CIH

CIH
Tipus	virus informàtic
Epònim	26 d'abril i accident de Txernòbil
Característiques tècniques
Plataforma	Windows 9x
Escrit en	Llenguatge assemblador
Equip
Desenvolupador(s)	Cheng Ing Hau

El CIH, també anomenat Txernòbil és un virus informàtic creat pel taiwanès Chen Ing Hau (陳盈豪 / Chen YingHao).^[1] És considerat com un dels virus més estesos i més perjudicials, ja que pot sobreescriure dades crítiques en els dispositius infectats, i en els pitjors casos pot corrompre la BIOS del sistema, impedint l'arrencada de l'equip.^[2] Es calcula que el virus va aconseguir infectar uns 60 milions d'ordinadors en tot el món, ocasionant pèrdues per valor de 1.000 milions de dòlars,^[1] tot i que altres fonts rebaixen aquesta quantitat a una quarta part.^[3]

El nom Txernòbil es deu a la data en què fou activat el virus, 26 d'abril de l'any 1998, el dia del 13 anniversari de l'incident de Txernòbil^[2] i a més coincideix amb l'anniversari del creador del virus Chen Ing Hau.^[3]

Història[modifica]

El Setembre de 1998, Yamaha va distribuir una versió infectada d'una actualització de drivers per al seu CD-R400. A més, durant el mes de març de 1999 IBM va despatxar un lot de PCs Aptiva nous amb el virus Txernòbil preinstal·lat, just un mes abans que el virus s'activés destructivament.^[4]^[5] La web d'Origin Systems també va distribuir aquest virus a causa de la descàrrega de l'arxiu del popular joc Wing Commander, que estava infectat.

En conclusió, el virus CIH [1] va provocar milers de parades d'ordinadors al voltant del món. Dan Schrader, director de màrqueting de productes de Trend Micro Inc. (Companyia dedicada a la fabricació de software antivirus), considera que el virus "Txernòbil" és possiblement el més malèvol i destructiu.

El virus actua sobre ordinadors amb els sistemes operatius Windows 95 i 98 i el que fa és infectar arxius executables de 32 bits i esborrar la informació continguda en el disc dur, impossibilitant d'aquesta manera iniciar programes. Tanmateix, aquest virus no afecta a Windows NT. Per tant, quan el virus actua, es corromp la programació del chip BIOS, sobreescrivint part d'aquest firmware i provocant la impossibilitat de corregir el programa danyat.

El virus va tenir una breu reaparició l'any 2001, quan una variant del ILoveYou, que duia un fitxer VBS amb una rutina del CIH, va estar circulant a Internet sota el reclam d'un nu de Jennifer Lopez.^[6] Finalment, el desembre de 2002 es va detectar una versió modificada del virus anomenada CIH.1106, considerada molt menys lesiva que l'original.

Conseqüències[modifica]

Data Fellows, l'empresa finlandesa, va senyalar que els danys més crítics que va causar aquest virus van ser, sobretot, a Àsia, Orient Mitjà i altres països eurpoeus, justament en aquells on hi ha un ús més freqüent de programes pirates, com a Espanya, i on menys software de protecció s'empra.
Els EUA van patir molts menys danys que altres nacions perquè els experts havien actualitzat programes antivirus, la qual cosa va impedir la propagació del virus d'una manera tan massiva en comparació amb els usuaris domèstics d'altres països a qui el virus els va afectar molt durament.
"Prop de 100 ordinadors d'estudiants en la Universitat de Princeton van ser afectats de tal manera que els discs durs van ser inservibles", va afirmar Justin Harmon, portaveu de Princenton.
Jack Dunn, portaveu de la Universitat de Boston, va afirmar que el virus "Txernòbil" va afectar tan sols a aquells alumnes que no van instal·lar el software antivirus distribuït per la universitat prèviament.
Bill Pollak, portaveu de l'equip de resposta d'emergència informàtica de la Universitat Carnegie Mellon de Pittsburg, va comentar que prop de 2328 ordinadors van quedar afectats als EUA. Malgrat això, no es pot saber exactament l'abast de la infecció i podria ser molt superior, ja que cap companyia o usuari domèstic estava obligat a informar de l'atac del virus.
A Turquía, el virus va danyar ordinadors de bancs, de l'aeroport, de la ràdio estatal i de diverses estacions de televisió. Segons el diari turc "Radikal", es va avisar correctament i amb antelació, però ningú no va fer cas.
Fonts oficials sud-coreanes també van informar que un 4% de tots els ordinadors del país—uns 300.000 ordinadors—van ser danyats. Aquest va ser considerat el pitjor atac d'aquesta classe en aquest país.
Fonts dels Emirats Àrabs asseguren que en el seu cas va ser danyat aproximadament un 10% de la seva base total d'ordinadors. Gairebé el mateix que a l'Índia, Bangladesh i la China.
Un dels representants de Norman ASA, la major firma noruega creadora d'antivirus, va assegurar que al voltant d'uns 2.000 ordinadors van ser danyats en aquest país.

Mètodes de propagació[modifica]

Aquest virus es pot propagar mitjançant missatges de correu electrònic, xarxes d'ordinadors, transferències de fitxers a través de FTP, CD-ROMs, entre molts altres.

És interessant també destacar els mètodes utilitzats per a la propagació de virus informàtics. Entre d'altres, una fórmula molt freqüent és la utilització d'imatges de famosos per difondre aquests tipus de virus, en aquest cas, el de Txernòbil. Per exemple, un cas famós va ser la difusió d'unes suposades imatges de l'actriu i cantant Jennifer Lopez nua durant el 2001, a través del correu electrònic amb el següent link “ JENNIFERLOPEZ_NAKED.JPG.vbs" [2] per tal d'infectar els equips informàtics de qui executés el link. Sortosament, en aquest cas concret, no va tenir gaire transcendència, ja que l'empresa Panda programari va enviar un avís abans que el virus pogués causar danys significatius.

Mètode d'infecció[modifica]

El patró seguit per Txernòbil per a realitzar les seves infeccions és:

Primer de tot esbrina el moment en què s'empra un fitxer amb extensió EXE. Això ho fa capturant el Installable File System.
Seguidament, infecta els fitxers amb extensió EXE sense fer-se notar, ja que no augmenta la seva mida. Per tal d'aconseguir-ho reparteix el seu codi d'infecció en les seccions buides d'aquests fitxers.
L'objectiu del virus Txernòbil són els fitxers EXE en format PE (Portable Executable), que contenen bastants seccions lliures.
Aleshores, es col·loca com a resident a la memòria, tan sols en ordinadors amb Windows 2000 Pro o Windows NT, quan s'executa un fitxer amb extensió EXE.
Per últim, quan el virus passa a tenir el control, es replica i així infecta tots els fitxers amb extensió EXE que són emprats en ordinadors amb Windows 98 i Windows 95.

Variants del CIH[modifica]

Des de la creació del virus de Txernòbil, es van crear diferents variants, que són les següents:

CIH v1.2/CIH.1103

Aquesta variant és la més comuna. Bàsicament, s'activa cada 26 d'abril. Conté la cadena: CIH v1.2 TTIT.

CIH v1.3/CIH.1010A i CIH1010.B

Aquesta variant també s'activa cada 26 de juny, però la cadena que conté és: CIH v1.3 TTIT.

CIH v1.4/CIH.1019

La diferència d'aquesta variant amb les dues variants anteriors, és que aquesta actua el 26 de cada mes. No és tan comú i conté la cadena: CIH v1.4 TATUNG.

CIH.1049

Aquesta variant s'activa el 2 d'agost, en comptes del 26 d'abril.

CIH.1106

Va ser descoberta el desembre del 2002. Es tracta d'una variant que s'activa el dia 2 de cada mes i el que fa és sobreescriure el disc dur; és a dir, la FAT (File Allocation Table), fent que es perdi tota la informació que aquesta contingui. A més, esborra el contingut de la memòria BIOS en tots els ordinadors que tinguin en la seva placa base un chipset 430TX d'Intel, impedint que l'equip informàtic pugui funcionar.

Curiositats[modifica]

CIH són les inicials del jove de 24 anys que va crear aquest virus també anomenat Txernòbil; Chen Ing-Halu.
Els primers infectats van ser grups de pirates informàtics que es dedicaven a la transferència de fitxers de jocs a través d'Internet. A partir d'aquí, es va anar estenent a nivell mundial.
Txernòbil també dona nom a una família de virus. Això vol dir que existeixen altres virus similars a ell, però que presenten petites variacions.
Aquest virus va ser distribuït inicialment com un Demo del joc "SIN".
A Espanya, com en altres llocs, el virus Txernòbil va causar molt més impacte que el virus Melissa.
El dany estimat es calcula al voltant d'uns 20 a 80 milions de dòlars, sense comptar amb el preu de la informació que es va destruir.

Referències[modifica]

↑ ^1,0 ^1,1 ithome.com.tw. 從CIH「重裝駭客」變身「除錯超人」 Arxivat 2013-04-17 a Wayback Machine.. 2006-08-25. (xinès)
↑ ^2,0 ^2,1 «Virus Chernobyl». Enciclopedia de virus. Arxivat de l'original el 2 de novembre de 2013. [Consulta: 29 octubre 2013].
↑ ^3,0 ^3,1 «CIH» (en anglès). The Malware Encyclopedia. Arxivat de l'original el 2018-12-07. [Consulta: 29 octubre 2013].
↑ «Copia archivada». Arxivat de l'original el 17 d'abril de 2009. [Consulta: 30 juny 2014]. US Report: Gamers believe Activision's 'SiN' carries CIH virus - ZDNet.co.uk
↑ Weil, Nancy. "Some Aptivas shipped with CIH virus." CNN. (en inglés) 8 de abril de 1999.
↑ «Un nuevo virus tiene a Jennifer López como cebo». [Consulta: 29 octubre 2013].

Enllaços externs[modifica]

http://antivirus.interbusca.com/enciclopedia-virus/detalles-tecnicos/virus-chernobyl-2860.html Arxivat 2012-12-13 a Wayback Machine.

[ithome-1] 1,0 ^1,1 ithome.com.tw. 從CIH「重裝駭客」變身「除錯超人」 Arxivat 2013-04-17 a Wayback Machine.. 2006-08-25. (xinès)

[interbusca-2] 2,0 ^2,1 «Virus Chernobyl». Enciclopedia de virus. Arxivat de l'original el 2 de novembre de 2013. [Consulta: 29 octubre 2013].

[wikia-3] 3,0 ^3,1 «CIH» (en anglès). The Malware Encyclopedia. Arxivat de l'original el 2018-12-07. [Consulta: 29 octubre 2013].

[4] «Copia archivada». Arxivat de l'original el 17 d'abril de 2009. [Consulta: 30 juny 2014]. US Report: Gamers believe Activision's 'SiN' carries CIH virus - ZDNet.co.uk

[5] Weil, Nancy. "Some Aptivas shipped with CIH virus." CNN. (en inglés) 8 de abril de 1999.

[6] «Un nuevo virus tiene a Jennifer López como cebo». [Consulta: 29 octubre 2013].

[1]

[2]

[3]

[4]

[5]

[6]