Что за вирус win95 cih

ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА

Появился вирус, разрушающий аппаратную часть
компьютеров Win95.CIH

26 числа каждого месяца, после срабатывания деструктивного кода нового вируса материнские платы компьютеров можно выбрасывать на помойку. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH, переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.

Компьютеры, на которых установлена ОС Windows95 и которые подключены к Интернет, находятся под реальной угрозой заражения новым компьютерным вирусом, внедряющимся в исполняемые файлы Windows95 (Portable Executable). Особенно опасными являются разрушительные проявления вируса. 26-го числа каждого месяца он перезаписывает Flash BIOS и стирает информацию на всех установленных жестких дисках.

Новый вирус, впервые обнаруженный на Тайване в начале июня этого года, в течение нескольких недель разошелся буквально по всему миру. Вирусные эпидемии были зарегистрированы практически во всех странах Европы, обеих Америках и Юго-восточной Азии, также вирус обнаружен в различных городах России. Он разошелся через пиратские копии ПО, распространяющегося по конференциям FIDO и Интернет; зараженные файлы были обнаружены также на некоторых российских WWW-сайтах.

Многие помнят повальную эпидемию макро-вируса Concept в августе-сентябре 1995 года. "Триумфальное шествие" этого макро-вируса буквально перевернуло вверх ногами основные представления о компьютерных вирусах и заставило разработчиков антивирусного ПО внести значительные изменения в выпускаемые продукты. Эта история повторяется и сейчас, но уже с Windows-вирусом: попав в глобальную сеть Интернет, вирус за очень короткое время стал причиной сотен (если не тысяч) эпидемий. Так на наших глазах рушится миф о том, что Windows-вирусы никогда не получат такого же широкого распространения, как старые добрые DOS-вирусы. К сожалению, это не так. Доказательством является глобальная пандемия нового компьютерного вируса.

Резидентный вирус работает только под Windows95 и заражает PE-файлы (Portable Executable). Имеет небольшую длину - около 1 КБ. Обнаружен "в живом виде" на Тайване в июне 1998 года. Он был разослан автором вируса в местные Интернет-конференции. За последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании, затем вирус был обнаружен и в нескольких других странах, включая Россию.

При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответствующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако, это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

При тестировании вируса в Лаборатории Касперского память Flash BIOS осталась неповрежденной - по непонятным причинам вирус завесил систему без каких-либо побочных эффектов. Однако из других источников известно, что вирус при определенных условиях действительно портит содержимое Flash BIOS.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные секторы.

Известно три версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS. В настоящее время существует 3 модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

Длина Текст Дата срабатывания Обнаружен "в живом виде"
Win95.CIH.1003 - CIH v1.2 TTIT 26 апреля Да
Win95.CIH.1010 - CIH v1.3 TTIT 26 апреля Нет
Win95.CIH.1019 - CIH v1.4 TATUNG 26 каждого месяца Да - во многих странах

Технические детали При заражении файлов вирус ищет в них "дыры" (блоки неиспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено структурой PE-файлов: позиция каждой секции в файле выровнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байтов, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.

Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.

Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю. С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3). Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает видеоэффект (см. выше). При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.

Редакция благодарит Игоря Данилова, технического директора фирмы Салд и Алексея Топунова, фирма Поликом Про, за своевременное сообщение о новом вирусе и методах его лечения.

А может все не так страшно

Материалы подготовлены по письмам в эхо конференцию Su.Virus сети FidoNet.

I. Как можно переписать BIOS (например).
1. Берем микросхему с BIOS с чужого компьютера. Подключаем ее взамен нашей (микросхема должна быть такая же, что и наша, и прошивка ее подходит для нашей материнской платы).
2. Загружаем компьютер.
3. Запускаем программу для записи прошивки в BIOS (например, awdflash.exe).
4. Делаем вид, что хотим прошить чужую микросхему. Когда программа спросит: "Сохранить BIOS?", - отвечаем: "Да".
5. Отменяем прошивание чужого BIOS'а.
6. Отключаем чужой BIOS, подключаем свой.
7. Повторяем процесс, только записываем в нашу микросхему чужой DUMP.

Все. В крайнем случае, вам поможет любая мастерская по ремонту АОНов и т.п.

II. Спасибо за ваше предупреждение о столь опасном вирусе.
Но стоит вам заметить, что некоторые модели современных компьютеров несколько хитрее, чем думал автор вируса. Если кто имеет компьютеры такой модели, возможно, мой совет поможет им защититься от обнаруженной вами заразы.

Я имею в виду IBM PC Server 704, производимый компанией IBM (у меня 4 CPU Peintium Pro 200, 256 МБ RAM, 4.3 ГБ Hard Drive и 4mm DDS-3 Tape Drive). На его материнской плате имеются переключатели J16A1 - BIOS Recovery. При нормальной работе должны быть замкнуты контакты 1-2 (с этим и поставляется компьютер). В случае порчи содержимого Flash BIOS в нем имеется закрытая для записи область, из которой можно восстановить его содержимое путем перестановки переключателя (джампера) на контакты 2-3. (Подробнее см. IBM PC Server 704 User Handbook, стр. 285). Кроме того, следует проверить положение джампера на переключателе J16A1 - Boot Block Protect/Unprotect (компьютер поставляется в положении Protect - джампер стоит на контактах 1-2).

Ни в коем случае не переставлять на 2-3! Это делает BIOS Boot Block программируемым и открытым для записи! Обязательно убедитесь, что J16A1 BIOS Boot Block стоит в положении 1-2, как предписывает компания IBM!

III. Аналогично и для материнской платы ASUSTEK VX97 (наверное, и для других плат этой фирмы).
Так что, возможно, не так уж много компьютеров могут быть разрушены этим вирусом. )

Комментарий Итак, если вас поразил новый вирус и ваш компьютер отказался загружаться, не торопитесь выбрасывать материнскую плату! У вас еще есть шансы оживить ее. И если вы сами не в силах проделать приведенные выше операции, обратитесь к специалистам. Однако будьте готовы к тому, что через месяц, 26 числа вы еще раз получите порцию адреналина при виде темного экрана монитора после нажатия клавиши Power вашего компьютера. Избежать этого вам поможет только Dr.Web, который удалит вирус, оставшийся в системе вашего компьютера.

Внимание! Зафиксирована попытка
взлома паролей Dial-Up

На прошлой неделе (26 июня 1998 года) зафиксирована попытка взлома персональных паролей Dial-Up. В качестве инструмента взлома использовалось письмо с порнографическим содержанием и вложенным EXE-файлом, который при запуске искал на жестком диске имена и пароли входа в Интернет и затем отсылал их своему хозяину. Лаборатория Касперского известила о попытке несанкционированного доступа основных российских провайдеров Интернет и выпустила специальное дополнение к AVP by Eugene Kaspersky, детектирующее и уничтожающее нового "электронного вора".

Четыре основных способа добычи информации использовались тайными агентами и шпионами с незапамятных времен: подкуп, шантаж, вино и женщины. Именно последний способ был использован неизвестным злоумышленником для взлома персональных паролей доступа в Интернет. Поскольку Интернет - вещь виртуальная, то естественно использовались виртуальные женщины в формате JPG, что, однако, не делает виртуальной абонентскую плату за доступ к глобальным сетям.

Разосланное письмо содержало заголовок "Free SexCD each guest. " и текст:

Free SexCD each guest.
Sex Viewer (Click on CD icon, and get free SexCD now!)
Free Anime Henitai Collection
lolita Sex
Russian Young women
And much more!

В письмо были также вложены порнографическая картинка и EXE-файл, который собственно и является "троянским конем". Для получения "free CD" требуется всего лишь запустить эту программу, которая на самом деле "развлекает" пользователя еще четырьмя порно-картинками, а сама в то же время ищет на диске ссылки на Dial-Up, вытаскивает из них имена и определяет пароли. Затем результат "вскрытия" системы отсылается обратно автору троянца.

Доступные файлы - сортировка по имени и версии, времени добавления
Файлов: 4.

Файл Размер Выпуск Версия Язык Качество Загрузил

Win95.CIH Executable [pass: assm-cracker]


3647
2.4 Кб
ylitvinenko
2009.05.28

Win95.CIH Assembler Source Code [pass: assm-cracker]


2404
11 Кб
ylitvinenko
2009.05.28

CIH_KILL [password CIH_KILL]


1678
5.3 Кб 200x 0.0000
Английский
Nika
2013.04.05
RUS:
Программа-нейтрализатор резидентного вируса CIH. Она же может и ЗАПУСТИТЬ его с разными опциями,
в том числе - и в совсем безопасном виде. Запускать БЕЗ ОПЦИЙ эту программу можно совершенно спокойно - тогда она работает как обычный антивирус, делающий неработоспособным находяшийся в оперативной памяти вирус CIH. Прочтите описание.

Программа не упакована и не криптована, поэтому антивирусы её определяют как заражённую CIH'ом. Это нормально.
В любом случае, код вируса не работает в NT+ системах, а только в Win9x.

"Умный вирусописатель" - словосочетание, содержащее в себе внутреннее противоречие.
У этих ребятишек неудовлетворённое больное самолюбие.
Далеко закинув, результатов можно не увидеть. А тут - опана! - все компьютеры
в родном университете загажены тобой! Круто!

В случае с CIH всё, правда, не так однозначно.
CIH занимался порчей BIOS'а - сразу же на рынке появилась куча "металлолома",
а народ радостно побежал в магазины за новыми компьютерами.
Да и "убитое" железо тоже можно было "вылечить", и небесплатно.
(Ха! - с помощью капроновой ниточки, если помните).

В общем, корыстные мотивы тут ярко выражены.
И сработать это было должно неподалёку от инициатора этой затеи,
иначе зачем бы он стал делать благо для торгашей и умельцев
на другом полушарии?

В раздаче выложена утилита (CIH_KILL), которая позволяет запустить CIH с опциями.
Если запустить безопасную версию вирусни, то можно посмотреть, как он заражает файлы и какие изменения в них при этом происходят.

День рождения WIN95.CIH



Резидентный вирус, работает только под Windows95/98 и заражает PE-файлы (Portable Executable). Имеет довольно небольшую длину - около 1Кб. Был обнаружен "в живом виде" на Тайване в июне 1998 - автор вируса заразил компьютеры в местном университете, где он (автор вируса) в то время проходил обучение. Через некоторое время зараженные файлы были (случайно?) разосланы в местные Интернет-конференции, и вирус выбрался за пределы Тайваня: за последующую неделю вирусные эпидемии были зарегистрированы в Австрии, Австралии, Израиле и Великобритании. Затем вирус был обнаружен и в нескольких других странах, включая Россию.

Примерно через месяц зараженные файлы были обнаружены на нескольких американских Web-серверах, распространяющих игровые программы. Этот факт, видимо, и послужил причиной последовавшей глобальной вирусной эпидемии. 26 апреля 1999 года (примерно через год после появления вируса) сработала "логическая бомба", заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около полумиллиона компьютеров - у них оказались уничтожены данные на жестком диске, а на некоторых плюс к тому испорчены микросхемы на материнских платах. Данный инцидент стал настоящей компьютерной катастрофой - вирусные эпидемии и их последствия никогда до того не были столь масштабными и не приносили таких убытков.

Видимо, по тем причинам, что 1) вирус нес реальную угрозу компьютерам во всем мире и 2) дата срабатывания вируса (26 апреля) совпадает с датой аварии на Чернобыльской атомной электростанции, вирус получил свое второе имя - "Чернобыль" (Chernobyl).

Автор вируса, скорее всего, никак не связывал Чернобыльскую трагедию со своим вирусом и поставил дату срабатывания "бомбы" на 26 апреля по совсем другой причине: именно 26 апреля в 1998 году он выпустил первую версию своего вируса (которая, кстати, так и не вышла за пределы Тайваня) - 26 апреля вирус "CIH" отмечает подобным образом свой "день рождения".

Как вирус работает
При запуске зараженного файла вирус инсталлирует свой код в память Windows, перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в них свою копию. Содержит ошибки и в некоторых случаях завешивает систему при запуске зараженных файлов. В зависимости от текущей даты стирает Flash BIOS и содержимое дисков.

Запись в Flash BIOS возможна только на соответсвующих типах материнских плат и при разрешающей установке соответственного переключателя. Этот переключатель обычно установлен в положение "только чтение", однако это справедливо не для всех производителей компьютеров. К сожалению Flash BIOS на некоторых современных материнских платах не может быть защищена переключателем: одни из них разрешают запись в Flash при любом положении переключателя, на других защита записи в Flash может быть отменена программно.

После успешного стирания Flash-памяти вирус переходит к другой деструктивной процедуре: стирает информацию на всех установленных винчестерах. При этом вирус использует прямой доступ к данным на диске и тем самым обходит встроенную в BIOS стандартную антивирусную защиту от записи в загрузочные сектора.

Известно три основные ("авторские") версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах. Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS:

Длина Текст Дата срабатывания Обнаружен "в живом виде"
1003 CIH 1.2 TTIT 26 апреля Да
1010 CIH 1.3 TTIT 26 апреля Нет
1019 CIH 1.4 TATUNG 26 каждого месяца Да - во многих странах

Технические детали
При заражении файлов вирус ищет в них "дыры" (блоки неспользуемых данных) и записывает в них свой код. Присутствие таких "дыр" обусловлено структурой PE-файлов: позиция каждой секции в файле выравнена на определенное значение, указанное в PE-заголовке, и в большинстве случаев между концом предыдущей секции и началом последующей есть некоторое количество байт, которые не используются программой. Вирус ищет в файле такие неиспользуемые блоки, записывает в них свой код и увеличивает на необходимое значение размер модифицированной секции. Размер заражаемых файлов при этом не увеличивается.

Если в конце какой-либо секции присутствует "дыра" достаточного размера, вирус записывает в нее свой код одним блоком. Если же такой "дыры" нет, вирус дробит свой код на блоки и записывает их в конец различных секций файла. Таким образом, код вируса в зараженных файлах может быть обнаружен и как единый блок кода, и как несколько несвязанных между собой блоков.

Вирус также ищет неиспользуемый блок данных в PE-заголовке. Если в конце заголовка есть "дыра" размером не менее 184 байт, вирус записывает в нее свою startup-процедуру. Затем вирус изменяет стартовый адрес файла: записывает в нее адрес своей startup-процедуры. В результате такого приема структура файла становится достаточно нестандартной: адрес стартовой процедуры программы указывает не в какую-либо секцию файла, а за пределы загружаемого модуля - в заголовок файла. Однако Windows95 не обращает внимания на такие "странные" файлы, грузит в память заголовок файла, затем все секции и передает управление на указанный в заголовке адрес - на startup-прецедуру вируса в PE-заголовке.

Получив управление, startup-процедура вируса выделяет блок памяти VMM-вызовом PageAllocate, копирует туда свой код, затем определяет адреса остальных блоков кода вируса (расположенных в конце секций) и дописывает их к коду своей startup-процедуры. Затем вирус перехватывает IFS API и возвращает управление программе-носителю.

С точки зрения операционной системы эта процедура наиболее интересна в вирусе: после того, как вирус скопировал свой код в новый блок памяти и передал туда управление, код вируса исполняется как приложение Ring0, и вирус в состоянии перехватить AFS API (это невозможно для программ, выполняемых в Ring3).

Перехватчик IFS API обрабатывает только одну функцию - открытие файлов. Если открывается файл с расширением EXE, вирус проверяет его внутренний формат и записывает в файл свой код. После заражения вирус проверяет системную дату и вызывает процедуру стирания Flash BIOS и секторов диска (см. выше).

При стирании Flash BIOS вирус использует соответствующие порты чтения/записи, при стирании секторов дисков вирус вызывает VxD-функцию прямого обращения к дискам IOS_SendCommand.

Известные варианты вируса
Автор вируса не только выпустил копии зараженных файлов "на свободу", но и разослал исходные ассемблерные тексты вируса. Это привело к тому, что эти тексты были откорректированы, откомпилированы и вскоре появились модификации вируса, имевшие различные длины, однако по функциональности они все соответствовали своему "родителю". В некоторых вариантах вируса была изменена дата срабатывания "бомбы", либо этот участок вообще никогда не вызывался.

Известно также об "оригинальных" версиях вируса, срабатывающих в дни, отличные от 26 [апреля]. Данный факт объясняется тем, что проверка даты в коде вируса происходит по двум константам. Естественно, что для того, чтобы поставить таймер "бомбы" на любой заданный день, достаточно поменять лишь два байта в коде вируса.




На вашем винчестере похозяйничала злобная тварь Win95.CIH ? Да — этот зловред до сих пор бродит по свету, то и дело принимаясь за старое. BIOS цел, но испорчен FAT? Еще не все потеряно — бесценная информация поддается восстановлению!
Все не так уж плохо: вирус портит каждый восьмой сектор всех жестких дисков. А это значит, что в любом случае теряется Master Boot Record (главная загрузочная запись), так как она находится в самом начале диска: Cyl0, Side0, Sec1 — что на русском языке означает: "Цилиндр 0, Сторона 0, Сектор 1". Иногда (в зависимости от объема диска) может потеряться Boot Record, расположенная на Cyl0, Side1, Sec1. То есть частично разрушены обе FAT. Первая копия начинается с Cyl0, Side1, Sec33. А вторая копия идет следом за ней.
Также частично разрушены файлы, находящиеся в самом начале диска. Это служебные файлы операционной системы, интереса они не представляют, и то, что они не подлежат восстановлению, нас не должно огорчать.
Теперь нужно восстановить Master Boot Record, Partition Table, Boot Record и FAT. Это не так сложно и страшно, как звучит. Для восстановления нам понадобятся программы Diskedit и dub.exe ( можно взять на нашем компакте ), а также второй жесткий диск.

Процесс пошел

Так как всего существует две копии FAT, то


DUB совсем не дуб, когда доходит
до дела.
повреждения находятся в разных местах. И нам всего лишь нужно собрать из двух нерабочих копий одну рабочую версию. Для сравнения и сборки FAT нам понадобится упомянутая выше утилита dub.exe. Но для начала надо выделить обе FAT в файлы. Для этого подключаем второй жесткий диск, загружаемся с досовской дискеты и запускаем Diskedit. Запустив утилиту, мы получаем доступ к жесткому диску как к физическому устройству ( ALT+D ). Нажав ALT+P , переходим на сектор Cyl:0,Side:1,Sec:33. Если FAT там не начинается (выглядит FAT как массив чисел; начало массива состоит из маленьких чисел, к концу они увеличиваются), то его можно найти через меню Tools\FindObject\FAT . Далее записываем адрес на бумажку и повторяем поиск для нахождения второй копии FAT.
Теперь немного устного счета: из начального сектора второй копии вычитаем начальный сектор первой и получаем размер FAT-1 в секторах. Теперь, когда известны размеры обеих копий, можно перейти непосредственно к сохранению.
Перейдя на физический сектор (уже знакомая комбинация ALT+P), указываем адрес начала первой таблицы, а в поле "количество секторов" заносим вычисленный размер FAT-1. Далее нажимаем ALT+W\to a file . Указываем путь, куда сохранить файл и имя. Сохраняться FAT должен на второй винчестер, потому что ваш пока система не видит . Точно те же действия необходимо повторить для получения FAT-2.
Теперь предстоит самый нудный процесс ручной сборки FAT. Запускаем утилиту dub.exe с параметром . Можно проще — пишем dub.exe fat1 fat2 . Где fat1, fat2 — имена файлов-копий FAT.
Появляются два окна. В верхнем — первый файл, а в нижнем, соответственно, — второй. Отличающиеся байты маркированы желтым цветом. Так что если увидели желтые байты — жмите F6 . Это заменит сбойные участки. Продвигаемся по файлу стрелочками. Процесс долгий — запаситесь терпением. Добравшись до конца файла, жмем F10 , файл автоматически сохранится, и мы окажемся в первозданном DOS.
Теперь следует найти ROOT (корневой каталог). Для этого в Diskedit надо перейти на начало диска и пройти в Tools\FindObject\Subdirectory . Показанное и будет искомым ROOT’ом. Теперь его тоже нужно сохранить на диск файлом рядом с FAT’ом.

Финишная прямая

Теперь запускаем fdisk.exe . Надо создать основной раздел точно такого же размера, как раньше. Если этого не сделать — будут отличаться размеры FAT, и ROOT окажется в другом месте. Выходим из fdisk, перезагружаемся. Теперь форматируем диск: format /u /s . Это восстановит Master Boot Record, Partition Table и Boot Record.
Теперь, в качестве финального штриха, запускаем Diskedit, копируем на место первой и второй существующих FAT нашу исправленную версию. На место нового ROOT копируем старый, сохраненный. Перезагрузка.

All done!

Уф-ф. все получилось. Если нигде не было ошибок. Здесь, как у саперов, — достаточно одной неточности, и. Сапер от лопатки недалеко падает.
Будьте бдительны — не позволяйте всякой нечисти хозяйничать у вас на винчестере. Иначе придется пройти через то, что я описал.

"Лабораторией Касперского" (www.kaspersky.ru) меньше месяца назад был запущен новый сетевой проект — TOP 20 самых распространенных в Рунете вирусов (обновляется ежемесячно). Данные для сводки собираются не только по комментариям пользователей, но и по информации, предоставленной почтовыми службами и сайтами различной направленности. Так что выборка довольно большая, и на ее основе можно делать соответствующие выводы. По крайней мере, ознакомление со сводкой может локализовать поиск злобных вирей на вашей машине.
Если вы подозреваете, что на вашем компьютере поселился злобный "зверь", а полноценного антивирусного пакета под рукой нет, то, сверившись со сводкой, вы можете скачать из Сети несколько бесплатных утилит, призванных уничтожить конкретные вирусы (подобные программы выпускаются самыми различными компаниями и частными лицами). Сканируете свои винты на предмет наличия болезнетворных тварей — и спите спокойно.

Nimda шагает по Сети

Сбываются худшие предсказания экспертов, согласно которым червь Nimda войдет в историю Интернета как один из самых заразных вирусов. Казалось бы, сколько предупреждали, сколько объявлений на сайтах вешали. ничто не помогает. По сей час заражению ежедневно подвергаются около пятидесяти тысяч компьютеров. И на данный момент по всему миру заражено около трех миллионов машин, а ущерб от действия Nimda составил порядка четырехсот миллионов долларов.
Конечно, пока это не идет ни в какое сравнение с ущербом, нанесенным "червем" Code Red, буйствовавшим на территории Сети с июля по август месяц сего года. Тогда потери составили порядка двух с половиной миллиардов "зеленых рублей". Но Nimda, по заверениям тех же специалистов, только набирает обороты, и покончить с ним столь же быстро, как и с "Красным Кодом", не удастся.
А ведь для защиты от напасти достаточно лишь обновить антивирусные базы (практически все антивирусы на данный момент лечат Nimda) или скачать бесплатную утилиту-доктор с сайта "Лаборатории Касперского".

Вирусы — убийцы Интернета?

Не секрет, что человечество, сведя практически на нет потуги главного слуги эволюции — естественного обора — контролировать людскую численность и допускать к размножению лишь самых выдающихся, лоб в лоб столкнулось с проблемой чистоты вида. Увы, давно канули в бозе времена, когда генофонд нации составляли крепкие, здоровые гены сильнейших ее представителей. С ростом технологии рос и уровень жизни, а это, в свою очередь, вело к тому, что даже самые слабые — а зачастую именно они — имели возможность наравне с сильными оставить после себя потомство. В генофонде человечества начали накапливаться всевозможные заболевания, и сейчас мы, можно сказать, стоим на грани вымирания. Так считают ученые.
И кто бы мог подумать, что похожая картина происходит сейчас и с Интернетом. Только темпы развития ее куда как более высоки, а жизнь Сети, по мнению тех же самых ученых, увы, подходит к концу. Группа исследователей из корпорации MessageLabs, специализирующейся на контроле-сканировании почтовых отправлений, пришла к таким неутешительным выводам.
В начале 1999'го года каждое тысячное виртуальное письмо было заражено тем или иным вирусом. С наступлением 2000'го года количество инфицированной почты возросло ни много ни мало в два раза. Сейчас — в конце 2001'го — заразу можно подхватить из каждого 300'го послания. Проведя ряд несложных подсчетов, специалисты MessageLabs сделали заключение, что уже в 2004'ом году будет заражено каждое сотое письмо, ну а к 2008 году Сетью вообще нельзя будет пользоваться для общения, не боясь заразиться. Увы, Интернет оказался эволюционно несовершенным, его "иммунная" система — антивирусы — пока не выдерживает столь мощной атаки вирусов извне. Так что либо в самом ближайшем будущем будут придуманы радикально новые способы защиты виртуальных сообщений, либо Сеть будет мертва для общения. Хочется надеяться, что антивирусные лаборатории не подкачают, и наши внуки еще смогут насладиться радостью пребывания в онлайне.

Червь-FATоед

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.