Реакция антивирусов на инфицированные файлы с диска по заказу на восстановление информации
от 9 февраля 2008 г.
9 февраля 2008 г. в лабораторию поступил заказ на восстановление данных с USB-диска, который при подключении к любому компьютеру
в качестве внешнего диска, инициировал запуск скандиска.
После завершения работы скандиска и попытке обратиться к данным, выдавалось сообщение об ошибке доступа к данным.
При следующей перезагрузки, ситуация циклически повторялась.
Анализ состояния файловой системы проблемного диска выявил причины подобного поведения операционной системы:
В BOOT-секторе логического диска был искажен тип файловой системы, стояла последовательность символов
FAT!2 вместо FAT32.
Причем, в копии загрузочного сектора тип файловой системы искажен не был.
В обоих таблицах FAT был искажен признак конца цепочки FAT корневого каталога. Вместо значения
0FFFFFF0Fh было 0FFEFFF0Fh.
Таким образом получалось, что корневой каталог этого диска располагался во втором фрагменте цепочки FAT,
который должен находится за пределами секторного пространства жесткого диска.
После корректировки искажений данных, жесткий диск стал нормально опознаваться системой.
С него были успешно восстановлены данные, но антивирусный контроль выявил на нем 27 компьютерных вирусов.
Реакция различных антивирусов на обнаруженную инфекцию приведена ниже в таблице.