Wiele komputerów pracujących pod kontrolą Windows 95 i 98 zaatakował wirus CIH. Eksperci zgodnie twierdzą, że był to jeden z najgroźniejszych dotąd ataków wirusowych.

Dla wielu użytkowników komputerów był to czarny poniedziałek. Nikt nie dysponuje wiarygodnymi danymi dotyczącymi działania wirusa w Polsce, ale zdaniem specjalistów 26 kwietnia br. poszkodowanych przez wirusa CIH zostało nawet kilkadziesiąt tysięcy komputerów. "Według moich szacunków, ok. kilku tysięcy płyt głównych nadaje się do wymiany. Dyski, na których zostały zamazane dane, można liczyć w dziesiątkach tysięcy" - ocenia Marek Sell, właściciel firmy MKS produkującej oprogramowanie antywirusowe.

Według przedstawicieli firmy Data Fellows, producenta oprogramowania antywirusowego, największe straty wirus CIH spowodował w Azji i Europie. Tylko w Turcji i Korei Południowej zostało zaatakowanych ponad pół miliona komputerów.

Atomowe fatum

Pierwsze informacje o wirusie CIH dotarły do producentów oprogramowania antywirusowego w czerwcu ub.r. Niemal natychmiast pojawiły się odpowiednie "szczepionki". Najbardziej rozpowszechniona odmiana CIH (1.2), ze względu na datę aktywacji - rocznica awarii w elektrowni atomowej na Ukrainie - nazywana Czarnobyl, atakuje 26 kwietnia każdego roku. Wirus infekuje pliki wykonywalne (.exe). Dotyczy to jednak tylko systemów operacyjnych Windows 95 i 98.

Działanie CIH polega na zamazaniu pierwszego megabajta danych na każdym systemowym dysku twardym, co sprawia, że zapisane na nich dane przestają być dostępne. Nie są utracone bezpowrotnie, poza informacjami znajdującymi się na zamazanym obszarze. W większości przypadków można je odzyskać. Firmy, które profesjonalnie zajmują się odzyskiwaniem danych z uszkodzonych dysków, w zależności od zakresu usługi żądają od 800 nawet do 4 tys. zł za 1 GB powierzchni dyskowej.

Ponadto wirus podejmuje próbę zamazania pamięci typu Flash znajdującej się na płycie głównej. Jeśli procedura ta zakończy się powodzeniem, konieczne jest ponowne zaprogramowanie pamięci lub wymiana płyty głównej.

Zarażeni tajemnicą

Zniszczenia, jakich wirus dokonał w Polsce, są niezwykle trudne do oszacowania. "W Polsce nie ma dobrego systemu informacji o wirusach, który pozwalałby na podawanie choćby przybliżonych statystyk. Poza tym tylko nieliczni z zaatakowanych zgłaszają ten fakt producentom oprogramowania antywirusowego" - mówi Krzysztof Pogorzelec z firmy AVET, specjalizującej się w zabezpieczaniu systemów informatycznych.

Infekcja jest sprawą wstydliwą. Ślady działalności wirusa znaleźliśmy w kilku przedsiębiorstwach, jednak za każdym razem proszono o nieujawnianie nazwy firmy. Zazwyczaj infekcją dotkniętych było kilka komputerów. "Nawet w dużych organizacjach polityka bezpieczeństwa, w tym antywirusowa, nie jest traktowana poważnie. Zainstalowanie jednego pakietu oprogramowania nie rozwiązuje problemu" - dodaje Krzysztof Pogorzelec.

Wydaje się, że największych zniszczeń CIH dokonał w komputerach użytkowników indywidualnych. Do takiego twierdzenia skłania opinia specjalistów, którzy uważają, że wirus bardzo często rozpowszechniany jest wraz z pirackimi kopiami oprogramowania.

To jeszcze nie koniec

Prawdopodobnie 26 kwietnia nie zakończy się działanie CIH. Mniej rozpowszechniona odmiana wirusa (1.4) aktywuje się 26 dnia każdego miesiąca, natomiast jeśli chodzi o wersję 1.3 producenci oprogramowania nie są zgodni co do dnia jej ataku - jest to albo 26 kwietnia, albo 26 czerwca.

Wyleczenie plików na dysku twardym to nie wszystko. "Wirus najprawdopodobniej znajduje się na wielu płytach CD-ROM. Czy użytkownicy się ich pozbędą?" - zastanawia się Marek Sell. "W przypadku ponownej infekcji, przed 26 kwietnia nie dojdzie wprawdzie do utraty danych, jednak praca z rezydującym w pamięci wirusem może powodować problemy. Infekując kolejne pliki, CIH, ze względu na błędy znajdujące się w kodzie, może je uszkodzić" - dodaje, twórca programu Mks_Vir.

Obecnie wszystkie najpopularniejsze pakiety oprogramowania antywirusowego mogą wykrywać i usunąć CIH. Ponadto ze stron internetowych producentów można ściągnąć niewielkie programy narzędziowe uruchamiane w DOS, pozwalające wykryć wirusa rezydującego w pamięci i pozbyć się go. Jeśli nie lekceważy się problemu, nic nie powinno się zdarzyć - mówią specjaliści - aż do następnego wirusa...