Czarnobyl – wirus komputerowy

Mówi Ci coś data 26 kwietnia? Ten dzień łączą dwie rocznice – wybuchu elektrowni atomowej w Czarnobylu w 1986 roku oraz ataku wirusa CIH 13 lat później. Ta zbieżność sprawiła, że CIH stał się znany pod nazwą “Czarnobyl”, a o jego niszczycielskim działaniu wciąż chodzą legendy…

Jak się okazuje, wirusy z krajów azjatyckich zaskakują nie od dziś. Nieznikający aktualnie z topowych nagłówków koronawirus pochodzi z Chin, skąd rozpowszechnił się na cały świat. Jego komputerowy odpowiednik – Czarnobyl – wywodził się z kolei z Tajwanu. I choć nie zagrażał życiu ani zdrowiu, również siał za sobą panikę, połączoną z radami: “Jutro 26 kwietnia, nie włączaj komputera – możesz stracić wszystkie dane, a nawet uszkodzić płytę główną!”. Czy rzeczywiście był tak niebezpieczny?

Sposób na sławę, czyli jak wykorzystać swoje 5 minut z pomocą wirusa

Jak zdobyć sławę w cyfrowym świecie, a przy okazji zasłynąć jako programista i dostać dobrą pracę? Historia pokazuje, że jedną z dróg może być… napisanie wirusa, który zaskoczy wszystkich. Tak było z Robertem Tappanem Morrisem, studentem, twórcą Robaka Morrisa, pierwszego programu tego typu wypuszczonego w sieć. Morris chciał za pomocą swojego kodu pokazać słabość systemów komputerowych, jednak jego działanie wymknęło się spod kontroli. Straty wywołane działaniem robaka oszacowano na 10 do 100 mln dolarów. Jego twórcę ukarano obserwacją sądową, grzywną i pracami społecznymi, jednak obecnie ma się dobrze – jest profesorem Massachusetts Institute of Technology.

W przypadku wirusa zwanego Czarnobylem sprawa wyglądała podobnie. Chen Ing-Hau, tajwański student i programista, skończył pisać własnego wirusa 2 czerwca 1998 roku, nazywając go swoimi inicjałami CIH. Nie wiedział wówczas, jakie zamieszanie wywoła, i że po 10 latach jego kod trafi na listę największych zagrożeń komputerowych.

Co było celem twórcy Czarnobyla? Chciał swoim programem “zagrać na nosie” specjalistom od internetowych zagrożeń, czyli – jak sam mówił – zrobić głupców z programów antywirusowych. Nie spodziewał się jednak, że program narobi dużych szkód, a w konsekwencji… przyczyni się do jeszcze większej popularności antywirusów, które ludzie kupowali wystraszeni niebezpiecznym działaniem CIH.

Podobnie jak w wypadku robaka Morrisa, jego twórca nie zakładał takich szkód. Chen Ing-Hau mógł obawiać się poważnych konsekwencji, pomimo przyznania się do napisania wirusa oraz udostępnienia programu antywirusowego, za pomocą którego można było pozbyć się CIH.

Nic takiego się jednak nie stało. Azjatycki programista został ukarany jedynie na uczelni – tajwańskie prawo z 1999 roku przewidywało karę za przestępstwa komputerowe jedynie w przypadku, gdy poszkodowani wnieśli oskarżenie. Żadna z zarażonych osób i firm nie wniosła oskarżenia, przez co organy ścigania miały związane ręce. Ta sytuacja przyczyniła się do zmiany tajwańskiego prawa w tym zakresie.

Tymczasem Chen Ing-Hau otrzymał… liczne oferty pracy od tajwańskich firm informatycznych. Aktualnie pracuje jako tester sprzętu Wahoo International Enterprise.

10 miesięcy w ukryciu

Historia wirusa Czarnobyl zaczyna się ponad 10 miesięcy przed jego atakiem. Stworzony 2 czerwca 1998 roku, nieznany i niewykrywalny wówczas wirus zarażał po cichu komputery, zarówno zwykłych użytkowników, jak i firm.

Wirus był na tyle sprytny, że dostał się również do produktów znanych marek. Zaatakował m.in. firmę Yamaha, która we wrześniu 1998 roku udostępniła aktualizację firmware dla napędu CD-R400, zakażoną Czarnobylem. W październiku zaś wypuszczono zarażoną wersję demo gry Activision SiN.

Producenci nie mieli pojęcia o tym, że wypuścili na rynek zakażone programy. W ten sposób, CIH działał w ukryciu przez blisko rok, aż do 26 kwietnia 1999 roku.

Jak działał Czarnobyl?

W rocznicę wybuchu elektrowni jądrowej w Czarnobylu świat obiegła informacja o prawdopodobnych zakażeniach nowym wirusem. Plotka głosiła, że nowy szkodnik komputerowy niszczy sprzęt – uszkadza płyty główne, a także usuwa dane. Jaki był mechanizm jego działania?

CIH zarażał pliki wykonywalne w formacie Portable Executable, powszechnie stosowane w systemach Windows. Robił to jednak w nietypowy sposób. Większość wirusów dopisuje swój kod na końcu danego pliku, przez co zainfekowany plik zwiększa swoje rozmiary, dzięki czemu łatwiej odkryć obecność intruza. Wirus CIH wyszukiwał puste miejsca w kodzie i tam się dopisywał, nie zmieniając przy tym rozmiaru pliku wykonywalnego. Dzięki temu sposobowi działania zyskał kolejną nazwę – “Spacefiller”.

Wirus uzyskiwał dostęp do wywołań systemowych i wykonywał swój kod, a następnie oczekiwał zaprogramowanej daty, czyli 26 kwietnia.

Szkody po Czarnobylu. Czy rzeczywiście uszkadzał płyty główne?

Co działo się podczas uruchomienia komputera będącego nosicielem wirusa CIH 26 kwietnia 1999 roku? Na początku, wirus nadpisywał pierwszy 1 MB dysku zerami, co powodowało usunięcie MBR (głównego rekordu rozruchowego), tablicy partycji, bootsectora pierwszej partycji oraz pierwszej kopii tablicy FAT. Takie działanie uwidaczniało się w postaci dwóch głównych skutków:

• brak możliwości uruchomienia komputera z zakażonego dysku,
• wrażenie skasowania danych, które w rzeczywistości zwykle można było przywrócić.

Najbardziej groźna konsekwencja wiązała się jednak z płytą główną. Po nadpisaniu pierwszego 1 MB dysku, wirus starał się uzyskać dostęp do kości z zapisanym BIOS-em i wyczyścić krytyczny kod startowy, co całkowicie uniemożliwiało uruchomienie komputera.

Mitem jest jednak informacja, jakoby Czarnobyl uszkadzał płyty główne. Wystarczyło ponownie zaprogramować kości BIOS, aby przywrócić je do poprawnego działania. Niska wiedza na temat płyt głównych sprawiała jednak, że nie każdy był w stanie rozpoznać przyczynę i naprawić sprzęt. Dlatego właśnie w wielu przypadkach zakażenie Czarnobylem kończyło się wymianą płyty głównej.

Czy nadal powinniśmy się bać wirusa CIH?

Autor oryginalnego Czarnobyla wypuścił nie tylko samego wirusa – udostępnił również jego kod źródłowy. Stało się to dla samozwańczych hakerów okazją do zmieniania kodu i tworzenia kolejnych jego wersji.

Niektóre zawierały błędy i nie były w stanie zagrozić żadnej maszynie, jednak część z nich posiadała takie możliwości. Zwykle różniły się datą startu. Dlatego właśnie odnotowano kolejne ataki – w 2000 i 2001 roku. W następnych latach były coraz słabsze, jednak nawet w 2010 roku odnotowano jeszcze kilka tysięcy awarii wywołanych przez kontynuatorów CIH, głównie w Korei Południowej.

Dziś nie musisz się już bać Czarnobyla – systemy, które atakował, czyli Windows 95, 98 oraz Millennium Edition zniknęły z rynku jakiś czas temu. Legenda o utraconych danych i uszkodzonych płytach głównych pozostała jednak do dziś.