О ЧИХе я уже сказал
все, что мог. Собственно, добавить к этому нечего.
Так что я и не буду добавлять. Поэтому
сегодняшнюю страницу будете писать вы. Сообщайте мне статистику
действий ЧИХа, известные вам случаи поражения
вирусом. Можно также звонить мне по телефону 65-13-85
(Алексей Бабий). Я буду каждый час публиковать
сводку новостей. Было бы очень здорово, если бы
эта страница осталась пустой. Значит,
превентивные меры оказались действенными и мы
сообща ЧИХа победили:о).
09.00. 27.04.2000
Пока ничего не слышно...
10.00.
Пара устных новостей. Некоторые юзеры просто не включают сегодня компьютер. Бедняги, они опять все поняли неправильно:о(((
11.00.
Пока все тихо. А вот от лаборатории Касперского пришло такое сообщение:
25 апреля 2000 г.
26 апреля может повториться 14 июля!
Компьютерный вирус Smash грозит уничтожить информацию на Вашем диске!
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении <в живом виде> нового Windows вируса Win95.Smash. Вирус имеет российское происхождение и был прислан в антивирусную лабораторию компании одним из российских пользователей.
Процедуры обнаружения и удаления вируса "Smash" добавлены во внеочередное обновление антивирусной базы AntiViral Toolkit Pro (AVP). Обновление доступно на WWW сайте <Лаборатории Касперского> по адресу www.avp.ru.
Технические детали
Общая характеристика
Резидентный Win9x-вирус размера более 10K.
Вирус записывается в конец PE EXE-файлов Win32. Не проверяет расширение имен файлов и заражает как .EXE-приложения, так и .DLL-библиотеки, .SCR и прочие выполняемые файлы Win32.
Вирус использует вызовы, специфичные для Windows 9x (VxD-функции), и по этой причине неработоспособен под Windows NT. Вирус также содержит некоторые неточности, по причине которых зараженные файлы в некоторых случаях оказываются неработоспособными.
Деструктивное воздействие
14 июля вызывает свою деструктивную функцию, которая записывает в файл C:.SYS троянскую программу и выводит сообщение:
Virus Warning!
Your computer has been infected by virus.
Virus name is 'SMASH', project D version 0x0A.
Created and compiled by Domitor.
Seems like your bad dream comes true...
Затем вирус перезагружает компьютер. При перезагрузке управление получеет троянская компонента в IO.SYS, которая выводит сообщение "Formating hard disk..." и стирает данные на первом жестком диске.
Заражение
Для того, чтобы усложнить детектирование и лечение зараженных файлов вирус использует полиморфные методы и при заражении файлов шифрует свой код полиморфным циклом.
Помимо этого вирус имеет "перемешанную структуру" (впервые подобное было обнаружено в DOS-вирусе "Badboy"). Код и данные вируса разделены на независимые блоки, связанные между собой специальной таблицей (всего таких блоков около 60 - процедуры инсталляции, заражения, полиморфик-подпрограммы
и т.д.). При заражении файлов вирус перемешивает эти блоки между собой и, таким образом, код вируса от заражения к заражению располагается в различном порядке следования блоков:
Когда код вируса подготовлен к записи в заражаемый файл (блоки перемешаны, зашифрованы и "закрыты" полиморфным циклом), вирус создает в конце файла новую секцию со случайным именем, записывает в нее свой зашифрованный код и корректирует необходимые поля PE-заголовка файла.
Резидентность и стелс-функции
Вирус остается резидентно в памяти Windows и остается активным вплоть до момента перезагрузки или выключения системы. Для этого вирус при помощи особых приемов переключается в режим системных VxD-драйверов (Ring0), выделяет себе блок памяти, копирует в него свой код, перехватывает функции поиска и открытия/закрытия файлов (IFS API) и остается в памяти Windows как VxD-драйвер.
При работе с файлами вирус вызывает свои процедуры заражения и стелс (stealth)-функции. Таким образом, при активном вирусе обычными средствами невозможно отследить увеличение длины и изменения содержимого зараженных файлов.
12.00
"ЧИХ" поразил 8 компьютеров в одном из красноярских техникумов. Счет открыт:о((((
13.00
Вчера в одном из красноярских театров сработал "ЧИХ". У них была неправильно выставлена дата на компьютере. Счет 0:9...
Новость от лаборатории Касперского:
"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении вируса Win32.Santana, рассылаемого по каналам Интернет и электронной почте в качестве универсальной вакцины от компьютерного вируса <Чернобыль>. Имя зараженного файла - NOCIH.EXE.
Процедуры обнаружения и удаления вируса добавлены во внеочередное обновление антивирусной базы AntiViral Toolkit Pro (AVP) и доступны на сайте"Лаборатории Касперского" по адресу www.avp.ru.
"Данный вирус не причиняет никакого серьезного вреда. Однако мы хотели бы предостеречь пользователей о возможности появления многочисленных подделок под вакцину от "Чернобыля" в преддверии 26 апреля", - комментирует ситуацию Евгений Касперский, руководитель антивирусной лаборатории компании.
Техническое описание
Зашифрованный резидентный Win32-вирус. Записывается в конец PE EXE-файлов (выполняемые файлы Windows) и необходимым образом корректирует поля PE-заголовка файла. Никак не проявляется. Содержит строку:
Virus "SANTANA" created by Net'$ Wa$te [RespawneD EViL]
При запуске зараженного файла управление передается на код вируса. Вирус расшифровывает себя, сканирует ядро Windows, определяет адреса необходимых ему функций и передает управление на свою основную процедуру. Здесь вирус определяет тип операционной системы (версию Windows) и в зависимости от этого выполняет различные действия.
Под Windows NT вирус ищет в текущем каталоге все PE EXE-файлы, заражает их и возвращает управление программе-носителю. Под Windows 95/98 вирус делает попытку остаться в памяти резидентно. Для этого он сканирует область памяти, которую занимают системные драйвера Windows (VxD-драйвера), ищет там свободный блок памяти (блок, заполненный нулями), копирует туда свой код, перехватывает Windows-функцию смены текущего каталога и в дальнейшем при вызове этой функции (при смене каталога) ищет в текущем каталоге PE EXE-файлы и заражает их.
Если же свободной памяти в области VxD-драйверов не обнаружено, то вирус повторяет процедуру заражения под Windows NT - ищет и заражает файлы в текущем каталоге, и отдает управление программе-носителю.
14.00
По сообщению технического центра "Ками-Красноярск", было зарегистрировано три обращения:
По сообщению компании REST-402, у них есть обращение от частного лица плюс информация из Зеленогорска о трех погибших компьютерах.
Счет 0:17...
15.00
В госархиве сегодня компьютеры не включают вообще...
По сообщению компании "Бит-Имидж", было зарегистрировано одно обращение от частного лица. Винчестер и ПЗУ убиты.
Сообщение технического центра "Ками-Красноярск":
14:25 Звонок: "CIH уничтожил данные на HDD. Был FAT16". Судя по тому, что с дискеты загружались, BIOS не пострадал.
Счет 0:19...
16.00
Вчера вечером два молодых человека играли в Warcraft по домашней сети. В 12 часов ночи безжалостный ЧИХ вмешался в игру. Смешались в кучу орки, люди... Два BIOSа выстояли, два винта погибли. Счет 0: 21 в пользу ЧИХа...
По сообщению компании ИНДЕКС, за сегодняшний день было 3-4 обращения по телефону плюс один компьютер принесли на ремонт. Счет 0:26 в пользу ЧИХа...
По сообщению компании "Капитал-сервис", было зарегистрировано 5 обращений. BIOS не пострадал, но все пять винтов пусты. Счет 0:31 в пользу ЧИХа...
В компьютерных фирмах единодушно признают, что размах "ЧИХа" в этом году куда слабее. Стало быть, предупреждения прозвучали не зря.
В компании ПОЛЮС сообщили, что сегодня к ним по поводу ЧИХа вообще не обращались.
А компания СПАРК поступила просто замечательно, обзвонив ВСЕХ своих клиентов и предупредив их о грядущей опасности. Ни один из клиентов не пострадал!
Н-да, уж был
денек... До 16 часов я исправно
сообщал вам о статистике нападений "ЧИХА",
а потом так получилось, что до компьютера я
добрался только к утру. Думаю. что сегодня я
продолжу свои исследования и так же, ежечасно,
буду сообщать вам о результатах.
Пока, предварительно, ясно одно - размах "ЧИХа" в этом году на порядок, если не на два порядка, меньше. Предупрежденный - спасен. Честно говоря, я надеялся, что на этот раз чаша сия минует нас вообще. Но, увы, знал, что не минует, потому что наш национальный вид спорта - наступание на грабли. Ну, что я могу посоветовать? Разве что перечитать статью "Вот ЧИХнула так ЧИХнула"...
Ну, а теперь сгруппируем то, что мне удалось узнать к 9.00 27 апреля. Напомню, что к 16 часам вчера был зафиксирован 31 случай.
"Ками-Красноярск" сообщает:
16:15 Принесут 8 HDD (возможно CIH, ибо винчестера маленькие, как обычно стоят на 486 - первых пентиумах)
Счет 0: 39...
16:48 Ghbytckb Acer после атаки CIH. BIOS остался жив. Просят восстановить данные. Была бухгалтерская база.
Счет 0:40...
От них же -устное сообщение: стало известно о погибшем компьютере у частного лица.
Счет 0:41... О, беспечность наша.
Сообщение от "4Line - "Четвертая линия": 26.04.00 одно обращение погиб только винт, со слов хозяина он вчера всё вычистил. Видно не дочистил :(.
Счет 0:42...
10.00 27.04.2000
Сообщение от "Ками-Красноярск"
10:00 Принесли личный компьютер (брат нашего инженера) Убито все.
Счет 0:43...
11.00
Сообщение от "Экипажа": к ним никто по поводу "ЧИХа" не обращался.
И в "Этик" тоже никто не обращался.
Сообщение от Ками-Красноярск:
10:36 Принесли материнскую плату, ПЗУ убита CIHом. Прошивку восстановили.
Счет 0:44...
10:50 CIH убил данные на 630Mb HDD
Счет 0:46...
12.00
Сообщение от "СИНТЕЗ-Н": за сутки было всего одно обращение по поводу "Чиха".
Счет 0:47...
13.00 Фирмой СТЕП-Сервис зарегистрировано одно обращение по поводу ЧИХа. BIOS стерт. Кстати говоря, в этом году процент поражения BIOS существенно ниже.
Счет 0:48...
14.00
Сообщение от "Ками-Красноярск":
13:38 Принесли компьютер после вирусной атаки. Под удар попали BIOS и HDD.
Счет 0: 49
Сообщение от КОМПАК:
У нас тоже было замечено появления чиха... Один клиент просил восстановить винт, бивис живой вчера около 12-00. Клиент от УВД
Счет 0:50 :о((((((((((((((((
15.00
Зарегистрировано одно обращение в фирму Мира85. Вирус поработал по полной программе - стерт и винчестер и BIOS.
Счет 0:51
А в "Адонис-Трейд" ни одного обращения не было.
ST Group сообщает: было три обращения, BIOS живой, но винты стерты.
Счет 0: 54
Кстати говоря, красноярские компьютерные фирмы, занимающиеся ремонтом компьютеров, подготовились к возможному наплыву клиентов в связи с перепрошивкой BIOS. К счастью, наплыва нет, есть единичные случаи.
16.00
Сообщение от "Ками-Красноярск":
15:13. Принесли жесткий диск, поврежденный вирусом. Поскольку был разбит на 3 раздела, диски D: и E: удалось спасти целиком.
Счет 0:55...
Пришло письмо из КОМПАКА:
Это опять из "КомпАК"
Есть некоторые уточненные данные из сервис-центра: за вчера обратилось по телефону ещё 5 человек 3-е уже привезли компьютеры. Повреждены и BIOS и HDD
Интересуются восстановлением данных. Вопрос ко всем есть конкретная методика восстановить данные HDD?
С уважением Александр - alexi@morning.ru
Примечание Сталкера. А в самом деле, есть методика восстановления? Если есть рекомендации - опубликую немедленно!
А счет между тем растет: 0:60 пользу ЧИХа...
17.00
Альфаком сообщает, что за два дня к ним не было ни одного обращения по поводу ЧИХа. То же самое в ВЦ КАТС.
А сервис центр ВЕСТА насчитал семь звонков от пострадавших (в том числе и от организаций), но сами компьютеры не привозили.
Счет 0: 67... Ой-ой-ой... Если саппроксимировать как в прошлом году и учесть, что многие справились с проблемой самостоятельно, получается, что счет погибших компьютеров идет на сотни. Хорошо хоть не на тысячи, как в прошлом году.
18.00
"ДВМ-Сибирь" сообщает, что за два дня к ним было порядка пяти обращений по поводу ЧИХа.
Счет 0:72...
"Деловое содружество": три обращения, в одном случае вылетел BIOS.
Счет 0:75...
"ИНДЕКС": сегодня зафиксировано одно обращение.
Счет 0:76...
"Компьютер-С" зафиксировал пять обращений плюс два звонка. Плюс еще один случай: стерт винчестер у ноутбука...
Счет 0:84...
Ну вот. Рабочий день заканчивается. Скоро в компьютерные фирмы уже будет бессмысленно звонить. Да и незачем. Картина ясна. Да, конечно, на этот раз последствия были куда меньше. Но - почти сотня погибших компьютеров, и это только те, по поводу которых обращались в компьютерные фирмы. Реальное количество как минимум раза в два-три больше - многие справились своими силами. Наш народ что вдоль спины учить, что поперек - результат будет одинаково безрадостным... Так что ровно через год ждите третье пришествие "Чернобыля". Я-то знаю, что делать, а вы?
Сегодня Илья
Наймушин предстает в несколько неожиданном
качестве - до сих пор его снимки носили
репортажный характер. Но и
"постановочные" снимки не хуже:о)
Фото Ильи Наймушина, слова Сталкера:о).
Снимок сделан в школе
староверческой деревни Вельмо в Красноярском
крае 25 марта 2000г. Это не инсценировка, не
костюмированный бал. Обычный быт староверов...
Вот, обрати внимание, сказал Илья. Здесь, в староверческой деревне сохранился русский генофонд. Ну, не встретишь сейчас такие лица. Такие лица только до революции и были...
Фото Ильи Наймушина, слова Сталкера:о).
Опубликовано: "Сталкер"
26-27.04.2000
© Алексей Бабий 2000