WIN-1251    KOI-8    ENG

Последнее обновление: 27.01.00 17:01

 Посетителей c 1 января 1999 года:

 Август, 1999

 некоммерческое партнерство

основано в 1996 году

Начальная страница

 

Советы начинающему

Обзоры

Специалисту

Публикации

Юмор

Конференция

 
Компьютеры
Публикации

Способы восстановления системы после срабатывания вируса Win95.CIH.

История появления.

Впервые вирус Win95.CIH был обнаружен на Тайване в начале июня 1998 года. Win95.CIH обнаружила британская исследовательская лаборатория Virus Bulletin, рассылающая по подписке информацию о новых вирусах. Затем вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. В течении нескольких недель он разошелся по всем странам Европы, Америки и Юго-Восточной Азии. 29 июня 1998 года вирус был обнаружен в России.

Способы заражения.

Win95.CIH - очень опасный резидентный вирус. Заражает исполняемые файлы Windows 95/98, имеющие формат Portable Executable. При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм внедрения в тело программы. Известно, что каждая кодовая секция PE-файла выровнена на определенное количество байтов, обычно не используемых программой. В такие области вирус и записывает части своего кода, "разбрасывая" их иногда по всему файлу (или по всем кодовым секциям). Кроме того, вирус может записать свою стартовую процедуру или даже весь свой код в область заголовка PE-файла и установить на нее точку входа.
При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и собирает в нем разбросанные части своего кода. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии PE-файлов вирус инфицирует их.

Способ распространения.

Вирус в основном распространяется с выполняемыми файлами. То есть, при переносе с заражённого компьютера любой программы под Windows95/98, заражается практически все выполняемые файлы.
В 20 процентах случаев вирус распространяется на “пиратских” дисках с играми, дистрибутивами программ, и т.п. “Пираты” в основном не следят за качеством своей продукции. Однако были выявлены много случаев распространения вируса известными производителями программного обеспечения и игр на фирменных дисках. В отличии от “пиратов” вся заражённая продукция этих солидных фирм срочно изымалась из продажи.
Наиболее распространённый способ заражения – это копирования файлов из Internet. Так как многие владельцы анонимных FTP не следят за проверкой на вирусы поступающих файлов, то многие файлы на FTP во всём мире оказались заражёнными. Также было много случаев распространения заражённых дистрибутивов условно-бесплатного программного обеспечения и демо-версий игр известных фирм.

Виды разрушений.

Компьютеры на базе Intel-совместимых процессоров используют для загрузки базовую систему ввода/вывода (BIOS). BIOS - это программное обеспечение, которое инициализирует и управляет взаимодействием и потоками данных между различными системными устройствами, включая жесткий диск, последовательный и параллельный порты и клавиатуру. BIOS является посредником между этими устройствами, операционной системой и программами. В большинстве современных компьютеров BIOS хранится в микросхеме флэш-памяти (Flash ROM). Эти чипы допускают перезапись, что позволяет пользователям и производителям обновлять BIOS.
Вирус уничтожает содержимое Flash BIOS, записывая в него случайные данные ("мусор"). В результате вирус может сделать систему "незагружаемой", то есть при включении или перезагрузке компьютер просто не загрузится. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.
Иногда после "успешного" стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора. Вирус портит первый мегабайт данных на жёстком диске, где хранится информация о разбиении диска на разделы и таблица размещения файлов FAT. Соответственно, при перезагрузке компьютер перестаёт видеть жёсткий диск и не находит операционную систему.

Разновидности.

В настоящее время имеются 4 модификации вируса Win95.CIH (длиной 1003, 1010, 1019 и 1909 байтов). Они содержат в своем теле тексты: Win95.CIH.1003 - CIH v1.2 TTIT, Win95.CIH.1010 - CIH v1.3 TTIT и Win95.CIH.1019 - CIH v1.4 TATUNG, W95.CIH.1909 - W95.CIH.4.
Первые две разновидности настроены на 26-е апреля, третья - на 26-е июня, а четвертая, наименее распространенная, - на 26-е число каждого месяца.

Способы защиты.

Вирус уничтожает содержимое микросхемы Flash BIOS только, когда был включен переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS). Как правило, все компьютеры поставляются и продаются именно с таким положением переключателя. Для защиты от вывода из строя микросхемы Flash BIOS рекомендуется убрать джампер на материнской плате (если он есть), который позволяет перезаписывать микросхему Flash BIOS. Если возможности перезаписи микросхемы Flash BIOS нет, то компьютер не подвержен выводу из строя.
Для защиты от стирания информации на жёстком диске применимы только программные средства обнаружения и лечения от вирусов, встроенная в BIOS защита от вирусов не действует.
В качестве защиты рекомендуется устанавливать на операционные системы Windows95/98 такие программы:

  • Антивирусный комплекс AntiViral Toolkit Pro (AVP) – “Лаборатория Касперского” - (http://www.avp.ru);

  • Программу Dr.Web версии 4.01 - ЗАО "ДиалогHаука" – (http://www.dials.ru);

  • Программу NortonAntiVirus – Symantec – (http:// www.symantec.ru)

Способы восстановления.

Если компьютер на гарантии, то следует отнести его в гарантийный ремонт. Если гарантии нет, то могут помочь только специалисты.
В случаях повреждения микросхемы Flash BIOS, специалисты определяют тип материнской платы и скачивают с Web страницы производителя программу для перезаписи именно этой микросхемы.
Для самостоятельного восстановления микросхемы Flash BIOS необходимо:

  • Подготовить загрузочную дискету с программой для прошивки BIOS для материнской платы.

  • Найти такую же материнскую плату с неповреждённым BIOS-ом.

  • Извлечь из неё BIOS и переставить в пострадавшую материнскую плату.

  • Загрузиться с подготовленной дискеты.

  • На ходу, не выключая машины, осторожно снять хороший BIOS и установить испорченный.

  • Перезаписать его заново, используя подготовленную программу.

Второй способ не требует наличия двух одинаковых материнских плат, необходимо только, чтобы микросхемы Flash BIOS у них совпадали по размеру (емкости) / количеству ножек:

  • Берем исправную материнскую плату.

  • Загрузиться с дискетки (микросхема Flash BIOS стоит с рабочей материнской платы) .

  • На ходу меняем в ней микросхему Flash BIOS на пострадавшую.

  • Перезаписать микросхему Flash BIOS, программой для прошивки BIOS для пострадавшей материнской платы.

При повреждении данных на жёстком диске, можно отдать его в специализированные фирмы по восстановлению. Если данные, которые хранились на жёстком диске, не важны, то диск восстанавливается с помощью загрузочной системной дискеты. Для этого следует воспользоваться программой FDISK.EXE создать разделы на жёстком диске и сделать активным первый раздел. Далее следует отформатировать сделанные разделы жёсткого диска программой FORMAT.EXE и перенести системные файлы с загрузочной системной дискеты программой SYS.COM. Следующим шагом проверяется возможность загрузки с жёсткого диска, предварительно убрав загрузочную системную дискету из дисковода. Если загрузка прошла успешно, то можно переустанавливать систему.

Автор: Андрюс Пакарклис (greck@maxnet.ru)

Design: Andrus R. Pakarklis, © 1999

 Спонсоры                                                                                                       Редакция   Карта сервера   Поиск