Tendenzialmente i malware, quando fanno danni, danneggiano dati o vi obbligano a formattare: CIH no. Banalmente distruggeva il BIOS del PC, rendondolo inutizzabili.
Progettato per colpire il 26 aprile, anniversario del disastro di Černobyl’, solo sui sistemi basati sul DOS, mandava il PC in BSoD, scriveva dati inutili nel settore di boot che fa avviare il computer e tentava di flashare il BIOS chip con dati casuali. Una volta iniziata l’infezione era difficile capire se il PC era morto o semplicemente il sistema era da reinstallare:Infatti il virus faceva comunque avviare il PC con nulla: Bisognava inserire un dischetto avviabile per capire se il BIOS c’era ancora e potevate salvare i dati (con un tool come questo) o se dovevate mandare tutto in assistenza. Si diffuse tantissimo, anche in demo di videogame, firmware Yamaha, Windows pirata e molto altro. Nel 1999 danneggiò centinaia di milioni di PC, successo non replicato negli anni successivi (poche migliaia).
CIH era furbo: Si nascondeva nei file solo se c’era spazio residuo non occupato da dati legittimi. All’epoca i virus erano diffusi e un metodo spicco per verificare se si era infetti era quello di controllare la grandezza dei file. Mettete che Sciking-A si allega ai file e pesa 500 KB. Voi avevate relazione.doc da 1500. Poi visualizzate il file relazione.doc e lo trovate a 2000KB. Presumibilmente siete infetti da Sciking-A. Ma se il creatore di Sciking-A è furbo come quello di CIH sa che nei file, per forza di cose, rimane spazio libero. Quindi mette nel virus un analizzatore di file. Mettete che il peso “reale” di relazione.doc sia di 990 KB. Sciking-A si inietta e il peso del file è esattamente uguale: 1500 KB. Se il peso reale è 1010 non si inetta, esborderebbe. CIH si comportava così, e non causava danni fino al giorno letale. Addirittura nel 2001 si vide un virus, spacciato per foto nuda di Jennifer Lopez, che univa ILOVEYOU a CIH. Causò oltre 1 miliardo di dollari di danni.
L’Autore, Chen Ing Hau, non venne condannato, venne assunto dalla Gigabyte nel 2006 ed evitò per un po’ di anni di apparire in pubblico (paura di essere linciato? 😛 ): Solo nel 2009 andò ad una conferenza e mostrò il reverse engineering di driver Linux.
In questo video viene mostrato CIH in azione.