Win32/CIH

Jednß se o rezidentnφ virus napadajφcφ soubory PE EXE. Funguje tedy pod systΘmy Windows 95 a Windows 98. Nenφ schopen provozu pod systΘmem Windows NT. InfikovanΘ soubory majφ stejnou dΘlku jako p°ed infekcφ (dφky tomu, ₧e napadß volnΘ prostory mezi jednotliv²mi sekcemi). Virus se objevil na zaΦßtku Φervna 98, a pochßzφ z Tai-Wanu. Za n∞kolik dn∙ se objevily hlßÜenφ i z jin²ch stßt∙ (Francie, N∞mecko, Holadsko, èvΘdsko, ╚φna, Israel, Australie).
Na strßnkßch slovenskΘ spoleΦnosti ESET se objevila o viru Win32.CIH zajφmavß zprßva:
"K rozÜφreniu vφrusu doÜlo zßmern²m nakazenφm pirßtskej verzie hry MechCommander ktor· uviedla do obehu warez skupina DIVINE a "trainer" utility k hre Mortal Kombat 4 od skupiny Warior. Pod╛a neoveren²ch sprßv m⌠₧u by¥ nakazenΘ aj "trainer" utility k hrßm Ancient Evil a Pinball Soccer 98".
Virus obsahuje velmi zßke°nou destruktivnφ akci. Podle varianty p°episuje "smetφm" pam∞t Flash-BIOS, kterß je souΦßstφ vÜech modern∞jÜφch zßkladnφch desek (motherboards). Zßkaz p°φstupu do tΘto pam∞ti lze ovlivnit p°epφnaΦi (jumpery) DIP. Standardn∞ b²vß tento zßkaz zßpisu vypnut.
Krom∞ toho ve stejn² moment p°episuje data i na VaÜem pevnΘm disku.

Dφky publikovßnφ zdrojov²ch k≤d∙ se objevilo i n∞kolik dalÜφch upraven²ch variant.

DΘlkaTextAktivaΦnφ datum
1003CCIH 1.2 TTIT26.duben
1010CCIH 1.3 TTIT26.duben
1019CCIH 1.4 TATUNG26.ka₧d² m∞sφc

JeÜt∞ detailn∞jÜφ informace lze zφskat ZDE

Jedno·Φelov² antivirus:

Win32/CIH
  • Popis/pou₧itφ: Detekuje virus pouze v pam∞ti. Neodstra≥uje ho ze soubor∙. SpouÜtφ se p°φmo z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.