О вирусе "Чернобыль"
Атака на хардвер. Как спасти информацию?Что же на самом деле произошло?
26 апреля 1999 года десятки тысяч компьютеров и компьютерных сетей в мире пострадали в результате активизации вируса W95.CIH, в просторечье "чих". Версия данного вируса, срабатывающая именно по 26 апреля каждого года, известна также под именем "Чернобыль" (Chernobyl), поскольку роковая дата совпадает с датой катастрофы на Чернобыльской АЭС. Вирус особо опасен для систем Windows 9x. Увы, оказалось, что и Windows NT не всегда держит удар. Во всяком случае некоторые локальные сети под Windows NT 3.x завалились без особого сопротивления (факт достоверен).
Вот краткий сценарий развития событий. W95.CIH поражает произвольный EXE-файл, прописывая фрагменты зловредного кода в свободные области отдельных кластеров. Поскольку сам вирус весит лишь чуть более 1K, вес заражённых файлов не изменяется. После каждой перезагрузки компьютера число заражённых EXE-файлов лавинообразно растёт. Пяти-шести процедур перезагрузки достаточно для стопроцентного поражения всех EXE-файлов. В день "Х" вирус портит Flash BIOS материнской платы и убивает информацию на жёстком диске. Видимые признаки: после включения экран монитора остаётся чёрным (однако, на всякий случай, не поленитесь пошевелить дата-кабель между монитором и системным блоком) или в самом начале загрузки возникает сообщение о невозможности обратиться с жёсткому диску. Первый вариант - повод для самой глубокой печали, так как убит и жёсткий диск, и Flash BIOS.Можно ли было от этого уберечься?
Несомненно. Вирус W95.CIH был обнаружен ещё в июне 1998 года специалистами из Лаборатории Касперского. Спустя пару месяцев с ним уже могли успешно бороться Norton AntiVirus, McAfee, eSafe, DrWeb etc. То есть достаточно было заранее приобрести лицензированную современную версию одного из серьёзных антивирусов, сделать своевременный апдейт и установить опцию на проверку программных файлов при каждой новой загрузке Windows. О проверке на вирусы всех без исключения внешних носителей я не говорю, это само собой разумеется. Неплохо бы также сразу проверять любые файлы, получаемые через Интернет. Следую ли я сам этим рекомендациям? Хотите верьте, хотите нет, следую. Поэтому день 26 апреля не стал для меня днём личной трагедии. Отдельные "эксперты" рекомендуют просто не включать компьютер "в критические дни". Что ж, если мода на "праздничные вирусы" не пройдёт, этой категории специалистов придётся срочно "переквалифицироваться в управдомы".Кто виноват?
Ну, само собой, тот зловредный тип, который запустил эту почкующуюся бомбу. Хотя в таланте ему не откажешь. Виноват пользователь, не соблюдающий элементарные правила личной гигиены. Виноваты специалисты, ответственные за обеспечение безопасности корпоративных сетей. Приходится слышать также: "Интернет во всём виноват". Да, виноват, примерно так же, как виновато автомобилестроение в росте числа дорожно-транспортных происшествий. Кстати, эта зараза передавалась и посредством дискет, и через пиратские компакт-диски. Зарегистрированы также факты обнаружения W95.CIH на бесплатно распространяемых CD весьма уважаемых "толстых" компьютерных журналов. Кстати о журналах. Почему до последнего дня молчали средства массовой информации? Непростой вопрос. Но скажите, а много ли говорили о последствиях ядерных бомбардировок до Хиросимы? Да, специалисты предупреждали, но даже им было трудно себе представить масштабы катастрофы.
И ещё. Мне уже пришлось слышать, что-то вроде "вы обязаны нам помочь, это вы нам продали компьютер". В связи с этим, хотелось бы особо подчеркнуть, что ни продавец, ни поставщик, ни производитель компьютерного железа никакой ответственности за последствия "вирусного заболевания" не несут. И основному виновнику - пользователю - придётся или платить, или решать свои проблемы самостоятельно.Что делать, если ваш компьютер пострадал?
В худшем случае вам придётся приобрести новую материнскую плату и переформатировать диск, смирившись с полной потерей информации. Именно на такой исход и рассчитывал автор вируса. Если Flash BIOS жив, достаточно будет отформатировать диск и переустановить все программы. Справитесь самостоятельно? Чудесно. Кто-нибудь поможет? Замечательно. Некому помочь бескорыстно? Обратитесь к грамотному специалисту, которому доверяете.
Если Flash BIOS умер, можно попробовать оживить его переустановкой микросхемы с работающей материнской платы того же типа. Это не обязательно поможет, да и сама процедура небезопасна для материнской платы-донора. BIOS можно переписать, но для этого требуется специальное оборудование. Замена материнской платы - наиболее эффективный способ, хотя и не самый дешёвый.
Если убит жёсткий диск, информацию можно спасти. Однако не стоит при этом полагаться на всевозможные бесплатные утилиты, во множестве разбросанные по Интернету. Иные из них спасают ничтожно малый процент информации, другие только находят потерянные файлы, но отказываются их сохранять. Так что спасательные работы скорее всего не обойдутся ни без серьёзного программного обеспечения, ни без высокооплачиваемого эксперта.
Работа компьютерного специалиста по спасению информации всегда считалась самой дорогой. Обычно расценки начинаются от 1000$.
Наша фирма, Big Bit Computers (Иерусалим, Эллиаш 6; тел. 02-6223344),
готова выполнять эту работу за 500 шекелей.
Клиентам, купившим у нас компьютер, скидка до 40%.
Вы уже отформатировали диск? Не страшно. Мы вернём вам информацию!
Технические подробности
справка от Лаборатории КасперскогоWin95.CIH
Резидентный вирус, работает только под Windows95 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Обнаружен "в живом виде" в Тайване в июне 1998 - был разослан автором вируса в местные Интернет-конференции. Уже через несколько недель вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании, затем вирус был обнаружен и в других странах, включая Россию. При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии
PE EXE-файлов записывает в них свою копию. Содержит ошибки и, в некоторых случаях, "завешивает" систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков. Запись в Flash BIOS возможна только на соответствующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению, Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно. При тестировании вируса в Лаборатории память Flash BIOS осталась неповрежденной - по непонятным причинам вирус "завесил" систему без каких-либо побочных эффектов. Однако из других источников известно, что вирус при определенных условиях действительно портит содержимое Flash BIOS. После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и, тем самым, обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.Известно три версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS:
Длина (байт) Текст Дата срабатывания Обнаружен
"в живом виде"1003 CCIH 1.2 TTIT 26 апреля Да 1010 CCIH 1.3 TTIT 26 апреля Нет 1019 CCIH1.4 TATUNG 26 каждого месяца Да - во многих странах
Подробности для любознательных
При заражении файлов вирус ищет в них "дыры" (блоки неиспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено
структурой PE-файлов: позиция каждой секции в файле выровнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается. Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков. Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке. Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю. С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3). Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше). При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.