Наверное, нет ни одного пользователя, хакера и даже ламера, который не знает о роковом дне 26 апреля. Да, это день активации одного из самых опасных вирусов, имя которого Win95.CIN , известного также, как “Чернобыль”. Этот вирус разрушает аппаратную часть компьютеров. 26-го числа каждого месяца (только некоторые версии вируса), после срабатывания деструктивного кода вируса, материнские платы компьютеров становятся практически неработоспособными. Но только в том случае, если в этих компьютерах, инфицированных вирусом Win95.CIH , переключатель записи в перезаписываемое программируемое ПЗУ (Flash BIOS) находился в положении, разрешающем запись в это ПЗУ. А, как правило, все компьютеры поставляются и продаются именно с таким положением переключателя.

Вирус Win95.CIH был написан в Тайване, распространялся автором этого детища в Интернете, и в настоящее время поразил большинство стран Юго-Восточной Азии, а также некоторые европейские страны (в частности, очень серьезно пострадала Швеция).

Вирус Win95.CIH очень опасный резидентный вирус. Заражает файлы в формате EXE PE под управлением операционной системы Windows 95 . При заражении файлов вирус не увеличивает их длины, а использует довольно интересный механизм заражения файлов. Каждая кодовая секция EXE PE файла выровнена на определенное количество байт, обычно не используемых программой. В такие области вирус и записывает части своего кода, “разбрасывая” их иногда по всему файлу (или по всем кодовым секциям). Кроме того, вирус может записать свою стартовую процедуру (процедуру, первой получающую управление при запуске программы) или даже весь свой код в область заголовка EXE PE файла и установить точку входа программы на эту стартовую процедуру. Таким образом, точка входа файла может не принадлежать ни одной кодовой секции файла.

При получении управления вирус выделяет себе блок памяти посредством вызова функции PageAllocate и “собирает себя по частям” в единое целое в этом выделенном участке памяти. Далее Win95.CIH перехватывает IFS API и отдает управление программе-вирусоносителю. При открытии файлов с расширением EXE и форматом PE вирус инфицирует их.

26-го числа каждого месяца вирус уничтожает содержимое Flash BIOS , записывая в него случайные данные (“мусор”). В результате после первой же перезагрузки компьютер перестает загружаться. И, как правило, даже в промышленных условиях восстановить содержимое Flash BIOS и вернуть работоспособность компьютеру достаточно сложно.

В настоящее время существует три модификации вируса Win95.CIH длиной 1003, 1010 и 1019 байт. Данные вирусы содержат в своем теле тексты:

Win95.CIH.1003 - CIH v1.2 TTIT

Win95.CIH.1010 - CIH v1.3 TTIT

Win95.CIH.1019 - CIH v1.4 TATUNG

26 апреля 1999 года за первые 9..10 часов с утра было зафиксировано только по России более чем в 20 городах срабатывание вируса Win95.CIH . В офисы разработчиков антивирусных программ поступало множество звонков и сотни электронных писем. За последние несколько лет это самый крупный случай срабатывания компьютерного вируса, к тому же приводящий к потере данных и временному выводу из строя компьютеров.

При работе 26 апреля в Windows 95/98 вирус, определив, что наступило нужное число, запускает деструктивную функцию. В результате чего произошло следующее:

Деструктивная функция пытается записать “мусор” во FLASH BIOS компьютера. Если эта операция удается, то компьютер можно восстановить только заменой микросхемы BIOS или перешивкой этой микросхемы на специальном оборудовании. К сожалению, иногда это практически невозможно. В частности, на некоторых типах портативных компьютеров придется менять материнскую плату, что может стоить практически столько же, что и новый компьютер;

Параллельно записи “мусора” во FLASH BIOS затирались данные на дисках, в них был записан случайный “мусор”.

Восстановление данных на дисках практически невозможно. В любом случае, в результате этих операций компьютер не грузится, и зачастую это выглядит как поломка. В службу технической поддержки фирмы “Красная волна”, занимающейся сборкой и продажей компьютеров, за 1-ю половину дня 26 апреля 1999 г. обратились более 50 клиентов, которые были уверены, что у них вышел из строя блок питания.

Вирус Win95.CIH уверенно входит в 10 самых распространенных вирусов в мире. Причем из этой десятки данный вирус единственный, в который встроены серьезные деструктивные функции. Срабатывает этот вирус один раз в год - 26 апреля. Hекоторые, появившиеся позже модификации срабатывают 26-го числа каждого месяца.

В целом вирус Win95.CIH давно известен (подробное описание его можно найти на сайтах антивирусных фирм). Антивирусные программы, к примеру, такие, как “DrWeb”, “AntiViral Toolkit Pro” и другие подобные, давно знают и умеют лечить этот вирус. Естественно, до того, как вирус активируется и похоронит себя вместе с другими данными. Но, как показывает произошедшее, большая часть пользователей, несмотря на предостережения, не пользуется антивирусами. Причем у многих из пострадавших были антивирусные программы более-менее свежих версий, но они их не запускали для проверки дисков компьютера. И вирус все-таки сработал!

Старые избитые советы “не пользуйтесь непроверенными источниками”, “регулярно проверяйте диски антивирусными программами” помогают и в этом случае. Те, кто заботится о сохранности данных и пользуется свежими версиями антивирусных программ, защищен от таких вирусных атак.

В этом году компьютерщики всего мира ждали два “конца света”. Первый - в ночь на 1 января 2000 года. Второй, поскольку первый так и не произошел, был назначен на 26 апреля. Именно в этот день в прошлом году были “убиты” сотни тысяч компьютеров, пораженные вирусом Win95.CIN (неформальное название - “Чернобыль”). Второй “конец света” также, к счастью, не состоялся, хотя и в этом году в России и других странах было повреждено довольно большое количество компьютеров.

В течение 26-27 апреля в “ДиалогHауку” (один из крупных разработчиков антивирусных программ) обратились около 200 пользователей, на компьютерах которых сработал вирус “Чернобыль”. Конечно, по сравнению с прошлым годом, когда количество обращений превысило 1000, это немного (что, впрочем, мало утешает тех, кто пострадал от вируса). По общему мнению специалистов, повторной эпидемии удалось избежать благодаря широкой распространенности и доступности современных антивирусных средств , посредством которых данный вирус может быть обнаружен и уничтожен.

“ДиалогHаука” 15 апреля объявила о бесплатной раздаче последней, полнофункциональной версии сканера Doctor Web. К 26 апреля в рамках этой акции Doctor Web бесплатно получили более 20 000 человек. Основной целью этой акции было предоставление пользователям надежного средства защиты именно от вируса Win.CIH.

Еще один “Убийца”

Как люди общались между собой, когда были далеко друг от друга лет десять назад и раньше? Они писали прекрасные письма. Писали на бумаге, от руки

Вирусы, распространяемые по электронной почте, способны к самораспространению. Т.е. человек, якобы отправивший вам письмо, даже не подозревает о том, что он отправил данное письмо. Подобные вирусы, при открытии пользователем прикрепленного файла-вируса к полученному письму, “залезают” в адресную книгу и создают письма со своими файлами, которые благополучно отправляются (в большинстве случаев сразу же) по всем адресам из адресной книги. Адресат, увидев письмо от друга, без опаски открывает прикрепленный файл, и сразу же заражает свой компьютер, а также непроизвольно посылает вирус другим адресатам. Вирус может быть замаскирован под, скажем, файл MS Word. Кто догадается, что лучший друг прислал вирус, да еще и в Word-файле?

Любовные письма

В начале мая 2000 года количество признаний в любви как минимум в 3 раза превысило среднестатистические показатели. Признавались в любви все - от секретарш до парламентариев и министров, причем настойчиво и без разбору - всем, кому они могли это сделать.

Началась эта сокрушающая любовь 4 мая 2000 года, когда один из пользователей (возможно, студент) разослал свой новый вирус-червь в конференции Интернет. Дальнейшее распространение червя шло фантастически быстро по причине “веерной рассылки” - он отправлял свои копии по всем адресам электронной почты из адресной книги Outlook.

Евгений Касперский (разработчик одной из лучших антивирусных программ) прокомментировал глобальную эпидемию нового червя: “Этот червь рассылает себя САМ и СРАЗУ в момент его запуска (а не приклеивается к отсылаемым пользователем письмам, как это делает нашумевший в начале 2000 года скрипт-червь KakWorm). Червь рассылает себя по ВСЕМ адресам адресной книги (а не по 50-ти первым, как делала Melissa). В результате распространение зараженных писем имело взрывной эффект, сравнимый с ядерной цепной реакцией. Допустим, в адресной книге сервера примерно 300 адресов, в компании работает 50 человек, и примерно 20% персонала не понимают, что запускать файлы из вложений нельзя - получаем примерно следующее. Если в такую компанию попадает письмо с вирусом, то от компании уходит примерно 0.20*50*300 = 3000 зараженных писем. Как мне помнится, в атомных бомбах соотношение “разлетабельности” нейтронов примерно 3 на 1 прилетевший. То есть, компьютерная любовь бьет в 1000 раз сильнее”.

Первыми от вируса Love.Letter пострадали страны Азии, поскольку вирус был выпущен на свободу именно там (Филиппины). Затем он пришел в Европу, из Европы в Америку и к нам в Россию. В “Лабораторию Касперского” первое, но далеко не последнее, зараженное письмо поступило первый раз в 13:08 минут по московскому времени.

В 17:30 по московскому времени, когда в США началось утро, весь мир лежал у ног новоявленного компьютерного монстра - поступили сообщения о массовых заражениях компаний и частных пользователей. По оценкам различных, компаний поражению подверглось огромное количество компьютерных сетей (от 30% до 80% в зависимости от страны). Количество зараженных компьютеров на третий день нашествия червя оценивается в 3 миллиона. Ориентировочные данные об убытках колеблются от сотен миллионов до 10 миллиардов долларов США.

Согласно данным компании F-Secure, вирус, который распространяется через электронные почтовые сообщения, содержащие в поле “Тема” письма запись “I Love You” или “Love Letter”, впервые появился 4 мая в Азии. Вероятным источником его происхождения являются Филиппины. По оценке экспертов, вирус I Love You может принести много больше неприятностей, чем печально известная Melissa.

По мнению Мико Хиппонена (Mikko Hypponen), руководителя исследовательской группы F-Secure, за пять последних лет еще не было вируса, столь быстро и глобально распространявшегося по миру: “за четыре часа со времени первого тревожного сообщения из Норвегии, поступившего в 9 утра по Гринвичу, в F-Secure уже есть данные о вирусе из более 20 стран”.

Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем “Love-Letter-For-You” и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You “отправляет себя” всем адресатам из адресной книги жертвы.

Письмо с вирусом выглядит следующим образом:

Тема письма: ILOVEYOU

Сообщение в письме: kindly check the attached LOVELETTER coming from me.

Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs

Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агентства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: “Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов. И апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли”.

Есть данные, что почтовые сообщения с “I Love You” были получены в Пентагоне, Федеральном резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.

Как “I Love You”действует?

При первом запуске вируса он копирует себя в следующие директории:

WINDOWS\SYSTEM\MSKERNEL32.VBS

WINDOWS\WIN32DLL.VBS

WINDOWS\SYSTEM\LOVE-LETTER-FOR-YOU.TXT.VBS

А также он добавляет следующие регистрационные ключи в системный реестр Wndows:

HKEY_LOCAL_MACHINE\Software

\Microsoft\Windows

\CurrentVersion\Run

\MSKernel32=WINDOWS\SYSTEM

HKEY_LOCAL_MACHINE\Software

\Microsoft\Windows\CurrentVersion

\RunServices\Win32DLL=WINDOWS

“I Love You” сканирует все диски , доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение.VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на.VBS. При нахождении файлов *.MP3 и *.MP2 I Love You заменяет код, добавляет свое расширение и делает файл невидимым.

После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу (трояна) для кражи паролей WIN-BUGSFIX.EXE. Эта программа должна, по замыслу, найти все скешированнные пароли и отправить их по адресу [email protected]. Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес веб-сайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется следующий ключ:

HKEY_LOCAL_MACHINE

\Software\Microsoft\Windows

\CurrentVersion\Run\WIN-BUGSFIX.

Данный ключ автоматически запустит программу для кражи паролей при включении ОС. При этом троянец копирует себя в WINDOWS\SYSTEM\WinFAT32.EXE и заменяет соответствующий ключ Реестра на:

§HKEY_LOCAL_MACHINE

\Software\Microsoft\Windows

\CurrentVersion\Run

\WinFAT32=WinFAT32.EXE.

Что делать, если это произошло?

Если ваша система уже заражена вирусом, то единственное, что вы можете предпринять, это удалить источник заражения.

1) Нажмите START|RUN.

2) Впишите в командную строку REGEDIT и нажмите ENTER.

3) В левой части окна нажмите “+” напротив строки: HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run.

4) В правой части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs” и “\WIN-BUGSFIX.exe” и удалите его.

5) Необходимо также найти и удалить ключ с записью “:\Windows\System\ Win32DLL.vbs”.

6) Выйдите из Реестра.

7) Нажмите START|SHUTDOWN. Выберите режим “Restart in MS-DOS mode” и нажмите OK.

8) После перезапуска компьютера откроется директория C:\.

9) Добавьте в строку запись “DEL WIN-BUGSFIX.exe”.

10) Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится.

11) Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования.

12) Для исправления записей в Рееестре и удаления испорченных вирусом файлов HTML и TXT, воспользуйтесь инструментом swet.exe (http://www.antivirus.com/swat.exe), разработанным TrendMicro.

13) Есть также и пара-тройка специализированных программ, которые помогут вам ликвидировать последствия разрушительных действий “I Love You”. (http://digest.com.ua/cgi-bin/links/search.cgi?query=i+love+you).

Противодействие найдено

Антивирусные компании практически мгновенно приступили к созданию “противоядия”. Однако сразу возникла проблема: вирус начал “мутировать”. Модифицировать его код очень легко, поскольку червь написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах. И изменить его код, добавить или убрать функции может любой, кто мало-мальски разбирается в этом языке.

Другая проблема, возникающая при детектировании скрипт-вирусов и червей, заключается в том, что стандартные антивирусные средства во многих случаях способны отловить опасного гостя только после того, как он уже проник в систему и поразил ее.

Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и “ловят” резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов (они используют исключительно память компьютера). Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер.

“Лаборатория Касперского” предлагает своим пользователям уникальную технологию защиты как от всех известных вариантов нового Интернет-червя “LoveLetter”, так и от всех его последующих мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host - обработчик VisualBasic-скриптов).

Таким образом, в момент передачи скрипта на обработку и выполнение его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором.

“Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных Интернет-червей нового поколения”, - резюмирует Евгений Касперский. - “Мы настоятельно рекомендуем пользователям установить нашу новую разработку и обновить свои антивирусные программы. Если бы я сегодня выбирал антивирусную защиту для своего компьютера - я бы так и сделал”.

Существующие вариации вируса.

Согласно данным компании TrendMicro, есть пять вариаций вируса:

LOVELETTER Тема письма - ILOVEYOU, тело - kindly check the attached LOVELETTER coming from me, аттачмент - LOVE-LETTER-FOR-YOU.TXT.vbs. Распространяется по электронной почте и сетям mIRC. В последнем случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям того же канала, что и “зараженный” пользователь.

- Susitikim Тема письма - Susitikim shi vakara kavos puodukuiј В начале кода содержит комментарий -”rem Modified Lameris Tamoshius / Lithuania (Tovi systems)”.

- VeryFunny Аттачмент - Very Funny.vbs, тема - fwd: Joke, тело - без текста, создает файл Very Funny.HTM.

- No Manila Header Аналогичен LOVELETTER, но в коде отсутствуют два комментария - “rem barok - loveletter(vbe) ” “rem by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philippines”