autor Evgenia.Sergeevna bëri një pyetje në Gjuhë dhe teknologji të tjera
Viruset kompjuterike. Çernobili.. shih më poshtë... dhe morët përgjigjen më të mirë
Përgjigje nga De_SAM[guru]
Burimi: (virus)
Përgjigje nga Liprazina[guru]
CIH, ose "Chernobyl" (Virus.Win9x.CIH) është një virus kompjuterik i shkruar nga studenti tajvanez Chen Ying Hao në qershor 1998. Është një virus rezident që funksionon vetëm nën sistemin operativ Windows 95/98.
Më 26 prill 1999, në përvjetorin e aksidentit të Çernobilit, virusi u aktivizua dhe shkatërroi të dhënat në hard disqet e kompjuterëve të infektuar. Në disa kompjuterë, përmbajtja e çipave BIOS është dëmtuar. Ishte koincidenca e datës së aktivizimit të virusit dhe datës së aksidentit të Çernobilit që i dha virusit një emër të dytë - "Çernobil", i cili është edhe më i famshëm në popull se "CIH".
Sipas vlerësimeve të ndryshme, rreth gjysmë milioni kompjuterë personalë në mbarë botën vuajtën nga virusi.
Më 20 shtator 2000, autoritetet e Tajvanit arrestuan krijuesin e virusit të famshëm kompjuterik.
Në maj 2006, Sergey Kazachkov, student në një nga universitetet teknike në Voronezh, u dënua me 2 vjet burgim me kusht sipas nenit 273 të Kodit Penal të Federatës Ruse për përhapjen e viruseve kompjuterike në internet, përfshirë CIH.
Detaje teknike
I njohur edhe si Çernobil. Një virus rezident që funksionon vetëm nën Windows95/98 dhe infekton skedarët PE (Portable Executable). Ka një gjatësi mjaft të vogël - rreth 1 Kb. Ai u zbulua "i gjallë" në Tajvan në qershor 1998 - autori i virusit infektoi kompjuterët në një universitet lokal, ku ai (autori i virusit) studionte në atë kohë. Pas ca kohësh, skedarët e infektuar u dërguan (rastësisht?) në konferencat lokale të internetit dhe virusi doli nga Tajvani: gjatë javës së ardhshme, epidemitë e virusit u regjistruan në Austri, Australi, Izrael dhe MB. Më pas virusi u gjet në disa vende të tjera, përfshirë Rusinë.
Rreth një muaj më vonë, skedarë të infektuar u gjetën në disa serverë të internetit amerikanë që shpërndajnë programe lojërash. Ky fakt, me sa duket, ishte shkaku i epidemisë së mëvonshme virale globale. Më 26 prill 1999 (rreth një vit pas shfaqjes së virusit), shpërtheu "bomba logjike" e ngulitur në kodin e tij. Sipas vlerësimeve të ndryshme, rreth gjysmë milioni kompjuterë në mbarë botën pësuan dëme atë ditë - të dhënat e tyre të hard disku u shkatërruan, dhe në disa, përmbajtja e çipave BIOS në pllakat amë u korruptua. Ky incident u bë një katastrofë e vërtetë kompjuterike - epidemitë e viruseve dhe pasojat e tyre nuk kanë qenë kurrë më parë kaq të mëdha dhe nuk kanë sjellë humbje të tilla.
Me sa duket, për arsyet se 1) virusi ishte një kërcënim real për kompjuterët në mbarë botën dhe 2) data e funksionimit të virusit (26 Prill) përkon me datën e aksidentit në termocentralin bërthamor të Çernobilit, virusi mori emri i mesëm - Çernobil (Çernobil).
Autori i virusit, ka shumë të ngjarë, nuk e lidhi në asnjë mënyrë tragjedinë e Çernobilit me virusin e tij dhe caktoi datën që "bomba" të aktivizohej më 26 prill për një arsye krejtësisht tjetër: ishte më 26 prill 1998 që. ai lëshoi versionin e parë të virusit të tij (i cili, meqë ra fjala, nuk doli kurrë) jashtë Tajvanit) - Më 26 prill, virusi "CIH" feston "ditëlindjen" e tij në këtë mënyrë.
[redakto]
Si funksionon virusi
Kur lëshohet një skedar i infektuar, virusi instalon kodin e tij në memorien e Windows, kap aksesin në skedarë dhe, kur hapen skedarët PE EXE, shkruan një kopje të tij në to. Përmban gabime dhe në disa raste e var sistemin kur hapen skedarët e infektuar. Në varësi të datës aktuale, fshin BIOS-in e Flash dhe përmbajtjen e diskut.
Shkrimi në Flash BIOS është i mundur vetëm në llojet përkatëse të pllakave amë dhe kur çelësi përkatës është i aktivizuar. Ky ndërprerës zakonisht vendoset në vetëm për lexim, por kjo mund të mos jetë e vërtetë për të gjithë prodhuesit e kompjuterave. Fatkeqësisht, Flash BIOS në disa motherboard moderne nuk mund të mbrohet nga një ndërprerës: disa prej tyre lejojnë shkrimin në Flash në çdo pozicion të ndërprerësit, në të tjerët, mbrojtja e shkrimit në Flash mund të anulohet nga softueri.
Pas fshirjes me sukses të memories Flash, virusi kalon në një procedurë tjetër shkatërruese
Përgjigje nga Grif[guru]
Përgjigje nga Alexander Perepelkin[aktiv]
Një virus i mirë është mjaft i fuqishëm. Në një kohë, me ndihmën e tij në shkollë, e prisha kompjuterin për faktin se më dhanë 4 në shkenca kompjuterike.
Përgjigje nga Dmitry Kazankin[guru]
Përgjigje nga Pavel Koltsov[guru]
en.wikipedia. org/wiki/Чернобыл Њ_(РІРёСЂСѓСЃ)
Përgjigje nga Damir[aktiv]
wow, nuk kam dëgjuar për këtë, do ta kërkoj në google dhe do ta lexoj këtu
Përgjigje nga Alexey Beifus[ekspert]
Virusi i parë global CIH, i quajtur gjithashtu Çernobil, po festonte 10 vjetorin e tij. “Më 26 prill 1999 ishte një kompjuter global
katastrofë: sipas burimeve të ndryshme, rreth gjysmë milioni kompjuterë në mbarë botën u prekën, pasojat e epidemive të viruseve nuk kanë qenë kurrë kaq të mëdha dhe nuk janë shoqëruar me humbje të tilla globale, "kujton Evgeny Aseev, një analist virusesh në Kaspersky Lab. , raporton RIA Novosti.
Sipas tij, më pas u shkatërruan të dhënat në hard disqet, dhe përmbajtja e çipave BIOS u dëmtua në pllakat amë të disa makinave. "Ky virus shërbeu si një lloj kthese në perceptimin e kërcënimeve kompjuterike nga përdoruesit. Ishte virusi i parë që jo vetëm dëmtoi të dhënat në makinën e infektuar, por edhe çaktivizoi plotësisht disa kompjuterë. Në rast se BIOS nuk mund të të rishkruhet përsëri, kompjuteri mund të hidhet në koshin e plehrave”, thotë Sergey Komarov, kreu i departamentit të zhvillimit dhe kërkimit antivirus në Doctor Web.
Virusi mori emrin e tij CIH nga emri i shkurtuar i krijuesit të tij, studenti i Universitetit të Tajvanit Chen Ing-Hau. Emri i tij i dytë - "Çernobil" (Çernobil) u shfaq për faktin se virusi u aktivizua në 26 Prill - ditën e fatkeqësisë në termocentralin bërthamor të Çernobilit.
"Autori i virusit e bëri atë që, kur depërtonte në makinë, virusi nuk kryente asnjë veprim keqdashës. Ai priste 26 prillin e çdo viti (ajo ishte dita kur shpërtheu termocentrali bërthamor i Çernobilit, prandaj disa njerëzit e quajnë këtë virus Çernobil) dhe më pas funksionoi", - thotë Komarov nga Doctor Web.
Evgeny Aseev nga Kaspersky Lab kujton se virusi i Çernobilit u zbulua për herë të parë në Tajvan në qershor 1998 - autori i virusit, Chen Ying-Hau, infektoi kompjuterët në një universitet lokal. Pas ca kohësh, CIH doli nga Tajvani: Austria, Australia, Izraeli dhe Britania e Madhe ishin ndër vendet e para të mbuluara nga epidemia. Më vonë, kodi me qëllim të keq u regjistrua në disa vende të tjera, përfshirë Rusinë.
Besohet se shfaqja e skedarëve të infektuar në disa serverë të internetit amerikanë që shpërndajnë programe lojërash ishte shkaku i epidemisë globale të virusit. Mungesa e ankesave zyrtare nga kompanitë tajvaneze e lejoi Chen t'i shpëtonte dënimit në prill 1999. Për më tepër, "Çernobili" e bëri atë të famshëm: falë shkrimit të virusit, Chen Ying-Hau mori një punë prestigjioze në një kompani të madhe kompjuterash. Chen Ying-Hau u arrestua vetëm më 20 shtator 2000.
Virusi i parë global që preku rreth 500,000 kompjuterë feston 10 vjetorin e tij
Virusi i parë global CIH, i quajtur gjithashtu Çernobil, feston 10 vjetorin e tij.
"Më 26 Prill 1999, ndodhi një fatkeqësi globale kompjuterike: sipas burimeve të ndryshme, rreth gjysmë milioni kompjuterë në mbarë botën u prekën, pasojat e epidemive të viruseve nuk kanë qenë kurrë kaq masive dhe nuk janë shoqëruar me humbje të tilla globale", kujton. Evgeny Aseev, një analist virusesh në Kaspersky Lab.
Sipas tij, më pas u shkatërruan të dhënat në hard disqet, dhe përmbajtja e çipave BIOS u dëmtua në pllakat amë të disa makinave.
"Ky virus shërbeu si një lloj kthese në perceptimin e kërcënimeve kompjuterike nga përdoruesit. Ishte virusi i parë që jo vetëm dëmtoi të dhënat në makinën e infektuar, por edhe çaktivizoi plotësisht disa kompjuterë. Në rast se BIOS nuk mund të të rishkruhet përsëri, kompjuteri mund të hidhet në koshin e plehrave”, thotë Sergey Komarov, kreu i departamentit të zhvillimit dhe kërkimit antivirus në Doctor Web.
Virusi mori emrin e tij CIH nga emri i shkurtuar i krijuesit të tij, studenti i Universitetit të Tajvanit Chen Ing-Hau. Emri i tij i dytë - "Çernobil" (Çernobil) u shfaq për faktin se virusi u aktivizua në 26 Prill - ditën e fatkeqësisë në termocentralin bërthamor të Çernobilit.
"Autori i virusit e bëri atë që, kur depërtonte në makinë, virusi nuk prodhonte asnjë veprim të dëmshëm. Ai priste më 26 prill të çdo viti (ajo ishte dita kur shpërtheu termocentrali bërthamor i Çernobilit, prandaj disa njerëz quaj këtë virus "Çernobil") dhe më pas funksionoi," - thotë Komarov nga Doctor Web.
Evgeny Aseev nga Kaspersky Lab kujton se virusi i Çernobilit u zbulua për herë të parë në Tajvan në qershor 1998 - autori i virusit, Chen Ying-Hau, infektoi kompjuterët në një universitet lokal. Pas ca kohësh, CIH doli nga Tajvani: Austria, Australia, Izraeli dhe Britania e Madhe ishin ndër vendet e para të mbuluara nga epidemia. Më vonë, kodi me qëllim të keq u regjistrua në disa vende të tjera, përfshirë Rusinë.
Besohet se shfaqja e skedarëve të infektuar në disa serverë të internetit amerikanë që shpërndajnë programe lojërash ishte shkaku i epidemisë globale të virusit.
Mungesa e ankesave zyrtare nga kompanitë tajvaneze e lejoi Chen t'i shpëtonte dënimit në prill 1999. Për më tepër, "Çernobili" e bëri atë të famshëm: falë shkrimit të virusit, Chen Ying-Hau mori një punë prestigjioze në një kompani të madhe kompjuterash.
DHJETË VITE MË POSHTË. KËRCËNIMET MODERNE.
Sipas Sergei Komarov, kreu i departamentit të zhvillimit dhe kërkimit anti-virus në Doctor Web, më vonë u shfaqën viruse që ishin të ngjashëm me Çernobilin për sa i përket lidhjes së tyre në një datë të caktuar, por ato nuk shkaktuan një dëm të tillë në kompjuter.
"Kjo ka shumë të ngjarë të shpjegohet me faktin se nuk ka kuptim që malware modern të çaktivizojë një kompjuter - është e rëndësishme për ta si një burim, ata punojnë në të, duke fshehur praninë e tyre dhe duke sjellë të ardhura për kriminelët kibernetikë," beson Komarov. E kaluara është koha kur kriminelët kompjuterikë, si Chen Ying-Hau, krijuan viruse në një përpjekje për të afirmuar veten dhe për t'u bërë të famshëm. Ata fitojnë para shumë serioze me mjete kriminale, "konfirmon Evgeny Aseev nga Kaspersky Lab.
Sipas tij, skema e veprimit të virusit të Çernobilit sugjeronte dy skenarë: në rastin më të mirë, fshirjen e të gjithë informacionit nga memoria e kompjuterit, në rastin më të keq, çaktivizimin e plotë të tij. Pamja e kërcënimeve moderne ka ndryshuar në mënyrë drastike dhe është e habitshme në shumëllojshmërinë e saj: "rootkits", rrjetet sociale, lojërat në internet, "botnets" - zona dhe teknologji që përbëjnë një listë jo të plotë të burimeve të kërcënimeve kompjuterike. “Mashtruesit kibernetikë po veprojnë gjithnjë e më të paparashikueshëm dhe të sofistikuar”, thotë Aseev. Sipas tij, sot “prodhimi” i programeve me qëllim të keq është vënë në qarkullim, analistët e Kaspersky Lab zbulojnë më shumë se 17,000 viruse të reja çdo ditë.
“Trojanët” janë në krye, duke vjedhur të dhënat personale të përdoruesit dhe duke u transmetuar “pronarëve” të tyre numrin e kartës së kreditit të pronarit të kompjuterit të infektuar.
Për të promovuar shërbime të reja, reklama dhe shërbime të ngjashme, kompanitë e internetit përdorin në mënyrë aktive potencialin e rrjeteve sociale. Vitin e kaluar, Odnoklassniki dhe Vkontakte, një nga mashtruesit virtualë më "të vogël", ishin në epiqendrën e sulmeve të shumta.
Tregu i lojërave në internet po rritet me një ritëm të jashtëzakonshëm. Trojanët që sulmojnë përdoruesit e sistemeve të pagesave dhe bankave në internet janë zëvendësuar nga trojanë lojërash që përdorin teknologji të reja, duke përfshirë infektimin e skedarëve dhe shpërndarjen në disqet e lëvizshëm. Të njëjtat "trojanë" u përdorën për të organizuar "botnet" (një botnet është një rrjet kompjuterash të infektuar).
"Fjala 'botnet', e cila disa vite më parë gjendej ekskluzivisht në leksikun e punonjësve të kompanive antivirus, së fundmi është bërë e njohur pothuajse për të gjithë. Sot 'botnets' janë burimi kryesor i spamit, sulmeve DDoS dhe shpërndarja e viruseve të reja," vëren Aseev.
Për t'u mbrojtur nga kërcënimet e mundshme, ekspertët rekomandojnë përdoruesit të tregojnë kujdes dhe të jenë jashtëzakonisht të kujdesshëm.
"Mos hapni lidhje të dyshimta të dërguara nga kontakte të panjohura, kontrolloni informacionin e marrë nga "miqtë", mos përdorni fjalëkalime të thjeshta dhe mos i futni askund, përveç burimeve të besueshme, dhe instaloni rregullisht përditësime në sistemin operativ dhe softuerin antivirus." analisti i viruseve këshillon "Kaspersky Lab" Evgeny Aseev.
"RIA Novosti", 27.04.2009
Nuk lejohet përdorimi i të gjitha materialeve të postuara në seksionin "Monitorimi i mediave" të faqes zyrtare të Ministrisë së Telekomit dhe Komunikimeve Masive të Federatës Ruse pa treguar mbajtësin e tyre të së drejtës së autorit të specifikuar për çdo publikim.
Në ditën e 26-të të çdo muaji, pasi të aktivizohet kodi shkatërrues i virusit, pllakat amë të kompjuterit mund të hidhen në kosh. Por vetëm nëse në këta kompjuterë të infektuar me virusin Win95.CIH, çelësi i shkrimit në ROM-in e programueshëm të rishkruhet (Flash BIOS) ishte në pozicionin që lejonte shkrimin në këtë ROM. Dhe, si rregull, të gjithë kompjuterët furnizohen dhe shiten me këtë pozicion ndërprerës.
Virusi Win95.CIH u shkrua në Tajvan, u shpërnda nga autori i këtij pasardhësi përmes internetit dhe tani ka prekur shumicën e vendeve të Azisë Juglindore, si dhe disa vende evropiane (në veçanti, Suedia u prek shumë rëndë).
Virusi Win95.CIH zbulohet dhe trajtohet në mënyrë perfekte duke përdorur Dr. Versioni në internet 4.01. Ju lutemi kontrolloni të gjithë skedarët në hyrje. Kini kujdes të veçantë për të kontrolluar të gjithë skedarët e marrë nëpërmjet internetit.
Përshkrimi i virusit Win95.CIH
Një virus rezident shumë i rrezikshëm. Ai infekton skedarët në formatin EXE PE nën sistemin operativ Windows 95. Gjatë infektimit të skedarëve, virusi nuk e rrit gjatësinë e tyre, por përdor një mekanizëm mjaft interesant për infektimin e skedarëve. Çdo seksion kodi i një skedari EXE PE është i lidhur me një numër të caktuar bajtësh që zakonisht nuk përdoren nga programi. Virusi shkruan pjesë të kodit të tij në zona të tilla, ndonjëherë duke i "shpërndarë" ato në të gjithë skedarin (ose mbi të gjitha seksionet e kodit). Gjithashtu, një virus mund të shkruajë procedurën e tij të fillimit (procedurën që së pari merr kontrollin kur fillon programi) ose edhe të gjithë kodin e tij në zonën e kokës së një skedari EXE PE dhe të vendosë pikën e hyrjes së programit në këtë procedurë të fillimit. Kështu, pika e hyrjes së një skedari mund të mos i përkasë asnjë seksion kodi të skedarit.
Pas marrjes së kontrollit, virusi shpërndan një bllok memorie për vete duke thirrur funksionin PageAllocate dhe "mbledh veten pjesë-pjesë" në një tërësi të vetme në këtë zonë të caktuar të memories. Më pas Win95.CIH përgjon API-në IFS dhe i jep kontroll programit që mbart virusin. Kur hapni skedarë me shtesën EXE dhe formatin PE, virusi i infekton ato.
Në ditën e 26-të të çdo muaji, virusi shkatërron përmbajtjen e Flash BIOS, duke shkruar të dhëna të rastësishme ("mbeturina") në të. Si rezultat, pas rindezjes së parë, kompjuteri ndalon nisjen. Dhe, si rregull, edhe në kushte industriale, rivendosja e përmbajtjes së Flash BIOS dhe rivendosja e kompjuterit në kapacitetin e punës është mjaft e vështirë.
Aktualisht ka 3 modifikime të virusit Win95.CIH, 1003, 1010 dhe 1019 bajt të gjatë. Këto viruse përmbajnë tekste në trupin e tyre:
Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG
P.S. Sipas mendimit tim, propozimi për të hedhur në kosh pllakat amë të dëmtuara nga virusi Win95.CIH është disi i parakohshëm. Flash BIOS, me aftësi të veçanta, mund të riprogramohet edhe në shtëpi. Nëse ende nuk keni fituar aftësi të tilla, duhet të kontaktoni shitësit ose përfaqësuesit e prodhuesit të "nënës" tuaj me një kërkesë për të zëvendësuar Flash BIOS.
Gjithashtu i njohur si "Çernobil". Virusi rezident, funksionon vetëm nën Windows95/98 dhe infekton skedarët PE
(E ekzekutueshme portative). Ka një gjatësi mjaft të vogël - rreth 1 Kb. ishte
u zbulua "i gjallë" në Tajvan në qershor 1998 - autori i virusit të infektuar
kompjuterë në universitetin lokal ku ai (autori i virusit) në atë kohë
iu nënshtrua trajnimit. Pas ca kohësh, skedarët e infektuar ishin (rastësisht?)
u dërgua në konferencat lokale të Internetit dhe virusi doli nga
Tajvan: gjatë javës në vijim, u raportuan epidemi virale
Austria, Australia, Izraeli dhe Britania e Madhe. Më pas virusi u zbulua në
disa vende të tjera, përfshirë Rusinë.
Rreth një muaj më vonë, dosjet e infektuara u gjetën në disa
Ueb serverë amerikanë që shpërndajnë programe lojërash. Ky fakt,
me sa duket, dhe shërbeu si shkak i epidemisë virale globale që pasoi. 26
Prilli 1999 (rreth një vit pas shfaqjes së virusit) funksionoi
"bombë logjike" e ngulitur në kodin e saj. Sipas vlerësimeve të ndryshme, në këtë ditë
në mbarë botën, rreth gjysmë milioni kompjuterë u prekën - ata kishin
të dhënat në hard disk janë shkatërruar, dhe në disa plus janë të korruptuara
përmbajtja e çipave BIOS në pllakat amë. Ky incident është bërë
fatkeqësi kompjuterike - epidemitë e viruseve dhe pasojat e tyre asnjëherë më parë
që nuk ishin aq të përmasave dhe nuk sollën humbje të tilla.
Me sa duket, për arsyet se 1) virusi ishte një kërcënim real për kompjuterët gjatë
në mbarë botën dhe 2) data e operacionit të virusit (26 prill) përkon me datën
aksidenti në termocentralin bërthamor të Çernobilit, virusi mori të dytin
emri - "Çernobil" (Çernobil).
Autori i virusit, ka shumë të ngjarë, nuk e lidhi tragjedinë e Çernobilit
me virusin e tij dhe caktoi datën e “bombës” 26 prill
një arsye tjetër: më 26 prill 1998 lëshoi versionin e parë
të virusit të tij (i cili, meqë ra fjala, nuk u largua nga Tajvani) - 26
Në prill, virusi CIH feston “ditëlindjen” në këtë mënyrë.
Si funksionon virusi
Kur lëshohet një skedar i infektuar, virusi instalon kodin e tij në memorien e Windows,
përgjon akseset e skedarëve dhe, kur hap skedarët PE EXE, i shkruan
ato kopja juaj. Përmban gabime dhe në disa raste e var sistemin
kur ekzekutoni skedarë të infektuar. Fshin Flash-in në varësi të datës aktuale
BIOS dhe përmbajtja e diskut.
Shkrimi në Flash BIOS është i mundur vetëm në llojet përkatëse të pllakave amë.
bordet dhe me vendosjen aktivizuese të çelësit përkatës. Kjo
çelësi është vendosur normalisht në vetëm për lexim, megjithatë kjo
nuk është e vërtetë për të gjithë prodhuesit e kompjuterëve. Fatkeqësisht, Flash BIOS
në disa pllaka amë moderne nuk mund të mbrohen
switch: disa prej tyre lejojnë shkrimin në Flash në çdo pozicion
kaloni, në të tjerët, mbrojtja e shkrimit në Flash mund të anulohet në mënyrë programore.
Pas fshirjes me sukses të memories Flash, virusi kalon në një tjetër
procedurë destruktive: fshin informacionin për të gjitha instalimet
hard disqet. Në këtë rast, virusi përdor qasje të drejtpërdrejtë në të dhënat në disk dhe
në këtë mënyrë anashkalon mbrojtjen standarde antivirus të integruar në BIOS kundër
shkruan në sektorët e nisjes.
Ekzistojnë tre versione kryesore ("të autorit") të virusit. Ata janë mjaft të ngjashëm
mbi njëri-tjetrin dhe ndryshojnë vetëm në detaje të vogla të kodit në të ndryshme
nënprogramet. Versionet e virusit kanë gjatësi, rreshta teksti dhe data të ndryshme
Aktivizimi i procedurës së fshirjes së diskut dhe Flash BIOS:
Gjatësia e tekstit Data e aktivizimit u zbulua "i gjallë"
1003 CIH 1.2 TTIT 26 Prill Po
1010 CIH 1.3 TTIT 26 Prill Nr
1019 CIH 1.4 TATUNG 26 e çdo muaji Po - në shumë vende
Detaje teknike
Kur infekton skedarë, virusi kërkon "vrima" (blloqe të dhënash të papërdorura) në to dhe
u shkruan kodin e tij. Prania e "vrimave" të tilla është për shkak të strukturës
Skedarët PE: pozicioni i secilit seksion në skedar përafrohet me një specifik
vlera e specifikuar në kokën PE, dhe në shumicën e rasteve midis fundit
seksioni i mëparshëm dhe fillimi i seksionit tjetër ka një numër të caktuar bajtësh,
që nuk përdoren nga programi. Virusi kërkon skedarin për të papërdorur
bllokon, shkruan kodin e tij në to dhe rritet me vlerën e kërkuar
madhësia e modifikuar e seksionit. Madhësia e skedarëve të infektuar nuk rritet.
Nëse ka një "vrimë" me madhësi të mjaftueshme në fund të çdo seksioni,
virusi e shkruan kodin e tij në të në një bllok. Nëse nuk ka një vrimë të tillë,
virusi ndan kodin e tij në blloqe dhe i shkruan ato në fund të seksioneve të ndryshme
dosje. Kështu, kodi i virusit në skedarët e infektuar mund të zbulohet
si një bllok i vetëm kodi, dhe si disa blloqe të palidhura.
Virusi gjithashtu kërkon një bllok të dhënash të papërdorur në kokën PE. Nëse në fund
header ka një "vrimë" prej të paktën 184 bajt, virusi i shkruan atij
procedurën tuaj të fillimit. Virusi më pas ndryshon adresën fillestare të skedarit:
shkruan adresën e procedurës së fillimit në të. Si rezultat i kësaj qasjeje
struktura e skedarit bëhet mjaft jo standarde: adresa e fillimit
Procedurat e programit nuk tregojnë në asnjë seksion të skedarit, por jashtë
Moduli i ngarkueshëm - në kokën e skedarit. Megjithatë, Windows95 jo
vëmendje ndaj skedarëve të tillë "të çuditshëm", ngarkon kokën e skedarit në memorie, pastaj
të gjitha seksionet dhe transferon kontrollin në adresën e specifikuar në kokë - te
procedura e nisjes së virusit në kokën PE.
Pasi të ketë marrë kontrollin, procedura e nisjes së virusit shpërndan një bllok memorie
Thirrja VMM në PageAllocate, kopjon kodin e saj atje dhe më pas përcakton adresat
bllokon kodin e mbetur të virusit (të vendosur në fund të seksioneve) dhe i shton ato
në kodin e procedurës suaj të nisjes. Virusi më pas përgjon API-në IFS dhe
kthen kontrollin në programin pritës.
Nga pikëpamja e sistemit operativ, kjo procedurë është më interesante
virus: pasi virusi ka kopjuar kodin e tij në një bllok të ri memorie dhe
kontrolli i transferuar atje, kodi i virusit ekzekutohet si aplikacion Ring0 dhe
virusi është në gjendje të përgjojë API-në AFS (kjo është e pamundur për programet
kryer në Ring3).
Përgjuesi IFS API trajton vetëm një funksion - hapjen e skedarëve.
Nëse hapet një skedar me shtesën EXE, virusi kontrollon të brendshmen e tij
format dhe shkruan kodin e tij në skedar. Pas infektimit, kontrollohet virusi
data e sistemit dhe thërret procedurën e Flash BIOS dhe Disk Sector Erase (shih më lart).
Kur fshin Flash BIOS, virusi përdor portat e duhura
lexoni / shkruani, kur fshini sektorët e diskut, virusi thërret funksionin VxD
qasja direkte në disk IOS_SendCommand.
Variantet e njohura të virusit
Autori i virusit jo vetëm që lëshoi kopje të skedarëve të infektuar "për liri", por gjithashtu
dërgoi tekstet e montimit burimor të virusit. Kjo ka çuar në këto
tekstet u korrigjuan, u përpiluan dhe u shfaqën shpejt
modifikime të virusit që kishin gjatësi të ndryshme, por për nga funksionaliteti ato
të gjithë korrespondonin me "prindin" e tyre. Në disa variante të virusit,
data e "bombës" u ndryshua, ose ky seksion nuk u thirr fare.
Dihet gjithashtu për versionet "origjinale" të virusit që funksionojnë me ditë
përveç datës 26 [prill]. Ky fakt shpjegohet me faktin se kontrollimi i datës në
Kodi i virusit ndodh sipas dy konstanteve. Natyrisht, në mënyrë që të
vendosni kohëmatësin e "bombës" për çdo ditë të caktuar, mjafton të ndryshoni vetëm
dy bajt në kodin e virusit.
Zakonisht, viruset sjellin dëmtim të softuerit në një kompjuter. Në një mënyrë ose në një tjetër, viruset ndërlikojnë punën e një kompjuteri, monitorojnë ose vjedhin disa të dhëna të përdoruesit. Për shembull, një shumë e pakëndshme që e përndjek në mënyrë shumë të bezdisshme përdoruesin në çdo shfletues. Por është e gjitha softuer. Një produkt softuerik i dëmtuar dhe i infektuar me virus mund të riparohet ose zëvendësohet. A ka viruse që mund të dëmtojnë harduerin e kompjuterit?
Virus Win95.CIH (Çernobil)
Çernobil është emri i virusit të parë kompjuterik, i cili tregoi se viruset mund të dëmtojnë jo vetëm softuerin, por edhe harduerin kompjuterik. Virusi i Çernobilit, i shkruar në vitin 1998 nga një student tajvanez, ka korruptuar përmbajtjen e BIOS-it në disa pllaka amë, gjë që mund të shkaktojë dëme në vetë pllakën amë. Dhe ka pasur raste të tilla. Por megjithatë, pjata kryesore ishte shkatërrimi i të gjitha informacioneve nga hard disku i kompjuterit. Epo, të paktën disa plus, sepse nevoja u qetësua. Të gjithë ata që patën fatkeqësinë të kapin këtë virus tashmë kanë vuajtur këtu.
Virusi mori emrin e tij të parë - Win95.CIH - nga autori i tij. Nga rruga, ai lëshoi tre versione të ndryshme të virusit të tij, të cilët nuk ndryshonin shumë nga njëri-tjetri. Vërtetë, versioni i fundit u lançua në datën 26 të çdo muaji. Dhe secili version kishte numrin e vet. Por emri i dytë - virusi i Çernobilit - iu dha atij nga bota e kompjuterave. Pse? Sepse virusi u aktivizua më 26 prill dhe prodhoi të gjitha veprimet shkatërruese në atë ditë. Dhe në këtë ditë të vitit 1986, për fat të keq, ndodhi aksidenti i Çernobilit. Edhe pse, siç thotë autori i virusit, data e lëshimit të virusit - 26 prilli i çdo viti - u zgjodh vetëm sepse vetë virusi festoi ditëlindjen në atë ditë. Megjithatë, ai festoi në mënyrën e tij.
Rreziku i virusit të Çernobilit
Virusi i Çernobilit nuk paraqet më asnjë rrezik, pasi mjedisi i punës për këtë virus janë kompjuterët me sisteme operative Windows 95 dhe 98. Por kjo nuk do të thotë aspak se nuk ka rrezik të infektohet me një virus që do të çaktivizojë harduerin e kompjuterit. Kjo tregon vetëm se shumë në mbarë botën janë të vetëdijshëm për këtë mundësi dhe duan të përsërisin suksesin e studentit tajvanez. Dhe disa tashmë kanë pasur sukses. Por ata nuk kanë gjasa të jenë në gjendje të bëhen më të famshëm se Çernobili. Meqenëse i pari i këtij lloji është më i lehtë për t'u mbajtur mend.
