Инциденты

«Лаборатория Касперского» предупреждает о появлении новых клонов вируса «Чернобыль»

«Лаборатория Касперского» предупреждает о реальной опасности заражения новыми модификациями вируса «Чернобыль» (Win95.CIH).

Как стало известно, в глобальной сети Интернет был опубликован исходный текст печально известного вируса Win95.CIH («Чернобыль»), включающий алгоритм уничтожения данных на жестком диске и стирания микросхем Flash BIOS. Это значит, что отныне каждый хакер, используя исходный текст вируса CIH, может создать свой собственный вирус, обладающий его «знаменитыми» деструктивными действиями. Не стоит подробно рассказывать, к чему это может привести: последний взрыв апрельского «чиха» уничтожил сотни тысяч компьютеров по всему миру.

Вирусописатели не заставили себя ждать. Новый вирус, недавно обнаруженный в Испании и получивший название «Emperor» («Император»), является резидентным вирусом, заражающим COM и EXE файлы DOS, главный загрузочный сектор жесткого диска и загрузочные сектора дискет. Он использует изощренные алгоритмы заражения файлов и обхода антивирусной защиты. Однако самое интересное, что эксперты «Лаборатории Касперского» обнаружили в коде вируса — это процедура стирания микросхемы Flash BIOS, код которой практически полностью аналогичен «чиху». Новый вирус, таким образом, характеризуется той же разрушительной способностью, что и оригинал.

К счастью, в новом вирусе содержится множество ошибок, что определяет его низкую жизнеспособность. Таким образом, вероятность широкого распространения «Императора» равна нулю. Однако сам факт использования процедур Windows-вируса CIH в этом вирусе говорят о том, что компьютерный андерграунд «взял на вооружение» особенности «чиха». Вполне вероятно, что в самом ближайшем будущем возможно появление новых «чихоподобных» вирусов.

Технические детали

«Лаборатория Касперского» в очередной раз рекомендует пользователям поставить переключатели Flash BIOS в положение, запрещающее запись. Покупая новые компьютеры, предпочтительно уже иметь на них предустановленные антивирусные программы. И, конечно, важно внимательно относиться к неизвестным файлам, поступающим на компьютеры из не заслуживающих доверия источников.

«Лаборатория Касперского» также сообщает, что пользователи AntiViral Tookit Pro (AVP) уже надежно защищены от нового вируса: процедуры обнаружения и удаления «Императора» уже добавлены в антивирусную базу программы.

«Лаборатория Касперского» предупреждает о появлении новых клонов вируса «Чернобыль»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике