|
#26
18-05-2002, 10:57
|
|||
|
|||
|
PE_CIH
Risk Rating: Medium Datum: 19.04.2000 Aliases: CIH, Chernobyl, Win95.CIH, Win32.CIH, W95.CIH V1.2, W95.CIH V1.3, W95.CIH V1.4 Virus Art: Dateivirus Schädlich: Ja In The Wild: Ja Triggerbedingungen: 26. eines jeden Monats Schadteil: tangiert die Festplatte, zerstört das FLASH BIOS Pattern Datei: 518 - 100 Scan Engine: 2.062 Sprache: englisch Plattform: Windows Verschlüsselung: Nein Größe: 1 KByte Dieser Virus, der oft auch CIH, Chernobyl, Win95.CIH, Win32.CIH oder ähnlich genannt wird, triggert an jedem 26. April (jahresunabhängig). Als dieser Virus 1999 aktiv wurde, hat er mehrere hundertausend Rechner beschädigt. PE_CIH beinhaltet zwei unterschiedliche schädliche Payloads, die beide am 26.04. aktiviert werden: Zufallsdaten werden auf die Fetplatte geschrieben, so daß eine Datenrettung extrem schwierig wird PE_CIH versucht zudem durch Zerstören von Daten im Flash BIOS das System selbst zu zerstören Der Virus kann bis dato noch nicht Win NT - Plattformen infizieren, jedoch *.EXE-Datreien im Win 95/98 - Umfeld. Er wird speicherresident, sobald eine infizierte Datei ausgeführt wird. Um die Infektion zu verschleiern nutzt PE_CIH Leerspace der Zieldateien, so daß die Dateigrößenveränderung minimal und deshalb nur schwer ersichtlich ist. Dadurch daß der Virus auf VXD-Programmierung zurückgreift, kann er nur im Win 95/98 - Umfeld Schaden anrichten. Ist die infizierte Festplatte durch PE_CIH formatiert, erscheint beim Neustart des Systems folgende Meldung: DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER Versucht man dann das System vom Diskettenlaufwerk zu starten, erscheint diese Meldung: Invalid drive specification since the hard disk has already been overwritten with some random data
__________________
|
| Lesezeichen |
| Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1) | |
|
|
Baum-Darstellung
