-
Junior Member
- Вес репутации
- 59
Важно! Опять встретился W95.CIH.damaged
Что то "мода" видать пошла на старую заразу. Иначе объяснит не могу.
Только факты:
Каталогов : 6216
Файлов : 217143
Объём данных, всего : 95,2 Gb
Копий вируса на диске, всего : 3027
Обнаруженный вирус : W95.CIH.damaged
Удалено AVAST, копий : 0
Удалено вручную, копий : 3017
Удалено антивирусами, копий : 20
Результат действия вируса : разрушение таблицы разделов, MFT разделена на 196 не взаимосвязанных фрагментов, зеркальная копия MFT уничтожена, диск выведен из строя (разрушена сервоинформация).
Найдено : карантины AVAST и NOD32, их логи с формулировкой - Вирусов нет! .
Размер диска : 160 Gb
Трудозатраты на восстановление данных : 14 человеко-суток
По настоятельной просьбе друзей я выложил данный вирус в двойном контейнере rar/7-Zip с паролем на http://rapidshare.com/files/115182453/Test.7z для исследования и разработки возможных мер противодействия. Пароль на архив - мой ник здесь с "_" перед последними двумя буквами. Я это сделал в качестве одной из мер по предотвращению расползания вируса. Пролежит не долго - сам прибью. Ждать пока кто то по неопытности устроит очередную вирусную атаку - увольте покорно. Я ещё помню как в 1993 году две недели в сети AidsTest-ом уничтожал вирус принесённый 7-и летним ребёнком сотрудницы вместе с игрушкой.
Лично меня настораживает тот факт, что вирусы данного семейства за последнее время мне попадаются довольно часто. Конкретный вирус уже третий раз за несколько месяцев.
Вирус прекрасно удаляется Symantec Antivirus Corporate Edition 10.1.7.7000, McAfee AntiVirus 8.5.0i EE, ClamAV 0.92 (FreeBSD UNIX), ClamWin 0.92.1, AVZ 4.30.
К сожалению, AVAST 4.8x, NOD32 V2.7/3.0, KAV 7.0 данный вирус пропустили. Не знаю, может это было связанно с их настройками на той системе где мне разрешили провести антивирусную проверку? У меня на FreeBSD его удаление особых трудов не вызвало. Больше пришлось провозиться с восстановлением разрушенной MFT и пользовательских данных.
Последний раз редактировалось VictorVG; 17.05.2008 в 18:36.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
zerocorporated
Если кто может, скиньте в личку или вышлите почтой... не могу не как скачать...
что то я разобраться никак с "котами" на рапиде не могу...
Это сообщение-шутка. там два файла с описанием W95.CIH с сайта нортона, какой-то текстовый лог с сообщением о обнаружении W95.CIH.damaged + файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...
-
-
Сообщение от
Зайцев Олег
файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...
Судя по первым двум байтам CD 20, это ужЕ кто-то лечил.
-
Сообщение от
Зайцев Олег
Это сообщение-шутка. там два файла с описанием W95.CIH с сайта нортона, какой-то текстовый лог с сообщением о обнаружении W95.CIH.damaged + файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...
Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?
-
-
Сообщение от
zerocorporated
Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?
Это давно и хорошо известная зараза (чтак называемый Чернобыльский вирус) - вот ее описание:
http://www.viruslist.com/ru/viruses/...?virusid=19775
с суффиском .dam и .damaged детектятся неработоспособные версии этого зловреда.
-
-
Сообщение от
zerocorporated
Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?
Чих довольно старый вирус и есть его описание
Left home for a few days and look what happens...
-
-
Интересно справить у автора топика этого - где он нашел такой раритет?
-
-
А есть другие вирусы, кроме CIH, которые могут повредить не только ОС компьютера, а еще BIOS материнской платы?
-
Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
zerocorporated
Интересно справить у автора топика этого - где он нашёл такой раритет?
Данный "раритет" мне принесли после Майских праздников на диске с просьбой восстановить с него данные. Диск Seagate ST3160815AS (не самый лучший по надёжности представитель серии Barracuda 10 - лично мне их часто приносили по гарантии - диски уходили "в нирвану" после переполнения журналов SMART - поверхность "сыпалась"). Я и подумал, что это моя "старая знакомая" - аппаратная неисправность первых партий этого семейства накопителей. Она тогда великолепно ловилась Victoria 3.52.3 для DOS. Стал проверять и обнаружил полустёртую флешку контроллера и сгоревшую обмотку шпинделя. Пришлось ремонтировать гермозону. А когда восстановил его как устройство обнаружился вирус. Его сразу зафиксировал ClamAV под FreeBSD. Благо он сидел в каталогах в одинаковом файле autotest.exe и удалить его с помощью поиска средствами MC проблемы не составило. А это уже то, что отловил и поместил в свой карантин Symantec AntiVirus Corporate Edition 10.1.7.7000 на той лабораторной машине где восстанавливались данные. А скопировал этот файл из его Карантина и решил отправить Вам для того чтобы получить ответ профессионалов - есть ли вероятность сохранения вируса в восстановленных данных? А что касается возраста "раритета", то он произведён в Китае в Феврале 2008 года. А файл SAVCE.csv - это выборка из Журнала Угроз антивируса с той системы где производилось восстановление данных. Базы антивируса были на тот момент свежие от 14 Мая 2008 года. Просто я был уверен, в том, что в данном образце находится опасный вирусный код. А так вы мне камень с души сняли.
Большое Вам всем за это СПАСИБО. Надеюсь, что после того как я предупредил местных программистов они эту заразу из своей сети вычистят.
-
Сообщение от
VictorVG
А это уже то, что отловил и поместил в свой карантин Symantec AntiVirus Corporate Edition 10.1.7.7000 на той лабораторной машине где восстанавливались данные. А скопировал этот файл из его Карантина и решил отправить Вам для того чтобы получить ответ профессионалов - есть ли вероятность сохранения вируса в восстановленных данных? А что касается возраста "раритета", то он произведён в Китае в Феврале 2008 года. А файл SAVCE.csv - это выборка из Журнала Угроз антивируса с той системы где производилось восстановление данных. Базы антивируса были на тот момент свежие от 14 Мая 2008 года. Просто я был уверен, в том, что в данном образце находится опасный вирусный код. А так вы мне камень с души сняли.
Большое Вам всем за это СПАСИБО. Надеюсь, что после того как я предупредил местных программистов они эту заразу из своей сети вычистят.
сууффикс .damaged дается для неработоспособных вариантов вируса ... и в данном случае возможен банальный ложняк со стороны антивируса. Файл в формате карантина Symantec для исследования непригоден - у него свой формат хранения файлов в карантине. Можно вытащить его из карантина сердствами Symantec и послать в ЛК для изучения - антивирусные аналитики дадут ответ, зверь это или нет.
-
-
Junior Member
- Вес репутации
- 59
Спасибо, Вас понял. Олег, если что можно задать Вам личный вопрос? Как-то не удобно дёргать людей по пустякам.
-
Сообщение от
VictorVG
Спасибо, Вас понял. Олег, если что можно задать Вам личный вопрос? Как-то не удобно дёргать людей по пустякам.
Это сколько угодно - чем смогу, помогу.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Гриша
Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios
Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным.
-
Сообщение от
VictorVG
Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным.
Почти на всех платах есть Dual Bios (вторая копия нестираемая), или есть небольшой нестираемый загрузчик, который умеет обновлять Bios, читая его из особого файла с дискеты
-
-
Junior Member
- Вес репутации
- 59
Технология Dual Bios разработана фирмой GigaByte и базируется на хранение двух копий firmware в одной микросхеме. Полноценная её реализация осуществляется только в дорогих серверных решениях т.к. требует специального чипсета. Мы сами несколько лет назад создавали такую систему для одного Заказчика. Тогда с трудом удалось получить чипсет ServerWorks. И то, реализация требований ТЗ потребовала создания специальной полузаказной СБИС контроллера firmware. В итоге Заказчик просто оплатил сделанные работы, заплатил неустойку по контракту и закрыл проект как экономически не выгодный - стоимость платы с полноценной поддержкой двух независимых Flash ПЗУ и указанными в ТЗ средствами обеспечения надёжности и аппаратной антивирусной защитой firmware более чем в три раза превысила ожидаемую ещё на стадии разработки эскизного проекта.
Что же касается практической реализации данного решения, то тут применяется такая технология: обе копии firmware хранятся в разных блоках flash ПЗУ по разным адресам и переключаются эти блоки программно, но имеют общий начальный загрузчик который при запуске машины инициализирует процессор и чипсет, а потом проверяет целостность остальной программы, и если основная копия повреждена запускает резервную. Просто при хранении двух копий в одной микросхеме используется предположение о том, что в случае не удачного программирования одной копии вторая останется работоспособной, т.к. стирание/запись во Flash ПЗУ производится в отличии от иных типов перепрограммируемых ПЗУ поблочно. Остальные типы стираются и записываются целиком. Просто flash ПЗУ используют "3D" организацию - m*n независимых матриц хранения обычно ёмкостью в один блок, а остальные типы ПЗУ используют одну матрицу памяти большого объёма для удешевления производства микросхем и повышения выхода годных кристаллов за счёт упрощения схемотехники.
А т.н. Boot Block BIOS обычно ёмкостью 1К редко 1,5Кб обновляется очень редко и содержит только программу программирования Flash ПЗУ.
Сообщение от
Гриша
Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios
Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным. А если и ставят перемычку блокировки записи, то только на дорогие старшие модели плат. Да и то, там чаще всего защищают не Flash ПЗУ содержащее firmware, а энергонезависимое ОЗУ параметров запуска. Это связано с особенностями схемотехники управления записью Flash ПЗУ - при записи напряжение питания на специальном входе ИС увеличивается по отношению к рабочему значению чтения (обычно напряжение чтения составляет 3,3V, а записи 5V или 12V) а это требует установку специальных импульсных электронных ключей рассчитанных на приличные токи иногда до нескольких ампер в момент записи. А вот они-то достаточно дороги ($10 - $15 за штуку, их требуется как минимум 3, и микросхема управления - ~ $7 - $10) - в итоге себестоимость производства платы может вырасти почти вдвое.
Последний раз редактировалось VictorVG; 18.05.2008 в 20:04.
-
В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.
Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
[SIGPIC][/SIGPIC]
-
Сообщение от
Rampant
В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.
Его могли например доработать...
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Rampant
В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.
В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.
-
Сообщение от
VictorVG
В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.
Посоветуйте другу если он там админ - перевести всех под ограниченную учетную запись, много хлопот уберется.
Автозапуск по этому методу отключить.
-