W95/CIH

Alias: CIH 1003, Chemobyl, PE_CIH, CIHV, SPACEFILLER, VIN32, TSHERNOBYL, TSERNOBYL 
Fecha de Aparición: Junio 1998 
Origen: Taiwan 
Fechas Activación: 26 Abril

También es conocido como CIH 1003 y como Chernobyl, su fecha de activación y esta denominación hacen referencia al accidente nuclear en esta central.

Cuando un archivo EXE infectado es ejecutado, el virus permanecerá en memoria con la intención de infectar otros programas al ser accedidos.

Ha estado entre los diez virus más comunes durante varios meses. Se ha extendido muy deprisa debido a su distribución dentro de software pirata. Parece ser que al menos cuatro grupos clandestinos de software pirata se infectaron con el virus CIH durante el verano de 1998. Inadvertidamente extendieron el virus globalmente en nuevos softwares piratas que distribuyeron dentro de sus propios canales. Estos canales incluyen algunos juegos que se extienden muy rápidamente en todo el mundo.

Posteriormente, por accidente, CIH se difundió desde varias fuentes comerciales, tales como:

- La web de Origin Systems dónde la descarga del archivo del popular juego Wing Commander fue infectado.

- Tres publicaciones Europeas de juegos de PC distribuyeron revistas donde la portada del CD-ROM estaba infectada; una de ellas incluso incluía una nota dentro advirtiendo a los usuarios que desinfectaran sus máquinas después de haber utilizado el CD-ROM.

- Yamaha distribuyó una versión infectada de una actualización de drivers para su CD-R400.

- Una versión demo ampliamente distribuida del juego SiN de Activision fue también infectada; esta infección no fue provocada por el proveedor.

- IBM despachó un lote de PCs Aptiva nuevos con el virus CIH preinstalado durante marzo de 1999, justo un mes antes de que el virus se activara destructivamente.

Lo que hace que CIH sea un caso realmente serio, es que el virus se activa destructivamente. 
Cuando esto sucede la mayoría de los datos del disco duro del PC son sobrescritos aunque es recuperable con backups recientes.

Sin embargo, el virus tiene otra rutina de activación única: intentará sobrescribir el chip Flash BIOS de la máquina. Si esto sucede, el equipo no podrá arrancar de nuevo a menos que el chip sea reprogramado. La rutina Flash, funciona en varios tipos de Pentium, por ejemplo, en PCs basados en el chip Intel 430TX. En la mayoría de los casos, Flash BIOS puede ser protegida con un jumper. Por defecto al protección está generalmente desactivada.

El virus CIH infecta archivos ejecutables de Windows (archivos EXE). No infecta documentos de Word o Excel. CIH actúa bajo Windows 95 y Windows 98, pero no funciona bajo DOS, Windows 3.x, Windows NT, Windows 2000 o Macintosh.

CIH utiliza una forma muy peculiar de infectar ejecutables. Como resultado, el tamaño de los archivos infectados no aumenta. El tamaño del código del virus tiene alrededor de 1 kb. El virus también emplea trucos avanzados en saltar de la llamada 3 del procesador a la llamada 0 con el propósito de colgar el sistema de llamadas del sistema.

Existen cuatro variantes conocidas:

CIH v1.2 (CIH.1003): Se activa el 26 de abril. Es la variante más conocida.
Contiene el texto: CIH v1.2 TTIT

CIH v1.3 (CIH.1010.A and CIH.1010.B): Se activa el 26 de junio.
Contiene el texto: CIH v1.3 TTIT

CIH v1.4 (CIH.1019): Se activa el 26 de cada mes. No es muy común.
Contiene el texto: CIH v1.4 TATUNG

Cuando se activó por primera vez el 26 de Abril de 1.999, causó los más graves daños que se pueden atribuir a un virus hasta la actualidad.

Según WildList, la lista de virus conocidos que han originado incidentes reales en los sistemas, el virus CIH ha sido reportado recientemente en 39 de las 55 listas mundiales que conforman la totalidad de WildList.