ГлавнаяКонтактыКарта сайта
ЕПОС
О компанииКомпьютерная криминалистикаВосстановление информацииЗащита информацииПроизводство и ITСервисНаши разработки

Расследование инцидентов, компьютерная криминалистика, информационная безопасность

Книжная серия Взгляд на жесткий диск изнутри




Архив статей


28.04.1999
Информационная катастрофа 26 апреля

Вячеслав ОВСЯННИКОВ
ведущий специалист фирмы «ЕПОС»

В апреле самой большой проблемой месяца, связанной с компьютерами, по праву можно считать эпидемию вируса Win95.CIH – «Чернобыль».

К наличию компьютерных вирусов уже все привыкли. Периодически они появляются в компьютере. Иногда их удается вовремя обнаружить. Иногда что-нибудь портится, но, как правило, особых трагедий не происходит. В прошлом году «на волю» был выпущен новый, очень опасный вирус Win95.CIH. Вирус появился, по-видимому, на Тайване. За прошедший год он распространился по всему миру, включая Украину. По данным британского журнала Virus Bulletin этот вирус стабильно входит в десятку самых распространенных в мире. Причем, из этой десятки вирус Win95.CIH единственный, в который встроены серьезные деструктивные функции.

Этот вирус использует довольно интересный механизм заражения, который обеспечивает ему высокую скрытность и очень высокую способность к «размножению». Практически не встречаются компьютеры, у которых этим вирусом заражено 1...2 файла. Если компьютер заражен, то вирус находится почти во всех «.ехе» файлах. В целом вирус Win95.CIH давно известен. Подробное описание его можно найти на сайтах антивирусных фирм (ДиалогНаука) и компьютерных журналов (Chip). Последние версии большинства антивирусных программ знают и умеют лечить этот вирус. В этом плане вирус Win95.CIH не является чем-то из ряда вон выходящим. Главными отличиями его от других вирусов являются очень опасные разрушения, производимые этим вирусом и длительный «скрытый период» (когда действие вируса никак не проявляется).

Разрушения, вызываемые вирусом:

  • первые 2048 секторов каждого жесткого диска уничтожаются, и на их место записывается случайная последовательность;
  • разрушается часть содержимого BIOS.

Длительность «скрытого периода»:

  • разрушительные действия «классического» вируса (CIH.1003, или CIH v.1.2) проявляются только 26 апреля, в день, когда произошла Чернобыльская катастрофа.

Как проявилось действие вируса Win95.CIH 26 апреля 1999 г. в Киеве

Естественно, последствия действия вируса будут еще долго обобщаться на разных уровнях. Однако, первый пострадавший от воздействия данного вируса принес свой компьютер в сервисный центр «ЕПОС» уже в 9 часов утра. К обеду в сервисном центре ждало своей очереди 28 «винчестеров», а прошивка нового BIOS производилась как на заводском конвейере. Очередь компьютеров, владельцы которых думали, что произошла лишь поломка, заслуживает отдельного описания. Одного специалиста пришлось выделить специально, только для того, чтобы отвечать на телефонные звонки, которые продолжались до девяти часов вечера.

Что же произошло? Да, собственно, то, что и ожидалось. Эпидемия ведь началась уже давно. В последнее время большинство компьютеров, поступающих в сервисный центр вследствие различных поломок, было, ко всему прочему, еще и заражено вирусами (в том числе и Win95.CIH). Так что 26 апреля разрушающая способность вируса только активизировалась. Нельзя сказать, что специалисты, знавшие об угрозе, молчали все это время. Многие фирмы, в том числе, конечно, и «ЕПОС», давно предлагают, в качестве одной из своих услуг, регулярное проведение антивирусного контроля. Вопросы борьбы с вирусами регулярно поднимаются на страницах всех компьютерных журналов. Например, 1-го марта вышел 3 номер журнала CHIP с обширным материалом по компьютерной вирусологии. Начинается подборка с напоминания об опасных свойствах вируса Win95.CIH. Здесь же приводятся подробные рекомендации о том, как избежать катастрофы. Однако, по всей видимости, принцип «авось» непобедим. Самое интересное, что на многих компьютерах, из тех, что побывали в сервисном центре «ЕПОС», и на которых были обнаружены вирусы, неоприходованным грузом лежали и антивирусные программы. Значит, они лежали для коллекции, но ими не пользовались!

Какие последствия ожидаются

Как и при любой массовой угрозе, одним из неприятных последствий ожидания является паника. В некоторых средствах массовой информации, включая телевидение, 26 апреля появились сообщения о том, что информация на пораженных винчестерах погибла безвозвратно, или даже о том, что компьютер вообще восстановить невозможно.

Это не так! Вирус портит только 2048 начальных секторов диска. Это значит, что если на компьютере была установлена операционная система Windows 95 с файловой системой FAT32 и диск не разбивался на множество мелких, то, для восстановления системы, достаточно загрузиться с дискетки и с помощью fdisk.exe восстановить главную загрузочную запись. В других случаях также можно восстановить систему или, по крайней мере, сохранить всю полезную информацию. Это, конечно, требует более серьезных знаний и навыков, поэтому лучше доверить «лечение» компьютера специалистам фирм, предлагающих соответствующие услуги. Серьезные трудности возникают лишь в тех случаях, когда пользователи, не обладающие профессиональнми навыками, сами пытаются исправить положение.

Другим, не менее опасным явлением, является излишняя успокоенность после того, как прошел первый испуг. С чьей-то легкой руки гуляет утверждение, что вместе с повреждением жестких дисков погибает и сам вирус. Возникает ощущение, что больше он не угрожает. Это не так! Вирус Win95.CIH жив! Он живет в больших количествах на многочисленных пиратских CD дисках. После того, как пользователи оправятся от испуга и восстановят операционную систему, они начнут заново устанавливать полюбившиеся им программы с этих самых пиратских дисков и этим быстро восстановят популяцию вируса. Вирус живет также и на многочисленных дискетах. И, наконец, Интернет для Win95.CIH – родная стихия.

Самое страшное заключается в том, что очередного пробуждения вируса не потребуется ждать до следующего года. В настоящее время уже известно четыре разновидности вируса Win95.CIH:

  • CIH.1003, CIH.1010.A – активизируются 26 апреля.
  • CIH.1010.B – активизируется 26 июня.
  • CIH.1019 – активизируется 26 числа каждого месяца.

Что необходимо предпринять

Специальных рекомендаций на тему: «как уберечься от вируса Win95.CIH», не существует. Более того, неправильно было бы настраивать владельцев компьютеров на борьбу только с одним вирусом. Довольно распространены и другие, не менее опасные, вирусы, после которых восстановить информацию действительно удается очень редко. Например, многочисленные клоны вируса «One Half». Вирус Win95.CIH «нагнал страху» не потому, что он так опасен, а потому, что действие его проявилось у всех в один день. В отличие от Win95.CIH, «One Half» (как и большинство других) периодически портит информацию только на отдельных компьютерах, причем друзья пострадавшего владельца остаются в твердой уверенности, что с ними этого не произойдет.

Таким образом, главная рекомендация заключается в том, что необходимо серьезно относиться к защите от вирусов.

В рамках данной статьи вряд ли целесообразно еще раз приводить рекомендации по борьбе с вирусами. В периодической печати (а значит, и на сайтах ведущих компьютерных журналов) этим вопросам посвящены обширные статьи. Хочется сделать только одно небольшое пожелание:

Господа! Мойте руки перед едой!


Поделиться информацией