Zimuse - powrót wirusów-niszczycieli?
05.02.2010 12:48
Szkodniki XXI wieku działają po cichu i służą do oszustw. Wyjątkiem jest jednak Zimuse, który tak jak stare szkodniki z lat 90-tych prezentuje swoją destrukcyjną moc. Twórcy Zimusa na tym nie zarobią, ale prawdopodobnie chcą zdobyć uznanie wśród zamkniętego środowiska cybermafii.

Szkodnik Win32/Zimuse (znany również jako Malware.Zimuse, Worm.Win32.Zimus.a, W32/Mseus-A, Trojan.Win32.SuspectCRC) poprzez destrukcję najważniejszego sektora dysku startowego uniemożliwia uruchomienie systemu operacyjnego i odczyt zapisanych na dysku informacji. Robak rozprzestrzenia się poprzez zewnętrzne pamięci USB oraz sieć internet (strony www, programy P2P, e-mail).

Jak informuje firma G Data, dotychczas zarejestrowano dwa warianty ("A”" i "B") charakteryzujące się różnym czasem uaktywnienia mechanizmów auto-kopiowania i destrukcji startowego sektora dysku (MBR). W pierwszej fazie szkodnik wnika do systemu i rozpoczyna odliczanie czasu do ostatecznego ataku. W przypadku wariantu A wirus aktywuje się po 10 dniach obecności w systemie dla wariantu B czas uruchomienia wynosi 7 dni.

Usunięcie Zimusa z zainfekowanego systemu wymaga użycia odpowiednio przygotowanych programów oraz dodatkowej pracy użytkownika. Standardowe formatowanie partycji "c:" nie rozwiąże problemu. Aby zlikwidować wirusa konieczne jest zatrzymanie jego usług, usunięcie ciała oraz repozytorium. Kolejny krok to odnowienie głównego rekordu rozruchowego (MBR) za pomocą płyty instalacyjnej systemu Windows.

Firma G Data Software podaje instrukcje odnowienia rekordu rozruchowego MBR. Dla Windows Vista wyglądają one następująco:

1. zainicjować instalację systemu,
2. umieścić dysk instalacyjny systemu Windows Vista w napędzie i uruchomić ponownie komputer,
3. wszystkie dalsze wskazane czynności wykonać podczas jednej sesji tzn. bez restartowania komputera,
4. gdy pojawi się okno wybór języka, czasu, waluty, klawiatury - kliknąć przycisk Dalej,
5. wybrać opcję "Napraw komputer",
6. kliknąć nazwę systemu operacyjnego i następnie wybrać opcję Dalej,
7. w oknie dialogowym Opcje odzyskiwania systemu - kliknąć polecenie "Wiersz polecenia",
8. wpisać bootrec.exe/fixmbr a następnie naciśnij klawisz ENTER,
9. zamknąć okno wiersza polecenia i uruchom system ponownie.

W Windows XP należy:

1. zainicjować instalację systemu,
2. umieść dysk instalacyjny systemu Windows XP w napędzie i uruchomić ponownie komputer,
3. wszystkie dalsze wskazane czynności wykonać podczas jednej sesji tzn. bez restartowania komputera,
4. w programie instalacyjnym wybrać naprawę instalacji systemu, naciskając literę R,
5. kolejną opcją jest pole wyboru systemu, gdzie najczęściej widoczna jest wartość 1: C:WINDOWS – (naciśnąć 1 i potwierdź ENTER),
6. po pojawieniu się wiersza C:WINDOWS> …dopisać fixmbr czyli C:WINDOWS>fixmbr i (potwierdź ENTER),
7. po pojawieniu się pytania "Czy na pewno chcesz zapisać nowy rekord MBR?" nacisnąć literę "t" (potwierdzić ENTER),
8. W C:WINDOWS> wpisać exit czyli C:WINDOWS>exit (potwierdzić ENTER).