Защита данных
И не скачивайте из Интернета что попало - появился вирус, разрушающий аппаратную часть компьютеров!
Владимир Митин
В начале июля ЗАО “ДиалогНаука” (www.dials.ru) и “Лаборатория Касперского” (www.avp.ru) практически одновременно сообщили, что появился новый страшный вирус Win95.CIH, разрушающий аппаратную часть компьютеров. В течение нескольких недель пакость разошлась по всем странам Европы, Америки и Юго-Восточной Азии. 29 июня вирус был обнаружен в разных городах России. В частности, зараженными оказались файлы на некоторых отечественных Web-сайтах, а также ПО, распространяемое по FIDO- и Интернет-конференциям.
“26 числа каждого месяца после срабатывания деструктивного кода вируса системные платы компьютеров можно выбрасывать на помойку. Но только в том случае, если в машинах, инфицированных вирусом Win95.CIH, был включен переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS). А как правило, все компьютеры продаются с таким положением переключателя. Я рекомендую всем производителям, поставщикам и продавцам ПК установить переключатель Flash BIOS в положение, запрещающее запись в него информации!”, - предупреждает изготовителей, реселлеров и пользователей один из ведущих специалистов ЗАО “ДиалогНаука” Игорь Данилов.
ЗАО “ДиалогНаука” сообщило, что вирус Win95.CIH детектируется и лечится с помощью программы Dr.Web версии 4.01. По словам представителей ЗАО “Лаборатория Касперского”, дополнение к AVP, способное детектировать и удалять новый вирус, было выпущено 8 июня.
Врагов надо знать в лицо!
Win95.CIH - очень опасный резидентный вирус. Заражает исполняемые коды Windows 95, имеющие формат Portable Executable. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм внедрения в тело программы. Известно, что каждая кодовая секция PE-файла выравнена на определенное количество байтов, обычно не используемых программой. В такие области вирус и записывает части своего кода, “разбрасывая” их иногда по всему файлу (или по всем кодовым секциям). Кроме того, вирус может записать свою стартовую процедуру или даже весь свой код в область заголовка PE-файла и установить на нее точку входа.
При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и собирает в нем разбросанные части своего кода. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии PE-файлов вирус инфицирует их.
26 числа каждого месяца коварный пакостник уничтожает содержимое Flash BIOS, записывая в него случайные данные (“мусор”). В результате компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.
Иногда после “успешного” стирания флэш-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.
Сообщается, что в настоящее время имеются три модификации вируса Win95.CIH (длиной 1003, 1010 и 1019 байтов). Они содержат в своем теле тексты: Win95.CIH.1003 - CIH v1.2 TTIT, Win95.CIH.1010 - CIH v1.3 TTIT и Win95.CIH.1019 - CIH v1.4 TATUNG.
