https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=CIH_%28Computervirus%29CIH (Computervirus) - Versionsgeschichte2026-06-20T19:40:41ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=CIH_(Computervirus)&diff=101035&oldid=previmported>Fan-vom-Wiki: Weißraum und irrelevante Kommentare entfernt, richtige Pfeile2025-08-06T18:59:13Z<p>Weißraum und irrelevante Kommentare entfernt, richtige Pfeile</p>
<p><b>Neue Seite</b></p><div>{{Infobox Computervirus<br />
| Name = CIH<br />
| Aliase = Tschernobyl, Spacefiller<br />
| Veröffentlichung = [[1998]]<br />
| Fundort = [[Republik China (Taiwan)|Taiwan]]<br />
| Virustyp = [[Dateivirus]]<br />
| Subtyp = <br />
| Autoren = [[Chen Ing-Hau]]<br />
| Dateigröße = 1.000&nbsp;Bytes<br />
| Wirtsdateien = [[EXE]]<br />
| Verschlüsselung = nein<br />
| Stealth = ja<br />
| Speicherresident = ja<br />
| System = [[Windows 9x]]<br />
| Programmiersprache = [[x86-Architektur|x86]]-[[Assemblersprache|Assembler]]<br />
| Info = <br />
}}<br />
'''CIH''' bezeichnet eine Gruppe von [[Computervirus|Computerviren]], welche Programmdateien befallen und vom [[Republik China (Taiwan)|taiwanischen]] Programmierer [[Chen Ing-Hau]] geschrieben wurden. Eine Infektion mit CIH konnte auch [[Firmware]]schäden verursachen.<br />
<br />
Chen Ing-Hau stellte das Virus am 26. April 1998 fertig. Am 25. Juni desselben Jahres wurde zum ersten Mal ein mit CIH infizierter Computer entdeckt.<!-- keine brauchbare quelle! <ref name="MalwareWiki">{{Webarchiv |url=https://malware.wikia.org/wiki/CIH|wayback=20200621041301|text=CHI-Virus auf malware.wikia.org}}</ref> --><br />
<br />
Das Virus breitete sich anschließend stark aus und wurde in nahezu allen Industrie- und Schwellenländern gefunden.<ref>https://www.crn.de/security/chernobyl-virus-aus-den-90ern-wieder-aufgetaucht.92039.html</ref> In den Jahren um die Jahrtausendwende gehörten CIH-Infektionen zu den häufigsten Malwarefunden. Im April 2001 war CIH noch stark verbreitet. 2,8 % der Infektionen, die an den Softwarehersteller [[Sophos]] gemeldet wurden, betrafen CIH-Funde.<ref>{{Internetquelle |autor=Dirk Delbrouck |url=https://www.zdnet.de/2063321/top-ten-der-viren-im-april/ |titel=Top Ten der Viren im April |werk=zdnet.de |datum=2001-05-02 |abruf=2024-03-06}}</ref><br />
<br />
Die CIH-Viren gehören zur Klasse der [[Dateivirus|Dateiviren]].<br />
<br />
== Aliasse ==<br />
* '''CIH''': Die Abkürzung steht im Programmcode der ersten Virus-Versionen. Sie steht für die [[Initiale]]n C.I.H. von Chen Ing-Hau.<br />
* '''Tschernobyl''' oder '''Chernobyl''' als Bezeichnung für das Virus verbreitete sich erst, als es bereits bekannt war. Das Datum für den [[Computervirus#Payload|Payload]]-Trigger der originalen Version, der 26. April, ist auch der Jahrestag des [[Nuklearkatastrophe von Tschernobyl|Reaktorunglücks von Tschernobyl]] im Jahr 1986. Der wahre Grund für das Datum ist aber trivialer: Der 26. April 1998 war der Tag, an dem Chen Ing-Hau das Virus fertiggestellt hatte.<br />
* '''Spacefiller''' ist eine Bezeichnung, die sich auf die markante Technik bezieht, mit der CIH ausführbare Dateien infiziert. Die meisten Viren schreiben ihren Code an das Ende der [[Wirtsdatei]]. Dabei ist die Wahrscheinlichkeit, die Datei zu beschädigen, am geringsten. Die Datei wird dann aber entsprechend größer, was auffallen kann und somit für das Virus die Wahrscheinlichkeit, entdeckt zu werden, erhöht. CIH untersucht den Code der Wirtsdatei und versucht, Lücken darin zu finden. Das Virus schreibt seinen Code in diese Lücken und infiziert das Programm, wodurch die Dateigröße nicht verändert wird. Durch diese Stealth-Technik konnte sich CIH effektiver vor dem Anwender und den zeitgemäßen Antivirenscannern verstecken. Alternativ kann sich der Viruscode auch wie die meisten anderen Viren als Appender an das Ende der Datei anhängen, wenn kein passender Platz zum Einbetten des infektiösen Codes vorhanden ist. An den Dateianfang wird ein Link gesetzt.<br />
* Da für Computerviren keine feste [[Nomenklatur]] gilt, haben auch die Hersteller von [[Antivirenprogramm|Antivirussoftware]] verschiedene Bezeichnungen für das Virus. Zu den bekanntesten gehören:<br />
** [[Avast]]: '''Win95:CIH'''<br />
** [[Avira]]: '''W95/CIH.A'''<br />
** [[ESET]]: '''Win95/CIH'''<br />
** [[F-Secure]]: '''Virus:DOS/CIH'''<ref>https://www.trendmicro.com/vinfo/de/threat-encyclopedia/malware/PE_CIH.DAM/ F-Secure.com: ''Thread Descriptions PE_CIH.DAM''</ref><ref name="trendmicro">https://www.trendmicro.com/vinfo/de/threat-encyclopedia/malware/pe_cih.1003 TrendMicro.com: ''Threat Encyclopedia PE_CIH.1003''</ref><br />
** [[Kaspersky Lab]]: '''Virus.Win9x.CIH''' oder '''Win95.CIH'''<ref name="trendmicro" /><br />
** [[McAfee]]: '''W95/CIH.1019a'''<ref name="trendmicro" /><br />
** [[Microsoft]]: '''Virus:Win95/CIH.xxxx'''<ref name="microsoft">https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Win95/CIH&threatId= Microsoft.com: ''Malware Encyclopedia Description Win95/CIH''</ref><ref name="trendmicro" /><br />
** [[Bitdefender]]: '''Win95.CIH.Gen'''<br />
** [[Sophos]]: '''W95/CIH-10xx'''<br />
** [[NortonLifeLock|Symantec]]: '''W95.CIH'''<ref name="trendmicro" /><br />
** [[VIPRE|Sunbelt]]: '''Win32.CIH.xxx (v)'''<br />
** [[Trend Micro]]: '''PE_CIH.DAM'''<ref name="trendmicro" /><br />
<br />
== Versionen und Derivate ==<br />
Chen Ing-Hau programmierte drei Versionen des Virus. Weitere Derivate wurden von meist unbekannten dritten Personen erstellt:<br />
* ''CIH v1.2/CIH.1003'' ist die ursprüngliche Variante. Die Payload wird am 26. April ausgelöst. Der Viruscode enthält die Zeichenfolge <code>CIH v1.2 TTIT</code>. CIH.1003 trägt auch den Versionsnamen ''Kahba''.<br />
* ''CIH v1.3/CIH.1010.A'' und ''CIH1010.B'' sind Varianten, die ebenfalls am 26. April aktiviert werden. Der Viruscode enthält die Zeichenfolge <code>CIH v1.3 TTIT</code>. CIH.1010.A hat den Versionsnamen ''Scharmut'' und CIH1010.B den Namen ''Cay''.<br />
* ''CIH v1.4/CIH.1019'' ist eine Version, die am 26. jeden Monats getriggert wird. Von CIH.1019 wurden am längsten Infektionen gemeldet. Der Viruscode enthält die Zeichenfolge <code>CIH v1.4 TATUNG</code>. Der Versionsname ist ''Eiri''.<br />
* ''CIH.1049'' ist eine Variante, die ihre Payload an jedem 2. August statt am 26. April aktiviert.<br />
* ''CIH.1106'' zündet die Payload am 2. jeden Monats.<ref>{{Internetquelle |autor=Dietmar Müller |url=https://www.zdnet.de/2126770/panda-warnt-vor-cih-1106/ |titel=Panda warnt vor CIH.1106 |werk=zdnet.de |datum=2002-11-29 |abruf=2024-03-06}}</ref><br />
<br />
Die Malware-Enzyklopädie auf der Website von [[Microsoft]] umfasste im Juni 2020 insgesamt 27 verschiedene Derivate des ursprünglichen CIH-Virus.<ref name="microsoft" /><br />
<br />
== Funktion ==<br />
[[Datei:CIHvirus.gif|330px|mini|[[Hexdump]] des ersten CIH-Virus]]<br />
Das Dateivirus ist speicherresident und befällt [[EXE]]-Dateien ([[Portable Executable]]) unter [[Windows 95]], [[Windows 98]] und [[Windows ME]]. Nicht betroffen sind [[Windows NT]] und alle darauf basierenden Windows-Betriebssysteme, wodurch das Virus heute praktisch keine Bedeutung mehr hat.<br />
<br />
CIH löst seinen [[Schadprogramm|Schadcode]] (Payload) nur an vorprogrammierten Tagen aus, wodurch betroffene Rechner meist noch lange Zeit funktionstüchtig blieben und infizierte Dateien weitergereicht werden konnten. Die erste Version wurde einmal jährlich getriggert, wenn das Systemdatum den 26. April erreichte. Daher ist CIH ein sogenanntes Geburtstags-Virus. Entgegen einer weit verbreiteten Fehlannahme ist der 26. April aber nicht wirklich der Geburtstag des Virus-Autors Chen Ing-Hau. Es war das Datum, an dem er das Virus fertiggestellt hatte.<br />
<br />
=== Payload ===<br />
Die Schadensroutine überschreibt zunächst die [[Partitionstabelle]] im [[Master Boot Record]] der [[Festplattenlaufwerk|Festplatte]] mit Nullen, womit der Zugriff auf die Daten der Festplatte ohne spezielle Wiederherstellungslösungen unmöglich gemacht wird. Für die Partitionstabelle existiert kein hardwareseitiger Schutz.<br />
<br />
Des Weiteren versucht sie auch, das [[Basic Input Output System|BIOS]] des Rechners zu überschreiben. Betroffen davon waren viele Computer mit Intel-Pentium-Prozessoren, unter anderem Rechner mit [[Intel]]-430TX-[[Chipsatz|Chipsätzen]], bei denen zusätzlich der Schutz vor einem Überschreiben des BIOS fehlt oder nicht aktiviert ist. Ist das Überschreiben des BIOS erfolgt, startet der betroffene PC nicht mehr, und der BIOS-Chip auf der [[Hauptplatine]] muss ausgetauscht oder neu beschrieben werden. Um das Flash-BIOS gegen Überschreiben zu schützen, gibt es auf vielen Hauptplatinen einen [[Jumper (Elektrotechnik)|Jumper]], der eine ungewollte Änderung des BIOS verhindern soll. Allerdings garantiert dies keinen Schutz, da bei einigen BIOS-Versionen der [[Schreibschutz]] für das Flash-BIOS trotz eines solchen Jumpers softwareseitig gesetzt wird. Das macht sich das Virus zunutze und deaktiviert kurzerhand den Schreibschutz. Entgegen weitläufiger Meinung richtet CIH dabei keinen Schaden an [[Hardware]] an sich an, sondern an der auf der Hauptplatine gespeicherten [[Firmware]]. Obwohl das Virus gerade für diesen Effekt des Payloads bekannt ist, kam er in der Praxis nur relativ selten vor, da er nur auf kompatiblen Mainboards funktioniert. Selbst wenn das BIOS nicht überschrieben wird, kann aber das Überschreiben der Partitionstabelle dennoch auftreten.<ref>{{Internetquelle |url=https://www.f-secure.com/v-descs/cih.shtml |titel=Virus:DOS/CIH Description {{!}} F-Secure Labs |sprache=en |abruf=2022-08-22}}</ref><br />
<br />
=== Identifikation und Entfernung ===<br />
* Die ersten Versionen von CIH wurden noch im Jahr 1998 von nahezu jeder gebräuchlichen Antivirussoftware erkannt. Der Einsatz solcher Software war um die Jahrtausendwende aber vor allem im Privatbereich noch keine Selbstverständlichkeit und etablierte sich erst in den folgenden zehn Jahren.<br />
* Windowssysteme auf NT-Basis waren nicht anfällig, ebenso Betriebssysteme von anderen Herstellern.<br />
<br />
== Auswirkungen ==<br />
[[Datei:CIH.png|360px|mini|Erkennungsmeldung eines Virenscanners]]<br />
Zum ersten Mal tauchte das Virus am 25. Juni 1998 in Taiwan auf, verbreitete sich jedoch später auf der ganzen Welt. Am 26. April 1999, was zufällig dem Jahrestag der [[Katastrophe von Tschernobyl|Reaktorkatastrophe von Tschernobyl]] 1986 entsprach, wurde die Schadensroutine von CIH erstmals aktiviert, wodurch das Virus seinen Alternativnamen ''Chernobyl'' erlangte. Weltweit waren Rechner von Virusinfektionen betroffen. Zwei Varianten des Programmes werden dagegen einmal am 26. Juni aktiviert und die andere am 26. Tag eines jeden Monats.<br />
<br />
Die Verbreitung wurde offenbar dadurch begünstigt, dass sowohl widerrechtlich kopierte [[Software]] als auch legale Softwareprodukte mit dem Virus verseucht waren. Denn auch kommerzielle Quellen waren von CIH betroffen:<br />
<br />
* Im August 1998 war ein Download zum Spiel [[Wing Commander: Secret Ops]] infiziert.<ref>{{Internetquelle | autor= | url=http://www.golem.de/9808/1550.html | titel=Wing Commander Secret Ops Released | werk=[[golem.de]] | datum=1998-08-28 |abruf=2024-02-03}}</ref><br />
* Auch Heft-CDs von europäischen Spiele-Magazinen waren betroffen.<br />
* Bekannt war auch der Fall von infizierten Programmdateien, die für [[Firmware]]-[[Softwareaktualisierung|Aktualisierungen]] von [[Yamaha Corporation|Yamaha]]-CD-Laufwerke gedacht waren.<br />
* Einige [[IBM]]-Aptiva-PCs wurden im März 1999 mit CIH infiziert ausgeliefert.<br />
* Die Hacker-Gruppe [[Cult of the Dead Cow]] hatte im Jahr 1999 auf der Branchenkonferenz DefCon eigene CDs verteilt, die sich als mit dem Virus CIH v1.2 TTIT verseucht herausstellten. Das Gremium entschuldigte sich und übernahm die volle Verantwortung. Den Vorwurf, die CDs absichtlich infiziert zu haben, bestritt die Gruppe mit Nachdruck.<ref>{{Internetquelle |url=https://www.computerwoche.de/a/hacker-infizieren-sich-selbst,508819 |titel=Hacker infizieren sich selbst |werk=computerwoche.de |datum=1999-07-16 |abruf=2024-03-03}}</ref><ref name="heiseonline_20205">{{Heise online |ID=20205 |Titel=Back Orifice war infiziert |Autor=Norbert Luckhardt |Datum=1999-07-16 |Abruf=2024-03-04}}</ref><br />
* Auch den ersten CD-ROMs des [[Eidos Interactive|Eidos]]-Spiels ''{{lang|en|Wall Street Trader}}'' von 1999 befand sich das Virus.<ref name="heiseonline_18441">{{Heise online |ID=18441 |Titel=CIH-Virus auf „Wall Street Trader“-CD |Autor=Andreas Beier |Datum=1999-06-29 |Abruf=2024-03-04}}</ref><br />
* 2011 entdeckte ein E-Threat-Analyst der Softwarefirma [[Bitdefender]] einen mit CIH infizierten Windows-98-Grafiktreiber auf Microsofts [[File Transfer Protocol|FTP]]-[[Server]]. Da das Virus bei solch alten Betriebssystemen nach wie vor gefährlich ist, lag gewissermaßen eine Zeitbombe auf dem Server.<ref>https://www.crn.de/security/chernobyl-virus-aus-den-90ern-wieder-aufgetaucht.92039.2.html</ref><br />
<br />
Der Programmierer Chen Ing-Hau musste sich wegen der schädlichen Folgen des Virus ab dem Jahr 2000 vor Gericht verantworten. Das Verfahren zog sich über Jahre in die Länge. Zu einer Haftstrafe kam es nie.<br />
<br />
== Einzelnachweise ==<br />
<references responsive /><br />
<br />
== Weblinks ==<br />
* VirusBulletin.com: [https://www.virusbulletin.com/virusbulletin/2005/12/thoughts-mass-destruction/ ''Thoughts Mass Destruction'' von ''Helen Martin'' 1. Dezember 2005]<br />
* Heise.de: [https://www.heise.de/tp/features/Bleibt-der-Erfinder-des-CIH-Virus-straffrei-3440615.html ''Bleibt der Erfinder des CIH-Virus straffrei?''] von ''Florian Rötzer'', 1. Mai 1999<br />
* F-Secure.com: [http://www.f-secure.com/v-descs/cih.shtml ''CIH Technical Page''] Datenbankeintrag<br />
* Sophos.com: [https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W95~CIH-10xx.aspx ''Viruses and Spyware: W95-CIH''] Datenbankeintrag<br />
* Sophos.com: [https://nakedsecurity.sophos.com/2011/04/26/memories-of-the-chernobyl-virus/ ''Memories of the Chernobyl Virus'', 26. April 2011]<br />
* Sophos.com: [https://www.sophos.com/en-us/press-office/press-releases/1998/06/pr_uk_19980630cih.aspx ''CIH''], Juni 1998<br />
* [http://www.symantec.com/security_response/writeup.jsp?docid=2000-122010-2655-99 Symantec CIH Technical Page] Datenbankeintrag<br />
* GRC.com: [http://www.grc.com/cih/cih.htm FIX-CIH] Anleitung zum Beheben der Schäden durch die CIH-Payload<br />
* Github.com: [https://github.com/onx/CIH ''CIH 1.4 source code''] Quellcode<br />
* DiariOTI.com: [https://diarioti.com/creador-de-chernobyl-arriesga-3-anos-en-prision/3112 ''Dreador de chernobyl arriesga 3 anos en prison'']<br />
* Definitions.net: [https://www.definitions.net/definition/CIH ''CIH''] Datenbankeintrag<br />
* Sides.de: [https://www.sides.de/v_cih.php ''CIH''] Datenbankeintrag<br />
* Web.Archive.org → ZDNet.co.uk: [https://web.archive.org/web/20090417075559/http://news.zdnet.co.uk/security/0%2C1000000189%2C2068990%2C00.htm ''US Report: Gamers believe Activision's 'SiN' carries CIH virus'']<br />
* Web.Archive.org → ZDNET.co.uk: [https://web.archive.org/web/20050310055951/http://news.zdnet.co.uk/hardware/emergingtech/0%2C39020357%2C2088013%2C00.htm ''News article about the Jennifer Lopez e-mail'']<br />
* Web.Archive.org → F-Secure.com: [https://web.archive.org/web/20060615003121/http://www.f-secure.com/cih/ ''F-Secure CIH Database''] Datenbankeintrag<br />
<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Computervirus]]<br />
[[Kategorie:Dateivirus]]</div>imported>Fan-vom-Wiki