home *** CD-ROM | disk | FTP | other *** search
/ Chip 2002 February / chip_20022115.iso / antivir / virtest.txt < prev   
Text File  |  2002-01-10  |  11KB  |  309 lines
  1.  
  2.  
  3.  
  4.                                 Vírusvadászat
  5.                                 ─────────────
  6.  
  7.          1997-es júliusi és októberi CD-nken is elôfordult vírus.   A
  8.          CHIP Magazinban beszámoltunk  a részletekrôl.   Mindkét eset
  9.          fontos  tanulságokkal  szolgált  számunkra,  és ennek nyomán
  10.          módosítottunk CD-ink "gyártástechnológiáján".
  11.  
  12.          Többek  közt  fontosnak  érezzük  azt,  hogy  minden CD-nken
  13.          közzétegyük  a  végsô  vírusellenôrzésünk  eredményeit.   (A
  14.          CD-kre  kerülô  anyagokat  munka  közben  is   ellenôrizzük.
  15.          Ennek során már többször is találtunk vírust.)
  16.  
  17.  
  18.                      Az ellenôrzés módszere és eredménye
  19.                      ───────────────────────────────────
  20.  
  21.          A CD-re kerülô anyagot egy külön merevlemezre másoltuk.   Az
  22.          anyag sok tömörített  file-t tartalmaz. Ezeket  kibontottuk,
  23.          mindegyik  file-t  külön  könyvtárba.   A kibontott anyagban
  24.          található  tömörített  file-okat  is  kibontottuk,  és   így
  25.          tovább (rekurzív kibontás).
  26.  
  27.          A  CD  így  kapott  "teljes"  tartalmát  az  alábbi   DOS-os
  28.          és Windows-s víruskeresôk  legfrissebb verzióival és  vírus-
  29.          adatbázisaival ellenôriztük:
  30.           
  31.                * DOS
  32.  
  33.                    * két "nemzetközi" keresôvel:
  34.                                               F-Prot
  35.                                               Tbav
  36.                    * és egy magyarral:
  37.                                               VirusBuster
  38.  
  39.                * Windows
  40.                                               Norton Antivirus
  41.                                               F-Secure Antivirus
  42.  
  43.  
  44.          Azért választottuk  e keresôk  DOS-os változatait,  mert bár
  45.          már több mint  hat  évvel  ezelôtt  megjelent a Windows  95,
  46.          de  a  víruskeresôknek  még  mindig  a  DOS-os  változatai a
  47.          megbízhatóbbak  a   keresés  eredményessége   szempontjából.
  48.          Mindkét  vírusunk  drámaian  igazolta  ezt  a  - számunkra -
  49.          akkor   még   ismeretlen   tényt,   amit   azóta    szerzett
  50.          tapasztalataink sem cáfoltak meg.
  51.  
  52.          2000 tavaszától a Mcafee Scan Windows változatát használtuk,
  53.          mert a gyártó a DOS-os változathoz  tartozó vírus-adatbázist
  54.          már nem frissíti. Ezt váltotta fel a  Norton  Antivirus 2001
  55.          nyarán.
  56.      
  57.          A   vizsgálathoz    használt    víruskeresôk    verziószáma,
  58.          vírus-adatbázisaik   dátuma    és   a    keresôket    indító
  59.          parancssorok megtalálhatók a  naplófile-jaikban (*.log).   A
  60.          dupla CD-mellékletünk  két korongjára  kerülô anyagot  külön
  61.          vizsgáltuk.
  62.  
  63.          A VirusBuster nem írja  be a parancssorát a  naplófile-jába.
  64.          Ezt a  keresôt az  összes file  vizsgálatára, "alapos"  (nem
  65.          rövid  és  nem  teljes  végigolvasással  járó)  ellenôrzésre
  66.          kérve,  és   az  általános   illetve  makró   heurisztikáját
  67.          "normál" érzékenységûre állítva indítottuk.
  68.  
  69.          Ahol a DOS-os keresôk a számukra túl hosszú elérési  útvonal
  70.          (path), vagy egy file  furcsa neve miatt esetleg  nem tudtak
  71.          megvizsgálni egyes file-okat,  ott külön lépésben  ezeket is
  72.          megvizsgáltuk.
  73.  
  74.          A naplófile-okban  talált gyanús  eseteket megvizsgáltuk,  a
  75.          programokat  elindítottuk  és  a  Tbav  rezidens (memóriában
  76.          maradó),  a  programok  tevékenységét  figyelô  vírusvédelmi
  77.          programjaival  felfegyverkezve   figyeltük   viselkedésüket.
  78.          Ennek során nem észleltünk vírusra utaló tevékenységet.
  79.  
  80.          Ezután összehasonlítottuk  a merevlemez  állapotát a  gyanús
  81.          file-ok  futtatását  megelôzô   állapottal.   A   változások
  82.          (megváltozott a BOOTLOG.TXT  file tartalma stb.)  egyike sem
  83.          utalt vírusra.
  84.  
  85.          A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk.
  86.  
  87.  
  88.                                  Tanulságok
  89.                                  ──────────
  90.  
  91.          Az   új   programokkal,   Excel-   és  Word-dokumentumokkal,
  92.          valamint más  potenciális makróvírus-hordozó  adatfile-okkal
  93.          szembeni óvatosság mindenképpen ajánlatos.
  94.  
  95.          Az  adatvesztések  több  mint  90%-át  egyébként nem vírusok
  96.          okozzák, hanem hardverhibák és emberi figyelmetlenség,  ezek
  97.          pedig  bármikor  bekövetkezhetnek.   Ezért  mindenkinek  azt
  98.          javasoljuk   továbbra   is,    hogy   rendszeresen    mentse
  99.          (backupolja) adatait (ezeket  sokkal nehezebb pótolni,  mint
  100.          a programokat), és - ha  teheti - gépe teljes tartalmát  is,
  101.          hiszen  egy  gép  esetleges  teljes újratelepítése általában
  102.          nagyon sok idôbe kerül.
  103.  
  104.          Érdemes   végigfutni    a    víruskeresôk    naplófile-jait,
  105.          tanulságosak!  Akit  érdekel, az a  vakriasztások többségére
  106.          megtalálja  a  magyarázatot   a  meggyanúsított   file-okhoz
  107.          tartozó leírásokban.  A memóriarezidens programokat  például
  108.          joggal gyanúsítják a keresôk azzal, hogy memóriában  akarnak
  109.          maradni...
  110. ===============================================================================
  111.  
  112. Virus scanning report  -  9. January 2002   20:30
  113.  
  114. F-PROT 3.11b
  115. SIGN.DEF created 7. January 2002
  116. SIGN2.DEF created 7. January 2002
  117. MACRO.DEF created 7. January 2002
  118.  
  119. Search: .
  120. Action: Report only
  121. Files: Attempt to identify files
  122. Switches: /PACKED /REPORT=d:\av\fprot.log
  123. No viruses found in memory.
  124. No viruses were found in MBRs or hard disk boot sectors.
  125.  
  126. D:\CD\PROFI\PROFIDEM\CLOCK.SS  could be a boot sector virus dropper
  127. D:\CD\PROFI\TARSAS-D\CLOCK.SS  could be a boot sector virus dropper
  128. D:\CD\PROFI\RAKTAR-D\CLOCK.SS  could be a boot sector virus dropper
  129.  
  130. Results of virus scanning:
  131.  
  132. Files: 7401
  133. MBRs: 2
  134. Boot sectors: 2
  135. Objects scanned: 7394
  136. Infected: 0
  137. Suspicious: 3
  138. Disinfected: 0
  139. Deleted: 0
  140. Renamed: 0
  141.  
  142. Time: 6:58
  143. ===============================================================================
  144.  
  145. Keresési jelentés
  146. 2002. január 09. 20:22:40
  147.  
  148. Beállítások
  149.  
  150. --------------------------------------------------------------------------------
  151. Objektumok:
  152. D:\cd 
  153. Teendô:
  154. Keresés után rákérdez 
  155. Keresési beállítások: 
  156. Minden fájl ellenôrzése 
  157. Keresés tömörített állományokban: nem 
  158. Keresômagok:
  159. F-Secure F-PROT: 3.10.203, 2002-01-08 10:18:15 
  160. F-Secure AVP: 3.55.160.3203, 2002-01-08 10:18:15 
  161. Eredmények
  162.  
  163. --------------------------------------------------------------------------------
  164. Boot szektorok 
  165. Vizsgált: 0 
  166. Fertôzött: 0 
  167. Gyanús: 0 
  168. Vírusmentesített: 0 
  169. Fájlok 
  170. Vizsgált: 7401 
  171. Fertôzött: 4 
  172. Gyanús: 0 
  173. Vírusmentesített: 0 
  174. Åtnevezett: 0 
  175. Törölt: 0 
  176. Karanténba került: 0 
  177. Jelentés
  178.  
  179. --------------------------------------------------------------------------------
  180.  
  181. D:\cd\os2\net\SCACHE~1\SRC\MGR.JAV Fertôzés: Valószínûleg ismeretlen vírussal fertôzött 
  182. D:\cd\profi\PROFIDEM\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper 
  183. D:\cd\profi\TARSAS-D\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper 
  184. D:\cd\profi\RAKTAR-D\CLOCK.SS Fertôzés: Possibly a boot sector virus dropper 
  185.  
  186.  
  187. --------------------------------------------------------------------------------
  188. ===============================================================================
  189.  
  190. Date: 2002.01.09., Time: 19:52:34, mcadam on OUTSIDER
  191. Virus scan started.
  192.  
  193. Date: 2002.01.09., Time: 20:00:04, mcadam on OUTSIDER
  194. Virus scanning completed.
  195. Master boot records:
  196.     Scanned:        2
  197.     Infected:        0
  198.     Repaired:        0
  199. Boot records:
  200.     Scanned:        2
  201.     Infected:        0
  202.     Repaired:        0
  203. Files:
  204.     Scanned:        7401
  205.     Infected:        0
  206.     Repaired:        0
  207.     Quar'ed:        0
  208.     Deleted:        0
  209.  
  210. ===============================================================================
  211.  
  212.  Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.î
  213.  
  214. TbScan report,  01-09-2002  20:39:20
  215.  
  216. Parameters:  . hr hm lo ln=d:\av\tbav.log
  217.  
  218. ** Unregistered evaluation version. Do not forget to register! **
  219.  
  220. D:\CD\PROFI\PROFIDEM\INSTALL.COM might be infected by an unknown virus
  221. c  No checksum / recovery information (Anti-Vir.Dat) available.
  222. N  Wrong name extension. Extension conflicts with program structure.
  223. #  Found a code decryption routine or debugger trap.  This is common
  224.    for viruses but also for some copy-protected software.
  225. t  Program contains a time or date triggered event.
  226.  
  227.  
  228. D:\CD\PROFI\TARSAS-D\INSTALL.COM might be infected by an unknown virus
  229. c  No checksum / recovery information (Anti-Vir.Dat) available.
  230. N  Wrong name extension. Extension conflicts with program structure.
  231. #  Found a code decryption routine or debugger trap.  This is common
  232.    for viruses but also for some copy-protected software.
  233. t  Program contains a time or date triggered event.
  234.  
  235.  
  236. D:\CD\PROFI\RAKTAR-D\INSTALL.COM might be infected by an unknown virus
  237. c  No checksum / recovery information (Anti-Vir.Dat) available.
  238. N  Wrong name extension. Extension conflicts with program structure.
  239. #  Found a code decryption routine or debugger trap.  This is common
  240.    for viruses but also for some copy-protected software.
  241. t  Program contains a time or date triggered event.
  242.  
  243.  
  244. D:\CD\PROFI\2S-DEMO\INSTALL.COM might be infected by an unknown virus
  245. c  No checksum / recovery information (Anti-Vir.Dat) available.
  246. N  Wrong name extension. Extension conflicts with program structure.
  247. #  Found a code decryption routine or debugger trap.  This is common
  248.    for viruses but also for some copy-protected software.
  249. t  Program contains a time or date triggered event.
  250.  
  251.  
  252.  
  253.  
  254. Found 7401 files in 1120 directories, 597 files seem to be executable.
  255. 0 files were checked for changes, 0 files have been changed.
  256.  
  257. 4 files are infected by one or more viruses
  258.  
  259. ===============================================================================
  260.  
  261. VirusBuster v10.02.016 - DOS változat
  262. ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
  263. (c) 1988-2001. VirusBuster Kft. Minden jog fenntartva.
  264.                World Wide Web URL: http://www.vbuster.hu
  265.  
  266. Vírus adatbázis: 7.78 - 2002. Január 08.
  267. Operációs rendszer: MS-Windows 98
  268.  
  269. Memória ellenïrzése... rendben.
  270.  
  271. Keresés elindult: 2002. Január 09. 20:40:03
  272.  
  273. Keresési területek:
  274.   partíciós tábla, boot szektor, alkönyvtárak, állományok
  275. Kijelölt állományok:
  276.   mindegyik.
  277. Keresési minta:
  278.   "*.*"
  279.  
  280. Keresés:           alapos
  281. heurisztika:       normál
  282. makró heurisztika: normál
  283. Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal
  284.  
  285. Nem irtható vírusok esetén: File meghagyása
  286. Gyanús programok:           File meghagyása
  287. Gyanús dokumentumok:        File meghagyása
  288.  
  289. Karantén: "D:\AV\PROG\VB91\VIRUSOK"
  290. ╡tmeneti könyvtár: "C:\TEMP"
  291. C: fizikai drive MBOOT rekord ellenïrzése
  292. D: fizikai drive MBOOT rekord ellenïrzése
  293. D:\ boot rekord ellenïrzése
  294.  
  295. Keresés leállt:   2002. Január 09. 20:48:53
  296. A keresés idïtartama: 00:08:50
  297.  
  298. Nincs felismerhetï vírus.
  299.  
  300.    Terület      │    File    Directory           Egyéb      │            
  301.  ───────────────┼─────────────────────────     ─────────────┼────────────
  302.    ellenïrzött  │    7401      1120              packer     │       0
  303.    fertïzött    │       0         0              immunizer  │       0
  304.    gyanús       │       0         0
  305.    kiirtva      │       0         0
  306.    törölve      │       0         -  
  307.    átmozgatva   │       0         -  
  308.    átnevezve    │       0         -  
  309.