PCWorld VN 5/99

    Vào trung tuần tháng 3/1999 nhiều bạn ở khu vực phía Nam đã download một chương trình từ mạng TTVN (chương trình này có nguồn gốc từ Internet) và bị vô hiệu hoá ổ cứng sau khi có thông báo:

"Copyright (c) Version 0.99 tAO cHIEN Shanghai 1997

Now your PC is locked by Jiang Ming's Bomb!!!

Please reboot".

    Sau đó một số bạn khác ở mạng TTVN khu vực Hà Nội chạy chương trình này cũng bị tình trạng tương tự.

    Đây là dấu hiệu máy đã bị virus Jiang Minh's Bomb (JMB) phá hoại. Các chương trình diệt virus thông thường đều không khôi phục được ổ cứng, cũng như không thể quét hoặc format được, đa số trường hợp đành để mất dữ liệu và phải dùng dịch vụ Low-level format của BIOS để khởi tạo lại đĩa cứng.

    Về bản chất JMB không phải là virus tin học theo đúng nghĩa - tức là không có khả năng lây lan. Đây cũng là nhược điểm của JMB vì phạm vi phá hoại của nó bị hạn chế rất nhiều. Có thể coi JMB như là một quả mìn gài vào chương trình nào đó, khi người dùng chạy chương trình bị nhiễm thì quả mìn sẽ được kích nổ. Xét về mặt tác hại, nó không phải là mìn mà đúng là một quả bom. Tác giả Tao Chien (người Thượng Hải) đã chọn ngay 1 chương trình rất thông dụng và được các bạn trẻ đặc biệt yêu thích là WinAMP, phần mềm nghe nhạc MP3 miễn phí, để gài bom của mình vào đó. JMB được cài vào phần nâng cấp phiên bản WinAMP 2.09 thành 2.091 (tên file: UP_2091.EXE có kích thước 53644 Bytes). Phần mã của JMB chiếm 14220 Bytes và viết bằng API của Win32-bit. JMB được lồng trước phần mã của vắc-xin kiểm tra tính toàn vẹn file (Self Integrity Checking) của Central Point. JMB đã khôn khéo tránh được các cơ chế bảo vệ (security) của Win32 để sửa đổi trực tiếp lên sector 0 vật lý của ổ cứng. Về cơ chế, quả mìn JMB này rất đơn giản nhưng khá thông minh, nó đã đánh lừa được các hệ điều hành DOS, Windows (Win9x, WinNT 4.0), ngay cả khi không được kích hoạt. Đối với các virus phổ biến khác, muốn phát huy tác dụng thì trước tiên nó phải được kích hoạt và nằm trong bộ nhớ để kiểm soát "chính quyền" của máy tính, tức là phải chạy chương trình (vật mang virus) hay khởi động bằng đĩa có nhiễm virus, còn nếu không được kích hoạt thì nó cũng chỉ như một tệp tin vô tri vô giác và hoàn toàn vô hại. Với JMB thì khác hẳn, nó khôn khéo thay đổi các thông số của ổ cứng ở vùng sector 0, sao cho hệ điều hành bị mắc lừa và rơi vào vòng lặp vô tận. Khi hệ điều hành được khởi động thì công việc đầu tiên của nó là quét, kiểm tra xem trong máy có bao nhiêu ổ cứng và bao nhiêu phân vùng. Với các ổ cứng đã bị JMB phá thì hệ điều hành dù có sạch đi chăng nữa cũng sẽ bị rơi vào mê hồn trận của JMB và cứ tìm mãi, tìm mãi nhưng không bao giờ thấy một partition hoàn chỉnh, nó đọc liên tục và treo ở nơi ổ cứng đã bị khóa. Bạn không còn có thể làm gì được với ổ cứng đó nữa: không FDISK, Format và cũng không thể chạy Diskedit ở chế độ vật lý để quét nội dung của nó vì máy đã bị treo cứng từ lúc khởi động. Hiện tượng này giống như ổ cứng bị hỏng vật lý. Với những người ít hiểu biết thì chỉ có cách thay ổ cứng mới, đành chấp nhận mất ổ cứng và đặc biệt là những dữ liệu quý giá trong đó.

    Chạy chương trình DQ01.COM (kích thước 1060 Bytes!) để tạo đĩa khởi động A, khởi động máy bằng đĩa này, ổ cứng sẽ được mở khoá, dữ liệu được phục hồi hoàn toàn.

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com