A 115. CHIP-CD VAKRIASZTÁS LISTÁJA 1997-es júliusi és októberi CD-nken is elôfordult vírus. A CHIP Magazinban beszámoltunk a részletekrôl. Mindkét eset fontos tanulságokkal szolgált számunkra, és ennek nyomán módosítottunk CD-ink "gyártástechnológiáján". Többek közt fontosnak érezzük azt, hogy minden CD-nken közzétegyük a végsô vírusellenôrzésünk eredményeit. (A CD-kre kerülô anyagokat munka közben is ellenôrizzük. Ennek során már többször is találtunk vírust.) Az ellenôrzés módszere és eredménye ----------------------------------- A CD-re kerülô anyagot egy külön merevlemezre másoltuk. Az anyag sok tömörített file-t tartalmaz. Ezeket kibontottuk, mindegyik file-t külön könyvtárba. A kibontott anyagban található tömörített file-okat is kibontottuk, és így tovább (rekurzív kibontás). A CD így kapott "teljes" tartalmát az alábbi DOS-os víruskeresôk legfrissebb verzióival és vírus-adatbázisaival ellenôriztük: * négy "nemzetközi" keresôvel: F-Macro F-Prot Norton Antivirus Tbav * és egy magyarral: VirusBuster Azért választottuk e keresôk DOS-os változatait, mert bár már több mint hat évvel ezelôtt megjelent a Windows 95, de a víruskeresôknek még mindig a DOS-os változatai a megbízhatóbbak a keresés eredményessége szempontjából. Mindkét vírusunk drámaian igazolta ezt a - számunkra - akkor még ismeretlen tényt, amit azóta szerzett tapasztalataink sem cáfoltak meg. A vizsgálathoz használt víruskeresôk verziószáma, vírus-adatbázisaik dátuma és a keresôket indító parancssorok megtalálhatók a naplófile-jaikban (*.log). A dupla CD-mellékletünk két korongjára kerülô anyagot külön vizsgáltuk. A VirusBuster nem írja be a parancssorát a naplófile-jába. Ezt a keresôt az összes file vizsgálatára, "alapos" (nem rövid és nem teljes végigolvasással járó) ellenôrzésre kérve, és az általános illetve makró heurisztikáját "normál" érzékenységûre állítva indítottuk. Ahol a DOS-os keresôk a számukra túl hosszú elérési útvonal (path), vagy egy file furcsa neve miatt esetleg nem tudtak megvizsgálni egyes file-okat, ott külön lépésben ezeket is megvizsgáltuk. A naplófile-okban talált gyanús eseteket megvizsgáltuk, a programokat elindítottuk és a Tbav rezidens (memóriában maradó), a programok tevékenységét figyelô vírusvédelmi programjaival felfegyverkezve figyeltük viselkedésüket. Ennek során nem észleltünk vírusra utaló tevékenységet. Ezután összehasonlítottuk a merevlemez állapotát a gyanús file-ok futtatását megelôzô állapottal. A változások (megváltozott a BOOTLOG.TXT file tartalma stb.) egyike sem utalt vírusra. A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk. Tanulságok ---------- Az új programokkal, Excel- és Word-dokumentumokkal, valamint más potenciális makróvírus-hordozó adatfile-okkal szembeni óvatosság mindenképpen ajánlatos. Az adatvesztések több mint 90%-át egyébként nem vírusok okozzák, hanem hardverhibák és emberi figyelmetlenség, ezek pedig bármikor bekövetkezhetnek. Ezért mindenkinek azt javasoljuk továbbra is, hogy rendszeresen mentse (backupolja) adatait (ezeket sokkal nehezebb pótolni, mint a programokat), és - ha teheti - gépe teljes tartalmát is, hiszen egy gép esetleges teljes újratelepítése általában nagyon sok idôbe kerül. Érdemes végigfutni a víruskeresôk naplófile-jait, tanulságosak! Akit érdekel, az a vakriasztások többségére megtalálja a magyarázatot a meggyanúsított file-okhoz tartozó leírásokban. A memóriarezidens programokat például joggal gyanúsítják a keresôk azzal, hogy memóriában akarnak maradni... =============================================================================== Virus scanning report - 9. January 2002 20:30 F-PROT 3.11b SIGN.DEF created 7. January 2002 SIGN2.DEF created 7. January 2002 MACRO.DEF created 7. January 2002 Search: . Action: Report only Files: Attempt to identify files Switches: /PACKED /REPORT=d:\av\fprot.log No viruses found in memory. No viruses were found in MBRs or hard disk boot sectors. D:\CD\PROFI\PROFIDEM\CLOCK.SS could be a boot sector virus dropper D:\CD\PROFI\TARSAS-D\CLOCK.SS could be a boot sector virus dropper D:\CD\PROFI\RAKTAR-D\CLOCK.SS could be a boot sector virus dropper Results of virus scanning: Files: 7401 MBRs: 2 Boot sectors: 2 Objects scanned: 7394 Infected: 0 Suspicious: 3 Disinfected: 0 Deleted: 0 Renamed: 0 Time: 6:58 =============================================================================== Keresési jelentés 2002. január 09. 20:22:40 Beállítások -------------------------------------------------------------------------------- Objektumok: D:\cd Teendô: Keresés után rákérdez Keresési beállítások: Minden fájl ellenôrzése Keresés tömörített állományokban: nem Keresômagok: F-Secure F-PROT: 3.10.203, 2002-01-08 10:18:15 F-Secure AVP: 3.55.160.3203, 2002-01-08 10:18:15 Eredmények -------------------------------------------------------------------------------- Boot szektorok Vizsgált: 0 Fertôzött: 0 Gyanús: 0 Vírusmentesített: 0 Fájlok Vizsgált: 7401 Fertôzött: 4 Gyanús: 0 Vírusmentesített: 0 Átnevezett: 0 Törölt: 0 Karanténba került: 0 Jelentés -------------------------------------------------------------------------------- D:\cd\os2\net\SCACHE~1\SRC\MGR.JAV Fertôzés: Valószínûleg ismeretlen vírussal fertôzött D:\cd\profi\PROFIDEM\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper D:\cd\profi\TARSAS-D\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper D:\cd\profi\RAKTAR-D\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper -------------------------------------------------------------------------------- =============================================================================== Date: 2002.01.09., Time: 19:52:34, mcadam on OUTSIDER Virus scan started. Date: 2002.01.09., Time: 20:00:04, mcadam on OUTSIDER Virus scanning completed. Master boot records: Scanned: 2 Infected: 0 Repaired: 0 Boot records: Scanned: 2 Infected: 0 Repaired: 0 Files: Scanned: 7401 Infected: 0 Repaired: 0 Quar'ed: 0 Deleted: 0 =============================================================================== Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.Í TbScan report, 01-09-2002 20:39:20 Parameters: . hr hm lo ln=d:\av\tbav.log ** Unregistered evaluation version. Do not forget to register! ** D:\CD\PROFI\PROFIDEM\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. D:\CD\PROFI\TARSAS-D\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. D:\CD\PROFI\RAKTAR-D\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. D:\CD\PROFI\2S-DEMO\INSTALL.COM might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. N Wrong name extension. Extension conflicts with program structure. # Found a code decryption routine or debugger trap. This is common for viruses but also for some copy-protected software. t Program contains a time or date triggered event. Found 7401 files in 1120 directories, 597 files seem to be executable. 0 files were checked for changes, 0 files have been changed. 4 files are infected by one or more viruses =============================================================================== VirusBuster v10.02.016 - DOS változat ==================================== (c) 1988-2001. VirusBuster Kft. Minden jog fenntartva. World Wide Web URL: http://www.vbuster.hu Vírus adatbázis: 7.78 - 2002. Január 08. Operációs rendszer: MS-Windows 98 Memória ellenôrzése... rendben. Keresés elindult: 2002. Január 09. 20:40:03 Keresési területek: partíciós tábla, boot szektor, alkönyvtárak, állományok Kijelölt állományok: mindegyik. Keresési minta: "*.*" Keresés: alapos heurisztika: normál makró heurisztika: normál Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal Nem irtható vírusok esetén: File meghagyása Gyanús programok: File meghagyása Gyanús dokumentumok: File meghagyása Karantén: "D:\AV\PROG\VB91\VIRUSOK" Átmeneti könyvtár: "C:\TEMP" C: fizikai drive MBOOT rekord ellenôrzése D: fizikai drive MBOOT rekord ellenôrzése D:\ boot rekord ellenôrzése Keresés leállt: 2002. Január 09. 20:48:53 A keresés idôtartama: 00:08:50 Nincs felismerhetô vírus. Terület | File Directory Egyéb | ---------------+------------------------- -------------+------------ ellenôrzött | 7401 1120 packer | 0 fertôzött | 0 0 immunizer | 0 gyanús | 0 0 kiirtva | 0 0 törölve | 0 - átmozgatva | 0 - átnevezve | 0 - |