ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

26 числа каждого месяца, после срабатывания деструктивного кода нового вируса материнские платы компьютеров можно выбрасывать на помойку. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.

Компьютеры, на которых установлена ОС Windows95 и которые подключены к Интернет, находятся под реальной угрозой заражения новым компьютерным вирусом, внедряющимся в исполняемые файлы Windows95 (Portable Executable). Особенно опасными являются разрушительные проявления вируса. 26-го числа каждого месяца он перезаписывает Flash BIOS и стирает информацию на всех установленных жестких дисках.

Новый вирус, впервые обнаруженный на Тайване в начале июня этого года, в течение нескольких недель разошелся буквально по всему миру. Вирусные эпидемии были зарегистрированы практически во всех странах Европы, обеих Америках и Юго-восточной Азии, также вирус обнаружен в различных городах России. Он разошелся через пиратские копии ПО, распространяющегося по конференциям FIDO и Интернет; зараженные файлы были обнаружены также на некоторых российских WWW-сайтах.

Многие помнят повальную эпидемию макро-вируса Concept в августе-сентябре 1995 года. "Триумфальное шествие" этого макро-вируса буквально перевернуло вверх ногами основные представления о компьютерных вирусах и заставило разработчиков антивирусного ПО внести значительные изменения в выпускаемые продукты. Эта история повторяется и сейчас, но уже с Windows-вирусом: попав в глобальную сеть Интернет, вирус за очень короткое время стал причиной сотен (если не тысяч) эпидемий. Так на наших глазах рушится миф о том, что Windows-вирусы никогда не получат такого же широкого распространения, как старые добрые DOS-вирусы. К сожалению, это не так. Доказательством является глобальная пандемия нового компьютерного вируса.

До сих пор далеко не все антивирусы в состоянии детектировать и лечить новинку. Наши соотечественники сумели с ним справиться. Вирус Win95.CIH прекрасно детектируется и лечится с помощью программы Dr. Web версии 4.01, и AVP Лаборатории Касперского. Дополнение к AVP, способное детектировать и удалять новый вирус, было выпущено практически сразу после появления вируса "в живом виде" - 8 июня 1998 года. Последние версии AVP для DOS, Win16, Win32, OS/2 и Novell Netware доступны на WWW-сайтах www.avp.ru, www.avp.com, www.avp.ch. Все они в состоянии детектировать и лечить новый компьютерный вирус.

Win95.CIH

Резидентный вирус работает только под Windows95 и заражает PE-файлы (Portable Executable). Имеет небольшую длину - около 1 КБ. Обнаружен "в живом виде" на Тайване в июне 1998 года. Он был разослан автором вируса в местные Интернет-конференции. За последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании, затем вирус был обнаружен и в нескольких других странах, включая Россию.

При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответствующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако, это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

При тестировании вируса в Лаборатории Касперского память Flash BIOS осталась неповрежденной - по непонятным причинам вирус завесил систему без каких-либо побочных эффектов. Однако из других источников известно, что вирус при определенных условиях действительно портит содержимое Flash BIOS.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные секторы.

Известно три версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS. В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.

Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.

Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю. С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3). Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает видеоэффект (см. выше). При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.

Сообщение Игоря Данилова, автора антивирусной программы Dr.Web, о появлении нового вируса с деструктивными функциями по отношению к аппаратной части компьютеров вызвало активное обсуждение в сети FidoNet. Ни для кого не секрет, что члены этой компьютерной сети являются одними из наиболее любознательных и компетентных людей в компьютерном мире Санкт-Петербурга и России в целом. Именно поэтому в данной статье хотелось бы высказать советы всем тем, кто уже пострадал от вируса WIN95.CIH и готовы к замене своих материнских плат...

Материалы подготовлены по письмам в эхо конференцию Su.Virus сети FidoNet.

I. Как можно переписать BIOS (например).
1. Берем микросхему с BIOS с чужого компьютера. Подключаем ее взамен нашей (микросхема должна быть такая же, что и наша, и прошивка ее подходит для нашей материнской платы).
2. Загружаем компьютер.
3. Запускаем программу для записи прошивки в BIOS (например, awdflash.exe).
4. Делаем вид, что хотим прошить чужую микросхему. Когда программа спросит: "Сохранить BIOS?", - отвечаем: "Да".
5. Отменяем прошивание чужого BIOS'а.
6. Отключаем чужой BIOS, подключаем свой.
7. Повторяем процесс, только записываем в нашу микросхему чужой DUMP.

Все. В крайнем случае, вам поможет любая мастерская по ремонту АОНов и т.п.

II. Спасибо за ваше предупреждение о столь опасном вирусе.
Но стоит вам заметить, что некоторые модели современных компьютеров несколько хитрее, чем думал автор вируса. Если кто имеет компьютеры такой модели, возможно, мой совет поможет им защититься от обнаруженной вами заразы.

Я имею в виду IBM PC Server 704, производимый компанией IBM (у меня 4 CPU Peintium Pro 200, 256 МБ RAM, 4.3 ГБ Hard Drive и 4mm DDS-3 Tape Drive). На его материнской плате имеются переключатели J16A1 - BIOS Recovery. При нормальной работе должны быть замкнуты контакты 1-2 (с этим и поставляется компьютер). В случае порчи содержимого Flash BIOS в нем имеется закрытая для записи область, из которой можно восстановить его содержимое путем перестановки переключателя (джампера) на контакты 2-3. (Подробнее см. IBM PC Server 704 User Handbook, стр. 285). Кроме того, следует проверить положение джампера на переключателе J16A1 - Boot Block Protect/Unprotect (компьютер поставляется в положении Protect - джампер стоит на контактах 1-2).

Ни в коем случае не переставлять на 2-3! Это делает BIOS Boot Block программируемым и открытым для записи! Обязательно убедитесь, что J16A1 BIOS Boot Block стоит в положении 1-2, как предписывает компания IBM!

III. Аналогично и для материнской платы ASUSTEK VX97 (наверное, и для других плат этой фирмы).
Так что, возможно, не так уж много компьютеров могут быть разрушены этим вирусом...:)

Владимир Зарецкий Webmaster@drweb.ru 2:5030/87.51@fidonet.org

На прошлой неделе (26 июня 1998 года) зафиксирована попытка взлома персональных паролей Dial-Up. В качестве инструмента взлома использовалось письмо с порнографическим содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске имена и пароли входа в Интернет и затем отсылал их своему хозяину. Лаборатория Касперского известила о попытке несанкционированного доступа основных российских провайдеров Интернет и выпустила специальное дополнение к AVP by Eugene Kaspersky, детектирующее и уничтожающее нового "электронного вора".

Четыре основных способа добычи информации использовались тайными агентами и шпионами с незапамятных времен: подкуп, шантаж, вино и женщины. Именно последний способ был использован неизвестным злоумышленником для взлома персональных паролей доступа в Интернет. Поскольку Интернет - вещь виртуальная, то естественно использовались виртуальные женщины в формате JPG, что, однако, не делает виртуальной абонентскую плату за доступ к глобальным сетям.

Разосланное письмо содержало заголовок "Free SexCD each guest!!!" и текст:

Free SexCD each guest!!!
Sex Viewer (Click on CD icon, and get free SexCD now!)
Free Anime Henitai Collection
lolita Sex
Russian Young women
And much more!

В письмо были также вложены порнографическая картинка и EXE-файл, который собственно и является "троянским конем". Для получения "free CD" требуется всего лишь запустить эту программу, которая на самом деле "развлекает" пользователя еще четырьмя порно-картинками, а сама в то же время ищет на диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем результат "вскрытия" системы отсылается обратно автору троянца.

FreeCD.exe
L-T-OleDocument
L-ArchiveZip.exe
+-senm.exe
+-S.EXE
+-S.pif L-pwv.exe
+-Picture1.jpg
+-Picture2.jpg
+-Picture3.jpg
L-Picture4.jpg

Основная программа должна распаковать архив и запустить одну из программ в архиве (PWV.EXE), которая выясняет пароли на Dial-Up, а другие (S.EXE и SENM.EXE) отправляют их автору (создает файл MES и посылает его на ispp@usa.net). Во время выяснения и отсылки паролей основная программа должна отвлечь пользователя показом картинок и перечислением "интересных" URL:

http://postman.ru/~babaka/links.htm http://nagual.ml.org:8080/~ache/anime/ http://www.holynature.ru/HN_Gallery/index.html http://www.lolitasex.com/

Наличие российских сайтов недвусмысленно говорит о происхождении троянца. Заголовок основного письма "отпатчен", и письмо в результате выглядит присланным с адреса gree382@ibm.net, но реально адрес "хозяина" - ppp1040.glas.apc.org.

Заработала телемедицинская сеть между горой Everest и сетью U.S. по предоставлению видео телемедицинских сессий. Данные о здоровье альпинистов будут доступны на сайте AT&T в World Wide Web, так что люди со всего мира смогут проверить их состояние. Сеть разработана и создана компанией AT&T. В ней будут передаваться данные по состоянию здоровья, выносливости и таким физиологическим характеристикам, как количество сердцебиений, дыхание, циркуляция крови и прочие данные. Альпинисты будут носить персональные мониторы состояния и жизненных функций, а также специализированные камеры на головах, которые будут передавать постоянно данные о положении и здоровье, и осуществлять живую видео связь с людьми, оставшимися в базовом лагере. Данные будут "путешествовать" по спутниковой связи, трансокеанскому оптоволоконному кабелю и глобальному ISDN от врачей -терапевтов, расположенных в базовом лагере на горе, в Медицинское училище Йельского университета (Yale University School of Medicine) и Медицинскую лабораторию Массачусетского Технологического института (MIT Media Lab) в США.