Энциклопедия компьютерных вирусов
Trojan.FlashKiller
Троянец является выполняемым файлом Windows, имеет формат PE и работоспособен только под Win95/98. При запуске вне зависимости от каких-либо условий стирает данные на жестком диске и приводит в негодность микросхему Flash BIOS, если в Flash BIOS разрешена запись.
При стирании Flash BIOS и данных на диске троянец использует процедуру, полностью повторяющую аналогичную в вирусе "Win95.CIH", или "Чернобыль" - именно ту процедуру, которая срабатывает 26 апреля каждого года. Более того, результат анализа показал, что, скорее всего, код троянца получен компилированием исходного текста вируса "Win95.CIH", из которого были убраны все процедуры заражения и оставлено только стирание диска и уничтожение Flash BIOS. Именно по этой причине код троянца практически полностью совпадает с соответствеющей процедурой вируса "Win95.CIH".
Метод детектирования троянца, используемый в AVP, имеет достаточно полезную особенность: он помогает обнаружить PE EXE-файлы Windows, "недолеченные" от вируса "Win95.CIH".
Алгоритм заражения файлов, примененный в вирусе "Win95.CIH", достаточно сложен. Код вируса в файлах записан не единым блоком, а разбросан по файлу в виде нескольких кусков (см. описание
вируса). При лечении зараженных файлов AVP не только правит их PE-заголовок и стирает стартовый код вируса, но также аккуратно дотирает все блоки вируса, вне зависимости от их количества и расположения в файле.
Некоторые антивирусные программы лечат зараженные файлы не так аккуратно, как это делает AVP. Они исправляют только PE-заголовок и стирают стартовый код вируса. Весь остальной код вируса (его большая часть) и его данные после такого лечения остаются в файлах в неизменном виде. Часто их можно обнаружить в теле вылеченных файлов визуально по строкам "CIH TATUNG" или "CIH TTIT". Процедура уничтожения данных на диске и стирания Flash BIOS также остаются в таких "недолеченных" файлах, и именно эта процедура детектируется AVP как троянская программа при сканировании в избыточном режиме (Redundant mode). В этом режиме AVP проверяет все содержимое файлов, обнаруживает процедуру уничтожения Flash BIOS и сообщает о троянском коде в теле файла.
Для решения этой проблемы выпущена специальная антивирусная база данных AVP - CIH-TRAC.AVC. Эта база детектирует файлы, "недолеченные" от вируса "Win95.CIH", и дотирает в них код вируса. Данная база, однако, может вызвать ложные срабатывания и по этой причине не включена в основной набор баз AVP.
