czarnobyl

[arcin11]

Miałem kiedyś tego wirusa i niechce by to sie powtorzyło jak on sie przenosi? Jakieś info o tym wirusie.Jak sie przednim ochronic oprocz antywira.Czy musze sprawdzic wszystkie swoje płyty i dyskietki niewiem skad sie przeniosł.

[Robertj]

Wirus WinCICH, nazywany tez Czarnobyl, atakuje 26 kwietnia. Zamazuje BIOS na nowych plytach glownych, dziala pod windows 9x i nowszymi. Nie zmienia dlugosci kodu zarazonego pliku exe Aby sie go pozbyc, mozesz uzyc programu cleancih

http://www.gazeta.sky.pl/cleancih.exe

Autor postu otrzymał pochwałę

[@Marcin]

O czarnobylu:

Kod: Zaznacz wszystko

WinCih - CIH (tzw. Czarnobyl) Jego autorem jest Chen Ing-Hou z uniwersytetu Tajpej na Tajwanie. Znanych jest kilka odmian wirusa CIH, które różnią się małymi fragmentami kodu i datą rozpoczęcia destrukcji (26 kwietnia każdego roku lub 26 dzień każdego miesiąca).Wirus CIH został nazwany Czarnobyl ze względu na przypadkową zbieżność daty aktywacji z datą katastrofy w Czarnobylu.
Długość kodu wirusa wynosi ok. 1 kilobajta. Jest to wirus specyficzny dla plików wykonywalnych PE (Portable Executable) Windows 95/98. Podczas infekcji wirus szuka "dziur" w kodzie pliku PE, którego nieużywane fragmenty znajdują się pomiędzy tzw. sekcjami, opisanymi w nagłówku pliku. Po odnalezieniu takich dziur zapisuje tam swój kod, następnie zwiększa rozmiar sekcji o niezbędną wartość, tak aby rozmiar całego pliku nie wzrósł po infekcji. Jeśli dziura jest wystarczającej wielkości, wirus zapisuje swój kod do jednej sekcji. Jeśli nie, wirus dzieli swój kod na kilka części i zapisuje je na końcu kilku sekcji. Kod wirusa może być zatem podzielony wewnątrz zarażonego pliku na kilka części, co oczywiście utrudnia jego wykrycie przez program antywirusowy.
Wirus szuka także dziur w nagłówku plików PE. Jeśli znajdzie nieużywany blok nie mniejszy niż 284 bajty, zapisuje tam swoją procedurę startową. Następnie zmienia adres wejścia do programu w nagłówku PE na wartość wskazującą wejście do własnej procedury, umieszczonej w nagłówku. Adres wejścia do programu wskazuje zatem nie na odpowiednią sekcję, lecz na nagłówek - poza ładowany obszar pliku. Mimo tego, zainfekowane programy mogą działać bez problemów - Windows ignoruje niebezpieczeństwo, ładuje sekcje programu, następnie przekazuje sterowanie do procedury startowej wirusa w nagłówku PE...
CIH instaluje się w pamięci, przejmuje odwołania dostępu do pliku i infekuje otwierane pliki EXE. W niektórych przypadkach system zawiesza się podczas uruchamiania zainfekowanej aplikacji. Następnie wirus sprawdza datę systemową i uruchamia procedurę destrukcji, podczas której używa bezpośredniego dostępu do portów Flash BIOS i bezpośredniego dostępu do dysku. Zależnie od daty systemowej, CIH uruchamia swoją procedurę destrukcyjną, która próbuje zamazać Flash BIOS. Jest to oczywiście możliwe tylko wtedy, gdy płyta główna i chipset pozwalają na zapis do pamięci Flash.
Zwykle zapis pamięci Flash może być zablokowany przez przełącznik DIP, o ile płyta główna na to pozwala. Następnie procedura destrukcyjna wirusa CIH zamazuje dane na wszystkich twardych dyskach. Zamazując sektory rozruchowe dysków, wirus korzysta z bezpośrednich odwołań zapisu na dysk i omija zabezpieczenia antywirusowe zaimplementowane w BIOS-ie.

Program symantecu usuwajacy bardzo groznego wirusa -czarnobyla
http://www.wiruszone.livenet.pl/download.php?cmd=click&id=23

Autor postu otrzymał pochwałę

[Robertj]

Widzę, że panowie mają te same źródła
Martin nie pisz tych odpowiedzi kilka razy, bo jeszcze mam co robić.
Arcin11, wystarczyło skorzystać z możliwości google.

[@Marcin]

Widzę, że panowie mają te same źródła Very Happy

Widać kto pierwszy napisał zgapiłeś Tomasz hehe..

Martin nie pisz tych odpowiedzi kilka razy

Przepraszam mam małą awarie Firefoksa

[arcin11]

Ok dzieki!