Важно! Опять встретился W95.CIH.damaged

Что то "мода" видать пошла на старую заразу. Иначе объяснит не могу.

Только факты:

[B]Каталогов :[/B] 6216
[B]Файлов :[/B] 217143
[B]Объём данных, всего :[/B] 95,2 Gb
[B]Копий вируса на диске, всего :[/B] 3027
[B]Обнаруженный вирус :[/B] W95.CIH.damaged
[B]Удалено AVAST, копий :[/B] 0
[B]Удалено вручную, копий :[/B] 3017
[B]Удалено антивирусами, копий :[/B] 20
[B]Результат действия вируса :[/B] разрушение таблицы разделов, MFT разделена на 196 не взаимосвязанных фрагментов, зеркальная копия MFT уничтожена, диск выведен из строя (разрушена сервоинформация).
[B]Найдено :[/B] карантины AVAST и NOD32, их логи с формулировкой - [I]Вирусов нет![/I] .
[B]Размер диска :[/B] 160 Gb
[B]Трудозатраты на восстановление данных :[/B] 14 человеко-суток

По настоятельной просьбе друзей я выложил данный вирус в двойном контейнере rar/7-Zip с паролем на [url]http://rapidshare.com/files/115182453/Test.7z[/url] для исследования и разработки возможных мер противодействия. Пароль на архив - мой ник здесь с "_" перед последними двумя буквами. Я это сделал в качестве одной из мер по предотвращению расползания вируса. Пролежит не долго - сам прибью. Ждать пока кто то по неопытности устроит очередную вирусную атаку - увольте покорно. Я ещё помню как в 1993 году две недели в сети AidsTest-ом уничтожал вирус принесённый 7-и летним ребёнком сотрудницы вместе с игрушкой.

Лично меня настораживает тот факт, что вирусы данного семейства за последнее время мне попадаются довольно часто. Конкретный вирус уже третий раз за несколько месяцев.

Вирус прекрасно удаляется Symantec Antivirus Corporate Edition 10.1.7.7000, McAfee AntiVirus 8.5.0i EE, ClamAV 0.92 (FreeBSD UNIX), ClamWin 0.92.1, AVZ 4.30.
К сожалению, AVAST 4.8x, NOD32 V2.7/3.0, KAV 7.0 данный вирус пропустили. Не знаю, может это было связанно с их настройками на той системе где мне разрешили провести антивирусную проверку? У меня на FreeBSD его удаление особых трудов не вызвало. Больше пришлось провозиться с восстановлением разрушенной MFT и пользовательских данных.

[quote=zerocorporated;228275]Если кто может, скиньте в личку или вышлите почтой... не могу не как скачать... :) что то я разобраться никак с "котами" на рапиде не могу...[/quote]
Это сообщение-шутка. там два файла с описанием W95.CIH с сайта нортона, какой-то текстовый лог с сообщением о обнаружении W95.CIH.damaged + файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...

[QUOTE=Зайцев Олег;228280]файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...[/QUOTE]
Судя по первым двум байтам CD 20, это ужЕ кто-то лечил. ;)

[QUOTE=Зайцев Олег;228280]Это сообщение-шутка. там два файла с описанием W95.CIH с сайта нортона, какой-то текстовый лог с сообщением о обнаружении W95.CIH.damaged + файл с именем AP9.exe, который не является PE файлом, это и либо мусор, либо файл из карантина некоего антивируса X в формате карантина этого самого антивируса. Он не опасен ...[/QUOTE]

Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?

[quote=zerocorporated;228410]Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?[/quote]
Это давно и хорошо известная зараза (чтак называемый Чернобыльский вирус) - вот ее описание:
[URL]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=19775[/URL]
с суффиском .dam и .damaged детектятся неработоспособные версии этого зловреда.

[quote=zerocorporated;228410]Олег, а у вас в антивирусных базах семпла этого CIH нет случайно? Если есть сможете описать что он делает?[/quote]
Чих довольно старый вирус и есть его [URL="http://www.viruslist.com/ru/viruslist.html?id=3342"][B]описание[/B][/URL]

Интересно справить у автора топика этого - где он нашел такой раритет?

А есть другие вирусы, кроме CIH, которые могут повредить не только ОС компьютера, а еще BIOS материнской платы?

Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios

[quote=zerocorporated;228448]Интересно справить у автора топика этого - где он нашёл такой раритет?[/quote]

Данный "раритет" мне принесли после Майских праздников на диске с просьбой восстановить с него данные. Диск Seagate ST3160815AS (не самый лучший по надёжности представитель серии Barracuda 10 - лично мне их часто приносили по гарантии - диски уходили "в нирвану" после переполнения журналов SMART - поверхность "сыпалась"). Я и подумал, что это моя "старая знакомая" - аппаратная неисправность первых партий этого семейства накопителей. Она тогда великолепно ловилась Victoria 3.52.3 для DOS. Стал проверять и обнаружил полустёртую флешку контроллера и сгоревшую обмотку шпинделя. Пришлось ремонтировать гермозону. А когда восстановил его как устройство обнаружился вирус. Его сразу зафиксировал ClamAV под FreeBSD. Благо он сидел в каталогах в одинаковом файле autotest.exe и удалить его с помощью поиска средствами MC проблемы не составило. А это уже то, что отловил и поместил в свой карантин Symantec AntiVirus Corporate Edition 10.1.7.7000 на той лабораторной машине где восстанавливались данные. А скопировал этот файл из его Карантина и решил отправить Вам для того чтобы получить ответ профессионалов - есть ли вероятность сохранения вируса в восстановленных данных? А что касается возраста "раритета", то он произведён в Китае в Феврале 2008 года. А файл [I]SAVCE.csv [/I]- это выборка из Журнала Угроз антивируса с той системы где производилось восстановление данных. Базы антивируса были на тот момент свежие от 14 Мая 2008 года. Просто я был уверен, в том, что в данном образце находится опасный вирусный код. А так вы мне камень с души сняли.

Большое Вам всем за это СПАСИБО. Надеюсь, что после того как я предупредил местных программистов они эту заразу из своей сети вычистят.

[quote=VictorVG;228587]А это уже то, что отловил и поместил в свой карантин Symantec AntiVirus Corporate Edition 10.1.7.7000 на той лабораторной машине где восстанавливались данные. А скопировал этот файл из его Карантина и решил отправить Вам для того чтобы получить ответ профессионалов - есть ли вероятность сохранения вируса в восстановленных данных? А что касается возраста "раритета", то он произведён в Китае в Феврале 2008 года. А файл [I]SAVCE.csv [/I]- это выборка из Журнала Угроз антивируса с той системы где производилось восстановление данных. Базы антивируса были на тот момент свежие от 14 Мая 2008 года. Просто я был уверен, в том, что в данном образце находится опасный вирусный код. А так вы мне камень с души сняли.

Большое Вам всем за это СПАСИБО. Надеюсь, что после того как я предупредил местных программистов они эту заразу из своей сети вычистят.[/quote]
сууффикс [B].damaged[/B] дается для неработоспособных вариантов вируса ... и в данном случае возможен банальный ложняк со стороны антивируса. Файл в формате карантина Symantec для исследования непригоден - у него свой формат хранения файлов в карантине. Можно вытащить его из карантина сердствами Symantec и послать в ЛК для изучения - антивирусные аналитики дадут ответ, зверь это или нет.

Спасибо, Вас понял. Олег, если что можно задать Вам личный вопрос? Как-то не удобно дёргать людей по пустякам.

[quote=VictorVG;228605]Спасибо, Вас понял. Олег, если что можно задать Вам личный вопрос? Как-то не удобно дёргать людей по пустякам.[/quote]
Это сколько угодно - чем смогу, помогу.

[quote=Гриша;228462]Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios[/quote]

Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным.

[quote=VictorVG;228607]Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным.[/quote]
Почти на всех платах есть Dual Bios (вторая копия нестираемая), или есть небольшой нестираемый загрузчик, который умеет обновлять Bios, читая его из особого файла с дискеты

Технология Dual Bios разработана фирмой GigaByte и базируется на хранение двух копий firmware в одной микросхеме. Полноценная её реализация осуществляется только в дорогих серверных решениях т.к. требует специального чипсета. Мы сами несколько лет назад создавали такую систему для одного Заказчика. Тогда с трудом удалось получить чипсет ServerWorks. И то, реализация требований ТЗ потребовала создания специальной полузаказной СБИС контроллера firmware. В итоге Заказчик просто оплатил сделанные работы, заплатил неустойку по контракту и закрыл проект как экономически не выгодный - стоимость платы с полноценной поддержкой двух независимых Flash ПЗУ и указанными в ТЗ средствами обеспечения надёжности и аппаратной антивирусной защитой firmware более чем в три раза превысила ожидаемую ещё на стадии разработки эскизного проекта.

Что же касается практической реализации данного решения, то тут применяется такая технология: обе копии firmware хранятся в разных блоках flash ПЗУ по разным адресам и переключаются эти блоки программно, но имеют общий начальный загрузчик который при запуске машины инициализирует процессор и чипсет, а потом проверяет целостность остальной программы, и если основная копия повреждена запускает резервную. Просто при хранении двух копий в одной микросхеме используется предположение о том, что в случае не удачного программирования одной копии вторая останется работоспособной, т.к. стирание/запись во Flash ПЗУ производится в отличии от иных типов перепрограммируемых ПЗУ поблочно. Остальные типы стираются и записываются целиком. Просто flash ПЗУ используют "3D" организацию - m*n независимых матриц хранения обычно ёмкостью в один блок, а остальные типы ПЗУ используют одну матрицу памяти большого объёма для удешевления производства микросхем и повышения выхода годных кристаллов за счёт упрощения схемотехники.

А т.н. Boot Block BIOS обычно ёмкостью 1К редко 1,5Кб обновляется очень редко и содержит только программу программирования Flash ПЗУ.

[quote=Гриша;228462]Есть,но их очень мало,современные материнские платы защищены переключателем,который в конкретном положении либо запрещает либо разрешает запись в Flash память Bios[/quote]

Не совсем точно. Защита на современных платах в большинстве случаев используется программная. Так дешевле их производство. Полноценная аппаратная защита обычно ставится на серверные системные платы. Но там и стоимость плат обычно не ниже $600 - $700. А на массовые платы себестоимостью порядка $35 - $40 такое не делают - защита firmware может увеличить их себестоимость на $15 - $30 и их производство станет не рентабельным. А если и ставят перемычку блокировки записи, то только на дорогие старшие модели плат. Да и то, там чаще всего защищают не Flash ПЗУ содержащее firmware, а энергонезависимое ОЗУ параметров запуска. Это связано с особенностями схемотехники управления записью Flash ПЗУ - при записи напряжение питания на специальном входе ИС увеличивается по отношению к рабочему значению чтения (обычно напряжение чтения составляет 3,3V, а записи 5V или 12V) а это требует установку специальных импульсных электронных ключей рассчитанных на приличные токи иногда до нескольких ампер в момент записи. А вот они-то достаточно дороги ($10 - $15 за штуку, их требуется как минимум 3, и микросхема управления - ~ $7 - $10) - в итоге себестоимость производства платы может вырасти почти вдвое.

В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.

[QUOTE=Rampant;228645]В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.[/QUOTE]

Его могли например доработать...

[quote=Rampant;228645]В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.[/quote]
В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.

[QUOTE=VictorVG;228869]В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.[/QUOTE]

Посоветуйте другу если он там админ - перевести всех под ограниченную учетную запись, много хлопот уберется.
[URL="http://virusinfo.info/showthread.php?t=20291"]Автозапуск по этому методу отключить.[/URL]

[quote=Rampant;228645]В описании, этот вирь написан только под 95-98 Win, т.е. под ХР он не должен работать? Я это спрашиваю потому что уже встречался с этим вирём, года 2-3 назад на ХР.[/quote]
В данном случае он сработал именно под WinXP. Я специально звонил другу который принёс мне данный диск - на машинах в ЛВС стоит Windows XP Pro SP2 Rus VL. В качестве антивирусов использовали NOD32 V3.0 и AVAST Pro v4.6. Вот та информация какой я располагаю.

И видимо уважаемый [COLOR=brown][B]zerocorporated [/B][/COLOR]абсолютно прав в своём предположении:[QUOTE]Его могли например доработать...[/QUOTE], хотя, если мне память не изменяет, я слышал о случаях срабатывания вирусов семейства W95.CIH на платформе WINNT ( Windows NT 3.1 - 4.0/2000/XP/2003/VISTA/2008 ), но сам лично с такими фактами не сталкивался. Только с фактами его размножения и заражения им машины.
[URL="http://virusinfo.info/member.php?u=14199"][/URL]