Ayrıca, Chernobyl veya Spacefiller olarak bilinen Virus.Win9x.CIH veya CIH, Microsoft Windows üzerinde Windows 95, 98 ve ME’yi enfekte eden bir virüstür .
İlk olarak 25 Haziran 1998’de Tayvan’da keşfedildi. Taipei yetkililerine göre, Chen Ing Hau CIH virüsünü yazdı. Virüsün adı, baş harflerinden türetilmiştir. Hasarının çoğunu ExploreZip ve Melissa’nın görünümünden birkaç ay içinde yaptı. Popüler inanışın aksine, yükün tetiklenme tarihi Çernobil nükleer felaket tarihine dayanmıyordu.
CIH bulaşmış bir dosya bir sistemde yürütüldüğünde, erişilen her yürütülebilir dosyaya bulaştığı için virüs yerleşik olur . CIH tarafından enfekte edilen dosyalar, CIH’nin benzersiz enfeksiyon modu nedeniyle, orijinal dosyalar ile aynı boyutta olabilir, virüs, dosyadaki boş ve kullanılmayan alanları arar. Daha sonra, kendisini daha küçük parçalara ayırır ve kodunu bu kullanılmayan alanlara ekler. Bu nedenle, bir devre dışı bırakma yardımcı programı çalıştırmadan, tek bir virüs taraması sistemdeki birden çok dosyaya bulaşabilir.
CIH, 26 Nisan’da aktif olan iki yüke sahiptir. İlk veri yükü, işletim sistemi 0’da veri yazmaya başladığından, ana önyükleme kaydının OS’yi önyüklemez hale getirmektedir; Sistemin asılmasına neden olan sonsuz bir döngü kullanarak, bu, kullanıcıyı sistemlerini sabitlemeye zorlar. İkinci yük, neredeyse Kriz , Magistr ve Bumerang ile özelliklerini paylaşıyor.- Bilgisayarın BIOS’una zarar vermeye çalışır. Bu, BIOS’u yanıp sönerek, verileri rastgele karakterlerle yeniden yazarak ve BIOS’u işlevsiz kılarak yapılır. Sonuç olarak, kullanıcı bilgisayarı başlattığında hiçbir şey görüntülenemez. Ancak, anakart ikinci yükü desteklemiyorsa (örneğin, işlemci daha yeni Pentium’dur (Pentium Pro, 2, 3, 4 veya üstü gibi) veya BIOS yazma korumalı jumper anakartta etkinleştirilmişse, o zaman İkinci yük başarısız olur ve bilgisayar normalde kendi kendini test etme gücünü tamamlar, ancak CIH Ana Önyükleme Kaydının üzerine yazdığından, Windows önyükleme yapamaz.
Bununla birlikte, bir Sanal Makine üzerinde CIH çalıştırmaya çalışmak, ana bilgisayarın PC’sine hiçbir zarar vermeyecektir. BIOS’un üzerine yazdığı yük bir Sanal Makinede çalışmayacaktır, ancak MBR yükü çalışacaktır.
CIH sadece Windows 95, 98 veya ME üzerinde çalışacak ve Windows 2000 gibi NT tabanlı çekirdeklerde çalışmayacaktır. Bunun nedeni, NT Kernel’lerin, Windows 95, 98 ve ME’de olduğu gibi uygulamaların donanımın yapılandırmalarına doğrudan erişebilmelerine izin verdiği gibi, uygulamaların donanımın yapılandırmalarına doğrudan erişmesine izin vermemesidir.
Fix-CIH , ikinci faydalı yük başarısız olursa sabit sürücüyü yeniden yapılandırabilir. Kullanıcı bir Windows Önyükleme CD’sinden önyükleme yapmalı ve bu yardımcı programı çalıştırmalıdır. Sonuçlar sisteme göre değişecektir. Araç bittikten sonra, kullanıcı sistemi yeniden başlatmadan önce, yükün yeniden başlatılmasında yükün tekrar olmasını önlemek için, tarih yük aktivasyonundan (herhangi bir ayın 26’sından) önce (uzak) ayarlanmalıdır.
Kill-CIH , virüslü dosyaları orijinal kopyalarıyla geri yüklemeye çalışır. Bazı dosyalar, Windows’ta bazı dosyalar kullanıldığından, DOS modunda değiştirilmenizi gerektirir.
Tüm dosyalar temizlenmezse, kullanıcı, virüs bulaşmamış dosyaları temizleyebilir veya bir Windows Önyükleme CD’sine önyükleyebilir ve dosyaları virüslü dosyanın üzerine yazmak için sürücüye kopyalayabilir.
“* .vir” uzantısını aramak için Windows ‘Uygulamasını Bul uygulamasını kullanarak, kullanıcı dosyaları silmeyi seçebilir.
Bilgisayarın CIH ücretsiz olup olmadığını kontrol etmek için bir kez daha virüs taraması yapın.
Etkileri
Güney Kore’de, bir milyondan fazla bilgisayarın etkilendiği tahmin edildi ve bunun sonucunda 250 milyondan fazla hasar meydana geldi. Boston Kolejindeki bilgisayarlara virüs bulaşmıştı ve bazıları yok edildi, çoğu da final sınavlarından önce bilgilerini kaybediyordu. Singapur’da 200 bilgisayar ve Hong Kong’da 100 bilgisayar, dünyanın dört bir yanından diğerleriyle birlikte virüs bulaştı. Hindistan’daki on büyük şirket de virüsten etkilendi.
Virüs ilk olarak 1998 yazında korsan yazılım ile yayıldı. O yaz boyunca en az dört korsan grubu enfekte oldu. Virüsün Windows 98’in “PWA çatlamış bir kopyasında” göründüğü doğrulanmamış raporlar da vardı.
1998 yazından 1999 yılının ilkbaharına kadar, bazı şirketler yanlışlıkla virüslü yazılım çıkardı. Origin sistemleri, “Wing Commander” oyunu ile ilgili bir dosya indirdi. Avrupa’dan üç oyun dergi, CIH ile enfekte olmuş CD’leri gönderdi ve bunlardan biri de, kullanıcılara virüs hakkında bilgi veren ve CD’yi kullandıktan sonra bilgisayarlarını dezenfekte ettiklerini öne süren bir not eklediler. Yamaha, CD-R400 sürücüleri için virüslü bir ürün yazılımı yükseltmesi gönderdi. IBM Aptiva bilgisayarları, 1999 Mart ayında önceden yüklenmiş olan virüsle birlikte geldi.
isim
CIH, adını, yaratıcısı Chen Ing-Hau’nun baş harflerinden alır. Diğer popüler ismi Çernobil, Çernobil nükleer felaketi ile aynı tarih olan 26 Nisan’daki yük taşıma tetikleme tarihine dayanmaktadır . Basın tarafından sıkça kullanılmış olabilir, çünkü bir rezil bir felakete atıfta bulunmak, bir haber raporunda muhtemelen üç baş harfin üzerinde daha büyük bir dramatik etkiye sahip olacaktır.
Antivirüs Takma Adları
- Virüs Ansiklopedisi tam adı:
- Avast !: Win95: CIH
- Avira: W95 / CIH.A
- ClamAV: CIH.2
- Doktor Web: Win95.CIH.1003
- Eset: Win95 / CIH
- F-Prot: W32 / CIH.1019.A
- Grisoft: Win32 / CIH
- Kaspersky Lab: Virus.Win9x.CIH olarak da bilinir: Win95.CIH
- McAfee: W95 / CIH.1019a
- Panda: W95 / CIH
- RAV: Win95 / CIH.1003
- Bitdefender: Win95.CIH.Gen
- Sophos: W95 / CIH-10xx
- Symantec: W95.CIH
- Trend Micro: PE_CIH.1003
- Vexira: Win95.CIH
Diğer gerçekler
Bazıları, virüsün bir bilgisayarın BIOS’unu yok etme kabiliyeti konusunda şüphecilik gösterdi. CIH’nin bir sonucu olarak onaylanmış bir BIOS vakası yok. Bir virüs uzmanı, BIOS yolsuzluklarının veya yıkımının raporlarının, insanların karaborsa satıcıları tarafından yeniden satılabilmesi için mükemmel bilgisayarları elden çıkarmalarını sağlayan bir ploy olduğunu bile iddia ediyordu. Ayrıca, virüsün iddia edilen birçok kurbanının, eski bilgisayarlardan kurtulmak için çok hevesli olduğunu, küçük sorunları için virüsü suçladığını ve yönetime yeni ekipmana ihtiyaç duyduğunu söyledi. Bildirilen hasar maliyetleri gerçekte onarım ve iş / zaman kaybından ziyade yeni bilgisayarlarda ve yazılımlarda olabilir.
Çernobil felaketini anmak üzere 26 Nisan 1999 tarihli The Payload Trigger’ın düşünülmüştü. Aslında Chen’in Doğum Günü ile çakışıyor.
Bu virüsün varyantları 2002 kadar geç ortaya çıkmıştır. 2001 yılında yayımlanan bir varyant , Jennifer Lopez’in fotoğrafını açmaya teşvik etmek için umut vaat eden bir formda sosyal mühendisliği kullanan bir VBS senaryosuna eklenmiştir .
- CIH v1.2 / CIH.1103: 26 Nisan’da etkinleşiyor, CIH v1.2 TTIT dizesi içeriyor
- CIH v1.3 / CIH.1010A ve CIH1010.B: CIH v1.2 CIH v1.3 TTIT dizgisi ile
- CIH v1.4 / CIH.1019: Her ayın 26’sında aktiftir.
- CIH.1049: 2 Ağustos’ta aktifleşiyor
Cume’nin bir Worm versiyonu da var, Bumerang denir . Bumerang’ın enfeksiyon ve faydalı yük arasında bir gecikme süresi olmasına rağmen, tüm ağlara eşit derecede yıkıcı bir şekilde saldırır.