CIH (virus informático)
CIH, también conocido como Chernobyl o Spacefiller, es un virus informático de Microsoft Windows 9x que apareció por primera vez en 1998. Su carga útil es muy destructivo para los sistemas vulnerables, sobrescribiendo información crítica en las unidades del sistema infectadas y, en algunos casos, destruyendo el BIOS del sistema. El virus fue creado por Chen Ing-hau (陳盈豪, pinyin: Chén Yíngháo), un estudiante de la Universidad de Tatung en Taiwán. Se creía que había infectado sesenta millones de computadoras a nivel internacional, lo que resultó en un estimado de NT $ 1 mil millones (US $ 35,801,231.56) en daños comerciales.
Chen afirmó haber escrito el virus como un desafío contra las afirmaciones audaces de eficacia antiviral por parte de los desarrolladores de software antivirus. Chen declaró que después de que sus compañeros de clase en la Universidad de Tatung propagaran el virus, se disculpó con la escuela y puso a disposición del público un programa antivirus para su descarga. Weng Shi-hao (翁世豪), estudiante de la Universidad de Tamkang, coautor del programa antivirus. Los fiscales en Taiwán no pudieron acusar a Chen en ese momento porque ninguna víctima presentó una demanda. Sin embargo, estos eventos dieron lugar a una nueva legislación sobre delitos informáticos en Taiwán.
El nombre "Virus de Chernóbil" fue acuñado en algún momento después de que el virus ya fuera conocido como CIH y se refiere a la coincidencia total de la fecha de activación de la carga útil en algunas variantes del virus (en realidad, la fecha de creación del virus en 1998, para desencadenar exactamente un año después) y el desastre de Chernobyl, que sucedió en la Unión Soviética el 26 de abril de 1986.
El nombre "Spacefiller" se introdujo porque la mayoría de los virus escriben su código al final del archivo infectado, siendo detectables los archivos infectados porque su tamaño aumenta. Por el contrario, CIH busca lagunas en el código del programa existente, donde luego escribe su código, evitando un aumento en el tamaño del archivo; de esa manera, el virus evita la detección.
Historia
El virus apareció por primera vez en 1998. En marzo de 1999, varios miles de IBM Aptivas se enviaron con el virus CIH, justo un mes antes de que se desencadenara. En julio de 1999, los organizadores descubrieron que las copias de la herramienta de administración remota Back Orifice 2000 entregadas a los asistentes a DEF CON 7 estaban infectadas con CIH. El 31 de diciembre de 1999, Yamaha envió una actualización de software a sus unidades CD-R400 que estaba infectada con el virus. En julio de 1998, una versión de demostración del juego de disparos en primera persona SiN fue infectada por uno de sus sitios espejo.
La carga útil dual de CIH se entregó por primera vez el 26 de abril de 1999 y la mayor parte de los daños se produjeron en Asia. CIH llenó los primeros 1024 KB de la unidad de arranque del host con ceros y luego atacó ciertos tipos de BIOS. Ambos payloads sirvieron para dejar inoperable la computadora anfitriona, y para la mayoría de los usuarios comunes, el virus esencialmente destruyó la PC. Sin embargo, técnicamente era posible reemplazar el chip BIOS y más tarde surgieron métodos para recuperar datos del disco duro.
Hoy, CIH no está tan extendido como antes, debido a la conciencia de la amenaza y al hecho de que solo afecta a los sistemas operativos Windows 9x (95, 98, ME) más antiguos.
El virus hizo otra reaparición en 2001 cuando circuló por Internet una variante del gusano LoveLetter en un archivo VBS que contenía una rutina de cuentagotas para el virus CIH, bajo la apariencia de una foto desnuda de Jennifer López.
En diciembre de 2002 se descubrió una versión modificada del virus denominada CIH.1106, pero no está muy extendida y solo afecta a los sistemas basados en Windows 9x.
Específicos del virus
CIH se propaga bajo el formato de archivo Portable Executable bajo los sistemas operativos basados en Windows 9x, Windows 95, 98 y ME. CIH no se propaga en sistemas operativos basados en Windows NT ni en sistemas operativos basados en Win16, como Windows 3.xo inferior.
CIH infecta los archivos Portable Executable dividiendo la mayor parte de su código en pequeñas astillas insertadas en los espacios de intersección que se ven comúnmente en los archivos PE, y escribiendo una pequeña rutina de reensamblado y una tabla de sus propios segmentos de código' ubicaciones en el espacio no utilizado en la cola del encabezado PE. Esto le valió a CIH otro nombre, "Spacefiller". El tamaño del virus es de alrededor de 1 kilobyte, pero debido a su novedoso método de infección de múltiples cavidades, los archivos infectados no crecen en absoluto. Utiliza métodos para saltar del anillo de procesador 3 a 0 para conectar llamadas al sistema.
La carga útil, que se considera extremadamente peligrosa, implica primero que el virus sobrescriba el primer megabyte (1024 KB) del disco duro con ceros, comenzando en el sector 0. Esto elimina el contenido de la tabla de particiones y puede hacer que la máquina cuelgue o señale la pantalla azul de la muerte.
La segunda carga útil intenta escribir en el Flash BIOS. Los BIOS en los que el virus puede escribir con éxito tienen un código crítico de tiempo de arranque reemplazado con basura. Esta rutina solo funciona en algunas máquinas. Se ha puesto mucho énfasis en las máquinas con placas base basadas en el conjunto de chips Intel 430TX, pero, con mucho, la variable más importante en el éxito de CIH al escribir en el BIOS de una máquina es el tipo de chip Flash ROM en la máquina.. Diferentes chips Flash ROM (o familias de chips) tienen diferentes rutinas de habilitación de escritura específicas para esos chips. CIH no intenta probar el tipo de Flash ROM en sus máquinas víctimas y solo tiene una secuencia de habilitación de escritura.
Para la primera carga útil, se pierde cualquier información que el virus haya sobrescrito con ceros. Si la primera partición es FAT32 y más de un gigabyte, todo lo que se sobrescribirá es el MBR, la tabla de particiones, el sector de arranque de la primera partición y la primera copia de la FAT de la primera partición. El MBR y el sector de arranque se pueden reemplazar simplemente con copias de las versiones estándar, la tabla de particiones se puede reconstruir escaneando todo el disco y la primera copia de la FAT se puede restaurar a partir de la segunda copia. Esto significa que una herramienta como Fix CIH puede realizar automáticamente una recuperación completa sin pérdida de datos de usuario.
Si la primera partición no es FAT32 o tiene menos de 1 GB, la mayor parte de los datos de usuario en esa partición seguirán intactos, pero sin el directorio raíz y FAT será difícil encontrarlos, especialmente si hay una fragmentación significativa..
Si la segunda carga útil se ejecuta con éxito, la computadora no se iniciará en absoluto. Entonces se requiere la reprogramación o el reemplazo del chip Flash BIOS, ya que la mayoría de los sistemas que CIH pueden afectar son anteriores a las funciones de restauración del BIOS.
Variantes
| Moniker | Descripción |
|---|---|
| CIH v1.2/CIH.1003 | Esta variante es la más común y activa el 26 de abril. Contiene la cadena: CIH v1.2 TTIT |
| CIH v1.3/CIH.1010.A y CIH1010. B | Esta variante también se activa el 26 de abril. Contiene la cadena: CIH v1.3 TTIT |
| CIH v1.4/CIH.1019 | Esta variante se activa el 26 de cada mes. Contiene la cadena CIH v1.4 TATUNG. |
| CIH.1049 | Esta variante se activa el 2 de agosto en lugar del 26 de abril. |
Contenido relacionado
Tasa de bits
Sistema IBM/34
Portabilidad