וירוס צ'רנוביל

וירוס צ'רנוביל (ידוע גם בשמות CIH ו-Spacefiller) הוא וירוס של מערכת ההפעלה Microsoft Windows 9x, אשר הופיע לראשונה בשנת 1998. הוא אחד מהווירוסים ההרסניים ביותר, אשר דורס מידע קריטי בכוננים נגועים וגרוע מכך, בחלק מהמקרים הוא משחית את ה-BIOS. הווירוס נוצר על ידי צֶ'ן יִינְגְהָאו (陳盈豪), שהיה סטודנט באוניברסיטת דָאטונְג שבטאיוואן. מעריכים ש-60 מיליון מחשבים נדבקו בווירוס ברחבי העולם, מה שהתבטא בנזקים עסקיים המוערכים במיליארד דולר.

צ'ן טען שהוא כתב את הווירוס בהתרסה אל מול טענות חצופות של מפתחי תוכנות אנטי וירוס, על יעילות נגד וירוסים. צ'ן הכריז שאחרי שהווירוס הופץ בכל האוניברסיטה על ידי חבריו לכיתה, הוא התנצל בפני האוניברסיטה ויצר תוכנת אנטי-וירוס שזמינה להורדה ציבורית. תוכנת האנטי-וירוס נוצרה ביחד עם וֶנְג שְׁהָאו (翁世豪), סטודנט באוניברסיטת טאמקאנג. התביעה בטאיוואן לא הייתה יכולה לתבוע את צ'ן באותה תקופה כי אף קורבן לא הגיש תביעה. האירועים האלו הובילו לחקיקה חדשה בתחום פשעי המחשב בטאיוואן.

השם "וירוס צ'רנוביל" ניתן זמן מה לאחר שהווירוס כבר היה ידוע לציבור בשם CIH, ומתייחס לכך שהתאריך בו נועד הווירוס להתפרץ בחלק מגרסאותיו, זהה לתאריך של אסון צ'רנוביל, שאירע בברית המועצות ב-26 באפריל 1986.

אופן הפעולה

הווירוס תוכנן לפעול תחת מערכות ההפעלה שהיו נפוצות באותו זמן: מערכות Microsoft Windows 9x (כלומר, חלונות 95, חלונות 98 וחלונות מילניום) שהיו מבוססות ליבת MS-DOS, לכן הוא לא יכול לפגוע במערכות המודרניות מבוססות ליבת NT, דוגמת חלונות NT 4, חלונות 2000, חלונות XP, חלונות ויסטה, חלונות 7 וחלונות 8. הווירוס מופיע בתור קובץ הפעלה ומדביק קובצי הפעלה (EXE). השם "spacefiller" ניתן לו כיוון שבניגוד לווירוסים אחרים שמוסיפים את הקוד שלהם לסוף הקובץ הנגוע, הווירוס מחפש חללים ריקים בתוך הקוד של הקובץ אותו הוא מדביק ולשם הוא מצמיד את הקוד שלו, שיטה שעוזרת בהסוואתו כיוון שהוא אינו משפיע למראית עין על גודל הקובץ.

כאשר התאריך המיוחל היה מגיע, הווירוס היה משתמש בשני סוגים של התקפות. מטרת ההתקפה הראשונה היא לפגוע בדיסק הקשיח. הווירוס היה מחליף את המגה בייט הראשון שעל הדיסק הקשיח (החל מתחילת הדיסק - מסקטור מספר 0) באפסים, דבר שהיה גורם לנזק משמעותי ל-MBR (בעיקר מחיקת טבלת המחיצות ולעיתים גם מחיקת סקטור האתחול בעצמו) ולעיתים לנזק לתוכן המחיצה הראשונה (חומרת הנזק תלויה במערכת הקבצים ובגודל המחיצה הראשונה בדיסק) וכך מקריס את המחשב וגורם לו להיתקע או להציג מסך כחול. ניתן היה לתקן נזק כזה באמצעות החלפה של מה שנפגע או דרך הכלי הבא ללא נזק נוסף למידע על הדיסק וללא צורך בפירמוט. דרך התקפה שנייה, שהייתה עובדת רק בחלק מהמחשבים (פגיעים במיוחד היו מחשבים שהכילו לוחות אם עם ערכת השבבים Intel i430TX), היא החלפת תוכנו של ה-BIOS (הביוס ברוב המחשבים כיום נמצא על זיכרון ROM מסוג Flash שניתן לצריבה מחדש) ב"זבל", דבר שעלול לגרום למחשב לסרב להידלק בכלל (מבחינה חשמלית המחשב היה עובד, אך לא היה מגיע לשלב ה-POST). במקרה כזה על הטכנאי היה להחליף את ה-BIOS או לפחות לצרוב אותו מחדש.

לווירוס יצאו מספר גרסאות:

• CIH v1.2/CIH.1103 - הגרסה המקורית שהפעילה את עצמה ב-26 באפריל.
• CIH v1.3/CIH.1010A ו-CIH1010.B - גרסה דומה עם חתימה שונה.
• CIH v1.4/CIH.1019 - גרסה המפעילה את עצמה ב-26 של כל חודש.
• CIH.1049 - גרסה המפעילה את עצמה ב-2 באוגוסט במקום ב-26 באפריל.

וירוס זה חזר לפעול בשנת 2001 כאשר הוא הופעל על ידי תולעת ILOVEYOU, שנשלחה לדואר האלקטרוני של הקורבנות כיום וירוס זה כמעט ואינו פעיל עקב כך שרוב משתמשי מערכת Windows משתמשים במערכות מבוססות NT.

ראו גם

• וירוס מחשב
• MBR
• Microsoft Windows 9x

קישורים חיצוניים

• מידע על הווירוס, באתר Symantec (באנגלית)
• וידאו המסביר את פעולתו של הווירוס על מחשב לדוגמה, באתר YouTube (באנגלית)