Архив

«Лаборатория Касперского» предупреждает о появлении новых клонов вируса «Чернобыль»

«Лаборатория Касперского» предупреждает о реальной опасности заражения новыми модификациями вируса «Чернобыль» (Win95.CIH).

Как стало известно, в глобальной сети Интернет был опубликован исходный текст печально известного вируса Win95.CIH («Чернобыль»), включающий алгоритм уничтожения данных на жестком диске и стирания микросхем Flash BIOS. Это значит, что отныне каждый хакер, используя исходный текст вируса CIH, может создать свой собственный вирус, обладающий его «знаменитыми» деструктивными действиями. Не стоит подробно рассказывать, к чему это может привести: последний взрыв апрельского «чиха» уничтожил сотни тысяч компьютеров по всему миру.

Вирусописатели не заставили себя ждать. Новый вирус, недавно обнаруженный в Испании и получивший название «Emperor» («Император»), является резидентным вирусом, заражающим COM и EXE файлы DOS, главный загрузочный сектор жесткого диска и загрузочные сектора дискет. Он использует изощренные алгоритмы заражения файлов и обхода антивирусной защиты. Однако самое интересное, что эксперты «Лаборатории Касперского» обнаружили в коде вируса — это процедура стирания микросхемы Flash BIOS, код которой практически полностью аналогичен «чиху». Новый вирус, таким образом, характеризуется той же разрушительной способностью, что и оригинал.

К счастью, в новом вирусе содержится множество ошибок, что определяет его низкую жизнеспособность. Таким образом, вероятность широкого распространения «Императора» равна нулю. Однако сам факт использования процедур Windows-вируса CIH в этом вирусе говорят о том, что компьютерный андерграунд «взял на вооружение» особенности «чиха». Вполне вероятно, что в самом ближайшем будущем возможно появление новых «чихоподобных» вирусов.

Технические детали

«Лаборатория Касперского» в очередной раз рекомендует пользователям поставить переключатели Flash BIOS в положение, запрещающее запись. Покупая новые компьютеры, предпочтительно уже иметь на них предустановленные антивирусные программы. И, конечно, важно внимательно относиться к неизвестным файлам, поступающим на компьютеры из не заслуживающих доверия источников.

«Лаборатория Касперского» также сообщает, что пользователи AntiViral Tookit Pro (AVP) уже надежно защищены от нового вируса: процедуры обнаружения и удаления «Императора» уже добавлены в антивирусную базу программы.

«Лаборатория Касперского» предупреждает о появлении новых клонов вируса «Чернобыль»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике