BlackCat - Vírusinfo- 2. rész

  Letölthető szöveges formátumban: vcollect2.txt

Hát megint itt vagyok. Akkor folytassuk ott, ahol legutóbb abbahagytuk. Ezen rész időhiányra való tekinettel rövidebb lessz mint az előző volt, de reményeim szerint éppen olyan , ha nem tartalmasabb lessz, mint az. Kiváltképp linkek tekintetében. Többen panaszkodtatok, hogy az előző számban megjelent linkek többsége nem él. Na ezt a hiányt most alaposan kijavítottam, és megajándékozlak benneteket a saját, és Tally nagy víruslinkgyűjteményével, mely szinte a teljes vírusvilágot lefedi. Aztán. Ha ezen rész végére is elértünk, már többé-kevésbé tradereknek mondhatjátok magatokat. Node. Mi legyen akkor ezzel a rovattal? Nos, a 3. résztől kezdve vírus, és antivírus hírekkel lessz tele, és ha nem haragszotok meg érte, nem mindet fogom lefordítni. Oszt persze lessz benne letöltés is, meg az újabb vírusok ismertetése. Gondolok itt egy nagyon új vírusfajtára a GSM-re (már ha találok hozzá anyagot), nomeg a már nem olyan új, de még mindig kevés képviselővel rendelkező Windos 2000 vírusokra. No és megismerkedhetünk egy tényleg áttörésről, az NTFS FÁJLRENDSZER-T fertőző vírusról, melyeket nem lehet konkrét fájlokon kimutatni, csak a fájlrendszer részletes elemzésekor derülnek ki a turpisságok. Remélem a köv. részre más több időm lesz, és mindaz amit itt leírtam belekerül, merthogy sajnos a mostani részből kimaradt a beígért Win2K/Inka letöltés+ismertetés+forrás. De nem is baj. A következő rész témájához úgyis jobban fog passzolni... Akkor ennyit bevezetőnek, lássuk miből élünk...


Tartalmunk:

5. Hogyan folytassuk, ha már sikerült elérnünk egy apró gyûjteményt, 4000 virii-t?
  5.1 Gyűjteményrendezési és vírustárolási tippek

  5.2 Egy kis ismertetõ a trade-nek nevezett valamirõl, kialakulásáról, stb.

  5.3 Bekerülés a "vérkeringésbe"...
  5.4 Egy trade menete részletesen
  5.5 Minõségi, vagy mennyiségi vírusgyûjtés?

6. Mivel, és hogyan rendezzük gyűjteményünket? 
  6.1 Vírus/logfilekezelő progik összeasonlítása (rövid)
  6.2 Az elérhető traderprogramok rövid ismertetése
  6.3 Néhány egyéb, hasznos progi ismertetése
  6.4 A VSNG részletes ismertetése


7. Vírustípusok fertőzési technikái
7.1 Boot vírusok
7.2 Fájl vírusok
7.3 Word macro vírusok
7.4 Excel Makró vírusok
7.5 Access Makró vírusok
7.6 Visual Basic Script vírusok
7.7 Corel script vírusok
7.8 Palm vírusok
7.9 Trójai programok

8. Rövid vírusismertetések (már így is túlléptem a keretet, a letöltések és a vírusforrások a legközelebbre maradnak.)
8.1 3apa3a
8.2 Brain.A
8.3 Denzuk
8.4 Form.A
8.5 Michelangelo
8.6 Kampana
8.7 Stoned.Empire


8. LINKEK HALOMSZÁMRA!!!!! 2. rész (Külön oldalon)
9. Contact Black Cat

(Sorry, most csak ennyi futotta.)


5. Hogyan folytassuk, ha már sikerült elérnünk egy apró gyűjteményt, 4000 virii-t?
Nos. Körülbelül ez az a mennyiség, amit még letöltésekkel létre tudunk hozni. A következő lépés, abban az esetben, ha vannak kemény dollárjaink, csomó helyen CD-n lehet teljes vírusgyűjteményeket venni (Többek között nálam is, 25000 vírust 200 dolárért (Magyaroknak 150)), ezek álltalában jó minőségű forrás és tárgykódgyűjtemények, de nem árt vigyázni a kamu híresztelésekkel... Ha nem ezt az utat választjuk (márpedig legtöbben nem ezt fogjuk választani), akkor nem marad más hátra, mint a cserélgetés, vagy a vírusírás. (Ez utóbbi segítségével, ha kellően sok és jó vírust sikerül írnunk, mint ismeretlen vírust továbbcserélhetjük, sőt, egyes vírusírtó cégek akár 100 vírust is adhatnak egy-egy ilyen ismeretlen vírusért.) Merthogy a vírusírtó cégeknek is be kell valahonnan szerezni a vírust, és a többségük természetesen nem a kezdő userek álltal beküldött vírusokból él, hanem azokból, amit a neten találtak, illetve CSERÉLTEK. Azokat az embereket, akik vírusírtó cégeknek dolgoznak elég könnyű felismerni. Álltalában nem mutatkoznak "közszerepléseken" csak figyelik a trader-ek tevékenységét, és alkalmanként a leghatékonyabb, és legtöbb vírussal rendelkező trader-eket megkeresik. Mielőtt elkezdenénk tovább gyűjtögetni, érdemes megnézni és alkalmazni néhány vírustárolási technikát. Ezekről lessz szó a következőkben...

A gyűjteményünk rendezésének számtalan módja létezik. Legtöbben külön vinyót tartanak fenn erre a célra, (ált. valami régebbi 1,2Gigásat) de akinek erre nem jut, jó lesz egy külön partíció is. Sőt, lehet a rendszerünkkel egy vinyón is tárolni őket, de az már eléggé veszélyes mutatvány. a külön vinyó, ill partíció azért bevett szokás, mert a vírusok nincsenek "kéz alatt" elkerülendő a véletlen elindulásokat. Sőt, külön partíció/vinyó esetén sem szoktuk a vírusokat közvetlen a gyökérbe pakolni, hanem mondjuk X:\VIRUS, X:\VIRII, X:\VX meg hasonló alkönyvtárakat nyitunk. Most, hogy megvan, hogy hova tegyük őket, a gyűjtemény belső szerkezetét millióféleképpen fel lehet építeni. Mi most csak a legelterjedtebb, és legpraktikusabb formákat nézzük. Kedvelt forma a VFILES\szám struktúra, ahol szám=egy négy jegyű sorszám. Pl.: VFILES\0001, VFILES\0002, stb. ezekben az alkönyvtárakban ömlesztve találjuk a vírusokat típustól, mérettől függetlenül. A fájlnevek külön tárolási formáira még később visszatérek... Használatos továbbá a csoportosítás típus szerint (mint az enyém) VFILES\MACRO, VFILES\DOS, VFILES\WIN9X, és ezeken az alkönyvtárokon belül az átláthatatlanságot elkerülvén további sorszámozott alkönyvtárakat nyitunk: VFILES\DOS\1, VFILES\DOS\2, álltalában minden kollekcióra igaz, hogy egy alkönyvtárban maximum 2000-2500 vírust tartunk, ezért van szükség az alkönyvtárokon belüli indexelésre. Persze vannak akik ömlesztenek... A 2000 fájlos határ még a DOS-os idők maradéka, illetve egyéb okai is vannak. Míg nem volt vindos, a DOS-os fájlkezelők, DN, NC álltalában 2000-nél több fájlt nem tudtak egy alkönyvtárban megjeleníteni, memóriaproblémák miatt, illetve az a mai időkben is érvényes, hogy ha gyorsan váltogatunk az alkönyvtárak között, igen lassúvá válik az alkönyvtárak váltása, illetve a bennük történő keresés után, így ha már úgy is létezett a 2000-es határ, akkor miért ne? Szóval ezért 2000/alkönyvtár. Akkor létezik ezen kívül az ABC sorrendben történő kezelés, VFILES\A, VFILES\B. Vannak trader-ek, akik az egyes vírustörzsek nevét használják azonosítástra, és ebben az esetben a fájlok a vírusok nevét kapják. pl.: VFILES\DOS\YANKEE\Doodle.1024.com. Álltalában az FPROT víruskereső vírusneveit használjuk, ezen utolsó tárolási típusnál azonban az AVP logjait részesítjük előnyben! És persze mutatok néhány példát a fent leírt gyűjteménytípusok néhány lehetséges kombinációjára:

VFILES\A\0001
VFILES\MACRO\A
VFILES\DOS\Y\YANKEE
VFILES\WIN9X\A\0001
VFILES\0001
VFILES\0001\A
És a többi...
Akkor megbeszéltük e leghasználhatóbb könyvtárstruktúrákat, de (persze mindenki olyan kollekciót alakít ki magának, amilyet akar) még nem beszéltünk a fájlnevekről. A fájlneveket lehet "as is" hagyni, de ez nem célravezető. Álltalában a XX00001.EXT forma az elterjedt, ami magyarul annyit tesz, hogy az első két betű bármi lehet (álltalában VX), majd egy szám, végül a fájl kiterjesztése. Pl.: VX00001.COM, BC123.DOC, stb. Ezen elnevezés az indexelt kollekciókban (és a nagyon nagy kollekciókban) hasznos, azonban nem sokat árul el a vírusból, ami abban a fájlban rejtőzik. Erre használják többen azt a hosszú fájlneves formát, amely maga a vírusnév+kiterjesztés. Ebben az esetben az AVP vírusnevet vesszük figyelembe, mert sokkal beszélőbb és egyszerűbb felépítésű mint egy FPRTO név. Pl.: Yankee.Doodle.1024.com, Rainbow.a.doc És akkor asszem ennyi volna...


Mi is az a trade? Aki még nem jött volna rá, az vírusok egymás közötti cserélgetését takarja. A cserélgetés kizárólag azon formáját, mikor vírus-t vírusért, meghatározott ráta felállítása mellett, kizárólag gyűjteményünk bővítése céljából, nevezzük trade-nek. A vírusvétel, vírusért-pénz, már bűntetendő cselekmény, a csere azonban nem... Minden trader célja egy nagyon nagy (lehetőleg a világ legnagyobb) vírusgyűjteményének létrehozása. A cserélgetésnek több leíratlan, alapvető szabálya van. Bármilyen furcsán is hangzik, az egyik a becsületesség, a második pedig a bizalom. A kezdeményező (cserélni kívánó) félnek kell ajánlatot tennie, ezt a másik vagy elfogadja, vagy nem. Ha elfogadja, mindíg a kezdeményező fél küldi elsőnek a vírusokat... Mind a fogadó félre, mind a küldőre igaz az a szabály, hogy a cserélési rátáját (melyik vírusért mennyit ad) a cserélés közben nem változtatja. A fogadó félnek el kell tudni fogadnia a kezdeményező által használt programot, ill. gyűjteménytípust. Egyszerre mindíg csak egy trader-el cseréljünk, és adjunk időt a másiknak a csere lebonyolítására, mielőtt újba kezdenénk (ez kb.: 1 hét válaszolási/gondolkodási idő.) A megkezdett cserét utólag nem mondjuk le, főleg akkor nem, ha a másik fél elküldte az ő vírusadagját. Mindíg próbáljunk gyors elérhetőségre törekedni. Úgy logfájljaink, mint esetleg FTP-nk tekintetében. Ha lehet, több FTP címet használj! A vírusfájlokat tömörítve és kódolva küldjük. Készüljünk fel akár 1 megas levelek fogadására is. Honlapunk gyorsan áttekinthető, kicsi, mozgatható, és ebből következően egyszerű legyen! És az utolsónak hagyott, de NAGYON FONTOS FELTÉTEL, hogy vírusírtó programjaink, amivel a logjainkat elkészítjük mindíg a  legfrissebbek legyenek, maximum 1 hetes differenciával követni kell az új vírusupdate-ek megjelenését, és új logokat készítni. Ez legalább havonta 1 teljes újrascannelést jelent. (Érdemes éjszaka megcsináltatni a géppel.) Aki ezeket az íratlan szabályokat nem tudja, vagy nem akarja betartani, azt gyorsan kinézik a "vx scene"-ből... Egyébként új/kezdő trader-nek lenni manapság eléggé szar dolog. Ugyanis a NAGY traderek logjai már 30000 fölé kúsztak, és nem igazán tudnak a kisebbekkel cserélni, a kevés vírussal rendelkezők pedig nemigen találják meg egymást. És ha ehhez azt is hozzáteszem, hogy sajnos a logok már eléggé telítettek, a nagyobb víruskollekciók már többé-kevésbé megegyeznek, és eléggé nehéz így a bővítés.

Ahhoz, hogy az embert egyáltalán traderszámba vegyék, sajnos elég sok időt kell a nettel eltölteni. Először csak figyelni az ezzel a témával foglalkozó levlistákat, néha írni néhány szót. továbbá szükséges egy oldal, ahol a logok letölthetők, illetve nem utolsó sorban sokat kell járni az undernet-re, és megismerni a többieket, nézni az ő oldalaikat, check-elni a logjaikat. És amit még egyszer hangsúlyoznák, gyakran kell látogatni az FPROT (FTP.COMPLEX.IS) illetve az AVP (WWW.AVP.CH) oldalát, hogy állandóan képbe legyünk, és tudjuk követni az update-eket és a fejlesztéseket. Szóval minden alap adott. Már sokat emlegettem a virus-list (bármilyen vírustémával kapcsolatos dolog diskurzusa, logfájlokat itt nem szoktunk hírdetni), vx4all (csak logfájlok hírdetése céljából fenntartott lista), és a bcves (az előző kettő együtt, továbbá új vírusok írása/terjesztése (nem fertőzése)) listákat. ezek mind megtalálhatók az EGROUPS-nál, a WWW.EGROUPS.COM-on, és nagyon érdemes rájuk feliratkozni. Ezen kívül a KIZÁRÓLAG TRADEREK számára fenntartott servert, a shadowvx-et (www.shadowvx.com) is nagyon érdemes látogatni, akárcsak a CODERZ.NET-et (coderz.net). A fent említett levlistekre egy egyszerű emil elküldésével fel lehet iratkozni: listanév-subscribe@egroups.com formát használva.

Mielőtt rátérnék, hogy minőség, vagy mennyiség, had adjak néhány további tippet. Az AVP és FPROT logfájlokat álltalában a következő paraméterezéssel szokás elkészíteni:

avpdos32.exe /* /W=reportfilename /V Pathofyourcollection

f-prot.exe pathofyourcollection /ARCHIVE /PACKED /COLLECT /DUMB /REPORT=reportfilename

No. Ha elkészítettük a logokat, következzék a feldolgozás a következőképpen: Fogd a VSNG-t, és írd be: (Az FPMY.LOG helyére természetesen a te FPROT logod neve kerül, az AVPMY.LOG helyére pedig az AVP)


vsng.exe b fpmy.log avpmy.log

Most minden információ megjelent a képernyőn. Elégedett vagy? (Ha több vírusokd van mint 20000 akkor IGEN, különben NEM :) ).Most akkor tedd ki az oldaladra az új logjaidat, de előtte tedd meg a következőt:

vsng.exe r 

Most tömörítsd össze az így kapott két (esetenként egy) fájlt (fprep.log, avprep.log) ZIP-el vagy RAR-al, és mondjuk nevezd el logs.rar-nak Nos ezen archívot tedd fel az oldaladra. ezután külddj ki egy levelet a fent említett egroup-okra, mely direkt linket tartalmaz a logjaidhoz, és AVP-re és FPROT-ra lebontva tartalmazza a vírusaid számét (duplák nélkül) (Csatolhatod a VSNG által készített counted.log-ot is, amit egy vsng -t hívás után kap6sz): És most már semmi más dolgod nincs, mint várni a sült galambot, de persze ha szeretnél aktívabban is cserélni, te is vadászhatsz logokra. Töltsd le valakiét, tömörítsd ki, és tedd a következőt:


vsng.exe -compare FPNOTMY.LOG AVPNOTMY.LOG

A következő fájlok készülnek majd el az egyes logokhoz: avp/fpineed.log avp/fpuneed.log Ezután a következő parancssor jön:

vsng.exe tc ;FPVIRII4U FPUNEED.LOG
vsng.exe tc ;AVPVIRII4U AVPUNEED.LOG

Ekkor a másik trader által igényelt vírusok máris bekerültek a ...4U alkönyvtárakba. Tömörítsd őket össze, beszélj meg vele egy helyet, ahova feltöltöd őket, vagy küldd el emilben, de előtte szólj neki. Aztán meg várd a te adagodat, ami, ha becsületes trader-el van dolgod 1 napon belül megérkezik. A vírusokat amiket kapsz töltsd le, majd rendezd bele a gyűjteményedbe:

vsng.exe -a db fpgot.log avpgot.log

Vagy egy másik lehetőség, hogy bemásolod a kapott vírusokat a kollekciódba, és újrascanneled az egészet. Majd kezdődik minden előről...

ENNYI! 


Szóval minőség, vagy mennyiség? Én a részemről mindkettőt fontosnak tartom... A mennyiségi vírusgyűjtést a kezdők nagyon szeretik, ezzel felhalmozva egy csomó szemetet, mellyel később bosszúságot okoznak maguknak. Ilyen szemét pl az OBJ és IMG fájlok. Ezektől már jó, ha az elején tartózkodunk. tudom, csábító lehet, ha valaki 10:1 arányban ajánl obj vírusokat. az sem véletlen. Az ilyen fájlokat ugyanis a traderek többsége szemétnek tartja, mert nagyon gyorsan változhat a leírásuk, és valódi vírusértékük pedig nincs, sőt, én már találkoztam olyan obj-al, melyből fordítható exe volt készíthető (a többségből még csak ezt sem lehet készíteni, ezért szemét), azonban teljesen működésképtelen volt, mert csak összevágott sorokat tartalmazott egy-egy híresebb vírusból. Szóval én azt ajánlom, hogy inkább a mennyiség, és a jól elrendezett kollekció lebegjen a szemünk előtt példaként, mint a mennyiség... Én 3200 OBJ-os vírusomtól szabadultam meg nemrég egy szimpla DEL *.OBJ és DEL *.IMG segítségével. És nem bántam meg (habár 400-al kevesebb vírusom lett (ez is mutatja, hogy az obj és img fájlok között, ha amikor csereled nem is, de idővel egyre több lessz a dupla.))



6. Mivel, és hogyan rendezzük gyűjteményünket?

Talán legkézenfekvőbb dolog azt mondani, hogy programokkal. Merthogy egy bizonyos mennyiség fölött, ez általában a bűvös 4000db-os határ, mivel ekkorra az emberre már rásózzák és/vagy letölti a legáltalánosabb, és legelterjedtebb vírusokat. Az embernek az elején általában a mennyiség a szempont, de egy bizonyos idő után azt veszi észre, hogy sokkal jobban örül egy ritka vírusnak a gyűjteményében, mint a már unalmas, minden kollekcióban meglévő daraboknak. És persze ekkor mennyiséget lehetetlen fejben tartani. És egy darabig még működik a blintre kiválasztott vírusok cseréje, de egy idő után már nem kifizetődő. Éppen ezért okos emberek kitaláltak olyan programokat, amelyek összehasonlítanak két logfájlt és kiválogatják belőlük azokat a vírusokat, amelyek vagy az egyiknek, vagy a másiknak kellettek. Néhány éve egyetlen ilyen program volt a "piacon", a Virus Sorter. Ezt Virusbuster /29A  és asszem Spooky /Codebreakers készítette. Ezen progi volt az őse az összes eddiginek. Az alapfunkciók ebben jelentek meg először, és itt alakultak ki a cserélés leíratlan szabályai. Aztán a VS fejlesztése átkerült Virusbuster kezébe, VS2000 néven. Azonban ahogy egyre több trader lett, megjelent az igény, és a verseny jobb cserélgetőprogramok elkészítésére is, mint amilyen a VS2000. Az elő ilyen a Virus Keeper, amit nyugodtan hívhatunk a legnépszerűbb traderprogramnak, mert nemcsak, hogy a logfájlokat kezeli, de menedzseli, kezeli is a vírusfájlokat. Könyvtárakba rendezi, átnevezi, stb. Sokáig szakadt így két pólusra az egész. Akik saját maguk irányították gyűjteményüket, azok a Vs2000-et használták, a többiek meg a Vkeeper-t. De ezek a programok nem voltak túlságosan felhasználóbarátok, és ahogy egyre kezdőbbek is megjelentek a víruscserélők között, felmrült egy harmadik, majd közel egy éve, egy negyedik igény is. A harmadik igény  felhasználóbarát kezelőfelület, gondolok itt vindózos, vagy DOS-os menüs felületekre, a korábbi bonyolult paraméteres kezelés helyett.
A negyedik igény pedig a sebesség volt. Egy 20000-es gyűjteményt 1999 karácsonyán még több mint 1 percbe került rendezni, és összehasonlítani egy másikkal (mára ez 3 másodperc alá csökkent, és a verseny tovább fokozódik). És ekkor szerény személyem úgy gondolta, hogy ideje megjelenni valami igazán áttörő dologgal, a VSNG-vel (Virus Sorter New Generation), mely elsődleges szempontként a sebességet célozta meg, könnyű paraméterezés mellett. Nos, lett is nagy felfordulás, merthogy a VSNG egyszercsak a leggyorsabb progi lett. Ekkor jött VirusBuster azzal, hogy fejlesszük együtt a VS2000-et. Ebből végül is nem lett semmi, hanem nagy drámák és kódlopások következtek. Ezt itt nem óhajtanám részletezni, 1 azért, mert a károsultja vagyok az ügynek, 2 az ezine nem arra való, hogy saját dolgainkat belevetítsük, így igyekszem majd objektíven bemutatni az összes elérhető programot, 3 ez a kérdés a mai napik heves viták sorozatát váltja ki a vx scene-ben. Aki kíváncsi a részletekre, az nézze meg a virus-list@egroups.com és a vx4all@egroups.com, valamint a bcves@egroups.com archívumát, ahol bőségesen találhat (flame-háborúk maradékát) információt erről a témáról, és kialakíthatja véleményét, de inkább azt javaslom, hogy próbálja ki mindkét programot, mert annak ellenére, hogy a VS2K főleg a VSNG SE kódjára épül, tartalmaz jó dolgokat, majd aztán döntsön, vagy ne döntsön. Aztán ez évben elindult valamiféle versenyfutás a trader-ek kegyeiért, ami elég erőteljesen megviseli a programozókat, a trader-ek javára, mert úgy a VS2K és a VSNG is olyan új és újabb dolgokkal jönnek ki, hogy a legtöbb trader már követni sem tudja. A versenyfutás mértékére fentebb már láthattunk egy adatot... A VKeeper fejlesztését sajnos időközben leállította Tally. Állítólag most újra belekezdett, és készülőben van a V2.0. Majd meglátjuk mi lesz belőle... Ezalatt, a VSNG megjelenését követően többen is felbátorodtak, hogy a VS2K és most már a VSNG megosztott versengésébe beleszóljanak, akadtak is sikeres próbálkozások, de ezen programokat jórészét csak az írójuk használja, pedig igazán kár értük, mert van egy-két értékes és megjegyeznivaló közöttük. És jelenleg így áll a helyzet. A www.coderz.net/vtc -n megtaláljátok VB verzióját a történetről, de hangsúlyozom, hogy nem sok igaz belőle... Ugyanezen az oldalon letölthető a VS2K, melynek legújabb verzióját csatoltam, és letölthető néhány kisebb progi is, azokat is érdemes kipróbálni.A http://www.shadowvx.com/vsng oldalról pedig az én progimat szedhetitek le, továbbá az oldal egy TELJES ONLINE help-et is tartalmaz. Az elkövetkezendő néhány pontban az egyes programokat jellemezném, kidomborítva előnyüket és hiányosságaikat, de előbb nezzük meg a következő táblázatot, melyet VirusBuster készített, így nem egészen tárgyszerű, így nem lehet csodálkozni, hogy a VS2000 áll az első helyen. Sőt, ha megnézitek a VSNG a második helyen áll, ami ahhoz képest, hogy utáljuk egymást VB-vel mint a szar, nem egy rossz eredmény... Ez azér már sugall valamit... Akkor nézzük a táblázatot:

vissza


Vírus/logfilekezelő programok összehasonlítása:

Comparative by VirusBuster (06-Oct-2000)

Collection Maker 0.66b by Igor Hák

VirLog 3.5 by Furkon

Virus Keeper 1.0R8 by Tally

Virus Quarantine 3.0 by L´Arcano Incantatore

Interface

***

 

***

Speed

***

*

 

No bugs

***

***

***

 

File management

***

*

***

 

File management inside archives

 

Manuals

***

 

***

 

User friendly

***

*

*

***

Many features

 

*

***

 

No Limitations

 

***

 

***

Updates

***

 

***

*

Osztályzat

7

4

5´5

3´5

 

VS2000 8.86 StripLog 7.32 by VirusBuster

VSNG SE 1.5 by Black Cat

VxT 1.01 by Poltergeist

WinSort 0.2.6 by VEiN

***

 *

***

***

***

***

 

***

 

***

 

***

***

 

***

*** ZIP/ARJ/RAR

*
ZIP

 

***

***

 

*

*

*

***

***

***

 

***

***

 

***

***

***

 

*

9´5

7'5

2´5

4´5

Megjegyzések:

*** = 1 pont, * = 0´5 pont, semmi = 0 pont

vissza

Akkor lássuk az egyes traderprogik rövid leírását (linkekkel):

Collection Maker 0.66b (Igor Hák)

Ez egy vindoz alá készült progi, delphiben írták, egyszerű, könnyen átlátható és kezelhető felülete van. Talán éppen azért, mert a Delphi-s BDE (borland Database Engine-en) alapul, nem valami gyors. Nincs olyan sok beállítási és funkcionális lehetőség mint amennyi lehetne benne, de amit csinál azt hiba nélkül csinálja. A Collection Maker-t nem logfájlok összehasonlítására, hanem inkább a gyűjteményünkben lévő fájlok rendezésére szolgál. AVP és Fprot logokat egyformán jól kezel. Másol, áthelyez, és rendez... sajnos nincsen hozzá "használati utastás" mellékelve, így a dokumentáció 0-nak tekinthető, de ennek ellenére könnyen használható. A Collection Maker tartalmaz egy megkötést, nevezetesen maximum 50000 fájl kezelésére képes (ami nem ok), és nem tud kicsomagolni archív fájlokból. Gyakran jelennek meg új és új verziói, melyek általában kevés, de hatékony újítást tartalmaznak.

Osztályzat: 7

 

VirLog 3.5 (Furkon)

Ezen Virlog nevű progit Perl-ben írták, a forráskódot pedig publikálták, így mindenki a saját igényeinek megfelelően módosíthatja. A progi tartalmazza a logfájlmatató progik alapvető funkcióit (épít, hozzáad, összehasonlít) és képes a kollekciónkat is rendben tartani BAT fájlon keresztűl, melyben a másolási és áthelyezési utasításokat tartalmazza, így a progi munkássága könnyen nyomon követhető. A dokumentáció itt is =0. A proginak már régóta nem jelent meg új verziója, és valószínüleg nem is fog.

Osztályzat: 4

 

Virus Keeper 1.0 Release 8 (Tally)

Más néven VK. Virus Keeper egy DOS-os progi, melyet Clipper-ben fejlesztenek. VK-nek nagyon sok EGYEDÜLÁLLÓ funkciója van, de éppen azért, mert Clipperben készült, rendkívül lassúnak mondható. Nagyon közkedvelt, éppen azért mert egy programban integrál logfájl matató, és gyűjteménykezelő részt.
AVP és Fprot logokkal dolgozik, régebbi verziói (nagyon lassúak) bármilyen logformátum kezelésére képesek voltak, de mivel ez a tulajdonsága kihasználatlan maradt, így ezt kivették belőle... Támogatja a hatalmas vírusadatbázisokat és gyűjteményeket, melyeket szépen kezel. Dokumentációja rövid, és kissé hiányos, de a célnak megfelel. A Virus Keeper sajna nem kezel fájlokat tömörített állományokban, és a hosszú fájlnevekkel (LFN) ugyancsak gondjai vannak. Már régóta nem frissítették, de tervbe van egy V2.0, ami komoly vetélytársa lehet a VSNG-nek, és a Vs2K-nak egyaránt... Kíváncsian várom.

Osztályzat: 5´5

 

Virus Quarantine 3.0  (L´ Arcano Incantatore)

Már az installálásnál kiderül, hogy ezen progi HEMZSEG a hibáktól... Egyszerűen képtelenség volt részletesebb leírást adni róla, mert valami hiba folytán nem tudtam elérni egy csomó funkcióját. Mondhatni szar. Szinte mindenben alul szerepelt, sebesség, dokumentáció, bugok, frissítések... egyetlen egy előnye, a szépsége. a legjobb, és leghasználhatóbb kezelőfelülettel rendelkezik az összes mai logfájlmatató progi közül...

Osztályzat: 3´5

 

VS2000 8.86 / StripLog 7.32 (VirusBuster)

VS2000, másnéven VS2K, vagy VS2000, eredetileg Shadow Seeker progija volt, de valahogy Virusbuster-hez (vajon hogy?) került át a fejlesztése, és a mai napig is ő "fejleszti". (Hol innen, hol onnan lop...). DOS-os progi, azonban elkészült hozzá egy igen primitív Windows shell is, amely vélemyényem szerint egy pontot sem ér, de ugyebár ragaszkodjunk Virusbuster listájához, nehogy azt mondják, hogy a saját progimat az egekig magasztalom... A VS2K-t Free Pascal 32-ben írják. A klasszikus, és eredeti Virsort egy továbbfejlesztett változata. A VS2K egy csomó logfájlmatató paramétert tartalmaz, de gyenge dokumentációja és nehézkes kezelése miatt, csak a gyakorlottabbak használják! (Aki használja, azt megverem... :) )
A Striplog egy kiegészítő program a VS2K-hoz, mely a gyűjteménymanage-lés szerepét hivatott betölteni. Ez is tartalmaz jó funkciókat, sőt, többféle archívon belül is kezeli a fájlokat, azonban eléggé lassú.
Az azért a becsületére legyen mondva, hogy kevés hibát tartalmaz.
A VS2K-nak is megvan az a funkciója, hogy nemcsak Fprot és AVP fájlokat kezel, aminek legyünk őszinték, semmi értelme sincs.
Mindkét programot gyakran frissítik, bármilyen kis hibajavítás vagy új dolog esetén megjelenik új verzió.

Osztályzat: 9´5 :))))))))))))))))))))))))) (Nem objektív)

 

VSNG SE 1.5 (Black Cat)

Ezen progit itt most nem ecsetelném, részletes leírása megtalálható ezen ezine következő pontjában, itt!
Annyit összehasonlításképpen elmondanék, hogy kezdők és haladók számára egyaránt rendkívül ajánlott, mert könnyen kezelhető és informatív felülete, egyszerű paraméterei, a legkezdőbbek, ugyanakkor több tonnányi report funkciói és szűrői a legprofibbak igényeit is kielégíti. Az elérhető víruslogmatató progik közül a legjobb és legrészletesebb a dokumentációja sintén a kezdők és haladók igényeit is hivatott szolgálni. ezen kívül a VS2K-val azonos sebességű, vagy ahogy a verziók kijönnek éppen gyorsabb. Egyenlőre csak ZIP fájlokban képes a fájlokkal dolgozni. A proginak mellesleg megjelent egy újabb, V1.6-os verziója, ami már nemcsak logfájlok matatását, hanem teljes cserék komplex lebonyolítását és a gyűjteménybe rendezését is elvégzi. A VSNG talán legnagyobb hátránya, hogy nem tökéletesen tesztelt, így néhol hibák lehetnek benne, illetve az, hogy havonta, kéthavonta történik frissítés, de akkor mindíg egy csomó újítással és javítással.

Osztályzat: 7'5 :((((((((((((((((((((( (Ez sem objektív)

 

Vxt 1.01 (Poltergeist)

A VxT egy víruscserélgető utility DOS alá, Microsoft Visual C++ -ban íródott. (Használata már csak ezért sem ajánlott), és az író saját maga számára készítette, így úgy dokumentációban, mint kezelhetőségben, és kezelőfelületben, magasan a társai alatt marad, és csak az alapvető logfájlmatató funkciókat látja el. a sebessége jónak mondható. nem olyan gyors mint a Vs2K, és főleg nem olyan gyors, mint a VSNG, de sebességben a 3. helyen áll. Összes funkciója abban áll, hogy két logot lehet vele összehasonlítani. A VxT maximálisan 50000 különböző vírust tud lekezelni... Elképzelhető, hogy vannak újabb verziói, de ezek eddig nem lettek publikálva.

Osztályzat: 2´5

 

WinSort 0.2.5 (VEiN)

A Winsort ugyncsak egy logfájlmatató progi, melyet Visual Basicben írtak. Kevés funkciója van, de még ezekben is jócskán találhatunk hibákat. A felülete szép, azonban a kezelhetőség terén még egy kis segítségre szorul az írója. dokumentációja létezik, de hiányos, és rövid. Talán azért, mert a progit Visual Basicben írták, a leglassabbak közül való. Nem kezel fájlokat archívokon belül. A progit nem frissítik, csak ritkán... (Fél évente)

Osztályzat: 4´5

vissza

Néhány egyéb, hasznos progi ismertetése

AVP Virus Encyclopedia

AVP vírus enciklopédia HLP formátumban. Egy csomó vírus részletes leírása. Nagyon jó irodalom, érdemes gyakran forgatni.

AVPVE

 


Hacker´s View

A Hacker´s View egy fájl néző/szerkesztő/visszafejtő egyben. hacker-ek, Cracker-ek figyelmébe ajánlom. Na és persze vírusok nyomkövetésére is kiváló.

Hacker´s View 6.55

Crack for HIEW 6.55

 


IDA

Az IDA egyszerűen a legjobb disassembler.

IDA 4.04 disk 1 disk 2 disk 3 disk 4 disk 5 disk 6 disk 7 disk 8 disk 9 disk 10 disk 11 disk 12 disk 13 disk 14

 


Ralf Brown´s Interrupt List

Ezen interrupt lista tartalmazza az ÖSSZES megszakításhívás, IO rutin, memóriaművelet és memória-architektúra és egyéb nagyon hasznos dolgok részletes leírását és listáját, az összes eddig megjelent IBMPC bios és CPU típushoz. Vírusírók nélkülözhetetlen eszköze. De az is kiderül belőle, hogy hoyg lehet egy 3-byt-os COM-al feltörni a supervisor illetve setupkódot, sőt nem csak a dokumentált, de a nem dokumentált hívásokat is részletesen tárgyalja. TÖBB MINT 7 MEGABÁJT TISZTA INFORMÁCIÓ sima szövegként!!

R.B. Interrupt List release 61 part A
part B part C part D part E part F

 


Request Trimmer 1.0

Ezen víruscserélő progit csak megemlítjük, a tesztbe sem került bele. Ki lehet próbálni.

Request Trimmer 1.0

 


RoseGoat

Ezen progi segítségével tradertársunk agyára mehetünk, mert EXE és COM fájlokból un. GOAT, vagy más néven BAIT fájlokat készíthetünk. Elképesztően sok opcióval rendelkezik, érdemes kipróbálni, habár a progi használhatósága megkérdőjelezhető. a RENEXTS nevű program éppen a fordítottját csinálja, mint a ROSEGOAT.

RoseGoat 1.42

 


Soft-Ice

Soft-Ice a Numega Technologies -től. A létező legjobb debugger a világon. NÉLKÜLÖZHETETLEN! (Hack , Crack és virus témában egyaránt)

S-Ice 4.05 disk 1
disk 2 disk 3 disk 4 (Win9x)

S-Ice 4.05 disk 1 disk 2 disk 3 disk 4 disk 5 (WinNT)

S-Ice Update Patches for Win2000

 


Turbo Assembler

Turbo Assembler a Borland-tól (Inprise) a legjobb program assembler fájljaink lefordításához.

Tasm 5.0 (1/3) (2/3) (3/3) (patch)

 


VGREP

A VGREP egy nagyon hasznos progi. Fprot, vagy AVP scanner-t futtat, és a kimenetükből azonnal jól elemezhető szöveg-adatbázist készít.

VGREP


Win32Dasm

Egy nagyon jó disassembler Win32-höz. Támogatja a következő formátumokat: Windows 32Bit PE, 32Bit LE, 6Bit NE, integrált debuger, exportált/importált funkciók, szöveg és adathívatkozások...

W32DASM 8.93

 


Win32 Programmer's Reference

Ez minden vindoz kódernek kell. Rendkívül jól meg lehet belőle tanulni windos vírust írni. Egyébként meg az API hívások leírását tartalmazza. (ezen verzió tartalmazza a nem dokumentáltakét is...) :)

W32 Programmer´s Reference (1/3) (2/3) (3/3)

vissza


A VSNG részletes ismertetése: Fasz kivan. Nem fogok itt most dicshimnuszt zengeni. Annyit mondok csak, hogy az egyik legtöbbet nyújtó és leggyorsabb progi, és én írtam. Az ezine-hez is csatoltam. Nemtom mikor fog megjelenni a zine, de a cikk írásának idején ez volt a legújabb, a V1.6beta2. Szóval itt megtaláljátok az egyszerű verziót, ITT pedig a teljes VSNG csomagot. (Ez utóbbi a helpet is tartalmazza és V1.5-ös). Ha valaki kíváncsi az ANGOL nyelvű, körülbelül 100 oldalnyi HELP-re, az az OFFICIAL VSNG oldalon illetve a vsngcp.exe-ben megtalálja (a 100 oldalból rögtön kiderül, miért nem akarok ide is bemutatót írni...):

 http://www.shadowvx.com/vsng

vissza


 

7. Vírustípusok fertőzési technikái

BOOT virusok

Egészen 1996 végéig gyakorlatilag ezek a vírusok jelentették a vírusproblémát, hiszen az összes fertozés több mint 90%-a tolük származott. Legeloször is részletesen meg kell vizsgálnunk, mi is játszódik le egy PC belsejében a rendszerindítás közben.

A következo fontos lépésekben zajlik le az indítás.

A felhasználó bekapcsolja a gépet, megnyomja a Reset gombot vagy a CTRL+ALT+DEL billentyukombinációt.

A processzor az FFFF:0000 memóriacímen elkezdi az ott található program végrehajtását. Ezen a helyen a BIOS indítórutinja található.

A BIOS-ban levo kód leteszteli a különbözo hardverelemeket (RAM, lemezegységek, ...).

Még mindig a BIOS-ban levo kód kiolvassa a CMOS-ból a rendszerindítási sorrendet, vagyis hogy a merevlemezrol vagy a floppiról kezdje-e tölteni a rendszert. Ha a floppimeghajtóban nincs lemez, akkor mindenképpen a merevlemezrol indít.

Ha floppiról indít, akkor beolvassa onnan a legelso szektort, vagyis a 0. fej 0. cilinderének 1. szektorát. A szektor tartalma két fo részbol áll: az operációs rendszert indító kis kódrészletbol (ez a közhiedelemmel ellentétben nem csak a rendszerlemezeken van jelen, hanem a közönséges adatlemezeken is) és a lemez fizikai paramétereit (szektorméret, oldalak száma, gyökérkönyvtár mérete stb.) tartalmazó adatmezobol. Errol a szektorról a BIOS ellenorzi, hogy az valóban boot-szektorszeru-e. Ezt onnan dönti el, hogy az utolsó két bájtnak 55AAh-nak kell lenni. Ha nem ez áll fenn, a rendszerindítás hibaüzenettel megszakad. Ha sikeres volt azonosítás, a BIOS átadja a vezérlést a beolvasott boot-szektorban levo kódnak és rendszerindítás folytatódik a 8. ponttal.

Ha merevlemezrol indítunk, akkor is a 0. fej 0. cilinderének 1. szektorát olvassa be a BIOS program, de ez ebben az esetben nem a boot-szektor lesz, hanem a partíciós rekord, amely ugyancsak két részbol áll, egy rövid programból illetve a merevlemez felosztottságát könyvelo partíciós táblából. Ez az extra lépés azért kerül be, mert egy merevlemez több operációs rendszert és azokhoz tartozó partíciókat is tartalmazhat. A BIOS program ugyanúgy megnézi az utolsó két bájtot, aminek itt is 55AAh-nak kell lennie. Ha nem az, a rendszerindítás hibaüzenettel megszakad, illetve a régebbi, eredeti IBM PC-ken a gépek a BIOS-ában tartalmazott BASIC-interpretert hívja meeg a BIOS.

A BIOS-ban futó kód a partíciós táblából kiolvassa, hogy melyik az aktív partíció (ha nem talál ilyet, hibaüzenettel leáll) és hogy az a merevlemezen mettol meddig tart. Ennek ismeretében be tudja olvasni az aktív partíció legelso logikai szektorját, ami a partíció boot szektora. A BIOS átadja a vezérlést a boot szektorban levo kódnak.

Egészen eddig a pontig a folyamat független volt attól, milyen operációs rendszer van a PC-n, mindent a BIOS-ba beégetett kód végzett. A továbbiakban az MSDOS operációs rendszer felállását taglaljuk.

A boot-szektor kódja ellenorzi, hogy az adott floppilemez illetve partíció alkalmas-e rendszerindításra. Ezt úgy dönti el, hogy megnézi, hogy a gyökérkönyvtár elso két bejegyzése az IO.SYS illetve az MSDOS.SYS állományokhoz tartozik-e (a mostanában már kihalófélben levo IBM DOS esetében a két fájl neve IBMIO.COM és IBMDOS.COM). Ha nem ezt a két állományt találja ott, akkor hibaüzenettel leáll a rendszerindítás. Ha igen, akkor beolvassa az IO.SYS elso 3 szektorát, majd átadja annak a vezérlést.

Az IO.SYS inicializálja az interrupt-táblát, megkeresi az esetleges ROM-bovítéseket és feldolgozza a CONFIG.SYS-t, betölti az abban levo meghajtókat. Ezután lefuttatja az MSDOS.SYS-t.

Az MSDOS.SYS inicializálja a DOS-hoz tartozó interruptokat, betölti a COMMAND.COM-ot és feldolgozza az AUTOEXEC.BAT-ot.

A boot vírusok ebbe a végrehajtási sorrendbe tolakszanak be. Ezt két ponton teszik meg: vagy a boot szektort vagy a partíciós rekordot helyettesítik saját kódjukkal - ez alapján osztjuk fel ezt a víruscsoportot két alcsoportra. Természetesen ez a választás csak a merevlemezek esetében áll fenn, a floppikon nincs partíciós tábla, ezért ott mindig a boot szektort fertozik.

Mivel a BIOS csak nagyon felületesen ellenorzi e két létfontosságú szektor valódiságát, a vírusok dolga egyszeru: saját kódjukkal lecserélik azokat, annyira kell csak vigyázni, hogy az ellenorzésre használt utolsó két bájtot változatlanul hagyják. A két szektorban tárolt adatokra is vigyázni kell, hiszen nagy galiba lenne, ha a partíciós táblába is beleírna a vírus, mert akkor az adatoknak búcsút lehetne mondani. Ezt a vírusok vagy úgy oldják meg, hogy a létfontosságú részeket nem írják felül, vagy pedig úgy, hogy azokat egy másik szektorba elmentik, és szükség esetén onnan továbbítják.

Egy partíciós táblát fertozo vírus (a boot vírusok nagyobbik része ilyen, többek között a hazánkban is közismert Michelangelo) esetében a 2. 3. és 4. pont a fent ismertetett sorrendben lezajlik, de a 5. pontban kisiklik a normál menet, ugyanis a BIOS a boot szektor indítókódja helyett az ugyanabba a szektorba került víruskódnak adja át a vezérlést. Ez aztán megfertozi a merevlemez partíciós rekordját, majd a víruskód vagy maga folytatja a végrehajtást a 8. ponttal, vagy pedig beolvassa a gondosan elmentett eredeti boot szektort és átadja annak a vezérlést és mint aki jól végezte a dolgát hátradol és megpihen. Ha ezután a már fertozött merevlemezrol indítjuk a rendszert, az 2., 3. és 4. pont után az 6. pontban az eredeti partíciós rekordbeli kód helyett a vírus kerül végrehajtásra, amely aztán rezidenssé válik majd megkeresi az aktív partíciót, beolvassa annak boot szektorát és átadja annak a vezérlést. A rendszer felállása ezután a 8. ponttól kezdve a normális mederben folyik (csak éppen a vírus már rezidens a memóriában).

Egy boot szektor vírus esetében (ilyen például a Magyarországon is igen elterjedtnek számító Cruel) a floppiról történo fertozodés ugyanúgy zajlik, mint az imént ismertetett esetben, azzal az egyetlen különbséggel, hogy a vírus a merevlemezen nem a partíciós rekordot, hanem az aktív partíció boot szektorát fertozi meg. Ha azután a merevlemezrol áll fel a PC, akkor egészen a 8. pontig minden rendben folyik, ahol is a normál indítókód helyett a vírus kódja fut le. Ez aztán ismét gondoskodik arról, hogy a vírus rezidenssé váljon, majd általában beolvassa az eredeti fertozés elotti indítókódot és minden folytatódik a legnagyobb rendben - persze a vírustól eltekintve.

 

FILE VÍRUSOK

A ma ismert vírusok óriási többsége a programvírusok közé sorolható. Ezek a vírusok a programokat, a DOS COM illetve EXE illetve a Windows NewEXE és a Windows95/NT Portable EXE formátumú végrehajtható állományait fertozik. A fájlvírusok nagy többsége a programok végére illeszti saját kódját, és ezen kívül végrehajt olyan változtatásokat, amelyek a program elindításakor automatikusan a vírus futtatását vonják maguk után.

Mivel az operációs rendszer másképp kezeli a COM és az EXE programokat, ezért a fertozés mechanizmusa is némiképpen különbözo. A programok esetében meg kell különböztetni a lemezen tárolt alakot, illetve annak a futtatáskor a memóriában kialakult képét. Egy COM program esetében a ketto pontosan ugyanaz, a DOS egy az egyben beolvassa a fájl tartalmát egy memóriaszegmensbe, majd átadja a vezérlést a program legelso utasításának. Ennek fényében a vírusnak is igen könnyu a dolga. Az esetek többségében csupán a programfájl végére illeszti magát, és az elején csak pár bájtot ír át, amelyek a vezérlésnek a vírusra irányuló eltérítéséért felelosek. Miután a vírus lefutott, általában helyreállítja a az eredeti elso pár bájtot, majd átadja a vezérlést az eredeti programnak.

Van néhány vírus, amely eltér ettol a szimpla sémától. Az ún. felülíró vírusok átírják az eredeti programrészletet a saját kódjukkal, ezzel aztán helyrehozhatatlanul károsítják azt. Ezek a vírusok nem túl elterjedtek, mert minden fertozött program használhatatlanná válik, ami még a legnaivabb felhasználó gyanakvását is felkelti.

A fájlvírusok másik kisebb csoportja pedig a teljes víruskódot a program elejére illeszti, az ott levo eredeti tartalmat pedig a fájl végére menti el. A vírus lefutása után az elmentett darabokból újra összerakja az erdeti programot, majd átadja annak a vezérlést.

Az EXE programok esetében jelentos különbségek vannak a lemezen tárolt alak illetve a futtatáskor a memóriában megjeleno forma között. Eloször is a lemezfájl egy fejléccel kezdodik, amely fontos adatokat tartalmaz, többek között a program memóriaigényét, a regiszterek kezdeti értékét. Másik fontos feladata is van a fejlécben tárolt információnak. A COM programokkal ellentétben az EXE programok több adat illetve kódszegmensbol állhatnak. Ezek a szegmensek a futás során kapcsolódnak egymáshoz, hiszen az egyik kódszegmens a másikból hívhat meg függvényt, vagy adatszegmensbol olvashat be adatokat.

A futtatáskor a DOS helyezi el ezeket a szegmenseket a szabad memóriaterületeken. A program összeszerkesztésekor (linkelésekor) még nem lehet tudni, hogy a futtatáskor éppen hol lesznek egymáshoz viszonyítva a szegmensek, ezért a szerkesztés után ezek a szegmensek közötti hivatkozások még nem definiáltak. A DOS parancsértelmezoje lesz az, amely futtatáskor a helyes memóriacímeket tölti be ezekbe a hivatkozásokba. Az EXE fejléc feladata tehát az is, hogy könyvelje, a lemezfájl mely pontjain vannak olyan hivatkozások, amelyek futtatáskor kitöltendok.

Mivel a fejléc tartalmazza a regiszterek kezdeti értékét, ezért az utasításregiszterek (CS és IP, ezek határozzák meg a belépési pontot, ahol a program futása megkezdodik) értékei is itt vannak. A vírus a fájl végére írja magát, majd a fejlécet módosítja úgy, hogy az most már a víruskódra mutasson (közben elmenti az eredetileg ott levo értékeket). Sikeres lefutás után a vírus eloszedi az elmentett CS és IP értékeket, és elindítja az eredeti programot.

 

WORD MAKRO VÍRUSOK

Rengeteg támadási pont van, ahol a vírus bekapcsolódhat a végrehajtási láncba a Word esetén.

Létezik 5 elore definiált, fix nevu ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elofordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy sablon tartalmaz egy AutoClose nevu makrót, akkor minden ezen a sablonon alapuló dokumentum lezárásakor ez a makró automatikusan végrehajtódik.

Makró neve Végrehajtódás feltétele

AutoExec MS Word indítása

AutoOpen Dokumentum nyitása

AutoClose Dokumentum zárása

AutoExit Kilépés az MS Word-bol

AutoNew Új dokumentum létrehozása

A másik aktivizálódási lehetoség egy vírus számára abban rejlik, hogy a Word beépített, menübol kiválasztható parancsait makrókkal át lehet definiálni. Ha például létezik egy FileSaveAs nevu makró a mintaállományban (amely éppen az aktív ablakban van), akkor a Save As... menüpontot kiválasztva nem az eredeti Word parancs, hanem ez a makró hajtódik végre, és a vírus ismét vígan terjed.

A legtöbb makróvírus az automatikus makrókat használja fel a globális sablon (NORMAL.DOT) megfertozéséhez, és a menüparancsok átírását a további dokumentumok fertozéséhez. Ezen kívül van még néhány egzotikus módszer a vírusok aktivizálódásának biztosítására.

A Word makró vírusok az elso valóban platform-független vírusok, amelyek képesek különbözo architektúrájú gépek között terjedni. Minden operációs rendszer alatt, amelyre létezik MS Word (Macintosh OS, DOS, Windows NT, OS/2) életképesek. Gyakorlatilag mindegyik ismert Word vírus képes más operációs rendszer alatt terjedni (bár mindet Windows alatt írták), csak legfeljebb néhány apróság nem muködik bennük.

A Word különbözo nyelvi verziói valamelyest gátat szabnak a szabad terjedésnek. Ezekben a változatokban ugyanis az egyes menüpontoknak, így a hozzájuk rendelt belso parancsoknak a neveit is lefordították. Például az angolszász változatokban levo FileSaveAs belso parancsnak a német verzióban a DateiSpeichernUnter felel meg, a hollandban a BestandOpslaanAls stb. Emiatt az angol verzióban megírt Concept például nem életképes német nyelvterületre érve.

Mivel pedig a makró parancsok a sablonokon belül nem nevük szerint, hanem már félig lefordított 2-3 bájtos tokenekként tárolódnak (és ezek a tokenek ugyanazok minden változatban), a csupán automatikus makrókkal operáló vírusok, mint például az igen elterjedt Wazzu, gond nélkül muködnek minden Word verzióban.

 

EXCEL MAKRÓ VÍRUSOK

A Microsoft Excel táblázatkezelo a Word szövegszerkesztohöz hasonlóan igen hatékony makrónyelvvel rendelkezik. A fejlesztésbeli összehangolatlanság miatt bár az Excel is a Basic egy változatát használja, az itt alkalmazott VBA (Visual Basic for Applications) több lényeges pontban különbözik a WordBASIC-tol. Annál sokkal komolyabb programozási környezetet biztosít, és mivel az Excel makróprogramozásának összehasonlíthatatlanul nagyobb hagyományai vannak, mint a Wordének, némiképp meglepo, hogy a makróvírusok terén mennyire háttérbe szorut.

Akárcsak a Word makróvírusok esetében, az Excel kártevoi is több ponton aktivizálódhatnak.

Létezik 5 elore definiált, fix nevu ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elofordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy workbook tartalmaz egy Auto_Close nevu makrót, akkor annak lezárásakor ez a makró automatikusan végrehajtódik.

Makró neve Végrehajtódás feltétele

Auto_Open Workbook nyitása

Auto_Close Workbook zárása

Auto_Activate Workbook aktivizálása

Auto_Deactivate Workbook háttérbe küldése

Az Excel makróvírusai gyakorlatilag mind az automaitkus makrók valamelyikét használják az aktivizálódásra, és a további állományok fertozésére.

Az aktiválódás során a vírusok leggyakrabban az Excel STARTUP könyvtárában levo PERSONAL.XLS állományt veszik célba, ami hasonlóan a NORMAL.DOT Word-beli szerepéhez az egyedi beállításokat és a felhasználó által definiált makrókat tartalmazza vagy a GLOBAL.XLM állományt, ami ugyancsak hasonló szerepet tölt be.

 

ACCESS MAKRÓ VÍRUSOK

Az Office97 programcsalád tagjai közül az Access97 vált legkésobb makróvírusok célpontjává. A Word és Excel programozásához képest az Access komplikáltabb. Az elobbiekben ugyanis az alkalmazás indításához vagy leállításához lehetett kapcsolni egyes makrók végrehajtását (pl. AutoExec, AutoClose) vagy pedig egyes menüpontokat lehetett helyettesíteni a felhasználó által definiált makrók tartalmával. Az Access esetében is lehet beszélni automatikus makróvégrehajtásról, azonban az Access makrói nem azonosak a VBA makróival, hanem sokkal szegényesebb scriptek. Léteznek VBA-modulok is, és mivel ezeket az automatikus scriptekbol meg lehet hívni, semmi technikai akadálya nincs a vírusok írásának. Mind a scriptek, mind a modulok csatolhatók az adatbázisokat tartalmazó .MBD fájlokhoz, azokkal együtt képesek terjedni.

 

VISUAL BASIC SCRIPT VÍRUSOK

A VBScript nyelv a JavaScript nyelvhez hasonlóan HTML lapokba beszúrható kis programok nyelveként indult el, majd szervesen beillesztették az operációs rendszerbe, hogy annak a legtöbb operációs rendszer script nyelvéhez és a régi DOS batch programjaihoz hasonlóan legyen egy ütoképes programozói kiterjesztése. Mindezt a Windows Scripting Host (WSH) néven a Windows 98 és a Windows 2000 már alapértelmezésben telepíti, a korábbi 32 bites rendszerek esetében pedig opcionális kiegészítôként letölthetô és telepíthetô. Az Internet Explorer 4.0-nál frissebb változatának telepítôkészlete is tartalmazza a WSH-t és alapértelmezetten fel is telepíti.

A VBScript nyelv is és az interpreter is teljes hozzáférési lehetôséget kap a Web böngészôt futtató számítógép fájlrendszeréhez. A Microsoft vezetése vélhetôen úgy döntött, hogy a könnyebb programozhatóság érdekében kiterjeszti a programozási lehetôségeket. Csak egy kis ideig kellett várni ahhoz, hogy az elsô ezt a védelmi lyukat kihasználó vírusok megjelenjenek. Az elsô példány megjelenése után két hét alatt egy tucat új script vírust gyártottak.

Mivel ezek a vírusok forráskódban terjednek, és a könnyen tanulható Basic nyelvben íródtak, sokkal könnyebb új változatokat gyártani, mint a hagyományos, bináris kód formájában terjedô vírusok esetében.

Az elsôdleges támadási pont mégsem a vírusok gyártása volt, hanem a VBScript férgek készítése. Mivel az ActiveX mechanizmusok miatt a VBScript program hozzáfért a Microsoft Office minden tagjának, így az outlooknak is a progamozási felületéhez, nagyon egyszeruen lehetett e-mailen keresztül terjedô férgeket létrehozni.

 

COREL SCRIPT VÍRUSOK

A Corel irodai alkalmazáscsomagja is tartalmaz olyan makrónyelvet, amely alkalmas vírusok írására. Ez a makrónyelv, a Corel Script szegényesebb, mint a Word makrovírusok nyelve a WordBASIC, vagy a Word 97 makrovírusok VBA nyelve, de elégséges az önszaporító programok eloállításához. A Corel Script nyelv egy egyszeru BASIC nyelv, néhány beépített függvénnyel kiegészítve. Megalkotásakor nem a Corel alklamazásokat vezérlo makrónyelv lehetett a cél, hanem egy egyszeru BASIC interpreter létrehozása. A nyelv ugyanakkor tartalmazza ugyanazokat a párbeszédablak elemeket, amelyek a WordBASIC-ben is szerepelnek.

A Corel Script vírusai Word-beli társaikkal ellentétben nem jelentenek komoly veszélyt. Ennek több oka is van:

A Corel scriptjei nem a dokumentumokban tárolódnak, hanem külön, CSC kiterjesztésu állományokban. Ezért bár egy lokális gépen lehetséges nagyobb fertozés kialakulása, ez nem terjedhet át más számítógépekre, így igazi kiterjedt fertozésekre nem lehet számítani.

A Corel script nem támogatja az automatikus makrókat vagy a menüparancsok átdefiniálását. Így ezen vírusok csak akkor aktivizákódhatnak, ha a felhasználó lefuttat egy fertozött scriptet. Ekkor a futó script meg tud fertozni más scripteket, de a futás végeztével a vírus inaktívvá válik. Következo aktivizálódására csak a következo script-futtatáskor kerülhet sor.

 

PALM VÍRUSOK

A PalmOS jelenpillanatban a legelterjedtebb operációs rendszer a PDA eszközök között. Fájlrendszere nem hagyományos, hanem optimalizált a korlátozott tárkapacitás és az elsôdleges PC-vel való szinkronizálás miatt.

Az adatok memóriablokkokban tárolódnak, melyeket adatbázisban fognak össze. Ez a hagyományos fájlnak megfelelô objektum. A PalmOS programozói felülete korlátlan fájlhozzáférést tesz lehetové, így elvileg nincs akadálya sem a vírusok, sem a romboló trójai programok létrehozásának.

A Palm egyaránt tartalmaz írható RAM-ot, és nem írható ROM-ot, ami általában az operációs rendszert tartalmazza.

A kárt okozó programok, vírusok vagy trójai programok, az elsôdleges PC-vel való szinkronizálás, az infravörös csatlakozón megvalósuló file transzfer útján kerülhetnek leginkább a PDA-ra.

Mivel ezek az eszközök hálózati hozzáférést is támogatnak, semmi akadálya annak sem, hogy Internet böngészés vagy e-mail révén kerüljön rosszindulatú program a Palmra.

 

TRÓJAI PROGRAMOK:

Az Internet szélesköru elterjedése magával hozta az e-mail en terjedo vírusokat is. Ezek a vírusok felismerhetoek arról, hogy mindíg tartalmaznak valamilyen csatolt állományt, ami maga a vírus. Ha nem indítjuk el, nem nyitjuk meg ezeket a mellékleteket, akkor a vírus nem tud semmilyen kárt okozni. A beérkezett levelünk nem kap indítási jogot, csak mikor a csatolt fájlhoz nyúlunk hozzá. A csatolt fájlban lévo vírus makró vagy programvírus lehet. A wormok másik tulajdonsága, hogy önmagukat küldözgetik a fertozött gép e-mail címével mint feladó.

 


 

8. VÍRUSLEÍRÁSOK

3apa3a

alias:

hossz: 1024 bájt

dátum: 1994 október

származás: Moszkva

tünetek:

a fertôzés elinditója: Minden lemezmuvelet

romboló rutin:

elterjedtség: Ritka

Részletes leírás:

3APA3A vírus teljes hossza 1024 bájt (két szektor). A fertozött floppikon teljesen úgy viselkedik, mint egy közönséges boot vírus, a boot szektort és a gyökérkönyvtár utolsó szektorát használja fel kódjának tárolására. Amikor azonban a merevlemezt fertozi, akkor egy teljesen egyedi technikát alkalmaz.

A vírus egy teljesen váratlan helyen, az IO.SYS helyére tolakodik be rendszerindítási láncban. Amint azt ismertettük, a rendszerindítás során a BIOS a 7. pontban csak azt ellenorzi, hogy az aktív partíció gyökérkönyvtárában az elso két állomány neve IO.SYS és MSDOS.SYS legyen. Semmi egyébbel nem törodik. Így például az attribútumokkal sem. A trükk rendkívül egyszeru és szellemes. A vírus az IO.SYS-t felülírja a saját kódjával, és az így kapott állományt Volume label -nek minosíti (ez a lemezcímke attribútum arra szolgál, hogy a lemezeket el lehessen nevezni, floopiknál például a formázás után lehet megadni). A DOS ezeket a bejegyzéseket figyelmen kívül hagyja, csak a DIR parancs jeleníti meg a sorrendben legeloször megtalált lemezcímkét. Természetesen a vírusnak az eredeti IO.SYS-t is meg kell orizni, így azt az MSDOS.SYS után harmadik könyvtárbejegyzésként elhelyezi.

Eredetileg az IO.SYS és az MSDOS.SYS után következett a többi gyökérkönyvtárbeli állomány. Fertozés után az elso bejegyzés a vírussal fertozött IO.SYS (aminek elso 1024 bájtját felülírta a vírus), a második az eredeti MSDOS.SYS, a harmadik az eredeti, fertozés elotti IO.SYS és utána jön eggyel odébb tolva a többi bejegyzés. Ha az a nagyon ritka eset áll fenn, hogy éppen tele volt a gyökérkönyvtár (ez ugyanis az egyetlen olyan könyvtár, amelynek véges a mérete), akkor az utolsó bejegyzés és az ahhoz tartozó fájl elveszik örökre.

A rendszerindítás során a BIOS csak a fertozött IO.SYS bejegyzés nevét ellenorzi, az attribútumával nem törodik, így mechanikusan beolvassa a vírust és átadja a vezérlést neki. Az aztán rezidenssé válik, majd beolvasva az eredeti IO.SYS-t rendes útjára tereli a rendszerindítást. Késobb aztán minden floppihoz való nyúlás esetén (írás, olvasás, listázás) fertoz, vagyis igen fertozoképes, nagyon hamar kiterjedt fertozésekhez vezethet, és 1994 oszén vezetett is.

A DIR parancscsal kilistázva egy könyvtárt a fertozött gépen az alábbit látjuk:

Volume in drive C is IO SYS

Volume Serial Number is 2191-7E22

Directory of C:\

COMMAND COM 65117 08-29-94 6:22a

WINA20 386 9349 08-29-94 6:22a

TEMP <DIR> 12-19-96 9:22p

VC <DIR> 12-17-96 12:45a

MOUSE COM 56425 03-10-92 8:20a

HIMEM SYS 14208 03-10-93 6:00a

DOS <DIR> 12-17-96 3:34p

NETMANAG <DIR> 12-17-96 12:58a

MOUSE DRV 10144 03-10-92 8:20a

PDOS <DIR> 12-17-96 3:51p

PDOS DEF 2164 12-17-96 3:58p

p; 0 01-11-98 2:00a

WINDOWS <DIR> 12-17-96 4:26p

WINWORD <DIR> 12-17-96 5:36p

CONFIG SYS 344 12-21-96 8:38a

AUTOEXEC BAT 238 12-17-96 5:03p

TEST <DIR> 12-18-96 5:48p

21 file(s) 157989 bytes

p; 6885376 bytes free

Ha a vírus augusztusban aktivizálódik, akkor az alábbi orosz nyelvu üzenetet jeleníti meg:

B BOOT CEKTOPE - 3APA3A

(hevenyészett magyar fordításban: "A boot szektor fertozött").

 

Brain.A

alias:

hossz: 2560 bájt

dátum: 1986

származás: Pakisztán

tünetek:

a fertôzés elinditója: Lemez írás/olvasás

romboló rutin:

elterjedtség: Csak vírusgyujteményekben fordul elo

Részletes leírás:

A Brain.A rezidens boot vírus. Arról híres, hogy ez volt az elso PC vírus. Csak floppikat támad meg, a merevlemezeket nem fertozi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertozött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 13h megszakításokat, és ettol kezdve elso alkalommal a 31., késobb minden 4. minden floppira irányuló lemez írásnál és olvasásnál fertoz. A már fertozött lemezeket nem támadja fel, ezt a boot szektor 4. és 5. bájtja alapján dönti el: amennyiben ez 12234h, akkor békénhagyja a kiszemelt célpontot.

A vírus elso szektora a boot szektort foglalja el, a további részeet és az eredeti boot szektort 5 használatlan szektorban ment el, amelyeket ezután rossz szektorként jegyez be a FAT-be, hogy a DOS azokat késobb békén hagyja.

A Brain a fertozés után a floppik volume címkéjét "(c) Brain"-re változtatja.

Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetosen korlátozottak az elszaporodási lehetoségei.

Mivel a Brain magára irányítja a lemezolvasási muveleteket, el tudja rejteni jelenlétét azáltal, hogy a boot szektorra vonatkozó olvasási kísérletekkor az eredeti, fertozetlen példányt adja vissza.

A fertozött boot szektorok az alábbi szöveget tartalmazzák (a vírus nem jeleníti meg az üzenetet):

Welcome to the Dungeon

(c) 1986 Basit & Amjad (pvt) Ltd.

BRAIN COMPUTER SERVICES..730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN..PHONE :430791,443248,280530.

Beware of this VIRUS.....Contact us for vaccination............... $#@%$@!!

 

DenZuk

alias:

hossz: 5120 bájt

dátum:

származás:

tünetek: Grafika megjelenése

a fertôzés elinditója: Minden lemezmuvelet

romboló rutin:

elterjedtség: Ritka

Részletes leírás:

A DenZuk vírus rezidens boot vírus. Csak floppikat támad meg, a merevlemezeket nem fertozi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertozött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 9h és 13h megszakításokat, és ettol kezdve minden floppira irányuló lemezmuveletnél megkísérli megfertozni a célpontot.

A vírus elso szektora a boot szektort foglalja el, a további részek a 0. fej 40. sávjának 1-9 szektorában találhatók. A vírus nem ellenorzi fertozéskor, hogy ebben a pozícióban van-e már információ, ezért a 360kB-nál nagyobb kapacitású floppikon felülírja az esetleg itt levo adatokat, adatvesztést okozva ezzel.

A DenZuk a fertozés után a floppik volume címkéjét "Y.C.1.E.R.P"-re változtatja, ahol a "." helyében az F9h kódú karakter szerepel.

Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetosen korlátozottak az elszaporodási lehetoségei.

Amennyiben a felhasználó újraindítást kezdeményez a CTRL+ALT+DEL billentyukombináció lenyomásával, a vírus az alábbi grafikus üzenetet görgeti be a képernyo szélérol:

Ismert variánsok:

DenZuk.B: Annyiban különbözik az alapváltozattól, hogy fertozés elott felismeri és eltávolítja azt a floppikról (a Brain vírussal együtt), illetve hogy amennyiben rezidens, a lemezolvasások manipulálásával igyekszik elrejteni jelenlétét.

 

Form.A

alias:

hossz: 1024 bájt

dátum: 1990 február

származás: Svájc

tünetek:

a fertôzés elinditója: Minden lemezmuvelet

romboló rutin:

elterjedtség: Gyakori

Részletes leírás:

A Form.A annak ellenére, hogy nagyon egyszeru, rendkívül elterjedt vírus. Az 1990-es évek elején a vílágsdzerte legelterjedtebb vírusnak számított, és ezt a pozícióját egészen a makróvírusok megjelenéséig tartotta.. Kódja két lemezszektornyi területet foglal el.

A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertozött lemezrol történik rendszerindítás. Ekkor az Form.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h és 9h megszakítást rezidenssé válik. Ettol kezdve minden lemezolvasás során eloször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertozi.

A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat.

Minden hónap 16. napján a vírus magára irányítva a 9h (billentyuzetkezelo) megszakítást a billentyu lenyomására sípoló hangot ad ki, és jelentosen lelassítja a válaszidot.

A fertozött boot szektor az alábbi szöveget tartalmazza:

"The FORM-Virus sends greetings to everyone who's read this text."

"FORM doesn't destroy data! Don't panic! Fuckings go to Corinne."

 

Kampana.B

alias: Antitelefonica

hossz: 1024 bájt

dátum: 1991 nyá

származás: Spanyolország

tünetek:

a fertôzés elinditója: Minden lemezmuvelet

romboló rutin:

elterjedtség: Ritka

Részletes leírás:

A Kampana.B rezidens lopakodó boot szektort fertozo boot vírus.

Egy számítógép két úton fertozodhet meg a vírussal: vagy a boot vírusoknál megszokott módon a floppi meghajtóban benn felejtett fertozött floppiról való rendszerindításkor, vagy akkor, ha a társvírusa, a Kampana.A programvírus mellékhatásként megfertozi a boot szektort. A víruskód második szektora a 0. fej 0. sáv 6. szektorába, eredeti boot szektort a közvetlenül ezután a merevlemez 0. fej 0. sáv 7. szektorába kerül.

Aktivizálódása után rezidenssé válik a hagyományos DOS memória legtetején, majd magára irányítja a 13h megszakítást. Ettol kezdve minden nem írásvédett floppit célbavesz minden lemezhozzáférés során. Amennyiben a célpont még nem fertozött (erre a célra a boot szektor 4Ah pozíciójában levo két bájtot vizsgálja meg, a vírusban ezen a pozíción 9EBCh van), akkor megfertozi.

Mivel a lemezkezelo 13h megszakítást a Kampana.B magára irányítja, elrejti a jelenlétét, mert minden boot szektorra vonatkozó olvasásnál az eredeti elmentett boot szektor tartalmát adja vissza.

A vírus minden 400. rendszerindítás után minden rendszerbe került floppi és minden merevlemez tartalmát felülírja a memóriából kiolvasott véletlen adatokkal, majd kiírja az alábbi üzenetet:

"Campa¤a Anti-TELEFONICA (Barcelona)"

 

Michelangelo

alias: Stoned.March6

hossz: 512 bájt

dátum: 1991 nyár

származás:

tünetek:

a fertôzés elinditója: Minden lemezmuvelet

romboló rutin:

elterjedtség: Gyakori

Részletes leírás:

A Michelangelo a Stoned-család tagja. Nevét onnan kapta, hogy romboló rutinja március 6-án indul el, ami Michelangelo születésnapja. A vírusíró minden bizonnyal nem emiatt idozítette a rombolást erre a napra, de a név rajta maradt a víruson.

Merevlemezeken a partíciós táblát írja felül, floppikon pedig a boot szektort.

Egy számítógép megfertozésére akkor kerül sor, ha a rendszert egy floppimeghajtóban felejtett fertozött lemezrol indítják újra. Ekkor a vírus felülírja a partíciós táblát a saját kódjával, az eredetit a 0. fej 0. sáv 7. szektorába mentve. Ezáltal a következo rendszerindításkor már a vírus aktivizálódik.

Ekkor a vírus lefoglal magának 2048 bájt helyet a konvencionális DOS memória tetején, lecsökkentve a DOS számára hozzáférheto memóriaterület méretét a BIOS adatmezoben. Magára irányítja a 13h lemezkezelo megszakítást, majd innentol kezdve megfertoz minden floppit, amihez a DOS hozzányúl.

Amennyiben a rendszer fertozött merevlemezrol vagy floppiról lett indítva március 6-án, a vírus elindítja romboló rutinját, amely a rendszert indító média adatait törli. Merevlemezeken felülírja a 0-3. fej összes sávjának 1-17. szektorát, míg floppikon az összes fej összes szektorának (a lemezsuruségtol függoen) 1-9. vagy 1-14. szektorait.

 

Stoned.Empire

alias:

hossz:

dátum: 1991 április

származás: Kanada

tünetek:

a fertôzés elinditója: Minden lemezmuvelet

romboló rutin:

elterjedtség: Gyakori

Részletes leírás:

Az Empire.A vírus a Stoned család tagja, rezidens lopakodó vírus, amely floppi lemezen a boot szektort, merevlemezen a partíciós táblát fertozi meg. Kódja két lemezszektornyi területet foglal el.

A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertozött lemezrol történik rendszerindítás. Ekkor az Empire.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h megszakítást rezidenssé válik. Ehhez a DOS számára hozzáférheto fizikai memória méretét 2kB-tal csökkenti (emiatt a CHKDSK általában csak 653,312 bájt összes memóriát jelez). Ettol kezdve minden lemezmuvelet során eloször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertozi. A már fertozött merevlemezeket és floppikat nem fertozi meg újra, ehhez az elso négy bájtot használja azonosítónak, és amennyiben ott "EA 9F 01 C0"-t talál, békén hagyja a célpontot.

Fertozött floppikon a víruskód elso szektora a boot szektorban foglal helyet, míg az eredeti boot szektor az 1. fej 0. sávjának 2 szektorába kerül. A víruskód második szektora közvetlenül ezután foglal helyet. A fertozött merevlemezen a víruskód elso szektora a partíciós táblát foglalja el, az eredeti partíciós tábla a 0. fej 0. sávjának 6. szektorába kerül, a víruskód második szektora pedig közvetlenül ezután.

Mivel minden lemezmuvelet a víruson keresztül fut, amennyiben rezidens, el tudja rejteni jelenlétét: a partíciós tábla olvasása estén az elmentett eredetit adja vissza, míg írása esetén az elmentett példányt írja felül.

A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat.

A rendszeridotol függoen az alábbi üzenetet jeleníti meg a vírus:

"I'm becoming a little confused as

to where the "evil empire" is these days.

If we paid attention, if we cared,

we would realize just how unethical

this impending war with Iraq is,

and how impure the American motives are

for wanting to force it.

It is ironic that when Iran held

American hostages, for a few lives

the Americans were willing to drag

negotiation on for months; yet when oil

is held hostage, they are willing

to sacrifice hundreds of thousands of

lives, and refuse to negotiate ......."

Ismert variánsok:

Empire.B : néhány különbségtol eltekintve megegyezik az alapváltozattal: csak 512 bájt hosszú, mert nem tartalmazza a szöveges üzenete, továbbá máshová menti el az eredeti boot szektort (1. fej 0. sáv 3. szektor) és a partíciós táblát (0. fej 0. sáv 3. szektor).

 


8. LINKEK HALOMSZÁMRA (ÚJ, FRISSÜLT)

A lineket, mivel elég sok van, a Virii menüpont linkek oldalánál találod.


Készítette : Black Cat

The author of VSNG SE, BlackCat, can be reached via eMail at 

bcat_h@yahoo.com  

or on the internet at 

http://www.shadowvx.com/blackcat

He is a virus trader/writer, hacker and member of the FCF (Fearless Criminal Force).

The FCF can be reached via http://www.shadowvx.com/fcfgroup

Interested in further developments and updates, maybe need virii? Visit the Black Cat Virus Exchange System!
Black Cat's logs can directly d/led via: http://www.shadowvx.com/blackcat/bclogs.rar
Black Cat's trading page can be found: http://www.shadowvx.com/blackcat/trading.htm

Would u like to trade? What are you waiting for?

The Black Cat Virus Exchange System provides a powerfull, and completely free home of trading, and traders. Would u like to be a member? Would u like a trading page at BCVES? Would you like to meet other traders? Would you like yourself to be distributed with this (VSNG SE complete) package? In the URLS subdirectory all BCVES members' BCVES URL can be found as W9X Internet shortcut icons. 
First, subscribe to the Black Cat Virus Exchange System's egroup (bcves-subscribe@egroups.com)

Than send a letter to Black Cat, with the following information:
- Name (nickname)
- A short message (optional)
- The place (URL) of your logs
- The place (URL) of your log statistics
- The place (URL) of your PGP key (optional)
- Your email address
And that's all. After some day, you'll be up. Why to choose BCVES? More than 150 visitors a week. :)

 

Vissza az elejére

©2000. Fearless Criminal Force.