Инциденты

«Лаборатория Касперского» предупреждает о появлении новых клонов вируса «Чернобыль»

«Лаборатория Касперского» предупреждает о реальной опасности заражения новыми модификациями вируса «Чернобыль» (Win95.CIH).

Как стало известно, в глобальной сети Интернет был опубликован исходный текст печально известного вируса Win95.CIH («Чернобыль»), включающий алгоритм уничтожения данных на жестком диске и стирания микросхем Flash BIOS. Это значит, что отныне каждый хакер, используя исходный текст вируса CIH, может создать свой собственный вирус, обладающий его «знаменитыми» деструктивными действиями. Не стоит подробно рассказывать, к чему это может привести: последний взрыв апрельского «чиха» уничтожил сотни тысяч компьютеров по всему миру.

Вирусописатели не заставили себя ждать. Новый вирус, недавно обнаруженный в Испании и получивший название «Emperor» («Император»), является резидентным вирусом, заражающим COM и EXE файлы DOS, главный загрузочный сектор жесткого диска и загрузочные сектора дискет. Он использует изощренные алгоритмы заражения файлов и обхода антивирусной защиты. Однако самое интересное, что эксперты «Лаборатории Касперского» обнаружили в коде вируса — это процедура стирания микросхемы Flash BIOS, код которой практически полностью аналогичен «чиху». Новый вирус, таким образом, характеризуется той же разрушительной способностью, что и оригинал.

К счастью, в новом вирусе содержится множество ошибок, что определяет его низкую жизнеспособность. Таким образом, вероятность широкого распространения «Императора» равна нулю. Однако сам факт использования процедур Windows-вируса CIH в этом вирусе говорят о том, что компьютерный андерграунд «взял на вооружение» особенности «чиха». Вполне вероятно, что в самом ближайшем будущем возможно появление новых «чихоподобных» вирусов.

Технические детали

«Лаборатория Касперского» в очередной раз рекомендует пользователям поставить переключатели Flash BIOS в положение, запрещающее запись. Покупая новые компьютеры, предпочтительно уже иметь на них предустановленные антивирусные программы. И, конечно, важно внимательно относиться к неизвестным файлам, поступающим на компьютеры из не заслуживающих доверия источников.

«Лаборатория Касперского» также сообщает, что пользователи AntiViral Tookit Pro (AVP) уже надежно защищены от нового вируса: процедуры обнаружения и удаления «Императора» уже добавлены в антивирусную базу программы.

«Лаборатория Касперского» предупреждает о появлении новых клонов вируса «Чернобыль»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике