- CIH-Virus
-
CIH ist ein Computervirus, auch bekannt als Chernobyl oder Spacefiller. Er wurde vom Taiwaner Chen Ing Hau geschrieben. CIH war ein Computervirus, der auch Hardware-Defekte verursachen konnte. Er befällt .exe-Dateien (Portable Executable) unter Windows 95, Windows 98 und Windows ME. Nicht betroffen sind Windows-Versionen die auf Windows NT basieren, was dem Virus heute mehr und mehr an Bedeutung nimmt.
Dabei wird zuerst der komplette Inhalt der Festplatten überschrieben. Des Weiteren versucht er, das BIOS des Rechners auch zu überschreiben. Dies funktioniert allerdings nur bei Rechnern mit Intel 430TX-Chipsätzen, bei denen zusätzlich der Schutz vor einem Überschreiben des BIOS' fehlt oder nicht aktiviert ist. Ist das Überschreiben des BIOS erfolgt, startet der betroffene PC nicht mehr, es muss der BIOS-Chip auf der Hauptplatine ausgetauscht werden.
Das erste Mal tauchte der Virus am 2. Juni 1998 in Taiwan auf, verbreitete sich jedoch später auf der ganzen Welt. Am 26. April 1999, dem Geburtstag des Autors, sowie dem Jahrestag der Reaktorkatastrophe in Tschernobyl 1986, wurde die Schadensroutine von CIH erstmals aktiviert. Weltweit waren unzählige Rechner vom Virus betroffen.
Die Verbreitung wurde offenbar dadurch begünstigt, dass sowohl widerrechtlich kopierte Software mit dem Virus verseucht war, als auch legale Softwareprodukte.
Um das Flash-BIOS gegen Überschreiben zu schützen, gibt es auf vielen Motherboards einen Jumper, der eine ungewollte Änderung des BIOS verhindern soll. Allerdings garantiert dies keinen Schutz, da bei einigen BIOS-Versionen der Schreibschutz für das Flash-BIOS trotz eines solchen Jumpers software-mäßig gesetzt wird. Dies macht sich der Virus zu nutze und deaktiviert kurzerhand den Schreibschutz. Für die Partitionstabelle existiert kein hardware-seitiger Schutz.
Auch kommerzielle Quellen waren von CIH betroffen: Im August 1998 war ein Download zum Spiel Wing Commander infiziert. Auch Heft-CDs von europäischen Spiele-Magazinen sowie eine Firmware-Aktualisierung eines Yamaha-CD-Laufwerks waren betroffen. Einige IBM Aptiva-PCs wurden im März 1999 von CIH infiziert ausgeliefert.
Varianten
- CIH v1.2 TTIT (CIH 1003)
- CIH v1.3 TTIT (CIH 1010)
- CIH v1.3 TTIT (CIH 1010.B)
- CIH v1.4 TATUNG (CIH 1019)
Weblinks
Wikimedia Foundation.