Em 26 de abril de 1999, há 27 anos, o vírus CIH (também conhecido como Chernobyl), de apenas 1 KB, detonou sua carga em centenas de milhares de máquinas Windows 9x pelo mundo. Ele apagava discos rígidos e corrompia a BIOS das placas-mãe.
Criado pelo estudante taiwanês Chen Ing-hau em 1998, o vírus infectou cerca de 60 milhões de computadores e causou um prejuízo estimado em US$ 40 milhões. Recebeu o apelido ‘Chernobyl’ porque sua data de ativação coincidiu com o aniversário do desastre nuclear de 1986.
Chernobyl era um ‘vírus preenchedor de espaço’, ocultando-se em executáveis. Em vez de aumentar o tamanho do arquivo, o CIH se dividia em lacunas não utilizadas, mantendo o tamanho original. Isso burlava verificações de antivírus da época.
Uma vez ativo, o CIH explorava vulnerabilidades para escalar privilégios, obtendo acesso de nível kernel (ring 0). Assim, ele conseguia infectar silenciosamente cada executável que o usuário abria. Funcionava apenas em Windows 95, 98 e ME; o Windows NT era imune.
O CIH se espalhou globalmente por canais de software pirata, mas também por fontes comerciais legítimas. PCs IBM Aptiva e uma atualização de firmware da Yamaha foram distribuídos com o vírus. Cópias do Back Orifice 2000, distribuídas na DEF CON 7, também estavam infectadas.
Ao ser ativado, o CIH executava sua dupla carga. Primeiro, sobrescrevia o primeiro megabyte do disco de boot com zeros, destruindo a tabela de partições. Em seguida, tentava gravar dados inválidos no chip da BIOS, tornando a máquina incapaz de ligar sem a substituição do componente. Este ataque à BIOS afetava principalmente sistemas com chipsets Intel 430TX específicos e memória flash desprotegida.
Apesar da magnitude dos danos, promotores taiwaneses não puderam indiciar Chen, pois nenhuma vítima apresentou queixa, conforme exigido pela lei local na época. Chen alegou ter criado o vírus para desafiar fabricantes de antivírus. O incidente impulsionou Taiwan a aprovar novas leis contra crimes cibernéticos.