Шутки бывают остроумными и глупыми, забавными и странными. Сейчас расскажем про особо неудачную шутку, которая спровоцировала одну из первых масштабных эпидемий компьютерного вируса.
Win9x.CIH или Чернобыль
26 апреля 1999 года пользователи ПК из разных стран мира столкнулись с одинаковой проблемой. При запуске какой-либо программы их компьютер показывал синий экран смерти, а после перезагрузки превращался в кирпич. Неизвестный вирус уничтожал данные жёсткого диска, перезаписывал BIOS, бывало, что выводил из строя материнские платы.
Скорость заражения новым вирусом казалась потрясающей. Но скоро выяснилось, что заражение произошло давно, просто программа ожидала определённой даты. В нашем случае этой датой оказалось 26 апреля — день трагедии на Чернобыльской АЭС. Из-за этого в народе вирус назвали Чернобылём. Название CIH появилось позже, когда специалисты вплотную занялись кодом вредоносной программы и увидели названия файлов.
Для 1999 года принципы работы Чернобыля оказались передовыми. Он распространялся и функционировал согласно многоступенчатому алгоритму:
- инсталлировал свой код в память ОС Windows;
- дожидался запуска любого .exe файла и записывал в него свою копию;
- впадал в спячку до назначенного времени.
Издалека схема может показаться простой, но есть нюансы. Например, антивирусные программы уже в те времена умели замечать внезапное подозрительное изменение размеров файла. Чтобы остаться незаметным, Чернобыль искал дыры в записях — неиспользуемые сектора между секциями файла, которым уже присвоен определённый вес в байтах. В эти сектора он и записывал свой код. По итогу, вирус есть, изменения размера файла нет.
Каждый раз, когда пользователь запускает заражённую программу, вирус проверяет системную дату. Если она совпадает с указанной в коде, срабатывает логическая бомба. Вредоносная программа приступает к удалению файлов на жёстких дисках и перезаписывает BIOS — базовую систему ввода-вывода, которая отвечает за работу периферии, дисководов, портов, видеокарт и так далее. Потеряв эту систему, ПК уже не может загрузиться.
Сейчас BIOS можно перепрошить используя внешний носитель. В 1999 году такую функцию поддерживали лишь некоторые материнские платы. Поэтому для основной массы заражённых, знакомство с Чернобылем оказалось фатальным.
По непроверенным данным, от вируса пострадало около 500 000 компьютеров расположенных в США, Европе, России и других регионах планеты. Общий ущерб от заражения эксперты оценили в 1.3 млрд долларов.
Покаянное письмо
Пока одни специалисты искали способ выявить и обезвредить Чернобыль, другие отслеживали пути распространения. Выяснили, что масштабное заражение произошло через американские игровые серверы. Сами серверы получили заразу из тайваньских интернет-конференций. А спустя короткий промежуток времени в Интернете появилось покаянное письмо. Некто Чень Инхао сознался в создании вируса Win9x.CIH, также известного как Chernobyl, и принёс извинения всем пострадавшим от его действий.
Нашли Чэня быстро. Он оказался студентом старших курсов Датунского университета. По одной из версий, молодой тайванец создал вирус, чтобы насолить компании, продававшей неэффективные антивирусные программы. По другой — он хотел подшутить над друзьями, но не учёл разрушительную силу своего детища. Так или иначе, Чэнь не пытался извлечь прибыль из действий вредоносной программы.
Испытал он её на университетских компьютерах 26 апреля 1998 года. Вирус разошёлся по сети и затаился на год. Что было дальше вы уже знаете.
В наше время Чэня ожидала бы уголовная ответственность: суд, штраф и тюремное заключение. Но в конце девяностых законодательство Тайваня не предусматривало подобных статей и, по окончании университета, Чэнь Инхао отправился проходить обязательную военную службу, хотя судьи и пытались посадить его на три года.
Сейчас автор одного из самых вредных вирусов разрабатывает программное обеспечение для компьютерной периферии в компании Gigabyte. А страшный Win9x.CIH остался в кошмарных снах пожилых хакеров и в архивах разработчиков антивирусного ПО.
