WinCIH aka Czarnobyl — historia jednego z najgroźniejszych wirusów
05.01.2018 21:47
Pamiętacie wirusa WinCIH, zwanego też popularnie Czarnobylem? Na jego temat urosło sporo mitów, z których oczywiście część nie była prawdą. Sam wirus dzisiaj jest już nieomal zapomniany – jedynie starsi użytkownicy komputerów o nim słyszeli czy nawet mieli nieprzyjemność go doświadczyć na własnym sprzęcie. Najciekawsze w jego historii jest to, że nigdy nie miał na celu rozpowszechnić się i wyrządzić szkody jakie wyrządził. Ba, nawet cel jego powstania jest nieco inny niż chęć narobienia bałaganu czy denerwowania użytkowników komputerów. No więc o co właściwie chodziło?
Historia
Wirus pochodzi z Tajwanu i został stworzony przez Cheng Ing‑hau. Stąd też pochodzi nazwa wirusa „CIH” - czyli inicjały jego twórcy. Powstał w 1998 roku, jednak aktywować miał się rok później, 26 kwietnia 1999 roku. Stąd też popularna jego nazwa, czyli „Czarnobyl”. 26 kwietnia to też dzień, w którym nastąpiła znana katastrofa w elektrowni jądrowej Czarnobyl. Zbieżność dat jest jednak najpewniej przypadkowa. Wirus rozpowszechnił się po uczelni do której uczęszczał Cheng, a stamtąd szybko wyszedł na świat. Nie zauważony przez nikogo zarażał coraz więcej oprogramowania, które było rozpowszechniane wraz z wirusem. W marcu 1999 roku tysiące maszyn IBM Aptivas było zainfekowane wirusem. Nikt o tym nie wiedział, bo przecież wirus miał się aktywować dopiero miesiąc później. 31 grudnia 1999 roku Yamaha wypuściła aktualizacje oprogramowania do swojego napędu CD‑R400, które było zainfekowane. W lipcu 1998 roku demo FPS SiN również było rozpowszechniane wraz z wirusem. No i 26 kwietnia się zaczęło. Wiele maszyn po prostu przestało się uruchamiać. W mediach grzmiało o wirusie, który niszczy sprzęt i usuwa dane. Ludzie szybko skojarzyli datę aktywacji wirusa z datą katastrofy w Czarnobylu i wirus wtedy zyskał swoją popularną nazwę. Powszechne stały się ostrzeżenia: „Jutro 26 kwietnia, nie włączajcie komputerów na wszelki wypadek”. W mediach straszono zniszczeniem sprzętu i koniecznością wymiany płyt głównych. A jaka była prawda? Jak zawsze dużo bardziej prozaiczna niż to co podawały media albo roznosiło się pocztą pantoflową.
CIH od technicznej strony
CIH zarażał pliki wykonywalne w formacie Portable Executable powszechnie stosowanym w systemach operacyjnych Windows. Jednak jego działanie było ograniczone dla Windowsów z rodziny 9x (95, 98 i ME). Nigdy nie działał na Windows NT, czy wcześniejszych Windowsach wykorzystujących Win16. Sposób w jaki dopisywał się do plików wykonywalnych też zasługuje na uwagę. O ile większość wirusów po prostu dopisuje swój kod do danego pliku, co skutkuje zmianą rozmiaru, o tyle CIH wyszukuje puste miejsca w binarkach i tam dopisuje swój kod. Stąd też jego kolejna nazwa „Spacefiller”. Nie zmienia przy tym rozmiaru pliku wykonywalnego co znacząco utrudniało jego wykrycie. Rozmiar wirusa wynosił około 1kB i kod używał później metod na przeskoczenie z Ring 3 do Ring 0 by uzyskać dostęp do wywołań systemowych i wykonać kod z uprawnieniami jądra (Ring to sposób podziału uprawnień kodu w trybie chronionym w procesorach x86. W Ring 0 siedzi jądro systemu, które ma najwyższe uprawnienia, Ring 3 to przestrzeń użytkownika z najmniejszymi uprawnieniami). Następnie wirus oczekiwał zaprogramowanej daty (która nieco się różniła w zależności od wersji) i kiedy ona nastała rozpoczynał swoje działanie. Na początku nadpisywał pierwszy 1 MB dysku zerami co powodowało usunięcie MBR, tablicy partycji, bootsectora pierwszej partycji oraz pierwszej kopii tablicy FAT co uniemożliwiało wystartowanie komputera z tego dysku i „kasowało dane”. W rzeczywistości oczywiście dane kasowane nie były i było możliwe ich przywrócenie. Jest to jeden z kilku mitów na temat wirusa. Samo skasowanie tablicy partycji mogło spowodować zawieszenie się systemu lub BSoD i po restarcie oczywiście system by już się nie uruchomił przez zniszczenie bootloadera. Po skończeniu pierwszego etapu, wirus przechodził do kolejnego, znacznie bardziej katastrofalnego w skutkach. Mianowicie starał się uzyskać dostęp do kości z zapisanym BIOS i wyczyścić krytyczny kod startowy. Warto wspomnieć, że nie wszędzie było to możliwe. Różne płyty główne miały różny sposób dostępu do BIOS, a CIH nie testował sposobu dostępu i posiadał kod tylko do zapisu. Jeżeli nadpisanie kodu BIOS zakończyło się sukcesem to użytkownik nie był w stanie już uruchomić komputera. Tutaj narodził się kolejny mit jakoby CIH niszczył płyty główne. Oczywiście nie jest to prawdą, gdyż ponowne zaprogramowanie kości BIOS przywracało komputer do życia. Niestety poziom świadomości wtedy nie był na tyle wysoki i w wielu przypadkach spotkanie z Czarnobylem kończyło się wymianą płyty głównej.
Jak już wspomniałem wyżej, CIH nie działał na Windows NT. Dlaczego? To bardzo proste. Windows z jądrem NT jest dużo bardziej restrykcyjny w kwestii dostępu do sprzętu niż były Windowsy oparte na DOS i CIH po prostu nie był w stanie uzyskać na nim odpowiednich uprawnień. Jednak w czasach działania wirusa Windows NT nie był popularny w domu. Pierwszy Windows NT kierowany do domu, czyli Windows XP miał się pojawić dopiero w 2001 roku. A i tak jego początki były na tyle mierne, że wielu zostawało przy sprawdzonym Windows 98 SE.
Znane są 4 odmiany tego wirusa. CIH v1.2/CIH.1003 był jego najbardziej rozpowszechnioną odmianą i aktywował się 26 kwietnia. Zawierał łańcuch znaków „CIH v1.2 TTIT”. Kolejną odmianą jest CIH v1.3/CIH.1010.A oraz CIH.1010.B. W kwestii daty aktywacji nie różnił się od poprzedniego wariantu. Zawierał łańcuch znaków: „CIH v1.3 TTIT”. Kolejny wariant jest groźniejszy od poprzednich. CIH v1.4/CIH 1019 aktywował się 26 dnia każdego miesiąca, jednak nie był tak rozpowszechniony jak poprzednie. Zawierał łańcuch znaków: „CIH v1.4 TATUNG”. Ostatni wariant CIH.1049 aktywował się 2 sierpnia, zamiast 26 kwietnia.
Kulisy powstania i konsekwencje dla twórcy
Można by się zastanawiać co kierowało Panem Chengiem w tworzeniu wirusa. Sprawa również okazuje się dość prozaiczna. CIH powstał w celu „upokorzenia” twórców antywirusów. W „The New York Times” przyznał, że nie chodziło mu o wywołanie takich szkód i jego jedynym celem było „zrobienie głupców z twórców antywirusów, które zakupione przez niego okazały się bezużyteczne”. Choć rozgłos spowodowany przez wirus mógł posłużyć twórcom antywirusów, którzy mogli reklamować się, że ich produkt potrafi przed nim ochronić. Sam Cheng razem z Weng Shi‑hao stworzył antywirusa mającego pozbyć się jego niesfornego tworu i udostępnił go publicznie, a także przeprosił swoją szkołę.
Wydawałoby się, że twórca wirusa, który narobił takich szkód (liczonych w milionach maszyn) musiałby być nieźle ukarany. Los okazał się jednak dla Chenga łaskawy. Na Tajwanie nie było ówcześnie prawa, które pozwoliłoby Chenga ukarać. Wydarzenia tym spowodowane jednak popchnęły Tajwan do rewizji prawa w tym zakresie. A sam twórca został ukarany tylko na uczelni, później dostał też sporo ofert pracy.
Epilog
Dzisiaj Win.CIH jest tylko nieprzyjemną pieśnią przeszłości. Umarł wraz z Windowsami z linii 9x. W internecie nic oczywiście nie ginie i nadal można się na niego natknąć (można też znaleźć jego kod, który twórca także udostępnił co doprowadziło do powstania licznych adaptacji) – jednak dla dzisiejszych Windowsów nie stanowi on żadnego zagrożenia, nie wspominając o innych systemach. Jego istnienie ma więc sens jedynie w kwestii historycznej albo edukacyjnej. Ba, można się natknąć na filmy prezentujące jego działanie (wraz z niemożnością uruchomienia maszyny po jego ataku), a także pełno starych tematów na forach (także polskich) tworzonych przez ofiary wirusa (niektóre dość ciekawie wypowiadają się o twórcy). Warto jednak zwrócić uwagę na fakt, że media i poczta pantoflowa znacznie wyolbrzymiły skutki działania wirusa. Straszono koniecznością wymiany płyty głównej i bezpowrotnemu utraceniu danych, a kolega kolegi opowiadał o koledze, który po ataku wirusa musiał wymienić płytę główną. Oczywiście jak to zwykle bywa, prawda jest znacznie bardziej prozaiczna.
Źródła
https://wikipedia.org http://technowinki.onet.pl/artykuly/wirus-ktory-mial-zniszczyc-tysiace... https://www.securelist.pl/descriptions/164,win95_cih.html
https://upload.wikimedia.org/wikipedia/commons/thumb/0/07/CIH.png/267p...
https://i.ytimg.com/vi/RrnWFAx5vJg/hqdefault.jpg
https://sophosnews.files.wordpress.com/2011/04/cih-author-170.jpg