CIH , también conocido como Chernobyl o Spacefiller , es un virus informático de Microsoft Windows 9x que apareció por primera vez en 1998. Su carga útil es altamente destructiva para los sistemas vulnerables, sobrescribiendo información crítica en las unidades del sistema infectadas y, en algunos casos, destruyendo el BIOS del sistema . El virus fue creado por Chen Ing-hau (陳盈豪, pinyin : Chén Yíngháo ), un estudiante de la Universidad Tatung en Taiwán . [1] Se cree que ha infectado sesenta millones de computadoras a nivel internacional, lo que resultó en un estimado de NT$ 1 mil millones ( US$ 35,801,231.56) en daños comerciales. [1]
Chen afirmó haber escrito el virus como un desafío a las audaces afirmaciones de eficacia antiviral por parte de los desarrolladores de software antivirus . [2] Chen declaró que después de que sus compañeros de clase en la Universidad Tatung difundieran el virus, se disculpó con la escuela y puso a disposición del público un programa antivirus para su descarga. Weng Shi-hao (翁世豪), un estudiante de la Universidad Tamkang , fue coautor del programa antivirus. [2] Los fiscales de Taiwán no pudieron acusar a Chen en ese momento porque ninguna víctima presentó una demanda. [3] Sin embargo, estos eventos dieron lugar a una nueva legislación sobre delitos informáticos en Taiwán. [2]
El nombre "Virus de Chernóbil" fue acuñado algún tiempo después de que el virus ya fuera bien conocido como CIH y se refiere a la completa coincidencia de la fecha de activación de la carga útil en algunas variantes del virus (en realidad la fecha de creación del virus en 1998, para activarse exactamente un año después) y el desastre de Chernóbil , que ocurrió en la Unión Soviética el 26 de abril de 1986. [4]
El nombre "Spacefiller" se introdujo porque la mayoría de los virus escriben su código al final del archivo infectado, y los archivos infectados son detectables porque aumenta su tamaño. Por el contrario, CIH busca huecos en el código del programa existente, donde luego escribe su código, evitando un aumento en el tamaño del archivo; de esa manera, el virus evita ser detectado. [4]
El virus apareció por primera vez en 1998. En marzo de 1999, varios miles de IBM Aptivas se enviaron con el virus CIH, [5] sólo un mes antes de que el virus se activara. En julio de 1999, los organizadores descubrieron que las copias de la herramienta de administración remota Back Orifice 2000 que se habían entregado a los asistentes a la DEF CON 7 estaban infectadas con CIH. [6] El 31 de diciembre de 1999, Yamaha envió una actualización de software para sus unidades de CD-R400 que estaba infectada con el virus. En julio de 1998, una versión demo del juego de disparos en primera persona SiN fue infectada por uno de sus sitios espejo. [7]
El 26 de abril de 1999 se lanzó por primera vez el doble payload de CIH, y la mayor parte del daño se produjo en Asia . [8] CIH llenó los primeros 1024 KB de la unidad de arranque del host con ceros y luego atacó ciertos tipos de BIOS . Ambos payloads sirvieron para dejar inoperable el ordenador host y, para la mayoría de los usuarios comunes, el virus esencialmente destruyó el PC. Sin embargo, técnicamente era posible reemplazar el chip BIOS , [ cita requerida ] y los métodos para recuperar datos del disco duro surgieron más tarde. [ cita requerida ]
Hoy en día, CIH no está tan extendido como antes, debido a la conciencia de la amenaza y al hecho de que sólo afecta a los sistemas operativos más antiguos de Windows 9x ( 95 , 98 , ME ).
El virus regresó nuevamente en 2001, cuando una variante del gusano LoveLetter en un archivo VBS que contenía una rutina de descarga para el virus CIH circuló por Internet bajo la apariencia de una fotografía desnuda de Jennifer López .
En diciembre de 2002 se descubrió una versión modificada del virus llamada CIH.1106, pero no está muy extendida y sólo afecta a los sistemas basados en Windows 9x. [9]
CIH se propaga en formato de archivo ejecutable portátil en los sistemas operativos basados en Windows 9x, Windows 95, 98 y ME. CIH no se propaga en sistemas operativos basados en Windows NT ni en sistemas operativos basados en Win16, como Windows 3.x o anteriores. [10]
CIH infecta archivos ejecutables portátiles dividiendo la mayor parte de su código en pequeñas porciones insertadas en los espacios de intersección que se ven comúnmente en los archivos PE y escribiendo una pequeña rutina de reensamblado y una tabla de las ubicaciones de los segmentos de su propio código en el espacio no utilizado en la cola del encabezado PE. Esto le valió a CIH otro nombre, "Spacefiller". El tamaño del virus es de alrededor de 1 kilobyte , pero debido a su novedoso método de infección de múltiples cavidades, los archivos infectados no crecen en absoluto. Utiliza métodos de saltar del anillo de procesador 3 al 0 para enganchar las llamadas del sistema.
La carga útil, que se considera extremadamente peligrosa, implica primero que el virus sobrescriba el primer megabyte (1024 KB) del disco duro con ceros, comenzando en el sector 0. Esto elimina el contenido de la tabla de particiones y puede hacer que la máquina se cuelgue o que aparezca la pantalla azul de la muerte .
El segundo payload intenta escribir en la BIOS Flash . Las BIOS en las que el virus puede escribir con éxito tienen códigos críticos de arranque reemplazados por basura. Esta rutina sólo funciona en algunas máquinas. Se ha puesto mucho énfasis en las máquinas con placas base basadas en el chipset Intel 430TX , pero con diferencia la variable más importante en el éxito de CIH al escribir en la BIOS de una máquina es el tipo de chip Flash ROM de la máquina. Los diferentes chips Flash ROM (o familias de chips) tienen diferentes rutinas de habilitación de escritura específicas para esos chips. CIH no intenta comprobar el tipo de Flash ROM en sus máquinas víctimas y sólo tiene una secuencia de habilitación de escritura.
En el caso de la primera carga útil, se pierde toda la información que el virus haya sobrescrito con ceros. Si la primera partición es FAT32 y ocupa más de un gigabyte , lo único que se sobrescribirá será el MBR , la tabla de particiones, el sector de arranque de la primera partición y la primera copia de la FAT de la primera partición. El MBR y los sectores de arranque se pueden reemplazar simplemente con copias de las versiones estándar; la tabla de particiones se puede reconstruir escaneando todo el disco y la primera copia de la FAT se puede restaurar a partir de la segunda copia. Esto significa que una herramienta como Fix CIH puede realizar una recuperación completa de forma automática sin pérdida de datos del usuario.
Si la primera partición no es FAT32 o es más pequeña que 1 GB, la mayor parte de los datos del usuario en esa partición seguirán intactos, pero sin el directorio raíz y FAT será difícil encontrarlos, especialmente si hay una fragmentación significativa.
Si la segunda carga útil se ejecuta correctamente, la computadora no se iniciará en absoluto. En ese caso, será necesario reprogramar o reemplazar el chip Flash BIOS, ya que la mayoría de los sistemas que pueden verse afectados por CIH son anteriores a las funciones de restauración de BIOS.
{{cite web}}: CS1 maint: URL no apta ( enlace )