Visualizar a versão completa (em russo): Trojan Flashkiller

Bancal
2001-01-22 07:21:00
O que o vírus e como tratar.
Em suas respostas a atualizar o BIOS vir lentamente.

Alexvn
2001-01-22 08:39:00
Isso é o que isso diz sobre Kaspersky:

Trojan.FlashKiller

Trojan é um executável do Windows, tem um formato PE e funcional somente sob Win95/98. Quando você corre, independentemente de quaisquer condições de apagar os dados no disco rígido e leva para chip de abandono do Flash BIOS, se o Flash BIOS gravável.

Ao apagar o Flash BIOS e dados do disco, o Trojan usa o procedimento, repete semelhante ao vírus "Win95.cih", ou "Chernobyl" - justamente o procedimento que funciona 26 de abril de cada ano. Além disso, o resultado da análise mostrou que o código de Tróia provavelmente obtido através da compilação de código fonte do vírus "Win95.cih", a partir do qual todos os procedimentos foram limpos de contaminação e deixou apenas apagar o disco e destruir do BIOS. É por esta razão que o código de Tróia é quase idêntico ao do vírus procedimento sootvetstveyuschey "Win95.cih".

Método de detecção de Tróia usado na AVP, tem uma característica bastante útil: ajuda a detectar PE EXE-arquivos do Windows, "não curado" vírus "Win95.cih".

Algoritmo para infectar arquivos no vírus aplicada "Win95.cih", é bastante complicado. O código do vírus não está registrado nos arquivos como um único bloco, e espalhados através do arquivo em vários pedaços (ver a descrição do vírus). No tratamento de arquivos infectados AVP não só governou seu código de início de PE-header e apagar o vírus, mas também perfeitamente dotiraet todos os blocos do vírus, independentemente do seu número e localização no arquivo.

Alguns programas antivírus tratar os arquivos infectados não são tão puro como faz AVP. Eles corrigir código de início de PE-header e apagar o vírus. O resto do código de vírus (a maior parte) e os seus dados após o tratamento nos arquivos permanecem inalterados. Muitas vezes eles podem ser encontrados no corpo de arquivos desinfectados visualmente por linhas "CIH TATUNG" ou "CIH TTIT". Procedimento para destruição de dados em disco e apagar o Flash BIOS também permanecem em tais arquivos "subtratamento" e que este procedimento é detectado como modo de digitalização Trojan AVP em excesso (modo redundante). Nesse modo, o conteúdo de cheques AVP todos os arquivos, detecta procedimento para a destruição do BIOS e informa sobre o código de Tróia no arquivo.

Para resolver esse problema, lançou um banco de dados de vírus AVP especial - CIH-TRAC.AVC. Esta base de dados detecta arquivos "não curado" vírus "Win95.cih", e eles dotiraet código do vírus. Esta base de dados, no entanto, pode causar falsos positivos e, portanto, não incluído no principal conjunto de bases de dados AVP.

Bancal
2001-01-22 12:25:00
Muito obrigado. :))
Você pode me dizer se você creditar o documento citado?

Alexvn
2001-01-22 15:22:00
Por favor, - http://www.viruslist.ru/viruslist.asp?id=3230&key=000010001300010

alexmart
2001-01-22 16:40:00
Sim, AVP vesch bom, você pode apenas acrescentar que para restaurar o disco rígido para Chi Hai pode desfrutar de uma boa applets tiramisu. Tê-lo em diferentes variantes e para FAT32 e simples FATov. Pesquisa pode encontrá-lo na Internet.

Bancal
2001-01-23 05:07:00
Rohl TIRAMISU eu sei, mas obrigado a todos que responderam.