Что за вирус win95 cih
ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА
Появился вирус, разрушающий аппаратную часть
компьютеров Win95.CIH
26 числа каждого месяца, после срабатывания деструктивного кода нового вируса материнские платы компьютеров можно выбрасывать на помойку. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.
Компьютеры, на которых установлена ОС Windows95 и которые подключены к Интернет, находятся под реальной угрозой заражения новым компьютерным вирусом, внедряющимся в исполняемые файлы Windows95 (Portable Executable). Особенно опасными являются разрушительные проявления вируса. 26-го числа каждого месяца он перезаписывает Flash BIOS и стирает информацию на всех установленных жестких дисках.
Новый вирус, впервые обнаруженный на Тайване в начале июня этого года, в течение нескольких недель разошелся буквально по всему миру. Вирусные эпидемии были зарегистрированы практически во всех странах Европы, обеих Америках и Юго-восточной Азии, также вирус обнаружен в различных городах России. Он разошелся через пиратские копии ПО, распространяющегося по конференциям FIDO и Интернет; зараженные файлы были обнаружены также на некоторых российских WWW-сайтах.
Многие помнят повальную эпидемию макро-вируса Concept в августе-сентябре 1995 года. "Триумфальное шествие" этого макро-вируса буквально перевернуло вверх ногами основные представления о компьютерных вирусах и заставило разработчиков антивирусного ПО внести значительные изменения в выпускаемые продукты. Эта история повторяется и сейчас, но уже с Windows-вирусом: попав в глобальную сеть Интернет, вирус за очень короткое время стал причиной сотен (если не тысяч) эпидемий. Так на наших глазах рушится миф о том, что Windows-вирусы никогда не получат такого же широкого распространения, как старые добрые DOS-вирусы. К сожалению, это не так. Доказательством является глобальная пандемия нового компьютерного вируса.
Резидентный вирус работает только под Windows95 и заражает PE-файлы (Portable Executable). Имеет небольшую длину - около 1 КБ. Обнаружен "в живом виде" на Тайване в июне 1998 года. Он был разослан автором вируса в местные Интернет-конференции. За последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании, затем вирус был обнаружен и в нескольких других странах, включая Россию.
При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.
Запись в Flash BIOS возможна только на соответствующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако, это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.
При тестировании вируса в Лаборатории Касперского память Flash BIOS осталась неповрежденной - по непонятным причинам вирус завесил систему без каких-либо побочных эффектов. Однако из других источников известно, что вирус при определенных условиях действительно портит содержимое Flash BIOS.
После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные секторы.
Известно три версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS. В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:
Длина | Текст | Дата срабатывания | Обнаружен "в живом виде" |
Win95.CIH.1003 - CIH | v1.2 TTIT | 26 апреля | Да |
Win95.CIH.1010 - CIH | v1.3 TTIT | 26 апреля | Нет |
Win95.CIH.1019 - CIH | v1.4 TATUNG | 26 каждого месяца | Да - во многих странах |
Технические детали При заражении файлов вирус ищет в них "дыры" (блоки неиспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено структурой PE-файлов: позиция каждой секции в файле выровнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байтов, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.
Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.
Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.
Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю. С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3). Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает видеоэффект (см. выше). При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.
Редакция благодарит Игоря Данилова, технического директора фирмы Салд и Алексея Топунова, фирма Поликом Про, за своевременное сообщение о новом вирусе и методах его лечения.
А может все не так страшно
Материалы подготовлены по письмам в эхо конференцию Su.Virus сети FidoNet.
I. Как можно переписать BIOS (например).
1. Берем микросхему с BIOS с чужого компьютера. Подключаем ее взамен нашей (микросхема должна быть такая же, что и наша, и прошивка ее подходит для нашей материнской платы).
2. Загружаем компьютер.
3. Запускаем программу для записи прошивки в BIOS (например, awdflash.exe).
4. Делаем вид, что хотим прошить чужую микросхему. Когда программа спросит: "Сохранить BIOS?", - отвечаем: "Да".
5. Отменяем прошивание чужого BIOS'а.
6. Отключаем чужой BIOS, подключаем свой.
7. Повторяем процесс, только записываем в нашу микросхему чужой DUMP.
Все. В крайнем случае, вам поможет любая мастерская по ремонту АОНов и т.п.
II. Спасибо за ваше предупреждение о столь опасном вирусе.
Но стоит вам заметить, что некоторые модели современных компьютеров несколько хитрее, чем думал автор вируса. Если кто имеет компьютеры такой модели, возможно, мой совет поможет им защититься от обнаруженной вами заразы.
Я имею в виду IBM PC Server 704, производимый компанией IBM (у меня 4 CPU Peintium Pro 200, 256 МБ RAM, 4.3 ГБ Hard Drive и 4mm DDS-3 Tape Drive). На его материнской плате имеются переключатели J16A1 - BIOS Recovery. При нормальной работе должны быть замкнуты контакты 1-2 (с этим и поставляется компьютер). В случае порчи содержимого Flash BIOS в нем имеется закрытая для записи область, из которой можно восстановить его содержимое путем перестановки переключателя (джампера) на контакты 2-3. (Подробнее см. IBM PC Server 704 User Handbook, стр. 285). Кроме того, следует проверить положение джампера на переключателе J16A1 - Boot Block Protect/Unprotect (компьютер поставляется в положении Protect - джампер стоит на контактах 1-2).
Ни в коем случае не переставлять на 2-3! Это делает BIOS Boot Block программируемым и открытым для записи! Обязательно убедитесь, что J16A1 BIOS Boot Block стоит в положении 1-2, как предписывает компания IBM!
III. Аналогично и для материнской платы ASUSTEK VX97 (наверное, и для других плат этой фирмы).
Так что, возможно, не так уж много компьютеров могут быть разрушены этим вирусом. )
Комментарий Итак, если вас поразил новый вирус и ваш компьютер отказался загружаться, не торопитесь выбрасывать материнскую плату! У вас еще есть шансы оживить ее. И если вы сами не в силах проделать приведенные выше операции, обратитесь к специалистам. Однако будьте готовы к тому, что через месяц, 26 числа вы еще раз получите порцию адреналина при виде темного экрана монитора после нажатия клавиши Power вашего компьютера. Избежать этого вам поможет только Dr.Web, который удалит вирус, оставшийся в системе вашего компьютера.
Внимание! Зафиксирована попытка
взлома паролей Dial-Up
На прошлой неделе (26 июня 1998 года) зафиксирована попытка взлома персональных паролей Dial-Up. В качестве инструмента взлома использовалось письмо с порнографическим содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске имена и пароли входа в Интернет и затем отсылал их своему хозяину. Лаборатория Касперского известила о попытке несанкционированного доступа основных российских провайдеров Интернет и выпустила специальное дополнение к AVP by Eugene Kaspersky, детектирующее и уничтожающее нового "электронного вора".
Четыре основных способа добычи информации использовались тайными агентами и шпионами с незапамятных времен: подкуп, шантаж, вино и женщины. Именно последний способ был использован неизвестным злоумышленником для взлома персональных паролей доступа в Интернет. Поскольку Интернет - вещь виртуальная, то естественно использовались виртуальные женщины в формате JPG, что, однако, не делает виртуальной абонентскую плату за доступ к глобальным сетям.
Разосланное письмо содержало заголовок "Free SexCD each guest. " и текст:
Free SexCD each guest.
Sex Viewer (Click on CD icon, and get free SexCD now!)
Free Anime Henitai Collection
lolita Sex
Russian Young women
And much more!
В письмо были также вложены порнографическая картинка и EXE-файл, который собственно и является "троянским конем". Для получения "free CD" требуется всего лишь запустить эту программу, которая на самом деле "развлекает" пользователя еще четырьмя порно-картинками, а сама в то же время ищет на диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем результат "вскрытия" системы отсылается обратно автору троянца.
Файлов: 4.
Файл | Размер | Выпуск | Версия | Язык | Качество | Загрузил | ||||||||
| 2.4 Кб | ylitvinenko 2009.05.28 | ||||||||||||
| 11 Кб | ylitvinenko 2009.05.28 | ||||||||||||
| 5.3 Кб | 200x | 0.0000 | Английский | Nika 2013.04.05 | |||||||||
RUS: Программа-нейтрализатор резидентного вируса CIH. Она же может и ЗАПУСТИТЬ его с разными опциями, в том числе - и в совсем безопасном виде. Запускать БЕЗ ОПЦИЙ эту программу можно совершенно спокойно - тогда она работает как обычный антивирус, делающий неработоспособным находяшийся в оперативной памяти вирус CIH. Прочтите описание. Программа не упакована и не криптована, поэтому антивирусы её определяют как заражённую CIH'ом. Это нормально. "Умный вирусописатель" - словосочетание, содержащее в себе внутреннее противоречие. В случае с CIH всё, правда, не так однозначно. В общем, корыстные мотивы тут ярко выражены. В раздаче выложена утилита (CIH_KILL), которая позволяет запустить CIH с опциями. День рождения WIN95.CIH
Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Был обнаружен "в живом виде" на Тайване в июне 1998 - автор вируса заразил компьютеры в местном университете, где он (автор вируса) в то время проходил обучение. Через некоторое время зараженные файлы были (случайно?) разосланы в местные Интернет-конференции, и вирус выбрался за пределы Тайваня: за последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. Затем вирус был обнаружен и в нескольких других странах, включая Россию. Примерно через месяц зараженные файлы были обнаружены на нескольких американских Web-серверах, распространяющих игровые программы. Этот факт, видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26 апреля 1999 года (примерно через год после появления вируса) сработала "логическая бомба", заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров - у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчены микросхемы на материнских платах. Данный инцидент стал настоящей компьютерной катастрофой - вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков. Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой аварии на Чернобыльской атомной электростанции, вирус получил свое второе имя - "Чернобыль" (Chernobyl). Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со своим вирусом и поставил дату срабатывания "бомбы" на 26 апреля по совсем другой причине: именно 26 апреля в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня) - 26 апреля вирус "CIH" отмечает подобным образом свой "день рождения". Как вирус работает Запись в Flash BIOS возможна только на соответсвующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно. После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора. Известно три основные ("авторские") версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS: Длина Текст Дата срабатывания Обнаружен "в живом виде" Технические детали Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков. Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке. Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю. С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3). Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше). При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand. Известные варианты вируса Известно также об "оригинальных" версиях вируса, срабатывающих в дни, отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в коде вируса происходит по двум константам. Естественно, что для того, чтобы поставить таймер "бомбы" на любой заданный день, достаточно поменять лишь два байта в коде вируса.
На вашем винчестере похозяйничала злобная тварь Win95.CIH ? Да — этот зловред до сих пор бродит по свету, то и дело принимаясь за старое. BIOS цел, но испорчен FAT? Еще не все потеряно — бесценная информация поддается восстановлению! Так как всего существует две копии FAT, то
Теперь немного устного счета: из начального сектора второй копии вычитаем начальный сектор первой и получаем размер FAT-1 в секторах. Теперь, когда известны размеры обеих копий, можно перейти непосредственно к сохранению. Перейдя на физический сектор (уже знакомая комбинация ALT+P), указываем адрес начала первой таблицы, а в поле "количество секторов" заносим вычисленный размер FAT-1. Далее нажимаем ALT+W\to a file . Указываем путь, куда сохранить файл и имя. Сохраняться FAT должен на второй винчестер, потому что ваш пока система не видит . Точно те же действия необходимо повторить для получения FAT-2. Теперь предстоит самый нудный процесс ручной сборки FAT. Запускаем утилиту dub.exe с параметром . Можно проще — пишем dub.exe fat1 fat2 . Где fat1, fat2 — имена файлов-копий FAT. Появляются два окна. В верхнем — первый файл, а в нижнем, соответственно, — второй. Отличающиеся байты маркированы желтым цветом. Так что если увидели желтые байты — жмите F6 . Это заменит сбойные участки. Продвигаемся по файлу стрелочками. Процесс долгий — запаситесь терпением. Добравшись до конца файла, жмем F10 , файл автоматически сохранится, и мы окажемся в первозданном DOS. Теперь следует найти ROOT (корневой каталог). Для этого в Diskedit надо перейти на начало диска и пройти в Tools\FindObject\Subdirectory . Показанное и будет искомым ROOT’ом. Теперь его тоже нужно сохранить на диск файлом рядом с FAT’ом. Финишная прямая Теперь запускаем fdisk.exe . Надо создать основной раздел точно такого же размера, как раньше. Если этого не сделать — будут отличаться размеры FAT, и ROOT окажется в другом месте. Выходим из fdisk, перезагружаемся. Теперь форматируем диск: format /u /s . Это восстановит Master Boot Record, Partition Table и Boot Record. Уф-ф. все получилось. Если нигде не было ошибок. Здесь, как у саперов, — достаточно одной неточности, и. Сапер от лопатки недалеко падает. "Лабораторией Касперского" (www.kaspersky.ru) меньше месяца назад был запущен новый сетевой проект — TOP 20 самых распространенных в Рунете вирусов (обновляется ежемесячно). Данные для сводки собираются не только по комментариям пользователей, но и по информации, предоставленной почтовыми службами и сайтами различной направленности. Так что выборка довольно большая, и на ее основе можно делать соответствующие выводы. По крайней мере, ознакомление со сводкой может локализовать поиск злобных вирей на вашей машине. Сбываются худшие предсказания экспертов, согласно которым червь Nimda войдет в историю Интернета как один из самых заразных вирусов. Казалось бы, сколько предупреждали, сколько объявлений на сайтах вешали. ничто не помогает. По сей час заражению ежедневно подвергаются около пятидесяти тысяч компьютеров. И на данный момент по всему миру заражено около трех миллионов машин, а ущерб от действия Nimda составил порядка четырехсот миллионов долларов. Не секрет, что человечество, сведя практически на нет потуги главного слуги эволюции — естественного обора — контролировать людскую численность и допускать к размножению лишь самых выдающихся, лоб в лоб столкнулось с проблемой чистоты вида. Увы, давно канули в бозе времена, когда генофонд нации составляли крепкие, здоровые гены сильнейших ее представителей. С ростом технологии рос и уровень жизни, а это, в свою очередь, вело к тому, что даже самые слабые — а зачастую именно они — имели возможность наравне с сильными оставить после себя потомство. В генофонде человечества начали накапливаться всевозможные заболевания, и сейчас мы, можно сказать, стоим на грани вымирания. Так считают ученые. Читайте также:
|