Old-DOS.ru

Win95.CIH (Чернобыль)

АНДЕРГРАУНД >> Вирусы
Главная страница Файлы Игры Поиск Форум Wiki Библиотека Галерея Гостевая Ссылки О проекте

Логин:
Пароль:


Регистрация
Восстановление пароля




+ ОПЕРАЦИОННЫЕ СИСТЕМЫ
   + DOS
      • IBM PC DOS
      + MS-DOS
         • SDK
      • DR-DOS
      • FreeDOS
      • Сборки на базе DOS
      • Расширители DOS
      • Другие платформы
   + OS/2
      • SDK
   + Windows
      + Windows 1.x-3.x
         • Патчи и дополнения к Win1.x-3.x
      + Windows 9x
         • Патчи и дополнения к Win9x
      + Windows NT
         • Патчи и дополнения к WinNT+
      • Сборки на базе Windows
      • SDK
   • Linux/Unix
   • СР/М
   • Другие операционные системы
   • Загрузочные диски
   • Готовые образы операционных систем
   • Многозадачные оболочки
   + Системные программы
      • Твикеры
      • Русификаторы
      + Утилиты
         • Оборудование
         • Работа с CD/DVD
         • Инсталляторы
         • Системные
         + Инструменты
            • Turbo Pascal Pentium II DIV BUG fixing
         • Прочее
      • Замедлители
      • Тесты оборудования и системы
      • Обновления
   + Драйверы
      • Звук
      • Видео
      • Мыши
      • CD/DVD
      • Клавиатура
      • Принтеры
      • USB
      • Сеть
      • Память
      • Материнские платы
      • Периферия
      • Другое
   • OS BuildList
+ ЭМУЛЯТОРЫ И СИМУЛЯТОРЫ
   • Консоли
   • Эмуляторы компьютеров
   • Инструменты для эмуляторов
+ ПРОГРАММИРОВАНИЕ
   + Assembler
      • Disassembler
   • Pascal/Delphi
   • C/C++
   • Basic/Visual Basic
   • Фортран
   • SDK & DDK, etc.
   • Декомпиляторы
   • Форт
   • Генераторы блок-схем
   • Отладчики программ (DEBUGGERs)
   • Другие языки программирования
• BIOS, прошивки
+ ДИСКИ И ФАЙЛЫ
   • Файловые менеджеры
   • Каталогизаторы
   • Копировщики
   • Поиск файлов, текста, байтов
   • Сканирование каталогов
   • Архиваторы
   • EXE-упаковщики
   • EXE-распаковщики
   • Восстановление информации и резервное копирование (бэкап)
   • HDD-утилиты
   • Дискеты
   • Разное
• СУБД
+ ОФИС
   • Интегрированные программные пакеты
   • Издательские системы
   • Электронные таблицы
   • Редакторы текста
   • Редакторы HTML
   + Утилиты для работы с текстом
      • OCR - распознавание текста
      • Просмотр документов
      • Печать
      • Перекодировка
      • Сравнение текстов
      • Шрифты
      • Работа со шрифтами
   • Словари и переводчики
   • Правописание
   • Органайзеры
   • Создание презентаций
   • Бизнес
   • Разное
+ ОБРАЗОВАНИЕ И НАУКА
   • Информатика
   + Инженерное ПО
      + Расчётные задачи
         • Пар и вода
      • ЧПУ
      + САПР
         + Механика - моделирование 2D/3D
            • AutoCAD и утилиты для AutoCAD'а
         • Строительство
         • Электроника, радио- и электротехника
   • Тестирование знаний и навыков
   + Обучающие программы
      • Музыка
   + Математика
      • Калькуляторы
      • Эмуляторы калькуляторов
   • Физика
   • Химия
   • Электроника и электротехника
   • Астрономия
   • Астрология
   • География и картография
   + Биология и медицина
      • Психология
   • История и политология
   • Лингвистика
   • Гаданье на кофейной гуще
   • Справочники разные
+ БЕЗОПАСНОСТЬ
   • Антивирусы
   • Шифры и пароли
+ ИНТЕРНЕТ И СЕТИ
   • Браузеры
   • Почтовые клиенты
   • IM-меседжеры
   • Звонилки
   • FTP
   • BBS и FIDO
   • Работа с СОM/LPT
   • LAN
   • Удалённое управление
   • Факсы
   • Разное
+ МУЛЬТИМЕДИА
   + Графика
      • Просмотр графики
      • Редакторы графики
      • Грабберы графики
      • Конвертеры
   + Звук и видео
      • Проигрыватели (плееры) аудио и видео
      • Редакторы аудио и видео
      • Грабберы (захват) аудио и видео
      • Синтез речи
      • Конвертеры
   • Разное
+ РАБОЧИЙ СТОЛ
   • Календари
   • Часы
   • Напоминалки
   • Скринсейверы
   • DEMO
   • Программы-шутки
   • Разное
+ АНДЕРГРАУНД
   + Hack tools
      • Крякеры
      • CRK-утилиты
      • Генераторы лоадеров (Loader generators)
      • Патчи, коды
   • Стеганография
   • Шестнадцатеричные редакторы
   • Вирусы
• РАЗНОЕ
• ФЕЙКИ, ПОДДЕЛКИ, ХИМЕРЫ
• --НА УДАЛЕНИЕ
• КАК ЗАГРУЖАТЬ ФАЙЛЫ НА Old-DOS



Денежная помощь

Win95.CIH (Чернобыль)
ОписаниеИнформация
Вирус Win95.CIH - Старичок Чернобыль - уникальный в свое время вирус. И не только потому, что он является первым из "вирусов, действительно портящих железо". А, главным образом потому, что он использует очень интересный фокус с пролезанием на 0-е кольцо привилегий процессора (в то время как большинство вирусов и юзерских программ - сосут на третьем). После этого вирус может вызывать (и успешно это делает) VxD сервисы и запись в порты. Он не изменяет SYSTEM.INI, он не пишет .VXD-файлов в WINDOWS\SYSTEM, он только заражает PE-файлы... и (иногда) стирает FLASH BIOS и жесткие диски :) ... Грубо говоря, это первый "по-настоящему резидентный" Win95/98 вирус (еще добавить немножко полиморфизма, и будет все как под DOS :)). Под Win >= 2k не функционирует.
Активизируется 26 апреля (дата катастрофы на Чернобыльской АЭС и дата рождения автора вируса)
Раздел: Вирусы
Скриншоты
Операционная система: Windows 9x
Требования: -
Автор: -
Издатель: -

Добавил: ylitvinenko (2009.05.28)
Доступные файлы - сортировка по имени и версии, времени добавления
Файлов: 4.
ФайлРазмерВыпускВерсияЯзыкКачествоЗагрузил
Ссылка Win95.CIH Executable [pass: assm-cracker]
FileСкачать3830
2.4 Кб   [Не подделка]ylitvinenko
2009.05.28
Ссылка Win95.CIH Assembler Source Code [pass: assm-cracker]
SourceСкачать2496
11 Кб   [Не подделка]ylitvinenko
2009.05.28
Ссылка CIH_KILL [password CIH_KILL][!]
ArcСкачать1776
5.3 Кб200x0.0000 Английский[Не подделка]Nika
2013.04.05
RUS:
Программа-нейтрализатор резидентного вируса CIH. Она же может и ЗАПУСТИТЬ его с разными опциями,
в том числе - и в совсем безопасном виде. Запускать БЕЗ ОПЦИЙ эту программу можно совершенно спокойно - тогда она работает как обычный антивирус, делающий неработоспособным находяшийся в оперативной памяти вирус CIH. Прочтите описание.

Программа не упакована и не криптована, поэтому антивирусы её определяют как заражённую CIH'ом. Это нормально.
В любом случае, код вируса не работает в NT+ системах, а только в Win9x.

--------------------------------
ENG:
The program-KILLER of resident virus CIH. Also It can start VIRUS CIH with different options, including and in quite safe mode. Starting of this program without options possible absolutely peacefully - then it works as usual ANTIVIRUS, disabling resident VIRUS CIH in operative memory.
Read the description in the including text file (sorry, russian only).
--------------------------------
Program CIH_KILL.EXE is not packed and not crypted. Then antivirus detects VIRUS CIH in this program. It's orderly.
Works only in Win9x, not in WinNT+.
Ссылка Демонстрация работы
DocСкачать690
3.5 Мб10.31.2016  Русский[Не подделка]D354M3D
2016.10.31

Пожаловаться

Комментарии
#1 Автор: ylitvinenko (2009.08.19 16:34)
Второе после тетриса великое изобретение российских девелоперов))

#2 Автор: Abaduaber (2009.08.23 22:25)
Разве российских?
Вроде бы вирус этот писался вообще где то на тайване, корее короче где то в азии, если мне память не изменяет. Ведь читал же про него.
Кстати, утверждение о том что не не работает под WinNT скорее всего правда т.к так утверждают все источники, в которых мне встречалось его описание.

#3 Автор: ylitvinenko (2009.08.24 10:26)
Ну, не знаю. По моим источникам, его напартачили мы.

#4 Автор: ylitvinenko (2009.08.24 10:27)
Кстати - убрал надпись "сам не проверял, поверил на слово одному человеку". НО! Если все-же что-то случится под NT - мы тут не при чем!

#5 Автор: Donald_Fuck (2009.11.04 13:30)
Да, его в Тайване сделали.
http://ru.wikipedia.org/wiki/Win95.CIH

#6 Автор: kannibal (2011.01.21 17:44)
xor al, 26h ; ??/26/???? - вот зло строчка с датой

#7 Автор: Константин (2011.05.11 02:12)
А у меня инфа, что проделки Киевского политеха. хз

#8 Автор: intel (2012.02.23 13:55)
В windows 7 работает eset32 нашёл его
в вирусе картинка в виде paintbrush


#9 Автор: Артём (2012.05.14 11:51)
А я вот думаю что это не сам Win.CIH
а написанная программка для открытия PAINT заражённая Win95.CIH

#10 Автор: LLlket (2012.10.21 15:42)
какой пароль от архива?

#11 Автор: Jeremy (2012.12.05 08:33)
i speak english but i will put in russian where is the source code for CIH

Я говорю на английском, но я поставит в Россию, где исходный код для CIH

#12 Автор: Дмитрий (2013.02.15 21:02)
хорошо, что он работает только на Win95/98, иначе всем кердык давным давно было бы

#13 Автор: Nika (2013.04.05 04:36)
Тааак... так.
Попытаюсь по порядку:
01) Программа CIH была ВПЕРВЫЕ ОБНАРУЖЕНА в Австралии. Об этом ещё в 1998 г. заявлялось в СМИ.
А вот слова "Тайвань" я тогда не слышал в этой связи.
Что бы там ни писали сейчас в википедии (читал). Ну да ладно. Считаем,что я неправ.
02) Оптимальный,изящный и раскованный код.
Сейчас такого уже не делают. Крутые люди повзрослели и остепенились, а гениальные
школьники изучают вижуальный басик и окрутеют (может быть) как раз к старости.
03) "Интересный способ" как раз-то и неудачен. Он использует "дырку" в системе, а такие
"дырки", как правило, уже оказываются заделаны в следующей же версии OС.
Есть более удачный способ сделать это же самое (в Win9x) ЛЕГАЛЬНЫМИ ДОКУМЕНТИРОВАННЫМИ СРЕДСТВАМИ.
(В данном случае следующей версии уже просто не было.
Микрософт свернула проект "Windows" и развивала далее проект "NT").
04) CIH *категорически* НЕ РАБОТАЕТ в WinNT+. Перехват прерывания DOS-овскими методами здесь тут же
приводит к завершению провинившейся программы. Не получтся из 3-го ring'а записать что-либо в IDT.
05) Порчи "железа" бояться надо осторожно. Не такая это стандартная прцедура - профлашить BIOS.
CIH умеет это делать для некоторых типов старых плат. Сейчас пойдите их поищите...
На моей 486DX4/100 cih-овская процедура не срабатывала. Пробовал.
06) А вот что он делает - так это затирает все диски посекторно в указанную дату. Безусловно.
07) PE-файлы заражаются не всякие. А только те, у которых хватает места в пустых "хвостах" секций
для записи этой вирусины. Размер .EXE файла при этом остаётся прежним.
08) Когда-то он мне попался прилепившимся к нужной программе. Оторвал. Ну не выбрасывать же его было.
09) Здесь выложена утилита CIH_KILL.EXE. (Используйте слово CIH_KILL)
***********************************
С нею ***ПООСТОРОЖНЕЕ*** под Win9x.
***********************************
(Но можно поэкспериментировать, читайте CIH_xxx.TXT)
Под WinNT+ же, повторю, CIH не работает *в*принципе*.
10) Кирдык не настал и не предвидится в дальнейшем (в смысле - от паскудных программ).

#14 Автор: Nika (2013.07.20 22:09)
;)
- Чем вы лечите у себя вирусы?
- А ничем. Они у меня не болеют.

#15 Автор: К.О. (2013.08.06 10:44)
>>ВПЕРВЫЕ ОБНАРУЖЕНА
Кэп кагбе намекает, что место обнаружения вряд ли связано с местом создания - интернет же! Даже наоборот, умный вирусописатель скорее закинет вирус куда подальше.

#16 Автор: Nika (2013.08.06 20:00)
K.O.,
не знаю.
Это всё мои предположения на уровне "верю-не-верю". IMHO.

"Умный вирусописатель" - словосочетание, содержащее в себе внутреннее противоречие.
У этих ребятишек неудовлетворённое больное самолюбие.
Далеко закинув, результатов можно не увидеть. А тут - опана! - все компьютеры
в родном университете загажены тобой! Круто!

В случае с CIH всё, правда, не так однозначно.
CIH занимался порчей BIOS'а - сразу же на рынке появилась куча "металлолома",
а народ радостно побежал в магазины за новыми компьютерами.
Да и "убитое" железо тоже можно было "вылечить", и небесплатно.
(Ха! - с помощью капроновой ниточки, если помните).

В общем, корыстные мотивы тут ярко выражены.
И сработать это было должно неподалёку от инициатора этой затеи,
иначе зачем бы он стал делать благо для торгашей и умельцев
на другом полушарии?

Не знаю...

#17 Автор: SergeCpp (2013.08.14 02:51)
Когда у меня стояла 98, я доверчиво запустил плеер на одном из cd-mp3 дисков, установив и вирус. Он был на системе где-то с месяц, пока, при очередном запуске sfc, не был обнаружен (много-много exe изменились). На nt 4 этот плеер тоже запускался - всё ок.

#18 Автор: Nika (2013.08.14 04:25, изменений: 1, 2013.08.14 04:25)
Да,
этот вирус ведёт себя очень корректно до поры - до времени.
Файлы, заверченные упаковщиками/протекторами, он не трогает,
не то, что эти туповатые теперешние файловые "вирусы".
Пока, какое-то время, антивирусные сканеры не детектировали его,
обнаружить его присутствие можно было только с помощью
таких антивирусов, как MSAV, который всюду раскладывал свои файлы chklist.ms.
Или с помощью ADINF'а. Это средство безотказное.

#19 Автор: SergeCpp (2013.08.14 05:51)
SFC - это тот же adinf, упрощённый, crc важных файлов только. Для редактора я тогда ещё не написал эту crc-проверку.

А программную запись биос я отключил ещё давным-давно до того, так что неопасно было. Диск - резерв важного всегда был многократный.

#20 Автор: Nika (2013.08.14 07:16, изменений: 2, 2013.08.14 07:37)
Да, на материнке есть джампер такой. Перед флашением BIOS'а его нужно было переставить.
И как правило, в лавках, торгующих компьютерами, отключали эту возможность,
чтобы не иметь потом претензий со стороны покупателей, злоупотребивших ею.

#21 Автор: anon (2013.08.19 17:17)
http://www.youtube.com/watch?v=RrnWFAx5vJg

#22 Автор: Nika (2013.08.19 21:32, изменений: 2, 2013.08.20 01:14)
Да, когда парень на видео перевёл дату на 26 апреля, при следующей же
дисковой операции у него началось посекторное убиение системного диска,
и, видимо, порча BIOS'а. Так что загрузочная дискетка не помогла.
(Впрочем, чтобы заснять такое видео, не нужно портить компьютер).

#23 Автор: Nika (2013.08.26 05:36, изменений: 2, 2013.08.26 05:38)
Есть пара программ, которые помогали против этого вируса.
1)
Нейтрализатор вируса в памяти Kill_CIH:
http://old-dos.ru/index.php?page=files&mode=files&do=show&id=3989
2)
Сканер для поиска заражённых файлов CleanCIH:
http://old-dos.ru/index.php?page=files&mode=files&do=show&id=900

Запускать их нужно именно в такой последовательности.
Сперва Kill_CIH, затем CleanCIH.

#24 Автор: V@NI@ (2014.02.27 15:11)
А пароль то какой ??????
Или это лыжа какая-то, типа есть такой вирь ?????

#25 Автор: SR (2014.02.27 16:25)
пароль в имени файла

#26 Автор: Werawolf22 (2014.03.03 15:10)
Работает ли CIH на Windows xp profesional sp3

#27 Автор: Nika (2014.05.19 07:43, изменений: 5, 2014.05.19 07:49)
На WinNT+ CIH95 не работает.
Всё написано в #13:
http://old-dos.ru/index.php?page=files&mode=files&do=show&id=842#2302

То-есть, если программа даже и заражена им (принесена с системы Win9x),
то она будет работать в WinNT+(WinXP) совершенно безопасно,
поскольку вирус проверяет версию системы при запуске, и если она больше, чем Win9x - просто не отрабатывает,
а передаёт управление этой самой зараженной им программе без выполнения своих функций.

#28 Автор: GordonFreeman (2014.10.14 10:19)
У меня вчера на Windows XP антивирус заругался на этот вирус. На ночь я оставил компьютер проверяться. На утро я посмотрел, что этот вирус был где-то в C:\Temp и в дистрибутиве Win95 OSR2, кстати, скачанном с этого сайта. Эти файлы я удалил. Что-то ещё надо сделать, чтобы этот вирус прищучить?

#29 Автор: Nika (2014.10.14 10:24, изменений: 1, 2014.10.14 12:04)
А что его прищучивать? - написано же, что он не работает под NT/XP.
Удалите попорченные файлы и всё.

Где там в дистрибутиве мог быть этот вирус? Он заражает только WIN32 PE файлы.
Фантастика какая-то.

#30 Автор: Castellan (2014.11.24 20:27)
а каак winMEЕЕЕ лечииииииииииить-тоооооооооооооо??????????????????????????????????????

#31 Автор: Nika (2014.11.24 20:53, изменений: 2, 2014.11.24 20:55)
#23:

>> Есть пара программ, которые помогали против этого вируса.
>> 1)
>> Нейтрализатор вируса в памяти Kill_CIH:
>> http://old-dos.ru/index.php?page=files&mode=files&do=show&id=3989
>> 2)
>> Сканер для поиска заражённых файлов CleanCIH:
>> http://old-dos.ru/index.php?page=files&mode=files&do=show&id=900
>>
>> Запускать их нужно именно в такой последовательности.
>> Сперва Kill_CIH, затем CleanCIH.

Но я бы переустановил систему и не занимался ерундой.

#32 Автор: Y@riK (2015.01.05 23:23)
Читайте описание и комментарии, и не спрашивайте по 200-300 раз.

#33 Автор: Nika (2016.07.17 11:03)
Да.

#34 Автор: D354M3D (2016.09.12 13:57)
А если его на Virtualbox запустить, то что будет?

#35 Автор: Nika (2016.09.12 16:02)
Надо пробовать.

#36 Автор: D354M3D (2016.10.31 20:56)
Попробовал. Все подробности смотрим в видео.

#37 Автор: Nika (2016.10.31 23:26, изменений: 1, 2016.10.31 23:27)
) Ну, пробовать надо было на реальной системе.

В раздаче выложена утилита (CIH_KILL), которая позволяет запустить CIH с опциями.
Если запустить безопасную версию вирусни, то можно посмотреть, как он заражает файлы и какие изменения в них при этом происходят.

Это интереснее, чем просто факт запорченных логических дисков.

#38 Автор: SokilOff (2016.11.01 00:24)
>Если запустить безопасную версию вирусни, то можно посмотреть, как он заражает файлы и какие изменения в них при этом происходят.

Проще на виртуалке или эмуляторе посмотреть.

#39 Автор: D354M3D (2016.11.01 17:05)
У меня нет реального компьютера с Windows 95.

#40 Автор: Nika (2016.11.01 21:02)
Ну, тогда да

#41 Автор: MQvEr (2016.12.24 07:07, изменений: 1, 2016.12.24 07:09)
На WinME после запуска сработал стоп экран с надписью: "Ошибка защиты Windows. Необходимо перезагрузить систему."
После перезагрузки, ПК выдал FATAL: NO BOOTABLE MEDIUM FOUND! SYSTEM HALTED.
На Win 98 вызвал зависание, но мышка дергалась. Тоже самое что и с WinME.
Всё проверено на Pentium II с 128 МБ ОЗУ.
Когда устанавливал PC-DOS, то выдал что надо создать разделы.

#42 Автор: D354M3D (2017.01.04 20:42)
FATAL: NO BOOTABLE MEDIUM FOUND! SYSTEM HALTED.
Это же вроде как на Virtualbox? Что-то не верится, что у вас был Pentium II.

#43 Автор: Computershik (2017.02.13 15:39)
У меня пень 4)

#44 Автор: NepetaLeonid (2018.04.25 08:12)
Да прикольный вирус, мне нравится!

#45 Автор: NepetaLeonid (2018.04.25 08:58)
На самом деле очень люблю такие вирусы как CIH!!!!

#46 Автор: ctv (2018.07.24 16:32, изменений: 1, 2018.07.24 17:15)
спасибо за paint теперь их у меня 2

#47 Автор: destr0yd (2018.11.25 01:38)
Хоть и вирь устарел, но он является моим любимым ;). Именно поэтому я начал изучать
ассемблер (Win32).

#48 Автор: Nika (2020.02.14 01:27, изменений: 1, 2020.02.14 01:27)
Ну, я, когда столкнулся с инфицированной им программой, то уже был знаком с программированием WIN32.
И полез расковыривать его с целью увидеть, как он переходит на привилегированный уровень.
Так и появилась программка CIH_KILL,которая выложена тут на странице.
Сам-то я делал такое целиком документированными средствами, а потому несколько громоздко.
В этом же вирусе всё просто, но надо признать, что в новых системах уже не работал ни тот, ни другой способ.
Поэтому недокументированный оказался ничем не хуже документированного.

Имя:
E-mail:
 =
Ваш комментарий:

Рейтинг@Mail.ru
Какой бы Вы компутер ни настраивали, тот, кто настраивал его до Вас - чайник.

For abuses about copyright: srzone@mail.ru
Для жалоб на авторские права: srzone@mail.ru
Float 1.0.3 Copyright © 2008-2020 StrannikRiddler. All rights reserved.
18+. Находясь на этом сайте, вы соглашаетесь с его правилами
11 queries, db time 0.002049, memory 2019.05 Kb, total time 0.031 sec