Home

Свидетельство невидимой компьютерной катастрофы.

В среду 13-го декабря в Казахстане и за его пределами Мы стали свидетелями незащищенности большинства компьютеров и факта, того, что мы стали немного ближе к мировому информационному сообществу. Компьютеры многих учреждений, предприятий, фирм отказались работать, тогда, как домашние компьютеры работали без проблем.

Миной замедленного действия стал вирус WM97.Thus (Thus_001) и несколько его модификаций.

Несмотря на появившуюся информацию, о том, что этот вирус новый и неизвестный, он достаточно известен в мире. Впервые информацию об этом вирусе зафиксирована еще в августе-сентябре прошлого года. Тогда Network Antivirus International и Command Antivirus International и др. антивирусные компании сообщили о нем сначала как о “лабораторном” вирусе (т.е. не было зафиксировано его свободное распространение), но вскоре появились крупные очаги распространения этого вируса в корпоративных сетях США, Англии и т.д. Т.е. вирус перешел из списка “лабораторных” вирусов в список “Wild”-вирусов (т.е. свободных, диких). Вирусу была присвоена категория вируса повышенной опасности, и пользователям было рекомендовано немедленно обновить базы своих антивирусов. Стоит отметить, что популярные у нас DrWeb и AVP, практически одновременно с западными антивирусными программами, выпустили дополнения к своим вирусным базам для борьбы с этим вирусом.

Достаточно точно автор вируса, похоже, неизвестен. От себя он оставил в теле вируса только строчку: “Thus_001”. Вирус был сделан достаточно качественно и без ошибок, использовал алгоритмы заражения, которые на тот момент практически не опознавались анализаторами кода антивирусов.

Этот вирус был написан для заражения и распространения в файлах Microsoft Word 97 и представляет собой макросы, активизирующиеся при открытии зараженного файла. После чего вирус заражает компьютер и все последующие файлы Word.

Помимо того, первая, оригинальная и, похоже, наиболее распространенная версия при открытии зараженного документа 13 декабря приводит к тому, что в дальнейшем Вы не обнаружите большую (и наиболее необходимую Вам) часть файлов на диске C (прочие разделы D,E,F и т.д. он не трогает). Вследствие этого компьютер еще и отказывается загружаться. Из-за этого у большинства пользователей возникает желание немедленно переустанавливать систему. В этом непреднамеренное коварство вируса, так как под новой системой пропадает возможность полного восстановления данных.

Вирус практически безопасен для MS Word 6.0/95.

Почему вирус для порчи данных выбрал именно 13 декабря неизвестно, но были предположения, что вирус можно отнести к числу миллениум-вирусов.

В 1999 году этот вирус практически не дошел до Казахстана. Но на сегодняшний момент появилось большое количество модификаций этого вируса (сейчас их известно приблизительно полутора десятка).

В отличие от вируса Win32.CIH (он же Chernobyl, Spacefiller, Чих), Thus распространяется с файлами Word’а, а не с исполнимыми файлами и играми, т.е. для его распространения необходим высокий документооборот. Поэтому он распространился у нас в основном в учреждениях, организациях, предприятиях, школах, где, как и в прошлом году 13 декабря – будний, рабочий день, а значит наверняка возникает необходимость запускать Word. Домашние компьютеры практически не пострадали (Вы каждый день запускаете дома Word?), но не означает, что они не были заражены.

При потере информации от такого вируса крайне не рекомендуется:

     

  1. Пытаться переустанавливать систему или форматировать винчестер;

    2.  

  2. Пытаться восстанавливать файлы программами типа UnErase, даже будучи уверенным в своих силах, иначе после таких попыток очень трудно полностью восстановить диск C;

По моей статистике, если не проводились вышеуказанные действия, то с вероятностью:

     

  1. 20-40 (иногда более) процентов можно почти полностью восстановить диск C, данные и систему (хотя для нормальной работы желательно переустановка системы);

    2.  

  2. практически со 100 %-ой вероятностью наиболее важные файлы.

По имеющимся сегодня сведениям, в городе Темиртау, этот вирус поразил около 40-50 (возможно более) компьютеров, а зараженными остаются как минимум в 2 раза больше. Около половины пораженных компьютеров оказалось на местном металлургическом заводе, остальные в основном в образовательных заведениях и некоторых коммерческих организациях. Аналогичная ситуация и во многих других городах Казахстана.

P.S.: Самые интересные случаи, когда вирус иногда не портил данные только по тому, что компьютер был заражен другими вирусами, вытесняющими его код. Приблизительно в 60-90 процентах случаев, вместе с вирусом Thus оказываются и другие вирусы.

Хостинг от uCoz