A 102. CHIP-CD VAKRIASZTÁS LISTÁJA 1997-es júliusi és októberi CD-nken is elôfordult vírus. A CHIP Magazinban beszámoltunk a részletekrôl. Mindkét eset fontos tanulságokkal szolgált számunkra, és ennek nyomán módosítottunk CD-ink "gyártástechnológiáján". Többek közt fontosnak érezzük azt, hogy minden CD-nken közzétegyük a végsô vírusellenôrzésünk eredményeit. (A CD-kre kerülô anyagokat munka közben is ellenôrizzük. Ennek során már többször is találtunk vírust.) Az ellenôrzés módszere és eredménye ----------------------------------- A CD-re kerülô anyagot egy külön merevlemezre másoltuk. Az anyag sok tömörített file-t tartalmaz. Ezeket kibontottuk, mindegyik file-t külön könyvtárba. A kibontott anyagban található tömörített file-okat is kibontottuk, és így tovább (rekurzív kibontás). A CD így kapott "teljes" tartalmát az alábbi DOS-os víruskeresôk legfrissebb verzióival és vírus-adatbázisaival ellenôriztük: * négy "nemzetközi" keresôvel: F-Macro F-Prot McAfee Scan Tbav * és egy magyarral: VirusBuster Azért választottuk e keresôk DOS-os változatait, mert bár már több mint három évvel ezelôtt megjelent a Windows 95, de a víruskeresôknek még mindig a DOS-os változatai a megbízhatóbbak a keresés eredményessége szempontjából. Mindkét vírusunk drámaian igazolta ezt a - számunkra - akkor még ismeretlen tényt, amit azóta szerzett tapasztalataink sem cáfoltak meg. A vizsgálathoz használt víruskeresôk verziószáma, vírus-adatbázisaik dátuma és a keresôket indító parancssorok megtalálhatók a naplófile-jaikban (*.log). A dupla CD-mellékletünk két korongjára kerülô anyagot külön vizsgáltuk. A VirusBuster nem írja be a parancssorát a naplófile-jába. Ezt a keresôt az összes file vizsgálatára, "alapos" (nem rövid és nem teljes végigolvasással járó) ellenôrzésre kérve, és az általános illetve makró heurisztikáját "normál" érzékenységûre állítva indítottuk. Ahol a DOS-os keresôk a számukra túl hosszú elérési útvonal (path), vagy egy file furcsa neve miatt esetleg nem tudtak megvizsgálni egyes file-okat, ott külön lépésben ezeket is megvizsgáltuk. A naplófile-okban talált gyanús eseteket megvizsgáltuk, a programokat elindítottuk és a Tbav rezidens (memóriában maradó), a programok tevékenységét figyelô vírusvédelmi programjaival felfegyverkezve figyeltük viselkedésüket. Ennek során nem észleltünk vírusra utaló tevékenységet. Ezután összehasonlítottuk a merevlemez állapotát a gyanús file-ok futtatását megelôzô állapottal. A változások (megváltozott a BOOTLOG.TXT file tartalma stb.) egyike sem utalt vírusra. A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk. Tanulságok ---------- Az új programokkal, Excel- és Word-dokumentumokkal, valamint más potenciális makróvírus-hordozó adatfile-okkal szembeni óvatosság mindenképpen ajánlatos. Az adatvesztések több mint 90%-át egyébként nem vírusok okozzák, hanem hardverhibák és emberi figyelmetlenség, ezek pedig bármikor bekövetkezhetnek. Ezért mindenkinek azt javasoljuk továbbra is, hogy rendszeresen mentse (backupolja) adatait (ezeket sokkal nehezebb pótolni, mint a programokat), és - ha teheti - gépe teljes tartalmát is, hiszen egy gép esetleges teljes újratelepítése általában nagyon sok idôbe kerül. Érdemes végigfutni a víruskeresôk naplófile-jait, tanulságosak! Akit érdekel, az a vakriasztások többségére megtalálja a magyarázatot a meggyanúsított file-okhoz tartozó leírásokban. A memóriarezidens programokat például joggal gyanúsítják a keresôk azzal, hogy memóriában akarnak maradni... =============================================================================== Virus scanning report - 4. July 2001 21:56 F-PROT 3.07 SIGN.DEF created 25. June 2001 SIGN2.DEF created 25. June 2001 MACRO.DEF created 7. June 2001 Search: . Action: Report only Files: "Dumb" scan of all files Switches: /PACKED /REPORT=d:\av\fprot.log No viruses found in memory. No viruses were found in MBRs or hard disk boot sectors. D:\CD\SAC\PACK\FS\FS.EXE could be infected with an unknown virus Results of virus scanning: Files: 7866 MBRs: 2 Boot sectors: 3 Objects scanned: 8371 Infected: 0 Suspicious: 1 Disinfected: 0 Deleted: 0 Renamed: 0 Time: 12:37 =============================================================================== Scanning Report Wed Jul 04 23:02:37 2001 Options -------------------------------------------------------------------------------- Target: D:\cd Action: Ask after scan Scanning options: Scan all files Scan inside archives: off Results -------------------------------------------------------------------------------- Boot Sectors Scanned: 0 Infected: 0 Suspected: 0 Disinfected: 0 Files Scanned: 7866 Infected: 2 Suspected: 0 Disinfected: 0 Renamed: 0 Deleted: 0 Quarantined: 0 Report -------------------------------------------------------------------------------- D:\cd\sac\pack\FS\FS.EXE Infection: Possibly infected with an unknown virus D:\cd\sac\sound\MEW801\SETUP\MEW.IMG Infection: Possibly an image file of a boot sector virus =============================================================================== 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Virus in memory,0 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Boot sectors scanned,1 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Boot sectors infected,0 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Boot sectors cleaned,0 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files scanned,9388 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files infected,0 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files cleaned,0 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files deleted,0 7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files quarantined,0 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan engine version,4.1.40 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Virus definition file version,4.0.4145 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Product name,VirusScan 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Product version,5.12.0000.1 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,ScanItem 1,D:\cd 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan action,Clean infected files automatically 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan priority,Normal 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scanning subdirectories,0 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan all files,1 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Memory scanning skipped,0 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Boot sector scanning skipped,0 7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,File Extensions,001 =============================================================================== Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V. TbScan report, 07-04-2001 22:10:32 Parameters: . hr hm lo ln=d:\av\tbav.log ** Unregistered evaluation version. Do not forget to register! ** D:\CD\SAC\UTILTEXT\VIM58D32\VIM\VIM58\XXD.EXE might be infected by an unknown virus c No checksum / recovery information (Anti-Vir.Dat) available. i Additional data found at end of file. Probably internal overlay. ! Invalid opcode (non-8088 instructions) or out-of-range branch. Z EXE/COM determination. The program tries to check whether a file is a COM or EXE file. Viruses need to do this to infect a program. K Unusual stack. The program has a suspicious stack or an odd stack. Found 7866 files in 1237 directories, 1019 files seem to be executable. 3 files were checked for changes, 0 files have been changed. 1 files are infected by one or more viruses =============================================================================== VirusBuster v10.02.016 - DOS változat ==================================== (c) 1988-2001. VirusBuster Kft. Minden jog fenntartva. World Wide Web URL: http://www.vbuster.hu Vírus adatbázis: 7.196 - 2001. Július 03. Operációs rendszer: MS-Windows 98 Memória ellenôrzése... rendben. Keresés elindult: 2001. Július 04. 22:12:43 Keresési területek: partíciós tábla, boot szektor, alkönyvtárak, állományok Kijelölt állományok: mindegyik. Keresési minta: "*.*" Keresés: alapos heurisztika: normál makró heurisztika: normál Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal Nem irtható vírusok esetén: File meghagyása Gyanús programok: File meghagyása Gyanús dokumentumok: File meghagyása Karantén: "D:\AV\PROG\VB91\VIRUSOK" Átmeneti könyvtár: "C:\TEMP" C: fizikai drive MBOOT rekord ellenôrzése D: fizikai drive MBOOT rekord ellenôrzése D:\ boot rekord ellenôrzése D:\cd\sac\avir\ROSEGOAT\MINI_GOA\GOAT102.COM: gyanús állomány! Heurisztikus jelzök: F D:\cd\sac\avir\DUMPMBR\DUMPMBR.COM: gyanús állomány! Heurisztikus jelzök: UOB Keresés leállt: 2001. Július 04. 22:34:38 A keresés idôtartama: 00:21:55 Nincs felismerhetô vírus. Terület | File Directory Egyéb | ---------------+------------------------- -------------+------------ ellenôrzött | 7866 1237 packer | 0 fertôzött | 0 0 immunizer | 0 gyanús | 2 0 kiirtva | 0 0 törölve | 0 - átmozgatva | 0 - átnevezve | 0 - |