День CIH.win9x

    image
    Завтра в истории компьютерной безопасности крайне знаменательный день. 26 апреля 1999 года был впервые активирован первый в своем роде вирус. Огромное количество компьютеров подверглось уничтожению данных в BIOS. Не исключаю вероятности, что это может произойти и завтра, если остались еще компьютеры, на которых будет работать вредоносный код.
    CIH был написан тайваньским студентом Чэнем Ин Хао в июне 1998 года. И менее чем через год вирус уже проявил себя тем, что вывел из строя порядка пятисот тысяч компьютеров.

    Впервые вирус действовал таким образом, что приводил к полной неработоспособности компьютеров. Механизм действия вируса был не сложен: после попадания на компьютер, с установленной на нем Windows 95/98, он внедрял свой код в механизм системы по работе с файлами. Далее при открытии PE файлов тело вируса встраивалось в его неиспользуемые блоки. Таким образом, размер зараженного файла не изменялся. Если же места не хватало, то тело вируса дробилось.

    Несмотря на то, что Чэн Ин Хао по сути являлся преступником, он не только не получил за это наказания сразу, а еще и получил работу. Но справедливость восторжествовала, и Чэн Ин Хао в сентябре 2000 был арестован и осужден за ущерб, нанесенный его вирусом CIH. С 2006 года Чэн работает инженером в Gigabyte Technology.

    Но не все так плохо в этой истории. Вирус впервые указал на открытые проблемы в безопасности компьютерных систем в целом. Стоит помнить этот случай лишь для того, чтобы в будущем избежать подобных недостатков при проектировании различных систем и методов обеспечения их безопасности.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 84

      –28
      Предлагаю всем завтра отключить сетевой кабель от компа, а то мало ли что тайваньцы задумали.
        +1
        Насколько я помню, винчих мирно жил и плодился, а срабатывал локально в определенный день, наверно 26го апреля
          +5
          были еще модификации которые активировались 26го числа каждого месяца
            0
            Это, вроде, была последняя. Tatung.
            0
            У меня однажды сработал 26 января.
              –15
              по-моему вы путаете Чих и Чернобыль, это разные вирусы.
                0
                Разве?
                  0
                  по-моему это вы путаете)
                    +2
                    Посмотрел на вируслисте. Действительно, мой косяк
                    +3
                    «26 апреля 1999 года, в годовщину Чернобыльской аварии вирус активизировался и уничтожил данные на жёстких дисках Именно совпадение даты активации вируса и даты аварии на ЧАЭС дали вирусу второе название — «Чернобыль», которое в народе даже более известно, чем «CIH».»
                    © wiki@CIH
                    0
                    Еще его звали Чернобыль, именно из-за 26-е апреля.
                    +35
                    Нет необходимости, достаточно кактуса у порта.
                      –1
                      жёстко :->>
                    +1
                    Теперь практически все материнские платы (если не просто все) имеют защиту от уничтожения биоса в виде резервной неперезаписываемой флешки. Еще были (и возможно есть) платы со специальным джампером запрещающим перезапись биоса
                      –1
                      То что производители отреагировали на проблему действительно радует.
                      Но не все устройства имею защиту. На многих ноутбуках, например прошлого года, биос обновлялся без особых настроек. Судя по характеристикам резервного биоса они так же не имеют. Иногда задумывался об этом, жаль что ситуация с CIH может повториться вновь.
                        +2
                        Не запускайте что попало с повышенными привилегиями и ситуация не повторится.
                          0
                          Возможно, Вы неправильно меня поняли. У меня такой ситуации не было никогда. Я говорю об обычных пользователях, не отличающихся знанием даже простейших правил безопасности. Производители могли бы обезопасить своих клиентов, но увы, делают это далеко не все.
                            –2
                            Возможно я действительно неправильно вас понял. Расшифруйте пожалуйста «без особых настроек» в вашем посте. Какие специальные действия нужно ожидать от человека, желающего обновить биос, чтобы отличить его от malware?
                              0
                              Многие материнские платы имеют возможность запрета записи в BIOS прямо в программе настройки биоса, которая обычно вызывается клавшей «Del» или «F2» при загрузке. Иногда бывает специальная перемычка, которую нужно переставить перед обновлением прошивки биоса. После же обновления нужно опять запретить изменение прошивки. Это я и имел в виду, когда говорил «особые настройки».
                                +1
                                Производители стремятся облегчить пользователю пользование продуктом. Зачем заставлять ковыряться в джамперах или в настройках BIOS (как вы думаете, сколько процентов пользователей туда вообще хоть раз заходили?), когда можно дать возможность прошивать просто так? Таким образом, вопрос защиты производитель железа переложил на производителя ОСи. Я с вами согласен, что железная защита лучше программной, но мы с вами нерепрезентативная выборка. Чем выше защищенность системы, тем сложнее ею пользоваться, а упор делают на то, чтобы пользоваться продуктом могли не только люди с высшим техническим образованием.
                                  0
                                  Моя материнская плата не имеет. Возможно в 1999 году были платы которые это позволяли. Были также настройки типа Anti-Virus Protection (да, реально так и называлась), которые не давали переписывать MBR диска и в итоге вызывали кучу вопросов у пользователей, которые хотели переустановить Windows 98 (инсталлятор зависал на черном экране)
                            0
                            Вы хотите сказать, на Win32 вирусы работают только из под администратора?
                              0
                              Я по поводу вирусов не в курсе, давно их не видел, но перепрошить биос под ограниченной учеткой они врядли смогут.
                                0
                                Думаю, ACL любой NT-системы в данном случае будет бессилен.
                                  0
                                  Думаю, из юзер-спейса любой вирус в данном случае будет бессилен. А установить драйвер — нужны привилегии.
                                    0
                                    Как раз таки вопрос получения привелегий для malware под win32 тривиален.
                                      0
                                      Можно ссылку на рабочий PoC?
                                        0
                                          +1
                                          Вы б ещё в гугл послали. Дайте ссылку на конкретный рабочий эксплоит.
                                          • UFO just landed and posted this here
                                              0
                                              Пока мы не вышлем вам эксплоит (летмигуглфорю, ага), вы будете свято уверены, что win32 безопасна?
                                                –1
                                                Ок, ок, вычеркните из моей фразы слова «с повышенными привелегиями» :)
                                                0
                                                а зачем вам рабочий эксплойт… если обсуждение было про существование таковых вообще?

                                                p.s. неужели хотели использовать аргумент 'самдобейся'? :)
                                                  –1
                                                  Посмотреть, подебажить. Поэкспериментировать, в каких условиях работает, в каких нет. Ну, в любом случае, я уже согласился, что слова «с повышенными привелегиями» были лишними, и их можно опустить.
                                  0
                                  Вы хотите сказать, на Win32 вирусы работают только из под админа? =)
                                    0
                                    Ой, сорри, Хабр висел.
                                0
                                Защиту то имеют, но даже простейшая неудачная прошивка биоса из винды убивает эту защиту вместе со всем биосом (проверено на моей p5k)
                                  0
                                  да, действительно такое было. Скорее всего у Вас стояла windows x64, при этом утилита обновления биоса в то время у асуса не работала корректно с 64-битной адресацией. Всё дело в утилитах производителя самой платы — они, естественно, умеют снимать эту защиту и вирусами не являются.
                                0
                                Помню, как 25-го апреля решил первый раз в жизни проверить свой компьютер Dr.Web-ом, и был неприятно удивлён, обнаружив данную заразу. А ведь не сделай я эту проверку, через 3-4 мой компьютер можно было бы отправить на свалку истории…
                                  0
                                  * 3-4 часа
                                    +4
                                    Ну почему же? Я тогда лаборантил, в те годы, BIOS мы перезаписывали «по живому» — в чистый, уже работающий комп вставляли поражённый BIOS и перепрошивали.
                                      –2
                                      Вообще-то для этого используются программаторы.
                                        +18
                                        Повеселили. Откуда у обычного лаборанта программатор?
                                          +1
                                          оттудаже, откуда сейчас берут обычные студенты — сами спаивают)
                                            +2
                                            А детали откуда? Зарплата у меня была ничтожная, я работал только потому, что доступ к компу был и к интернету.
                                              0
                                              Программатор, это блин одна микросхема и пару тройка сопротивлений с резисторами )))
                                              Ой, как это дорого, просто достать раньше было все не реально
                                                +3
                                                Вы знаете, у меня тогда было время, когда я не ел, денег не было, а вы про одну микросхему с сопротивлениями (кстати, сопротивление и резистор — одно и то же).

                                                Были бы деньги тогда, купил бы еды.
                                                  0
                                                  Ну это уже другой вопрос, а так, не все так бедно жили
                                        +5
                                        И сейчас так делают (если программатора под рукой нет).
                                          +1
                                          Мне не помогло. Не покупайте noname материнки.
                                      +17
                                      А у нас его еще называют «Чернобыль».
                                        –3
                                        Не, вы что, «Чернобыль» — это который индуцирует пламя под процессором, все ж с детства знают :)
                                        –17
                                        >С 2006 года Чэн работает инженером в Gigabyte Technology.

                                        Я-то думал, что у них BIOS такой корявый (на одной материнке DMA отключалось спонтанно, конфликты прерываний возникали — в 21-то веке). Ан вон в чем дело!
                                          +18
                                          А я в 99-м накручивая рост рыбки в каком-то тамагочи, переставлял даты вперед убил материнку на две недели раньше, но это спасло всех родственников — успели подлечиться.
                                            +5
                                            MOPy fish называлась, за очки можно было камушки в аквариум ставить, термометр, кормить и т.д.
                                            –6
                                            У нас в группе есть один парень, который пишет свой трехмерный движок. Не знаю, совпадение или нет, но за пол года у него сгорело 2 видеокарты. Я больше его билды не тестирую :)
                                              +13
                                              Сейчас malware пишут, чтобы ботнеты строить и бабло зарабатывать, деятелей, которые таким образом «доказывают принципиальную возможность», наверное, и не осталось уже.
                                                +1
                                                Почему же не осталось? В 2006 году Яна (Иоанна) Рутковска, недавно упоминавшаяся на Хабре, создала свою уникальную «Blue Pill» с целью доказать саму возможность существования дряни этого вида. Чтобы написать подобное, недостаточно набора «Юный скрипт-кидди».
                                                +12
                                                На материнских платах от GIgabyte была (есть?) реализована функция DualBIOS.
                                                Понятно откуда ножки растут :)
                                                  +1
                                                  а вот и не угадали — как раз в своё время гигабайт «отличился» просто повальным сдыханием биоса — до системы дуал биос они реализовали бэкап оного в последний сектор первого жесткого диска:
                                                  Биос гигабайта «откусывает» (делает операцию CUT) у жесткого диска — туда помещает свою копию и при невозможности загрузиться восстанавливает себя оттуда — то есть можно взять винт (желательно какой-нить не нужный), и самому разместить «образ» биоса в конце жесткого диска при помощи редактора диска и изменить еще какой-то ключ — и подключив к материнке теолретически можно так восстановить умерший биос

                                                  ЗЫ сам пытался таким макаром восстановить одну материнку — правда так и не получилось.
                                                    0
                                                    по-моему, совершенно бестолковая идея привлекать hdd к восстановлению биоса.
                                                      0
                                                      ну по этому им и пришлось припаивать еще одну микросхему…
                                                      0
                                                      Не-а, у меня в шкафу пылится гигабайтовская мать на которой распаяны две микросхемы BIOS.
                                                      Другое дело что через неделю после покупки BIOS в матери скончался, да так, что хваленая система не помогла, менял по гарантии.
                                                      +1
                                                      Я компы крутил на таких матерях в 2000 г.
                                                      Ноги за 10 лет уже выросли давно.
                                                        +1
                                                        С датой я действительно немного ошибся. Есть материнская плата года, наверное, 2002-2003, на которой реализована функция DualBIOS.
                                                      +1
                                                      >Завтра в истории компьютерной безопасности крайне знаменательный день. 26 апреля 1999 года.
                                                      И крайне трагичный в истории человечества. Чернобыльская катастрофа как никак.
                                                        +2
                                                        Чернобылльская АЭС взорвалась на 13 лет раньше чем 26 апреля 1999 года
                                                          +2
                                                          Процитировал неудачно. Имел в виду число и месяц конечно же. И да, я помню, что это был 86 год.
                                                          0
                                                          Ввиду большого количества пострадавших устройств вирус и получил неофициальное название «Чернобыль».
                                                          p.s.: Несколько знакомых администраторов в ту пору лишили части заработной платы за апрель.
                                                            0
                                                            Название он получил скорее за дату, в которую «просыпался».
                                                          0
                                                          Помню случай. Парень устроился эникейщиком в контору. Первый рабочий день, глядь на компе дата не в порядке — 25 апреля. Он трудолюбиво заменил, а компьютер возьми и как зависни. Оказался единственный комп в конторе зараженный этим вирусом и на котором была куча важных файлов.
                                                            0
                                                            Отсюда главный принцип сисадмина: «пока работает, ничего не трогай».
                                                              +2
                                                              Какая-то страшилка… Трудно верится. Прям как «Идет медведь по лесу, видит — машина горит. Сел в нее… и сгорел»
                                                                0
                                                                А откуда он мог знать, что «машина горит»? Ведь инет был признаком статуса выше среднего. А по телеку об этом вирусе сказали или в середине 26-го или на след. день. Уже не помню.
                                                                Я сам узнал о вирусе со слов плачущего друга, который понес винт в сервис и которому заломили цену.
                                                                Кстати, в те времена владельцы прямых рук и нужного софта могли классно нажиться.
                                                                  0
                                                                  Ну они не просто могли, они и наживались.
                                                                  Помню, как сам ходил на поклон в «лечебную» контору с биосом в спичечном коробке 8)
                                                              +2
                                                              Спасибо за скриншот! Снова почувствовал ёканье в области печени от этих букв.
                                                              Отлично помню CIH панику :) Прекрасные времена были.
                                                              Еще раз спасибо :)
                                                                +1
                                                                Статья звучит как «первое убийство показало несовершенность правоохранительной системы»
                                                                  +1
                                                                  Этот вирус не сработает в НТ системах, только в 9х. В НТ дыр таких нету чтобы ему на 0-е кольцо привилегий выйти…

                                                                  У меня есть исходник этого вируса… когда на него смотрю то понимаю что ассемблер почти не знаю, а эще там коментарии прикольные…

                                                                  Вирус компилится 5-м турбо ассемблером и его сразу удаляет антивирь :)
                                                                  Он красиво сделан, там формат РЕ в заголовке программы собран вручную из масива байтов, сам код компилируется как 32-х разрядный сом файл но так как формат РЕ сделан вручную получается win32 прога.
                                                                  +3
                                                                  Один из немногих вирусов, на которые я попался.
                                                                  Еще одним был OneHalf.3544, но это более ранняя история…
                                                                    0
                                                                    Да, уполовиниватель тоже легенда. И написан он был так, чтобы затруднить отладку. Пробовал ковыряться с ним из под отладчика который шел с Антивирусом Касперского (вот было время — напиши лекарство сам :), но мягко говоря утомился отслеживать прыжки и следить за состоянием регистров и прочего.
                                                                    +1
                                                                    Я долгое время хранил образец вируса у себя в архивах раза три архивированный разными способами с шифрованием и чем-то там еще (чтобы антивирусники не матерились) и пугал им своего младшего брата :) Эх… ностальгия.
                                                                      0
                                                                      С чихом сталкивался единственный раз, когда в ночь с субботы на воскресенье в ночном клубе, в котором я работал, отказали все компы торговой системы- несмотря на антивирус, кто-то умудрился протащить эту заразу. Тогда мне пришлось двое суток провести на работе, сначала руками сводя смену, а затем восстанавливая дюжину компов с нуля.

                                                                      Но справедливости ради стоит отметить, что лидерство в убивании железа не у чиха.

                                                                      На вирь, который умел стирать биос, я впервые наткнулся еще в 1996 году. Тогда у меня умер винт (уронили перемычками на ребро корпуса), новый был размером больше гига, комп старый, поэтому пришлось воспользоваться программой эмуляции LBA, которая шла в комплекте с жестким диском. После установки/запуска этой программы все и началось.

                                                                      После первой же перезагрузки комп отказался загружаться. Не помню точных симптомов, но в биос зайти не получилось. Не долго думая, сбросил перемычкой cmos- чтобы убедиться, что в настройки биос по прежнему зайти нельзя, и загрузиться можно только с флопа. После ревизии биоса турбодебаггером выяснилось, что часть биоса была стерта и забита откровенным мусором. Через пару дней удалось найти уцелевший кусок биоса, который управлял настройкой, прописать параметры харда и запуститься. Но увы, после того, как жесткий диск начал работать, стирание биоса продолжилось, и еще через пару дней материнку пришлось выкидывать- биос был впаян в плату, и выпаивать/перепрошивать его было дороже, чем заменить плату.

                                                                      Only users with full accounts can post comments. Log in, please.