Controlado desde el
19/10/97 por NedStat
|
El W95.CIH a fondo
|
|
VSantivirus No. 102 - Año 4 - Sábado 7 de abril de 2000
Actualizado 25 de marzo de 2001
Actualizado 21 de abril de 2001
El W95.CIH a fondo
http://www.vsantivirus.com/cih.htm
El CIH es un virus que infecta archivos ejecutables de 32-bit de Windows 95/98/NT. Cuando un programa infectado se ejecuta, el virus infectará la memoria de la computadora. CIH entonces
infecta nuevos archivos cuando ellos se abren.
Este virus fue detectado por primera vez en junio del 98 en Taiwan. Conocido también como
PE_CIH, CIHV, SPACEFILLER, WIN32, CHERNOBYL, TSHERNOBYL,
TSERNOBYL, etc., infecta archivos PE (Portable Executable de Windows) instalándose en la memoria desde donde infecta todo archivo
EXE que sea abierto luego.
Algunas variantes del virus se activan el 26 de abril (son las que han causado más estragos) o el
26 de junio, mientras otras variantes se activan el día
26 de cualquier mes (prácticamente no se han visto). Este virus intentará modificar o adulterar ciertos tipos de
FLASH BIOS, el software que inicializa y maneja las configuraciones de los dispositivos del sistema, incluso la unidad de disco duro, los puertos serie y paralelo y el teclado. Borrando parte del programa del BIOS, el virus puede impedir que una computadora se pueda iniciar correctamente al encenderla.
W95.CIH es un peligroso virus que infecta archivos de 32 bits (Windows 95/98/NT) con extensiones
.EXE, en donde busca espacios vacíos (sin usar), entonces se divide en partes más pequeñas, y se esconde allí. Además, como ya dijimos, es capaz de adulterar el BIOS de su PC.
W95.CIH no corre en sistemas DOS o Windows 3.x. El virus es residente en memoria e infecta cada archivo que es abierto o copiado.
Esto último debe ser tenido muy en cuenta. ¡Al examinar la existencia del virus
W95.CIH en su sistema, debe asegurarse de haber arrancado su computadora con un disquete de booteo limpio, o de lo contrario el virus infectará cada archivo que su anti-virus abra para examinarlo!. Usted debería ejecutar algún antivirus que identificara su presencia en memoria antes de ejecutar cualquier otra cosa. En nuestra página [
http://www.vsantivirus.com
] puede encontrar un link a estas utilidades, como el KILL_CIH, que lo detecta en memoria. Le aconsejamos que lo haga regularmente para mantenerse
actualizado (ver W95/CIH. Descripción del virus y algunas herramientas).
W95.CIH es altamente destructivo y además intentará modificar algunos tipos de FLASH BIOS. En algunas computadoras, el BIOS (Basic Input Output System) reside en un tipo especial de
memoria llamado Flash que puede ser modificada (incluso por un virus), al contrario de una memoria ROM regular (Read Only Memory) qué no puede cambiarse de ninguna forma.
Otra cosa que debemos tener muy en cuenta, es que los archivos infectados quedarán del mismo tamaño que los archivos originales, al contrario de lo que ocurre con la infección de otros tipos de virus.
El CIH y los Pentium
El CIH intenta borrar el BIOS de los Pentium que utilizan memoria
"FLASH PROM" y que son compatibles con los chips
Intel 430TX. Los PC que son protegidos por un "jumper" y los
motherboards de Intel con el logotipo iFlash en el chip de sus BIOS no son vulnerables a este ataque. Si el PC es vulnerable y es atacado, será imposible reiniciarlo (bootear), incluso desde un disquete después de este ataque y los BIOS afectados necesitarán ser reemplazados o reprogramados desde una fuente externa. Al no poder bootear el PC, no se podrá reprogramar desde
el mismo.
Borra los primeros 14 sectores de su disco duro, haciendo imposible bootear desde el duro (esto trabaja en casi todos los PC) pero el disco podría ser restaurado desde una copia de seguridad.
Si su PC tiene un jumper que protege su FLASH BIOS contra escritura en el mother, es muy aconsejable que se asegure que lo tiene habilitado (en el manual de su motherboard debería encontrar más información al respecto).
¿Qué es un FLASH BIOS?
Todos los PC poseen un chip llamado BIOS. Por lo general éste es un
ROM (Memoria de Solo Lectura) o un PROM (Memoria de Solo Lectura Programable) que contiene el software que es esencial para bootear su computadora. El software contenido en este chip es el que se ejecuta inmediatamente que usted enciende su PC y se encarga de proporcionar un acceso llamado a "bajo-nivel" (o sea directo) a su disco, tarjeta de video, y teclado. Lee su configuración de la memoria
CMOS (donde se guarda el setup de su máquina) y termina leyendo un programa de booteo guardado en el disco duro (o en un disquete). Si este software de
BIOS se daña, es muy probable que su PC sea incapaz de iniciarse (ni aún desde el disquete) o de reconocer el hardware vinculado a él. En computadoras más viejas (anteriores a las Pentium) el
BIOS casi siempre es un ROM y no puede reprogramarse (o sea escribirse algo nuevo en él). Pero en los PC más nuevos, este chip es normalmente un
PROM (Memoria de Solo Lectura Programable). Este tipo de chip puede volverse a escribir con un software que se ejecuta en el propio PC. Estos chips son los que normalmente llamamos
"FLASH BIOS".
Sin embargo no existe una única manera de escribir en un FLASH
BIOS. Deben usarse órdenes (comandos) diferentes para diferentes tipos de chips. El virus del CIH puede borrar los datos de los chips compatibles con el chipset
Intel 430TX. Si esto pasa, el PC no podrá ya bootear, hasta que el chip sea reprogramado o reemplazado.
Y recordemos que no puede ser reprogramado si el PC no funciona.
Un auténtico círculo vicioso.
¿El virus de CIH infecta el BIOS?.
CIH no infecta el BIOS. Borra parte de él con basura.
¿El virus de CIH funciona en NT?.
No funciona en NT. Lo que puede hacer es infectar archivos en un servidor de NT desde una máquina corriendo Windows 95 o 98.
¿El virus CIH fue creado por las compañías antivirus?.
Por supuesto que no. El problema es que el CIH ha sido distribuido en los CDs de algunas populares revistas, en sitios Web de populares juegos, e incluso en algún tipo de software comercial. Esto ocurrió por no haberse aplicado correctamente algunas mínimas normas de seguridad, o en los primeros tiempos, por no existir un antivirus actualizado que lo reconociera. Hoy esto no debería ocurrir, y si usted se mantiene al día con sus antivirus, podrá identificar al CIH y sus variantes.
Windows o el BIOS están actuando en forma extraña, ¿esto es el virus CIH que ha infectado mi máquina?
Debemos tener en cuenta que el CIH es bastante perfecto en su accionar, o sea, no tiene bugs (errores) conocidos en su fase de contagio, por lo que antes de actuar en forma destructiva, o sea en su período de "replicación" (donde el virus se propaga a si mismo a todos los ejecutables que pueda localizar), uno de los pocos efectos que podríamos notar en nuestra máquina, y en algunos casos, es que los archivos comprimidos con la utilidad WinZip no trabajarían. Salvo esta
única y rara característica, mientras el CIH actúa en nuestra computadora propagándose, la misma no mostrará síntomas de nada extraño y no desplegará ningún tipo de mensaje de error. Sin embargo, recordemos que un antivirus actualizado SI lo descubriría en esta
etapa (Nota: a pesar de lo dicho aquí, algunas versiones
posteriores del CIH poseen un bug en su
código que puede causar comportamientos extraños, y hasta cuelgues esporádicos de los programas infectados, incluyendo
el propio Windows).
Si el virus de CIH se activa (dependiendo de su versión, un 26 de cualquier mes o de un mes específico) y tiene éxito grabando basura en el FLASH BIOS de nuestra computadora, o borrando el disco duro, usted recibirá al reiniciar su PC un mensaje como
"Disk Boot Failure". Si esto sucede, tal vez sea un poco tarde para lamentarse.
¿El CIH se activa el 26 de cualquier mes?.
La variante más común del CIH se activa el 26 de abril, pero he aquí una lista de sus otras variantes conocidas:
Versión Casos Fecha de activación
W95/CIH.1003 muchos 26 de abril
W95/CIH.1010.A pocos 26 de abril
W95/CIH.1010.B pocos 26 de junio
W95/CIH.1019.A pocos 26 de cualquier mes
W95/CIH.1019.B pocos 26 de abril
W95/CIH.1024 pocos No es destructivo
W95/CIH.1026 pocos 26 de abril
W95/CIH.1035 pocos 26 de cualquier mes
W95/CIH.1122 ninguno 19 de mayo (*)
W95/CIH.1049 pocos 2 de agosto
W95/CIH.1106 ninguno El día 2 de cada mes
(*) su código contiene el texto "AlevirusSCS v666 VxBrasil". Ver:
25/mar/01 - VBS/Anjulie@MM (Rewind). Libera el virus W95/CIH.1122
Actualice hoy mismo su antivirus si no lo ha hecho, revise su máquina (como debería hacerlo regularmente por otra parte, y siempre antes de ejecutar cualquier programa bajado de
Internet, o cargado de disquetes o CDs), y el próximo 26 no será la víctima del CIH.
Historia del virus
- Como dijimos, este virus fue detectado activo por primera vez en Taiwan en junio de 1998; fue enviado por e-mail por el propio autor del virus
(Chen Ing-Hau, un estudiante informático taiwanés cuyas iniciales dan nombre al virus),
a una conferencia local de Internet como si se tratara de una utilidad. A la semana el virus fue detectado en Austria, Australia, Israel, Reino Unido, y también se informó de su existencia en otros países (Suiza, Suecia, EE.UU., Rusia, etc.
- Por accidente, una versión de un juego en Internet (Wing Commander) fue infectado por él, y muchos usuarios lo bajaron antes de que fuera dada la voz de alarma.
- Al menos tres populares revistas europeas, incluyeron CDs infectados con él en sus ediciones.
- Yamaha lanzó una versión (upgrade) de sus drives para su grabadora CD-R400 que estaban infectados.
- Una versión del demo de un juego muy difundido (SiN de Activision) fue infectada, aunque la infección no se originó en sus distribuidores originales.
- En marzo de 1999, la propia IBM embarcó un lote de sus nuevas PCs Aptiva con el virus CIH preinstalado por un lamentable error.
- En abril de 1999 causó más daño del que debería, cuando a pesar de las advertencias ya emitidas en esa oportunidad, y de ser detectado por todos los antivirus existentes, miles de
usuarios sufrieron en carne propia las consecuencias de su desinformación.
- En setiembre de 2000, el autor del virus, Chen Ing-Hau,
fue capturado y declarado culpable por la justicia de su
país (Taiwán).
Más información
VSantivirus No. 287 - 21/abr/01
W95/CIH. Descripción del virus y algunas herramientas
http://www.vsantivirus.com/cih-descr.htm
VSantivirus No. 665 - 3/may/02
W95/CIH.1049. Destruye el 2 de agosto e infecta al Klez
http://www.vsantivirus.com/cih-1049.htm
VSantivirus No. 875 - 29/nov/02
W95/CIH.1106. Borra el duro y datos del BIOS cada día 2
http://www.vsantivirus.com/cih-1106.htm
VSantivirus No. 665 - 3/may/02
¡Cuidado!. Los viejos virus pueden tener nueva cara
http://www.vsantivirus.com/03-05-02.htm
VSantivirus No. 650 - 18/abr/02
W32/Klez.H (Klez.I). ¡Cuidado! ¡No acepte "supuestas" curas!
http://www.vsantivirus.com/klez-h.htm
Actualizaciones: 3/ene/03
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|