Igiho stránka o virech

26.duben je den viru CIH (Černobyl)

Virus CIH,někdy označován jako "Černobyl", je paměťově rezidentní virus, který se šíří pod OS Windows 9x (majitelé Windows NT můžou být v klidu). Napadá PE EXE soubory, přičemž jejich délka zůstává stejná jako před infekcí, svoje tělo ukládá do volných "ostrovů" v PE souborech. Nejrozšířenější varianta, která měří 1003 bajtů se aktivuje právě 26.4 (ve stejný den se "aktivovala" i elektrárna v Černobylu), kdy se snaží přepsat na základní desce paměť Flash-BIOS. Tato paměť obsahuje důležité informace, bez kterých není počítač schopen provozu. Pokud se viru podaří Flash-BIOS přepsat, většinou to končí katastrofou. Největší problém můžou pocítit zejména majitelé některých notebooků, kde pak občas oprava desky příjde na víc, než koupě nové. 26.4.1999 bylo podobným problémem postiženo několik stovek tisíc počítačů. Na některých základních deskách lze přepisu Flash-BIOSu zabránit přepínači, které zápis blokují. Pokud ale už k přepsání Flash-BIOSu došlo, existuje většinou jednoduchá možnost nápravy: sehnat stejnou základní desku, z ní "vyďoubnout" funkční Flash-BIOS (nejlépe špendlíkem), umístit F.B. do "nefunkční" desky. Pak počítač nastartovat z cizího Flash-BIOSu, za chodu ho opět "vyďoubnout", opět nasadit nefunkční Flash-BIOS a ještě před vypnutím počítače ho přeprogramovat (pomocí upgradu, který lze získat na web stránkách výrobce desky). Pokud si na to netroufáte, doporučuji kontaktovat nějaký specializovaný servis.
Pro jistotu obsahuje CIH ještě jednu destruktivní akci, která se snaží přepsat část dat na pevném disku. Přepsáno je "pouze" 2048 sektorů na začátku disku (1 MB), čehož některé programy na rekonstrukci dat využívají, viz. níže. Většinou bývá zasaženo i životně důležité místo disku - FAT tabulka, viz. obrázek.

To má za následek ztrátu některých dat. Nejlépe na tom jsou postižení uživatelé, kteří mají rozdělený pevný disk na více logických disků. Data na druhém logickém disku a na dalších lze většinou zachránit bez jakýchkoliv ztrát (díky tomu, že každý logický disk má svoji FAT tabulku atd.).
Na obnovu dat lze použít programy, mezi které patří např.: PowerQuest Lost&Found či Tiramisu. Jsou to však komerční programy, za které musíte platit.
Detekční program na ostranění viru CIH ze souborů lze najít na této stránce.

Ještě jeden dodatek na konec:
Jak se později ukázalo, autor viru - taiwanec Čen Jing-chau (na obrázku) ani nevěděl, že 26.4. nějaká elektrárna v Černobylu vybuchla (odtud pochází "novinářský" název viru), prostě chtěl jen oslavit "narozeniny" svého viru, který vznikl ve stejný den - 26.4.1998.

Převzato z CHIP CD 4/2000 - Virové novinky