PoΦφtaΦov² vir jmΘnem ╚ernobyl

aneb àa zbyly jen oΦi pro plßΦà
To je on, virus CIH ve verzi 1.2.
      Ne, nemusφte se d∞sit, nechvaln∞ znßmß ukrajinskß jadernß elektrßrna je v tom tentokrßt nevinn∞. To jen neznßm² poΦφtaΦov² änadÜenec" stanovil 26. duben jako äDen D", tedy den, kdy se probudφ k ₧ivotu virus CIH. A proto₧e na tent²₧ den p°ipadß v²roΦφ okam₧iku, kdy se v roce 1986 stala Φernobylskß jadernß elektrßrna nechvaln∞ znßmou po celΘm sv∞t∞, dostal virus p°ezdφvku ╚ernobyl. A ne neprßvem.
      Mnoho poΦφtaΦov²ch u₧ivatel∙ se domnφvalo, ₧e virus CIH se jich jaksi net²kß a ₧e äto u₧ tady bylo". Bohu₧el, nem∞li pravdu. PoΦφtaΦov² virus CIH byl poprvΘ byl detekovßn na Taiwanu, a to 2. Φervna 1998. Postupn∞ se na sv∞tlo sv∞ta dostalo n∞kolik verzφ tohoto viru, z nich₧ jsou nejznßm∞jÜφ varianty1.2, 1.3 a 1.4. Prvnφ dv∞ z nich se aktivujφ v₧dy 26. ka₧dΘho m∞sφce, kde₧to t°etφ Φekß na svou p°φle₧itost do 26. dubna (a pozor - ka₧dΘho roku, tak₧e pokud jste letoÜek äp°e₧ili" ve zdravφ, radujete se p°edΦasn∞; ä╚ernobyl" se za rok vrßtφ!). D∙le₧itß je p°itom i skuteΦnost, ₧e vir CIH je ädoma" v prost°edφ Windows-95 a û98. ╚ili: Pracujete-li v jinΘm operaΦnφm systΘmu, nemusφte mφt z CIH obavu.
      P°edevÜφm varianta 1.4 se doΦkala velmi masovΘho rozÜφ°enφ, a to pon∞kud paradoxn∞ zßsluhou jindy äd∙v∞ryhodn²ch" zdroj∙. Na webu bylo mo₧nΘ jeden Φas najφt infikovanΘ demo populßrnφ hry Wing Commander û a to p°φmo na strßnkßch v²robce! ╚asopisy, kterΘ ärozdßvaly" vir CIH na vÜechny strany na sv²ch CD-p°φlohßch bylo jen v Evrop∞ n∞kolik desφtek. A to nemluvφme o aktualizovan²ch ovladaΦφch, kterΘ byly i u mnoha renomovan²ch v²robc∙ jako standardn∞ ävybaveny" virem CIH.
      Do ·plnΘho v²Φtu ädistributor∙" CIH je nutnΘ zapoΦφtat i jistou portugalskß spoleΦnost dodßvajφcφ software vÜem lΘkßrnßm v zemi, kterß vir distribuovala spoleΦn∞ se sv²mi programy. JeÜt∞ Üt∞stφ, ₧e mnoho portugalsk²ch lΘkßren stßle jeÜt∞ pracuje pod DOSem, jinak hrozilo zhroucenφ zdravotnictvφ v tΘto zemià Paradoxnφ je, ₧e portugalsk² dodavatel software se v prvnφch chvφlφch sna₧il veÜkerou vinu hodit na nadnßrodnφ Microsoft tvrzenφm, ₧e vir CIH byl distribuovan² v jeho operaΦnφm systΘmu. Tentokrßt v tom ale byl poΦφtaΦov² gigant skuteΦn∞ nevin∞, neb inkriminovan² operaΦnφ systΘm je o pßr let starÜφ ne₧ CIH.
      TakΘ v Indii se poΦφtaΦovφ u₧ivatelΘ äradovali" z cΘdΘΦka, kterΘ bylo voln∞ Üφ°eno na autosal≤nu v NovΘm Delφ. Äe obsahovalo virus CIH, jist∞ net°eba zd∙raz≥ovat.
      Virus CIH je specifick²m parazitnφm virem infikujφcφm PE soubory (Portable Executable). P°i napadßnφ souboru virus sßm sebe rozd∞lφ na n∞kolik Φßstφ (jejich poΦet se liÜφ p°φpad od p°φpadu), p°iΦem₧ tuto informaci zapφÜe do äHlaviΦky viru" (viz obrßzek). Dφky tΘto hlaviΦce je pak vir schopen svΘ jednotlivΘ Φßsti, jimi₧ vypl≥uje mezery v souboru, spojit v jeden fungujφcφ celek.

Ilustrace znßzor≥ujφcφ umφst∞nφ viru CIH v napadenΘm souboru.
      Virus se sßm instaluje do pam∞ti Windows, kde vyΦkßvß na p°φkaz ke spuÜt∞nφ souboru a infikuje soubory s koncovkou EXE, kterΘ jsou otevφranΘ. (Ve viru se ovÜem vyskytujφ chyby a v n∞kter²ch p°φpadech poΦφtaΦ äzatuhne" û to je ostatn∞ neÜvar mnoha vir∙, nebo¥ auto°i je zpravidla netestujφ.). Trigger rutina viru pracuje s Flash BIOS porty a sna₧φ se p°epsat Flash pam∞¥ änesmysly". Toto je mo₧nΘ, pokud motherboard a chipset dovolujφ zapisovßnφ do Flash pam∞ti. Normßln∞ se dß zapisovßnφ do Flash pam∞ti zablokovat DIP vypφnaΦem, avÜak toto zßvisφ na designu motherboard. Bohu₧el existujφ modernφ motherboardy kterΘ nemohou b²t ochrßn∞ny DIP vypφnaΦem - n∞kterΘ z nich ignorujφ pozici vypφnaΦe a tato ochrana nemß v∙bec ₧ßdn² efekt, u jinΘho hardware m∙₧e b²t ochrana proti zßpisu zablokovßna/p°epsßna softwarem. Trigger rutina viru CIH v tom p°φpad∞ p°epφÜe data na vÜech instalovan²ch pevn²ch discφch. Virus pou₧φvß p°φkazy p°φmΘho zßpisu na disk a obchßzφ standardnφ BIOS virovou ochranu, zatφmco p°episuje MBR a boot sektory.
      Jak je mo₧nΘ, ₧e vir, kter² je znßm² ji₧ deset m∞sφc∙, natropil Ükodu srovnßvanou s ·tokem legendßrnφho viru Michelangelo? D∙vod∙ bylo n∞kolik. P°edevÜφm u₧ivatelΘ jeho nebezpeΦφ podcenili û a ruku v ruce s nimi i distributo°i, kte°φ nev∞novali dostateΦnou pozornost obsahu sv²ch CD. Virus CIH se toti₧ na napadenΘm souboru neprojevφ r∙stem velikosti, tak₧e nenφ na äprvnφ pohled" patrn². Mnozφ u₧ivatelΘ antivirov²ch program∙ navφc podcenili aktualizaΦnφ soubory.
      Podtr₧eno, seΦteno û morovß rßnu viru CIH byla vpravd∞ smrtφcφ. Ale mohlo b²t jeÜt∞ h∙°. Ve Spojen²ch stßtech se o m∞sφc d°φve objevil vir Melissa nßsledovan² virem Papa, kterΘ sice nic neniΦily, zato vÜak zahlcovaly poΦφtaΦovΘ sφt∞ dopisy s hesly k pornografick²m strßnkßm. A tak si u₧ivatelΘ po°φdili antivirovΘ programy, aby spoleΦn∞ s dvojicφ Melissa/Papa ävyΦistili" poΦφtaΦe zßrove≥ i od viru CIH (samoz°ejm∞ ne·mysln∞). Dφky tomu byly Ükody napßchanΘ v USA relativn∞ malΘ û celkem se hovo°ilo o deseti tisφcφch zasa₧en²ch poΦφtaΦφch.
      Jinde to bylo horÜφ. Mnohem horÜφ. Jihokorejskß vlßda ohlßsila, ₧e napadeno bylo 240 tisφc poΦφtaΦ∙. äDv∞ a₧ t°i procenta z osmi mili≤n∙ PC v naÜφ zemi byla zasa₧ena," stojφ doslova ve vlßdnφm prohlßÜenφ. SpoleΦnosti zab²vajφcφ se antivirov²mi produkty vÜak hlßsφ minimßln∞ dvoj- a₧ trojnßsobn∞ v∞tÜφ rozsah Ükod. Sto tisφc poΦφtaΦ∙ se prom∞nilo v prßzdnΘ bedny bez informacφ takΘ v ╚φn∞ (plus dalÜφch 250 tisφc v Hong Kongu). V Turecku splakalo nad v²d∞lkem t°i sta tisφc poΦφtaΦov²ch u₧ivatel∙. Desφtky portugalsk²ch bank a pojiÜ¥oven dodnes zoufale obnovujφ svΘ data. V Malajsii vinou viru CIH poklesla ·rove≥ obchodu o deset procent. Atakdßleà
      A u nßs? Kalamita ob°φch rozm∞r∙ se nekonala, p°esto₧e ₧ßdnß oficißlnφ statistika neexistuje. Odhaduje se, ₧e zasa₧eno bylo n∞kolik mßlo tisφc poΦφtaΦ∙, p°edevÜφm z °ad domßcφch u₧ivatel∙. Stalo se tak zßsluhou dostateΦnΘ osv∞ty a takΘ vysokΘ kvality antivirov²ch program∙ pou₧φvan²ch v Φesk²ch zemφch.
      Dnes u₧ znßme takΘ autora (Φi spφÜe äpachatele") poΦφtaΦovΘho viru CIH. Je jφm Chen Ing-Hau (jeho jmΘno sprßvn∞ p°epsanΘ do ΦeÜtiny znφ ╚en Jing-Chau; anglickou variantu jeho jmΘna vÜak uvßdφme p°ednostn∞, nebo¥ pojmenovßnφ viru je odvozeno od jeho inicißl∙), b²val² student informatiky. ProΦ b²val²? Ze Ükoly byl äodejit" loni v dubnu potΘ, co jφm napsan² virus (agentury nesd∞lily, zdali Ülo o prototyp CIH nebo n∞jak² jin² äv²tvor") poÜkodil data ve Ükolnφm informaΦnφm systΘmu.
      P°itom je zajφmavß skuteΦnost, ₧e Chenovi spolu₧ßci a profeso°i o viru CIH v∞d∞li a od p°ipravovanΘho ävypuÜt∞nφ" do sv∞ta jej varovali. Chen toti₧ spoleΦn∞ s virem nevytvo°il i odpovφdajφcφ detekΦnφ software. B²val² student informatiky nynφ absolvuje dvouletou zßkladnφ vojenskou slu₧bu. Policie u₧ jej vyslechla a zadr₧ela.
      Jednoho se ale Chen bojφ vφce ne₧ trestu odn∞tφ svobody û setkßnφ se statisφci u₧ivateli osobnφch poΦφtaΦ∙, k nim₧ äzavφtal" vir CIH a veÜkerß data z pevn²ch disk∙ odeslal do v∞Φn²ch loviÜ¥à

TomßÜ P╪IBYL, tomas.pribyl@aec.cz