|
|
| Nombre: | W95/CIH Alias: Chernobyl, SpaceFiller |
| Tipo: |
Infector de archivos New.Exe-PE(32 bits), Residente, no encriptado |
| Tamaño |
1024 bytes aprox. |
| Origen: | Taiwan, Junio/1998 |
| Destructivo: | SI |
| En la calle (in the wild): | SI |
Descripción
Escrito en Taiwan en Junio de 1998, infecta archivos PE EXE de Win95/98/NT utilizando el método de cavidad, los archivos infectados no aumentan de tamaño. El virus se instala en la memoria del sistema utilizando complejos trucos para obtener privilegios de Ring0, se enlaza al sistema de archivos (FS Hook) e infecta todos los archivos PE EXE que sean abiertos.
El virus se activa el 26 de abril sobreescribiendo el FLASH BIOS y todos los discos duros con basura.
Textos dentro del código:
CCIH 1.2 TTIT (se activa el 26 de abril)
CCIH 1.3 TTIT (se activa el 26 de abril)
CCIH 1.4 TATUNG (se activa el 26 de cada mes).
En las últimas semanas varios usuarios preguntan acerca de un nuevo virus conocido como CHERNOBYL, hay que indicar que este virus NO es nuevo y es mas conocido como Win95/CIH. The Hacker lo detecta y elimina desde la versión 4.3 en Octubre/98.
El virus ha tenido notoriedad en las últimas semanas debido a que se activó el 26 de Abril. En esa fecha sobrescribió la información de miles de discos duros en todo el mundo. Aquí en Perú cerca de 120 Empresas ( 1100 Pcs. aprox. ) reportaron haber sido atacadas por el virus y pérdido su valiosa información por el virus. Estas empresas no utilizaban software antivirus en las Pcs afectadas.
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú