V”rusvad szat ÄÄÄÄÄÄÄÄÄÄÄÄÄ 1997-es j£liusi ‚s okt¢beri CD-nken is el“fordult v”rus. A CHIP Magazinban besz moltunk a r‚szletekr“l. Mindk‚t eset fontos tanuls gokkal szolg lt sz munkra, ‚s ennek nyom n m¢dos”tottunk CD-ink "gy rt stechnol¢gi j n". T”bbek k”zt fontosnak ‚rezzk azt, hogy minden CD-nken k”zz‚tegyk a v‚gs“ v”rusellen“rz‚snk eredm‚nyeit. (A CD-kre kerl“ anyagokat munka k”zben is ellen“rizzk. Ennek sor n m r t”bbsz”r is tal ltunk v”rust.) Az ellen“rz‚s m¢dszere ‚s eredm‚nye ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ A CD-re kerl“ anyagot egy kl”n merevlemezre m soltuk. Az anyag sok t”m”r”tett file-t tartalmaz. Ezeket kibontottuk, mindegyik file-t kl”n k”nyvt rba. A kibontott anyagban tal lhat¢ t”m”r”tett file-okat is kibontottuk, ‚s ”gy tov bb (rekurz”v kibont s). A CD ”gy kapott "teljes" tartalm t az al bbi DOS-os ‚s Windows-s v”ruskeres“k legfrissebb verzi¢ival ‚s v”rus- adatb zisaival ellen“riztk: * DOS * k‚t "nemzetk”zi" keres“vel: F-Prot Tbav * ‚s egy magyarral: VirusBuster * Windows Norton Antivirus F-Secure Antivirus Az‚rt v lasztottuk e keres“k DOS-os v ltozatait, mert b r m r t”bb mint hat ‚vvel ezel“tt megjelent a Windows 95, de a v”ruskeres“knek m‚g mindig a DOS-os v ltozatai a megb”zhat¢bbak a keres‚s eredm‚nyess‚ge szempontj b¢l. Mindk‚t v”rusunk dr maian igazolta ezt a - sz munkra - akkor m‚g ismeretlen t‚nyt, amit az¢ta szerzett tapasztalataink sem c foltak meg. 2000 tavasz t¢l a Mcafee Scan Windows v ltozat t haszn ltuk, mert a gy rt¢ a DOS-os v ltozathoz tartoz¢ v”rus-adatb zist m r nem friss”ti. Ezt v ltotta fel a Norton Antivirus 2001 nyar n. A vizsg lathoz haszn lt v”ruskeres“k verzi¢sz ma, v”rus-adatb zisaik d tuma ‚s a keres“ket ind”t¢ parancssorok megtal lhat¢k a napl¢file-jaikban (*.log). A dupla CD-mell‚kletnk k‚t korongj ra kerl“ anyagot kl”n vizsg ltuk. A VirusBuster nem ”rja be a parancssor t a napl¢file-j ba. Ezt a keres“t az ”sszes file vizsg lat ra, "alapos" (nem r”vid ‚s nem teljes v‚gigolvas ssal j r¢) ellen“rz‚sre k‚rve, ‚s az  ltal nos illetve makr¢ heurisztik j t "norm l" ‚rz‚kenys‚g–re  ll”tva ind”tottuk. Ahol a DOS-os keres“k a sz mukra t£l hossz£ el‚r‚si £tvonal (path), vagy egy file furcsa neve miatt esetleg nem tudtak megvizsg lni egyes file-okat, ott kl”n l‚p‚sben ezeket is megvizsg ltuk. A napl¢file-okban tal lt gyan£s eseteket megvizsg ltuk, a programokat elind”tottuk ‚s a Tbav rezidens (mem¢ri ban marad¢), a programok tev‚kenys‚g‚t figyel“ v”rusv‚delmi programjaival felfegyverkezve figyeltk viselked‚sket. Ennek sor n nem ‚szleltnk v”rusra utal¢ tev‚kenys‚get. Ezut n ”sszehasonl”tottuk a merevlemez  llapot t a gyan£s file-ok futtat s t megel“z“  llapottal. A v ltoz sok (megv ltozott a BOOTLOG.TXT file tartalma stb.) egyike sem utalt v”rusra. A CD-re kerl“ anyagot mindezek alapj n "tiszt nak" tal ltuk. Tanuls gok ÄÄÄÄÄÄÄÄÄÄ Az £j programokkal, Excel- ‚s Word-dokumentumokkal, valamint m s potenci lis makr¢v”rus-hordoz¢ adatfile-okkal szembeni ¢vatoss g mindenk‚ppen aj nlatos. Az adatveszt‚sek t”bb mint 90%- t egy‚bk‚nt nem v”rusok okozz k, hanem hardverhib k ‚s emberi figyelmetlens‚g, ezek pedig b rmikor bek”vetkezhetnek. Ez‚rt mindenkinek azt javasoljuk tov bbra is, hogy rendszeresen mentse (backupolja) adatait (ezeket sokkal nehezebb p¢tolni, mint a programokat), ‚s - ha teheti - g‚pe teljes tartalm t is, hiszen egy g‚p esetleges teljes £jratelep”t‚se  ltal ban nagyon sok id“be kerl. rdemes v‚gigfutni a v”ruskeres“k napl¢file-jait, tanuls gosak! Akit ‚rdekel, az a vakriaszt sok t”bbs‚g‚re megtal lja a magyar zatot a meggyan£s”tott file-okhoz tartoz¢ le”r sokban. A mem¢riarezidens programokat p‚ld ul joggal gyan£s”tj k a keres“k azzal, hogy mem¢ri ban akarnak maradni... =============================================================================== Virus scanning report - 9. January 2002 20:30 F-PROT 3.11b SIGN.DEF created 7. January 2002 SIGN2.DEF created 7. January 2002 MACRO.DEF created 7. January 2002 Search: . Action: Report only Files: Attempt to identify files Switches: /PACKED /REPORT=d:\av\fprot.log No viruses found in memory. No viruses were found in MBRs or hard disk boot sectors. D:\CD\PROFI\PROFIDEM\CLOCK.SS could be a boot sector virus dropper D:\CD\PROFI\TARSAS-D\CLOCK.SS could be a boot sector virus dropper D:\CD\PROFI\RAKTAR-D\CLOCK.SS could be a boot sector virus dropper Results of virus scanning: Files: 7401 MBRs: 2 Boot sectors: 2 Objects scanned: 7394 Infected: 0 Suspicious: 3 Disinfected: 0 Deleted: 0 Renamed: 0 Time: 6:58 =============================================================================== Keres‚si jelent‚s 2002. janu r 09. 20:22:40 Be ll”t sok -------------------------------------------------------------------------------- Objektumok: D:\cd Teend“: Keres‚s ut n r k‚rdez Keres‚si be ll”t sok: Minden f jl ellen“rz‚se Keres‚s t”m”r”tett  llom nyokban: nem Keres“magok: F-Secure F-PROT: 3.10.203, 2002-01-08 10:18:15 F-Secure AVP: 3.55.160.3203, 2002-01-08 10:18:15 Eredm‚nyek -------------------------------------------------------------------------------- Boot szektorok Vizsg lt: 0 Fert“z”tt: 0 Gyan£s: 0 V”rusmentes”tett: 0 F jlok Vizsg lt: 7401 Fert“z”tt: 4 Gyan£s: 0 V”rusmentes”tett: 0 tnevezett: 0 T”r”lt: 0 Karant‚nba kerlt: 0 Jelent‚s -------------------------------------------------------------------------------- D:\cd\os2\net\SCACHE~1\SRC\MGR.JAV Fert“z‚s: Val¢sz”n–leg ismeretlen v”russal fert“z”tt D:\cd\profi\PROFIDEM\CLOCK.SS Fert“z‚s: Possibly a boot sector virus dropper D:\cd\profi\TARSAS-D\CLOCK.SS Fert“z‚s: Possibly a boot sector virus dropper D:\cd\profi\RAKTAR-D\CLOCK.SS Fert“z‚s: Possibly a boot sector virus dropper -------------------------------------------------------------------------------- =============================================================================== Date: 2002.01.09., Time: 19:52:34, mcadam on OUTSIDER Virus scan started. Date: 2002.01.09., Time: 20:00:04, mcadam on OUTSIDER Virus scanning completed. Master boot records: Scanned: 2 Infected: 0 Repaired: 0 Boot records: Scanned: 2 Infected: 0 Repaired: 0 Files: Scanned: 7401 Infected: 0 Repaired: 0 Quar'ed: 0 Deleted: 0 =============================================================================== Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.Œ TbScan report, 01-09-2002 20:39:20 Parameters: . hr hm lo ln=d:\av\tbav.log ** Unregistered evaluation version. Do not forget to register! ** D:\CD\PROFI\PROFIDEM\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. D:\CD\PROFI\TARSAS-D\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. D:\CD\PROFI\RAKTAR-D\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. D:\CD\PROFI\2S-DEMO\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. Found 7401 files in 1120 directories, 597 files seem to be executable. 0 files were checked for changes, 0 files have been changed. 4 files are infected by one or more viruses =============================================================================== VirusBuster v10.02.016 - DOS v ltozat ßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßßß (c) 1988-2001. VirusBuster Kft. Minden jog fenntartva. World Wide Web URL: http://www.vbuster.hu V”rus adatb zis: 7.78 - 2002. Janu r 08. Oper ci¢s rendszer: MS-Windows 98 Mem¢ria ellen‹rz‚se... rendben. Keres‚s elindult: 2002. Janu r 09. 20:40:03 Keres‚si terletek: part”ci¢s t bla, boot szektor, alk”nyvt rak,  llom nyok Kijel”lt  llom nyok: mindegyik. Keres‚si minta: "*.*" Keres‚s: alapos heurisztika: norm l makr¢ heurisztika: norm l Diszk olvas si m¢dok: BIOS h”v sokkal, OS h”v sokkal Nem irthat¢ v”rusok eset‚n: File meghagy sa Gyan£s programok: File meghagy sa Gyan£s dokumentumok: File meghagy sa Karant‚n: "D:\AV\PROG\VB91\VIRUSOK" µtmeneti k”nyvt r: "C:\TEMP" C: fizikai drive MBOOT rekord ellen‹rz‚se D: fizikai drive MBOOT rekord ellen‹rz‚se D:\ boot rekord ellen‹rz‚se Keres‚s le llt: 2002. Janu r 09. 20:48:53 A keres‚s id‹tartama: 00:08:50 Nincs felismerhet‹ v”rus. Terlet ³ File Directory Egy‚b ³ ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄÄÄÄÄÄÄÄÄÄÅÄÄÄÄÄÄÄÄÄÄÄÄ ellen‹rz”tt ³ 7401 1120 packer ³ 0 fert‹z”tt ³ 0 0 immunizer ³ 0 gyan£s ³ 0 0 kiirtva ³ 0 0 t”r”lve ³ 0 -  tmozgatva ³ 0 -  tnevezve ³ 0 -