Virus CIH

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

El virus CIH, también conocido como virus Chernobyl, es un virus informático que ataca los sistemas Windows 9x, surgido en 1998.

El nombre original del virus (CIH) es un acrónimo con las iniciales de su creador, Chen Ing Hau (陳盈豪, pinyin: Chén Yíngháo), a la sazón estudiante en la Universidad Tatung de Taipéi (Taiwán).[1] El sobrenombre posterior de "virus Chernobyl" se debió a que la fecha de activación del virus (26 de abril) coincidía casualmente con el aniversario del accidente de Chernóbil,[2] ocurrido en Ucrania el 26 de abril de 1986. En realidad, la fecha elegida se debía al cumpleaños del autor del virus.[3]

En su momento fue considerado uno de los virus más peligrosos y destructivos, capaz de eliminar información crítica del usuario e incluso sobrescribir el sistema BIOS, impidiendo el arranque del equipo.[2] Se calcula que el virus logró infectar unos 60 millones de ordenadores en todo el mundo, ocasionando pérdidas por valor de 1.000 millones de dólares,[1] aunque otras fuentes rebajan dicha cuantía a una cuarta parte.[3]

Alerta de infección por el virus CIH o Chernobyl

Chen dijo crear el virus para dejar en ridículo a ciertas compañías de software que presumían de la eficacia de sus programas antivirus.[4] El joven programador declaró en su descargo que, cuando algunos de sus compañeros propagaron el virus fuera de su Universidad, él mismo publicó un antivirus disponible gratuitamente, desarrollado con la ayuda de otro estudiante, Weng Shi-hao (翁世豪).[4] Por aquel entonces, los fiscales taiwaneses no pudieron imputar a Chen ningún delito, debido a que las víctimas no presentaron cargos contra él.[5] Estos hechos propiciaron que más adelante se aprobase una nueva legislación sobre delitos informáticos en Taiwán.[4] Por su parte, Chen trabajó para la compañía taiwanesa Gigabyte como programador sénior hasta que fundó su propia empresa, llamada CIH.[6]

Historia[editar]

En septiembre de 1998, Yamaha lanzó una actualización de firmware para sus dispositivos CD-R400 que se hallaba infectada por el virus. Un mes más tarde, una versión demo del juego SiN, de Activision, extendió el contagio a causa de una copia infectada.[7] En 1999, varios miles de equipos Aptivas de IBM salieron al mercado portando el virus CIH,[8] justo un mes antes de que este se activase.

Al activarse, el virus CIH actuaba rellenando los primeros 1024 KB del dispositivo de arranque con una secuencia de ceros, y a continuación atacaba al BIOS. En la práctica estas acciones dejaban el computador inutilizable, conque, para la mayoría de los usuarios no avanzados, el virus "destruía" el PC. Técnicamente, sin embargo, bastaba con reemplazar el chip del BIOS; posteriormente, también se idearon algunos métodos para recuperar los datos del disco duro.

Aún hoy, CIH puede encontrarse de manera residual en algunos equipos antiguos con Windows 95/98/Me instalado.

Este virus tuvo una breve reaparición en 2001, cuando una variante del virus ILoveYou, que portaba un fichero VBS con una rutina del CIH, estuvo circulando por Internet bajo el reclamo de un desnudo de Jennifer Lopez.[9] Por último, en diciembre de 2002 se detectó una versión modificada del virus llamada CIH.1106, considerada mucho menos dañina que la original.

Detalles[editar]

Método de propagación[editar]

CIH tenía su caldo de cultivo en sistemas Windows 95, 98 y ME, propagándose a través de ficheros ejecutables de formato PE (Portable Executable). A partir de la siguiente generación de sistemas Windows, basados en arquitectura NT, el virus dejó de propagarse, y a día de hoy se considera prácticamente erradicado.[10]

CIH no empleaba ninguna técnica concreta para difundirse, aprovechando los cauces habituales usados por otros virus de la época: mensajes de correo electrónico, transferencias de ficheros por FTP, CD-ROM, disquetes, etc.[2] Después, había que esperar a que el archivo infectado se ejecutase en el sistema, tras lo cual el virus quedaba residente en memoria, permaneciendo allí a la espera de infectar más programas y archivos.[3] Asimismo, CIH ponía en práctica técnicas avanzadas para elevar sus privilegios de ejecución, saltando desde el nivel destinado a las aplicaciones de usuario (anillo 3) hasta el nivel asignado al núcleo del sistema operativo (anillo 0). Esto le permitía interceptar las llamadas al sistema y burlar la detección del software antivirus.[11]

Método de infección[editar]

El virus CIH infectaba archivos ejecutables de Windows con formato PE (*.EXE). Cuando se abría cualquier archivo de extensión EXE, el virus instalado en memoria comprobaba si este disponía de huecos suficientes; en caso afirmativo lo infectaba, e inmediatamente verificaba la fecha del día para decidir si era tiempo de activarse.[11]

Tras la infección, los archivos presentaban el mismo tamaño que al principio, debido al sofisticado método de infección puesto en práctica. El virus lograba "inyectar" código malicioso en el ejecutable, sin aumentar su tamaño (lo que dificultaba la detección), aprovechando los huecos internos de la estructura del archivo. CIH troceaba su propio código (apenas 1KB)[3] para ajustarse a los huecos disponibles. De esta forma lograba inocularse en nuevos archivos ejecutables. Por esta peculiaridad, recibió el apelativo de «spacefiller» ("tapahuecos") en la jerga técnica.[11]

Efectos[editar]

El 26 de abril, fecha de activación en casi todas las variantes del virus CIH,[12] este iniciaba el ataque usando dos tácticas diferentes.

La primera consistía en sobrescribir la tabla de particiones del disco duro (MBR) con datos aleatorios, comenzando por el sector 0, hasta provocar el colapso del sistema. Esta sobrescritura impedía que el ordenador pudiese arrancar y hacía casi imposible recuperar los datos. Tras esto, cuando el usuario trataba de reiniciar el equipo, nada se mostraba en la pantalla excepto el mensaje de error: "DISK BOOT FAILURE", lo que indicaba que el virus había formateado el disco.[2] [12]

La segunda ocasionaba graves daños en ordenadores con microprocesador Pentium y placa compatible con el chipset Intel 430TX.[2] [12] Este ataque consistía en grabar información basura en la memoria flash del sistema BIOS, dejándolo inservible.[3]

Todas las variantes del virus CIH presentan un modus operandi similar: borran los primeros 2048 sectores del disco duro (alrededor de 1MB) y además, si el sistema no está protegido, intentan sobrescribir la memoria del BIOS, dejando inutilizable el computador hasta el recambio del chip del BIOS o de la placa base.[11]

Variantes del virus[editar]

CIH v1.2/CIH.1103
Esta versión es la más común. Se activaba el 26 de abril.
Contiene la frase: CIH v1.2 TTIT
CIH v1.3/CIH.1010A y CIH1010.B
Esta versión también se activaba el 26 de abril.
Contiene la frase: CIH v1.3 TTIT
CIH v1.4/CIH.1019
Esta versión se activaba el día 26 de cualquier mes. Aún puede encontrarse en ciertos sistemas antiguos, aunque es poco frecuente.
Contiene la frase: CIH v1.4 TATUNG.
CIH.1049
Esta versión se activaba el 2 de agosto, en lugar del 26 de abril.

Referencias[editar]

  1. a b ithome.com.tw. 從CIH「重裝駭客」變身「除錯超人」. 2006-08-25. (en chino)
  2. a b c d e «Virus Chernobyl». Enciclopedia de virus. Consultado el 29 de octubre de 2013.
  3. a b c d e «CIH» (en inglés). The Malware Encyclopedia. Consultado el 29 de octubre de 2013.
  4. a b c parenting.com.tw. 從駭電腦到愛旅行─昔日網路小子陳盈豪 (en chino)
  5. cyy.moj.gov.tw. 打擊駭客,不再無法可施 (en chino)
  6. CIH en LinkedIn (en inglés)
  7. http://news.zdnet.co.uk/security/0,1000000189,2068990,00.htm US Report: Gamers believe Activision's 'SiN' carries CIH virus - ZDNet.co.uk
  8. Weil, Nancy. "Some Aptivas shipped with CIH virus." CNN. (en inglés) 8 de abril de 1999.
  9. «Un nuevo virus tiene a Jennifer López como cebo». Consultado el 29 de octubre de 2013.
  10. «El virus Chernobyl (CIH)». Nosololinux (blog de seguridad informática) (3 de julio de 2006).
  11. a b c «El W95.CIH a fondo». vsantivirus (21 de abril de 2001).

Enlaces externos[editar]