Перейти до вмісту

Вірус "Чорнобиль"


Повідомлень в темі: 10

#1 Гуцул

    Генеральний писар

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 792 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 26.06.2007 – 12:35

  • 10
Хтось про нього чув??

#2 Сварус

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 3815 повідомлень
  • Стать:Чоловік
  • Місто:Вінниця

Відправлено 26.06.2007 – 14:24

це типу win95.cih ?
якщо так, то мав з ним справу...
  • 0

#3 Mr.Ripley

    (͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 4663 повідомлень
  • Стать:Не скажу

Відправлено 02.07.2007 – 13:08

Перегляд дописуСварус (26.06.2007 15:24) писав:

це типу win95.cih ?
якщо так, то мав з ним справу...
а шо він робить цей вірус?
  • 0

#4 maxbestua

    Частий гість

  • Користувачі
  • PipPipPip
  • 63 повідомлень

Відправлено 21.07.2007 – 21:19

Перегляд дописуLOГ (2.07.2007 14:08) писав:

а шо він робить цей вірус?



:D

Перегляд дописуLOГ (2.07.2007 14:08) писав:

а шо він робить цей вірус?




B)

Перегляд дописуMr.Gucul (26.06.2007 13:35) писав:

Хтось про нього чув??


:D



Добірна відповідь, тримайте +10 попереджень за порушення правил форуму (4.7.9)
Злобний модератор web-nation.org

  • 0

#5 Archon-ua

    Літають тут всякі...

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 998 повідомлень
  • Стать:Чоловік
  • Місто:Земля і біля неї...

Відправлено 21.07.2007 – 21:40

Перегляд дописуLOГ (2.07.2007 14:08) писав:

а шо він робить цей вірус?

Каку він робить... B)
  • 0

#6 banderivec

    Місцевий

  • Користувачі
  • PipPipPipPipPipPip
  • 262 повідомлень
  • Стать:Чоловік
  • Місто:криївка в лісі

Відправлено 21.07.2007 – 22:55

Перегляд дописуLOГ (2.07.2007 14:08) писав:

а шо він робить цей вірус?
він активізується лише 26 квітня B)
  • 0

#7 Mr.Ripley

    (͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)(͡° ͜ʖ ͡°)

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 4663 повідомлень
  • Стать:Не скажу

Відправлено 22.07.2007 – 12:34

Перегляд дописуmaxbestua (21.07.2007 21:19) писав:

:happy1:
:cry:
:cool1:
Шо курив?

Перегляд дописуArchon-ua (21.07.2007 21:40) писав:

Каку він робить... B)

дякую за змістовну і конструктивну відповідь :happy1:

Перегляд дописуbanderivec (21.07.2007 22:55) писав:

він активізується лише 26 квітня :cry:

Я шо питав коли він активізується?
  • 0

#8 tHe_Eney

    Профі

  • Користувачі
  • PipPipPipPipPipPipPip
  • 348 повідомлень
  • Стать:Чоловік
  • Місто:Косів

Відправлено 24.07.2007 – 01:05

ну блін увас тут і діалог плідний... я як зайшов, то пудомав шо тут якісь проФФесори засідають...
  • 0

#9 Archon-ua

    Літають тут всякі...

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 998 повідомлень
  • Стать:Чоловік
  • Місто:Земля і біля неї...

Відправлено 24.07.2007 – 01:29

Цитата

Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Был обнаружен "в живом виде" на Тайване в июне 1998 - автор вируса заразил компьютеры в местном университете, где он (автор вируса) в то время проходил обучение. Через некоторое время зараженные файлы были (случайно?) разосланы в местные Интернет-конференции, и вирус выбрался за пределы Тайваня: за последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. Затем вирус был обнаружен и в нескольких других странах, включая Россию.

Примерно через месяц зараженные файлы были обнаружены на нескольких американских Web-серверах, распространяющих игровые программы. Этот факт, видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26 апреля 1999 года (примерно через год после появления вируса) сработала "логическая бомба", заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров - у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчено содержимое микросхем BIOS на материнских платах. Данный инцидент стал настоящей компьютерной катастрофой - вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.

Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой аварии на Чернобыльской атомной электростанции, вирус получил свое второе имя - "Чернобыль" (Chernobyl).

Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со своим вирусом и поставил дату срабатывания "бомбы" на 26 апреля по совсем другой причине: именно 26 апреля в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня) - 26 апреля вирус "CIH" отмечает подобным образом свой "день рождения".

Как вирус работает
При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответсвующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.

Известно три основные ("авторские") версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS:

Длина Текст Дата срабатывания Обнаружен "в живом виде"
1003 CIH 1.2 TTIT 26 апреля Да
1010 CIH 1.3 TTIT 26 апреля Нет
1019 CIH 1.4 TATUNG 26 каждого месяца Да - во многих странах

Технические детали
При заражении файлов вирус ищет в них "дыры" (блоки неспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено структурой PE-файлов: позиция каждой секции в файле выравнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.

Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.

Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю.

С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3).

Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше).

При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.

Известные варианты вируса
Автор вируса не только выпустил копии зараженных файлов "на свободу", но и разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти тексты были откорректированы, откомпилированы и вскоре появились модификации вируса, имевшие различные длины, однако по функциональности они все соответствовали своему "родителю". В некоторых вариантах вируса была изменена дата срабатывания "бомбы", либо этот участок вообще никогда не вызывался.

Известно также об "оригинальных" версиях вируса, срабатывающих в дни, отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в коде вируса происходит по двум константам. Естественно, что для того, чтобы поставить таймер "бомбы" на любой заданный день, достаточно поменять лишь два байта в коде вируса.

Ще тут http://www.viruslist.com/ru/VirusList.html...000050000500007
  • 0

#10 V.Wolf

    Абориген

  • Користувачі
  • PipPipPipPip
  • 77 повідомлень
  • Місто:м.Луцьк

Відправлено 16.08.2007 – 12:45

Є ще модифікація "Чорнобиля" який не просто стирає вінт а фізично його ламає!!!
Зчитуючу головку ставитб на початок такту, і блискавично відправляє її в кінець паралельно з відключенням управління головкою (простіше сказати своєрідним гальмом) внаслідок чого робоча частина головки розкалібровується і вінту настає п.......ь :yes:
  • 0

#11 дурне дитя з Венери

    Т псих 2007 [b][img]star[/img][/b]

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1797 повідомлень
  • Стать:Чоловік
  • Місто:КИЇВ

Відправлено 19.08.2007 – 14:15

А до когось цей вірус ціплявся вже?
  • 0



Кількість користувачів, що читають цю тему: 1

0 користувачів, 1 гостей, 0 анонімних