Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

W95.CIH

Categoria 2
Scoperto in data: 25/06/1998
Ultimo aggiornamento in data: 26/10/2004


A causa della diminuzione delle richieste di assistenza, il Symantec Security Response ha declassato tale virus dal livello 4 al livello 3.

Il virus CIH, noto anche come Chernobyl, fu scoperto a Taiwan nel giugno del 1998. Secondo le autorità di Taipei, ne è l'autore tale Chen Ing-hau, che avrebbe chiamato il codice nocivo da lui creato con le iniziali del proprio nome.

CIH è un virus ad alto potenziale distruttivo, la cui payload è in grado di distruggere i dati. Il 26 aprile 1999, la payload è stata attivata per la prima volta, distruggendo i dati presenti in molti computer. Si ritiene che nella sola Corea il virus abbia colpito circa un milione di computer per un danno globale stimato nell'ordine dei 235€ milioni.

Symantec ritiene che il virus, pur non essendo di recente creazione, sia ancora "in the wild" e che possa causare danni agli utenti di computer che utilizzano definizioni dei virus obsolete o che non utilizzano nessun programma antivirus.

 

Noto anche come: Chernobyl, PE_CIH, Win95.CIH, Win32.CIH, W95/CIH.1003, CIH.Spacefiller
Tipo: virus
Lunghezza dell’infezione: Fino a 1KB
Sistemi operativi minacciati: Windows 95, Windows 98, Windows Me
Sistemi operativi non minacciati: DOS, Linux, Macintosh, OS/2, UNIX, Windows 2000, Windows NT, Windows XP

protezione
  • Definizioni dei virus (LiveUpdate™ Weekly)

    • 28/06/1998
  • Definizioni dei virus (Intelligent Updater)

    • 28/06/1998

    valutazione della minaccia

    Wild

    Grafico della minaccia
    Bassa Alta Media

    Wild:
    Bassa

    Danno:
    Alta

    Distribuzione:
    Media

    Danno

    informazioni tecniche

    CIH infetta i file eseguibili a 32 bit di Windows 95/98/NT, ma funziona solo su Windows 95/98 e ME; tale virus non viene invece eseguito su computer con sistema operativo Windows NT o Windows 2000. Quando viene eseguito un programma infetto in Windows 95/98/ME, il virus si installa nella memoria. Pertanto, per eliminarlo, bisogna effettuare una delle seguenti operazioni:

    • Consigliato: utilizzare lo strumento di rimozione per CIH fornito dal Symantec Security Response, in grado di rimuovere il virus dalla memoria senza necessità di riavviare il computer da un disco di sistema non infetto.
    • Riavviare il computer da un disco di soccorso.
    • Riavviare il computer dal CD di NAV 2001/2002 (se il computer consente tale opzione).

    Se non si esegue tale operazione, il computer infetterà tutti i file sottoposti a scansione con Norton AntiVirus o altri programmi antivirali.

    Sebbene i file di sistema di Windows NT possano venire infettati, su sistemi operativi Windows NT o Windows 2000 il virus non è in grado di replicarsi in memoria né di infettare file. CIH non funziona in DOS, Windows 3.1, o su computer Macintosh. Quando il virus è installato in memoria è in grado di infettare i file ai quali l'utente accede.

    La dimensione del file infettato potrebbe corrispondere a quella del file originale, a causa del modo di operare di CIH. Il virus cerca infatti spazi vuoti inutilizzati all'interno del file, si divide quindi in piccole sezioni ed inserisce il proprio codice così frammentato in questi spazi. Quando NAV ripara un file infettato da CIH, esegue una ricerca delle microsezioni virali rimuovendole dal file.

    Le tre varianti ad oggi note di tale virus (aprile 1999), sono molto simili fra di loro. La payload delle versioni 1.2 e 1.3 di CIH viene attivata il 26 aprile, anniversario del disastro nucleare di Chernobyl avvenuto il 26 aprile 1986, mentre la payload della versione 1.4 viene attivata il 26 di ogni mese. Le payload delle tre versioni di CIH sono identiche.

    La prima di esse sovrascrive dati a caso sul disco rigido, partendo dall'inizio del disco (settore 0) e ripetendo la propria routine all'infinito. CIH continua a sovrascrivere i settori del disco rigido fino a quando blocca il sistema. A questo punto, non è più possibile avviare il computer dal disco rigido o da un disco floppy. È quasi impossibile riuscire a recuperare i dati sovrascritti dal virus sul disco rigido, che dovranno essere pertanto ripristinati da copie di riserva.

    La seconda payload del virus tenta di causare danni permanenti al computer attaccando il Flash BIOS (quella parte del computer che inizializza e gestisce le relazioni e lo scambio di dati tra le periferiche di sistema, compreso il disco rigido, le porte seriali e parallele e la tastiera) e tentando di danneggiare i dati in esso memorizzati. Se tale operazione riesce, è possibile che all'avvio del computer non si riesca a visualizzare nulla sullo schermo. Per risolvere questo problema è necessario ricorrere all'aiuto di un tecnico informatico.

    recommendations

    Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

    • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
    • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
    • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
    • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
    • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
    • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
    • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
    istruzioni sulla rimozione


    È possibile rimuovere il virus in due modi:
    • Consigliato: eseguire lo strumento di rimozione per CIH, e poi eseguire la scansione con Norton AntiVirus.
    • Riavviare da un disco di soccorso o da unità CD-ROM di avvio utilizzando il CD di Norton AntiVirus 2001/2002.

    Procedura di rimozione consigliata
    Il modo più semplice per rimuovere il virus è di eseguire lo strumento di rimozione per CIH, e poi eseguire la scansione con NAV. Lo strumento di rimozione per CIH rileva e rimuove in modo sicuro tutte le varianti note (aggiornate al 3 agosto 1998) del virus W95.CIH (Chernobyl) dalla memoria di Windows 95 e Windows 98. Se si esegue lo strumento senza essere stati infettati dal virus, è possibile immunizzare la memoria del proprio sistema dalle infezioni provocate da W95.CIH fino al successivo riavvio del sistema.

    ATTENZIONE:
    • Se il proprio computer ha contratto W95.CIH, è necessario eseguire lo strumento di rimozione per CIH prima di tentare di aggiornare le proprie definizioni dei virus o di eseguire una scansione del sistema. Se si tenta di eseguire la scansione del sistema infetto con un antivirus prima di eseguire lo strumento di rimozione, si corre il rischio di diffondere l'infezione. Terminata l'esecuzione dello strumento, è possibile effettuare la scansione del computer in tutta sicurezza.
    • Lo strumento di rimozione per CIH non rileva né rimuove il virus W95.CIH dai file, ma disattiva il virus in memoria per consentire a Norton AntiVirus di rimuovere l'infezione senza diffondere involontariamente il virus stesso.
    È possibile eseguire lo strumento sia da una riga di comando DOS che da uno script di accesso, consentendo in questo modo all'amministratore di rete di automatizzare il processo di disinfezione. Procedere come segue:
    1. Scaricare ed eseguire lo strumento di rimozione per CIH, seguendo le istruzioni proposte nella pagina di scaricamento. Non riavviare il computer fino a quando non viene esplicitamente richiesto.
    2. Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus più recenti.
    3. Avviare Norton AntiVirus (NAV) e accertarsi che sia configurato in modo da sottoporre a scansione tutti i file. Per informazioni in merito, consultare il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file.
    4. Eseguire una scansione completa del sistema.
    5. Se vengono rilevati file identificati come W95.CIH, fare clic su Ripara. Se invece NAV segnala che non è possibile riparare il file, annotare il nome di tale file e fare clic su Elimina.


    Procedura di rimozione alternativa
    Istruzioni per rimuovere il virus senza utilizzare lo strumento.
      Effettuare una delle seguenti operazioni:
      • Se sono soddisfatte entrambe le condizioni seguenti: è possibile avviare il computer dall'unità CD-ROM e si utilizza Norton AntiVirus 2001 o successivo, procedere come segue.
        1. Inserire il CD di Norton AntiVirus nell’unità CD-ROM e riavviare il computer.
        2. Quando compare il menu, avviare la scansione e la riparazione dei file infetti.
        3. Al termine della scansione, rimuovere il CD dall'unità CD-ROM e riavviare il computer.
        4. Avviare Norton AntiVirus (NAV) e accertarsi che sia configurato in modo da sottoporre a scansione tutti i file. Per informazioni in merito, consultare il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file.
        5. Eseguire una scansione completa del sistema.
        6. Se vengono rilevati file identificati come W95.CIH, fare clic su Ripara.
      • Se non è possibile avviare il computer dall'unità CD-ROM o se si utilizza Norton AntiVirus 2000 o precedente, procedere come segue.
        1. Installare Norton AntiVirus su un computer non infetto.
        2. Eseguire LiveUpdate ed avviare una scansione completa del sistema.
        3. Sulla barra degli strumenti di NAV, fare clic su Rescue.
        4. Seguire le istruzioni a video per creare un set di Dischi di soccorso.
        5. Inserire il "disco di avvio di soccorso di base" nell'unità floppy del computer infetto. Riavviare il computer.
        6. Utilizzare le frecce di direzione della tastiera per selezionare Norton AntiVirus nella finestra del programma di soccorso.
        7. Modificare la riga di comando in fondo alla finestra, in modo che corrisponda a quella indicata di seguito:

          navdx /a /b+ /m+ /repair /cfg:a /log:c:\nvreplog.txt

          e premere Invio.
        8. Al termine della scansione, ripetere nuovamente i passaggi da 6 a 8, modificando questa volta la riga di comando nel modo seguente:

          navdx /a /b+ /m+ /delete /cfg:a /log:c:\nvdellog.txt

          e premere Invio.
        9. Il termine della scansione coincide con la fine del processo di rimozione. Rimuovere tutti i dischi dalle unità disco e riavviare il computer.
        10. Avviare Norton AntiVirus (NAV) e accertarsi che sia configurato in modo da sottoporre a scansione tutti i file. Per informazioni in merito, consultare il documento Come configurare Norton AntiVirus per effettuare una scansione di tutti i file.
        11. Eseguire una scansione completa del sistema.
        12. Se vengono rilevati file identificati come W95.CIH, fare clic su Ripara.


    Informazioni aggiuntive:


    Cosa fare se il virus ha attivato la propria payload
    Quando si autoesegue il giorno 26 del mese, il virus è potenzialmente in grado di effettuare le due azioni seguenti:

    • È in grado di sovrascrivere aree di dati importanti nei primi 2048 settori del disco rigido. Se ciò accade, viene visualizzato un avviso "disco non di sistema" avviando il computer dal disco rigido oppure "supporto non valido" se l'avvio avviene mediante disco floppy di sistema o disco di soccorso. Di seguito proponiamo le istruzioni per risolvere il problema utilizzando Norton Utilities:
      • Se si è in possesso di dischi di soccorso aggiornati di Norton Utilities (NU) o Norton AntiVirus, è possibile utilizzarli per ripristinare informazioni di partizione e record di avvio, quindi eseguire Norton Utilities Unformat.
      • Se si è acquistato NU in seguito all'infezione e il disco infetto ha più di una partizione, è consigliabile tentare di eseguire ndd /rebuild dal disco di emergenza, e poi eseguire Unformat.
      • Se invece il disco rigido ha una sola partizione, potrebbe essere necessario chiedere assistenza ad un servizio di recupero dati.
    • Il virus potrebbe inoltre sovrascrivere il BIOS di sistema. Se ciò accade, contattare il fornitore del BIOS per istruzioni su come risolvere la questione.
    NOTA: i casi di BIOS sovrascritto sono estremamente rari. Se il computer non funziona perché è stato sovrascritto il BIOS, in alcuni casi è necessario sostituire il BIOS o la scheda madre.

    Revisioni:


    Versione del documento in inglese

    Fare clic qui per visualizzare la versione inglese di questo documento

    NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.


    Documento realizzato da: Motoaki Yamamura