Разбор полетов, или "Уж сколько раз твердили миру..."
После печальных событий 26 апреля текущего года, когда тысячи компьютеров по всему миру пострадали от действия вируса Win95.CIH, кажется, уже во всех компьютерных изданиях прошли публикации на антивирусную тему. Но в адрес редакции еще приходят письма с просьбой более подробно осветить данную тему, и в результате этого появилась данная статья.
Сам вирус Win95.CIH, прозванный впоследствии "Чернобылем", появился в июне прошлого года на Тайване и буквально в течение нескольких недель разошелся по всему миру. Автор разослал новинку в местные Интернет-конференции. Сразу же после этого появления "эпидемий" были зарегистрированы в Азии, Америке, Европе и России. По сообщениям Антивирусной Лаборатории Касперского, 29 июня вирус был обнаружен в России. Основным путем распространения стали пиратские копии ПО, размещаемые на WWW-сайтах, а также в конференциях FIDO. Подобного размаха смог достичь только макровирус Concept в августе-сентябре 1995 года. Его появление в то время заставило разработчиков антивирусного ПО внести значительные изменения в свои программные продукты. Долгое время в среде компьютерщиков существовало мнение, что Windows-вирусы никогда не получат такого же широкого распространения, как старые добрые DOS-вирусы. К сожалению, этот мир был полностью разрушен на наших глазах.
Что же представляет собой Win95.CIH? Это резидентный вирус, который работает только под Windows95, и заражает PE-файлы (Portable Executable). В "чистом" виде он занимает совсем мало места - всего около 1 Кб. При запуске зараженного файла вирус копирует свой код в память, а потом перехватывает обращения к файлам и при открытии EXE-файлов записывает в них свою копию. Происходит это следующим образом: вирус ищет в PE-файлах "дыры" и записывает свой код туда. То, что такие "дыры" (блоки неиспользуемых данных) находятся, обусловлено самой структурой PE-файлов, так как позиция каждой секции в файле выровнена на определенное значение, указанное в РЕ-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. При использовании подобной методики размер зараженного файла не увеличивается. Код вируса в них может быть размещен как одним блоком, так и раздробленным на несколько частей, так как это зависит от размеров найденных "дырок". Кроме того, сам вирус содержит ошибки, что иногда приводит к "зависанию" компьютера. При запуске зараженной программы вирус проверяет системную дату и в зависимости от ее значения стирает содержимое Flash BIOS и содержимое всех установленных в системе дисков. Следует заметить, что запись в Flash BIOS возможна только на некоторых типах материнских плат и при соответствующем положении переключателя. Обычно этот переключатель установлен в положении "только чтение", однако не все производители компьютеров заботятся об этом. С прискорбием сообщаю Вам и то, что Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно. Независимо от результата попытки стереть BIOS, вирус переходит ко второму этапу своей разрушающей деятельности - стирает информацию на дисках. При этом вирус использует прямой доступ к данным, обходя, тем самым, встроенную в компьютер стандартную антивирусную защиту от записи в загрузочные сектора. Однако если информацию на дисках еще можно потом восстановить практически всегда, то с материнской платой могут быть серьезные проблемы. Это известно мне по своему печальному опыту.
Но если Вы думаете, что опасность миновала вместе с 26 апреля, то вы ошибаетесь. Уже сейчас известно огромное количество клонов "Чернобыля", и некоторые из них срабатывают 26 числа каждого месяца. Кроме того, в мире существует огромное количество других вирусов и их действие не менее опасно для ваших компьютеров. Поэтому я еще раз рекомендую Вам установить на свои машины какое-либо антивирусное ПО и регулярно обновлять его базы. А о том, какое именно ПО выбрать, читайте в моей следующей статье. Жду Ваших отзывов и предложений на свой электронный адрес.
Andrew Zolotar
Сам вирус Win95.CIH, прозванный впоследствии "Чернобылем", появился в июне прошлого года на Тайване и буквально в течение нескольких недель разошелся по всему миру. Автор разослал новинку в местные Интернет-конференции. Сразу же после этого появления "эпидемий" были зарегистрированы в Азии, Америке, Европе и России. По сообщениям Антивирусной Лаборатории Касперского, 29 июня вирус был обнаружен в России. Основным путем распространения стали пиратские копии ПО, размещаемые на WWW-сайтах, а также в конференциях FIDO. Подобного размаха смог достичь только макровирус Concept в августе-сентябре 1995 года. Его появление в то время заставило разработчиков антивирусного ПО внести значительные изменения в свои программные продукты. Долгое время в среде компьютерщиков существовало мнение, что Windows-вирусы никогда не получат такого же широкого распространения, как старые добрые DOS-вирусы. К сожалению, этот мир был полностью разрушен на наших глазах.
Что же представляет собой Win95.CIH? Это резидентный вирус, который работает только под Windows95, и заражает PE-файлы (Portable Executable). В "чистом" виде он занимает совсем мало места - всего около 1 Кб. При запуске зараженного файла вирус копирует свой код в память, а потом перехватывает обращения к файлам и при открытии EXE-файлов записывает в них свою копию. Происходит это следующим образом: вирус ищет в PE-файлах "дыры" и записывает свой код туда. То, что такие "дыры" (блоки неиспользуемых данных) находятся, обусловлено самой структурой PE-файлов, так как позиция каждой секции в файле выровнена на определенное значение, указанное в РЕ-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. При использовании подобной методики размер зараженного файла не увеличивается. Код вируса в них может быть размещен как одним блоком, так и раздробленным на несколько частей, так как это зависит от размеров найденных "дырок". Кроме того, сам вирус содержит ошибки, что иногда приводит к "зависанию" компьютера. При запуске зараженной программы вирус проверяет системную дату и в зависимости от ее значения стирает содержимое Flash BIOS и содержимое всех установленных в системе дисков. Следует заметить, что запись в Flash BIOS возможна только на некоторых типах материнских плат и при соответствующем положении переключателя. Обычно этот переключатель установлен в положении "только чтение", однако не все производители компьютеров заботятся об этом. С прискорбием сообщаю Вам и то, что Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно. Независимо от результата попытки стереть BIOS, вирус переходит ко второму этапу своей разрушающей деятельности - стирает информацию на дисках. При этом вирус использует прямой доступ к данным, обходя, тем самым, встроенную в компьютер стандартную антивирусную защиту от записи в загрузочные сектора. Однако если информацию на дисках еще можно потом восстановить практически всегда, то с материнской платой могут быть серьезные проблемы. Это известно мне по своему печальному опыту.
Но если Вы думаете, что опасность миновала вместе с 26 апреля, то вы ошибаетесь. Уже сейчас известно огромное количество клонов "Чернобыля", и некоторые из них срабатывают 26 числа каждого месяца. Кроме того, в мире существует огромное количество других вирусов и их действие не менее опасно для ваших компьютеров. Поэтому я еще раз рекомендую Вам установить на свои машины какое-либо антивирусное ПО и регулярно обновлять его базы. А о том, какое именно ПО выбрать, читайте в моей следующей статье. Жду Ваших отзывов и предложений на свой электронный адрес.
Andrew Zolotar
Компьютерная газета. Статья была опубликована в номере 20 за 1999 год в рубрике разное :: мелочи жизни
