Дополнительную информацию можно получить
почитав компьютерную прессу
за 25-29 апреля, там же даны рекомендации по
восстановлению испорченных вирусом
компьютеров .
Ссылки, связанные с W95.CIH:
Подробное
описание вируса и его "работы" из
лаборатории AVP
Информация на
Инфоарте
Утилита для обнаружения вируса Win95.CIH www.kaspersky.ru/eng/trial/nocih.zip
Российские компании выпускающие антивирусные
программнве продукты:
www.avp.ru
www.dials.ru
www.drweb.ru
CERT Coordination Center
- ответы на вопросы:
http://www.cert.com/tech_tips/CIH_FAQ.html
Описание нескольких вариантов вируса CIH, тех,
которые активизируются каждый месяц 26 числа
(CIH.1019) и тех, которые срабатывают 26 апреля или 26
июня под Windows 95/96, на машинах с другими
операционными системами вирус не работает.
Подробное техническое описание работы вируса
представлено:
Virus
Bulletin
CIH
- Aliases:
- Win95/CIH, CIH.Spacefiller, PE_CIH. Variants of 1003 and 1019 bytes, and two of 1010
bytes are known.
- Type:
- Fragmented cavity infector utilizing PE section slack space.
- Infection:
- Hooks the Windows 9x file system API.
- Self-recognition in files:
- A non-zero byte immediately before the PE header.
- Self-recognition in memory:
- A non-zero value in DR0.
- Hex pattern:
- All variants.
E800 0000 005B 8D4B 4251 5050
0F01 4C24 FE5B 83C3 1CFA 8B2B
- Payload:
- Overwrites 2048 sectors at beginning of each hard disk and overwrites part of the Flash
BIOS boot block.
- Trigger:
- Opening an uninfectable EXE file on 26 April (CIH.1003, CIH.1010.A), 26 June
(CIH.1010.B) or on the 26th of any month (CIH.1019).
- Removal:
- Boot from a clean floppy disk, delete infected files and restore from backups.
Как видно из этого описания, CIH стирает первые 2048
секторов в начале каждого жесткого диска, и если
вирус будет действовать безошибочно, то
восстановление информации на винчестере
возможно лишь "вручную", путем отыскивания
частей файла, либо при помощи программы TIRAMISU, которая может
переписать вам ваш винчестер на другой, после
чего лечитесь, форматируйте и т.д. Однако, имеются
сведения, что вирус часто ( или иногда? )
ошибается, и если вы обнаружили, что у вас не
затерт корневой каталог, то можно попробывать
"народные" средства на свой страх и риск,
конечно, например - http://www.4unet.ru/~sdanet/W95CIH.htm