محل چرنوبیل. ویروس چرنوبیل

08.03.2020 اینترنت، وای فای، شبکه های محلی

نویسنده اوگنیا.سرگیونادر بخش سوال پرسید زبان ها و فن آوری های دیگر

ویروس های کامپیوتری چرنوبیل .. بیشتر ببینید ... و بهترین جواب را گرفت

پاسخ از De_SAM [گورو]
منبع: (ویروس)

پاسخ از لیپرازین[گورو]
CIH یا «چرنوبیل» (Virus.Win9x.CIH) یک ویروس کامپیوتری است که توسط دانشجوی تایوانی چن ینگ هائو در ژوئن 1998 نوشته شده است. این یک ویروس مقیم حافظه است که فقط تحت سیستم عامل ویندوز 95/98 اجرا می شود.
در 26 آوریل 1999، در سالگرد فاجعه چرنوبیل، این ویروس تشدید شد و اطلاعات موجود در هارد درایوهای رایانه های آلوده را از بین برد. در برخی از رایانه ها، محتویات تراشه های BIOS خراب شده است. همزمانی تاریخ فعال شدن ویروس و تاریخ حادثه چرنوبیل بود که نام دوم آن را به ویروس داد - "چرنوبیل" که حتی در بین مردم از "CIH" نیز شناخته شده است.
بر اساس برآوردهای مختلف، این ویروس حدود نیم میلیون رایانه شخصی را در سراسر جهان تحت تأثیر قرار داده است.
در 20 سپتامبر 2000، مقامات تایوانی خالق ویروس معروف کامپیوتری را دستگیر کردند.
در ماه مه 2006، سرگئی کازاچکوف، دانشجوی یکی از دانشگاه های فنی در ورونژ، به دلیل انتشار ویروس های رایانه ای در اینترنت، از جمله CIH، طبق ماده 273 قانون جزایی فدراسیون روسیه به 2 سال حبس تعلیقی محکوم شد.
جزییات فنی
همچنین به عنوان "چرنوبیل" شناخته می شود. این یک ویروس ساکن حافظه است که فقط تحت ویندوز 95 / 98 اجرا می شود و فایل های PE (قابل اجرا قابل حمل) را آلوده می کند. نسبتا کوتاه است - حدود 1 کیلوبایت. در ژوئن 1998 "زندگی" در تایوان کشف شد - نویسنده ویروس کامپیوترهای دانشگاه محلی را آلوده کرد، جایی که او (نویسنده ویروس) در آن زمان در حال تحصیل بود. پس از مدتی، فایل‌های آلوده (به طور تصادفی؟) به کنفرانس‌های اینترنتی محلی ارسال شدند و ویروس از تایوان خارج شد: طی هفته بعد، شیوع ویروس در اتریش، استرالیا، اسرائیل و بریتانیا گزارش شد. سپس این ویروس در چندین کشور دیگر از جمله روسیه یافت شد.
حدود یک ماه بعد، فایل های آلوده در چندین سرور وب ایالات متحده که نرم افزارهای بازی را توزیع می کنند، پیدا شد. ظاهراً این واقعیت دلیل همه گیری جهانی ویروسی بود. در 26 آوریل 1999 (حدود یک سال پس از ظهور ویروس)، "بمب منطقی" تعبیه شده در کد آن منفجر شد. بر اساس تخمین های مختلف، در آن روز حدود نیم میلیون رایانه در سراسر جهان آسیب دیدند - آنها اطلاعات روی هارد دیسک خود را از بین بردند، و در برخی از آنها محتویات تراشه های BIOS روی مادربردها خراب شد. این حادثه به یک فاجعه رایانه ای واقعی تبدیل شده است - اپیدمی های ویروسی و عواقب آنها هرگز در مقیاس بزرگ نبوده و چنین خساراتی را به همراه نداشته است.
ظاهراً به دلایلی که 1) ویروس یک تهدید واقعی برای رایانه های سراسر جهان است و 2) تاریخ فعال شدن ویروس (26 آوریل) مصادف با تاریخ حادثه در نیروگاه هسته ای چرنوبیل است. نام میانی آن - "چرنوبیل".
نویسنده ویروس، به احتمال زیاد، به هیچ وجه فاجعه چرنوبیل را با ویروس خود ربط نداده و تاریخ "بمب" را به دلیل کاملاً متفاوتی در تاریخ 26 آوریل تعیین کرده است: در 26 آوریل 1998 بود که او فیلم را منتشر کرد. اولین نسخه ویروس او (که اتفاقاً هرگز در خارج از تایوان منتشر نشد) - در 26 آوریل ، ویروس CIH "تولد" خود را به روشی مشابه جشن می گیرد.
[ویرایش]
ویروس چگونه کار می کند
هنگامی که یک فایل آلوده راه اندازی می شود، ویروس کد خود را در حافظه ویندوز نصب می کند، تماس های فایل ها را قطع می کند و هنگام باز کردن فایل های PE EXE یک کپی از خود برای آنها می نویسد. حاوی خطاهایی است و در برخی موارد سیستم را هنگام راه اندازی فایل های آلوده هنگ می کند. بسته به تاریخ فعلی، بایوس فلش و محتویات دیسک ها را پاک می کند.
نوشتن در فلش بایوس فقط در انواع مادربردهای مربوطه و زمانی که سوئیچ مربوطه فعال باشد امکان پذیر است. این سوئیچ معمولاً روی فقط خواندنی تنظیم می شود، اما این برای همه تولیدکنندگان رایانه صادق نیست. متأسفانه، بایوس فلش در برخی از مادربردهای مدرن را نمی توان با سوئیچ محافظت کرد: برخی از آنها امکان نوشتن روی فلش را در هر موقعیتی از سوئیچ فراهم می کنند، در حالی که در برخی دیگر، حفاظت از نوشتن در فلش را می توان با نرم افزار لغو کرد.
پس از پاک کردن موفقیت آمیز حافظه فلش، ویروس به یک روش مخرب دیگر ادامه می دهد.

پاسخ از گریف[گورو]

پاسخ از الکساندر پرپلکین[فعال]
یک ویروس خوب بسیار قدرتمند است. یک زمانی با کمک او در مدرسه به دلیل اینکه در رشته کامپیوتر 4 به من دادند کامپیوتر را خراب کردم.

پاسخ از دیمیتری کازانکین[گورو]

پاسخ از پاول کولتسف[گورو]
ru.wikipedia. org / wiki / Р§РµСЂРЅРѕР ± С ‹Р» СЊ_ (РІРёСЂСѓСЃ)

پاسخ از دمیر[فعال]
وای، من در مورد این چیزی نشنیده ام، آن را در گوگل جستجو می کنم و آن را اینجا می خوانم

پاسخ از الکسی بیفوس[کارشناس]
اولین ویروس جهانی CIH که چرنوبیل نیز نامیده می شود، دهمین سالگرد خود را جشن گرفت. "در 26 آوریل 1999، یک کامپیوتر جهانی
فاجعه: طبق منابع مختلف، حدود نیم میلیون رایانه در سراسر جهان آسیب دیده اند، هرگز قبلاً عواقب شیوع ویروس تا این حد گسترده و با چنین خسارات جهانی همراه نبوده است.
به گفته وی، سپس اطلاعات هارد دیسک ها از بین رفته و محتویات تراشه های بایوس روی مادربردهای برخی از ماشین ها آسیب دیده است. این ویروس به عنوان نقطه عطفی در درک تهدیدات رایانه ای توسط کاربران عمل کرد. این اولین ویروسی بود که نه تنها به داده های یک دستگاه آلوده آسیب زد، بلکه برخی از رایانه ها را نیز به طور کامل از کار انداخت. در صورتی که بایوس قابل بازنویسی نباشد. سرگئی کوماروف، رئیس بخش توسعه و تحقیقات آنتی ویروس در دکتر وب می‌گوید، رایانه ممکن است در سطل زباله پرتاب شود.
ویروس CIH نام خود را از نام مخفف خالق آن - دانشجوی دانشگاه تایوان چن اینگ هاو - گرفته است. نام دوم آن - "چرنوبیل" (چرنوبیل) به دلیل این واقعیت است که ویروس در 26 آوریل - روز فاجعه در نیروگاه هسته ای چرنوبیل فعال شد.
"نویسنده ویروس آن را طوری ساخته است که با نفوذ به دستگاه، ویروس هیچ عمل مضری انجام نمی دهد. او در 26 آوریل هر سال منتظر می ماند (در این روز بود که نیروگاه هسته ای در چرنوبیل منفجر شد، به همین دلیل است. کوماروف از دکتر وب می‌گوید: برخی این ویروس را "چرنوبیل" می‌نامند و سپس کار کرد.
Evgeny Aseev از آزمایشگاه کسپرسکی یادآوری می کند که ویروس چرنوبیل برای اولین بار در ژوئن 1998 در تایوان شناسایی شد - نویسنده ویروس Chen Ying-Hau کامپیوترهای یک دانشگاه محلی را آلوده کرد. پس از مدتی، CIH از تایوان خارج شد: اتریش، استرالیا، اسرائیل و بریتانیا جزو اولین کشورهایی بودند که تحت تأثیر این همه گیری قرار گرفتند. بعداً این کد مخرب در چندین کشور دیگر از جمله روسیه ثبت شد.
اعتقاد بر این است که ظهور فایل های آلوده در چندین وب سرور آمریکایی که برنامه های بازی را توزیع می کنند و عامل شیوع جهانی ویروس بوده است. عدم شکایت رسمی از سوی شرکت های تایوانی به چن اجازه داد تا در آوریل 1999 از مجازات فرار کند. علاوه بر این، "چرنوبیل" او را به شهرت رساند: به لطف نوشتن یک ویروس، چن این هاو شغل معتبری در یک شرکت بزرگ کامپیوتری به دست آورد. چن یینگ هاو تنها در 20 سپتامبر 2000 دستگیر شد.

اولین ویروس جهانی که حدود 500 هزار رایانه را آلوده کرد، دهمین سالگرد خود را جشن گرفت

اولین ویروس جهانی CIH که چرنوبیل نیز نامیده می شود، دهمین سالگرد خود را جشن می گیرد.

یوجین به یاد می آورد: "در 26 آوریل 1999، یک فاجعه رایانه ای جهانی رخ داد: طبق منابع مختلف، حدود نیم میلیون رایانه در سراسر جهان تحت تأثیر قرار گرفتند، هرگز عواقب شیوع ویروس تا این اندازه بزرگ و همراه با چنین تلفات جهانی نبوده است." آسیف، تحلیلگر ویروس در آزمایشگاه کسپرسکی.

به گفته وی، سپس اطلاعات هارد دیسک ها از بین رفته و محتویات تراشه های بایوس روی مادربردهای برخی از ماشین ها آسیب دیده است.

این ویروس به عنوان نقطه عطفی در درک تهدیدات رایانه ای توسط کاربران عمل کرد. این اولین ویروسی بود که نه تنها به داده های یک دستگاه آلوده آسیب زد، بلکه برخی از رایانه ها را نیز به طور کامل از کار انداخت. در صورتی که بایوس قابل بازنویسی نباشد. سرگئی کوماروف، رئیس بخش توسعه و تحقیقات آنتی ویروس در دکتر وب می‌گوید، رایانه ممکن است در سطل زباله پرتاب شود.

ویروس CIH نام خود را از نام مخفف خالق آن - دانشجوی دانشگاه تایوان چن اینگ هاو - گرفته است. نام دوم آن - "چرنوبیل" (چرنوبیل) به دلیل این واقعیت است که ویروس در 26 آوریل - روز فاجعه در نیروگاه هسته ای چرنوبیل فعال شد.

"نویسنده ویروس آن را طوری ساخته است که با نفوذ به دستگاه، ویروس هیچ عمل مضری انجام نمی دهد. او در 26 آوریل هر سال منتظر می ماند (در این روز بود که نیروگاه هسته ای در چرنوبیل منفجر شد، به همین دلیل است. کوماروف از دکتر وب می‌گوید: برخی این ویروس را "چرنوبیل" می‌نامند و سپس کار کرد.

Evgeny Aseev از آزمایشگاه کسپرسکی یادآوری می کند که ویروس چرنوبیل برای اولین بار در ژوئن 1998 در تایوان شناسایی شد - نویسنده ویروس Chen Ying-Hau کامپیوترهای یک دانشگاه محلی را آلوده کرد. پس از مدتی، CIH از تایوان خارج شد: اتریش، استرالیا، اسرائیل و بریتانیا جزو اولین کشورهایی بودند که تحت تأثیر این همه گیری قرار گرفتند. بعداً این کد مخرب در چندین کشور دیگر از جمله روسیه ثبت شد.

اعتقاد بر این است که ظهور فایل های آلوده در چندین وب سرور آمریکایی که برنامه های بازی را توزیع می کنند و عامل شیوع جهانی ویروس بوده است.

عدم شکایت رسمی از سوی شرکت های تایوانی به چن اجازه داد تا در آوریل 1999 از مجازات فرار کند. علاوه بر این، "چرنوبیل" او را به شهرت رساند: به لطف نوشتن یک ویروس، چن این هاو شغل معتبری در یک شرکت بزرگ کامپیوتری به دست آورد.

ده سال بعد. تهدیدات مدرن

به گفته سرگئی کوماروف، رئیس بخش توسعه و تحقیقات آنتی ویروس دکتر وب، پس از آن ویروس هایی ظاهر شدند که از نظر اتصال به تاریخ خاصی شبیه به چرنوبیل بودند، اما چنین آسیبی به رایانه ها وارد نکردند.

کوماروف معتقد است: "این به احتمال زیاد با این واقعیت توضیح داده می شود که بدافزار مدرن غیرفعال کردن رایانه معنی ندارد - برای آنها به عنوان یک منبع مهم است ، آنها روی آن کار می کنند ، حضور خود را پنهان می کنند و درآمد را برای مجرمان سایبری به ارمغان می آورند." گذشته. زمانی است که مجرمان رایانه ای، مانند چن ینگ هاو، ویروس ها را در تلاش برای اثبات خود و معروف شدن ایجاد کردند. اعمال جوامع مجرم سایبری مدرن را نمی توان به عنوان یک هولیگانیسم ساده تلقی کرد: در طول سال ها، کلاهبرداران مجازی مهارت های خود را ارتقا داده و دنبال می کنند. دنیوی ترین هدف - غنی سازی. کسب درآمد بسیار جدی از راه جنایتکارانه، "- Evgeny Aseev از آزمایشگاه Kaspersky تایید می کند.

به گفته وی، طرح عمل ویروس چرنوبیل دو سناریو را در نظر گرفت: در بهترین حالت، حذف تمام اطلاعات از حافظه رایانه، در بدترین حالت، غیرفعال کردن کامل آن. تصویر تهدیدات مدرن به طور چشمگیری تغییر کرده است و در تنوع آن قابل توجه است: «روت کیت ها»، شبکه های اجتماعی، بازی های آنلاین، «بات نت ها» حوزه ها و فناوری هایی هستند که فهرست کاملی از منابع تهدیدات رایانه ای را تشکیل می دهند. آسیف می‌گوید: «کلاهبرداران سایبری بیش از پیش غیرقابل پیش‌بینی و پیچیده‌تر عمل می‌کنند.» به گفته وی، امروز «تولید» برنامه‌های مخرب در جریان است، تحلیلگران «آزمایشگاه کسپرسکی» روزانه بیش از 17 هزار ویروس جدید را شناسایی می‌کنند.

رهبران "تروجان ها" هستند که داده های شخصی کاربر را می دزدند و شماره کارت اعتباری صاحب رایانه آلوده را به "صاحبان" خود منتقل می کنند.

برای ارتقای خدمات جدید، تبلیغات و خدمات مرتبط، شرکت های اینترنتی به طور فعال از پتانسیل شبکه های اجتماعی استفاده می کنند. در سال گذشته، Odnoklassniki و Vkontakte، یکی از "سریع ترین" برای کلاهبرداران مجازی، در کانون حملات متعدد قرار گرفتند.

بازار بازی های آنلاین با سرعت بسیار بالایی در حال توسعه است. پس از جابجایی تروجان‌هایی که به کاربران سیستم‌های پرداخت آنلاین و بانکداری حمله می‌کنند، تروجان‌های بازی با استفاده از فناوری‌های جدید، از جمله مکانیسم آلوده‌سازی فایل‌ها و توزیع در درایوهای قابل جابجایی، در صدر قرار گرفتند. از همان "تروجان ها" برای سازماندهی "بات نت ها" استفاده شد (بات نت شبکه ای از رایانه های آلوده است).

کلمه بات‌نت که چند سال پیش منحصراً در واژگان کارمندان شرکت‌های آنتی‌ویروس یافت می‌شد، اخیراً تقریباً برای همه شناخته شده است. امروزه بات‌نت‌ها منبع اصلی هرزنامه‌ها، حملات DDoS و ویروس‌های جدید هستند. " آسیف خاطرنشان می کند.

برای محافظت از خود در برابر تهدیدات احتمالی، کارشناسان توصیه می کنند که کاربران احتیاط کنند و بسیار مراقب باشند.

توصیه می‌کند لینک‌های مشکوک ارسال شده توسط مخاطبین ناآشنا را باز نکنید، اطلاعات دریافتی از دوستان را بررسی کنید، از رمزهای عبور ساده استفاده نکنید و آن‌ها را در جایی به جز منابع مطمئن وارد نکنید و همچنین به‌روزرسانی‌های سیستم‌عامل و نرم‌افزار آنتی‌ویروس را مرتب نصب کنید. تحلیلگر ویروس. آزمایشگاه های کسپرسکی "اوگنی آسیف.

"ریا نووستی"، 04/27/2009

استفاده از کلیه مطالب ارسال شده در بخش "نظارت رسانه" در وب سایت رسمی وزارت ارتباطات و رسانه های جمعی فدراسیون روسیه، بدون مشخص کردن صاحب حق چاپ آنها که برای هر نشریه مشخص شده است مجاز نیست.

در 26 هر ماه، پس از فعال شدن کد مخرب ویروس، مادربردهای رایانه را می توان به سطل زباله انداخت. اما فقط در صورتی که در این کامپیوترهای آلوده به ویروس Win95.CIH، سوئیچ نوشتن به رام قابل برنامه ریزی قابل بازنویسی (Flash BIOS) برای نوشتن روی این رام تنظیم شده باشد. و به عنوان یک قاعده، همه رایانه ها با این موقعیت سوئیچ عرضه و فروخته می شوند.

ویروس Win95.CIH در تایوان نوشته شده است، توسط نویسنده این زاده فکری از طریق اینترنت منتشر شده است و در حال حاضر اکثر کشورهای جنوب شرقی آسیا و همچنین برخی از کشورهای اروپایی (به ویژه سوئد را به طور جدی تحت تأثیر قرار داده است) آلوده کرده است.

ویروس Win95.CIH کاملاً با استفاده از Dr. نسخه وب 4.01 لطفا تمام فایل های دریافتی را بررسی کنید. به خصوص در مورد تمام فایل های دریافتی از طریق اینترنت مراقب باشید.

شرح ویروس Win95.CIH

این یک ویروس ساکن حافظه بسیار خطرناک است. این فایل‌ها را با فرمت EXE PE تحت ویندوز 95 آلوده می‌کند. هنگام آلوده کردن فایل‌ها، ویروس طول آنها را افزایش نمی‌دهد، اما از مکانیزم نسبتاً جالبی برای آلوده کردن فایل‌ها استفاده می‌کند. هر بخش کد یک فایل EXE PE با تعداد معینی بایت تراز می شود که معمولاً توسط برنامه استفاده نمی شود. ویروس بخش هایی از کد خود را در چنین مناطقی می نویسد، گاهی اوقات آنها را در سراسر فایل (یا در تمام بخش های کد) "پراکنده" می کند. یک ویروس همچنین می تواند رویه شروع خود را (روشی که برای اولین بار کنترل را هنگام شروع برنامه دریافت می کند) یا حتی تمام کدهای خود را در قسمت هدر فایل EXE PE بنویسد و نقطه ورود برنامه را به این رویه شروع تنظیم کند. بنابراین، نقطه ورود فایل ممکن است متعلق به هیچ بخش کد فایل نباشد.

با به دست آوردن کنترل، ویروس با فراخوانی تابع PageAllocate یک بلوک از حافظه را به خود اختصاص می دهد و "خود را در قسمت هایی" به یک کل واحد در این ناحیه اختصاص داده شده از حافظه جمع می کند. سپس Win95.CIH API IFS را رهگیری می کند و کنترل را به برنامه حامل ویروس منتقل می کند. هنگام باز کردن فایل هایی با پسوند EXE و فرمت PE، ویروس آنها را آلوده می کند.

در 26 هر ماه، ویروس محتویات بایوس فلش را با نوشتن داده های تصادفی ("زباله") روی آن از بین می برد. در نتیجه، پس از اولین راه اندازی مجدد، کامپیوتر بوت را متوقف می کند. و، به عنوان یک قاعده، حتی در یک محیط صنعتی، بازیابی محتویات بایوس فلش و بازیابی عملکرد رایانه بسیار دشوار است.

در حال حاضر، 3 تغییر از ویروس Win95.CIH با طول های 1003، 1010 و 1019 بایت وجود دارد. این ویروس ها حاوی متن هایی در بدن خود هستند:

Win95.CIH.1003 - CIH v1.2 TTIT

Win95.CIH.1010 - CIH v1.3 TTIT

Win95.CIH.1019 - CIH v1.4 TATUNG

P.S. به نظر من، پیشنهاد دور انداختن مادربردهای آسیب دیده توسط ویروس Win95.CIH تا حدودی نابهنگام است. بایوس فلش، با مهارت های خاص، حتی در خانه قابل برنامه ریزی مجدد است. اگر هنوز چنین مهارت هایی را به دست نیاورده اید، باید با فروشندگان یا نمایندگان سازنده "مادر" خود با درخواست جایگزینی بایوس فلش تماس بگیرید.

همچنین به عنوان "چرنوبیل" شناخته می شود. این یک ویروس ساکن حافظه است که فقط تحت ویندوز 95 / 98 کار می کند و فایل های PE را آلوده می کند
(قابل حمل قابل اجرا). نسبتا کوتاه است - حدود 1 کیلوبایت. بود
کشف "زنده" در تایوان در ژوئن 1998 - نویسنده ویروس آلوده
کامپیوترهای دانشگاه محلی جایی که او (نویسنده ویروس) در آن زمان
آموزش داده شد. پس از مدتی، فایل های آلوده (به طور تصادفی؟) بودند.
به کنفرانس های اینترنتی محلی فرستاده شد و ویروس از آن خارج شد
تایوان: طی هفته آینده، شیوع ویروس در این کشور گزارش شد
اتریش، استرالیا، اسرائیل و بریتانیا. سپس ویروس کشف شد و در
چندین کشور دیگر از جمله روسیه.

پس از حدود یک ماه، پرونده های آلوده روی چندین مورد پیدا شد
وب سرورهای آمریکایی که نرم افزارهای بازی را توزیع می کنند. این حقیقت،
ظاهرا، و علت همه گیری ویروسی جهانی متعاقب آن بود. 26
آوریل 1999 (حدود یک سال پس از ظهور ویروس) کار کرد
"بمب منطقی" در کد آن تعبیه شده است. طبق برآوردهای مختلف در این روز
در سراسر جهان، حدود نیم میلیون کامپیوتر تحت تاثیر قرار گرفتند - آنها آسیب دیده بودند
اطلاعات روی هارد دیسک از بین می رود و در برخی از آنها خراب می شود
محتویات تراشه های بایوس روی مادربردها این حادثه واقعی شده است
فاجعه کامپیوتری - اپیدمی های ویروسی و عواقب آنها قبلا هرگز
که چندان بزرگ نبودند و چنین خساراتی به همراه نداشتند.

ظاهراً به دلایلی که 1) ویروس یک تهدید واقعی برای رایانه ها در طول انجام داد
در سراسر جهان و 2) تاریخ شروع ویروس (26 آوریل) مصادف با تاریخ است.
حادثه در نیروگاه هسته ای چرنوبیل، ویروس دومین خود را گرفت
نام - "چرنوبیل" (چرنوبیل).

نویسنده ویروس، به احتمال زیاد، به هیچ وجه تراژدی چرنوبیل را با آن مرتبط نکرده است
ویروس خود را و تاریخ "بمب" را در 26 آوریل در همه
دلیل دیگر: در 26 آوریل 1998 بود که اولین نسخه را منتشر کرد
ویروس آنها (که اتفاقاً هرگز از تایوان خارج نشد) - 26
در ماه آوریل، ویروس CIH "تولد" خود را به روشی مشابه جشن می گیرد.

ویروس چگونه کار می کند

هنگامی که یک فایل آلوده راه اندازی می شود، ویروس کد خود را در حافظه ویندوز نصب می کند.
دسترسی به فایل را قطع می کند و در آن می نویسد
یک کپی از آنها دارای خطا است و در برخی موارد سیستم را هنگ می کند
هنگام اجرای فایل های آلوده بسته به تاریخ فعلی، فلش پاک می شود
بایوس و محتویات دیسک.

نوشتن در فلش بایوس فقط در انواع مادربردهای مربوطه امکان پذیر است.
بردها و با تنظیم فعال سوئیچ مربوطه. این
سوئیچ معمولا روی فقط خواندنی تنظیم می شود، اما این
برای همه تولید کنندگان کامپیوتر درست نیست. با عرض پوزش بایوس فلش
در برخی از مادربردهای مدرن نمی توان محافظت کرد
سوئیچ: برخی از آنها امکان نوشتن را در فلش در هر موقعیتی فراهم می کنند
سوئیچ، در برخی دیگر حفاظت از نوشتن فلش می تواند توسط نرم افزار لغو شود.

پس از پاک کردن موفقیت آمیز حافظه فلش، ویروس به دیگری منتقل می شود
رویه مخرب: اطلاعات همه نصب شده را پاک می کند
دیسکهای سخت. در این حالت، ویروس از دسترسی مستقیم به داده های روی دیسک و
بنابراین حفاظت استاندارد ضد ویروس تعبیه شده در BIOS را دور می زند
در بخش های بوت می نویسد.

سه نسخه اصلی ("نویسنده") از ویروس وجود دارد. آنها به اندازه کافی شبیه هستند
بر روی یکدیگر و تنها در جزئیات جزئی کد در موارد مختلف متفاوت هستند
زیر برنامه ها نسخه های ویروس دارای طول، خطوط متن و تاریخ های متفاوتی هستند
راه اندازی روش پاک کردن دیسک و فلش بایوس:

طول متن تاریخ راه‌اندازی «زنده» شناسایی شد
1003 CIH 1.2 TTIT 26 آوریل بله
1010 CIH 1.3 TTIT 26 آوریل شماره
1019 CIH 1.4 TATUNG 26 هر ماه بله - در بسیاری از کشورها

جزییات فنی

هنگام آلوده کردن فایل‌ها، ویروس به دنبال سوراخ‌هایی در آنها (بلوک‌هایی از داده‌های استفاده نشده) و
کد خود را در آنها می نویسد. وجود چنین "سوراخ" به دلیل ساختار است
فایل های PE: موقعیت هر بخش در فایل به یک قسمت خاص تراز شده است
مقدار مشخص شده در هدر PE و در بیشتر موارد بین انتهای آن
قسمت قبلی و ابتدای قسمت بعدی مقدار مشخصی بایت دارند
که توسط برنامه استفاده نمی شود. ویروس فایل را برای موارد استفاده نشده جستجو می کند
بلوک می کند، کد خود را در آنها می نویسد و به مقدار لازم افزایش می یابد
اندازه بخش اصلاح شده این باعث افزایش حجم فایل های آلوده نمی شود.

اگر در انتهای هر بخش "سوراخ" با اندازه کافی وجود داشته باشد،
ویروس کد خود را در یک بلوک در آن می نویسد. اگر چنین "سوراخ" وجود نداشته باشد،
ویروس کد خود را به بلوک ها تقسیم می کند و آنها را در انتهای بخش های مختلف می نویسد
فایل. بنابراین، کد ویروس در فایل های آلوده قابل شناسایی است
هم به عنوان یک بلوک واحد از کد و هم به عنوان چندین بلوک نامرتبط.

این ویروس همچنین به دنبال یک بلوک استفاده نشده از داده ها در هدر PE می گردد. اگر در پایان
یک "حفره" در هدر حداقل 184 بایت وجود دارد که ویروس در آن می نویسد
روش راه اندازی شما سپس ویروس آدرس شروع فایل را تغییر می دهد:
آدرس روال راه اندازی خود را در آن می نویسد. در نتیجه این تکنیک
ساختار فایل نسبتاً غیر استاندارد می شود: آدرس شروع
رویه برنامه به هیچ بخشی از فایل اشاره نمی کند، بلکه به خارج از آن اشاره می کند
ماژول قابل بارگیری - در هدر فایل. با این حال، Windows95 پرداخت نمی کند
توجه به چنین فایل های "عجیب"، هدر فایل را در حافظه بارگذاری می کند
تمام بخش ها و کنترل را به آدرس مشخص شده در هدر - به انتقال می دهد
روش راه اندازی ویروس در هدر PE.

پس از به دست آوردن کنترل، روش راه اندازی ویروس یک بلوک از حافظه را اختصاص می دهد
VMM با PageAllocate تماس می گیرد، کد آن را در آنجا کپی می کند، سپس آدرس ها را تعیین می کند
بقیه کدهای ویروس (که در انتهای بخش ها قرار دارند) را مسدود می کند و آنها را اضافه می کند
به کد رویه راه اندازی شما. سپس ویروس IFS API و
کنترل را به برنامه میزبان برمی گرداند.

از نظر سیستم عامل، این رویه جالب ترین است
ویروس: پس از اینکه ویروس کد خود را در یک بلوک جدید از حافظه کپی کرد و
کنترل را در آنجا منتقل کرد، کد ویروس به عنوان برنامه Ring0 اجرا می شود و
ویروس قادر است API AFS را رهگیری کند (این برای برنامه هایی غیرممکن است
اجرا شده در Ring3).

رهگیر IFS API فقط یک عملکرد را انجام می دهد - باز کردن فایل ها.
اگر فایلی با پسوند EXE باز شود، ویروس داخلی آن را بررسی می کند
فرمت کرده و کد آن را در فایل می نویسد. پس از عفونت، ویروس بررسی می شود
تاریخ سیستم و فرآیند پاک کردن بایوس فلش و بخش‌های دیسک را فراخوانی می‌کند (به بالا مراجعه کنید).

هنگام پاک کردن بایوس فلش، ویروس از پورت های مربوطه استفاده می کند
خواندن / نوشتن، هنگام پاک کردن بخش های دیسک، ویروس تابع VxD را فراخوانی می کند
دسترسی مستقیم به دیسک IOS_SendCommand.

انواع شناخته شده ویروس

نویسنده این ویروس نه تنها نسخه هایی از فایل های آلوده را "به آزادی" منتشر کرد، بلکه همچنین
متن های اسمبلی منبع ویروس را ارسال کرد. این منجر به این واقعیت شد که اینها
متون تصحیح، گردآوری و به زودی ظاهر شدند
تغییراتی در ویروس که طول های متفاوتی داشتند، اما از نظر عملکرد آنها
همه با "والد" خود مطابقت داشتند. در برخی از انواع ویروس،
تاریخ فعال شدن "بمب" تغییر کرد یا این بخش اصلاً فراخوانی نشد.

همچنین در مورد نسخه های "اصلی" ویروس که در روز فعال می شوند، شناخته شده است
غیر از 26 [آوریل]. این واقعیت با این واقعیت توضیح داده می شود که بررسی تاریخ در
کد ویروس توسط دو ثابت رخ می دهد. به طور طبیعی، به منظور
تایمر "بمب" را برای هر روز مشخص تنظیم کنید، فقط کافی است تغییر دهید
دو بایت در کد ویروس

معمولاً ویروس ها آسیب نرم افزاری را به رایانه وارد می کنند. ویروس ها به هر نحوی کار رایانه را پیچیده می کنند، برخی از داده های کاربر را نظارت می کنند یا به سرقت می برند. به عنوان مثال، یک مورد بسیار ناخوشایند که به طرز بسیار آزاردهنده ای کاربر را در هر مرورگری تعقیب می کند. اما همه اینها برنامه ای است. یک محصول نرم افزاری آسیب دیده و آلوده به ویروس را می توان درمان کرد یا جایگزین کرد. آیا ویروس هایی وجود دارند که می توانند به سخت افزار کامپیوتر شما آسیب برسانند؟

ویروس Win95.CIH (چرنوبیل)

چرنوبیل نامی است که به اولین ویروس رایانه ای داده شده است که نشان داد ویروس ها نه تنها به نرم افزار، بلکه به سخت افزار رایانه نیز آسیب می رسانند. ویروس چرنوبیل که در سال 1998 توسط یک دانشجوی تایوانی نوشته شد، محتوای بایوس برخی از مادربردها را خراب کرد که می تواند به خود مادربرد آسیب برساند. و چنین مواردی وجود داشت. اما با این حال، مسیر اصلی از بین بردن تمام اطلاعات از هارد دیسک کامپیوتر بود. خوب، حداقل مقداری مثبت، زیرا نیاز فروکش کرد. همه کسانی که بدبختی ابتلا به این ویروس را داشته اند قبلاً رنج کشیده اند.

این ویروس نام کوچک خود را - Win95.CIH - از نویسنده خود گرفته است. ضمناً او سه نسخه مختلف از ویروس خود را منتشر کرد که تفاوت چندانی با یکدیگر نداشتند. درست است، آخرین نسخه در 26 هر ماه راه اندازی شد. و هر نسخه شماره مخصوص به خود را داشت. اما نام دوم - ویروس چرنوبیل - توسط دنیای کامپیوتر به او داده شد. چرا؟ زیرا ویروس در 26 آوریل فعال شد و تمام اقدامات مخرب را در آن روز انجام داد. و متاسفانه در چنین روزی در سال 1986 حادثه چرنوبیل رخ داد. اگرچه همانطور که نویسنده ویروس می گوید، تاریخ راه اندازی ویروس - 26 آوریل هر سال - فقط به این دلیل انتخاب شده است که خود ویروس در آن روز تولد خود را جشن گرفته است. او اما به روش خودش جشن گرفت.

خطر ویروس چرنوبیل

ویروس چرنوبیل دیگر هیچ خطری ندارد زیرا محیط کار این ویروس کامپیوترهایی است که دارای سیستم عامل های ویندوز 95 و 98 هستند اما این بدان معنا نیست که خطر آلوده شدن به ویروسی که سخت افزار کامپیوتر را از کار می اندازد وجود ندارد. فقط می گوید که بسیاری در سراسر جهان از این فرصت آگاه هستند و می خواهند موفقیت دانش آموز تایوانی را تکرار کنند. و برخی قبلاً موفق شده اند. اما بعید است که بتوانند از «چرنوبیل» مشهورتر شوند. از آنجایی که اولین در نوع خود به خاطر سپردن آسان تر است.