Jak pozbyc sie CHERNOBYLA


(Pddudek) #1

Skaner online wykrył,że mam komp... zainfekowany CHernobylem jak pozbyc sie go w najprostrzy sposób POMOCY!


(lysysz) #2

Ściągnąć szczepionkę firmy GData--->wyłączyć przywracanie systemu-->odpalić kompa w trybie awaryjnym-->przeskanować w/w szczepionką-->wkleić loga z HiJacka, którego znajdziesz w vortalu.

Chernobyl (Win95.CIH)

Win95.CIH to specyficzny wirus pasożytniczy działający w środowisku Windows 95/98. Infekuje on pliki PE (Portable Executable) Windows'a. Wirus ma rozmiar około 1 kB. Został odkryty w Tajwanie w czerwcu 1998 roku - autor wprowadził go do sieci lokalnej uczelni, na której studiował. Następnie wirus (przypadkowo?) został wysłany do lokalnej konferencji internetowej co pozwoliło mu wydostać się poza Tajwan: po tygodniu wirusa odnaleziono w Austrii, Australii, Izraelu, Anglii. Pojawiły się także doniesienia z innych krajów (Szwajcaria, Szwecja, USA, Rosja, itd.). Po upływie miesiąca, zainfekowane pliki pojawiły się na kilku stronach WWW w USA co spowodowało globalną epidemię. Po około roku od pojawienia się wirusa, 26 marca 1999 roku "bomba" w kodzie wirusa wywołała komputerową katastrofę - około miliona komputerów zostało uszkodzonych z powodu infekcji: we wszystkich przypadkach utracono dane na dysku twardym, w wielu zniszczony został FlashBios na płycie głównej oraz dyski twarde. Nigdy wcześniej nie wystąpił tak globalny i katastrofalny w skutkach atak wirusa. Ponieważ "bomba" wirusa uaktywniła się tego samego dnia, w którym miała miejsce katastrofa w Czernobylu (26 kwiecień 1986), wirus znany już jako "CIH" otrzymał druga nazwę - "Chernobyl". Mimo to, autor wirusa nie łączył "bomby" z katastrofą w Czernobylu (może nawet nigdy o niej nie słyszał). Dzień uaktywnienia "bomby" został wybrany z innego powodu. Pierwsza wersja wirusa (która na szczęście nie opuściła Tajwanu) została wypuszczona 26 kwietnia 1998, więc wirus świętował swoje "urodziny". Działanie wirusa Wirus instaluje się w pamięci Windows, przejmuje wywołania dostępu do plików i infekuje otwierane pliki EXE. W zależności od daty systemowej (tabelka poniżej) wirus uruchamia swoją funkcję startową. CIH posiada błędy i w niektórych przypadkach zawiesza komputer podczas uruchamiania zainfekowanej aplikacji. Mimo że szczegóły techniczne mechanizmu infekcji CIH'a bardzo intrygują badaczy wirusów, tym co wyróżnia Chernobyl'a wśród innych wirusów to jego działanie, zwane też funkcją startową. Składa się ona z dwóch części, które są aktywowane po spełnieniu odpowienich warunków. Jako, że funkcja startowa jest częścią mechanizmu infekcji nie jest ona wywoływana gdy wirus rezyduje w pamięci. Warunki wywołania funcji startowej są spełnione gdy odpowiedniego dnia jest otwierany plik z rozszerzeniem EXE, nie będący jednak dobrym "materiałem" na nosiciela.. Funkcja startowa wirusa obsługuje porty Flash BIOS-u i próbuje nadpisać "śmieciami" pamięć Flash. Jest to możliwe tylko wtedy, gdy płyta główna i chipset pozwalają na zapisywanie w pamięci Flash. Zazwyczaj zapisywanie do tej pamięci można zablokować zworką, jednak zależy to od płyty głównej. Niestety, nowocześniejszych płyt głównych nie da się zabezpieczyć zworką - także niektóre z nich nie zwracają uwagi na położenie zworki i ochrona nie przynosi rezultatów. Istnieją również płyty główne, które umożliwiają włączanie/wyłączanie ochrony przed zapisem programowo. W przeciwieństwie do pamięci RAM, FlashROM'y nie mogą być zapisywane danymi o przypadkowej wielkości. Większość pamięci ROM ma strony pamięci wielkości 128 bajtów przeznaczone dla swoich bloków ładujących (boot blocks). Z tego powodu CIH zapisuje tylko jeden bajt a pozostałe 127 bajtów jest ustawiane na wartość FFh. Podczas następnego startu komputera boot-block zawiera błędne dane. Fakt ten skutecznie blokuje komputer do czasu zainstalowania nowego BIOS'u. Jeżeli jednak chip FlashBIOS'u nie jest umieszczony w podstawce tylko stanowi integralną część płyty głównej, najprawdopodobniej konieczna będzie jej wymiana. Druga część działalności CIH'a to dokonywanie spustoszeń na dyskach twardych. Wirus nadpisuje pierwsze 2048 sektorów (1MB) każdego dysku twardego przypadkowymi danymi z pamięci. Cokolwiek nadpisane w taki sposób jest bardzo trudne lub wręcz niemożliwe do odzyskania. Następnie wirus wyszukuje wszystkie dostępne dyski a komputer mimo ciągłej pracy HDD nie odpowiada na działania użytkownika. W swoim dalszym działaniu, wirus nadpisuje dane na zainstalowanych dyskach twardych. Wirus wykorzystuje bezpośredni dostęp do zapisu i omija standardową ochronę antywirusową BIOS-u podczas nadpisywania MBR i boot sektorów. Istnieją trzy znane "oryginalne wersje wirusa", które różnią się tylko kilkoma częściami kodu. Mają różne długości, teksty wewnątrz kodu i różne daty startowe: Wersja CIH 1.2 ma długość: 1003 zawiera tekst: TTIT aktywuje się 26 kwietnia Wersja CIH 1.3 ma długość: 1010 zawiera tekst: TTIT aktywuje się 26 kwietnia Wersja CIH 1.4 ma długość: 1019 zawiera tekst: TATUNG aktywuje się 26 dnia dowolnego miesiąca (wiele doniesień) Szczegóły techniczne Podczas infekowania pliku, wirus szuka "dziur" w ciele pliku. Dziury te wynikają ze struktury pliku PE (Portable Executable): wszystkie sekcje pliku są ułożone według wartości zdefiniowanej w nagłówku pliku PE, co powoduje, że występują nie używane bloki danych pliku pomiędzy końcem poprzedniej sekcji a początkiem następnej. Wirus odszukuje te dziury i zapisuje w nich swój kod. Następnie wirus zwiększa rozmiary sekcji o odpowiednie wartości, przez co rozmiar pliku nie zwiększa się podczas infekcji. Jeśli w pliku istnieje dziura o wystarczającym rozmiarze, wirus zapisuje swój kod w jednej sekcji. Jeżeli nie - wirus dzieli swój kod na części i zapisuje je do końcówek różnych sekcji. W rezultacie kod wirusa może być odnaleziony jako zbiór fragmentów, a nie jako pojedynczy blok. Wirus szuka także dziury w nagłówku pliku PE. Jeśli znajduje się tam nie używany blok o długości nie mniejszej niż 184 bajty, wirus zapisuje tam swoją funkcję startową. Następnie wirus zmienia adres wejściowy w nagłówku pliku PE na wartość wskazującą na umieszczoną tam funkcje startową. Inne znane wersje wirusa Autor oryginalnego wirusa wypuścił nie tylko CIH'a w plikach EXE, lecz także jego kod źródłowy. Kod ten był zmieniany i z tego powodu pojawiły się nowe wersje bakcyla. Większość z nich zawiera błędy i nie jest zdolna do powielania się, ale niektóre z nich posiadają takie możliwości. Wszystkie są bardzo zbliżone do oryginału lecz istnieje kilka różnic. Przede wszystkim zmieniona została data startu "bomby" i nowe wersje wirusa kasują dane oraz Flash BIOS w innych dniach lub nie robią tego w ogóle


(Gutek) #3

Po co się rozpisujesz, a linka do szzczepionki jemu nie dałeś: użyj FIX-CIH Virus Recovery :wink: tam masz ten program :slight_smile: