Вирус WIN95.CIH.1003 -????

Страницы

Аватар пользователя Юзефович Виктор
У меня он жрёт файлы! Что мне делать?
Аватар пользователя di
Странный у нас народ. Читаешь сообщения, и уже несколько человек рассказало, что делать. Алюди все спрашивают и спрашивают. Ну да ладно. Расскажу че тут у меня. Все началось с сильного торможения всей системы. Особенно тормозил Outlook Express. Затем Винда грузилась раза в два больше чем нужно (интуитивно). Но что самое херовое, так это то, что дефрагментация диска не доходит до конца, процентах на 34 тормозит и комп виснит. Четко сказать пирчину не могу, диск проверял, бед клайстеров нет. Форматировал, ставил Винду все равно не хочет. Очень интересно не так ли? Ну да это еще что? Поставил себе знаменитого Касперского аж 4.0.1.5.4 он прошелся значит нашел 34 инфецированых файла, вылечил! Те которые не смог под управлением Windows, перезагрузил комп, и вылечил из под доса. Ну я обрадовался. Система пошла работать чуть быстрей. Outlook Express кстати как глючил так и после проверки - тормозил. Старанно! Работал я работал, Касперского - обновлял прогонял снова и снова - никаких проблем. А вот сегодня пошол со своим винтом к другану, (у него стоит dr.Web) и оказалось что у меня вирус, и причем все тот -же. Взял я у него dr.Web поставил и как проверил, чуть не еб...ся 95 тел вирусов не включая то что в оперативке тоже сидел. Товарищ dr.Web все вылечил! причом оказалось что Касперский тоже инфицирован, вселедствии чего ниче не и не находл (наверно). Кстати, при его установке, перезагружая комп, винда уже не загружалась до конца. Висла. Так что лечился я в безопасно режиме! С под доса еще не лечил нечем, на днях возьму чго небуть и попробую пройтись. Хочу сказать сразу BIO целый, даные на винте в норме. Основной ущерб вижу в существенном торможении системы, и неприятном хрюкание AVP, гогда тот находит вирус! Отсюда вывод. Надо ставить минимум два антивируса. Проверять ро чаще комп, и следить за тем, что качаешь с инета. И на последок хочу сказать. Блин, умный чувак этот вирус написал. Если уже засел, то хрен выгонишь. МОЛОДЕЦ!

Если у кого есть какие то предложения, или наблюдения, то скидывайте мне на почту. Обсудим.

С увожением di.

Аватар пользователя di
и шо значит. У меня он жрёт файлы?
Аватар пользователя Инкогнито
на триппер, которому 3 года, попадаются только ЛОХИ!!!
Аватар пользователя Командир Нортон
www.avp.ru + dos версия - в досе всё лечит :)
Аватар пользователя Den
Скажу кратко - вещь зверская!!!

Талантливым челом писалась...

Лечить её лучше из ДОСа, причём

лучше грузиться с CD (или дискеты)...

Ничего притив AVP не имею, но у себя вылечил доктором...

И, как писалось выше, незабывайте про архивы...

Удачи... ;)

Аватар пользователя AlexZ
Незнаю как у вас, а у меня его вылечил Dr. Web 428 из под винды без проблем!
Аватар пользователя Tonus
Да? и в boot сектор он не лезет АХА!

поверил! Без fdisk них..я не вылечится, даные не заражены но, он есть, попробуйте поставить машину на 26 апреля любого года!Если он (комп) вылетет значит ЧИХ есть! Если нет ПОВЕЗЛО!

Аватар пользователя Дима
Короче пришла эта хрень и комне... Сначала лагало чё то отдельное, например, в инете код какой нибудь ввожу и при преходе на другую строчку с имянем, был жуткий лаг... потом при установки ре-джета комп просто вис наглухо... Спрашиваете, хреново? ДА ЭТО ХРЕНОВО!!! Особенно когда ты в инете недолго а тут тебе такая хрень мозгу т::::т... Короче, тестил каспером было 190 заражонных файлов, вылечил не все, сказал что "заняты и при перезагрузке всё будет путём" перезагрузил всё вроде ништяк... винду переустановил, тоже по моему ништяк, но всё равно чё-то не так!

Как я тестил:

Два раза Каспером в винде,

В досе, один раз каспером и один раз вебом.

ПОСЛЕ ПЕРЕУСТАНОВКЕ ВИНДЫ:

Протестил один раз каспером и он ничего ненашёл.

ВОПРОС: Он ещё может остаться в живых???

После такого я чуть не подох...

Аватар пользователя Филонов Алексей
Люди! Вот и я подцепил такого гада (Win95.CIH.1003)... Насчет первого сообщения какого-то инкогнито я не согласен и готов надрать ему зад этим чернобыльским вирусом... Буду благодарен если ветераны борьбы с чернобыльцем подскажут правильные методы от которых будет толк...

АВП-шками и ВЕБами врядли вылечить можно... Он записывается в основную память компа (под биос) на нулевых дорожках винта, которые не читаются с под винды и прочих фигнь... Ну кароче кину статью про него с вирусной энциклопедии кашперовского ;) :

Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Был обнаружен "в живом виде" на Тайване в июне 1998 - автор вируса заразил компьютеры в местном университете, где он (автор вируса) в то время проходил обучение. Через некоторое время зараженные файлы были (случайно?) разосланы в местные Интернет-конференции, и вирус выбрался за пределы Тайваня за последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобретании. Затем вирус был обнаружен и в нескольких других странах, включая Россию.

Примерно через месяц зараженные файлы были обнаружены на нескольких американских Web-серверах, распространяющих игровые программы. Этот факт, видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26 апреля 1999 года (примерно через год после появления вируса) сработала "логическая бомба", заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров - у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчены микросхемы на материнских платах. Данный инцидент стал настоящей компьютерной катастрофой - вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.

Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой аварии на Чернобыльской атомной электростанции, вирус получил свое второе имя - "Чернобыль" (Chernobyl).

Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со своим вирусом и поставил дату срабатывания "бомбы" на 26 апреля по совсем другой причине именно 26 апреля в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня) - 26 апреля вирус "CIH" отмечает подобным образом свой "день рождения".

----------Как вирус работает

При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответсвующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.

Известно три основные ("авторские") версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS

Длина Текст Дата срабатывания Обнаружен "в живом виде"

1003 CIH 1.2 TTIT 26 апреля Да

1010 CIH 1.3 TTIT 26 апреля Нет

1019 CIH 1.4 TATUNG 26 каждого месяца Да - во многих странах

---------Технические детали

При заражении файлов вирус ищет в них "дыры" (блоки неспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено структурой PE-файлов позиция каждой секции в файле выравнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.

Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.

Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю.

С точки зрения операционной системы эта процедура наиболее интересна в вирусе после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3).

Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше).

При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.

-------------Известные варианты вируса

Автор вируса не только выпустил копии зараженных файлов "на свободу", но и разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти тексты были откорректированы, откомпилированы и вскоре появились модификации вируса, имевшие различные длины, однако по функциональности они все соответствовали своему "родителю". В некоторых вариантах вируса была изменена дата срабатывания "бомбы", либо этот участок вообще никогда не вызывался.

Известно также об "оригинальных" версиях вируса, срабатывающих в дни, отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в коде вируса происходит по двум константам. Естественно, что для того, чтобы поставить таймер "бомбы" на любой заданный день, достаточно поменять лишь два байта в коде вируса.

Аватар пользователя Филонов Алексей
Ссылка на DrWeb DOS: ftp://ftp.drweb.ru/pub/drweb/drweb386.zip
Аватар пользователя Ванёк
Люди вот тока я одного не могу понять а правда что эта падла Чернобыль Win 95 Cih не распространяеться но NT системах то биш на Xp итд????
Аватар пользователя Инкогнито
Началось...
Аватар пользователя Xan
Пожалуйста, подскажите в каких моделях материнских плат есть аппаратная защита биоса.
Аватар пользователя shankare
ИНТЕРЕСНО, А ЩАС ОН ЖИВ, ЭТОТ CIH????
Аватар пользователя хакер
win98 cin-это самый страшный вирус в истории компов! он удалял BIOS и зжыгал материнскую плату за какмхто 4 часа! Если у тя был чернобыль(win98cin) то ты мог бы выкинуть свой комп! в 2012 21 декабря(тогда,когда и будет конец света) запустят 60 000 оапсных вирус в системы,гугл,википедия и т.д. это будет конец всем компам и вирусы бужут не простые а такие как чернобыль! Моя аська 588716532
Аватар пользователя Эдуард
Хакер реально "зажыгает".
Аватар пользователя Savely
Угу, жаль я еще был относительно молод и без "шкафа". "Старики"-ремонтники с программаторами и/или прямыми руками для "хот-свапа" неплохо поднялись в 95-97 годах...
Аватар пользователя Анжелка
а прикол, в таком вирусе код переписать(в смысле, два байта исправить)на 30 февраля!!!он тогда никогда не сработает!!!!!!!!!!!!!!!!!!
Аватар пользователя Savely
Люблю женщин. Иногда женская логика таки круче мужской.
Аватар пользователя Savely
В том плане - у меня такой мысли не возникло. Я уж не помню кода "Чиха" (хотя он доступен давно и я его видел), но что-то мне говорит, что время есть "секунды от начала года"...

Но мысль красивая у девушки, я впечатлен...

Аватар пользователя Инкогнито
да уж только у девушки может появится такая мысль
Аватар пользователя Эдуард
Почему же. У меня тоже есть мысль. Можно изменить на 32 мая. Так кажется у барона?

Страницы