Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Важно! Опять встретился W95.CIH.damaged

  1. #1
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    58

    Важно! Опять встретился W95.CIH.damaged

    Что то "мода" видать пошла на старую заразу. Иначе объяснит не могу.

    Только факты:

    Каталогов : 6216
    Файлов : 217143
    Объём данных, всего : 95,2 Gb
    Копий вируса на диске, всего : 3027
    Обнаруженный вирус : W95.CIH.damaged
    Удалено AVAST, копий : 0
    Удалено вручную, копий : 3017
    Удалено антивирусами, копий : 20
    Результат действия вируса : разрушение таблицы разделов, MFT разделена на 196 не взаимосвязанных фрагментов, зеркальная копия MFT уничтожена, диск выведен из строя (разрушена сервоинформация).
    Найдено : карантины AVAST и NOD32, их логи с формулировкой - Вирусов нет! .
    Размер диска : 160 Gb
    Трудозатраты на восстановление данных : 14 человеко-суток

    По настоятельной просьбе друзей я выложил данный вирус в двойном контейнере rar/7-Zip с паролем на http://rapidshare.com/files/115182453/Test.7z для исследования и разработки возможных мер противодействия. Пароль на архив - мой ник здесь с "_" перед последними двумя буквами. Я это сделал в качестве одной из мер по предотвращению расползания вируса. Пролежит не долго - сам прибью. Ждать пока кто то по неопытности устроит очередную вирусную атаку - увольте покорно. Я ещё помню как в 1993 году две недели в сети AidsTest-ом уничтожал вирус принесённый 7-и летним ребёнком сотрудницы вместе с игрушкой.

    Лично меня настораживает тот факт, что вирусы данного семейства за последнее время мне попадаются довольно часто. Конкретный вирус уже третий раз за несколько месяцев.

    Вирус прекрасно удаляется Symantec Antivirus Corporate Edition 10.1.7.7000, McAfee AntiVirus 8.5.0i EE, ClamAV 0.92 (FreeBSD UNIX), ClamWin 0.92.1, AVZ 4.30.
    К сожалению, AVAST 4.8x, NOD32 V2.7/3.0, KAV 7.0 данный вирус пропустили. Не знаю, может это было связанно с их настройками на той системе где мне разрешили провести антивирусную проверку? У меня на FreeBSD его удаление особых трудов не вызвало. Больше пришлось провозиться с восстановлением разрушенной MFT и пользовательских данных.
    Последний раз редактировалось VictorVG; 17.05.2008 в 18:36.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Если кто может, скиньте в личку или вышлите почтой... не могу не как скачать... что то я разобраться никак с "котами" на рапиде не могу...
    Это сообщение-шутка. там два файла с описанием W95.CIH с сайта нортона, какой-то текстовый лог с сообщением о обнаружении W95.CIH.damaged + файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...
    Судя по первым двум байтам CD 20, это ужЕ кто-то лечил.
    ---
    С уважением,
    Borka.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Это сообщение-шутка. там два файла с описанием W95.CIH с сайта нортона, какой-то текстовый лог с сообщением о обнаружении W95.CIH.damaged + файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...
    Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?
    Это давно и хорошо известная зараза (чтак называемый Чернобыльский вирус) - вот ее описание:
    http://www.viruslist.com/ru/viruses/...?virusid=19775
    с суффиском .dam и .damaged детектятся неработоспособные версии этого зловреда.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?
    Чих довольно старый вирус и есть его описание
    Left home for a few days and look what happens...

  8. #7

  9. #8
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.02.2008
    Сообщений
    154
    Вес репутации
    301
    А есть другие вирусы, кроме CIH, которые могут повредить не только ОС компьютера, а еще BIOS материнской платы?

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios

  11. #10
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    58
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Интересно справить у автора топика этого - где он нашёл такой раритет?
    Данный "раритет" мне принесли после Майских праздников на диске с просьбой восстановить с него данные. Диск Seagate ST3160815AS (не самый лучший по надёжности представитель серии Barracuda 10 - лично мне их часто приносили по гарантии - диски уходили "в нирвану" после переполнения журналов SMART - поверхность "сыпалась"). Я и подумал, что это моя "старая знакомая" - аппаратная неисправность первых партий этого семейства накопителей. Она тогда великолепно ловилась Victoria 3.52.3 для DOS. Стал проверять и обнаружил полустёртую флешку контроллера и сгоревшую обмотку шпинделя. Пришлось ремонтировать гермозону. А когда восстановил его как устройство обнаружился вирус. Его сразу зафиксировал ClamAV под FreeBSD. Благо он сидел в каталогах в одинаковом файле autotest.exe и удалить его с помощью поиска средствами MC проблемы не составило. А это уже то, что отловил и поместил в свой карантин Symantec AntiVirus Corporate Edition 10.1.7.7000 на той лабораторной машине где восстанавливались данные. А скопировал этот файл из его Карантина и решил отправить Вам для того чтобы получить ответ профессионалов - есть ли вероятность сохранения вируса в восстановленных данных? А что касается возраста "раритета", то он произведён в Китае в Феврале 2008 года. А файл SAVCE.csv - это выборка из Журнала Угроз антивируса с той системы где производилось восстановление данных. Базы антивируса были на тот момент свежие от 14 Мая 2008 года. Просто я был уверен, в том, что в данном образце находится опасный вирусный код. А так вы мне камень с души сняли.

    Большое Вам всем за это СПАСИБО. Надеюсь, что после того как я предупредил местных программистов они эту заразу из своей сети вычистят.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от VictorVG Посмотреть сообщение
    А это уже то, что отловил и поместил в свой карантин Symantec AntiVirus Corporate Edition 10.1.7.7000 на той лабораторной машине где восстанавливались данные. А скопировал этот файл из его Карантина и решил отправить Вам для того чтобы получить ответ профессионалов - есть ли вероятность сохранения вируса в восстановленных данных? А что касается возраста "раритета", то он произведён в Китае в Феврале 2008 года. А файл SAVCE.csv - это выборка из Журнала Угроз антивируса с той системы где производилось восстановление данных. Базы антивируса были на тот момент свежие от 14 Мая 2008 года. Просто я был уверен, в том, что в данном образце находится опасный вирусный код. А так вы мне камень с души сняли.

    Большое Вам всем за это СПАСИБО. Надеюсь, что после того как я предупредил местных программистов они эту заразу из своей сети вычистят.
    сууффикс .damaged дается для неработоспособных вариантов вируса ... и в данном случае возможен банальный ложняк со стороны антивируса. Файл в формате карантина Symantec для исследования непригоден - у него свой формат хранения файлов в карантине. Можно вытащить его из карантина сердствами Symantec и послать в ЛК для изучения - антивирусные аналитики дадут ответ, зверь это или нет.

  13. #12
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    58
    Спасибо, Вас понял. Олег, если что можно задать Вам личный вопрос? Как-то не удобно дёргать людей по пустякам.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от VictorVG Посмотреть сообщение
    Спасибо, Вас понял. Олег, если что можно задать Вам личный вопрос? Как-то не удобно дёргать людей по пустякам.
    Это сколько угодно - чем смогу, помогу.

  15. #14
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    58
    Цитата Сообщение от Гриша Посмотреть сообщение
    Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios
    Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от VictorVG Посмотреть сообщение
    Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным.
    Почти на всех платах есть Dual Bios (вторая копия нестираемая), или есть небольшой нестираемый загрузчик, который умеет обновлять Bios, читая его из особого файла с дискеты

  17. #16
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    58
    Технология Dual Bios разработана фирмой GigaByte и базируется на хранение двух копий firmware в одной микросхеме. Полноценная её реализация осуществляется только в дорогих серверных решениях т.к. требует специального чипсета. Мы сами несколько лет назад создавали такую систему для одного Заказчика. Тогда с трудом удалось получить чипсет ServerWorks. И то, реализация требований ТЗ потребовала создания специальной полузаказной СБИС контроллера firmware. В итоге Заказчик просто оплатил сделанные работы, заплатил неустойку по контракту и закрыл проект как экономически не выгодный - стоимость платы с полноценной поддержкой двух независимых Flash ПЗУ и указанными в ТЗ средствами обеспечения надёжности и аппаратной антивирусной защитой firmware более чем в три раза превысила ожидаемую ещё на стадии разработки эскизного проекта.

    Что же касается практической реализации данного решения, то тут применяется такая технология: обе копии firmware хранятся в разных блоках flash ПЗУ по разным адресам и переключаются эти блоки программно, но имеют общий начальный загрузчик который при запуске машины инициализирует процессор и чипсет, а потом проверяет целостность остальной программы, и если основная копия повреждена запускает резервную. Просто при хранении двух копий в одной микросхеме используется предположение о том, что в случае не удачного программирования одной копии вторая останется работоспособной, т.к. стирание/запись во Flash ПЗУ производится в отличии от иных типов перепрограммируемых ПЗУ поблочно. Остальные типы стираются и записываются целиком. Просто flash ПЗУ используют "3D" организацию - m*n независимых матриц хранения обычно ёмкостью в один блок, а остальные типы ПЗУ используют одну матрицу памяти большого объёма для удешевления производства микросхем и повышения выхода годных кристаллов за счёт упрощения схемотехники.

    А т.н. Boot Block BIOS обычно ёмкостью 1К редко 1,5Кб обновляется очень редко и содержит только программу программирования Flash ПЗУ.

    Цитата Сообщение от Гриша Посмотреть сообщение
    Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios
    Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным. А если и ставят перемычку блокировки записи, то только на дорогие старшие модели плат. Да и то, там чаще всего защищают не Flash ПЗУ содержащее firmware, а энергонезависимое ОЗУ параметров запуска. Это связано с особенностями схемотехники управления записью Flash ПЗУ - при записи напряжение питания на специальном входе ИС увеличивается по отношению к рабочему значению чтения (обычно напряжение чтения составляет 3,3V, а записи 5V или 12V) а это требует установку специальных импульсных электронных ключей рассчитанных на приличные токи иногда до нескольких ампер в момент записи. А вот они-то достаточно дороги ($10 - $15 за штуку, их требуется как минимум 3, и микросхема управления - ~ $7 - $10) - в итоге себестоимость производства платы может вырасти почти вдвое.
    Последний раз редактировалось VictorVG; 18.05.2008 в 20:04.

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Rampant
    Регистрация
    06.03.2008
    Адрес
    Новосибирск
    Сообщений
    478
    Вес репутации
    266
    В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.
    Во многой мудрости много печали; и кто умножает познания, умножает скорбь…
    [SIGPIC][/SIGPIC]

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от Rampant Посмотреть сообщение
    В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.
    Его могли например доработать...

  20. #19
    Junior Member Репутация
    Регистрация
    17.05.2008
    Сообщений
    20
    Вес репутации
    58
    Цитата Сообщение от Rampant Посмотреть сообщение
    В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.
    В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для zerocorporated
    Регистрация
    23.09.2007
    Сообщений
    967
    Вес репутации
    863
    Цитата Сообщение от VictorVG Посмотреть сообщение
    В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.
    Посоветуйте другу если он там админ - перевести всех под ограниченную учетную запись, много хлопот уберется.
    Автозапуск по этому методу отключить.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Kaspersky doesn't upgrade - Blacklisted license is damaged
    От quintofabiomassimo в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 21.08.2010, 17:51
  2. Вот и я встретился с Sality
    От UmкA в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 27.10.2009, 09:07
  3. Важно но не очень!
    От сергей82 в разделе Софт - общий
    Ответов: 1
    Последнее сообщение: 08.10.2009, 23:51
  4. СРОЧНО! ВАЖНО! АТАКОВАЛИ!!
    От iexplorer в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 28.12.2008, 18:06

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00938 seconds with 19 queries