Вирусу «Чернобыль» исполнилось 27 лет: он мог «убить» ПК так, как не умеет современное вредоносное ПО

Сегодня, 26 апреля 2026 года, исполняется 27 лет с момента активации вируса CIH, более известного как «Чернобыль». 26 апреля 1999 года крошечный 1-килобайтный вирус нанес удар по сотням тысяч компьютеров под управлением Windows 9x по всему миру, обнуляя жёсткие диски и записывая мусорные данные в микросхемы BIOS материнских плат.

Вирус, написанный тайваньским студентом Чэнь Инхао из Университета Татун в 1998 году, по оценкам, заразил около 60 миллионов компьютеров и нанёс коммерческий ущерб на сумму около 40 миллионов долларов США (~3,2 млрд рублей). Своё прозвище «Чернобыль» он получил из-за даты активации — 26 апреля, которая совпала с годовщиной ядерной катастрофы 1986 года.

«Чернобыль» также был известен как вирус-«заполнитель» из-за способа маскировки внутри исполняемых файлов. Вместо того чтобы добавлять код в конец файла, увеличивая его размер, CIH сканировал переносимые исполняемые файлы Windows на предмет неиспользуемых промежутков между секциями кода и размещал свою полезную нагрузку в этих пустотах. Заражённые файлы оставались того же размера, что обманывало проверки размера файлов, на которые полагались многие антивирусные инструменты той эпохи. Имея размер около 1 КБ, вирус был достаточно компактным, чтобы распределиться по нескольким крошечным «карманам» в одном EXE-файле.

После запуска CIH использовал эксплойт для перехода из кольца защиты процессора 3 на кольцо 0, получая доступ на уровне ядра для перехвата системных вызовов файловой системы и незаметного заражения каждого открываемого пользователем исполняемого файла. Он работал только в Windows 95, 98 и ME; Windows NT была невосприимчива.

CIH распространился по всему миру через каналы пиратского программного обеспечения летом 1998 года, но несколько заражений произошло из легальных коммерческих источников, таких как ПК IBM Aptiva, партия которых была поставлена с предустановленным CIH в марте 1999 года, за месяц до даты активации. Yamaha также распространяла заражённое обновление прошивки для своих приводов CD-R400, а копии инструмента Back Orifice 2000, розданные на DEF CON 7 в июле того же года, также содержали вирус.

При активации двойная полезная нагрузка CIH сначала перезаписывала первый мегабайт загрузочного диска нулями, уничтожая таблицу разделов и делая содержимое диска недоступным. Затем он пытался записать мусорные данные в микросхему BIOS материнской платы, что в случае успеха приводило к полной невозможности включения машины без замены чипа. Атака на BIOS работала в основном на системах с определёнными чипсетами Intel 430TX, имеющими незащищённую флэш-память.

Несмотря на масштаб ущерба, тайваньские прокуроры не могли предъявить обвинения Чэню, поскольку ни одна из жертв не подала иск, как того требовало местное законодательство того времени. Сам Чэнь утверждал, что написал CIH, чтобы бросить вызов разработчикам антивирусов, которые, по его мнению, преувеличивали возможности обнаружения своих продуктов. Этот инцидент подтолкнул Тайвань к принятию нового законодательства о компьютерных преступлениях.

Источник: Tomshardware.com