Сталкер - Интернет-журнал
 

Домой


Новые сайты

Бизнес

Искусство

Компьютеры, интернет

Личное

Наука и образование

Общество

Персональные страницы


Stalker TOP
Наша кнопка
Используйте для ссылок на сайт эту кнопку


Rambler's Top100 Service

Архив статей

Сталкеровская премия

История компьютерного Красноярска

Гостевая книга

 О проекте

Полезные ссылки

Расписание самолетов

Расписание поездов


Яндекс  Что ищем?  
 Где искать? В Yandex По красноярским сайтам По каталогу сайтов

<< 26 апреля 2000 года >>

 Мысли вслух

Хроника ЧИХа

О ЧИХе я уже сказал все, что мог. Собственно, добавить к этому нечего. Так что я и не буду добавлять. Поэтому сегодняшнюю страницу будете писать вы. Сообщайте мне статистику действий ЧИХа, известные вам случаи поражения вирусом. Можно также звонить мне по телефону 65-13-85 (Алексей Бабий). Я буду каждый час публиковать сводку новостей. Было бы очень здорово, если бы эта страница осталась пустой. Значит, превентивные меры оказались действенными и мы сообща ЧИХа победили:о).


09.00. 

Пока ничего не слышно...  


10.00. 

Пара устных новостей. Некоторые юзеры просто не включают сегодня компьютер. Бедняги, они опять все поняли неправильно:о(((


11.00. 

Пока все тихо. А вот от лаборатории Касперского пришло  такое сообщение:

25 апреля 2000 г.

26 апреля может повториться 14 июля!

Компьютерный вирус Smash грозит уничтожить информацию на Вашем диске!

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении <в живом виде> нового Windows вируса Win95.Smash. Вирус имеет российское происхождение и был прислан в антивирусную лабораторию компании одним из российских пользователей.

Процедуры обнаружения и удаления вируса "Smash" добавлены во внеочередное обновление антивирусной базы AntiViral Toolkit Pro (AVP). Обновление доступно на WWW сайте <Лаборатории Касперского> по адресу www.avp.ru.

Технические детали

Общая характеристика

Резидентный Win9x-вирус размера более 10K.

Вирус записывается в конец PE EXE-файлов Win32. Не проверяет расширение имен файлов и заражает как .EXE-приложения, так и .DLL-библиотеки, .SCR и прочие выполняемые файлы Win32.

Вирус использует вызовы, специфичные для Windows 9x (VxD-функции), и по этой причине неработоспособен под Windows NT. Вирус также содержит некоторые неточности, по причине которых зараженные файлы в некоторых случаях оказываются неработоспособными.

Деструктивное воздействие

14 июля вызывает свою деструктивную функцию, которая записывает в файл C:.SYS троянскую программу и выводит сообщение:

Virus Warning!

Your computer has been infected by virus.

Virus name is 'SMASH', project D version 0x0A.

Created and compiled by Domitor.

Seems like your bad dream comes true...

Затем вирус перезагружает компьютер. При перезагрузке управление получеет троянская компонента в IO.SYS, которая выводит сообщение "Formating hard disk..." и стирает данные на первом жестком диске.

Заражение

Для того, чтобы усложнить детектирование и лечение зараженных файлов вирус использует полиморфные методы и при заражении файлов шифрует свой код полиморфным циклом.

Помимо этого вирус имеет "перемешанную структуру" (впервые подобное было обнаружено в DOS-вирусе "Badboy"). Код и данные вируса разделены на независимые блоки, связанные между собой специальной таблицей (всего таких блоков около 60 - процедуры инсталляции, заражения, полиморфик-подпрограммы

и т.д.). При заражении файлов вирус перемешивает эти блоки между собой и, таким образом, код вируса от заражения к заражению располагается в различном порядке следования блоков:

Когда код вируса подготовлен к записи в заражаемый файл (блоки перемешаны, зашифрованы и "закрыты" полиморфным циклом), вирус создает в конце файла новую секцию со случайным именем, записывает в нее свой зашифрованный код и корректирует необходимые поля PE-заголовка файла.

Резидентность и стелс-функции

Вирус остается резидентно в памяти Windows и остается активным вплоть до момента перезагрузки или выключения системы. Для этого вирус при помощи особых приемов переключается в режим системных VxD-драйверов (Ring0), выделяет себе блок памяти, копирует в него свой код, перехватывает функции поиска и открытия/закрытия файлов (IFS API) и остается в памяти Windows как VxD-драйвер.

При работе с файлами вирус вызывает свои процедуры заражения и стелс (stealth)-функции. Таким образом, при активном вирусе обычными средствами невозможно отследить увеличение длины и изменения содержимого зараженных файлов.


12.00 

"ЧИХ" поразил 8 компьютеров в одном из красноярских техникумов. Счет открыт:о((((


13.00 

Вчера в одном из красноярских театров сработал "ЧИХ". У них была неправильно выставлена дата на компьютере. Счет 0:9...

Новость от лаборатории Касперского:

Компьютерный вирус выдает себя за вакцину против "Чернобыля"

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении вируса Win32.Santana, рассылаемого по каналам Интернет и электронной почте в качестве универсальной вакцины от компьютерного вируса <Чернобыль>. Имя зараженного файла - NOCIH.EXE.

Процедуры обнаружения и удаления вируса добавлены во внеочередное обновление антивирусной базы AntiViral Toolkit Pro (AVP) и доступны на сайте"Лаборатории Касперского"  по адресу www.avp.ru.

"Данный вирус не причиняет никакого серьезного вреда. Однако мы хотели бы предостеречь пользователей о возможности появления многочисленных подделок под вакцину от "Чернобыля" в преддверии 26 апреля", - комментирует ситуацию Евгений Касперский, руководитель антивирусной лаборатории компании.

Техническое описание

Зашифрованный резидентный Win32-вирус. Записывается в конец PE EXE-файлов (выполняемые файлы Windows) и необходимым образом корректирует поля PE-заголовка файла. Никак не проявляется. Содержит строку: 

Virus "SANTANA" created by Net'$ Wa$te [RespawneD EViL]

При запуске зараженного файла управление передается на код вируса. Вирус расшифровывает себя, сканирует ядро Windows, определяет адреса необходимых ему функций и передает управление на свою основную процедуру. Здесь вирус определяет тип операционной системы (версию Windows) и в зависимости от этого выполняет различные действия.

Под Windows NT вирус ищет в текущем каталоге все PE EXE-файлы, заражает их и возвращает управление программе-носителю. Под Windows 95/98 вирус делает попытку остаться в памяти резидентно. Для этого он сканирует область памяти, которую занимают системные драйвера Windows (VxD-драйвера), ищет там свободный блок памяти (блок, заполненный нулями), копирует туда свой код, перехватывает Windows-функцию смены текущего каталога и в дальнейшем при вызове этой функции (при смене каталога) ищет в текущем каталоге PE EXE-файлы и заражает их.

Если же свободной памяти в области VxD-драйверов не обнаружено, то вирус повторяет процедуру заражения под Windows NT - ищет и заражает файлы в текущем каталоге, и отдает управление программе-носителю.


14.00 

По сообщению технического центра "Ками-Красноярск", было зарегистрировано три обращения:

  • Компьютер частного лица. Стерта информация в  ПЗУ,  данные на винчестере погибли.
  • Один или два компьютера одного из подразделений горУВД. ПЗУ живо, данные на винчестерах погибли.
  • 13:56 Звонок : "CIH убил винчестер. BIOS остался жить" Винчестер скоро привезут на восстановление.

По сообщению компании REST-402, у них есть обращение от частного лица плюс информация из Зеленогорска о трех погибших компьютерах. 

Счет 0:17...


15.00

В госархиве сегодня компьютеры не включают вообще...

По сообщению компании "Бит-Имидж", было зарегистрировано одно обращение от частного лица. Винчестер и ПЗУ убиты.

Сообщение технического центра "Ками-Красноярск": 

14:25 Звонок: "CIH уничтожил данные на HDD. Был FAT16". Судя по тому, что с дискеты загружались, BIOS не пострадал.

Счет 0:19...


16.00

Вчера вечером два молодых человека играли в Warcraft по домашней сети. В 12 часов ночи безжалостный ЧИХ вмешался в игру. Смешались в кучу орки, люди... Два BIOSа выстояли, два винта погибли. Счет 0: 21 в пользу ЧИХа...

По сообщению компании ИНДЕКС, за сегодняшний день было 3-4 обращения по телефону плюс один компьютер принесли на ремонт. Счет 0:26 в пользу ЧИХа...

По сообщению компании "Капитал-сервис", было зарегистрировано 5 обращений. BIOS не пострадал, но все пять винтов пусты. Счет 0:31 в пользу ЧИХа...

В компьютерных фирмах единодушно признают, что размах "ЧИХа" в этом году куда слабее. Стало быть, предупреждения прозвучали не зря.

В компании ПОЛЮС сообщили, что сегодня к ним по поводу ЧИХа вообще не обращались.

А компания СПАРК поступила просто замечательно, обзвонив ВСЕХ своих клиентов и предупредив их о грядущей опасности. Ни один из клиентов не пострадал!


 Взгляд

 Сегодня Илья Наймушин предстает в несколько неожиданном качестве - до сих пор его снимки носили репортажный характер.  Но и "постановочные" снимки не хуже:о)

 Фото Ильи Наймушина, слова Сталкера:о).


Лента новостей

 


Анонс от Сталкера: 27 апреля - "Столбы" 

Затравочка: " История столбизма началась сто пятьдесят лет назад..." 

<< 26 апреля 2000 года >>

  

Пишите мне: alex@maxsoft.ru, сообщайте о новых сайтах и замеченных ошибках...




 Нет предела совершенству!

BISER

 

 Designed by MaxSoft © 1998-2001Go! Go! Go!      Красноярские Столбы  участник Rambler's Top100