CIH-Virus

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

CIH ist ein Computervirus, auch bekannt als Chernobyl oder Spacefiller. Er wurde vom Taiwaner Chen Ing Hau geschrieben. CIH konnte auch Hardware-Defekte verursachen. Er befällt .exe-Dateien (Portable Executable) unter Windows 95, Windows 98 und Windows ME. Nicht betroffen sind spätere Windows-Versionen, die auf Windows NT basieren, wodurch der Virus heute praktisch keine Bedeutung mehr hat.

Das erste Mal tauchte das Virus am 2. Juni 1998 in Taiwan auf, verbreitete sich jedoch später auf der ganzen Welt. Am 26. April 1999, dem Geburtstag des Autors, sowie dem Jahrestag der Reaktorkatastrophe in Tschernobyl 1986, wurde die Schadensroutine von CIH erstmals aktiviert. Weltweit waren unzählige Rechner vom Virus betroffen.

Die Schadensroutine überschreibt zuerst den kompletten Inhalt der Festplatten. Des Weiteren versucht sie auch das BIOS des Rechners zu überschreiben. Dies funktioniert allerdings nur bei Rechnern mit Intel 430TX-Chipsätzen, bei denen zusätzlich der Schutz vor einem Überschreiben des BIOS' fehlt oder nicht aktiviert ist. Ist das Überschreiben des BIOS erfolgt, startet der betroffene PC nicht mehr, es muss der BIOS-Chip auf der Hauptplatine ausgetauscht werden.

Um das Flash-BIOS gegen Überschreiben zu schützen, gibt es auf vielen Hauptplatinen einen Jumper, der eine ungewollte Änderung des BIOS verhindern soll. Allerdings garantiert dies keinen Schutz, da bei einigen BIOS-Versionen der Schreibschutz für das Flash-BIOS trotz eines solchen Jumpers software-mäßig gesetzt wird. Dies macht sich das Virus zu nutze und deaktiviert kurzerhand den Schreibschutz. Für die Partitionstabelle existiert kein hardware-seitiger Schutz.

Die Verbreitung wurde offenbar dadurch begünstigt, dass sowohl widerrechtlich kopierte Software mit dem Virus verseucht war, als auch legale Softwareprodukte.

Auch kommerzielle Quellen waren von CIH betroffen: Im August 1998 war ein Download zum Spiel Wing Commander: Secret Ops infiziert.[1][2] Auch Heft-CDs von europäischen Spiele-Magazinen sowie eine Firmware-Aktualisierung eines Yamaha-CD-Laufwerks waren betroffen. Einige IBM Aptiva-PCs wurden im März 1999 von CIH infiziert ausgeliefert.

Varianten[Bearbeiten]

  • CIH v1.2 TTIT (CIH 1003)
  • CIH v1.3 TTIT (CIH 1010)
  • CIH v1.3 TTIT (CIH 1010.B)
  • CIH v1.4 TATUNG (CIH 1019)

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Julian Stiebert: Wing Commander Secret Ops Released. In: Golem.de. 28. August 1998. Abgerufen am 28. April 2012.
  2. Martin Schnelle: Tests: Wing Commander Secret Ops. (Artikelscan) In: PC Player. Nr. 11/1998, November 1998, S. 108-112.