Первый вирус, поражающий аппаратную часть компьютера !!!
=======================================================================
От: Valentin Kolesnikov <valik@avp.ru>
Тема: Re: Тест сорри ! Спят усталые игрушки - книшки спят, баю баю
бай... Дата: 1 июля 1998 г. 11:37
- [30] SU.VIRUS (372:6056/1125.112) ---------------------------------
SU.VIRUS - Msg : 257 of 257 From : Igor Daniloff 2:5020/69.14 30 Jun 98
23:28:00 To : All Subj : HОВАЯ ВИРУСHАЯ ОПАСHОСТЬ!!! ------------------
---------------------------------------------------
* Crossposted in ADINF.SUPPORT
* Crossposted in SU.VIRUS
Hello All!
В H И М А H И Е! Hовая вирусная опасность! Появился вирус,
разрущающий аппаратную часть компьютеров. 26 числа каждого месяца,
послесрабатывания деструктивного кода вируса материнские платы
компьютеров можно выбрасывать на помойку. о только в том случае, если в
этих компьютерах, инфицированных вирусом Win95.CIH, переключатель
записи в перезаписываемое программируеммое ПЗУ (Flash BIOS) находился в
положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры
поставляются и продаются именно с таким положением переключателя.
Вирус Win95.CIH был написан в Тайване, распространялся автором этого
детища в Интернет, и в настоящее время поразил большинство стран
Юго-Восточной Азии, а также некоторые европейские страны (в частности,
очень серьезно пострадала Швеция).
Я РЕКОМЕДУЮ ВСЕМ ПРОИЗВОДИТЕЛЯМ, ПОСТАВЩИКАМ И ПРОДАВЦАМ КОМПЬЮТЕРОВ
УСТАОВИТЬ ПЕРЕКЛЮЧАТЕЛЬ FLASH BIOS В ПОЛОЖЕИЕ ЗАПРЕЩАЮЩЕЕ ЗАПИСЬ ВО
FLASH BIOS!!!
Вирус Win95.CIH прекрасно детектируется и лечится с помощью программы
DrWeb 4.01.
Valik *****> прекрасно детектируется в файлах,но не в памяти Windows95
Пожалуйста, проверяйте все приходящие файлы. Особенно тщательно
контролируйте все файлы, полученные через сеть - Интернет.
Win95.CIH
Очень опасный резидентный вирус. Заражает файлы в формате EXE PE под
управлением операционной системы Windows 95. При заражении файлов вирус
не увеличивает их длины, а использует довольно интересный механизм
заражения файлов. Каждая кодовая секция EXE PE файла выравнена на
определенное количество байт, обычно, не используемых программой. В
такие области вирус и записывает части своего кода, "разбрасывая" их
иногда по всему файлу (или по всем кодовым секциям). А также вирус
Valik*****>Тут два вопроса не как не освещены:
Valik*****>Как вирус ведет себя под Windows NT и какие файлы он не
заражает ?
может записать свою стартовую процедуру (процедуру, первой
получающей управление при запуске программы) или даже весь свой код в
область заголовка EXE PE файла и установить точку входа программы на
эту стартовую процедуру. Таким образом, точка входа файла может не
принадлежать ни одной кодовой секции файла.
При получении управления вирус выделяет себе блок памяти
посредством вызова функции PageAllocate и "собирает себя по частям" в
единое целое в этом выделенном участке памяти. Далее Win95.CIH
перехватывает IFS API и отдает управление программе-вирусоносителю. При
открытии файлов с расширением EXE и форматом PE вирус инфицирует их.
Valik *****> Если это на 100% резидентный вирус, то может все-таки
стоило написать, что лечение его только в файлах под
Windows 95/98 - просто издевательство над компьютером.
26 числа каждого месяца вирус уничтожает содержимое Flash BIOS,
записывая в него случайные данные ("мусор"). В результате после первой
же перезагрузки компьютер перестает загружаться. И, как правило, даже в
промышленных условиях восстановить содержимое Flash BIOS и вернуть
работоспособность компьютеру достаточно сложно. Я РЕКОМЕДУЮ всем
пользователям современных компьютеров установить ПЕРЕКЛЮЧАТЕЛЬ на
материнской плате компьютера в положение, запрещающее ЗАПИСЬ во Flash
BIOS! Иначе ВЫ можете АВСЕГДА ПОТЕРЯТЬ свой компьютер!
Valik *****> Хм. Как громко сказано. Надо еще 26-го числа дождаться.
Это просто бре-е-е-д.
В настоящее время существует 3 модификации вируса Win95.CIH
длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле
тексты:
Win95.CIH.1003 - CIH v1.2 TTIT
Win95.CIH.1010 - CIH v1.3 TTIT
Win95.CIH.1019 - CIH v1.4 TATUNG
ID...... И. Данилов
--- GoldED/2 2.51.A0901+
* Origin: ID, Igor Daniloff, St Petersburg, id@drweb.ru (2:5020/69.14)
======================================================================
> От: Kirill Zhuchkov <Kirill@avp.ru>
Кому: avp-wildlist@aha.ru <avp-wildlist@aha.ru>
Тема: RE: Re[2]: Win95.CIH в Новосибирске
Дата: 2 июля 1998 г. 17:11
Лаборатория Касперского рекомендует всем пользователям
Windows95 временно воздержаться от использования программного
обеспечения, полученного из непроверенных источников.
С чувством глубокого сожаления "Лаборатория Касперского" (ЛК) вынуждена
констатировать тот факт, что все компьютеры, на которых установлена
операционная система Windows95 и которые подключены к Интернет,
находятся под реальной угрозой заражения новым компьютерным вирусом,
внедряющимся в исполняемые файлы Windows95 (Portable Executable).
Особенно опасными являются разрушительные проявления вируса - 26-го
числа каждого месяца он перезаписывает Flash BIOS и стирает информацию
на всех установленных жестких дисках. Новый вирус, впервые обнаруженный
на Тайване в начале июня этого года, в течении нескольких недель
разошелся буквально по всему миру - вирусные эпидемии были
зарегистрированы практически во всех странах Европы, Америки и
Юго-восточной Азии. 29 июня вирус был обнаружен в России. В Лабораторию
Касперского поступили сообщения из нескольких городов (например, Сантк-
Петербург). Зараженными оказались файлы на некоторых российских
WWW-сайтах. Так же вирус был обнаружен в пиратских копиях программного
обеспечения, распространяющегося по конференциям FIDO и Интернет.
Многие помнят повальную эпидемию макро-вируса Concept в
августе-сентябре 1995 года. "Триумфальное шествие" этого макро-вируса
буквально перевернула вверх ногами основные представления о
компьютерных вирусах и заставило разработчиков антивирусного
программного обеспечения внести значительные изменения в выпускаемые
продукты. Эта история повторяется и сейчас, но уже с Windows-вирусом:
попав в глобальную сеть Интернет, вирус за очень короткое время стал
причиной сотен (если не тысяч) эпидемий.
Так на наших глазах рушится миф о том, что Windows-вирусы никогда не
получат такого же широкого распространения, как старые добрые
DOS-вирусы. К сожалению, это не так. Доказательством этому факту
является глобальная пандемия нового компьютерного вируса, и мы поневоле
являемся ее свидетелями.
Вирус был впервые обнаружен почти месяц назад, однако до сих пор далеко
не все антивирусы в состоянии детектировать и лечить его. Так команда
разработчиков WinZip предложила срочно обменяться корпоративными
лицензиями с ЛК, поскольку AVP оказался единственным антивирусом,
способным противостоять новому вирусу. Дополнение к AVP, способное
детектировать и удалять новый вирус был выпущен практически сразу после
появления вируса "в живом виде" - 8 июня 1998. Последние версии AVP для
DOS, Win16, Win32, OS/2 и NovellNetware доступны на WWW-сайтах www.avp.
ru, www.avp.com, www.avp.ch. Все они в состоянии детектировать и лечить
новый компьютерный вирус.
Подведем итоги: вирус распространяется по миру с ошеломляющей
скоростью, вирус имеет крайне опасные проявления, вирус детектируется и
лечится далеко не всеми антивирусными программами. По этим причинам
Лаборатория Касперского рекомендует всем пользователям Windows95
временно воздержаться от использования программного обеспечения,
полученного из непроверенных источников, и обязательно пользоваться
антивирусным ПО.
Комментарии излишни. Будьте бдительны, господа!
С уважением, Евгений Касперский
Win95.CIH
--------- Резидентный вирус, работает только под Windows95 и заражает
PE-файлы (Portable Executable). Имеет довольно небольшую длину - около
1Кб. Обнаружен "в живом виде" в Тайване в июне 1998 - был разослан
автором вируса в местные Интернет -конференции. За последующую неделю
вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и
Великобритании, затем вирус был обнаружен и в других странах, включая
Россию.
При запуске зараженного файла вирус инсталлирует свой код в память
Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов
записывает в них свою копию. Содержит ошибки и, в некоторых случаях,
"завешивает" систему при запуске зараженных файлов. В зависимости от
текущей даты стирает Flash BIOS и содержимое дисков.
Запись в Flash BIOS возможна только на соответствующих типах
материнских плат и при разрешающей установке соответственного
переключателя. Этот переключатель обычно установлен в положение "только
чтение", однако это справедливо не для всех производителей компьютеров.
К сожалению, Flash BIOS на некоторых современных материнских платах не
может быть защищена переключателем: одни из них разрешают запись в
Flash при любом положении переключателя, на других защита записи в
Flash может быть отменена программно. При тестировании вируса в
Лаборатории память Flash BIOS осталась неповрежденной - по непонятным
причинам вирус "завесил" систему без каких-либо побочных эффектов.
Однако из других источников известно, что вирус при определенных
условиях действительно портит содержимое Flash BIOS.
После успешного стирания Flash-памяти вирус переходит к другой
деструктивной процедуре: стирает информацию на всех установленных
винчестерах. При этом вирус использует прямой доступ к данным на диске
и, тем самым, обходит встроенную в BIOS стандартную антивирусную защиту
от записи в загрузочные сектора.
Известно три версии вируса. Они достаточно похожи друг на друга и
отличаются лишь незначительными деталями кода в различных
подпрограммах. Версии вируса имеют различные длины, строки текста и
дату срабатывания процедуры стирания дисков и Flash BIOS:
Длина Текст Дата срабатывания Обнаружен "в живом виде"
1003 CCIH 1.2 TTIT 26 апреля Да
1010 CCIH 1.3 TTIT 26 апреля Нет
1019 CCIH 1.4 TATUNG 26 каждого месяца Да - во многих странах
Технические детали
------------------ При заражении файлов вирус ищет в них "дыры" (блоки
неиспользуемых данных) и записывает в них свой код. Присутствие таких
"дыр" обусловлено структурой PE-файлов: позиция каждой секции в файле
выровнена на определенное значение, указанное в PE-заголовке, и в
большинстве случаев между концом предыдущей секции и началом
последующей есть некоторое количество байт, которые не используются
программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в
них свой код и увеличивает на необходимое значение размер
модифицированной секции. Размер заражаемых файлов при этом не
увеличивается.
Если в конце какой-либо секции присутствует "дыра" достаточного
размера, вирус записывает в нее свой код одним блоком. Если же такой
"дыры" нет, вирус дробит свой код на блоки и записывает их в конец
различных секций файла. Таким образом, код вируса в зараженных файлах
может быть обнаружен и как единый блок кода, и как несколько
несвязанных между собой блоков.
Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в
конце заголовка есть "дыра" размером не менее 184 байт, вирус
записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый
адрес файла: записывает в нее адрес своей startup-процедуры. В
результате такого приема структура файла становится достаточно
нестандартной: адрес стартовой процедуры программы указывает не в какую
-либо секцию файла, а за пределы загружаемого модуля - в заголовок
файла. Однако Windows95 не обращает внимания на такие "странные" файлы,
грузит в память заголовок файла, затем все секции и передает управление
на указанный в заголовке адрес - на startup-прецедуру вируса в
PE-заголовке.
Получив управление, startup-процедура вируса выделяет блок памяти
VMM-вызовом PageAllocate, копирует туда свой код, затем определяет
адреса остальных блоков кода вируса (расположенных в конце секций) и
дописывает их к коду своей startup-процедуры. Затем вирус перехватывает
IFS API и возвращает управление программе-носителю.
С точки зрения операционной системы эта процедура наиболее интересна в
вирусе: после того, как вирус скопировал свой код в новый блок памяти и
передал туда управление, код вируса исполняется как приложение Ring0, и
вирус в состоянии перехватить AFS API (это невозможно для программ,
выполняемых в Ring3). Перехватчик IFS API обрабатывает только одну
функцию - открытие файлов. Если открывается файл с расширением EXE,
вирус проверяет его внутренний формат и записывает в файл свой код.
После заражения вирус проверяет системную дату и вызывает процедуру
стирания Flash BIOS и секторов диска(см. выше).
При стирании Flash BIOS вирус использует соответствующие порты
чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию
прямого обращения к дискам IOS_SendCommand.
--
With best regards,
Zhuchkov Kirill (Moscow, Russia)
Development and Marketing Manager.
Avp Team [http://www.avp.ru]
|
