fbpx
Wikipedia

Virus CIH

Noviembre 10, 2021

El virus CIH, también conocido como virus Chernobyl, es un virus informático que ataca los sistemas Windows 9x, surgido en 1998.

El nombre original del virus (CIH) es un acrónimo con las iniciales de su creador, Chen Ing Hau (陳盈豪, pinyin: Chén Yíngháo), a la razón estudiante en la Universidad Tatung de Taipéi (Taiwán).[1]​ El sobrenombre posterior de "virus Chernobyl" se debió a que la fecha de activación del virus (26 de abril) coincidía casualmente con el aniversario del accidente de Chernóbil,[2]​ ocurrido en la URSS el 26 de abril de 1986. En realidad, la fecha elegida se debía al cumpleaños del autor del virus.[3]

En su momento fue considerado uno de los virus más peligrosos y destructivos, capaz de eliminar información crítica del usuario e incluso sobrescribir el sistema BIOS, impidiendo el arranque del equipo.[2]​ Se calcula que el virus logró infectar unos 60 millones de ordenadores en todo el mundo, ocasionando pérdidas por valor de 1.000 millones de dólares,[1]​ aunque otras fuentes rebajan dicha cuantía a una cuarta parte.[3]

Alerta de infección por el virus CIH o Chernobyl

Chen dijo que su objetivo de crear el virus era básicamente dejar en ridículo a ciertas compañías de software que presumían de la eficacia de sus programas antivirus.[4]​El joven programador declaró en su descargo que, cuando algunos de sus compañeros propagaron el virus fuera de su Universidad, él mismo publicó un antivirus disponible gratuitamente, desarrollado con la ayuda de otro estudiante, Weng Shi-hao (翁世豪).[4]​ Por aquel entonces, los fiscales taiwaneses no pudieron imputar a Chen ningún delito, debido a que las víctimas no presentaron cargos contra él.[5]​ Estos hechos propiciaron que más adelante se aprobase una nueva legislación sobre delitos informáticos en Taiwán.[4]​ Por su parte, Chen trabajó para la compañía taiwanesa Gigabyte como programador sénior hasta que fundó su propia empresa, llamada CIH.[6]

Historia

En septiembre de 1998, Yamaha lanzó una actualización de firmware para sus dispositivos CD-R400 que se hallaba infectada por el virus. Un mes más tarde, una versión demo del juego SiN de Activision, extendió el contagio a causa de una copia infectada.[7]​ En 1999, varios miles de equipos a la venta de IBM salieron al mercado portando el virus CIH,[8]​ justo un mes antes de que este se activase.

Al activarse, el virus CIH actuaba rellenando los primeros 1024 KB del dispositivo de arranque con una secuencia de ceros, y a continuación atacaba la BIOS. En la práctica estas acciones dejaban el computador inutilizable y para la mayoría de los usuarios no avanzados el virus "destruía" el PC. Técnicamente, sin embargo, bastaba con reemplazar el chip del BIOS; posteriormente, también se idearon algunos métodos para recuperar los datos del disco duro.

Aún hoy, CIH puede encontrarse de manera residual en algunos equipos antiguos con Windows 95/98/Me instalado.

Este virus tuvo una breve reaparición en 2001, cuando una variante del virus ILoveYou, que portaba un fichero VBS con una rutina del CIH, estuvo circulando por Internet bajo el reclamo de un desnudo de Jennifer Lopez.[9]​ Por último, en diciembre de 2002 se detectó una versión modificada del virus llamada CIH.1106, considerada mucho menos dañina que la original.

Detalles

Método de propagación

CIH tenía su caldo de cultivo en sistemas Windows 95, 98 y ME, propagándose a través de ficheros ejecutables de formato PE (Portable Executable). A partir de la siguiente generación de sistemas Windows, basados en arquitectura NT, el virus dejó de propagarse, y a día de hoy se considera prácticamente erradicado.[10]

CIH no empleaba ninguna técnica concreta para difundirse, aprovechando los cauces habituales usados por otros virus de la época: mensajes de correo electrónico, transferencias de ficheros por FTP, CD-ROM, disquetes, etc.[2]​ Después, había que esperar a que el archivo infectado se ejecutase en el sistema, tras lo cual el virus quedaba residente en memoria, permaneciendo allí a la espera de infectar más programas y archivos.[3]​ Asimismo, CIH ponía en práctica técnicas avanzadas para elevar sus privilegios de ejecución, saltando desde el nivel destinado a las aplicaciones de usuario (anillo 3) hasta el nivel asignado al núcleo del sistema operativo (anillo 0). Esto le permitía interceptar las llamadas al sistema y burlar la detección del software antivirus.[11]

Método de infección

El virus CIH infectaba archivos ejecutables de Windows con formato PE (*.EXE). Cuando se abría cualquier archivo de extensión EXE, el virus instalado en memoria comprobaba si este disponía de huecos suficientes; en caso afirmativo lo infectaba, e inmediatamente verificaba la fecha del día para decidir si era tiempo de activarse.[11]

Tras la infección, los archivos presentaban el mismo tamaño que al principio, debido al sofisticado método de infección puesto en práctica. El virus lograba "inyectar" código malicioso en el ejecutable, sin aumentar su tamaño (lo que dificultaba la detección), aprovechando los huecos internos de la estructura del archivo. CIH troceaba su propio código (apenas 1KB)[3]​ para ajustarse a los huecos disponibles. De esta forma lograba inocularse en nuevos archivos ejecutables. Por esta peculiaridad, recibió el apelativo de «spacefiller» ("tapahuecos") en la jerga técnica.[11]

Efectos

El 26 de abril, fecha de activación en casi todas las variantes del virus CIH,[12]​ este iniciaba el ataque usando dos tácticas diferentes.

La primera consistía en sobrescribir la tabla de particiones del disco duro (MBR) con datos aleatorios, comenzando por el sector 0, hasta provocar el colapso del sistema. Esta sobrescritura impedía que el ordenador pudiese arrancar y hacía casi imposible recuperar los datos. Tras esto, cuando el usuario trataba de reiniciar el equipo, nada se mostraba en la pantalla excepto el mensaje de error: "DISK BOOT FAILURE", lo que indicaba que el virus había formateado el disco.[2][12]

La segunda ocasionaba graves daños en computadoras con microprocesador Pentium y placa compatible con el chipset Intel 430TX.[2][12]​ Este ataque consistía en grabar información basura en la memoria flash del sistema BIOS, dejándolo inservible.[3]

Todas las variantes del virus CIH presentan un modus operandi similar: borran los primeros 2048 sectores del disco duro (alrededor de 1MB) y además, si el sistema no está protegido, intentan sobrescribir la memoria del BIOS, dejando inutilizable el computador hasta el recambio del chip del BIOS o de la placa base.[11]

Variantes del virus

CIH v1.2/CIH.1103
Esta versión es la más común. Se activaba el 26 de abril.
Contiene la frase: CIH v1.2 TTIT
CIH v1.3/CIH.1010A y CIH1010.B
Esta versión también se activaba el 26 de abril.
Contiene la frase: CIH v1.3 TTIT
CIH v1.4/CIH.1019
Esta versión se activaba el día 26 de cualquier mes. Aún puede encontrarse en ciertos sistemas antiguos, aunque es poco frecuente.
Contiene la frase: CIH v1.4 TATUNG.
CIH.1049
Esta versión se activaba el 2 de agosto, en lugar del 26 de abril.
CIH.1106
Esta versión se activaba el día 2 de cualquier mes.

Referencias

  1. ithome.com.tw. 從CIH「重裝駭客」變身「除錯超人」 el 17 de abril de 2013 en Wayback Machine.. 2006-08-25. (en chino)
  2. . Enciclopedia de virus. Archivado desde el original el 2 de noviembre de 2013. Consultado el 29 de octubre de 2013. 
  3. «CIH». The Malware Encyclopedia (en inglés). Consultado el 29 de octubre de 2013. 
  4. parenting.com.tw. 從駭電腦到愛旅行─昔日網路小子陳盈豪 (en chino)
  5. cyy.moj.gov.tw. 打擊駭客,不再無法可施 (en chino)
  6. CIH en LinkedIn (en inglés)
  7. . Archivado desde el original el 17 de abril de 2009. Consultado el 30 de junio de 2014.  US Report: Gamers believe Activision's 'SiN' carries CIH virus - ZDNet.co.uk
  8. Weil, Nancy. "Some Aptivas shipped with CIH virus." CNN. (en inglés) 8 de abril de 1999.
  9. «Un nuevo virus tiene a Jennifer López como cebo». Consultado el 29 de octubre de 2013. 
  10. «El virus Chernobyl (CIH)». Nosololinux (blog de seguridad informática). 3 de julio de 2006. 
  11. «El W95.CIH a fondo». vsantivirus. 21 de abril de 2001. 

Enlaces externos

  • (en inglés)
  • CIH at linkedin (en inglés)
  • F-Secure CIH Technical Page (en inglés)
  • Symantec CIH Technical Page (en inglés)
  • (en inglés)
  • FIX-CIH - Site by Steve Gibson on how to repair most of the damage from CIH (en inglés)
  •   Datos: Q1023724

Noviembre 10, 2021
virus, virus, también, conocido, como, virus, chernobyl, virus, informático, ataca, sistemas, windows, surgido, 1998, nombre, original, virus, acrónimo, iniciales, creador, chen, 陳盈豪, pinyin, chén, yíngháo, razón, estudiante, universidad, tatung, taipéi, taiwá. El virus CIH tambien conocido como virus Chernobyl es un virus informatico que ataca los sistemas Windows 9x surgido en 1998 El nombre original del virus CIH es un acronimo con las iniciales de su creador Chen Ing Hau 陳盈豪 pinyin Chen Yinghao a la razon estudiante en la Universidad Tatung de Taipei Taiwan 1 El sobrenombre posterior de virus Chernobyl se debio a que la fecha de activacion del virus 26 de abril coincidia casualmente con el aniversario del accidente de Chernobil 2 ocurrido en la URSS el 26 de abril de 1986 En realidad la fecha elegida se debia al cumpleanos del autor del virus 3 En su momento fue considerado uno de los virus mas peligrosos y destructivos capaz de eliminar informacion critica del usuario e incluso sobrescribir el sistema BIOS impidiendo el arranque del equipo 2 Se calcula que el virus logro infectar unos 60 millones de ordenadores en todo el mundo ocasionando perdidas por valor de 1 000 millones de dolares 1 aunque otras fuentes rebajan dicha cuantia a una cuarta parte 3 Alerta de infeccion por el virus CIH o Chernobyl Chen dijo que su objetivo de crear el virus era basicamente dejar en ridiculo a ciertas companias de software que presumian de la eficacia de sus programas antivirus 4 El joven programador declaro en su descargo que cuando algunos de sus companeros propagaron el virus fuera de su Universidad el mismo publico un antivirus disponible gratuitamente desarrollado con la ayuda de otro estudiante Weng Shi hao 翁世豪 4 Por aquel entonces los fiscales taiwaneses no pudieron imputar a Chen ningun delito debido a que las victimas no presentaron cargos contra el 5 Estos hechos propiciaron que mas adelante se aprobase una nueva legislacion sobre delitos informaticos en Taiwan 4 Por su parte Chen trabajo para la compania taiwanesa Gigabyte como programador senior hasta que fundo su propia empresa llamada CIH 6 Indice 1 Historia 2 Detalles 2 1 Metodo de propagacion 2 2 Metodo de infeccion 2 3 Efectos 3 Variantes del virus 4 Referencias 5 Enlaces externosHistoria EditarEn septiembre de 1998 Yamaha lanzo una actualizacion de firmware para sus dispositivos CD R400 que se hallaba infectada por el virus Un mes mas tarde una version demo del juego SiN de Activision extendio el contagio a causa de una copia infectada 7 En 1999 varios miles de equipos a la venta de IBM salieron al mercado portando el virus CIH 8 justo un mes antes de que este se activase Al activarse el virus CIH actuaba rellenando los primeros 1024 KB del dispositivo de arranque con una secuencia de ceros y a continuacion atacaba la BIOS En la practica estas acciones dejaban el computador inutilizable y para la mayoria de los usuarios no avanzados el virus destruia el PC Tecnicamente sin embargo bastaba con reemplazar el chip del BIOS posteriormente tambien se idearon algunos metodos para recuperar los datos del disco duro Aun hoy CIH puede encontrarse de manera residual en algunos equipos antiguos con Windows 95 98 Me instalado Este virus tuvo una breve reaparicion en 2001 cuando una variante del virus ILoveYou que portaba un fichero VBS con una rutina del CIH estuvo circulando por Internet bajo el reclamo de un desnudo de Jennifer Lopez 9 Por ultimo en diciembre de 2002 se detecto una version modificada del virus llamada CIH 1106 considerada mucho menos danina que la original Detalles EditarMetodo de propagacion Editar CIH tenia su caldo de cultivo en sistemas Windows 95 98 y ME propagandose a traves de ficheros ejecutables de formato PE Portable Executable A partir de la siguiente generacion de sistemas Windows basados en arquitectura NT el virus dejo de propagarse y a dia de hoy se considera practicamente erradicado 10 CIH no empleaba ninguna tecnica concreta para difundirse aprovechando los cauces habituales usados por otros virus de la epoca mensajes de correo electronico transferencias de ficheros por FTP CD ROM disquetes etc 2 Despues habia que esperar a que el archivo infectado se ejecutase en el sistema tras lo cual el virus quedaba residente en memoria permaneciendo alli a la espera de infectar mas programas y archivos 3 Asimismo CIH ponia en practica tecnicas avanzadas para elevar sus privilegios de ejecucion saltando desde el nivel destinado a las aplicaciones de usuario anillo 3 hasta el nivel asignado al nucleo del sistema operativo anillo 0 Esto le permitia interceptar las llamadas al sistema y burlar la deteccion del software antivirus 11 Metodo de infeccion Editar El virus CIH infectaba archivos ejecutables de Windows con formato PE EXE Cuando se abria cualquier archivo de extension EXE el virus instalado en memoria comprobaba si este disponia de huecos suficientes en caso afirmativo lo infectaba e inmediatamente verificaba la fecha del dia para decidir si era tiempo de activarse 11 Tras la infeccion los archivos presentaban el mismo tamano que al principio debido al sofisticado metodo de infeccion puesto en practica El virus lograba inyectar codigo malicioso en el ejecutable sin aumentar su tamano lo que dificultaba la deteccion aprovechando los huecos internos de la estructura del archivo CIH troceaba su propio codigo apenas 1KB 3 para ajustarse a los huecos disponibles De esta forma lograba inocularse en nuevos archivos ejecutables Por esta peculiaridad recibio el apelativo de spacefiller tapahuecos en la jerga tecnica 11 Efectos Editar El 26 de abril fecha de activacion en casi todas las variantes del virus CIH 12 este iniciaba el ataque usando dos tacticas diferentes La primera consistia en sobrescribir la tabla de particiones del disco duro MBR con datos aleatorios comenzando por el sector 0 hasta provocar el colapso del sistema Esta sobrescritura impedia que el ordenador pudiese arrancar y hacia casi imposible recuperar los datos Tras esto cuando el usuario trataba de reiniciar el equipo nada se mostraba en la pantalla excepto el mensaje de error DISK BOOT FAILURE lo que indicaba que el virus habia formateado el disco 2 12 La segunda ocasionaba graves danos en computadoras con microprocesador Pentium y placa compatible con el chipset Intel 430TX 2 12 Este ataque consistia en grabar informacion basura en la memoria flash del sistema BIOS dejandolo inservible 3 Todas las variantes del virus CIH presentan un modus operandi similar borran los primeros 2048 sectores del disco duro alrededor de 1MB y ademas si el sistema no esta protegido intentan sobrescribir la memoria del BIOS dejando inutilizable el computador hasta el recambio del chip del BIOS o de la placa base 11 Variantes del virus EditarCIH v1 2 CIH 1103 Esta version es la mas comun Se activaba el 26 de abril Contiene la frase CIH v1 2 TTIT CIH v1 3 CIH 1010A y CIH1010 B Esta version tambien se activaba el 26 de abril Contiene la frase CIH v1 3 TTIT CIH v1 4 CIH 1019 Esta version se activaba el dia 26 de cualquier mes Aun puede encontrarse en ciertos sistemas antiguos aunque es poco frecuente Contiene la frase CIH v1 4 TATUNG CIH 1049 Esta version se activaba el 2 de agosto en lugar del 26 de abril CIH 1106 Esta version se activaba el dia 2 de cualquier mes Referencias Editar a b ithome com tw 從CIH 重裝駭客 變身 除錯超人 Archivado el 17 de abril de 2013 en Wayback Machine 2006 08 25 en chino a b c d e Virus Chernobyl Enciclopedia de virus Archivado desde el original el 2 de noviembre de 2013 Consultado el 29 de octubre de 2013 a b c d e CIH The Malware Encyclopedia en ingles Consultado el 29 de octubre de 2013 a b c parenting com tw 從駭電腦到愛旅行 昔日網路小子陳盈豪 en chino cyy moj gov tw 打擊駭客 不再無法可施 en chino CIH en LinkedIn en ingles Copia archivada Archivado desde el original el 17 de abril de 2009 Consultado el 30 de junio de 2014 US Report Gamers believe Activision s SiN carries CIH virus ZDNet co uk Weil Nancy Some Aptivas shipped with CIH virus CNN en ingles 8 de abril de 1999 Un nuevo virus tiene a Jennifer Lopez como cebo Consultado el 29 de octubre de 2013 El virus Chernobyl CIH Nosololinux blog de seguridad informatica 3 de julio de 2006 a b c d El virus Chernobyl W95 CIH Archivado desde el original el 2 de noviembre de 2013 Consultado el 30 de octubre de 2013 a b c El W95 CIH a fondo vsantivirus 21 de abril de 2001 Enlaces externos EditarCIH Official Site en ingles CIH at linkedin en ingles F Secure CIH Technical Page en ingles Symantec CIH Technical Page en ingles News article about the Jennifer Lopez e mail en ingles FIX CIH Site by Steve Gibson on how to repair most of the damage from CIH en ingles Datos Q1023724 Obtenido de https es wikipedia org w index php title Virus CIH amp oldid 136353279, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos