Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
Так-так-так. Я здесь целый статейный марафон устроил и решил за неделю выпустить очень много работ, конечно увидите вы их с задержкой, но на данный момент уже три готовы. Следуя простому принципу: чем больше что-то делаешь - тем лучше у тебя это получается. Можно сообразить, что я банально хочу отточить свое умение писать всякие рассказы, статейки и тому подобную штуковину. Да и мне нравится это делать, хе. А приучиться к стабильности было бы отлично.
Тематику своего марафона менять не стану, на повестке дня у нас историческая вирусология и раз это обретает очертания нового формата или цикла, то оставлю ссылочки на предыдущие, уже вышедшее, две части:
- Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
- Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
Итак, сегодня мы не будем разбирать лишь один вредонос, как это было в прошлых двух выпусках, здесь будет представлена подборка из нашумевших зловредов, но уже с меньшим охватом и ущербом. От небольшого внедрения сюжета отказываться не стану. Я взываю к тебе, о мой дисклеймер, откликнись же на мой зов и приди, явись мне( опять же отсылка к одному аниме, кто поймет, тот поймет):
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
Историческая вирусология: Начало конца - Чернобыль
Двадцать пятое апреля 1998 года, полдень. Какая же прекрасная картина на улице - все цветет и пахнет. Солнце легенько припекает, благодать.
Но нет, мы в Тайване, снова. Через несколько лет где-то за углом взорвется синий кит, а молодой студент Анель Де Гузман именно в это время начал разработку своего, воистину легендарного, червя, который изначально червем вовсе и не был. А герой нашей прошлой статьи ещё даже не устроился на работу и всего-то обучается в колледже.
Суета, влажный воздух, дышать тяжело, вокруг снует бесчисленное количество фигур, местный программист старой закалки, Лу да Тао, спокойно следует домой, его все раздражает, он ненавидит весну. Но лишь дома, находясь перед монитором своего старенького аппарата на 95-ом Виндоусе, он познает покой.
Начинаем абстрагирование, погружаемся в мир исторического IT.
На самом деле Лу да Тао преподает в местном университете всякую всячину связанную с IT этого времени, он ненавидит свою работу и очень часто жалуется в различных чатах на своих студентов, начальство. Типичный вечно недовольный ворчун, ожидающий конца вселенной с наступлением 2000 года. 23:49, наш герой решает проверить проекты своих учеников, которые они делали к сессии: один, второй, ничего особого: банально, скучно, просто.
Один за другим, третий за вторым, и вот уже 23:59, 25 апреля. Он добирается к проекту лучшего своего ученика Ченга Инг-Хау. Файл с названием CIH.exe не вызывает никаких опасений, ведь это всего-то инициалы ученика. Быстрым движением руки, он открывает программу, в глазах промелькивает небольшое окно CMD, но оно тут же закрывается.
“Битый файл, - подумал Лу, Разочаровал ты меня, Ченг, незачет”. 00:00, 26 апреля. Компьютер издает странный писк, появляется синий экран и … На этом все закончилось. При повторной попытке запуска, ничего не происходит.
Лу не на шутку испугался, ведь он хранил на жестком диске очень ченные материалы, по крайней мере он считал их таковыми, он пытается перезапустить машину мануально, тыкая на кнопку включения, но результата никакого. Попытка загрузки с дискеты не дает ровным счетом ничего, ведь биос не отзывается, словно его и не было никогда.
Лу очень зол, он хватает аппарат и выбрасывает его в окно. А оно отчасти и верно, ведь после действия этого вируса в 50% случаев оставалось только это и делать, ведь биос не мог быть перезаписан. (Но потом вдруг компьютер отращивает ноги и руки, забирается обратно в окно, и начинает избивать нашего героя, а после устраивает ему полёт веры с третьего этажа, словно на этой гифке. Ну ладно, шучу. Минутка юмора.)
На следующий день Лу узнает, что на кампусе в колледже все компьютеры вышли из строя аналогичным образом.
Оказалось, что всему был виной проект одного студента: Ченга Инх-Хау, чьи инициалы были названием вируса CIH, известному как Чернобыль или вирус Конца Света. Хотя на то время так его ещё не называют.
Юному вредителю все сошло с рук и инцидент замяли, думаете на этом все? Ну уж нет. Отправляемся на 364 дня вперед, 24 апреля, 1999 года.
Здесь, к сожалению, не будет прямо четкой хронологии событий, под ширмой тайны остается то, как вирус начал распространяться, ведь изначально это был просто код, уничтожающий биос, он не рассылался изначально по почте, не пытался как-то через лазейки попасть на другие устройства.
Но я считаю, что виной всему является его открытый код, по моему скромному, субъективному мнению, его доработали, возможно сам Ченг, а может кто-то другой. Но в итоге ему удалось заразить порядка 500.000 машин. Заметьте, на 1990 год это колоссальные цифры.
Естественно, на то время не существовало прям громких зловредов, которые наделали шуму и спровоцировали бы развитие информационной безопасности, проще говоря на это всем плевать и в подтверждение тому прошлые две статьи.
И как уже говорилось в моей первой статье по вирусологии, даже банальный фишинг, типа "смотри, вот любовное письмо, открой, несмотря на то, что оно пришло с почты покойного деда, который сгинул ещё тысячу лет назад, а почту создали ему забавы ради". В 95% случаев люди тех времен бы скачали этот файл и открыли, не заметив ни капли подвоха.
И здесь нет их вины, банальное отсутствие интернет грамотности всему вина, я бы здесь винил в первую очередь тех, кто создавал интернет, компьютеры и операционные системы.
Они не задумываясь о возможности использования их систем во вред, не распространяли необходимые знания для предотвращения исхода оконного полета ПК.
И пока вирус Чернобыль, ЛавЛеттер и МайДум не набили им огромную шишку на лбу, они не осознали своего глобального прокола, а из-за этого страдали такие люди, как Лу, будучи избитыми до полусмерти собственными компьютерами (шутка).
Более того, этот вирус абсолютно не замечали до 26 апреля 1999, он свободно распространялся, заражал исполняемые файлы, а вот о этом чуточку позже, и в итоге уничтожал и все файлы пользователей, и материнские платы.
В основном он активничал на виндоус 95 и 98, но с определенным типом материнской платы, мог разнести в щепки и Шиндоу-ус-с( ещё одна отсылка к легендарному видосу) 2000, но здесь речь исключительно о модифицированной версии скрипта, которую раздобыть, к сожалению, у меня не вышло.
Да , оставлю вот здесь это:
Но в случае этого вируса - манипуляции с переустановкой Шиндоус вас не спасут. Хоть миллион раз переустановите его.
Итак, изначально создатель вредоноса CIH, а именно такое его настоящее название, говорил, что все то, что он делал было для того, чтобы указать на просчеты антивирусных компаний, а они уже существовали тогда: в 1999 году начал свою деятельность популярный и ныне Доктор Веб, далее какой-то Спайдерс Веб и менее известные, которые уже не существуют даже.
Больше всего удивляет, что жалобы со стороны официальных компаний Тайваня отсутствовали, а в их законе даже не существовало пункта о киберпреступлениях, черт возьми, даже в случае с де Гузманом было похожим образом.
И вот мало того, что Ченга тогда не наказали ,его пригласили работать в крупную компанию-производителя материнских плат и устройств. А это было очень престижно.
Следовательно 1999 год, вирус начинает распространяться по всему миру: СНГ, США - Тайваня было мало. А Ченг был арестован лишь в 2000 году, хотя даже тогда наказать его не смогли и он отделался лишь судебным разбирательством, которое сошло на нет, а создатель остался знаменитым …
Все таки считаю, что объяснять почему Чернобыль не стоит, ведь 26 апреля произошел очень трагичный инцидент, а именно взрыв на четвертом энергоблоке АЭС в городе с идентичным названием. К сожалению.
Идем дальше. Тот же год, небольшая хронология, которую удалось найти с огромным трудом.
31 марта 1999, вирус массово рассылается в местные интернет-конференции
по всему Тайваню, что запустило его форсированное распространение по всему миру.
13 апреля того же года, зловред обнаружен на игровых серверах США, ещё один толчок к форсу, все скачиваемые приложение имеют в себе, а именно в тех самых “пещерах” между заголовками в PE файле, вредоносный код. Да и теперь я понял каким образом он распространялся, дошло, емае. Хотя сначала он записывал себя в память Ши-и-индоус, а потом только в запускаемые исполняемые файлы.
И вот какой-то парень из Штатов качает пасьянс, открывает его, делится с друзьями, а после 26 апреля его ПК вылетает из десятого этажа на бездомного Петра Пугачевского , отчисленного из колледжа, на этом история о Петре покрыта мраком, в прямом смысле.
24 апреля, 1999 год, около 500.000 машин заражены.
26 апреля 1999, начало конца. Все инфицированные машины начинают уничтожаться. Вирус начинает стирать Flash Bios и содержимое жестких дисков. Он использовал прямой доступ к накопителям из-за чего проблем не возникало.
На этом хронология окончена, его очень быстро локализовали патчами и антивирусными программами.
Перенесемся немного в прошлое, Лу только что открыл “проект” своего ученика. Что же произошло в этот момент?
Сразу же после запуска вредонос начинает искать исполняемые файлы, которые он тщательно анализирует, точнее быть не сами файлы, а их PE структуру. Если вспомнить мою статью, вроде как , м-м-м, одну из цикла “По горячим следам”, то там мы разбирали и создавали вредоносный PE файл. Там было несколько вариаций: использовать то пространство, которые уже есть между заголовками или создать свой заголовок, в который и поместить вредный для устройств код. Тогда, если не подводит память, мы заливали туда бэкдор или полезную нагрузку TCP. Ну не суть.
Чернобыль ищет же или то самое пространство или делит свой код и записывает его в конец каждого заголовка. При этом размер файла не отличается от исходного, если бы создавал свое, то были бы различия, конечно же.
Кстати, ещё небольшая хитрость, из-за прямого доступа к дискам этот вредонос с легкостью обходит защиту BIOS.
А теперь подробно о записи в заголовки:
Сперва он ищет неиспользуемый блок данных в том заглавиях PE, и если в конце заголовка есть место, уточню, что не менее 184 байт, то вирус записывает в неё свою startup-процедуру, а затем заменяет стартовый адрес файла.
Это приводит к дестабилизации структуры PE-файла и любая современная операционная система откажется его запускать, но то-то и оно, ведь на дворе 1999 и Windows 95 не обращает ни малейшего внимания на такие странные файлы и начинает грузить в память указанный в заголовке адрес на Startup-процедуру.
Этими манипуляциями наш вирус, точнее уже не он, а сама процедура, получает управление и выделяет блок памяти через VMM-вызов PageAllocate, вставляя туда свой код.
После чего вирус перехватывает IFS API, затем возвращает управление программе, допустим тому же калькулятору, который был запущен или пасьянсу, что разослал какой-то школьник друзьям.
И теперь код вируса исполняется как приложение Ring0, исходя из этого зловред в состоянии перехватить AFS API, что невозможно для программ в кольцах Ring3.
После проверки даты, при условии если она стоит позже 26 апреля 1999 года, вирус начинает последовательное удаление файлов. Кстати, вот при стирании секторов у дисков, вирус вызывает VxD-функцию прямого обращения к дискам - IOS_SendCommand и за счет этого обходит саму защиту BIOS.
Пусть автор вируса и раскаивался в своих деяниях, но он сам способствовал распространению его детища и даже позаботился о их эволюции, разослав исходники. Красава. Ну и пока я это писал, естественно распаковал сам CIH.exe с помощью того самого неудобного и не практичного декомпилятора, дабы поглядеть по ходу написания на исходник.
О, а теперь и импорты затронем. Дефолтом но импортируется в системные .dllки, как Kernell32.dll и Shell32.dll . Первая - это фактически динамическая библиотека ядра системы. Вторая же отвечает за дополнительные функции.
Давайте сделаем полный декомпайл и посмотрим на исходники, которые кстати можно было просто скачать и не морочить себе голову, как делаю я. У вас же в доступе в конце статьи будут и те, и другие. Написан он, кстати, на асамблере, где детально и на русском будет расписана каждая строка кода.
Та-а-ак. Переходим к тестам, в распоряжении три версии виндоус: 95, 98 и 2000. Поехали. С установкой их на Виртуал бокс мы разобрались в прошлый писанинах. Поехали.
К сожалению, пусть я и нашел старый офисный ПК на балконе, когда был в гостях у друга, к слову, я его таки забрал себе, но у меня нет монитора и кабелей, дабы подключить его, поэтому посмотреть на то, как умрет БИОС не выйдет и мы просто убьем несколько виртуалок.
95-тка отказала кстати ещё до теста, поэтому сделаем все на оставшихся.
Переносим файл, открываем и… Видим, что запустился Пейнт, давайте что-то нарисуем и закроем тот.
Переставляем дату на 26 апреля 1999. Прикол в том, что у нас будет только один дубль, погнали. Открываем опять. Виртуальная машина просто крашится, а при попытке запустить снова - пишет, что системные файлы отсутствуют.
Знаете, хотел сюда ещё втулить первого интернет-червя, имя было ему дано от фамилии создателя… Вирус Мортиса.
Нет-нет-нет, не он. Простите, оговорочка по Фрейду вышла. Я имел ввиду вирус Морриса, да. Но если его сюда влепить выйдет огромная работа, которую будет тяжело прочесть, некоторые, кстати, жаловались уже. Поэтому перейдем к итогам.
Итоги
1998 год, 26 апреля и невероятно ужасающее название - Чернобыль. Мне кажется, будь это другая дата, не такой уж и фурор он вызвал. Был бы просто CIH, а так вышло более устрашающее и величественно.
1 миллиард долларов убытка и те года, когда ещё не было ни MyDoom, ни ЛавЛеттер, а компьютеры были далеко не у каждого жителя нашей планеты.
Это-то очень даже неплохие результаты на те года. Хотя тогда вовсе не существовало понятия в массах о безопасности в интернете да и мало кто о этом задумывался тогда.
Зловред, уничтожающий данные на жестком диске, таким ведь уже и не удивить никого в это время, но тогда это было гениально, а чего-то только стоит способ распространения. О да.
Как думаю я, этот вирус произвел своего рода революцию в подходе к созданию программ-антивирусов, если бы не он, так что-то другое. Это был ещё один толчок к развитию. Так уж повелось, покуда шишки не набьешь - не научишься ничему. Так работало тогда, так оно есть и сейчас.
На этом у меня все, увидимся в скором времени, не теряйте, господа. С вами был как всегда какой-то парень под ником DeathDay и легендарный вирус с не менее легендарным названием. Мира всем, бывайте.
Кстати, если вам интересно, что стало с создателем этого вредоноса, то он работает в компании Gigabyte на достаточно престижной должности, сейчас ему 45 лет.
26.04.1999. CIH.EXE/ЧЕРНОБЫЛЬ
Последнее редактирование:
