Все вы, конечно, прекрасно помните, как 26 апреля 1999 года активизировался и принес пользователям персональных компьютеров неисчислимые бедствия вирус Win32.CIH. По некоторым оценкам, в этот день вышел из строя каждый десятый компьютер, на котором была установлена операционная система Windows 95/98. Можно ли было этого избежать? Конечно!

Вирус Win32.CIH получил известность еще весной 1998 года, когда тайваньский студент Чен Инг Хау разослал в ряд интернетовских эхо-конференций свое новое "творение". Вирус, живущий только в среде Windows 95/98, быстро распространился по миру через Интернет. Россия же, как это принято у нас последние 80 лет, пошла своим путем. У нас распространению вируса способствовали главным образом изготовители пиратских CD, которые обильно "засеяли" свою продукцию этим вирусом. Таким образом, входными воротами в Самару для этого вируса послужил наш ипподром.

Win32.CIH прекрасно обнаруживался и корректно лечился практически всеми современными антивирусами еще с лета 1998 года. Но по древней русской традиции, "пока гром не грянет", мужик не запустит антивирус. Гром грянул 26 апреля 1999 года.

Что же делает этот вирус в день памяти Чернобыльской трагедии? Его деструктивные проявления состоят из двух этапов.

На первом этапе вирус через механизм VxDCall обильно записывает на винчестер случайную информацию, уничтожая содержимое Master Boot Record, Boot-сектора, обеих таблиц FAT и отдельных фрагментов данных.

После этого вирус пытается записать "мусор" в Flash BIOS компьютера. Дело в том, что если раньше BIOS намертво "прошивался" в ПЗУ, то на современных материнских платах он содержится в перезаписываемой flash-памяти. Под ударом оказались практически все компьютеры с материнскими платами, выпущенными после 1995 года. Конечно, на большинстве таких материнских плат имеется перемычка защиты от записи... но положа руку на сердце, признайтесь - точно ли вы знаете, в каком положении она находится?

Итак, 26 апреля 1999 года часть компьютеров просто перестала реагировать на включение питания, а те, кому повезло, могли полюбоваться сообщением, что "загрузочный диск не найден".

Катастрофа? Конечно! Но все-таки не стоит паниковать.

Еще летом прошлого года фирмы-производители BIOS'ов разработали стратегию борьбы с повреждениями, наносимыми Win32.CIH и ему подобными вирусами. Большинство flash-BIOS'ов содержат фрагмент, не перезаписываемый ни при каких условиях, так называемый Boot-блок. Этот фрагмент позволяет компьютеру произвести загрузку со специально подготовленной дискеты, двоичный образ которой можно скачать на Интернет-сайте фирмы производителя, например на http://www.award. com. Надо только проследить, чтобы номер версии погибшего BIOS'а точно совпадал с указанным в read.me скачиваемого файла. Загрузившись с этой дискеты и запустив специальную перезаписывающую программу, можно восстановить содержимое flash-BIOS. Одна тонкость - Boot-блок не умеет инициализировать современные PCI-видеокарты, и для того чтобы хоть что-то увидеть на дисплее компьютера в процессе восстановления, вам надо временно заменить ее на старую ISA-карту. Говорят, что некоторые компьютерные фирмы Самары проделывают эту операцию за минимальную оплату.

Если вам удалось восстановить flash-BIOS, то это еще не означает, что вы сможете немедленно начать работу на вашем компьютере. Скорее всего, системные области вашего винчестера сильно повреждены, и машина сможет загрузиться в лучшем случае с дискеты. Частично восстановить информацию помогут программы Fdisk и Unformat из стандартного набора MsDos и программы DiskEdit и NDD из нортоновских утилит. Крайне желательно, чтобы программа NDD умела поддерживать длинные имена, то есть входила в состав Norton Utilities for Windows 95/98. Так как на одну загрузочную дискетку весь этот набор явно не поместится, лучше всего заниматься "лечением", поставив винчестер вторым в пару к "здоровому".

Первым делом восстанавливаем код Master Boot Record при помощи команды Fdisk /mbr. Затем при помощи DiskEdit переносим в сектор 0/1/1 содержимое аналогичного сектора с какого-нибудь "здорового" винчестера. Перезагрузившись после этого, мы видим, что "погибший" диск уже виден в списке доступных, хотя и не читается. Запускаем NDD c ключом /rebuild. Это позволит перестроить таблицу размещения (Partition Table) главной загрузочной записи и исправить неправильные поля в вoot-секторе. Все, диск уже "живой", но в данных наблюдается месиво, поскольку таблицы размещения файлов (FAT) все еще испорчены. Теперь можно поступить двояко.

Во-первых, можно при помощи DiskEdit вручную синхронизировать содержимое обеих таблиц, либо имея перед глазами список повреждаемых вирусом секторов (который можно найти в Интернете), либо сравнивая обе копии FAT визуально. Работа это сложная, долгая, но приводит в итоге к неплохим результатам. Удается восстановить до 90% информации.

Во-вторых, можно заново отформатировать винчестер или просто переразметить его при помощи Fdisk со старыми параметрами. Данная операция очищает FAT-таблицы. После этого программой Unformat в автоматизированном режиме можно попытаться восстановить данные. Эта операция дает несколько худшие результаты, но не требует больших трудовых затрат.

Итак, оказалось, что поражение вирусом Win32.СIH не так уж фатально, как это пытаются представить народная молва и некоторые падкие на сенсацию средства массовой информации. Только не надо расслабляться: у вируса Win32.CIH существуют еще две модификации (правда, гораздо меньше распространенные), которые активизируются 26-го числа каждого месяца, а не только в апреле. Будьте бдительны!