26 число, по всей видимости, имеет немаловажное значение для создателей вируса, поскольку PE_CIH 1.3 «вышел в свет» 26 июня, а версия 1.4, называемая также Win95. CIH.1019, напоминает о себе 26 числа каждого месяца, начиная с июля. Все три варианта инфицируют ПК, оснащенные ОС Windows 95 или Windows 98, и активируются, когда пользователи загружают свои компьютеры.

  
По словам Стюарта Ханли, вице-президента по международным операциям компании Ontrack Data, этот вирус не только разрушает данные на жестком диске, но и пытается перезаписать - и тем самым вывести из строя - флэш-память BIOS на ПК.

«Вирус CIH портит данные, хранящиеся в первом мегабайте на диске, - подчеркнул Ханли. - Здесь размещаются важнейшие структуры данных, такие как мастер-запись загрузки, информация о разбиении дика и блок загрузки системы. Могут также пострадать таблицы размещения файлов».

Но, по мнению Ханли, эти данные во многих случаях можно почти полностью восстановить.

Ханли сказал, что за прошлый месяц его коллеги имели дело менее чем полудюжиной зараженных Win95.CIH.1019 персональных компьютеров, поэтому «атака 26 августа» была для них полной неожиданностью.

«Я был удивлен, когда в середине дня начали поступать звонки, - сказал он. - Если честно, я и не предполагал, что мы с этим столкнемся». Может быть, неожиданным это оказалось потому, что 26 число прошлого месяца пришлось на воскресенье. 26 июля была среда - для большинства это обычный рабочий день.

Представитель Microsoft подчеркнул, что вирус CIH инфицирует исполняемые файлы. Его рекомендации звучали вполне традиционно - использовать последние версии антивирусных программного обеспечения и не открывать файлов, присоединенных к сообщениям электронной почты, полученным из неизвестных источников.

Ханли согласился, что лучшая защита в этой ситуации - принятие превентивных мер. Он подчеркнул, что пользователи, пострадавшие от нашествия CIH, вполне могли бы сэкономить и время, и деньги, если бы использовали антивирусное ПО. Из 750 пострадавших от CIH компьютеров 500 принадлежали одной фирме. Хотя Ханли отказался сообщить, что это за фирма и где она находится, он заметил, что всего было«испорчено» около 80% компьютеров этой компании.

Ontrack предлагает услуги дистанционного восстановления данных и имеет на территории Соединенных Штатов четыре центра, куда могут обратиться пользователи, которым необходимо восстановить данные. Конечно, этой услугой могут воспользоваться только владельцы тех ПК, у которых не пострадал BIOS, как у 300 из 750 жертв вируса CIH 26 августа.

Домашним пользователям восстановление информации обойдется в сумму от 400 до 1100 долл., в зависимости от «размеров бедствия». Для организаций, в которых поражено несколько ПК, предусматриваются скидки.

Игорь Греберт, старший аналитик компании Trend Micro считает, что CIH, как и другие, столь же скандально известные вирусы, вскоре уйдут в историю.

«Я рассчитывают, что в ближайшие несколько месяцев пользователи начнут предпринимать активные меры по защите своих систем и о массовых поражениях мы больше не услышим, - подчеркнул он. - Это один из тех мерзких вирусов, которые, по видимому, оказались довольно успешными. Это не эпидемия, и ситуация вовсе не усугубляется. Наоборот, вирус встречается все реже и реже». Как подчеркнул Греберт, компания Trend Micro организовала бесплатную Web-службу, получившую название HouseCall, которая будет помогать обнаруживать и уничтожать CIH и другие вирусы.

Поделитесь материалом с коллегами и друзьями