Chernobyl (virus)

CIH (Chernobyl)

Información

Desarrollado por	Chen Ing-Hau
Escrito en	Ensamblador
Medio ambiente	Windows 95/98 / Me
Tipo	virus

También conocida como Chernobyl , CIH debe su nombre inicial a su inventor taiwanés Cheng Ing-Hau. Fue detectado por primera vez enJunio ​​de 1998por F-Secure . Inicialmente, su propagación afectó a Asia. Varios productos se infectaron incluso antes de que salieran al mercado (algunas versiones de Win98, algunos juegos, CD de revistas e incluso computadoras IBM Aptiva ). Sin embargo, sus efectos nocivos no se activaron por primera vez hasta26 de agosto de 1998. La segunda ola de estas "huelgas" se registró el26 de abril de 1999(en analogía con la fecha del aniversario del desastre de Chernobyl ,26 de abril de 1986). Asia y Europa se han visto afectadas, miles de ordenadores han muerto.

Etimología

Este virus lleva el nombre de su mecanismo de liberación: el virus envía su carga el 26 de abril , aniversario de la explosión de la planta nuclear de Chernobyl que se produjo en26 de abril de 1986.

El nombre inicial del virus, CIH , son las iniciales de su supuesto creador, el taiwanés Chen Ing-Hau (陳盈 豪). En ese momento (1998), era estudiante en el Instituto de Tecnología Tatung de Taiwán en Taipei .

Cronología

• 2 de junio de 1997 : aparición del virus en Taiwán .
• Junio ​​de 1997 : detección por parte de la empresa F-Secure y rápida integración en su software antivirus . Durante el mismo mes aparecen las variantes 1.2 , 1.3 y 1.4 .
• Julio de 1997 : Una versión infectada de Windows 98 circula por Internet .
• Agosto de 1997 : el editor del juego Wing Commander ofrece una versión de demostración infectada en su sitio.
• 26 de abril de 1998 : la versión 1.4 activa su carga por primera vez. La prensa comienza a cubrir el evento.
• Septiembre de 1998 : El virus aparece en una actualización de firmware para el reproductor de CD-R400 de la empresa Yamaha . Al mismo tiempo, dos revistas europeas distribuyen CD-ROM contaminados.
• Octubre de 1998 : Una versión del juego SiN de Activision está comprometida.
• Marzo de 1999 : Las computadoras Aptiva PC vienen ya enviadas con el virus.
• 23 de abril de 1999 : Liberation publica el artículo "Chernobyl, virus programado para matar el 26/04/99".
• lunes 26 de abril de 1999 : activador de virus (versión 1.2); Varias decenas de miles de máquinas se ven afectadas, especialmente en Asia y Europa .
• martes 27 de abril de 1999 : Liberation publica un nuevo artículo, "Las huelgas quirúrgicas de Chernobyl".
• 29 de abril de 1999 : el autor del virus es arrestado por las autoridades taiwanesas. Este último presenta una disculpa pública. Al no haberse presentado ninguna denuncia, el individuo fue puesto en libertad en el acto.
• 26 de abril de 2000 : nuevo disparador de menor escala (versión 1.2), que afecta principalmente a Asia.
• Septiembre de 2000 : Chen Ing-Hau es arrestado una vez más por las autoridades taiwanesas. Fue liberado nuevamente por razones inciertas y rápidamente fue olvidado. Solo resurgió en 2009 cuando participó en la conferencia FreedomHEC Taipei.
• 2001: Una variante del virus I Love You que se muestra como una foto de Jennifer Lopez en realidad contiene una variante de CIH.

En los años siguientes, la ausencia de una fuente indica que probablemente el virus ya no ha causado mayores daños. Ahora lo detiene el 85% del software antivirus .

Aspecto técnico

Mecanismo de contaminación

CIH se distribuye únicamente en los sistemas operativos Microsoft Windows 95 , Windows 98 y Windows ME .

CIH es un virus residente , es decir que cuando se ejecuta el programa infectado, el virus se carga en memoria y permanece allí para poder contaminar todos los archivos ejecutables de la máquina (cuya extensión es .exe ).

Desencadenar

Se prevé que la principal variante del virus se active en 26 de abril de 1999, otras variantes se activan cada 26 del mes.

Cargo

La versión original del virus sobrescribe el primer megabyte de cada disco duro (el MBR ) de la máquina con datos aleatorios . Intenta borrar el BIOS de la máquina. Esta última acción no siempre funciona, porque los puentes presentes en la placa base pueden impedir el acceso de escritura al BIOS.

Esto da como resultado el bloqueo de datos en el disco duro, que el sistema hace ilegible (su recuperación, aunque posible, es muy compleja para un no experto). Si se borra el BIOS, el reemplazo o reprogramación de la EEPROM que contiene el BIOS es inevitable. Siendo las operaciones de reemplazo o reprogramación muy complejas y costosas, la mayoría de las veces también es rentable simplemente reemplazar la placa base de la computadora.

Notas y referencias

1. http://virusbusters.itcs.umich.edu//cih.html "PC Antivirus Update" (PCAVU) Grupo de correo electrónico X.500 en la UM el 6 de abril de 1999
2. Archivo web: artículo de Liberación del 23/04/1999
3. Archivo web: artículo de Liberación del 27/04/1999
4. (en) Recuerdos del virus de Chernobyl
5. (en) FreedomHEC Taipei 2009
6. Resultados del análisis virustotal

Ver también

Artículo relacionado

• Software malicioso

enlaces externos

• (fr) http://www.secuser.com/alertes/1999/tchernobyl.htm
• (fr) http://www.sophos.fr/virusinfo/analyses/w95cih.html
• (en) http://www.cert.org/incident_notes/IN-99-03.html
• (en) http://www.symantec.com/security_response/writeup.jsp?docid=2001-011112-1848-99