Những gì bạn nên biết về virus máy tính CIH 1989

Ngày nay vấn đề về virus máy tính đang làm một hiện trạng vô cùng đáng ngại và đau đầu đối với các nhà phát triển máy tính và công nghệ, công nghệ ngày càng đổi mới thì các loại biến chủng của virus cũng trở nên mạnh mẽ và khó phát hiện và khắc phục hơn, hôm nay các bạn hãy cùng Vietclass tìm hiểu về loại virus máy tính CIH 1989 đang nguy hiểm nhất hiện nay ngay nhé!

Lịch sử về virus máy tính CIH

Loại virus máy tính CIH này xuất hiện lần đầu tiên vào năm 1998.

Vào tháng 3 năm 1999, vài nghìn chiếc Aptivas của IBM đã được xuất xưởng cùng với virus CIH, chỉ một tháng trước khi virus kích hoạt.

Vào tháng 7 năm 1999, các bản sao của công cụ quản trị từ xa Back Orifice 2000 được phát cho những người tham dự DEF CON 7 đã bị ban tổ chức phát hiện đã bị nhiễm CIH.

Vào ngày 31 tháng 12 năm 1999, Yamaha đã gửi bản cập nhật phần mềm cho các ổ đĩa CD-R400 bị nhiễm vi rút của họ. Vào tháng 7 năm 1998, một phiên bản demo của trò chơi bắn súng góc nhìn thứ nhất SiN đã bị lây nhiễm bởi một trong những trang nhân bản của nó.

Tải trọng kép của CIH được giao lần đầu tiên vào ngày 26 tháng 4 năm 1999, với hầu hết các thiệt hại xảy ra ở Châu Á . CIH đã lấp đầy 1024 KB đầu tiên của ổ đĩa khởi động của máy chủ bằng các số không và sau đó tấn công một số loại BIOS nhất định . Cả hai tải trọng này đều khiến máy tính chủ không hoạt động được và đối với hầu hết người dùng bình thường, vi rút về cơ bản đã phá hủy PC. Tuy nhiên, về mặt kỹ thuật, có thể thay thế chip BIOS và các phương pháp khôi phục dữ liệu đĩa cứng đã xuất hiện sau đó.

Thông tin về virus máy tính CIH

Cách thức lây nhiễm

Virus CIH lây lan dưới định dạng tệp Portable Executable trong hệ điều hành Windows 9x, Windows 95, 98 và ME.

Nó không lây lan trong hệ điều hành dựa trên Windows NT hoặc hệ điều hành dựa trên Win16 như Windows 3x trở xuống.

CIH lây nhiễm các tệp Portable Executable bằng cách chia phần lớn mã của nó thành các đoạn nhỏ chèn vào các khoảng trống giữa các phần thường thấy trong các tệp PE và viết một quy trình lắp ráp lại nhỏ và bảng vị trí các đoạn mã của chính nó vào không gian chưa sử dụng trong đuôi của tiêu đề PE. Điều này đã mang lại cho CIH một cái tên khác, “Spacefiller”. Kích thước của vi-rút khoảng 1 kilobyte , nhưng do phương pháp lây nhiễm đa khoang mới lạ của nó, các tệp bị nhiễm không phát triển chút nào. Nó sử dụng các phương pháp nhảy từ vòng 3 của bộ xử lý đến 0 để móc các lệnh gọi hệ thống.

Trọng tải

Trọng tải, được coi là cực kỳ nguy hiểm, trước tiên liên quan đến việc vi-rút ghi đè lên megabyte đầu tiên (1024KB) của ổ cứng bằng các số 0, bắt đầu từ khu vực 0.

Việc này sẽ xóa nội dung của bảng phân vùng và có thể khiến máy bị treo hoặc lỗi màn hình xanh chết chóc .

Tải trọng thứ hai cố gắng ghi vào BIOS Flash .

Các BIOS có thể được ghi thành công bởi vi-rút có mã thời gian khởi động quan trọng được thay thế bằng mã rác. Quy trình này chỉ hoạt động trên một số máy. Người ta đã nhấn mạnh nhiều đến các máy có bo mạch chủ dựa trên chipset Intel 430TX , nhưng cho đến nay, yếu tố quan trọng nhất dẫn đến thành công của CIH trong việc ghi vào BIOS của máy là loại chip Flash ROM trong máy.

Chip

Các chip Flash ROM khác nhau (hoặc các họ chip) có các quy trình cho phép ghi khác nhau dành riêng cho các chip đó.

CIH không cố gắng kiểm tra loại Flash ROM trong các máy nạn nhân của nó và chỉ có một trình tự cho phép ghi.

Đối với tải trọng đầu tiên, bất kỳ thông tin nào mà vi-rút đã ghi đè bằng các số không sẽ bị mất.

Nếu phân vùng đầu tiên là FAT32 và hơn một gigabyte , tất cả những gì sẽ bị ghi đè là MBR , bảng phân vùng, khu vực khởi động của phân vùng đầu tiên và bản sao đầu tiên của FAT của phân vùng đầu tiên.

MBR và boot sector chỉ có thể được thay thế bằng các bản sao của các phiên bản tiêu chuẩn, bảng phân vùng có thể được xây dựng lại bằng cách quét trên toàn bộ ổ đĩa và bản sao đầu tiên của FAT có thể được khôi phục từ bản sao thứ hai.

Điều này có nghĩa là việc khôi phục hoàn toàn mà không mất dữ liệu người dùng có thể được thực hiện tự động bằng một công cụ như Fix CIH .

Nếu phân vùng đầu tiên không phải là FAT32 hoặc nhỏ hơn 1 GB, phần lớn dữ liệu người dùng trên phân vùng đó sẽ vẫn còn nguyên vẹn nhưng nếu không có thư mục gốc và FAT thì sẽ rất khó tìm thấy nó, đặc biệt nếu có sự phân mảnh đáng kể.

Nếu tải trọng thứ hai thực thi thành công, máy tính sẽ không khởi động. Sau đó, cần phải lập trình lại hoặc thay thế chip Flash BIOS.

Biến chủng của virus máy tính CIH

Hiện nay Virus CIH đã và đang biến chủng thành các thể loại khác nhau, dưới đây là mốt số biến chủng của loại virus này.

Cách phòng chống và đề phòng virus máy tính

Cài đặt Microsoft Security Essentials (chương trình diệt virus)

Microsoft security Essentials là chương trình diệt virus miễn phí của Microsoft cho người dùng Windows. Microsoft security Essentials sẽ thực hiện quét máy tính Windows của bạn để loại bỏ virus, các phần mềm không mong muốn, trojans và các tập tin độc hại. Ngoài ra Microsoft security Essentials luôn cập nhật phiên bản mới nhất từ Windows update, do đó hệ thống của bạn luôn luôn ở trạng thái an toàn, không sợ bị virus hay Trojans tấn công.

Luôn cập nhật Windows

Nếu đang sử dụng hệ điều hành Windows 7, 8 và Windows 10 bạn nên kích hoạt tính năng Windows Update. Microsoft thường xuyên phát hành các bản vá lỗi mới và cập nhật tính năng bảo mật cho hệ điều hành Windows.

Khi cập nhật các bản vá lỗi mới và các gói bảo mật sẽ bảo vệ máy tính của bạn khỏi các cuộc tấn công, xâm nhập của virus và Exploits.

Chạy ứng dụng mới trên máy ảo trước khi tiến hành cài đặt trên hệ thống

Bạn sẽ không thể lường trước được các mối nguy hiểm khi click chuột tải một phần mềm hay một ứng dụng nào đó trên mạng Internet hoặc trên các trang web không rõ nguồn gốc về máy và cài đặt.

Đôi khi trong các phần mềm đó còn “đính kèm” theo cả virus và Trojians mà bạn không thể biết trước được. Do đó với các phần mềm, ứng dụng lạ, trước khi cài đặt trên hệ thống bạn nên thử cài đặt trên máy ảo trước (Virtual Machine).

Máy ảo sẽ chạy phần mềm của bạn trong môi trường ảo, do đó các phần mềm độc hại vĩnh viễn không bao giờ tấn công trực tiếp trên máy tính của bạn được.

Firewall (tường lửa)

Luôn kích hoạt Firewall (tường lửa) trên hệ thống của bạn. Trong trường hợp nếu sử dụng các chương trình diệt virus như Kaspersky hay Avast, các chương trình này thường tích hợp thêm cả Firewall (tường lửa). Nếu không sử dụng các chương trình diệt virus này, bạn có thể kích hoạt Firewall trên hệ thống. Khi bạn cài đặt bất kỳ một phần mềm mới nào đó trên hệ thống, hệ thống sẽ kiểm tra rule tường lửa của phần mềm đó.

Không mở các email và trang web không rõ nguồn gốc

Khi duyệt Web, lời khuyên cho bạn là đừng dại gì mà click chuột mở các trang Web không rõ nguồn gốc. Biết đâu trong đường link của trang Web đó là cả đống virus và Trojians.

Và tốt hơn hết là nên sử dụng trình duyệt Chrome để duyệt Web cho an toàn. Nếu bạn có lỡ tay click vào trang Web độc hại nào đó, Chrome sẽ hiển thị cửa sổ cảnh báo cho bạn biết.

Thêm nữa đừng bao giờ tò mò mà click chuột vào các link ẩn trên email, bởi đó là các đường link chứa virus có thể gây hại cho hệ thống của bạn.

Luôn luôn quét virus và Trojans khi cắm USB vào máy tính

Mỗi khi bạn cắm bất kỳ thẻ nhớ, Pendrive hay USB vào máy, nên nhớ sử dụng các chương trình diệt virus để quét virus trước tiên. Nhiều khi virus ẩn mình trong Pendrive và các phương tiện lưu trữ khác.

Tạm kết

Sự nguy hiểm của virus máy tính CIH là ở chỗ chỉ sau một thời gian ngắn hoạt động, nó có thể ghi đè dữ liệu trên ổ cứng máy tính, biến dữ liệu thành một mớ vô dụng. CIH cũng có khả năng ghi đè thông tin BIOS, ngăn không cho máy tính khởi động. Bởi khả năng lây nhiễm vào các file thực thi nên CIH có thể được phát tán rộng rãi. Hãy cẩn thận máy tính của bạn với loại virus này.

Trên đây là một số thông tin mà Vietclass đã tìm hiểu và tổng hợp được từ nhiều nguồn, chúc bạn đọc có một trải nghiệm đọc thú vị !

Tổng hợp và chỉnh sửa: Quang Nhật

Tham khảo nguồn: quantrimang.com, wikipedia.org