W95.CIH

A causa della diminuzione delle richieste di assistenza, il Symantec Security Response ha declassato tale virus dal livello 4 al livello 3.

Il virus CIH, noto anche come Chernobyl, fu scoperto a Taiwan nel giugno del 1998. Secondo le autorità di Taipei, ne è l'autore tale Chen Ing-hau, che avrebbe chiamato il codice nocivo da lui creato con le iniziali del proprio nome.

CIH è un virus ad alto potenziale distruttivo, la cui payload è in grado di distruggere i dati. Il 26 aprile 1999, la payload è stata attivata per la prima volta, distruggendo i dati presenti in molti computer. Si ritiene che nella sola Corea il virus abbia colpito circa un milione di computer per un danno globale stimato nell'ordine dei 235€ milioni.

Symantec ritiene che il virus, pur non essendo di recente creazione, sia ancora "in the wild" e che possa causare danni agli utenti di computer che utilizzano definizioni dei virus obsolete o che non utilizzano nessun programma antivirus.




Cosa fare se il virus ha attivato la propria payload
Quando si autoesegue il giorno 26 del mese, il virus è potenzialmente in grado di effettuare le due azioni seguenti:

• È in grado di sovrascrivere aree di dati importanti nei primi 2048 settori del disco rigido. Se ciò accade, viene visualizzato un avviso "disco non di sistema" avviando il computer dal disco rigido oppure "supporto non valido" se l'avvio avviene mediante disco floppy di sistema o disco di soccorso. Di seguito proponiamo le istruzioni per risolvere il problema utilizzando Norton Utilities:
  • Se si è in possesso di dischi di soccorso aggiornati di Norton Utilities (NU) o Norton AntiVirus, è possibile utilizzarli per ripristinare informazioni di partizione e record di avvio, quindi eseguire Norton Utilities Unformat.
  • Se si è acquistato NU in seguito all'infezione e il disco infetto ha più di una partizione, è consigliabile tentare di eseguire ndd /rebuild dal disco di emergenza, e poi eseguire Unformat.
  • Se invece il disco rigido ha una sola partizione, potrebbe essere necessario chiedere assistenza ad un servizio di recupero dati.
• Il virus potrebbe inoltre sovrascrivere il BIOS di sistema. Se ciò accade, contattare il fornitore del BIOS per istruzioni su come risolvere la questione.
  

NOTA: i casi di BIOS sovrascritto sono estremamente rari. Se il computer non funziona perché è stato sovrascritto il BIOS, in alcuni casi è necessario sostituire il BIOS o la scheda madre.

Protezione

• Versione iniziale delle definizioni Rapid 28 de Giugno de 1998
• Ultima versione delle definizioni Rapid Release 20 de Agosto de 2008 revisione 017
• Versione iniziale delle definizioni Daily certified 28 de Giugno de 1998
• Ultima versione delle definizioni Daily certified 20 de Agosto de 2008 revisione 016
• Data di iniziale delle definizioni Weekly Certified 28 de Giugno de 1998

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

• Livello di circolazione: Basso
• Numero di infezioni: More than 1000
• Numero di siti: More than 10
• Distribuzione geografica: Medio
• Contenimento della minaccia: Semplice
• Rimozione: Moderato

Danno

• Livello del danno: Alto
• Attivazione del payload: W95.CIH V1.2 e V1.3 (aprile 26), W95.CIH V1.4 (il 26 di ogni mese)
• Payload: Distrugge dati e può danneggiare i CMOS

Distribuzione

• Livello di distribuzione: Medio