home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 2002 February
/
chip_20022115.iso
/
antivir
/
virtest.txt
< prev
Wrap
Text File
|
2002-01-10
|
11KB
|
309 lines
Vírusvadászat
─────────────
1997-es júliusi és októberi CD-nken is elôfordult vírus. A
CHIP Magazinban beszámoltunk a részletekrôl. Mindkét eset
fontos tanulságokkal szolgált számunkra, és ennek nyomán
módosítottunk CD-ink "gyártástechnológiáján".
Többek közt fontosnak érezzük azt, hogy minden CD-nken
közzétegyük a végsô vírusellenôrzésünk eredményeit. (A
CD-kre kerülô anyagokat munka közben is ellenôrizzük.
Ennek során már többször is találtunk vírust.)
Az ellenôrzés módszere és eredménye
───────────────────────────────────
A CD-re kerülô anyagot egy külön merevlemezre másoltuk. Az
anyag sok tömörített file-t tartalmaz. Ezeket kibontottuk,
mindegyik file-t külön könyvtárba. A kibontott anyagban
található tömörített file-okat is kibontottuk, és így
tovább (rekurzív kibontás).
A CD így kapott "teljes" tartalmát az alábbi DOS-os
és Windows-s víruskeresôk legfrissebb verzióival és vírus-
adatbázisaival ellenôriztük:
* DOS
* két "nemzetközi" keresôvel:
F-Prot
Tbav
* és egy magyarral:
VirusBuster
* Windows
Norton Antivirus
F-Secure Antivirus
Azért választottuk e keresôk DOS-os változatait, mert bár
már több mint hat évvel ezelôtt megjelent a Windows 95,
de a víruskeresôknek még mindig a DOS-os változatai a
megbízhatóbbak a keresés eredményessége szempontjából.
Mindkét vírusunk drámaian igazolta ezt a - számunkra -
akkor még ismeretlen tényt, amit azóta szerzett
tapasztalataink sem cáfoltak meg.
2000 tavaszától a Mcafee Scan Windows változatát használtuk,
mert a gyártó a DOS-os változathoz tartozó vírus-adatbázist
már nem frissíti. Ezt váltotta fel a Norton Antivirus 2001
nyarán.
A vizsgálathoz használt víruskeresôk verziószáma,
vírus-adatbázisaik dátuma és a keresôket indító
parancssorok megtalálhatók a naplófile-jaikban (*.log). A
dupla CD-mellékletünk két korongjára kerülô anyagot külön
vizsgáltuk.
A VirusBuster nem írja be a parancssorát a naplófile-jába.
Ezt a keresôt az összes file vizsgálatára, "alapos" (nem
rövid és nem teljes végigolvasással járó) ellenôrzésre
kérve, és az általános illetve makró heurisztikáját
"normál" érzékenységûre állítva indítottuk.
Ahol a DOS-os keresôk a számukra túl hosszú elérési útvonal
(path), vagy egy file furcsa neve miatt esetleg nem tudtak
megvizsgálni egyes file-okat, ott külön lépésben ezeket is
megvizsgáltuk.
A naplófile-okban talált gyanús eseteket megvizsgáltuk, a
programokat elindítottuk és a Tbav rezidens (memóriában
maradó), a programok tevékenységét figyelô vírusvédelmi
programjaival felfegyverkezve figyeltük viselkedésüket.
Ennek során nem észleltünk vírusra utaló tevékenységet.
Ezután összehasonlítottuk a merevlemez állapotát a gyanús
file-ok futtatását megelôzô állapottal. A változások
(megváltozott a BOOTLOG.TXT file tartalma stb.) egyike sem
utalt vírusra.
A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk.
Tanulságok
──────────
Az új programokkal, Excel- és Word-dokumentumokkal,
valamint más potenciális makróvírus-hordozó adatfile-okkal
szembeni óvatosság mindenképpen ajánlatos.
Az adatvesztések több mint 90%-át egyébként nem vírusok
okozzák, hanem hardverhibák és emberi figyelmetlenség, ezek
pedig bármikor bekövetkezhetnek. Ezért mindenkinek azt
javasoljuk továbbra is, hogy rendszeresen mentse
(backupolja) adatait (ezeket sokkal nehezebb pótolni, mint
a programokat), és - ha teheti - gépe teljes tartalmát is,
hiszen egy gép esetleges teljes újratelepítése általában
nagyon sok idôbe kerül.
Érdemes végigfutni a víruskeresôk naplófile-jait,
tanulságosak! Akit érdekel, az a vakriasztások többségére
megtalálja a magyarázatot a meggyanúsított file-okhoz
tartozó leírásokban. A memóriarezidens programokat például
joggal gyanúsítják a keresôk azzal, hogy memóriában akarnak
maradni...
===============================================================================
Virus scanning report - 9. January 2002 20:30
F-PROT 3.11b
SIGN.DEF created 7. January 2002
SIGN2.DEF created 7. January 2002
MACRO.DEF created 7. January 2002
Search: .
Action: Report only
Files: Attempt to identify files
Switches: /PACKED /REPORT=d:\av\fprot.log
No viruses found in memory.
No viruses were found in MBRs or hard disk boot sectors.
D:\CD\PROFI\PROFIDEM\CLOCK.SS could be a boot sector virus dropper
D:\CD\PROFI\TARSAS-D\CLOCK.SS could be a boot sector virus dropper
D:\CD\PROFI\RAKTAR-D\CLOCK.SS could be a boot sector virus dropper
Results of virus scanning:
Files: 7401
MBRs: 2
Boot sectors: 2
Objects scanned: 7394
Infected: 0
Suspicious: 3
Disinfected: 0
Deleted: 0
Renamed: 0
Time: 6:58
===============================================================================
Keresési jelentés
2002. január 09. 20:22:40
Beállítások
--------------------------------------------------------------------------------
Objektumok:
D:\cd
Teendô:
Keresés után rákérdez
Keresési beállítások:
Minden fájl ellenôrzése
Keresés tömörített állományokban: nem
Keresômagok:
F-Secure F-PROT: 3.10.203, 2002-01-08 10:18:15
F-Secure AVP: 3.55.160.3203, 2002-01-08 10:18:15
Eredmények
--------------------------------------------------------------------------------
Boot szektorok
Vizsgált: 0
Fertôzött: 0
Gyanús: 0
Vírusmentesített: 0
Fájlok
Vizsgált: 7401
Fertôzött: 4
Gyanús: 0
Vírusmentesített: 0
Åtnevezett: 0
Törölt: 0
Karanténba került: 0
Jelentés
--------------------------------------------------------------------------------
D:\cd\os2\net\SCACHE~1\SRC\MGR.JAV Fertôzés: Valószínûleg ismeretlen vírussal fertôzött
D:\cd\profi\PROFIDEM\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper
D:\cd\profi\TARSAS-D\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper
D:\cd\profi\RAKTAR-D\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper
--------------------------------------------------------------------------------
===============================================================================
Date: 2002.01.09., Time: 19:52:34, mcadam on OUTSIDER
Virus scan started.
Date: 2002.01.09., Time: 20:00:04, mcadam on OUTSIDER
Virus scanning completed.
Master boot records:
Scanned: 2
Infected: 0
Repaired: 0
Boot records:
Scanned: 2
Infected: 0
Repaired: 0
Files:
Scanned: 7401
Infected: 0
Repaired: 0
Quar'ed: 0
Deleted: 0
===============================================================================
Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.î
TbScan report, 01-09-2002 20:39:20
Parameters: . hr hm lo ln=d:\av\tbav.log
** Unregistered evaluation version. Do not forget to register! **
D:\CD\PROFI\PROFIDEM\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI\TARSAS-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI\RAKTAR-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI\2S-DEMO\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
Found 7401 files in 1120 directories, 597 files seem to be executable.
0 files were checked for changes, 0 files have been changed.
4 files are infected by one or more viruses
===============================================================================
VirusBuster v10.02.016 - DOS változat
▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
(c) 1988-2001. VirusBuster Kft. Minden jog fenntartva.
World Wide Web URL: http://www.vbuster.hu
Vírus adatbázis: 7.78 - 2002. Január 08.
Operációs rendszer: MS-Windows 98
Memória ellenïrzése... rendben.
Keresés elindult: 2002. Január 09. 20:40:03
Keresési területek:
partíciós tábla, boot szektor, alkönyvtárak, állományok
Kijelölt állományok:
mindegyik.
Keresési minta:
"*.*"
Keresés: alapos
heurisztika: normál
makró heurisztika: normál
Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal
Nem irtható vírusok esetén: File meghagyása
Gyanús programok: File meghagyása
Gyanús dokumentumok: File meghagyása
Karantén: "D:\AV\PROG\VB91\VIRUSOK"
╡tmeneti könyvtár: "C:\TEMP"
C: fizikai drive MBOOT rekord ellenïrzése
D: fizikai drive MBOOT rekord ellenïrzése
D:\ boot rekord ellenïrzése
Keresés leállt: 2002. Január 09. 20:48:53
A keresés idïtartama: 00:08:50
Nincs felismerhetï vírus.
Terület │ File Directory Egyéb │
───────────────┼───────────────────────── ─────────────┼────────────
ellenïrzött │ 7401 1120 packer │ 0
fertïzött │ 0 0 immunizer │ 0
gyanús │ 0 0
kiirtva │ 0 0
törölve │ 0 -
átmozgatva │ 0 -
átnevezve │ 0 -