг вслпывают узявимости позволяющие осуществлять компрометацию в автоматическом режиме в рамках сетевога стека, получают обновления в течении часов, после обнаружения факта компромитации. Что не исключает самой возможности заражения, но при этом полностью исключает возможность массового распространиения зловреда.
И тут мне стали приходить письма типа «Спасибо вам, я вашей программой восстановила данные, которыне собирала полгода!». Читаешь и чуствуешь — ради этого стоит кодить! Как то вот задало импульс, что когда кодишь и бывают плогие дни — вспоминаешь тех, кому твоя программа спасла деньги, данные, репутацию
А вирусописатели… Никогда не понимал восхищения людьми, которые тайно делают гадости другим.
«Чернобыль». 23 года эпидемии Win.CIH