|
| Win95.CIH (Чернобыль) | | Описание | Информация | Вирус Win95.CIH - Старичок Чернобыль - уникальный в свое время вирус. И не только потому, что он является первым из "вирусов, действительно портящих железо". А, главным образом потому, что он использует очень интересный фокус с пролезанием на 0-е кольцо привилегий процессора (в то время как большинство вирусов и юзерских программ - сосут на третьем). После этого вирус может вызывать (и успешно это делает) VxD сервисы и запись в порты. Он не изменяет SYSTEM.INI, он не пишет .VXD-файлов в WINDOWS\SYSTEM, он только заражает PE-файлы... и (иногда) стирает FLASH BIOS и жесткие диски :) ... Грубо говоря, это первый "по-настоящему резидентный" Win95/98 вирус (еще добавить немножко полиморфизма, и будет все как под DOS :)). Под Win >= 2k не функционирует.
Активизируется 26 апреля (дата катастрофы на Чернобыльской АЭС и дата рождения автора вируса) | Раздел: Вирусы
Скриншоты
Операционная система: Windows 9x
Требования: -
Автор: Чэнь Инхао
Издатель: -
Добавил: ylitvinenko (2009.05.28) | Доступные файлы - сортировка по имени и версии, времени добавления
Файлов: 4. | Файл | Размер | Выпуск | Версия | Язык | Качество | Загрузил |  | Win95.CIH Executable [pass: assm-cracker] |  |  | 11297 |
| 2.4 Кб | | | | ![[Не подделка]](http://old-dos.ru/img/nofake.png) | ylitvinenko
2009.05.28 | | | Win95.CIH Assembler Source Code [pass: assm-cracker] |  | | 4030 |
| 11 Кб | | | | | ylitvinenko
2009.05.28 | | | CIH_KILL [password CIH_KILL] | ![[!]](http://old-dos.ru/img/exclusive.png) |  | | 4033 |
| 5.3 Кб | 200x | 0.0000 |  Английский | | Nika
2013.04.05 | RUS:
Программа-нейтрализатор резидентного вируса CIH. Она же может и ЗАПУСТИТЬ его с разными опциями,
в том числе - и в совсем безопасном виде. Запускать БЕЗ ОПЦИЙ эту программу можно совершенно спокойно - тогда она работает как обычный антивирус, делающий неработоспособным находяшийся в оперативной памяти вирус CIH. Прочтите описание.
Программа не упакована и не криптована, поэтому антивирусы её определяют как заражённую CIH'ом. Это нормально.
В любом случае, код вируса не работает в NT+ системах, а только в Win9x.
--------------------------------
ENG:
The program-KILLER of resident virus CIH. Also It can start VIRUS CIH with different options, including and in quite safe mode. Starting of this program without options possible absolutely peacefully - then it works as usual ANTIVIRUS, disabling resident VIRUS CIH in operative memory.
Read the description in the including text file (sorry, russian only).
--------------------------------
Program CIH_KILL.EXE is not packed and not crypted. Then antivirus detects VIRUS CIH in this program. It's orderly.
Works only in Win9x, not in WinNT+. | | 3.5 Мб | 10.31.2016 | |  Русский | | D354M3D
2016.10.31 |
 |
| Комментарии | | #1 Автор: ylitvinenko (2009.08.19 16:34) | | Второе после тетриса великое изобретение российских девелоперов)) |
| #2 Автор: Abaduaber (2009.08.23 22:25) | Разве российских?
Вроде бы вирус этот писался вообще где то на тайване, корее короче где то в азии, если мне память не изменяет. Ведь читал же про него.
Кстати, утверждение о том что не не работает под WinNT скорее всего правда т.к так утверждают все источники, в которых мне встречалось его описание. |
| #3 Автор: ylitvinenko (2009.08.24 10:26) | | Ну, не знаю. По моим источникам, его напартачили мы. |
| #4 Автор: ylitvinenko (2009.08.24 10:27) | | Кстати - убрал надпись "сам не проверял, поверил на слово одному человеку". НО! Если все-же что-то случится под NT - мы тут не при чем! |
| #5 Автор: Donald_Fuck (2009.11.04 13:30) | Да, его в Тайване сделали.
http://ru.wikipedia.org/wiki/Win95.CIH |
| #6 Автор: kannibal (2011.01.21 17:44) | | xor al, 26h ; ??/26/???? - вот зло строчка с датой |
| #7 Автор: Константин (2011.05.11 02:12) | | А у меня инфа, что проделки Киевского политеха. хз |
| #8 Автор: intel (2012.02.23 13:55) | В windows 7 работает eset32 нашёл его
в вирусе картинка в виде paintbrush
|
| #9 Автор: Артём (2012.05.14 11:51) | А я вот думаю что это не сам Win.CIH
а написанная программка для открытия PAINT заражённая Win95.CIH |
| #10 Автор: LLlket (2012.10.21 15:42) | | какой пароль от архива? |
| #11 Автор: Jeremy (2012.12.05 08:33) | i speak english but i will put in russian where is the source code for CIH
Я говорю на английском, но я поставит в Россию, где исходный код для CIH |
| #12 Автор: Дмитрий (2013.02.15 21:02) | | хорошо, что он работает только на Win95/98, иначе всем кердык давным давно было бы |
| #13 Автор: Nika (2013.04.05 04:36) | Тааак... так.
Попытаюсь по порядку:
01) Программа CIH была ВПЕРВЫЕ ОБНАРУЖЕНА в Австралии. Об этом ещё в 1998 г. заявлялось в СМИ.
А вот слова "Тайвань" я тогда не слышал в этой связи.
Что бы там ни писали сейчас в википедии (читал). Ну да ладно. Считаем,что я неправ.
02) Оптимальный,изящный и раскованный код.
Сейчас такого уже не делают. Крутые люди повзрослели и остепенились, а гениальные
школьники изучают вижуальный басик и окрутеют (может быть) как раз к старости.
03) "Интересный способ" как раз-то и неудачен. Он использует "дырку" в системе, а такие
"дырки", как правило, уже оказываются заделаны в следующей же версии OС.
Есть более удачный способ сделать это же самое (в Win9x) ЛЕГАЛЬНЫМИ ДОКУМЕНТИРОВАННЫМИ СРЕДСТВАМИ.
(В данном случае следующей версии уже просто не было.
Микрософт свернула проект "Windows" и развивала далее проект "NT").
04) CIH *категорически* НЕ РАБОТАЕТ в WinNT+. Перехват прерывания DOS-овскими методами здесь тут же
приводит к завершению провинившейся программы. Не получтся из 3-го ring'а записать что-либо в IDT.
05) Порчи "железа" бояться надо осторожно. Не такая это стандартная прцедура - профлашить BIOS.
CIH умеет это делать для некоторых типов старых плат. Сейчас пойдите их поищите...
На моей 486DX4/100 cih-овская процедура не срабатывала. Пробовал.
06) А вот что он делает - так это затирает все диски посекторно в указанную дату. Безусловно.
07) PE-файлы заражаются не всякие. А только те, у которых хватает места в пустых "хвостах" секций
для записи этой вирусины. Размер .EXE файла при этом остаётся прежним.
08) Когда-то он мне попался прилепившимся к нужной программе. Оторвал. Ну не выбрасывать же его было.
09) Здесь выложена утилита CIH_KILL.EXE. (Используйте слово CIH_KILL)
***********************************
С нею ***ПООСТОРОЖНЕЕ*** под Win9x.
***********************************
(Но можно поэкспериментировать, читайте CIH_xxx.TXT)
Под WinNT+ же, повторю, CIH не работает *в*принципе*.
10) Кирдык не настал и не предвидится в дальнейшем (в смысле - от паскудных программ).
|
| #14 Автор: Nika (2013.07.20 22:09) | ;)
- Чем вы лечите у себя вирусы?
- А ничем. Они у меня не болеют. |
| #15 Автор: К.О. (2013.08.06 10:44) | >>ВПЕРВЫЕ ОБНАРУЖЕНА
Кэп кагбе намекает, что место обнаружения вряд ли связано с местом создания - интернет же! Даже наоборот, умный вирусописатель скорее закинет вирус куда подальше. |
| #16 Автор: Nika (2013.08.06 20:00) | K.O.,
не знаю.
Это всё мои предположения на уровне "верю-не-верю". IMHO.
"Умный вирусописатель" - словосочетание, содержащее в себе внутреннее противоречие.
У этих ребятишек неудовлетворённое больное самолюбие.
Далеко закинув, результатов можно не увидеть. А тут - опана! - все компьютеры
в родном университете загажены тобой! Круто!
В случае с CIH всё, правда, не так однозначно.
CIH занимался порчей BIOS'а - сразу же на рынке появилась куча "металлолома",
а народ радостно побежал в магазины за новыми компьютерами.
Да и "убитое" железо тоже можно было "вылечить", и небесплатно.
(Ха! - с помощью капроновой ниточки, если помните).
В общем, корыстные мотивы тут ярко выражены.
И сработать это было должно неподалёку от инициатора этой затеи,
иначе зачем бы он стал делать благо для торгашей и умельцев
на другом полушарии?
Не знаю... |
| #17 Автор: SergeCpp (2013.08.14 02:51) | Когда у меня стояла 98, я доверчиво запустил плеер на одном из cd-mp3 дисков, установив и вирус. Он был на системе где-то с месяц, пока, при очередном запуске sfc, не был обнаружен (много-много exe изменились). На nt 4 этот плеер тоже запускался - всё ок.
|
| #18 Автор: Nika (2013.08.14 04:25, изменений: 1, 2013.08.14 04:25) | Да,
этот вирус ведёт себя очень корректно до поры - до времени.
Файлы, заверченные упаковщиками/протекторами, он не трогает,
не то, что эти туповатые теперешние файловые "вирусы".
Пока, какое-то время, антивирусные сканеры не детектировали его,
обнаружить его присутствие можно было только с помощью
таких антивирусов, как MSAV, который всюду раскладывал свои файлы chklist.ms.
Или с помощью ADINF'а. Это средство безотказное. |
| #19 Автор: SergeCpp (2013.08.14 05:51) | SFC - это тот же adinf, упрощённый, crc важных файлов только. Для редактора я тогда ещё не написал эту crc-проверку.
А программную запись биос я отключил ещё давным-давно до того, так что неопасно было. Диск - резерв важного всегда был многократный. |
| #20 Автор: Nika (2013.08.14 07:16, изменений: 2, 2013.08.14 07:37) | Да, на материнке есть джампер такой. Перед флашением BIOS'а его нужно было переставить.
И как правило, в лавках, торгующих компьютерами, отключали эту возможность,
чтобы не иметь потом претензий со стороны покупателей, злоупотребивших ею. |
| #21 Автор: anon (2013.08.19 17:17) | | http://www.youtube.com/watch?v=RrnWFAx5vJg |
| #22 Автор: Nika (2013.08.19 21:32, изменений: 2, 2013.08.20 01:14) | Да, когда парень на видео перевёл дату на 26 апреля, при следующей же
дисковой операции у него началось посекторное убиение системного диска,
и, видимо, порча BIOS'а. Так что загрузочная дискетка не помогла.
(Впрочем, чтобы заснять такое видео, не нужно портить компьютер).
|
| #23 Автор: Nika (2013.08.26 05:36, изменений: 2, 2013.08.26 05:38) | Есть пара программ, которые помогали против этого вируса.
1)
Нейтрализатор вируса в памяти Kill_CIH:
http://old-dos.ru/index.php?page=files&mode=files&do=show&id=3989
2)
Сканер для поиска заражённых файлов CleanCIH:
http://old-dos.ru/index.php?page=files&mode=files&do=show&id=900
Запускать их нужно именно в такой последовательности.
Сперва Kill_CIH, затем CleanCIH.
|
| #24 Автор: V@NI@ (2014.02.27 15:11) | А пароль то какой ??????
Или это лыжа какая-то, типа есть такой вирь ????? |
| #25 Автор: SR (2014.02.27 16:25) | | пароль в имени файла |
| #26 Автор: Werawolf22 (2014.03.03 15:10) | Работает ли CIH на Windows xp profesional sp3
|
| #27 Автор: Nika (2014.05.19 07:43, изменений: 5, 2014.05.19 07:49) | На WinNT+ CIH95 не работает.
Всё написано в #13:
http://old-dos.ru/index.php?page=files&mode=files&do=show&id=842#2302
То-есть, если программа даже и заражена им (принесена с системы Win9x),
то она будет работать в WinNT+(WinXP) совершенно безопасно,
поскольку вирус проверяет версию системы при запуске, и если она больше, чем Win9x - просто не отрабатывает,
а передаёт управление этой самой зараженной им программе без выполнения своих функций.
|
| #28 Автор: GordonFreeman (2014.10.14 10:19) | | У меня вчера на Windows XP антивирус заругался на этот вирус. На ночь я оставил компьютер проверяться. На утро я посмотрел, что этот вирус был где-то в C:\Temp и в дистрибутиве Win95 OSR2, кстати, скачанном с этого сайта. Эти файлы я удалил. Что-то ещё надо сделать, чтобы этот вирус прищучить? |
| #29 Автор: Nika (2014.10.14 10:24, изменений: 1, 2014.10.14 12:04) | А что его прищучивать? - написано же, что он не работает под NT/XP.
Удалите попорченные файлы и всё.
Где там в дистрибутиве мог быть этот вирус? Он заражает только WIN32 PE файлы.
Фантастика какая-то. |
| #30 Автор: Castellan (2014.11.24 20:27) | | а каак winMEЕЕЕ лечииииииииииить-тоооооооооооооо?????????????????????????????????????? |
| #31 Автор: Nika (2014.11.24 20:53, изменений: 2, 2014.11.24 20:55) | #23:
>> Есть пара программ, которые помогали против этого вируса.
>> 1)
>> Нейтрализатор вируса в памяти Kill_CIH:
>> http://old-dos.ru/index.php?page=files&mode=files&do=show&id=3989
>> 2)
>> Сканер для поиска заражённых файлов CleanCIH:
>> http://old-dos.ru/index.php?page=files&mode=files&do=show&id=900
>>
>> Запускать их нужно именно в такой последовательности.
>> Сперва Kill_CIH, затем CleanCIH.
Но я бы переустановил систему и не занимался ерундой.
|
| #32 Автор: Y@riK (2015.01.05 23:23) | | Читайте описание и комментарии, и не спрашивайте по 200-300 раз. |
| #33 Автор: Nika (2016.07.17 11:03) | | Да. |
| #34 Автор: D354M3D (2016.09.12 13:57) | | А если его на Virtualbox запустить, то что будет? |
| #35 Автор: Nika (2016.09.12 16:02) | | Надо пробовать. |
| #36 Автор: D354M3D (2016.10.31 20:56) | | Попробовал. Все подробности смотрим в видео. |
| #37 Автор: Nika (2016.10.31 23:26, изменений: 1, 2016.10.31 23:27) | ) Ну, пробовать надо было на реальной системе.
В раздаче выложена утилита (CIH_KILL), которая позволяет запустить CIH с опциями.
Если запустить безопасную версию вирусни, то можно посмотреть, как он заражает файлы и какие изменения в них при этом происходят.
Это интереснее, чем просто факт запорченных логических дисков. |
| #38 Автор: SokilOff (2016.11.01 00:24) | >Если запустить безопасную версию вирусни, то можно посмотреть, как он заражает файлы и какие изменения в них при этом происходят.
Проще на виртуалке или эмуляторе посмотреть. |
| #39 Автор: D354M3D (2016.11.01 17:05) | | У меня нет реального компьютера с Windows 95. |
| #40 Автор: Nika (2016.11.01 21:02) | | Ну, тогда да |
| #41 Автор: MQvEr (2016.12.24 07:07, изменений: 1, 2016.12.24 07:09) | На WinME после запуска сработал стоп экран с надписью: "Ошибка защиты Windows. Необходимо перезагрузить систему."
После перезагрузки, ПК выдал FATAL: NO BOOTABLE MEDIUM FOUND! SYSTEM HALTED.
На Win 98 вызвал зависание, но мышка дергалась. Тоже самое что и с WinME.
Всё проверено на Pentium II с 128 МБ ОЗУ.
Когда устанавливал PC-DOS, то выдал что надо создать разделы. |
| #42 Автор: D354M3D (2017.01.04 20:42) | FATAL: NO BOOTABLE MEDIUM FOUND! SYSTEM HALTED.
Это же вроде как на Virtualbox? Что-то не верится, что у вас был Pentium II. |
| #44 Автор: NepetaLeonid (2018.04.25 08:12) | | Да прикольный вирус, мне нравится! |
| #45 Автор: NepetaLeonid (2018.04.25 08:58) | | На самом деле очень люблю такие вирусы как CIH!!!! |
| #46 Автор: ctv (2018.07.24 16:32, изменений: 1, 2018.07.24 17:15) | | спасибо за paint теперь их у меня 2 |
| #47 Автор: destr0yd (2018.11.25 01:38) | Хоть и вирь устарел, но он является моим любимым ;). Именно поэтому я начал изучать
ассемблер (Win32). |
| #48 Автор: Nika (2020.02.14 01:27, изменений: 1, 2020.02.14 01:27) | Ну, я, когда столкнулся с инфицированной им программой, то уже был знаком с программированием WIN32.
И полез расковыривать его с целью увидеть, как он переходит на привилегированный уровень.
Так и появилась программка CIH_KILL,которая выложена тут на странице.
Сам-то я делал такое целиком документированными средствами, а потому несколько громоздко.
В этом же вирусе всё просто, но надо признать, что в новых системах уже не работал ни тот, ни другой способ.
Поэтому недокументированный оказался ничем не хуже документированного. |
| #49 Автор: copy (2022.12.19 21:49) | | Com. #9:Da, pochemu otkrivaetsa Paint? Eto je cih? Vidimo, win98 versiyu ono ne tyanet, i voobsche na ney ne rabotaet. |
| #50 Автор: Nika (2022.12.20 19:39, изменений: 1, 2022.12.20 19:40) | Работает нормально под Win98.
Но заражает не любые файлы, а только те, у которых есть свободное место в хвостах PE-секций для размещения тела вируса. Если такого места нет, то файл не пригоден для заражения и вирусом игнорируется. |
| #51 Автор: SokilOff (2022.12.20 20:25) | CIH далеко не на каждой машине может убить BIOS.
Когда искали систему под эмулятор, чтобы показать работу виря, пришлось очень постараться, чтобы найти подходящую. |
| #52 Автор: longhorn_gnu (2023.07.04 19:57) | | А мне как с Nika связаться? Интересно, просто посмотреть исходники его CIH_KILLа. |
| #53 Автор: uav (2023.07.05 10:39) | | Через форум напишите. |
| #54 Автор: longhorn_gnu (2023.07.05 16:34) | | Написал, но его там больше месяца не было. |
| #55 Автор: Nika (2023.07.09 21:37, изменений: 2, 2023.07.09 22:02) | Исходник утрачен вместе со старыми компьютерами.
Всилу некоторых обстоятельств
В принципе там всё довольно тривиально и сносный сорс может быть получен с использованием ІDA. |
| |
|
