knowledgr.de

CIH (Computervirus)

Neues Wissen!

CIH, auch bekannt als Tschernobyl oder Spacefiller, ist ein in Taiwan geschriebenes Windows-Computervirus von Microsoft. Es ist eines der zerstörendsten Viren, kritische Information über angesteckte Systemlaufwerke, und wichtiger überschreibend, in einigen Fällen das System BIOS verderbend.

Der Name "Virus von Tschernobyl" wurde eine Zeit ins Leben gerufen, nachdem das Virus bereits als CIH weithin bekannt war, und sich auf den ganzen Zufall des Nutzlast-Abzug-Datums in einigen Varianten des Virus (wirklich das Virus-Entwicklungsdatum 1998 bezieht, um genau ein Jahr später auszulösen), und der Unfall von Tschernobyl, der im ukrainischen SSR am 26. April 1986 geschehen ist.

Geschichte

Im September 1998 hat Yamaha eine Firmware-Aktualisierung zu ihren Laufwerken der CD-R400 verladen, die mit dem Virus angesteckt wurde. Im Oktober 1998 wurde eine Demoversion des Spiels von Activision SiN durch eine seiner Spiegelseiten angesteckt. Im März 1999 hat sich mehrerer tausend IBM Aptivas mit dem CIH Virus gerade einen Monat eingeschifft, bevor das Virus auslösen würde.

Die Doppelnutzlast von CIH wurde zum ersten Mal am 26. April 1999 mit dem grössten Teil des Schadens geliefert, der in Asien vorkommt. CIH hat die ersten 1024 Kilobytes des Stiefellaufwerkes des Gastgebers mit Nullen gefüllt und hat dann bestimmte Typen von BIOS angegriffen. Beide dieser Nutzlasten, die gedient sind, um den Gastgeber-Computer zu machen, inoperabel, und für Laien das Virus haben im Wesentlichen den PC zerstört. Technisch, jedoch, war es möglich, den BIOS Span zu ersetzen, und Methoden, um Festplatte-Daten wieder zu erlangen, sind später erschienen.

Heute ist CIH nicht so weit verbreitet, wie es einmal, wegen des Bewusstseins der Drohung und der Tatsache war, betrifft es nur älteres Windows 9x (95, 98, Ich) Betriebssysteme.

Das Virus hat ein anderes Come-Back 2001 gemacht, als eine Variante des Wurmes von LoveLetter in einer VBS Datei, die eine Tropfer-Routine für das CIH Virus enthalten hat, um das Internet in der Maske eines nackten Bildes von Jennifer Lopez in Umlauf gesetzt wurde.

Eine modifizierte Version des Virus genannt CIH.1106 wurde im Dezember 2002 entdeckt, aber es wird als keine ernste Drohung betrachtet.

Virus-Details

CIH breitet sich unter dem Tragbaren Rechtskräftigen Dateiformat unter Windows 95, 98, und ICH aus. CIH breitet sich unter auf Windows NT gegründeten Betriebssystemen nicht aus.

CIH steckt Tragbare Rechtskräftige Dateien durch das Aufspalten des Hauptteils seines Codes in kleine Splitter an, die in die Kreuzungslücken allgemein eingefügt sind, die in PE Dateien und das Schreiben einer kleinen Wiederzusammenbau-Routine und Tisches der Positionen seiner eigenen Codesegmente in den unbenutzten Raum im Schwanz des PE Kopfballs gesehen sind. Das hat CIH ein anderer Name, "Spacefiller" verdient. Die Größe des Virus ist ungefähr 1 Kilobyte, aber wegen seiner neuartigen Infektionsmethode der vielfachen Höhle wachsen angesteckte Dateien überhaupt nicht. Es verwendet Methoden, vom Verarbeiter-Ring 3 bis 0 zu springen, um Systemanrufe anzuhaken.

Die Nutzlast, die äußerst gefährlich betrachtet wird, schließt zuerst das Virus ein, das das erste Megabyte (1024 Kilobytes) der Festplatte mit zeroes überschreibt, am Sektor 0 beginnend. Das löscht den Inhalt des Teilungstisches, und kann die Maschine veranlassen zu hängen.

Die zweite Nutzlast versucht, dem Blitz BIOS zu schreiben. Wegen, was eine unbeabsichtigte Eigenschaft dieses Codes sein kann, ließ BIOSes, der durch das Virus erfolgreich geschrieben werden kann, kritischen Ladezeit-Code durch Trödel ersetzen. Diese Routine arbeitet nur an einigen Maschinen. Viel Wert ist auf Maschinen mit Hauptplatinen gelegt worden, die auf Intel 430TX chipset gestützt sind, aber bei weitem ist die wichtigste Variable im Erfolg von CIH schriftlich zu einem BIOS einer Maschine der Typ des Blitz-ROMs steuern in die Maschine bei. Verschiedene Blitz-ROM-Chips (oder Span-Familien) haben verschieden schreiben - ermöglichen zu jenen Chips spezifische Routinen. CIH macht keinen Versuch, für den Typ Flash ROM in seinen Opfer-Maschinen zu prüfen und hat nur ein schreiben - ermöglichen Folge.

Für die erste Nutzlast wird jede Information, die das Virus mit Nullen überschrieben hat, verloren. Wenn die erste Teilung FAT32, und über ungefähr ein Gigabyte, alles ist, was überschrieben wird, ist der MBR, der Teilungstisch, der Stiefelsektor der ersten Teilung und der ersten Kopie des FETTES der ersten Teilung. Der MBR und Stiefelsektor können einfach durch Kopien der Standardversionen ersetzt werden, der Teilungstisch kann durch die Abtastung über den kompletten Laufwerk wieder aufgebaut werden, und die erste Kopie des FETTES kann aus der zweiten Kopie wieder hergestellt werden. Das bedeutet, dass eine ganze Wiederherstellung ohne Verlust von Benutzerdaten automatisch durch ein Werkzeug wie Üble Lage CIH durchgeführt werden kann.

Wenn die erste Teilung nicht FAT32 ist oder kleiner ist als 1 GB, wird der Hauptteil von Benutzerdaten auf dieser Teilung noch intakt sein, aber ohne das Wurzelverzeichnis und FETT wird es schwierig sein, es besonders zu finden, wenn es bedeutende Zersplitterung gibt.

Wenn die zweite Nutzlast erfolgreich durchführt, wird der Computer überhaupt nicht anfangen. Ein Techniker ist erforderlich, den Blitz BIOS Span wiederzuprogrammieren oder zu ersetzen, weil die meisten Systeme, die CIH betreffen kann, BIOS Wiederherstellungseigenschaften zurückdatieren.