Vírusinfo - 1.rész

Letölthető szöveges formátumban: vcollect.txt

Hogy mivel is foglalkozik ez a rovat? Nos, egyszerûen csak a vírusokkal. Terveim szerint ez is állandó rovat lenne egy darabig. Az elsõ néhány részben egy rövid segítséget szeretnék nyújtani azoknak, akik elhatározták, hogy VÍRUST GYÛJTENEK. Itt leírom majd azokat a jobb helyeket, ahol vírust beszerezni, illetve cserélgetni lehet. Az azt követõ részekben ismertetném a fellelhetõ "utility"-k segédprogramok listáját és részletes leírását, majd jónéhány ANTIVIRUS progi elõnyeit, hátrányait ecsetelgetném, illetve arról is beszélnék, hogy a vírusgyûjtõknek milyen óvintézkedéseket kell tenniük. Ha mindezzel kész lennénk, a Virusinfo rovat az aktuális hírek közlésén túl, mindíg értesít a legújabb frissítésekrõl, progikról is. Ebben az ezine-ben még csak az első 4 fejezetet találhatjátok meg. Ebben az első 4 fejezetben lefektetjük a Marit. Vagyis az alapokat. Megtanuljuk milyen fajtájú, típusú vírusok vannak, melyik ANTI-VIRUS progi miként jelöli őket (később fontos lehet), melyikeket érdemes gyűjteni, és melyikeket nem. Eljutunk addig, hogy összeszedjünk egy kisebb, 4000 db-os gyűjteményt. Erre mindenkinek lesz elég ideje a 2. e-zine megjelenéséig. Abban tanuljuk majd meg, hogy mivel, hogyan, miként tartsunk karban egy NAGY gyűjteményt, kivel, mivel, hogyan trade-eljünk, (cseréljünk), stb.  Azonkívül ebben a rovatban rengeteg vírust, forrást és leírást is letölthetsz. Ha feliratkozol a BCVES-re, akkor ezeket a hírlevélben is megkapod. (bcves-subscribe@egroups.com) Tehát mindenki, mindent a saját felelősségére, én mosom kezeimet. De ez remélem tiszta. 
Szóval ennyi rizsa mára, kezdõdjön az érdemi "munka"!

Aki eddig úgy gondolta, hogy  a vírusgyûjtés csak unalmas letöltések és hosszas keresgélések egymásutánja, az nagyon fog csodálkozni. Ugyanis egy kisebb "társadalom" a vírusgyûjtõk világa, ahol nagyon kell vigyázni, hogy mindig következetesen járjunk el, a cserélési rátánk (még később szólok róla) nagyjából ne változzon, mindig gyorsak és pontosak és "lenyomozhatatlanok" legyünk. Minél többen ismernek, annál veszélyesebb az ügy, mert előbb-utóbb nem csak a víruscserélők, de nemkívánatos személyek is érdeklődhetnek utánad (BSA), azonban minél többen ismernek, annál több lehetőséged van egy NAGY vírusgyűjtemény elkészítésére! Tehát lássuk, mit is kell "megtanulnunk"!

 


Tartalmunk:

1. Miért gyûjtsünk vírust, és miért ne?
  1.1 BSA
  1.2 Mielõtt nekilátunk, mit tegyünk, hogy mi magunk NE legyünk fertőzöttek?
  1.3 Néhány hasznos utility (segédprogram), ami a vírusok kezeléséhez jól jöhet.

2. Hogyan kezdjük a 0-ról?
  2.1 Az internetes "underground"

3. Anti-virus :)
  3.1 Anti-virus teszt, és annak menete
  3.2 FPROT
  3.3 AVP
  3.4 TBAV
  3.5 NORTON ANTIVIRUS
  3.6 Magyar vírusírtók (VBUSTER, PASTEUR, UVE)

4. A vírusok leggyakoribb fajtái röviden (polimorfitás, variánsok, stb.) A MUST READ!
  4.1 DOS
  4.2 W9X
  4.3 MAKRO
  4.4 HTML
  4.5 MIRC
  4.6 BAT
  4.7 LINUX, UNIX, OS/2, COREL

5. LINKEK HALOMSZÁMRA!!!!!

6. Contact Black Cat! 


A KÖVETKEZŐ SZÁM (eddig tervezett) TARTALMA:

5. Hogyan folytassuk, ha már sikerült elérnünk egy apró gyûjteményt, 4000 virii-t?
  5.1 Egy kis ismertetõ a trade-nek nevezett valamirõl, kialakulásáról, stb.
  5.2 Bekerülés a "vérkeringésbe"...
  5.3 Néhány jó kis levelezõlista, egyéb gyűjtési lehetőségek

6. Mivel, és hogyan rendezzük gyűjteményünket? (ismertetés a következõ számban)
  6.1 Vírusgyûjtemény rendezõ progik 
  6.2 Logfile matató progik
  6.3 Gyûjteménytípusok, azok kezelése és rendezése.
  6.4 Minõségi, vagy mennyiségi vírusgyûjtés?

7. VÍRUS- ÉS ANTIVIRUS HÍREK
  7.1 Megjelent az első Win2000-es vírus, a W2K/INKA. LEÍRÁS+LETÖLTÉS
  7.2 Valami 
  7.3 Valami 

8. LINKEK HALOMSZÁMRA!!!!! 2. rész
9. Contact Black Cat


 

Miért gyűjtsünk vírust, és miért ne?
Hmm... Ha jól belegondolok, marha hülye kérdés. Ki miért gyűjti... Valaki egyszerűen csak kedvtelésből, valaki hivatásból. Azok, akik kedvtelésből gyűjtik, több minden lehet a cél:
1. Minél nagyobb, ha lehet, a legnagyobb vírusgyűjteményt felhalmozása.
2. A legújabb vírusok begyűjtése, és elemezése, hogy aztán akár ötletet másolva, vagy a forrást kicsit átalakítva közzétegye a saját verzióját.
3. A szomszéd, vagy a haver idegesítése céljából
Ha bárki úgy érzi, hogy érdekli a téma, az álljon neki! Nem nagy ügy! De nehogy azt mondjátok, hogy a saját malmomra hajtom a vizet, vannak ennek a dolognak rossz oldala is. Aki elkezd vírusokkal foglalkozni óhatatlanul olyan siteokat néz meg, olyan levlistákra iratkozik fel, amelyek nem kívánatosak a mezei felhasználó számára. Ebben az esetben a veszély minimális. Azonban, mikor valaki elhatározza, hogy saját oldalt nyit, megkockáztatja, hogy legrosszabb esetben elkapják, mint "vírusterjesztő". Node mit is jelent ez. A vírus a törvény szerint DESTRUKTÍV (azaz károkozó)  programnak minősül. És ez nem feltétlenül a fizikai károkozásra vonatkozik. Mivel minden vírus a felhasználó beleegyezése nélkül működik a gépén, legyen akár csak egy szép dallamot lejátszó (DOS/YANKEE DOODLE), vagy rendkívül károkozó (WIN95/CIH). Ezen programok terjesztését (a gyűjtés annak számít, mivel egy idő után már csak cserélgetés útján oldható meg a bővítés) és/vagy használatát a törvény bünteteti. Szóval ez van. Ja igen. És felhívom minden nagyokos figyelmét, hogy aki mások gépeit akarja fertőzgetni, főleg olyanokét, akik nem értenek túlságosan a dologhoz, oszt a virii miat elviszik a szervizbe a gépet, akkor az ássa el magát jó mélyre. Másokat fertőzgetni nagyon csúnya dolog. Akárcsak a destruktív vírusok készítése. Aki valami ilyenre adja a fejét, az a linkeket meg a többit, nem tőlem hallotta.

Vissza az elejére

Ha már a törvénysértésről esett szó... BSA = Business Software Alliance. Ez az a "rettegett" szervezet, mely nem csak a szegény vírusvadászokat, hanem pl.: az illegális szoftvermásolókat- és forgalmazókat is felkutatja, (akárcsak a hacker-eket és a cracker-eket) és a többit már el lehet képzelni. Ahhoz, hogy ezen bácsikat elkerüljük, be kell tartanunk a következő óvintézkedéseket: Mert ne feledjétek! A BSA-nak megvannak az eszközei arra, hogy lenyomozzon bárkit!
1. Siteunk legyen mindíg NEM MAGYAR domain-el rendelkező szerveren, és nem árt, ha nem a legforgalmasabb, ismert helyeket választjuk, mert azokon bizony komolyan szűrik az ilyesmikkel foglalkozó siteokat, és ha találnak, jobb esetben törlik, rosszabbik esetben megfigyelik. 
A leveleidet nem használhatják fel ellened, ezért nem is próbálkoznak vele. Mivel ma Magyarországon az elektronikus levelek nem tekinthetők tárgyi bizonyítéknak, ezért a BSA-nak sem éri meg emiatt belemenni egy ilyen dolgon kerekedő perbe (lásd emberi jogok!). Kodolt adathordozó esetén kérhetik a kód kiadását, amit Te meg is tagadhatsz! Erre ők _alapos gyanúval_ elkobozhatják azt, és vizsgálat alá vethetik (aminek az lesz a váge, hogy soha nem látod viszont!) Meg tudjak egyébként fejteni a kódot, csak hosszú idő kell... (PGP miegymás... :-))) Ámbár, állítólag a PGP is tartalmaz kiskaput amit a fejlesztők építettek be pontosan abból a célból, hogy aki ismeri a kiskaput, az gyorsan fel tudja törni (a rendőri szervekre gondolok). 
A titkosított üzeneteket küldők börtönbüntetést is kaphatnak a jövőben az Egyesült Királyságban egy törvénytervezet szerint, ha megtagadják a titkosító kulcs átadását a hatóságoknak. Öt évre számíthat az, aki figyelmezteti a tikosított üzenetek küldőit, hogy ellenük vizsgálat folyik. Tilos továbbá még esetleges túlkapások esetén is a médiában vagy bármilyen módon a nyilvánosság előtt tiltakozni. A törvénytervezet többek szerint súlyosan sérti a személyiségi jogokat. Ha például valaki ellen eljárást folytatnak, és meg akarják fejteni az általa másoknak küldött üzeneteket, akkor felkeresnek mindenkit, akivel kapcsolatban állt, és nemcsak a
vizsgálat alatt lévő személy üzeneteinek megfejtéséhez szükséges, hanem az összes, a birtokukban lévő kulcsot elkérik tőlük. Azt, hogy konkrétan ki ellen folyik a vizsgálat, nem közlik senkivel, így amennyiben valaki figyelmezteti a partnereit, hogy változtassa meg a kulcsot, megsértheti a törvényt, ugyanis nem tudja, hogy
kit nem szabad értesítenie. Így viszont a hatóságok olyan információkhoz is hozzájuthatnak, amely nem kapcsolódik az eljáráshoz, ez viszont sérti a személyiségi jogokat. Az egyenlőre nem világos, hogy a törvény érinti-e a szteganográfia nevű eljárást. Ebben az esetben nem kódolják az üzeneteket, tehát a hagyományos értelemben nem történik titkosítás, hanem meghatározott módon elrejtik egy képben (pl JPEG) vagy digitális hangfájlban (MP3). (The Industry Standard)
Ennyit a hírekről... Vissza a szerverekhez. Itt van néhány ismertebb szerver, mindegyiken önálló email, de ha valakinek még nincs, az találhat néhány ingyenes email címet is. 

Ingyenes e-mail
@loha @ home (Aloha) - http://www.mediasynergy.com/files/loha2E.htm
Hotmail - http://www.hotmail.com/
Yahoo! mail - http://mail.yahoo.com/

Ingyenes honlap
Altern - http://www.altern.org/ - 5 Mbyte tárhely (francia szerver; francia nyelvű)
Amarillas - http://www.amarillas.com/ - 100 Kbyte tárhely (argentín szerver; spanyol nyelvű)
Angelfire - http://www.angelfire.com/ - 5 Mbyte tárhely (amerikai szerver; angol nyelvű)
Chez - http://www.chez.com/ - 10 Mbyte tárhely (francia szerver; francia nyelvű)
Chongqing - http://linux.cqi.com.cn/ - 25 Mbyte tárhely (kínai szerver; kínai nyelvű)
Civila - http://www.civila.com/ - ??? Mbyte tárhely (Dominikai Köztársasági szerver; spanyol/francia/olasz/német nyelvű)
CodeName - http://www.codename.com/ - 8 Mbyte tárhely (kanadai szerver; angol nyelvű)
CrossWinds - http://www.crosswinds.net/ - 10 Mbyte tárhely (kanadai szerver; angol nyelvű)
Extra - http://www.extra.hu/ - 6 Mbyte tárhely (magyar szerver; magyar nyelvű)
FastFreeWebs - http://www.fastfreewebs.com/ - 10 Mbyte tárhely (kanadai szerver; angol nyelvű)
ForFree - http://members.forfree.at/ - 2 Mbyte tárhely (ausztriai szerver; angol nyelvű)
Fortunecity - http://www.fortunecity.com/ - 20 Mbyte tárhely (amerikai szerver; angol nyelvű)
Free Yellow - http://www.freeyellow.com/ - 12 Mbyte tárhely (amerikai szerver; angol nyelvű)
FreeWeb - http://freeweb.coco.cz/ - 10 Mbyte tárhely (cseh szerver; cseh nyelvű)
FreeZone - http://freezone.exmachina.net/ - 5 Mbyte tárhely (belga szerver; német nyelvű)
Geocities - http://www.geocities.com/ - 11 Mbyte tárhely (amerikai szerver; angol nyelvű)
Homestead - http://www.homestead.com - unlimited tárhely (amerikai szerver; angol nyelvű)
Homesite - http://www.homesite.com - 20Mbyte tárhely (amerikai szerver; angol nyelvű)
I-France - http://www.i-france.com/heberg - 20 Mbyte tárhely (francia szerver; francia nyelvű)
Kiskapu - http:://www.kiskapu.hu - 1 Mbyte tárhely (magyar szerver; magyar nyelvű)
Le Village - http://village.cyberbrain.com/ - ??? Mbyte tárhely (francia szerver; francia nyelvű)
MyGale - http://www.mygale.org/ - 5 Mbyte tárhely (francia szerver; francia nyelvű)
MyPage - http://mypage.direct.ca/ - 1 Mbyte tárhely (kanadai szerver; angol nyelvű)
MyPlace - http://myplace.to.be/ - 10 Mbyte tárhely (belga szerver; angol nyelvű)
Nease - http://www.nease.net/ - 20 Mbyte tárhely (kínai szerver; kínai nyelvű)
NetBy - http://www.netby.nerdscan.dk/ - 2 Mbyte tárhely (dán szerver; dán nyelvű)
Nexus - http://www.nexus.hu/ - 5 Mbyte tárhely (magyar szerver; magyar nyelvű)
Porn City - http://www.porncity.net/ - 5 Mbyte tárhely (amerikai szerver; angol nyelvű)
Soft and Co - http://www.softandco.fr/ - 5 Mbyte tárhely (francia szerver; angol/francia nyelvű)
SoftCom - http://www.softcomca.com/ - 1 Mbyte tárhely (kanadai szerver; angol nyelvű)
SpacePorts - http://www.spaceports.com/ - 10 Mbyte tárhely (kanadai szerver; angol nyelvű)
Stellar Images - http://www.stellarimages.com.au/ - 15 Mbyte tárhely (ausztrál szerver; angol nyelvű)
TerraVista - http://www.terravista.ciclone.com.br/ - 2 Mbyte tárhely (brazil szerver; spanyol nyelvű)
Tripod - http://www.tripod.com/ - 11 Mbyte tárhely (amerikai szerver; angol nyelvű)
UnCut - http://www.upws.com/ - 2 Mbyte tárhely (ausztrál szerver; angol nyelvű)
Village - http://village.cyberbrain.com/ - 200 Kbyte tárhely (francia szerver; francia nyelvű)
Vulcano FreeSites - http://home.vulcano.be/ - 10 Mbyte tárhely (belga szerver; francia nyelvű)
XOOM - http://www.xoom.com/ - 11 Mbyte tárhely (amerikai szerver; angol nyelvű)

Azért hasznos tudnunk, hogy melyik szerver hol van földrajzilag, mert az azon a szerveren lévő dolgokra az adott ország törvényei érvényesek. De ha Magyarországról internetezel SEMMIKÉPP ne válassz magyar szervert. Legutóbb Kínában hoztak egy ilyen vírus/hack/crack elleni törvényt, aminek következtében, több, addig LEGÁLISAN működő site hirtelen illegálissá vált, és rengeteg megszűnt, mert a fenntartójuk nem akart összetűzésbe keveredni a nem éppen a finomságáról ismert kínai rendőrséggel. Szóval erről lecsúsztunk. Node nem baj. Ha találtok egy servert Zuluföldön, akkor szóljatok. Biztosra veszem, hogy ott ez sehogy sincs leszabályozva, tehát szabad a pálya.
2. Ha megvan a helyünk, semmiképp ne használjuk az igazi nevünk címünk a regisztráláshoz, és ha mondjuk modemmel internetezel, akkor jobban teszed, ha a teneved@szolgáltatód.hu helyett létrehozol egy címet, valamilyen webes levelezőben. Sőt, az sem árt, ha valamilyen FAKEIP progit használsz. 
3.  Azám! Most már van mindenünk, kivéve az alaptőkét, a vírust. Mielőtt nagyon beindulunk, néhány weblapszerkesztési jótanács. Az oldal, ha lehet, legyen minél egyszerűbb, néhány oldalas. (Amíg csak cserélsz, addig bőven elég, de erről majd később.) A site ne legyen ún.: állap. Gondolok itt: nem kell mondjuk Ákos rajongók lapjának álcázni. Legyen olyan, hogy csak az tudjon belépni, aki tudja, hogy mit keres. Egy példát nézz meg ITT és egy másikat ITT, és a főoldalt ITT. Az oldal többi részére mindenki azt rak, ami a szíve vágya, de általában a DOWNLOAD LOGS link bőven elég szokott lenni. Még néhány fontos dolog. A későbbiekben nagyon nagy szükségünk lesz a PGP-re (http://www.pgpi.com) (Prety Good Privacy), illetve a RAR tömörítőprogramra. Az oldalnak amúgy azért kell kicsinek és kevés fájlból állónak lennie, hogy könnyen, és főleg gyorsan mozgatható legyen. Éppen azért, mert a vírustrader internetcíme szinte naponta, de legalább hetente, kéthetente biztosan megváltozik, érdemes egy redirect url címet közzéadni. Mondjuk: http://jump.to/bcves . Ha valaki rendszeresen látogatja ezt az oldalacskát, az felfedezhette, hogy előbb a fortunecity-re, majd a crosswindsre, aztán a homeslice-ra, végül a bcves.homepage.com -ra mutatott. Azt nem tudom, hogy ezen ezine megjelenésekor éppen hova fog mutatni, de abban mindenki biztos lehet, hogy a jump.to-s címen mindíg megtalál. Tehát csak át kell írnom az oldalam címét a jump.to-nál és már készen is vagyok. A felhasználó ebből mindössze annyit érzékel, hogy más és más cég popup ablaka látható az oldal előtt.

Vissza az elejére

És még mindíg az előkészületek. Mit tegyünk, hogy ne fertőzzük meg magunkat a víruskáinkkal? Nos, elméletileg egyszerű a képlet. Nem kell őket elindítani. De ezt betartani néha nem is olyan egyszerű. Egy véletlen ENTER a DN-ben vagy az NC-ben (vagy egyéb filekezelőben), és kész a baj. Még mielőtt az első vírust "rátelepítenénk" a rendszerre, tegyünk meg néhány dolgot. Aki teheti, az tárolja külön vinyón a vírusokat. erre a célra egy 800Mbyte-os is megfelel. Aki ezt nem engedheti meg magának, de van egy nagyobb méretű vincsije, az jobban teszi, ha mondjuk Particionmagic segítségével levág egy 800 Megányi darabot, és kinevezi D-nek. Apropó. Most jut eszembe. Aki vírust akar cserélgetni, annak a legjobb a DOS, vagy Win9X-es operációs rendszer. Linux/OS2/BeOS és egyéb operációs rendszerekre MÉG nem készültek a cserélgetést segítő segédprogramok. (Azért mondom, hogy még, mert ami azt illet, éppen fejlesztgetem a LINUX-os verzióját a VSNG vírusrendező progimnak. amit egyébként ITT, vagy a 4. fejezetnél letölthettek.)  De ha semmiképp nem akartok vinyót szántani, akkor javaslom a következő parancssort:

MD VIRUS

A probléma ezzel megoldva. A 4.3-as alfejezetben bővebben szólok a vírusok további elrendezéseinek lehetőségeiről, most maradjunk annyiban, hogy ebbe a könyvtárba pakolunk mindent. Szóval ide kerülnek a vírusok, de balesetek még így is történhetnek. Ezért a következő javasolt. A http://www.acp.ch címről mindenki letöltheti az AVP víruskereső legújabb változatát. Javaslom, hogy ezen programcsomag monitor rész állandóan legyen fönn a memóriában (ez auto beállítás, csak fel kell telepíteni a progi wines változatát). Illetve az sem árt, ha hetente egyszer, átscanneljük a teljes vinyónkat, mondjuk egy másik viriiirtóval, az FPROT-al.A legújabb verzió (V3.07) és az aktuális frissítések letölthetők: ftp://ftp.complex.is. (Az AVP webhelyét ne felejtsétek hetente meglátogatni, mert heti frissítéseket dobnak ki. Az FPROT-ot meglátogatni minden hónap első hetében bőven elég, mert ők havi frissítésekkel dolgoznak.) Gondolom látszik, ebben az esetben jó az, ha a virii-t külön vinyón tároljuk. Lehet, hogy azt mondjátok, hogy túlzásba viszem a biztonságot, de nem árt, ha a win indulása előtt, az autoexec.bat elejébe beteszünk egy olyan hívást, amely elindít egy viriikeresőt, (lehetőleg minden feladatra más-más víruskeresőt használjunk) amely csak a HDD-k boot és MBR területeit, valamint azt a tizenegynéhány rendszerfájlt scanneli le, ami feltétlenül szükséges. Erre a feladatra ajánlhatom a Norton Antivirust. Ha valakinek nem lenne meg, INNEN tök ingyen letöltheti, sok más jó progival egyetemben. (Lehetőleg éjjel próbálkozzatok). Ebben az esetben az autoexec-be a NAV a következőt teszi:
@C:\ANTI-VIR\NORTON~1\NAVDX.EXE /Startup
Minek hatására az előbb felsorolt dolgok történnek. Marha gyors, és rendkívül hasznos, ha egy ilyen minden indításkor lefut. Ha a baj mégis megtörténik, ismét akkor járunk jól, ha gyűjteményünket külön vinyón tároljuk, mert ha megijedünk, hogy elszabadult egy vírus, és ész nélkül bekapcsoljuk az Automatic disinfection-t, akkor azt a gyűjteményünk bánja. (Aztán meg a hajunk.)
Ja igen. És az sem árt, ha az ANTIVIRUS progikat nem a Program Filesban, hanem EGYÜTT, EGY HELYEN tároljuk, mondjuk a C:\ANTI-VIR alkönyvtárban, és az sem fog fájni, ha a PATH környezeti változóba beleírjuk az egyes szkennerek könyvtárait. Amit még érdemes kipróbálni, az a Thunderbyte Anti Virus, vagyis TBAV. Elvileg a www.thunderbyte.org -on lenne  a site-juk, de már rég nem találkoztam velük. Nekem egy 1999 év elejéből származó scannerük van meg. Ja, és a HDZERO-t is érdemes előkészíteni. Vészhelyzet esetére. Én a CTRL+ALT+END billentyűkombinációra raktam a HDZERO-t. Stílusos. Nem? :-)

Vissza az elejére

És még mindíg az előtt, hogy elkezdenénk vírust gyűjteni, szerezzünk be néhány olyan progit, amelyek még jól jöhetnek. Pl.: bootwr, aminek a segítségével a floppy-k boot szektorából ki lehet bányászni a vírusokat, vagy éppen ha akarjuk, boot írásra is használható. Akkor jól jöhet még: VSNG (ez utóbbit BC fejlesztette) vagy a VS2000 (Ez pedig a konkurencia. Használata törvénybeütköző). Ezekről majd még bővebben szólok. Aztán egy nagyon jó progi, a RENEXTS, ami kiszűri az OBJ, és egyéb unwanted (nemkívánatos) fájlokat a gyűjteményből. További progik találhatók ITT, mindamellett ez az egyik legforgalmasabb trader (cserélő) site, ahonnan több új kiindulópontba is eljuthattok. Szóval érdemes gyakran látogatni. De ezeken kívül még sok más progi is "forgalomban" van. Az ezine terjedelme azonban nem engedi, hogy ezeket mind elérhetővé tegyük, max néhány jó linkkel szolgálhatok. INNEN minden segédprogram leszedhető.

Vissza az elejére

Hogyan kezdjünk 0-ról?
Most, hogy minden alapunk megvan, már csak az első vírusok hiányoznak. Első lépés. Be kell szerezni néhányat. Nosza, fogjuk a régi lemezeinket, biztos lesz rajtuk valami. BAD sector. Ez nem az. Hmm... Cruel. Boot virus. (Hogy szedjem ki a bootból egy fileba? ld.: 1.4-es fejezet). Meg néhány régebbi fájl fertőző. Ez eddig 8. Láthatólag nem ez a megfelelő megoldás. az egyetlen lehetséges kezdeti lépés, a letöltés. Ebben az alfejezetben egy csomó keresőszerver címét található meg. Keress rá így: virii, virus, virus +download, viruses, meg ilyesmik. Biztosan találsz valamit. Ha mégsem elégedsz meg az eredménnyel, a linkek fejezetben direktben találsz egy csomó helyet ahonnan letölthetsz. Szóval a beígért keresőszerverek:

411 Locate - http://www.411locate.com/
A2Z - http://a2z.lycos.com/
A Net legnagyobb keresőszervere - http://www.basehit.com/
Aliweb - http://web.nexor.co.uk/public/aliweb/aliweb.html
All-in One Search Page - http://www.albany.net/allinone
AltaVista Web Search - http://www.altavista.digital.com/
AltaVista Telia - http://altavista.telia.com/
AltaVizsla (magyar) - http://altavizsla.matav.hu/
Anzwers - http://server2.anzwers.ozemail.net/
AOL Netfind - http://www.aol.com/netfind
BigBook Directory Search - http://www.bigbook.com/
CUI World Wide Web Catalog - http://cuiwww.unige.ch/cgi-bin/w3catalog
DFW Net Search - http://www.dfw.net/search/index.html
Deja News - http://www.dejanews.com/
Discovery Channel Online Search Engine - http://www.discovery.com/DCO/doc/1012/tools/search/search.html
Domain Name Check - http://www.homecom.com/services/domain.html
Excite NetSearch - http://www.excite.com/
Excite (UK) - http://www.excite.co.uk/
Explore the Internet! - http://www.amdahl.com/internet
Find-It! - http://www.cam.org/~psarena/find-it.html
FTP Search - http://ftpsearch.ntnu.co/ftpsearch
Galaxy - http://galaxy.tradeware.com/galaxy.html
GeoCities Search - http://www.geocities.com/search
GIANT table os Search Engines - http://www.why.net/home/psturm/search/table.htm
Global On-Line Directory - http://www.gold.net/gold/search2.html
Global Village - http://www.homecom.com/global
GNA Miranda Search - http://uu-gna.mit.edu:8001/cgi-bin/miranda
Gopher Index - gopher://una.hh.lib.umich.edu/77/inetdirsstacks/.waisindex/index
Harvest Broker - http://town.hall.org/Harvest/brokers/www-home-pages/query.html
Heuréka! (magyar) - http://www.heureka.net/
HOME TEAM: Advanced Search Site - http://www.hometeam.com/
HotBot - http://www.hotbot.com/
I-Explorer - http://www.i-explorer.com/
InfoHiway http://www.infohiway.com/
InfoSeek - http://www.infoseek.com/
InfoSeek (UK) - http://www.infoseek.com/Home?pg=Home.html&sv=UK
Inktomi Search Engine - http://inktomi.berkeley.edu/query.html
Internet Roadmap - http://www.icpf.cas.cz/Internet/road-5.html
Internet Search - http://home.netscape.com/home/Internet-search.html
Internet Sleuth - http://www.isleuth.com/
JumpCity - http://www.jumpcity.com/
Linkstar - http://www.linkstar.com/
LookSmart - http://www.looksmart.com/
Lycos - http://www.lycos.com/
Lycos (UK) - http://www-uk.lycos.com/
Magellan: McKinley's Internet Directory - http://mckinley.com/
MetaCrawler - http://www.metacrawler.com/
MetaFind - http://search.metafind.com/
Navigate dot Net: Search Page - http://www.navigate.net/
NetGuide - http://www.netguide.com/
Netscape Net Search - http://home.netscape.com/escapes/search/ntsrchrnd-4.html
Netsurfer Tools Home Page - http://www.netsurf.com/nst
New Rider's Official WWW Yellow Pages - http://www.mcp.com/nrp/wwwyp
NIKOS Search Engine - http://www.rns.rockwell.com/nikos/nikos.html?118,16
NIKOS Web Search - http://rns.com/cgi-bin/nikos
Northern Light - http://www.nlsearch.com/
Northwest Navigator - http://caboose.com/nav/0
Open Text Index - http://www.opentext.com:8080/
Pathfinder - http://pathfinder.com/@@@m73COPTGwMAQNDC/welcome
Point Top 5% Index - http://www.pointtop.com/
Point to Pointers - http://homecom.com/global/pointers.html
PlanetSearch - http://www.planetsearch.com/
Populus - http://www.populus.net/
REX - http://rex.skyline.net/
SavvySearch - http://guaraldi.cs.colostate.edu:2000/
Search.com - http://www.search.com/
Search Company Information - http://mfginfo.com/search/engine.html
Search Inter-Links - http://nsu.acast.nova.edu/Inter-Links
Search.onramp.net - http://search.onramp.net/
SSI Net Search - http://syspac.com/netsrch.htm
Starting Point - http://www.stpt.com/
The International Internet Group - http://islander.whidbey.net/~iig
U.S. Internet Service Providers List - http://www.primus.com/staff/peggy/provider.html
Ultraseek - http://www.ultraseek.com/
W3 Search Engines - http://cuiwww.unige.ch/meta-index.html
Wandex - http://www.netgen.com/cgi/wandex
Web Directory - http://www.web-search.com/
Web Search Engines and Indicies - http://www.obscure.org/~jaws/websearch.html
WebCompass Personal Edition - http://www.quarterdeck.com/c/npage
WebCrawler - http://webcrawler.com/WebCrawler/WebQuery.html
Who's Who on the Internet - http://web.city.ac.uk/citylive/pages.html
WhoWhere? - http://www.whowhere.com/
WWW Worm - http://wwww.cs.colorado.edu/wwww
Yahoo! - http://www.yahoo.com/
Yahoo! (UK) - http://www.yahoo.co.uk/
Yahooligans! (keresőrendszer gyerekeknek) - http://www.yahooligans.com/
Yellow Pages Australia Home Page - http://www.yellowpages.com.au/

Vissza az elejére

Mit is neveznek underground-nak? Nos, nem az interneten történő metrózást, az biztos. Az underground siteok megnevezés alatt minden olyan hely értendő, ahol valami "illegális" dolog folyik. Ide tartoznak nem csak a traderhelyek, de azok is ahol vírust lehet letölteni, az összes Hack, Crack, és Warez site. Warez? Olyan hely, ahol mondjuk teljes CD-s játékokat, tört progikat lehet letölteni. Erre tökéletes példa az Easywarez. A Hack, Crack siteokkal ellentétben, ezek a siteok általában hosszabb ideig maradnak fenn a hálón. Az ok egyszerű. Egy site, egy letölthető fájllal nem olyan feltűnő, egészen addig, míg ki nem derül, hogy az a fájl mondjuk a Norton Utilities 2000-et tartalmazza. Teljes, feltört verzióban. Az meg a másik, hogy a warezsite-ok álltalában nem direkt linkeket (hivatkozásokat) tartalmaznak, hanem valaki fogja magát, ír a webmaster-nek, hogy a www.crosswinds.com/cctp/cctp.rar címre feltöltötte a Civilization: Call to power-t. A webmester meg felteszi a linkek közé, addig, amíg a crosswinds rá nem jön, hogy mit tartalmaz a /cctp oldal. Akkor az oldalt leszedik. a webmaster ellenőrzi a linket (ált. hetenként), és ha nem találja, akkor leveszi a listáról. Röviden ennyi. :) Undergroundnak szokás továbbá nevezni az ilyen, és ehhez hasonló ezinek, illetve csoportosulások (FCF) sitejait. Az underground témakörébe beletartozik továbbá az XXX, tehát a FREE SEX. Nem a fizetős, hanem az ingyenes siteokra gondolok elsősorban, mint pl EZ. A linkek halomszámra végén találhattok egy csomó ilyen siteot! :) (Hogy adjunk azért valamit a kultúrának is!)

Most, hogy már vannak linkjeink, meg egyebeink, elkezdhetjük a vírusgyűjtést. Először mindenféle cél nélkül, legjobb, ha az összes talált fájlt letöltjük. (Ha egyező nevűeket találunk, a legjobb, ha külön könyvtárba tesszük, mondjuk így: X:\VIRUS\_UNSORT1 ; X:\VIRUS\_UNSORT2) Én egy könyvtárba max. 1500 filet szoktam tenni, mert a DN ennyit általában már tud kezelni anélkül, hogy felzabálná a memóriát. Óvakodj a tömörített fájloktól, abban az értelemben, hogy a kollekciódba tömörítsd ki őket. Így a scannelés is gyorsabb lesz, és a későbbi kezelésük is leegyszerűsödik. (Nem kell tömörített állományokkal szórakozni) Továbbá ha lehet, ne használj hosszú fájlneveket. Hogy ezeket a gyűjtött fájlokat még milyen technikákkal és programokkal lehet rendezni, azt az 5-ös fejezetben találod meg, de azt már csak a következő számban.

Vissza az elejére

ANTI-VIRUS!!!

És igen, még mindig nem a vírusokról, hanem azok ellenségeikről, az ANTI-VIRUS (vírusnyuvasztó, vírusirtó, stb.) progikról lesz szó. Mert aki vírusokkal foglalkozik, annak néha jobban tisztában kell lenni az antivírus progikkal, mint a vírusokkal. Most mondhatjátok, hogy túlzott biztonság, meg felesleges, meg ilyenek. Lehet. De csak annyit mondok, hogy ÉN jártam már rosszul. Valahol 10000 környékén jártam, mikor előröl kellett kezdenem az egészet, egy nyavalyás W95-ös virii miatt. Persze akkor még láma voltam. Szóval vágjunk bele. Mikor, mit érdemes használni. A legjobb, ha minél több fajtájú, és nem csak külföldi vírusirtókat használunk. Mást tegyünk a memóriába, mást a lemez ellenőrzésére. Sőt, van amikor vírusspecifikus, (egy vírus, vagy víruscsalád (vírustörzs) irtására alkalmas, pl.: ohkkiller) vagy fajtaspecifikus (csak makró (F-STOPMAKRO), W9X (bármi), Mail (Dr. Web), stb. vírusokra kiélezett) vírusirtó használatára van szükségünk. Az itt következőkben kizárólag a saját tapasztalataimra támaszkodom, akármit mond a sajtó, illetve gondol a közvélemény:

Vissza az elejére

 

Antivírus teszt: Hogy is kell elképzelni az ilyet? (Legalább is ahogy én csinálom.) A teszt valójában rendkívül egyszerű. első lépésben a készítő által megadott adatokra támaszkodunk. 
Pl.:The total mumber of viruses and Trojans that are now detected by the program is now above 45200.
Mondja az FPROT. Namost, ha ebből leszámoljuk a variánsok számát (a valódi variánsokét, nem pedig a polimorf virusokét ld.: 4. fejezet), akkor ez úgy 36000 körül járhat. Természetesen az önmagukat átalakító (generic, vagy polimorf) vírusok száma végtelen. (Az irtók ezek kinyírására is fel vannak készítve, a polimorfitást okozó kód(részlet) ismerete miatt.) Csak például a személyes kedvencemből, a PS-MPC-ből van 21000 ISMERT darab. A nem ismert variánsok száma elérheti akár az 50000-et is. Vagy pl.: a Trux is jó példa, de az nem ennyire gyakori. Szóval elsődleges szempont az ismert vírusok száma. Az AVP jelenleg (Márc. 20.) 34286 vírust ismer. (variánsok nélkül) Tehát nagy vetélytársa az FPROT-nak. Ja igen. Hogy miért ezt a kettőt emlegetem folyamatosan, az azért van, mert ez a két legismertebb és legtöbb vírust ismerő (habár nem biztos, hogy a legjobb) vírusírtó, amelyeket a trader-ek használni szoktak. A második szempont a felismerés biztonsága. Ezt onnan tudom megállapítani, hogy egy adag virii-ből, milyen valószínűséggel szűri ki a fertőzött fájlokat a progi. Tehát mennyi ?-es (warning, could be infected) üzenetet találok a logfile-ban. A harmadik szempont a sebesség. Ezt pedig egyszerűen lemérem, a saját készítésű időzítő progimmal, egy BAT file segítségével, így:

@echo off
timerec.exe S
call c:\anti-vir\avp\scancoll.bat
timerec.exe E

Ja, ezt az apróságot a Time Recorder-t pedig letölthetitek ITT. A kollekció scanneléséhez pedig ITT egy AVP példa, és ugyanez FPROT-al ITT. Negyedik szempont lehet még a felhasználó-barát felület. Ja, és a tesztelést kizárólag DOS alatt (nem WIN-es DOS ablakban) érdemes végezni, mert akkor ad jó eredményt. Ugyanis a vindóz, a maga ált.: négymegás gyorsítójával a második vírusírtót a teszt alatt előnyhöz juttatja. Smartdrive the same. (Tört magyarsággal :P ) Szóval ennyit a tesztről, lássuk az eredményeket, és néhány logfile-tulajdonságát az egyes vírusnyuvasztó progiknak.

 

Vissza az elejére

F-PROT
Az FPROT-nak mára több fajtája is kialakult. Windows-os, csak macro-s (F-MACROW), F-SECURE, és még sok egyéb. Én a Datafellows DOS-os áltozatot használom, ami jelenleg a V3.07-es verziószámmal fut. A program a SIGN.DEF, SIGN2.DEF, MACRO.DEF és NOMACRO.DEF vírusdefiníciós állományokat használja, így a frissítéshez elegendő ezeket letölteni. Az OFFICIAL FPROT SITE egy FTP server, aminek a /PUB alkönyvtárából mindig a legfrissebb  anyagokhoz juthattok hozzá. Az F-PROT-ot nevezhetném talán az egyik leggyorsabb keresőprogramnak. Képes archívok belsejében is keresni, és ismeri a legáltalánosabban használt fájlformátumokat, és röptömörítőket (LZEXE,ICE,AIN,UPX,stb.), beleértve továbbá a M$ Office, Works, stb. fájlokat. Ezekben mind keresni, mind irtani képes. Vitathatatlanul a legtöbb vírust ismeri, a POLIMORF vírusok egyes fajtáit is külön képes megjelölni (ld.: PS-MPC.XXXX (generic)). Előnye továbbá a menüvezérelhetőség, hátránya a szegényes beállíthatóság, és a nagy méret. (1,9Mega) A vírusokat részletes leírással detektálja, tehát (dropper, exact, generic). Logformátumára jellemző, hogy a vírus típusát /-el választja el a névtől Pl.: WM/Formater.A. A DOS-os vírusokra nem használja a megkülönböztető / jelölést. Akit érdekel, hogy melyik jelölés (ld.:W97M/, SCS/, VBS/, JS/ XM/, stb.) mit jelent, az írjon, és ha elég sokan kérik, akkor a köv. számban benne lesz, csak most nagyon hosszú lenne ezt itt ecsetelgetni. A helyzet ua. az AVP-vel is. Az F-PROT MINDEN trader legfontosabb eszköze. Nagy hátránya azonban, a bizonytalansága. F-PROT-ból tényleg mindig a legfrissebb verziót kell használni, annál is inkább, mert csak havonta frissítik. Éppen ezért gyakran változnak a már ismert vírusok nevei is, és sok az undetected (bizonytalan) felderítés. Bár az FP nagyon "aranyosan" fogalmaz (could be infected, might be infected, stb.).

Vissza az elejére

 AVP
Az Antiviral Toolkit Pro a másik legfontosabb eszköz a trader kezében. Nem olyan gyors mint az FPROT, de legalább annyi formátumot, röptömörítőt meg egyebet ismer, mint az FPROT. Az OFFICIAL SITE sokkal igényesebben van megcsinálva, és nem utolsó sorban nem havi, hanem heti, sőt, napi frissítéseket is le tudunk tölteni. A frissítgetést persze nem kell túlzásba vinni, nekünk bőségesen elég a heti frissítés. Az AVP közel sem ismer annyi vírust mint az FP, bár mostanában nagyon gyorsan fejlődnek. Ők 34-35 ezer tájékán járnak, variánsokkal együtt. Itt meg kell jegyeznem, hogy ők a polimorf, pl.: PS-MPC variánsokat, nem jelölik külön-külön, csak így: PS-MPC-based. (PS-MPC alapú) egyébként a legtöbb trader ki nem állhatja a PS-MPC variánsokat. Ez főként FP-nál lehet gond, mert mindet külön jelöli, az AVP talán ezért is választotta a -based megoldást. Köszönet érte. Amiben megint jobb az Fprot-nál, az az, hogy sokkal biztosabban megtalálja a vírust, sőt, olyan helyeken is, ahol az FP nem veszi észre. Az AVP mostanában elég nagy sajtóvisszhangot kapott, köszönhető ez a REZIDENS modulnak, amely tényleg a legjobb. Alig eszik erőforrást, és nagyon biztosan megtalál minden vírust. És mellesleg, az AVP odafigyel az end-user oldalra is. Vagyis: tök jól néz ki, sok a testreszabhatósági lehetőség és könnyen használható. 

Vissza az elejére

TBAV

Vagyis Thunderbyte Anti Virus. Erről nem sokat szólnék, a trader-ek között nem használatos. Ha röviden kéne jellemezni, akkor azt mondanám, hogy elszállt felette az idő. A Tbav a Mcaffe Scannel karöltve az egyik volt a legelső vírusirtók  között, és nagyon jó is volt. Manapság azonban a thunderbyte mintha kicsit alábhagyott volna a mennydörgésből. Vírusírtójuk DOS-os változata biztonsággal keres és írt, menüvezérelt, igazi előnye, hogy többet nyújt mint a többi vírusírtó. Memóriarezidens modulok (csak DOS-hoz), illetve MBR védő és egyéb nagyon hasznos utilok. Pl.: a TBUTIL, amit itt letölthettek, nekem nagyon bevált, Win98 alatt is! A negyedévenkénti frissítés sem teszi vonzóvá a TBAV-ot. Aki szeret nosztalgiázni, az használja. De mint mondottam, vannak nagyon jó részei. A kiegészítő utilok NAGYON JÓK!
 

Vissza az elejére

Norton Antivirus
Az igazat megmondva, én emelem kalapom a Symatec csapat előtt. A Norton sorozatuk, gondolok itt a Norton utilities-ra, a Clean Sweeper-re, stb. nagyon jól sült el. Ajánlom mindenkinek. Hasonló a helyzet a Norton AV-vel is. Talán a logfilejuk complexitása (összetettsége) miatt nem igazán használatos. Ha nem is trader szinten, de end-user (végfelhasználói) szinten mindenképpen a legjobb. Hátránya, hogy nagyon nagy, csak vindózos változatban létezik, és elég lassú. Azonban 100%-os a felismerési aránya, és variánsokkal együtt, 51000 vírust ismer, tehát többet mint az F-prot. Nagyon jó program.

Vissza az elejére

Magyar vírusírtók (VBUSTER, PASTEUR, UVE)

Természetesen a magyarok is piacon vannak. Van néhány apróbb, ingyenes vírusirtó is, mint magán társulások, azonban azok a vírusirtók nem sokat érnek. Említésre érdemes a Virusbuster csapat melyek a nemzetközi porondon is megjelentek. A program biztonsággal detektálja és írtja a legtöbb magyar eredetű vírust, és sok "külföldi" bevándorlót. Az ismert vírusok száma 30000 körül van. Hátránya, hogy lassú, nem ismer minden fájlformátumot, és a tömörített állományokat (a shareware verzió legalábbis) nem képes kitömöríteni. A Vbuster további előnyei: Magyar, és egy komplett vírusvédelmi rendszert ajánlanak, amelyben az internetes és email vírusokra is kihegyezett, illetve rezidens modulok is találhatók, DOS-os és vindózos + linux verzió! Egyértelműen a legjobb magyar vírusirtó. Azonban a két kistestvér, az UVE és a Pasteur és szót érdemel. Mindkét vírusirtónak a fejlesztése csak lassacskán halad. Az UVE (Ultimate virus Eliminator) előnye a gyorsaságában rejlik, ismer makrovírusokat is, de csak DOS-os verziója létezik, és csak DOS-os rendszerekre ajánlott. Nekem egy 1998-as verziója van meg, szerintem a csapat leállította a fejlesztést, de ennek ellenére jó programot hoztak össze. Előnye továbbá az 500K-s méret és az, hogy a legelterjedtebb vírusokat biztonsággal keresi, és írtja. Nem ismeri a W9X-es vírusokat, és az azóta megjelent email, Internet, és egyéb különlegességeket. A Pasteur egy NAGYON gyors, kizárólag DOS-os vírusokat ismerő program. A fejlesztő, Szőr Péter, valószínűleg ebben az esetben is leállította a fejlesztést. Nekem egy 1995-ös változat van meg. Ja, ha van valakinek 1998-asnál újabb UVE-je, vagy 1995-ösnél újabb Pasteur-ja, akkor küldje el! Köszi. A Pasteur legnagyobb előnye a rendkívül kis méret, és gyorsaság, valamint a BOOT illetve a memóriarezidens vírusokkal szemben tanúsított agresszivitása. (Néha még akkor is felismeri őket, ha nincsenek is a memóriába.) De végül is fő a biztonság. Körülbelül 2000 vírust ismer, (az UVE 1100 vírusával szemben), és mindezt meglepően kis méretben. (350K) Bármilyen régi gépen fut, NAGYON AJÁNLOM, ha valaki általános biztonságot akar régi 286-os, vagy 386-os gépén.

Vissza az elejére

 

A legtöbb vírus eddig kétségtelenül a DOS-os környezet alá született. Nemcsak amiatt, mert az első DOS-os vírus elkészítése, és az első Makro, vagy még korábbi Windows-os vírus elkészülte között 10 év telt el, míg nem kizárólag DOS-os vírusokról közel 6-7 éve beszélhetünk. Sőt, még ma is készülnek DOS-os vírusok. Természetesen nem lehet egyértelmű határokat felállítani például a BAT vírusok esetében, mert a DOS5-höz készített BAT vírus Win98 alatt is vígan futkározik. Az interneten terjedő HTML, vagy email vírusokról meg konkrétan alig 2 éve beszélünk. Az első tényleges emailvírus a nevezetes Melissa volt. (Ma már kismillió átirata van.) Az első HTML vírusok a Javascript illetve Java elterjedésével jelentek meg, először csak offline, de ma már online fertőzésre képes változataik forognak "közkézen". A mai vindózos világban a DOS-os vírusok ideje lassan befejeződik, bár régi gépeken még vidáman vannak. Aztán a Win3.1-hez készített vírusok is lassan kihalósorba kerülnek. Manapság a Windows9X és most már a W2K, illetve a makróvírusok korát éljük. Ez (mármint a DOS-os virii-k kipusztulása) a windows alatt megjelenő új állománytípusok (MZ,PE), illetve a Multitasking rendszer kicsit sok a DOS-os vírusoknak. Ajánlom a következőt, DE CSAK A SAJÁT FELELŐSSÉGETEK- RE: Nyissatok egy DOS ablakot, és készítsetek egy üres alkönyvtárat, amibe tegyétek bele a Yankee Doodle-t. Indítsátok el. Futtassatok ugyanabban a DOS ablakban egy scanner-t, ami veszettül el kezd villogni, és fertőtlen rendszerlemezt javasol. Nos. Zárjátok be a DOS ablakot. Nyissatok egy másikat, és futtassátok le a vírusirtó progit, ami semmit nem fog találni. Természetesen, hiszen a vírus egy másik szálon (Thread) volt, amit a vindóz már lezárt, és semmi köze a mostanihoz. Ebből is látszik, hogy a DOS-os vírusok nem tudnak mit kezdeni az új környezettel, az új fájltípusokkal, szóval egyszerűen csók. Szép volt, jó volt, köszönjük, ENNYI. Az összes vírus alapja a DOS-os vírus. Abban az értelemben, hogy a ma divatos vírusok teljesen hasonló elven működnek. gondolok itt a stealth (rejtőzködő) technikákra, illetve még inkább a polimorfitásra, amikor a vírus minden alkalommal elkódolja magát, hogy nehezebb legyen megtalálni. Ez történhet a szó szoros értelemben vett kódolással (általában XOR/ROR eljárás (A példában Pascal és ASM forrás is van, részletes magyar magyarázó- szöveggel + példákkal)) de a víruskódon történő változtatással is, ennek legegyszerűbb formája a nop (assemblerben vagyunk természetesen) (No operation) utasítás beszúrkodása. A nagyon régi vírusirtók ezen már elszállnak. (De gondolom senki nem használ már 1990-es vírusirtót) A régebbi DOS-os vírusok ezt egy fix kódoló/dekódoló rutinnal oldották meg, ami lefutott a vírus előtt, és futtathatóvá tette. De az újabb fajta DOS vírusok már 2, vagy több kódoló motort használnak, így teljesen átváltoznak fertőzésekkor. (De persze a kódoló eljárások ismeretében felderítésük nem gond.) A legújabb DOS-os vírusok, már MINDEN technikát használnak. És megint csak PS-MPC. A variánsok száma végtelen... Mi az, hogy variáns? Tök ugyanaz mint a verziószám, csak itt általában az ABC betőivel, a vírus méretével (esetleg mindkettővel, vagy ha az új variáns a a készítőtöl kapott valami új nevet, akkor az. Modjuk pl.: Yankee.A, Yankee.Doodle.1392, Yankee.Destructor.B, Yankee.Destructor.B.2000). És a variánsokat készítő(k) nem biztos, sőt általában nem az eredeti (alapvírus készítője). Ugyanis egy sima disassem progival a víruskód máris visszanyerhető (persze nem árt némi assembleres tapasztalat). Sőt, sokkal inkább ajánlom a Hackers View (HVIEW) progit, az mondhatnám, hogy direkt erre készült. Makró vírusok esetén a dolog sokkal könnyebb, ugyanis, hacsak nincs jelszóval védve (bár ez sem túl nagy akadály), vagy valamilyen módon titkosítva a forrás, a kész vírust HIGH LEVEL, azaz magas szintű nyelven kapjuk, készen tálalva.
Most ejtsünk néhány szót az egyes típusokról, nagyon röviden.

Vissza az elejére

A legrégibb vírusfajta, az első ténylegesen vírus tulajdonságokat mutató programot 1982-ben jelentették. Általában Com és EXE fileokat fertőznek. (Vagy csak ezt, csak azt.) Vannak a BOOT fajták, melyek a merevlemez és/vagy a floppy/k boot sectorába írják magukat, és rendszerindításkor a memóriába kerülnek, és "átveszik az uralmat".  Röviden ennyi. Most nem jut eszembe több minden, amit még nem mondtam el. Ha maj lesz valami, azt még írom, vagy a DOS vírusíró résznél megtaláljátok. Ezen vírusok főleg ASM-ben készülnek/tek, de primitív vírust, vagy VCK (Virus Construction Tool-t, víruskészítő progit) lehet írni Pascal-ban, Qbasic-ben, vagy C-ben (ITT a kedvencem C forrását találjátok, az MPC generatort).

Vissza az elejére

Már a Windows 3.1-hez is jelentek meg vírusok, amik képesek voltak a megváltozott Windows-os EXE formákat (3.1!!) (IS) fertőzni, de nem arattak túl nagy "sikert". Ami azt illeti, még egyszer sem találkoztam olyan élő példánnyal a környezetemben, amit irtani kellett volna, mert "elszaporodott". A "nagy áttörést" a Windows 95 hozta meg, amely olyan oprendszernek bizonyult, melyet külön a vírusok befogadására fejlesztettek ki. Maj a 98. És megjelennek a Backoffice (az ezine tartalma nem engedi meg, hogy egy ilyet komplett leadjak, már így is túlléptem a keretet) programok, melyek a windóz-t (is) kihasználva az interneten keresztül "irányíthatóvá" tették a megfertőzött gépeket. Ezen még Gátas Vili PE (Exe), WZS (Wise Install) formátuma sem segített, sőt új operációs rendszeréhez, már a megjelenés előtt megszületett az első vírus (W2K/Inka). Hát nem lehet azt mondani, hogy tétlenek lennének ezek a túlképzett csibészek. Ezen vírusok elkészítéséhez kőkemény ASM (A Win32.Cabanas.2999
vírus forrása, amely nem csak Win9x-alatt, de Win 3.1 és WinNT alatt is fertőz, és rezidens) és C/VB tudás szükséges. No, meg egy két jó ötlet.

Vissza az elejére

Szintén Gátas Vili nevéhez fűződnek a makrovírusok. Al la Office. Szerencsére a M$ főleg olyan programokat ad ki, melyek "támogatják" a vírusokat. A makrovírusok minden Office dokumentumon terjednek. Persze mivel a vindóz saját magával sem mindig kompatibilis ezért a Word6.0 ban megjelenő makrók nem bizti, hogy működnek az OFFICE 2K-s doksin. De ez igaz az Excel, Access, sőt, ma már a Powerpoint-ra is. És persze a hőn szeretett OUTLOOK. (Bár itt már határat kell húzni, mert az emailvírusok már mindkét internet/macro kategóriába tartoznak.) Ezeket a vírusokat Visual Basic (vigyázat, fertőző OUTLOOK .MSG állomány a Bubbleboy emilvírussal.) nyelven írják. Általában. És persze itt van Meliassa is, illetve egy CSAK OFFICE vírus, a World Cup 98

Vissza az elejére

Ezek végre nem M$, hanem Java fejlesztésnek tudhatók be. A Javascript V2 "sajnos" már tartalmaz olyan jellegű utasításokat, melyek offline módban alkalmasak HTML fájlok matatására, kódrészletek másolására. Mert valójában egyik vírus sem csinál mást, mint a saját kódját másolja ilyen-olyan technikával, ide-oda, minél észrevehetetlenebbül, és minél több típus fertőzését szem előtt tartva. A HTML és VBS (Visual Basic Script) vírusok általában a HTML fájlokat fertőzik. Ebbe a kategóriába tartoznak a JAVA vírusok is. Emitt egy HTML forrás (VBSCRIPT.ZULU.2), VIGYÁZAT, FERTŐZ!!!!! (Ha lehet jegyzettömbbel és ne böngészővel nézd!!)

Vissza az elejére

A Mirc virii-k a nevükből adódóan chatservereken terjednek, kihasználva a Mirc utasításait. Egy ilyen vírust itt találhattok.

Vissza az elejére

A BAT vírusokat nem is tudom hova lehetne sorolni. Némelyiket a DOS, némelyiket a Windows-os (regisztrációs adatbázis módosító, stb.) fajtába. A BAT vírusok fantasztikus egyszerűségről, és nagy életképességről, bár könnyű észrevehetőségről tesznek tanúbizonyságot. Bővebben megismerkedhettek velük, ha IDE kattintasz.

Vissza az elejére

Csak nem olyan régóta vannak vírusok Machintoshra, Linux-ra, Unix-ra, OS/2-re, illetve COREL-re. Ezekről nem tudok túl sokat, élőben még egy ilyet sem láttam, de tök ugyanazon az elven működnek, mint a többi, csak más OS alatt. A Corel mondjuk kivétel. Eddig 18  Corel vírus ismeretes, azt ITT letölthetitek. A Corel vírusokat az újdonsült Corel Script nyelven írják. 


Szóval linkek. az itt felsoroltak közül már nem mindegyik működőképes, vagy elköltözött. Érthető okokból...

 

URL (Webcím)

LEÍRÁS

K

ATEG
ÓRIA

FRSSÍTÉS
29A Labs Group, authors, zine, collector (VirusBuster) and more!
groups
08/30/98
Alternative Virus Mafia group - new page still coming up.
groups
10/04/98
Angus Thermophyle's Lair Programming tools, tutors, zines
info
02/14/99
Arvis virii tiny page
smallest
02/14/99
ASM group, viruses, etc
groups
03/25/99
Babyvirii's page collector, member of X-Vex 2000
trading
05/02/99
BadgerX Virus Site Virus programming tools and tutorials
info
02/15/99
Benny's Homepage Author, a few virues by him
author
02/27/99
Bio Coding Dungeon Slumdung, Senryaku's page
small
04/08/99
BioTech Author - Griyo of 29A (Virii - Cri-Cri, Gollum & Others)
author
08/30/98
Black Death's Virii Archive A few downloads, trading
trading
04/23/99
Black Cat Virus Exchange System Virus trader, download logs, etc
trading
03/24/99
Bumblebee's Home Virus author, Bumblebee. Has his viruses, source code, and an online virus generator by him.
author
04/29/99
CARTAL Viruses viruses, source
small
02/14/99
celltel-virii- at ftp.ao.net Virii in alphabetzied zips
medium
08/30/98
Chad-midnight-v Caught midnight BBS in their move!
small
08/30/98
Cicatrix VDAT Home of the excellent VDAT. Go here to begin learning about everything to do with virii! Also a member of the Virus Trading Center.
info
08/30/98
Clau Virii author
author
01/16/99
Codebreakers Virus group, authors, zines, and more!
groups
03/01/99
Coderz Net Viruses, source, etc.
author
02/08/99
Computer Virus Research Lab Offers for sale a CD-ROM with virii on it.
comm
09/08/98
Cram Virus Virii, Zines, generators, engines, texts and more. Good looking page.
medium
09/26/98
Crypt Newsletter E-zine
zines
08/30/98
Cybernuke's Page Virii in assorted zips, other.
small
11/14/98
Dark Slickter's Page A little source, a couple kits
smallest
11/30/98
Darkman/29A Virii binaries, source, and more. One of my neighbors here at SOK!
author
09/09/98
Darkness Sons Groups, virii, kits by them
groups
02/27/99
Data Fellows' F-Secure Prodcuts F-Prot anti virus. Look for the FREE DOS version.
anti
09/17/98
Deadman's home page Virii, some of his programs too
author
02/14/99
Digital Death A few virii and trojans
small
02/14/99
Dr. Yozac's Page Author
author
04/22/99
Drop the Virus Virus information, one sample .ASM.
info
08/30/98
Duke's Virus Labs Zines, virii, and more
groups
02/11/99
DVC New virii group from the Netherlands
groups
04/27/99
Evil-E author, member of codebreakers
author
03/30/99
f0re's page author
author
05/19/99
Farris Net Virii, and other stuff (when added, just one zip of 100 virii)
smallest
02/10/99
Feathered Serpents Group - Virii, Texts, Zines and more. Another VXer here at SOK!
groups
10/01/98
Fenris4_virii_collection- Virii and some junk in zips FTP style
smallest
08/30/98
Flashback Underground Library Just a few kits
smallest
01/09/99
Flitnic's Page Author, member of SOS (Sign Of Scream), wrote SuperIIs
author
10/12/98
Flyshadow's page author, viruses by him
author
02/08/99
Giant Black Book of Computer Viruses Books, etc. on hacking and viruses
comm
08/30/98
Guillermito Links, Zines, Tutorials, Texts, and more!
info
08/30/98
Hack Palace Virii section several zips of sorted virii, source code, kits, MAC virii
medium
02/14/99
Hackz Publishing Lots of stuff in separate dirs
medium
08/30/98
Hail and Kill Group - virii, tutorials and more (spanish)
groups
10/24/98
Hasy's Virii Page Currently No Description
source
08/30/98
HECATOMBE Alphabetized zips of Virii (lists author of most of them!)
medium
08/30/98
Hexfiles Online! Hexfiles Zine online version
zines
05/07/99
HNC - Hack-Net Some generators, texts, mostly hacking
small
08/30/98
HoME_SWEET_H*** Macro virii and some descriptions.
macro
08/30/98
IBM Virii A few kits, engines, viruses
small
08/30/98
Infinite Virii Virii, generators, tutorials
smallest
09/10/98
Intergang Virus Page Group - Virii, nicely organized page!
medium
09/18/98
IRG Home Page Group - Immortal Riot/Genesis (Virii, Zines)
groups
08/30/98
iRiS Software Iris Anti Virus
anti
09/17/98
J and A Virus Info J & A Virus Link Page. Good list, but not as up to date and complete as Tally's!
info
08/30/98
J.S. Bach's Page MAC virus author
mac
03/15/99
jeko-modi.html Looked like mostly links?
smallest
08/30/98
JFK'z Virus 7-11 A few viruses, links, etc
small
08/30/98
Joes's Mac Hacking Site! MAC virii
mac
12/17/98
jringenb-virus Virii in zips (one large 4.5 zip!). Link to virii is hard to find, due to a joke. So here it is!
medium
08/30/98
Kefrens group
groups
03/20/99
Kid Chaos Author - Kid Chaos of Slam (Virii, Zine)
author
08/30/98
Krytens Macro Virus Page Author, member of Pinoy Virus Writers (wrote Inquisitor Macro Virus)
author
09/09/98
L-train Virii - a few in zips. FTP Style.
smallest
08/30/98
Latexnet Virii, Sources (not updated). Click on virusx.
small
09/08/98
Le monde des virus Source code, tutors
small
08/30/98
Leprechaun Software Page Virus Buster anti virus.
anti
09/17/98
Les virus Source, engines, kits, even some AMIGA bootblocks
smallest
08/30/98
Les Virus par UnKm Author (Virii - UNKM [is this Unknown Mnemonik?])
author
08/30/98
LethalMind's Page Author, viruses
author
03/04/99
LineZer0 VX Team New VX Team, Viruses, VCKs and more!
groups
05/12/99
LOD Texts, generators
smallest
09/09/98
Lord Arz's Castle author, virii (his creations)
author
10/07/98
Lord ASD's Page Author (Apparition, Wormsign and more)
author
08/30/98
Lord Julus' Page Author (Tutorials, Poly engines)
author
08/30/98
MAC Virus VX MAC virii, source and more (hosted by Code Breakers)
mac
09/13/98
MacMan's Hacking-Warez Virii, Hacking, Zines, etc
mac
08/30/98
Mandragore Author (mdrg 5.0, TAO and mAd CoW virii plus other programs)
author
08/30/98
Master's Virii A few viruses and some kits
smallest
08/30/98
McAfee's VirusScan Well known VirusScan.
anti
09/17/98
Metropolitan Network BBS inc. AVP antivirus. Also AVP antivirus encyclopedia
anti
09/17/98
Midnyte's Lair Author, information, a few examples
author
03/10/99
Mint Dimension Virii Will send virii only upon e-mail request and then only to those doing research.
members
09/08/98
Misdirected Youth New page (Russian)
groups
04/16/99
MOB Group (not primarily viruses - but their zine containes some viral articles)
groups
02/16/99
Moge's missile works! Alphabetized Zips of virii, individual virii
medium
08/30/98
Moonbug Zine Russian VX zine
zines
04/17/99
Mushroom Warez Virii, source, generators
smallest
09/10/98
Muslim Hackers Club Homepage Tutors, zines
smallest
08/30/98
MZPHREAK's wurld very few virii
smallest
09/25/98
Neurotic CPU Source code, other text
source
09/26/98
NFission's page virus trader, member of X-Vex 2000
trading
05/02/99
No Mercy Home Page Group - Macro virii, generators, and more!
groups
08/30/98
NoMercy Virus Team Official Site Group - Macro virii, generators, and more!
macro
08/30/98
NOP Group
groups
10/23/98
NUcLeii's Vx Site Another resident here at Source of Kaos! Great Virii page, source, zines, labs, links and more!
author
08/30/98
Onpoint dot com Viruses, trojans, kits (under construction)
small
04/22/99
Opic's VX-Netwerk Author
author
08/30/98
PATA SItEZ HoME PaGe zines, source, kits
small
08/30/98
Payload's of Virii Several downloads of virii payloads?
info
11/07/98
Phage's Virus Resource Utils, AV links, trading
info
01/05/99
phVX Home Page phVX Group
groups
08/30/98
Pinoy Virus Writers Web Ring Web ring of virus sites
rings
08/30/98
Psycho_viruses Virii in zips, some alphabetized collections.
medium
08/30/98
Queen Hitman Virus inc. Author - Virii, Source, Tutors, Tools, Macro Virii
groups
08/30/98
Recoder's Home Virus information and links in Russian.
info
08/30/98
Renegade Group, zines
groups
10/23/98
Retch Virii and source code (his, and others)
author
10/23/98
SecureNET Technologies Avast! Antivirus, Macro Blaster
anti
09/17/98
SerialKiller's Page Author, of Codebreakers. Has macro virii, generators and utilities.
author
09/19/98
Shining Kingdom Septic's page, author, member of Technological Illusions
author
03/13/99
Shiznat's Virii Page A few virii, a couple kits, assembler helps
smallest
02/14/99
Shorty's virii, etc page A few virii and kits
smallest
02/14/99
SI's Virii Page Virii, generators, source, tutorials
medium
08/30/98
Sign of Scream (SOS) Group - zines, links, news, etc.
groups
10/31/98
Sirkus Currently No Description
smallest
08/30/98
SkamWerks Labs group
groups
09/08/98
Snake's Layer new, under construction
smallest
04/03/99
Spaz Tech Here you can order Virii on a 3.5" disk
comm
08/30/98
SPL HomeSite source pre-processor
author
08/30/98
Spo0ky's Site Author, member of Codebreakers
author
04/28/99
SpyjureNet Author, a few viruses by him
author
04/19/99
STEALTH Group Group (Virii, Zine - Infected Voice) - another neighbor at SOK!
groups
08/30/98
Stealth Virus BBS New site, no content yet
smallest
02/12/99
Stephans' Virii Archive Source code plus some generators and tools
source
08/30/98
StormMaker's page writes a VCK of sorts
author
04/03/99
Super Hacking Catalog Commercial site, order books, generators, virii (4,000 virii - big deal).
comm
09/25/98
Symantec NAV (Norton Anti-Virus)
anti
09/17/98
Tally's Virii Trading Page Member of the Virus Trading Center. Active collector with 20,000+ virii. Also the host of Tally's Virii Link Reference!
trading
08/01/98
Technological Illusions Group, virii, zine (to come out soon)
groups
11/30/98
Thunderbyte TBAV (Thunder Byte Anti Virus). Recently bought out by NovaStor.
anti
09/17/98
Trend Antivirus Yet another anti virus program.
anti
09/17/98
u-j-jgrich- at ftp.eskimo.com One big "ZIP" that is UUEncoded FTP style
small
08/30/98
UGLY JOYRIDE Tutorials, Utils, Labs
small
08/30/98
Ultimate Chaos Good virii collection, labs, source codes, on line batch bug maker and more! A neighbor here at SOK!
groups
08/30/98
Underground News Virii, generators, source
small
09/25/98
Unknown index of virii Several zips of virii (maybe a hundred or so virii?)
small
11/18/98
V-Buster V-Buster antivirus
anti
09/17/98
VDAT Online! Online version of VDAT virus encyclopedia
info
02/28/99
Vicodines and Melissa Central Info on melissa virus and Vicodine's page mirrored
small
04/10/99
Viral Base virii source code
source
08/30/98
viral infection I think there were 7 viruses here.
smallest
08/30/98
Viri World Collections of virii, generators
small
11/10/98
virii Virii, generators (very few)
smallest
08/30/98
Virii A handful of virii
smallest
09/25/98
Virii (russian) Currently No Description
zines
08/30/98
Virii page Very small collection of virii
smallest
08/30/98
Virii page a very few virii, tutors, generators
smallest
01/09/99
Virii page (Russian) Zines, source
small
04/16/99
Virii World Annoying page with "get the password from a porn page" entry, a few VKCs, virus source, etc.
smallest
04/25/99
Virogen's Page Author, member of [NOP], virii, zine, etc.
author
11/04/98
VIRUS A few viruses
smallest
08/30/98
Virus 213 A few viruses
smallest
08/30/98
Virus Authors Information Page source code, descriptions
source
08/30/98
Virus Brasil group, zines, viruses
groups
03/21/99
Virus Bulletin Home Page Information and lists of viruses.
info
09/17/98
Virus BunkerZ Currently No Description
smallest
05/02/99
Virus Defence Bureau Invircible Anti Virus
anti
09/17/98
Virus Exchange Virus links, info, research, cool looking page. Member of the Virus Trading Center.
info
10/23/98
Virus Exchange Virus Trader, Member of the Virus Trading Center, neat looking page.
trading
02/08/99
Virus Mania Virii and more
medium
02/11/99
Virus Nacionals Brasil Author (Alevirus)
author
02/16/99
Virus Research The Virus Researcher's handbook on line.
info
08/30/98
Virus Shop, The Various new viruses
small
05/06/99
Virus Trading Center VirusBuster, founder of the Virus Trading Center and One of the most active collectors with one of the best collections.
trading
08/10/98
Virus Trading Center Excellent Virus Traders, Biggest Collection this side of AV, includes VirusBuster, SlageHammer, ShadowSeeker, Cicatrix & Tally
groups
12/01/98
Virus, Inc. Commercially passworded site with few good downloads
members
08/30/98
VLAD (Virus Labs and Distribution) Group, Zines
zines
10/23/98
VOLATiLE iNFECTiUS Currently No Description
small
08/30/98
VSUM Web Site Virus SUMmary, virus information.
info
09/17/98
Vxdnet Zines, kits, tutorials, source, tools and links
info
03/18/99
Warlock's Virus CD Cd with a few virii, source, kits, etc.
comm
02/14/99
Watch Tower Virii, Texts, Tools, Macro Virii
medium
08/30/98
Web page of ReT}{@ Currently No Description
smallest
08/30/98
Weird Genius Macro Virii Author, Macro Virii
author
11/14/98
Wildlist Organization International The Wildlist!
info
03/02/99
Wizard Author of Black Brains Security(?) (Virii - Illusion, VrN, Lifeform, RideOn)
author
08/30/98
X-Vex 2000 New virus trading group
trading
05/02/99
Xarabas' World Vcks, viruses, sources
small
05/16/99
Xfire Zines, Tutors, Source, etc.
small
03/02/99
ZOMBiE's homepage author, member of 29A
author
03/13/99
Zoom's Live Virii A few live virii, the link to the 4000 virii doesn't work.
smallest
10/10/98
Zordhak Virii Team Virii, source, etc
groups
01/04/99

Vissza az elejére

 



Készítette : Black Cat

BCAT_H@YAHOO.COM            HTTP://JUMP.TO/BCVES

The Black Cat Virus Exchange System

More than 25000 virii for trading.

 VIRUS SORTER NEW GENERATION V1.0 FINAL

He is a virus trader/writer and member of the FCF (Formater's Cracking Force).

The FCF can be reached via http://jump.to/fcf

Interested in further developments and updates? Visit the Black Cat Virus Exchange System!
Black Cat's logs can d/led via: http://bcves.jump.to/bclogs.rar
Black Cat's trading page can be found: http://bcves.jump.to/trading.htm

The Virus Sorter New Generation COMPLETE PACKAGE can be downloaded via: http://bcves.jump.to/vsng.rar
The package contains the complete HELP and any additional files. (pictures, url shortcuts, etc.) Size: 140K

The Virus Sorter New Generation SIMPLE PACK can be downloaded via: http://bcves.jump.to/vsng.exe
D/L, and GO! Nothing to do with it! (not recommended for 1st time users) Size: 60K 

Would u like to trade? What are you waiting for?

The Black Cat Virus Exchange System provides a powerfull, and completely free home of trading, and traders. Would u like to be a member? Would u like a trading page at BCVES? Would you like to meet other traders? Would you like yourself to be distributed with this (vsng complete) package? In the URLS subdirectory all BCVES members' BCVES URL can be found as W9X Internet shortcut icons. 
First, subscribe to the Black Cat Virus Exchange System's egroup (bcves-subscribe@egroups.com)

Than send a letter to Black Cat, with the following information:
- Name (nickname)
- A short message (optional)
- The place (URL) of your logs
- The place (URL) of your log statistics
- The place (URL) of your PGP key (optional)
- Your email address
And that's all. After some day, you'll be up. Why to choose BCVES? More than 150 visitors a week. :)

Do you need privacy? D/l the BCVES's PGP key (http://bcves.jump.to/bcves.asc)
Would you like to use PGP when writing to Black Cat? PGP can be found here (http://bcves.jump.to/blackcat.asc)! 

 

HAPPY TRADING!!

Vissza az elejére