Обычно, вирусы приносят программный вред компьютеру. Тем или иным способом вирусы усложняют работу за компьютером, следят либо крадут какие-нибудь данные пользователя. Например, весьма неприятный , который очень назойливо преследует пользователя в любом браузере. Но всё это программно. Испорченный, зараженный вирусом программный продукт можно либо вылечить, либо заменить. А есть ли вирусы, которые могут нанести ущерб аппаратному обеспечению компьютера?

Вирус Win95.CIH(Чернобыль)

Чернобыль — такое название получил первый компьютерный вирус, который показал, что вирусы могут портить не только программное обеспечение, но и аппаратное обеспечение компьютера. Вирус Чернобыль, написанный в 1998 году тайваньским студентом, портил содержимое BIOS на некоторых системных платах, что могло вызвать порчу самой материнской платы. И такие случаи были. Но все же основным блюдом было уничтожение всей информации с жесткого диска компьютера. Ну хоть какой-то плюс, ведь необходимость спадала. Тут уже пострадали все те, кто имел несчастье прихватить данный вирус.

Свое первое название — Win95.CIH — вирус получил от своего автора. Кстати, выпустил он три различных версии своего вируса, которые не сильно отличались друг от друга. Правда, последняя версия запускалась 26 числа каждого месяца. И каждая версия имела свой номер. А вот второе название — вирус Чернобыль — ему подарил компьютерный мир. Почему? Потому что вирус активизировался 26 апреля и производил все деструктивные действия в этот день. И именно в этот день 1986 года, к несчастью, произошла Чернобыльская авария. Хотя, как говорит автор вируса, дата запуска вируса - 26 апреля каждого года - была выбрана только потому, что в этот день праздновал свой день рождение сам вирус. Праздновал он, однако, по своему.

Опасность вируса Чернобыль

Вирус Чернобыль уже не несет никакой опасности, так как рабочая среда для этого вируса - компьютеры на операционных системах Windows 95 и 98. Но это вовсе не говорит о том, что опасности заражения вирусом, который выведет из строя аппаратное обеспечение компьютера, нет. Это говорит только о том, что многие по всему миру знают о такой возможности и хотят повторить успех тайваньского студента. И некоторым это уже удалось. Но стать более известным, чем «Чернобыль», они вряд ли смогут. Так как первого в своём роде легче запомнить.

CIH , или «Чернобыль» (Virus.Win9x.CIH) компьютерный вирус, написанный тайваньским студентом Чэнем Ин Хао в июне 1998 года. Представляет собой резидентный вирус, работающий только под операционной системой Windows 95/98.

История

26 апреля 1999 года, в годовщину Чернобыльской аварии вирус активизировался и уничтожил данные на жёстких дисках инфицированных компьютеров. На некоторых компьютерах было испорчено содержимое микросхем BIOS. Именно совпадение даты активации вируса и даты аварии на ЧАЭС дали вирусу второе название «Чернобыль», которое в народе даже более известно, чем «CIH».

По различным оценкам, от вируса пострадало около полумиллиона персональных компьютеров по всему миру.

По данным The Register, 20 сентября 2000 года власти Тайваня арестовали создателя знаменитого компьютерного вируса.

Название

Вирус CIH получил название «Чернобыль». Отмечают две возможные версии происхождения названия:

1. Вирус нанёс крупный урон многим компьютерам во всем мире.
2. Дата срабатывания «логической бомбы», заложенной автором, совпадает с датой аварии на Чернобыльской АЭС 26 апреля.

Распространение

Первый рабочий вирус был обнаружен в июне 1998 года в Тайване автор вируса заразил компьютеры в своём университете. За последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. Позднее следы вируса были обнаружены в нескольких других странах, включая Россию. Заражение нескольких американских веб-серверов, распространяющих компьютерные игры, послужило причиной глобальной вирусной эпидемии, начавшейся 26 апреля 1999 года. На полумиллионе компьютеров сработала «логическая бомба» была уничтожена информация на жёстких дисках и повреждены данные на микросхемах BIOS.

Принципы работы

При запуске зараженного файла вирус записывает свой код в память Windows, перехватывая запуск EXE-файлов и записывая в них вредоносный код. В зависимости от текущей даты вирус способен повреждать данные на Flash BIOS и жестких дисках компьютера.

Автор вируса

Чен Инь Хао (Chen Ing Hau), родился 25 августа, 1975 года, Тайвань.
Чен написал CIH во время своей учебы в университете Татунг (Tatung) в Тайпей. Когда он создал вирус, он получил серьезный выговор от университета.
Узнав, что вирус стал широко распространенным, он занервничал. Некоторые его одноклассники настоятельно советовали ему не признаваться в создании вируса, однако он сам был уверен, что при наличии достаточного запаса по времени эксперты по безопасности смогут его вычислить. Поэтому еще до окончания университета он написал официальное извинение в Интернете, в котором он публично попросил прощения у жителей Китая, компьютеры которых пострадали. Из-за воинской повинности Чен пошел служить. Согласно тайваньским законам тех времен он не нарушил никаких законов, и он никогда не привлекался к уголовной ответственности за создание этого вируса.
В настоящее время Чен работает в Gigabyte.

Факты

• «Чернобыль» работает только под Windows95/98.
• Вирус имеет довольно небольшой размер около 1 кБ.
• Автор вируса также разослал исходный код вируса.
• В мае 2006 года студент одного из технических вузов Воронежа Сергей Казачков был приговорён к 2 годам лишения свободы условно по статье 273 УК РФ за распространение компьютерных вирусов в интернете, в их числе был и CIH

Скопипастил и немного подредактировал с википедии

26 числа каждого месяца после срабатывания деструктивного кода вируса материнские платы компьютеров можно выбрасывать на помойку. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.

Вирус Win95.CIH был написан в Тайване, распространялся автором этого детища через Интернет, и в настоящее время поразил большинство стран Юго-Восточной Азии, а также некоторые европейские страны (в частности, очень серьезно пострадала Швеция).

Вирус Win95.CIH прекрасно детектируется и лечится с помощью программы Dr. Web версии 4.01. Пожалуйста, проверяйте все приходящие файлы. Особенно тщательно контролируйте все файлы, полученные через сеть Интернет.

Описание вируса Win95.CIH

Очень опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением операционной системы Windows 95. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выровнена на определенное количество байт, обычно неиспользуемых программой. В такие области вирус и записывает части своего кода, "разбрасывая" их иногда по всему файлу (или по всем кодовым секциям). А также вирус может записать свою стартовую процедуру (процедуру, первой получающую управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.

При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и "собирает себя по частям" в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.

26 числа каждого месяца вирус уничтожает содержимое Flash BIOS, записывая в него случайные данные ("мусор"). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.

В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

Win95.CIH.1003 - CIH v1.2 TTIT

Win95.CIH.1010 - CIH v1.3 TTIT

Win95.CIH.1019 - CIH v1.4 TATUNG

P.S. На мой взгляд, предложение выбрасывать материнские платы, испорченные вирусом Win95.CIH, на помойку несколько преждевременно. Flash BIOS, при наличии специальных навыков, можно перепрограммировать даже в домашних условиях. Если же такие навыки Вы до сих пор не приобрели, стоит обратиться к продавцам или представителям фирмы-производителя Вашей "мамы" с просьбой заменить Flash BIOS.

Первый глобальный вирус, поразивший около 500 тысяч компьютеров, отмечает 10-летний юбилей

Первый глобальный вирус CIH, также получивший название "Чернобыль" (Chernobyl), отмечает 10-летний юбилей.

"26 апреля 1999 года произошла глобальная компьютерная катастрофа: по различным данным, пострадало около полумиллиона компьютеров по всему миру, никогда еще последствия вирусных эпидемий не были столь масштабными и не сопровождались такими глобальными убытками", - вспоминает вирусный аналитик "Лаборатории Касперского" Евгений Асеев.

По его словам, тогда оказались уничтожены данные на жестких дисках, а на материнских платах некоторых машин было повреждено содержимое микросхем BIOS.

"Этот вирус послужил некой поворотной точкой в восприятии компьютерных угроз пользователями. Это был первый вирус, который нанес урон не только данным, находящимся на заразившейся машине, но и вывел из строя некоторые компьютеры целиком. В том случае, если BIOS нельзя было переписать заново, компьютер можно было выбрасывать на помойку", - отмечает в свою очередь руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров.

Свое название CIH вирус получил от сокращенного имени своего создателя - студента тайваньского университета Чен Ин-Хау (Chen Ing-Hau). Его второе название - "Чернобыль" (Chernobyl) появилось из-за того, что вирус активировался 26 апреля - день катастрофы на Чернобыльской АЭС.

"Автор вируса сделал так, что, проникая на машину, вирус не производил никаких вредоносных действий. Он выжидал 26 апреля каждого года (именно в этот день взорвалась АЭС в Чернобыле, поэтому некоторые называют этот вирус "Чернобыль") и тогда срабатывал", - говорит Комаров из "Доктор Веб".

Евгений Асеев из "Лаборатории Касперского" напоминает, что вирус "Чернобыль" впервые был обнаружен на Тайване в июне 1998 года - автор вируса Чен Ин-Хау заразил компьютеры в местном университете. Через некоторое время CIH выбрался за пределы Тайваня: Австрия, Австралия, Израиль и Великобритания оказались в числе первых стран, охваченных эпидемией. Позднее вредоносный код был зарегистрирован и в нескольких других странах, в том числе в России.

Полагают, что появление зараженных файлов на нескольких американских web-серверах, распространяющих игровые программы, и послужило причиной глобальной вирусной эпидемии.

Отсутствие официальных жалоб со стороны тайваньских компаний позволило Чену в апреле 1999 года избежать наказания. Более того, "Чернобыль" сделал его знаменитым: благодаря написанию вируса Чен Ин-Хау получил престижную работу в крупной компьютерной компании.

ДЕСЯТЬ ЛЕТ СПУСТЯ. СОВРЕМЕННЫЕ УГРОЗЫ.

По словам руководителя отдела антивирусных разработок и исследований компании "Доктор Веб" Сергея Комарова, впоследствии появлялись вирусы, схожие с "Чернобылем" по привязанности к определенной дате, однако такого вреда компьютерам они не наносили.

"Объясняется это, скорее всего, тем фактом, что современным вредоносным программам нет смысла выводить компьютер из строя - он важен для них как ресурс, они на нем работают, скрывая свое присутствие и принося доходы киберпреступникам", - полагает Комаров."Давно ушли в прошлое те времена, когда компьютерные преступники, подобно Чен Ин-Хау, создавали вирусы, стремясь самоутвердиться и прославиться. Деяния современных киберпреступных сообществ невозможно квалифицировать как простое хулиганство: за прошедшие годы виртуальные мошенники отточили мастерство и преследуют максимально приземленную цель - обогащение. Причем виртуальные мошенники зарабатывают криминальным путем очень серьезные деньги", - подтверждает Евгений Асеев из "Лаборатории Касперского".

По его словам, схема действия вируса Chernobyl предполагала два сценария: в лучшем случае - удаление из памяти компьютера всей информации, в худшем - полный вывод его из строя. Картина современных угроз кардинально изменилась и поражает своим разнообразием: "руткиты", социальные сети, онлайн-игры, "ботнеты" - области и технологии, составляющие далеко не полный перечень источников компьютерных угроз. "Кибермошенники действуют все более непредсказуемо и изощренно", - констатирует Асеев.По его словам, сегодня "производство" вредоносных программ поставлено на поток, аналитики "Лаборатории Касперского" ежедневно детектируют более 17 тысяч новых вирусов.

Лидируют "троянцы", ворующие личные данные пользователя и передающие своим "хозяевам" номер кредитной карточки владельца зараженного компьютера.

Для продвижения новых услуг, рекламы и попутных сервисов интернет-компании активно используют потенциал социальных сетей. В минувшем году в эпицентре многочисленных атак оказались "Одноклассники" и "В контакте", одни из самых "лакомых кусочков" для виртуальных мошенников.

Колоссальными темпами развивается рынок онлайн-игр. Сместив "троянцев", атакующих пользователей систем онлайн-платежей и банкинга, на первое место вышли игровые "троянцы", в которых применялись новые технологии, в том числе механизм заражения файлов и распространение на съемных накопителях. Эти же "троянцы" использовались для организации "ботнетов" (botnet - сеть, состоящая из зараженных компьютеров).

"Слово "ботнет", которое несколько лет назад встречалось исключительно в лексиконе сотрудников антивирусных компаний, в последнее время стало известно практически всем. Сегодня "ботнеты" - основной источник распространения спама, DDoS-атак, рассылки новых вирусов", - отмечает Асеев.

Чтобы обезопасить себя от возможных угроз, эксперты рекомендуют пользователям проявлять осторожность и быть предельно внимательными.

"Не открывайте подозрительные ссылки, присланные незнакомыми контактами, проверяйте информацию, полученную от "друзей", не используйте простые пароли и не вводите их нигде, кроме доверенных ресурсов, а также регулярно устанавливайте обновления операционной системы и антивирусного ПО", - советует вирусный аналитик "Лаборатории Касперского" Евгений Асеев.

"РИА Новости", 27.04.2009

Не допускается использование всех материалов, размещенных в разделе «Мониторинг СМИ» официального сайта Министерства связи и массовых коммуникаций РФ, без указания их правообладателя, указанного для каждой публикации

Компьютерные вирусы, по своей природе и способу распространения чем-то сродни своим биологическим "собратьям", болезнь всегда легче и с меньшими потерями предотвратить, чем бороться с последствиями. Возможно изложить массу возражений, что высказанные выше мысли не совсем верны, в некоторых случаях невозможно все предусмотреть. Но эти возражения никоем образом не относятся к случаю с вирусом Чернобыль. Можно перефразировать известную поговорку и утверждать, что от вируса, тюрьмы и сумы нельзя зарекаться. Но чем можно объяснить существование этого вируса на компьютере в течении месяцев, когда как он известен любому антивирусному сканеру, который достоин называться сканером!
Но отбросим эмоции в сторону и так:

МИФ 1 - после срабатывания вируса, информация теряется навсегда

Этот миф поддерживается многими специалистами. Даже очень уважаемые фирмы, в том числе и компьютерные утверждают, что после срабатывания вируса Чернобыль, информация теряется навсегда.
Эти утверждения основываются на том, что утилиты восстановления данных, применяемые в их обыденной практике не дают положительных результатов. Даже применение таких мощных утилит восстановления как EasyRecovery и Tiramisu не дает нужного эффекта.
Однако, это неверное и даже фатальное для многих пострадавших от вируса пользователей утверждение. Практика работ лаборатории FomSoft опровергает подобные утверждения. После атаки вируса восстановлению подлежат стопроцентному восстановлению второй и последующие логические разделы винчестера. Первый раздел, диск C:, также восстанавливается на все 100%, если он содержал файловую систему FAT-32. Если диск С: был размечен как FAT-16, то в этом случае вирус затирает обе копии FAT и корневое оглавление. Но даже в этом случае возможно восстановить не фрагментированные файлы и как правило, структуру дерева каталогов. Даже в случае дефрагментации субкаталогов удается найти их разрозненные сектора и извлечь из них нужные каталоги и файлы. Причем, в отличии от EasyRecovery и Tiramisu, при восстановлении сохраняются русские наименования файлов и каталогов. Для восстановления информации лаборатория FomSoft применяет собственные программные средства восстановления, которые написаны с учетом многолетнего опыта работы. Эти программные средства не являются автоматическими, это только инструментарий анализа и дополнительной обработки той или иной информации. Поэтому залогом успешного восстановления является не программа, с ее заранее заложенным алгоритмом работы, а человеческий интеллект и опыт работы.

МИФ 2 - вирус посвящен Чернобыльской аварии

В основе этого мифа лежит, яркое и печальное для всех нас трагические события на Чернобыльской атомной электростанции, ее четвертом энергоблоке.
Однако, ничего общего и реальной причиной, побудившей автора вируса установит именно эту дату, Чернобыльские события не имеют. Как это не банально, это день рождения автора вируса.
И на последок, давайте не будем еще раз винить автора вируса, который искренне раскаивается в содеянном, а положим руку на сердце и спросим себя - Кто в большей степени виновник в случившемся несчастье и что нужно делать, чтобы это не повторилось на следующий год?

Возможности восстановления данных после вирусной атаки

Восстановление информации на винчестере после атаки вируса Чернобыль имеет рад особенностей.
Главным залогом успешного восстановления является отсутствие привнесенных искажений в секторное пространство разрушенного жесткого диска. Такие искажения являются следствием двух основных причин:

• неудачных попыток восстановления специалистами, которые не знают особенности и специфику искажений данных вносимых на жесткий диск именно этим вирусом;
• запуск Пользователями "безобидной" системной программы FDISK.

Если первая причина в комментариях не нуждается, то на вторую следует обратить особое внимание. Для многих пользователей будет откровением узнать, что программа FDISK имеет недокументированную особенность. Которая заключается в том, что программа FDISK проверяет форматирован ли жесткий диск. Ели программа посчитает, что жесткий диск неформатирован, то она, без какого-либо предупреждения, забивает первый и седьмой сектора всех дорожек предполагаемой системной области шестнадцатеричным символом 0F6h .

Если привнесенных искажений нет, или их можно нейтрализовать, то сто процентному восстановлению подлежат второй и последующие логические разделы жесткого диска, не зависимо от типа файловой системы. (Если на компьютере жесткий диск единственный, то это будут диски D:, E: и т. д.) .

Если диск С: содержит файловую систему FAT-32, то он также будет восстановлен на 100%

Если диск С: содержит файловую систему FAT-16, то восстановлению подлежат только не фрагментированные файлы, и файлы длина который меньше размера кластера. (Обычно кластер имеет размер 32 или 16 Кбайт).