BlackCat - Vírusinfo- 2. rész |
Letölthető
szöveges formátumban: vcollect2.txt
Hát megint itt vagyok. Akkor folytassuk ott, ahol legutóbb abbahagytuk. Ezen rész időhiányra való tekinettel rövidebb lessz mint az előző volt, de reményeim szerint éppen olyan , ha nem tartalmasabb lessz, mint az. Kiváltképp linkek tekintetében. Többen panaszkodtatok, hogy az előző számban megjelent linkek többsége nem él. Na ezt a hiányt most alaposan kijavítottam, és megajándékozlak benneteket a saját, és Tally nagy víruslinkgyűjteményével, mely szinte a teljes vírusvilágot lefedi. Aztán. Ha ezen rész végére is elértünk, már többé-kevésbé tradereknek mondhatjátok magatokat. Node. Mi legyen akkor ezzel a rovattal? Nos, a 3. résztől kezdve vírus, és antivírus hírekkel lessz tele, és ha nem haragszotok meg érte, nem mindet fogom lefordítni. Oszt persze lessz benne letöltés is, meg az újabb vírusok ismertetése. Gondolok itt egy nagyon új vírusfajtára a GSM-re (már ha találok hozzá anyagot), nomeg a már nem olyan új, de még mindig kevés képviselővel rendelkező Windos 2000 vírusokra. No és megismerkedhetünk egy tényleg áttörésről, az NTFS FÁJLRENDSZER-T fertőző vírusról, melyeket nem lehet konkrét fájlokon kimutatni, csak a fájlrendszer részletes elemzésekor derülnek ki a turpisságok. Remélem a köv. részre más több időm lesz, és mindaz amit itt leírtam belekerül, merthogy sajnos a mostani részből kimaradt a beígért Win2K/Inka letöltés+ismertetés+forrás. De nem is baj. A következő rész témájához úgyis jobban fog passzolni... Akkor ennyit bevezetőnek, lássuk miből élünk...
5. Hogyan folytassuk, ha már sikerült elérnünk
egy apró gyûjteményt, 4000 virii-t? 6.
Mivel, és hogyan rendezzük gyűjteményünket?
8. LINKEK HALOMSZÁMRA!!!!! 2. rész (Külön oldalon) 9. Contact Black Cat (Sorry, most csak ennyi futotta.) 5.
Hogyan folytassuk, ha már sikerült elérnünk egy apró gyűjteményt, 4000
virii-t? avpdos32.exe /* /W=reportfilename /V Pathofyourcollection f-prot.exe pathofyourcollection /ARCHIVE /PACKED /COLLECT /DUMB /REPORT=reportfilename No.
Ha elkészítettük a logokat, következzék a feldolgozás a következőképpen:
Fogd a VSNG-t, és írd be: (Az FPMY.LOG helyére természetesen a te FPROT
logod neve kerül, az AVPMY.LOG helyére pedig az AVP)
ENNYI!
Talán legkézenfekvőbb dolog azt mondani, hogy programokkal. Merthogy
egy bizonyos mennyiség fölött, ez általában a bűvös 4000db-os határ,
mivel ekkorra az emberre már rásózzák és/vagy letölti a legáltalánosabb,
és legelterjedtebb vírusokat. Az embernek az elején általában a mennyiség
a szempont, de egy bizonyos idő után azt veszi észre, hogy sokkal jobban
örül egy ritka vírusnak a gyűjteményében, mint a már unalmas, minden
kollekcióban meglévő daraboknak. És persze ekkor mennyiséget lehetetlen
fejben tartani. És egy darabig még működik a blintre kiválasztott vírusok
cseréje, de egy idő után már nem kifizetődő. Éppen ezért okos emberek
kitaláltak olyan programokat, amelyek összehasonlítanak két logfájlt
és kiválogatják belőlük azokat a vírusokat, amelyek vagy az egyiknek,
vagy a másiknak kellettek. Néhány éve egyetlen ilyen program volt a
"piacon", a Virus Sorter. Ezt Virusbuster /29A és asszem
Spooky /Codebreakers készítette. Ezen progi volt az őse az összes eddiginek.
Az alapfunkciók ebben jelentek meg először, és itt alakultak ki a cserélés
leíratlan szabályai. Aztán a VS fejlesztése átkerült Virusbuster kezébe,
VS2000 néven. Azonban ahogy egyre több trader lett, megjelent az igény,
és a verseny jobb cserélgetőprogramok elkészítésére is, mint amilyen
a VS2000. Az elő ilyen a Virus Keeper, amit nyugodtan hívhatunk a legnépszerűbb
traderprogramnak, mert nemcsak, hogy a logfájlokat kezeli, de menedzseli,
kezeli is a vírusfájlokat. Könyvtárakba rendezi, átnevezi, stb. Sokáig
szakadt így két pólusra az egész. Akik saját maguk irányították gyűjteményüket,
azok a Vs2000-et használták, a többiek meg a Vkeeper-t. De ezek a programok
nem voltak túlságosan felhasználóbarátok, és ahogy egyre kezdőbbek is
megjelentek a víruscserélők között, felmrült egy harmadik, majd közel
egy éve, egy negyedik igény is. A harmadik igény felhasználóbarát
kezelőfelület, gondolok itt vindózos, vagy DOS-os menüs felületekre,
a korábbi bonyolult paraméteres kezelés helyett. vissza
|
Comparative by VirusBuster (06-Oct-2000) |
Collection Maker 0.66b by Igor Hák |
VirLog 3.5 by Furkon |
Virus Keeper 1.0R8 by Tally |
Virus Quarantine 3.0 by L´Arcano Incantatore |
Interface |
*** |
|
*** |
|
Speed |
*** |
* |
|
|
No bugs |
*** |
*** |
*** |
|
File management |
*** |
* |
*** |
|
File management inside archives |
|
|||
Manuals |
*** |
|
*** |
|
User friendly |
*** |
* |
* |
*** |
Many features |
|
* |
*** |
|
No Limitations |
|
*** |
|
*** |
Updates |
*** |
|
*** |
* |
Osztályzat |
7 |
4 |
5´5 |
3´5 |
VS2000 8.86 StripLog 7.32 by VirusBuster |
VSNG SE 1.5 by Black Cat |
VxT 1.01 by Poltergeist |
WinSort 0.2.6 by VEiN |
*** |
* |
*** |
|
*** |
*** |
*** |
|
*** |
|
*** |
|
*** |
*** |
|
*** |
*** ZIP/ARJ/RAR |
* |
|
|
*** |
*** |
|
|
* |
* |
* |
*** |
*** |
*** |
|
|
*** |
*** |
|
*** |
*** |
*** |
|
* |
9´5 |
7'5 |
2´5 |
4´5 |
Megjegyzések:
*** = 1 pont, * = 0´5 pont, semmi = 0 pont
Akkor lássuk az egyes traderprogik rövid leírását (linkekkel):
Collection Maker 0.66b (Igor Hák)
Ez
egy vindoz alá készült progi, delphiben írták, egyszerű, könnyen átlátható
és kezelhető felülete van. Talán éppen azért, mert a Delphi-s BDE (borland
Database Engine-en) alapul, nem valami gyors. Nincs olyan sok beállítási
és funkcionális lehetőség mint amennyi lehetne benne, de amit csinál
azt hiba nélkül csinálja. A Collection Maker-t nem logfájlok összehasonlítására,
hanem inkább a gyűjteményünkben lévő fájlok rendezésére szolgál. AVP
és Fprot logokat egyformán jól kezel. Másol, áthelyez, és rendez...
sajnos nincsen hozzá "használati utastás" mellékelve, így
a dokumentáció 0-nak tekinthető, de ennek ellenére könnyen használható.
A Collection Maker tartalmaz egy megkötést, nevezetesen maximum 50000
fájl kezelésére képes (ami nem ok), és nem tud kicsomagolni archív fájlokból.
Gyakran jelennek meg új és új verziói, melyek általában kevés, de hatékony
újítást tartalmaznak.
Osztályzat: 7
VirLog 3.5 (Furkon)
Ezen
Virlog nevű progit Perl-ben írták, a forráskódot pedig publikálták,
így mindenki a saját igényeinek megfelelően módosíthatja. A progi tartalmazza
a logfájlmatató progik alapvető funkcióit (épít, hozzáad, összehasonlít)
és képes a kollekciónkat is rendben tartani BAT fájlon keresztűl, melyben
a másolási és áthelyezési utasításokat tartalmazza, így a progi munkássága
könnyen nyomon követhető. A dokumentáció itt is =0. A proginak már régóta
nem jelent meg új verziója, és valószínüleg nem is fog.
Osztályzat: 4
Virus Keeper 1.0 Release 8 (Tally)
Más
néven VK. Virus Keeper egy DOS-os progi, melyet Clipper-ben fejlesztenek.
VK-nek nagyon sok EGYEDÜLÁLLÓ funkciója van, de éppen azért, mert Clipperben
készült, rendkívül lassúnak mondható. Nagyon közkedvelt, éppen azért
mert egy programban integrál logfájl matató, és gyűjteménykezelő részt.
AVP és Fprot logokkal dolgozik, régebbi verziói (nagyon lassúak) bármilyen
logformátum kezelésére képesek voltak, de mivel ez a tulajdonsága kihasználatlan
maradt, így ezt kivették belőle... Támogatja a hatalmas vírusadatbázisokat
és gyűjteményeket, melyeket szépen kezel. Dokumentációja rövid, és kissé
hiányos, de a célnak megfelel. A Virus Keeper sajna nem kezel fájlokat
tömörített állományokban, és a hosszú fájlnevekkel (LFN) ugyancsak gondjai
vannak. Már régóta nem frissítették, de tervbe van egy V2.0, ami komoly
vetélytársa lehet a VSNG-nek, és a Vs2K-nak egyaránt... Kíváncsian várom.
Osztályzat: 5´5
Virus Quarantine 3.0 (L´ Arcano Incantatore)
Már
az installálásnál kiderül, hogy ezen progi HEMZSEG a hibáktól... Egyszerűen
képtelenség volt részletesebb leírást adni róla, mert valami hiba folytán
nem tudtam elérni egy csomó funkcióját. Mondhatni szar. Szinte mindenben
alul szerepelt, sebesség, dokumentáció, bugok, frissítések... egyetlen
egy előnye, a szépsége. a legjobb, és leghasználhatóbb kezelőfelülettel
rendelkezik az összes mai logfájlmatató progi közül...
Osztályzat: 3´5
VS2000 8.86 / StripLog 7.32 (VirusBuster)
VS2000,
másnéven VS2K, vagy VS2000, eredetileg Shadow Seeker progija volt, de
valahogy Virusbuster-hez (vajon hogy?) került át a fejlesztése, és a
mai napig is ő "fejleszti". (Hol innen, hol onnan lop...).
DOS-os progi, azonban elkészült hozzá egy igen primitív Windows shell
is, amely vélemyényem szerint egy pontot sem ér, de ugyebár ragaszkodjunk
Virusbuster listájához, nehogy azt mondják, hogy a saját progimat az
egekig magasztalom... A VS2K-t Free Pascal 32-ben írják. A klasszikus,
és eredeti Virsort egy továbbfejlesztett változata. A VS2K egy csomó
logfájlmatató paramétert tartalmaz, de gyenge dokumentációja és nehézkes
kezelése miatt, csak a gyakorlottabbak használják! (Aki használja, azt
megverem... :) )
A Striplog egy kiegészítő program a VS2K-hoz, mely a gyűjteménymanage-lés
szerepét hivatott betölteni. Ez is tartalmaz jó funkciókat, sőt, többféle
archívon belül is kezeli a fájlokat, azonban eléggé lassú.
Az azért a becsületére legyen mondva, hogy kevés hibát tartalmaz.
A VS2K-nak is megvan az a funkciója, hogy nemcsak Fprot és AVP fájlokat
kezel, aminek legyünk őszinték, semmi értelme sincs.
Mindkét programot gyakran frissítik, bármilyen kis hibajavítás vagy
új dolog esetén megjelenik új verzió.
Osztályzat: 9´5 :))))))))))))))))))))))))) (Nem objektív)
VSNG SE 1.5 (Black Cat)
Ezen
progit itt most nem ecsetelném, részletes leírása megtalálható ezen
ezine következő pontjában, itt!
Annyit összehasonlításképpen elmondanék, hogy kezdők és haladók számára
egyaránt rendkívül ajánlott, mert könnyen kezelhető és informatív felülete,
egyszerű paraméterei, a legkezdőbbek, ugyanakkor több tonnányi report
funkciói és szűrői a legprofibbak igényeit is kielégíti. Az elérhető
víruslogmatató progik közül a legjobb és legrészletesebb a dokumentációja
sintén a kezdők és haladók igényeit is hivatott szolgálni. ezen kívül
a VS2K-val azonos sebességű, vagy ahogy a verziók kijönnek éppen gyorsabb.
Egyenlőre csak ZIP fájlokban képes a fájlokkal dolgozni. A proginak
mellesleg megjelent egy újabb, V1.6-os verziója, ami már nemcsak logfájlok
matatását, hanem teljes cserék komplex lebonyolítását és a gyűjteménybe
rendezését is elvégzi. A VSNG talán legnagyobb hátránya, hogy nem tökéletesen
tesztelt, így néhol hibák lehetnek benne, illetve az, hogy havonta,
kéthavonta történik frissítés, de akkor mindíg egy csomó újítással és
javítással.
Osztályzat: 7'5 :((((((((((((((((((((( (Ez sem objektív)
Vxt 1.01 (Poltergeist)
A
VxT egy víruscserélgető utility DOS alá, Microsoft Visual C++ -ban íródott.
(Használata már csak ezért sem ajánlott), és az író saját maga számára
készítette, így úgy dokumentációban, mint kezelhetőségben, és kezelőfelületben,
magasan a társai alatt marad, és csak az alapvető logfájlmatató funkciókat
látja el. a sebessége jónak mondható. nem olyan gyors mint a Vs2K, és
főleg nem olyan gyors, mint a VSNG, de sebességben a 3. helyen áll.
Összes funkciója abban áll, hogy két logot lehet vele összehasonlítani.
A VxT maximálisan 50000 különböző vírust tud lekezelni... Elképzelhető,
hogy vannak újabb verziói, de ezek eddig nem lettek publikálva.
Osztályzat: 2´5
WinSort 0.2.5 (VEiN)
A Winsort ugyncsak egy logfájlmatató progi, melyet Visual Basicben írtak. Kevés funkciója van, de még ezekben is jócskán találhatunk hibákat. A felülete szép, azonban a kezelhetőség terén még egy kis segítségre szorul az írója. dokumentációja létezik, de hiányos, és rövid. Talán azért, mert a progit Visual Basicben írták, a leglassabbak közül való. Nem kezel fájlokat archívokon belül. A progit nem frissítik, csak ritkán... (Fél évente)
Osztályzat: 4´5
Néhány egyéb, hasznos progi ismertetése
AVP Virus Encyclopedia
AVP vírus enciklopédia HLP formátumban. Egy csomó vírus részletes leírása. Nagyon jó irodalom, érdemes gyakran forgatni.
Hacker´s View
A Hacker´s View egy fájl néző/szerkesztő/visszafejtő egyben. hacker-ek, Cracker-ek figyelmébe ajánlom. Na és persze vírusok nyomkövetésére is kiváló.
IDA
Az IDA egyszerűen a legjobb disassembler.
IDA 4.04 disk 1 disk 2 disk 3 disk 4 disk 5 disk 6 disk 7 disk 8 disk 9 disk 10 disk 11 disk 12 disk 13 disk 14
Ralf Brown´s Interrupt List
Ezen
interrupt lista tartalmazza az ÖSSZES megszakításhívás, IO rutin, memóriaművelet
és memória-architektúra és egyéb nagyon hasznos dolgok részletes leírását
és listáját, az összes eddig megjelent IBMPC bios és CPU típushoz. Vírusírók
nélkülözhetetlen eszköze. De az is kiderül belőle, hogy hoyg lehet egy
3-byt-os COM-al feltörni a supervisor illetve setupkódot, sőt nem csak
a dokumentált, de a nem dokumentált hívásokat is részletesen tárgyalja.
TÖBB MINT 7 MEGABÁJT TISZTA INFORMÁCIÓ sima szövegként!!
R.B. Interrupt List release 61 part A part
B part
C part
D part
E part
F
Request Trimmer 1.0
Ezen víruscserélő progit csak megemlítjük, a tesztbe sem került bele. Ki lehet próbálni.
RoseGoat
Ezen progi segítségével tradertársunk agyára mehetünk, mert EXE és COM fájlokból un. GOAT, vagy más néven BAIT fájlokat készíthetünk. Elképesztően sok opcióval rendelkezik, érdemes kipróbálni, habár a progi használhatósága megkérdőjelezhető. a RENEXTS nevű program éppen a fordítottját csinálja, mint a ROSEGOAT.
Soft-Ice
Soft-Ice
a Numega Technologies -től. A létező
legjobb debugger a világon. NÉLKÜLÖZHETETLEN! (Hack , Crack és virus
témában egyaránt)
S-Ice 4.05 disk 1 disk
2 disk
3 disk
4 (Win9x)
S-Ice 4.05 disk 1 disk 2 disk 3 disk 4 disk 5 (WinNT)
S-Ice Update Patches for Win2000
Turbo Assembler
Turbo Assembler a Borland-tól (Inprise) a legjobb program assembler fájljaink lefordításához.
Tasm 5.0 (1/3) (2/3) (3/3) (patch)
VGREP
A
VGREP egy nagyon hasznos progi. Fprot, vagy AVP scanner-t futtat, és
a kimenetükből azonnal jól elemezhető szöveg-adatbázist készít.
VGREP
Win32Dasm
Egy
nagyon jó disassembler Win32-höz. Támogatja a következő formátumokat:
Windows 32Bit PE, 32Bit LE, 6Bit NE, integrált debuger, exportált/importált
funkciók, szöveg és adathívatkozások...
W32DASM 8.93
Win32 Programmer's Reference
Ez minden vindoz kódernek kell. Rendkívül jól meg lehet belőle tanulni windos vírust írni. Egyébként meg az API hívások leírását tartalmazza. (ezen verzió tartalmazza a nem dokumentáltakét is...) :)
W32
Programmer´s Reference (1/3) (2/3)
(3/3)
A VSNG részletes ismertetése: Fasz kivan. Nem fogok itt most dicshimnuszt zengeni. Annyit mondok csak, hogy az egyik legtöbbet nyújtó és leggyorsabb progi, és én írtam. Az ezine-hez is csatoltam. Nemtom mikor fog megjelenni a zine, de a cikk írásának idején ez volt a legújabb, a V1.6beta2. Szóval itt megtaláljátok az egyszerű verziót, ITT pedig a teljes VSNG csomagot. (Ez utóbbi a helpet is tartalmazza és V1.5-ös). Ha valaki kíváncsi az ANGOL nyelvű, körülbelül 100 oldalnyi HELP-re, az az OFFICIAL VSNG oldalon illetve a vsngcp.exe-ben megtalálja (a 100 oldalból rögtön kiderül, miért nem akarok ide is bemutatót írni...):
7.
Vírustípusok fertőzési technikái
BOOT virusok
Egészen 1996 végéig gyakorlatilag ezek a vírusok jelentették a vírusproblémát, hiszen az összes fertozés több mint 90%-a tolük származott. Legeloször is részletesen meg kell vizsgálnunk, mi is játszódik le egy PC belsejében a rendszerindítás közben.
A következo fontos lépésekben zajlik le az indítás.
A felhasználó bekapcsolja a gépet, megnyomja a Reset gombot vagy a CTRL+ALT+DEL billentyukombinációt.
A processzor az FFFF:0000 memóriacímen elkezdi az ott található program végrehajtását. Ezen a helyen a BIOS indítórutinja található.
A BIOS-ban levo kód leteszteli a különbözo hardverelemeket (RAM, lemezegységek, ...).
Még mindig a BIOS-ban levo kód kiolvassa a CMOS-ból a rendszerindítási sorrendet, vagyis hogy a merevlemezrol vagy a floppiról kezdje-e tölteni a rendszert. Ha a floppimeghajtóban nincs lemez, akkor mindenképpen a merevlemezrol indít.
Ha floppiról indít, akkor beolvassa onnan a legelso szektort, vagyis a 0. fej 0. cilinderének 1. szektorát. A szektor tartalma két fo részbol áll: az operációs rendszert indító kis kódrészletbol (ez a közhiedelemmel ellentétben nem csak a rendszerlemezeken van jelen, hanem a közönséges adatlemezeken is) és a lemez fizikai paramétereit (szektorméret, oldalak száma, gyökérkönyvtár mérete stb.) tartalmazó adatmezobol. Errol a szektorról a BIOS ellenorzi, hogy az valóban boot-szektorszeru-e. Ezt onnan dönti el, hogy az utolsó két bájtnak 55AAh-nak kell lenni. Ha nem ez áll fenn, a rendszerindítás hibaüzenettel megszakad. Ha sikeres volt azonosítás, a BIOS átadja a vezérlést a beolvasott boot-szektorban levo kódnak és rendszerindítás folytatódik a 8. ponttal.
Ha merevlemezrol indítunk, akkor is a 0. fej 0. cilinderének 1. szektorát olvassa be a BIOS program, de ez ebben az esetben nem a boot-szektor lesz, hanem a partíciós rekord, amely ugyancsak két részbol áll, egy rövid programból illetve a merevlemez felosztottságát könyvelo partíciós táblából. Ez az extra lépés azért kerül be, mert egy merevlemez több operációs rendszert és azokhoz tartozó partíciókat is tartalmazhat. A BIOS program ugyanúgy megnézi az utolsó két bájtot, aminek itt is 55AAh-nak kell lennie. Ha nem az, a rendszerindítás hibaüzenettel megszakad, illetve a régebbi, eredeti IBM PC-ken a gépek a BIOS-ában tartalmazott BASIC-interpretert hívja meeg a BIOS.
A BIOS-ban futó kód a partíciós táblából kiolvassa, hogy melyik az aktív partíció (ha nem talál ilyet, hibaüzenettel leáll) és hogy az a merevlemezen mettol meddig tart. Ennek ismeretében be tudja olvasni az aktív partíció legelso logikai szektorját, ami a partíció boot szektora. A BIOS átadja a vezérlést a boot szektorban levo kódnak.
Egészen eddig a pontig a folyamat független volt attól, milyen operációs rendszer van a PC-n, mindent a BIOS-ba beégetett kód végzett. A továbbiakban az MSDOS operációs rendszer felállását taglaljuk.
A boot-szektor kódja ellenorzi, hogy az adott floppilemez illetve partíció alkalmas-e rendszerindításra. Ezt úgy dönti el, hogy megnézi, hogy a gyökérkönyvtár elso két bejegyzése az IO.SYS illetve az MSDOS.SYS állományokhoz tartozik-e (a mostanában már kihalófélben levo IBM DOS esetében a két fájl neve IBMIO.COM és IBMDOS.COM). Ha nem ezt a két állományt találja ott, akkor hibaüzenettel leáll a rendszerindítás. Ha igen, akkor beolvassa az IO.SYS elso 3 szektorát, majd átadja annak a vezérlést.
Az IO.SYS inicializálja az interrupt-táblát, megkeresi az esetleges ROM-bovítéseket és feldolgozza a CONFIG.SYS-t, betölti az abban levo meghajtókat. Ezután lefuttatja az MSDOS.SYS-t.
Az MSDOS.SYS inicializálja a DOS-hoz tartozó interruptokat, betölti a COMMAND.COM-ot és feldolgozza az AUTOEXEC.BAT-ot.
A boot vírusok ebbe a végrehajtási sorrendbe tolakszanak be. Ezt két ponton teszik meg: vagy a boot szektort vagy a partíciós rekordot helyettesítik saját kódjukkal - ez alapján osztjuk fel ezt a víruscsoportot két alcsoportra. Természetesen ez a választás csak a merevlemezek esetében áll fenn, a floppikon nincs partíciós tábla, ezért ott mindig a boot szektort fertozik.
Mivel a BIOS csak nagyon felületesen ellenorzi e két létfontosságú szektor valódiságát, a vírusok dolga egyszeru: saját kódjukkal lecserélik azokat, annyira kell csak vigyázni, hogy az ellenorzésre használt utolsó két bájtot változatlanul hagyják. A két szektorban tárolt adatokra is vigyázni kell, hiszen nagy galiba lenne, ha a partíciós táblába is beleírna a vírus, mert akkor az adatoknak búcsút lehetne mondani. Ezt a vírusok vagy úgy oldják meg, hogy a létfontosságú részeket nem írják felül, vagy pedig úgy, hogy azokat egy másik szektorba elmentik, és szükség esetén onnan továbbítják.
Egy partíciós táblát fertozo vírus (a boot vírusok nagyobbik része ilyen, többek között a hazánkban is közismert Michelangelo) esetében a 2. 3. és 4. pont a fent ismertetett sorrendben lezajlik, de a 5. pontban kisiklik a normál menet, ugyanis a BIOS a boot szektor indítókódja helyett az ugyanabba a szektorba került víruskódnak adja át a vezérlést. Ez aztán megfertozi a merevlemez partíciós rekordját, majd a víruskód vagy maga folytatja a végrehajtást a 8. ponttal, vagy pedig beolvassa a gondosan elmentett eredeti boot szektort és átadja annak a vezérlést és mint aki jól végezte a dolgát hátradol és megpihen. Ha ezután a már fertozött merevlemezrol indítjuk a rendszert, az 2., 3. és 4. pont után az 6. pontban az eredeti partíciós rekordbeli kód helyett a vírus kerül végrehajtásra, amely aztán rezidenssé válik majd megkeresi az aktív partíciót, beolvassa annak boot szektorát és átadja annak a vezérlést. A rendszer felállása ezután a 8. ponttól kezdve a normális mederben folyik (csak éppen a vírus már rezidens a memóriában).
Egy boot szektor vírus esetében (ilyen például a Magyarországon is igen elterjedtnek számító Cruel) a floppiról történo fertozodés ugyanúgy zajlik, mint az imént ismertetett esetben, azzal az egyetlen különbséggel, hogy a vírus a merevlemezen nem a partíciós rekordot, hanem az aktív partíció boot szektorát fertozi meg. Ha azután a merevlemezrol áll fel a PC, akkor egészen a 8. pontig minden rendben folyik, ahol is a normál indítókód helyett a vírus kódja fut le. Ez aztán ismét gondoskodik arról, hogy a vírus rezidenssé váljon, majd általában beolvassa az eredeti fertozés elotti indítókódot és minden folytatódik a legnagyobb rendben - persze a vírustól eltekintve.
A ma ismert vírusok óriási többsége a programvírusok közé sorolható. Ezek a vírusok a programokat, a DOS COM illetve EXE illetve a Windows NewEXE és a Windows95/NT Portable EXE formátumú végrehajtható állományait fertozik. A fájlvírusok nagy többsége a programok végére illeszti saját kódját, és ezen kívül végrehajt olyan változtatásokat, amelyek a program elindításakor automatikusan a vírus futtatását vonják maguk után.
Mivel az operációs rendszer másképp kezeli a COM és az EXE programokat, ezért a fertozés mechanizmusa is némiképpen különbözo. A programok esetében meg kell különböztetni a lemezen tárolt alakot, illetve annak a futtatáskor a memóriában kialakult képét. Egy COM program esetében a ketto pontosan ugyanaz, a DOS egy az egyben beolvassa a fájl tartalmát egy memóriaszegmensbe, majd átadja a vezérlést a program legelso utasításának. Ennek fényében a vírusnak is igen könnyu a dolga. Az esetek többségében csupán a programfájl végére illeszti magát, és az elején csak pár bájtot ír át, amelyek a vezérlésnek a vírusra irányuló eltérítéséért felelosek. Miután a vírus lefutott, általában helyreállítja a az eredeti elso pár bájtot, majd átadja a vezérlést az eredeti programnak.
Van néhány vírus, amely eltér ettol a szimpla sémától. Az ún. felülíró vírusok átírják az eredeti programrészletet a saját kódjukkal, ezzel aztán helyrehozhatatlanul károsítják azt. Ezek a vírusok nem túl elterjedtek, mert minden fertozött program használhatatlanná válik, ami még a legnaivabb felhasználó gyanakvását is felkelti.
A fájlvírusok másik kisebb csoportja pedig a teljes víruskódot a program elejére illeszti, az ott levo eredeti tartalmat pedig a fájl végére menti el. A vírus lefutása után az elmentett darabokból újra összerakja az erdeti programot, majd átadja annak a vezérlést.
Az EXE programok esetében jelentos különbségek vannak a lemezen tárolt alak illetve a futtatáskor a memóriában megjeleno forma között. Eloször is a lemezfájl egy fejléccel kezdodik, amely fontos adatokat tartalmaz, többek között a program memóriaigényét, a regiszterek kezdeti értékét. Másik fontos feladata is van a fejlécben tárolt információnak. A COM programokkal ellentétben az EXE programok több adat illetve kódszegmensbol állhatnak. Ezek a szegmensek a futás során kapcsolódnak egymáshoz, hiszen az egyik kódszegmens a másikból hívhat meg függvényt, vagy adatszegmensbol olvashat be adatokat.
A futtatáskor a DOS helyezi el ezeket a szegmenseket a szabad memóriaterületeken. A program összeszerkesztésekor (linkelésekor) még nem lehet tudni, hogy a futtatáskor éppen hol lesznek egymáshoz viszonyítva a szegmensek, ezért a szerkesztés után ezek a szegmensek közötti hivatkozások még nem definiáltak. A DOS parancsértelmezoje lesz az, amely futtatáskor a helyes memóriacímeket tölti be ezekbe a hivatkozásokba. Az EXE fejléc feladata tehát az is, hogy könyvelje, a lemezfájl mely pontjain vannak olyan hivatkozások, amelyek futtatáskor kitöltendok.
Mivel a fejléc tartalmazza a regiszterek kezdeti értékét, ezért az utasításregiszterek (CS és IP, ezek határozzák meg a belépési pontot, ahol a program futása megkezdodik) értékei is itt vannak. A vírus a fájl végére írja magát, majd a fejlécet módosítja úgy, hogy az most már a víruskódra mutasson (közben elmenti az eredetileg ott levo értékeket). Sikeres lefutás után a vírus eloszedi az elmentett CS és IP értékeket, és elindítja az eredeti programot.
Rengeteg támadási pont van, ahol a vírus bekapcsolódhat a végrehajtási láncba a Word esetén.
Létezik 5 elore definiált, fix nevu ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elofordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy sablon tartalmaz egy AutoClose nevu makrót, akkor minden ezen a sablonon alapuló dokumentum lezárásakor ez a makró automatikusan végrehajtódik.
Makró neve Végrehajtódás feltétele
AutoExec MS Word indítása
AutoOpen Dokumentum nyitása
AutoClose Dokumentum zárása
AutoExit Kilépés az MS Word-bol
AutoNew Új dokumentum létrehozása
A másik aktivizálódási lehetoség egy vírus számára abban rejlik, hogy a Word beépített, menübol kiválasztható parancsait makrókkal át lehet definiálni. Ha például létezik egy FileSaveAs nevu makró a mintaállományban (amely éppen az aktív ablakban van), akkor a Save As... menüpontot kiválasztva nem az eredeti Word parancs, hanem ez a makró hajtódik végre, és a vírus ismét vígan terjed.
A legtöbb makróvírus az automatikus makrókat használja fel a globális sablon (NORMAL.DOT) megfertozéséhez, és a menüparancsok átírását a további dokumentumok fertozéséhez. Ezen kívül van még néhány egzotikus módszer a vírusok aktivizálódásának biztosítására.
A Word makró vírusok az elso valóban platform-független vírusok, amelyek képesek különbözo architektúrájú gépek között terjedni. Minden operációs rendszer alatt, amelyre létezik MS Word (Macintosh OS, DOS, Windows NT, OS/2) életképesek. Gyakorlatilag mindegyik ismert Word vírus képes más operációs rendszer alatt terjedni (bár mindet Windows alatt írták), csak legfeljebb néhány apróság nem muködik bennük.
A Word különbözo nyelvi verziói valamelyest gátat szabnak a szabad terjedésnek. Ezekben a változatokban ugyanis az egyes menüpontoknak, így a hozzájuk rendelt belso parancsoknak a neveit is lefordították. Például az angolszász változatokban levo FileSaveAs belso parancsnak a német verzióban a DateiSpeichernUnter felel meg, a hollandban a BestandOpslaanAls stb. Emiatt az angol verzióban megírt Concept például nem életképes német nyelvterületre érve.
Mivel pedig a makró parancsok a sablonokon belül nem nevük szerint, hanem már félig lefordított 2-3 bájtos tokenekként tárolódnak (és ezek a tokenek ugyanazok minden változatban), a csupán automatikus makrókkal operáló vírusok, mint például az igen elterjedt Wazzu, gond nélkül muködnek minden Word verzióban.
A Microsoft Excel táblázatkezelo a Word szövegszerkesztohöz hasonlóan igen hatékony makrónyelvvel rendelkezik. A fejlesztésbeli összehangolatlanság miatt bár az Excel is a Basic egy változatát használja, az itt alkalmazott VBA (Visual Basic for Applications) több lényeges pontban különbözik a WordBASIC-tol. Annál sokkal komolyabb programozási környezetet biztosít, és mivel az Excel makróprogramozásának összehasonlíthatatlanul nagyobb hagyományai vannak, mint a Wordének, némiképp meglepo, hogy a makróvírusok terén mennyire háttérbe szorut.
Akárcsak a Word makróvírusok esetében, az Excel kártevoi is több ponton aktivizálódhatnak.
Létezik 5 elore definiált, fix nevu ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elofordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy workbook tartalmaz egy Auto_Close nevu makrót, akkor annak lezárásakor ez a makró automatikusan végrehajtódik.
Makró neve Végrehajtódás feltétele
Auto_Open Workbook nyitása
Auto_Close Workbook zárása
Auto_Activate Workbook aktivizálása
Auto_Deactivate Workbook háttérbe küldése
Az Excel makróvírusai gyakorlatilag mind az automaitkus makrók valamelyikét használják az aktivizálódásra, és a további állományok fertozésére.
Az aktiválódás során a vírusok leggyakrabban az Excel STARTUP könyvtárában levo PERSONAL.XLS állományt veszik célba, ami hasonlóan a NORMAL.DOT Word-beli szerepéhez az egyedi beállításokat és a felhasználó által definiált makrókat tartalmazza vagy a GLOBAL.XLM állományt, ami ugyancsak hasonló szerepet tölt be.
Az Office97 programcsalád tagjai közül az Access97 vált legkésobb makróvírusok célpontjává. A Word és Excel programozásához képest az Access komplikáltabb. Az elobbiekben ugyanis az alkalmazás indításához vagy leállításához lehetett kapcsolni egyes makrók végrehajtását (pl. AutoExec, AutoClose) vagy pedig egyes menüpontokat lehetett helyettesíteni a felhasználó által definiált makrók tartalmával. Az Access esetében is lehet beszélni automatikus makróvégrehajtásról, azonban az Access makrói nem azonosak a VBA makróival, hanem sokkal szegényesebb scriptek. Léteznek VBA-modulok is, és mivel ezeket az automatikus scriptekbol meg lehet hívni, semmi technikai akadálya nincs a vírusok írásának. Mind a scriptek, mind a modulok csatolhatók az adatbázisokat tartalmazó .MBD fájlokhoz, azokkal együtt képesek terjedni.
A VBScript nyelv a JavaScript nyelvhez hasonlóan HTML lapokba beszúrható kis programok nyelveként indult el, majd szervesen beillesztették az operációs rendszerbe, hogy annak a legtöbb operációs rendszer script nyelvéhez és a régi DOS batch programjaihoz hasonlóan legyen egy ütoképes programozói kiterjesztése. Mindezt a Windows Scripting Host (WSH) néven a Windows 98 és a Windows 2000 már alapértelmezésben telepíti, a korábbi 32 bites rendszerek esetében pedig opcionális kiegészítôként letölthetô és telepíthetô. Az Internet Explorer 4.0-nál frissebb változatának telepítôkészlete is tartalmazza a WSH-t és alapértelmezetten fel is telepíti.
A VBScript nyelv is és az interpreter is teljes hozzáférési lehetôséget kap a Web böngészôt futtató számítógép fájlrendszeréhez. A Microsoft vezetése vélhetôen úgy döntött, hogy a könnyebb programozhatóság érdekében kiterjeszti a programozási lehetôségeket. Csak egy kis ideig kellett várni ahhoz, hogy az elsô ezt a védelmi lyukat kihasználó vírusok megjelenjenek. Az elsô példány megjelenése után két hét alatt egy tucat új script vírust gyártottak.
Mivel ezek a vírusok forráskódban terjednek, és a könnyen tanulható Basic nyelvben íródtak, sokkal könnyebb új változatokat gyártani, mint a hagyományos, bináris kód formájában terjedô vírusok esetében.
Az elsôdleges támadási pont mégsem a vírusok gyártása volt, hanem a VBScript férgek készítése. Mivel az ActiveX mechanizmusok miatt a VBScript program hozzáfért a Microsoft Office minden tagjának, így az outlooknak is a progamozási felületéhez, nagyon egyszeruen lehetett e-mailen keresztül terjedô férgeket létrehozni.
A Corel irodai alkalmazáscsomagja is tartalmaz olyan makrónyelvet, amely alkalmas vírusok írására. Ez a makrónyelv, a Corel Script szegényesebb, mint a Word makrovírusok nyelve a WordBASIC, vagy a Word 97 makrovírusok VBA nyelve, de elégséges az önszaporító programok eloállításához. A Corel Script nyelv egy egyszeru BASIC nyelv, néhány beépített függvénnyel kiegészítve. Megalkotásakor nem a Corel alklamazásokat vezérlo makrónyelv lehetett a cél, hanem egy egyszeru BASIC interpreter létrehozása. A nyelv ugyanakkor tartalmazza ugyanazokat a párbeszédablak elemeket, amelyek a WordBASIC-ben is szerepelnek.
A Corel Script vírusai Word-beli társaikkal ellentétben nem jelentenek komoly veszélyt. Ennek több oka is van:
A Corel scriptjei nem a dokumentumokban tárolódnak, hanem külön, CSC kiterjesztésu állományokban. Ezért bár egy lokális gépen lehetséges nagyobb fertozés kialakulása, ez nem terjedhet át más számítógépekre, így igazi kiterjedt fertozésekre nem lehet számítani.
A Corel script nem támogatja az automatikus makrókat vagy a menüparancsok átdefiniálását. Így ezen vírusok csak akkor aktivizákódhatnak, ha a felhasználó lefuttat egy fertozött scriptet. Ekkor a futó script meg tud fertozni más scripteket, de a futás végeztével a vírus inaktívvá válik. Következo aktivizálódására csak a következo script-futtatáskor kerülhet sor.
A PalmOS jelenpillanatban a legelterjedtebb operációs rendszer a PDA eszközök között. Fájlrendszere nem hagyományos, hanem optimalizált a korlátozott tárkapacitás és az elsôdleges PC-vel való szinkronizálás miatt.
Az adatok memóriablokkokban tárolódnak, melyeket adatbázisban fognak össze. Ez a hagyományos fájlnak megfelelô objektum. A PalmOS programozói felülete korlátlan fájlhozzáférést tesz lehetové, így elvileg nincs akadálya sem a vírusok, sem a romboló trójai programok létrehozásának.
A Palm egyaránt tartalmaz írható RAM-ot, és nem írható ROM-ot, ami általában az operációs rendszert tartalmazza.
A kárt okozó programok, vírusok vagy trójai programok, az elsôdleges PC-vel való szinkronizálás, az infravörös csatlakozón megvalósuló file transzfer útján kerülhetnek leginkább a PDA-ra.
Mivel ezek az eszközök hálózati hozzáférést is támogatnak, semmi akadálya annak sem, hogy Internet böngészés vagy e-mail révén kerüljön rosszindulatú program a Palmra.
Az Internet szélesköru elterjedése magával hozta az e-mail en terjedo vírusokat is. Ezek a vírusok felismerhetoek arról, hogy mindíg tartalmaznak valamilyen csatolt állományt, ami maga a vírus. Ha nem indítjuk el, nem nyitjuk meg ezeket a mellékleteket, akkor a vírus nem tud semmilyen kárt okozni. A beérkezett levelünk nem kap indítási jogot, csak mikor a csatolt fájlhoz nyúlunk hozzá. A csatolt fájlban lévo vírus makró vagy programvírus lehet. A wormok másik tulajdonsága, hogy önmagukat küldözgetik a fertozött gép e-mail címével mint feladó.
alias:
hossz: 1024 bájt
dátum: 1994 október
származás: Moszkva
tünetek:
a fertôzés elinditója: Minden lemezmuvelet
romboló rutin:
elterjedtség: Ritka
Részletes leírás:
3APA3A vírus teljes hossza 1024 bájt (két szektor). A fertozött floppikon teljesen úgy viselkedik, mint egy közönséges boot vírus, a boot szektort és a gyökérkönyvtár utolsó szektorát használja fel kódjának tárolására. Amikor azonban a merevlemezt fertozi, akkor egy teljesen egyedi technikát alkalmaz.
A vírus egy teljesen váratlan helyen, az IO.SYS helyére tolakodik be rendszerindítási láncban. Amint azt ismertettük, a rendszerindítás során a BIOS a 7. pontban csak azt ellenorzi, hogy az aktív partíció gyökérkönyvtárában az elso két állomány neve IO.SYS és MSDOS.SYS legyen. Semmi egyébbel nem törodik. Így például az attribútumokkal sem. A trükk rendkívül egyszeru és szellemes. A vírus az IO.SYS-t felülírja a saját kódjával, és az így kapott állományt Volume label -nek minosíti (ez a lemezcímke attribútum arra szolgál, hogy a lemezeket el lehessen nevezni, floopiknál például a formázás után lehet megadni). A DOS ezeket a bejegyzéseket figyelmen kívül hagyja, csak a DIR parancs jeleníti meg a sorrendben legeloször megtalált lemezcímkét. Természetesen a vírusnak az eredeti IO.SYS-t is meg kell orizni, így azt az MSDOS.SYS után harmadik könyvtárbejegyzésként elhelyezi.
Eredetileg az IO.SYS és az MSDOS.SYS után következett a többi gyökérkönyvtárbeli állomány. Fertozés után az elso bejegyzés a vírussal fertozött IO.SYS (aminek elso 1024 bájtját felülírta a vírus), a második az eredeti MSDOS.SYS, a harmadik az eredeti, fertozés elotti IO.SYS és utána jön eggyel odébb tolva a többi bejegyzés. Ha az a nagyon ritka eset áll fenn, hogy éppen tele volt a gyökérkönyvtár (ez ugyanis az egyetlen olyan könyvtár, amelynek véges a mérete), akkor az utolsó bejegyzés és az ahhoz tartozó fájl elveszik örökre.
A rendszerindítás során a BIOS csak a fertozött IO.SYS bejegyzés nevét ellenorzi, az attribútumával nem törodik, így mechanikusan beolvassa a vírust és átadja a vezérlést neki. Az aztán rezidenssé válik, majd beolvasva az eredeti IO.SYS-t rendes útjára tereli a rendszerindítást. Késobb aztán minden floppihoz való nyúlás esetén (írás, olvasás, listázás) fertoz, vagyis igen fertozoképes, nagyon hamar kiterjedt fertozésekhez vezethet, és 1994 oszén vezetett is.
A DIR parancscsal kilistázva egy könyvtárt a fertozött gépen az alábbit látjuk:
Volume in drive C is IO SYS
Volume Serial Number is 2191-7E22
Directory of C:\
COMMAND COM 65117 08-29-94 6:22a
WINA20 386 9349 08-29-94 6:22a
TEMP <DIR> 12-19-96 9:22p
VC <DIR> 12-17-96 12:45a
MOUSE COM 56425 03-10-92 8:20a
HIMEM SYS 14208 03-10-93 6:00a
DOS <DIR> 12-17-96 3:34p
NETMANAG <DIR> 12-17-96 12:58a
MOUSE DRV 10144 03-10-92 8:20a
PDOS <DIR> 12-17-96 3:51p
PDOS DEF 2164 12-17-96 3:58p
p; 0 01-11-98 2:00a
WINDOWS <DIR> 12-17-96 4:26p
WINWORD <DIR> 12-17-96 5:36p
CONFIG SYS 344 12-21-96 8:38a
AUTOEXEC BAT 238 12-17-96 5:03p
TEST <DIR> 12-18-96 5:48p
21 file(s) 157989 bytes
p; 6885376 bytes free
Ha a vírus augusztusban aktivizálódik, akkor az alábbi orosz nyelvu üzenetet jeleníti meg:
B BOOT CEKTOPE - 3APA3A
(hevenyészett magyar fordításban: "A boot szektor fertozött").
alias:
hossz: 2560 bájt
dátum: 1986
származás: Pakisztán
tünetek:
a fertôzés elinditója: Lemez írás/olvasás
romboló rutin:
elterjedtség: Csak vírusgyujteményekben fordul elo
Részletes leírás:
A Brain.A rezidens boot vírus. Arról híres, hogy ez volt az elso PC vírus. Csak floppikat támad meg, a merevlemezeket nem fertozi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertozött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 13h megszakításokat, és ettol kezdve elso alkalommal a 31., késobb minden 4. minden floppira irányuló lemez írásnál és olvasásnál fertoz. A már fertozött lemezeket nem támadja fel, ezt a boot szektor 4. és 5. bájtja alapján dönti el: amennyiben ez 12234h, akkor békénhagyja a kiszemelt célpontot.
A vírus elso szektora a boot szektort foglalja el, a további részeet és az eredeti boot szektort 5 használatlan szektorban ment el, amelyeket ezután rossz szektorként jegyez be a FAT-be, hogy a DOS azokat késobb békén hagyja.
A Brain a fertozés után a floppik volume címkéjét "(c) Brain"-re változtatja.
Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetosen korlátozottak az elszaporodási lehetoségei.
Mivel a Brain magára irányítja a lemezolvasási muveleteket, el tudja rejteni jelenlétét azáltal, hogy a boot szektorra vonatkozó olvasási kísérletekkor az eredeti, fertozetlen példányt adja vissza.
A fertozött boot szektorok az alábbi szöveget tartalmazzák (a vírus nem jeleníti meg az üzenetet):
Welcome to the Dungeon
(c) 1986 Basit & Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES..730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN..PHONE :430791,443248,280530.
Beware of this VIRUS.....Contact us for vaccination............... $#@%$@!!
alias:
hossz: 5120 bájt
dátum:
származás:
tünetek: Grafika megjelenése
a fertôzés elinditója: Minden lemezmuvelet
romboló rutin:
elterjedtség: Ritka
Részletes leírás:
A DenZuk vírus rezidens boot vírus. Csak floppikat támad meg, a merevlemezeket nem fertozi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertozött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 9h és 13h megszakításokat, és ettol kezdve minden floppira irányuló lemezmuveletnél megkísérli megfertozni a célpontot.
A vírus elso szektora a boot szektort foglalja el, a további részek a 0. fej 40. sávjának 1-9 szektorában találhatók. A vírus nem ellenorzi fertozéskor, hogy ebben a pozícióban van-e már információ, ezért a 360kB-nál nagyobb kapacitású floppikon felülírja az esetleg itt levo adatokat, adatvesztést okozva ezzel.
A DenZuk a fertozés után a floppik volume címkéjét "Y.C.1.E.R.P"-re változtatja, ahol a "." helyében az F9h kódú karakter szerepel.
Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetosen korlátozottak az elszaporodási lehetoségei.
Amennyiben a felhasználó újraindítást kezdeményez a CTRL+ALT+DEL billentyukombináció lenyomásával, a vírus az alábbi grafikus üzenetet görgeti be a képernyo szélérol:
Ismert variánsok:
DenZuk.B: Annyiban különbözik az alapváltozattól, hogy fertozés elott felismeri és eltávolítja azt a floppikról (a Brain vírussal együtt), illetve hogy amennyiben rezidens, a lemezolvasások manipulálásával igyekszik elrejteni jelenlétét.
alias:
hossz: 1024 bájt
dátum: 1990 február
származás: Svájc
tünetek:
a fertôzés elinditója: Minden lemezmuvelet
romboló rutin:
elterjedtség: Gyakori
Részletes leírás:
A Form.A annak ellenére, hogy nagyon egyszeru, rendkívül elterjedt vírus. Az 1990-es évek elején a vílágsdzerte legelterjedtebb vírusnak számított, és ezt a pozícióját egészen a makróvírusok megjelenéséig tartotta.. Kódja két lemezszektornyi területet foglal el.
A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertozött lemezrol történik rendszerindítás. Ekkor az Form.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h és 9h megszakítást rezidenssé válik. Ettol kezdve minden lemezolvasás során eloször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertozi.
A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat.
Minden hónap 16. napján a vírus magára irányítva a 9h (billentyuzetkezelo) megszakítást a billentyu lenyomására sípoló hangot ad ki, és jelentosen lelassítja a válaszidot.
A fertozött boot szektor az alábbi szöveget tartalmazza:
"The FORM-Virus sends greetings to everyone who's read this text."
"FORM doesn't destroy data! Don't panic! Fuckings go to Corinne."
alias: Antitelefonica
hossz: 1024 bájt
dátum: 1991 nyá
származás: Spanyolország
tünetek:
a fertôzés elinditója: Minden lemezmuvelet
romboló rutin:
elterjedtség: Ritka
Részletes leírás:
A Kampana.B rezidens lopakodó boot szektort fertozo boot vírus.
Egy számítógép két úton fertozodhet meg a vírussal: vagy a boot vírusoknál megszokott módon a floppi meghajtóban benn felejtett fertozött floppiról való rendszerindításkor, vagy akkor, ha a társvírusa, a Kampana.A programvírus mellékhatásként megfertozi a boot szektort. A víruskód második szektora a 0. fej 0. sáv 6. szektorába, eredeti boot szektort a közvetlenül ezután a merevlemez 0. fej 0. sáv 7. szektorába kerül.
Aktivizálódása után rezidenssé válik a hagyományos DOS memória legtetején, majd magára irányítja a 13h megszakítást. Ettol kezdve minden nem írásvédett floppit célbavesz minden lemezhozzáférés során. Amennyiben a célpont még nem fertozött (erre a célra a boot szektor 4Ah pozíciójában levo két bájtot vizsgálja meg, a vírusban ezen a pozíción 9EBCh van), akkor megfertozi.
Mivel a lemezkezelo 13h megszakítást a Kampana.B magára irányítja, elrejti a jelenlétét, mert minden boot szektorra vonatkozó olvasásnál az eredeti elmentett boot szektor tartalmát adja vissza.
A vírus minden 400. rendszerindítás után minden rendszerbe került floppi és minden merevlemez tartalmát felülírja a memóriából kiolvasott véletlen adatokkal, majd kiírja az alábbi üzenetet:
"Campa¤a Anti-TELEFONICA (Barcelona)"
alias: Stoned.March6
hossz: 512 bájt
dátum: 1991 nyár
származás:
tünetek:
a fertôzés elinditója: Minden lemezmuvelet
romboló rutin:
elterjedtség: Gyakori
Részletes leírás:
A Michelangelo a Stoned-család tagja. Nevét onnan kapta, hogy romboló rutinja március 6-án indul el, ami Michelangelo születésnapja. A vírusíró minden bizonnyal nem emiatt idozítette a rombolást erre a napra, de a név rajta maradt a víruson.
Merevlemezeken a partíciós táblát írja felül, floppikon pedig a boot szektort.
Egy számítógép megfertozésére akkor kerül sor, ha a rendszert egy floppimeghajtóban felejtett fertozött lemezrol indítják újra. Ekkor a vírus felülírja a partíciós táblát a saját kódjával, az eredetit a 0. fej 0. sáv 7. szektorába mentve. Ezáltal a következo rendszerindításkor már a vírus aktivizálódik.
Ekkor a vírus lefoglal magának 2048 bájt helyet a konvencionális DOS memória tetején, lecsökkentve a DOS számára hozzáférheto memóriaterület méretét a BIOS adatmezoben. Magára irányítja a 13h lemezkezelo megszakítást, majd innentol kezdve megfertoz minden floppit, amihez a DOS hozzányúl.
Amennyiben a rendszer fertozött merevlemezrol vagy floppiról lett indítva március 6-án, a vírus elindítja romboló rutinját, amely a rendszert indító média adatait törli. Merevlemezeken felülírja a 0-3. fej összes sávjának 1-17. szektorát, míg floppikon az összes fej összes szektorának (a lemezsuruségtol függoen) 1-9. vagy 1-14. szektorait.
alias:
hossz:
dátum: 1991 április
származás: Kanada
tünetek:
a fertôzés elinditója: Minden lemezmuvelet
romboló rutin:
elterjedtség: Gyakori
Részletes leírás:
Az Empire.A vírus a Stoned család tagja, rezidens lopakodó vírus, amely floppi lemezen a boot szektort, merevlemezen a partíciós táblát fertozi meg. Kódja két lemezszektornyi területet foglal el.
A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertozött lemezrol történik rendszerindítás. Ekkor az Empire.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h megszakítást rezidenssé válik. Ehhez a DOS számára hozzáférheto fizikai memória méretét 2kB-tal csökkenti (emiatt a CHKDSK általában csak 653,312 bájt összes memóriát jelez). Ettol kezdve minden lemezmuvelet során eloször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertozi. A már fertozött merevlemezeket és floppikat nem fertozi meg újra, ehhez az elso négy bájtot használja azonosítónak, és amennyiben ott "EA 9F 01 C0"-t talál, békén hagyja a célpontot.
Fertozött floppikon a víruskód elso szektora a boot szektorban foglal helyet, míg az eredeti boot szektor az 1. fej 0. sávjának 2 szektorába kerül. A víruskód második szektora közvetlenül ezután foglal helyet. A fertozött merevlemezen a víruskód elso szektora a partíciós táblát foglalja el, az eredeti partíciós tábla a 0. fej 0. sávjának 6. szektorába kerül, a víruskód második szektora pedig közvetlenül ezután.
Mivel minden lemezmuvelet a víruson keresztül fut, amennyiben rezidens, el tudja rejteni jelenlétét: a partíciós tábla olvasása estén az elmentett eredetit adja vissza, míg írása esetén az elmentett példányt írja felül.
A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat.
A rendszeridotol függoen az alábbi üzenetet jeleníti meg a vírus:
"I'm becoming a little confused as
to where the "evil empire" is these days.
If we paid attention, if we cared,
we would realize just how unethical
this impending war with Iraq is,
and how impure the American motives are
for wanting to force it.
It is ironic that when Iran held
American hostages, for a few lives
the Americans were willing to drag
negotiation on for months; yet when oil
is held hostage, they are willing
to sacrifice hundreds of thousands of
lives, and refuse to negotiate ......."
Ismert variánsok:
Empire.B : néhány különbségtol eltekintve megegyezik az alapváltozattal: csak 512 bájt hosszú, mert nem tartalmazza a szöveges üzenete, továbbá máshová menti el az eredeti boot szektort (1. fej 0. sáv 3. szektor) és a partíciós táblát (0. fej 0. sáv 3. szektor).
8.
LINKEK HALOMSZÁMRA (ÚJ, FRISSÜLT)
Készítette : Black Cat
The author of VSNG SE, BlackCat, can be reached via eMail at
or
on the internet at
http://www.shadowvx.com/blackcat
He is a virus trader/writer, hacker and member of the FCF (Fearless Criminal Force).
The FCF can be reached via http://www.shadowvx.com/fcfgroup
Interested
in further developments and updates, maybe need virii? Visit the Black
Cat Virus Exchange System!
Black Cat's logs can directly d/led via: http://www.shadowvx.com/blackcat/bclogs.rar
Black Cat's trading page can be found: http://www.shadowvx.com/blackcat/trading.htm
Would u like to trade? What are you waiting for?
The
Black Cat Virus Exchange System provides a powerfull, and completely
free home of trading, and traders. Would u like to be a member? Would
u like a trading page at BCVES? Would you like to meet other traders?
Would you like yourself to be distributed with this (VSNG SE complete)
package? In the URLS subdirectory all BCVES members' BCVES URL can be
found as W9X Internet shortcut icons.
First, subscribe to
the Black Cat Virus Exchange System's egroup (bcves-subscribe@egroups.com)
Than
send a letter to Black Cat, with the following information:
- Name (nickname)
- A short message (optional)
- The place (URL) of your logs
- The place (URL) of your log statistics
- The place (URL) of your PGP key (optional)
- Your email address
And that's all. After some day, you'll be up. Why to choose BCVES? More
than 150 visitors a week. :)
©2000. Fearless Criminal Force. |