A 102. CHIP-CD VAKRIASZTÁS LISTÁJA
1997-es júliusi és októberi CD-nken is elôfordult vírus. A
CHIP Magazinban beszámoltunk a részletekrôl. Mindkét eset
fontos tanulságokkal szolgált számunkra, és ennek nyomán
módosítottunk CD-ink "gyártástechnológiáján".
Többek közt fontosnak érezzük azt, hogy minden CD-nken
közzétegyük a végsô vírusellenôrzésünk eredményeit. (A
CD-kre kerülô anyagokat munka közben is ellenôrizzük.
Ennek során már többször is találtunk vírust.)
Az ellenôrzés módszere és eredménye
-----------------------------------
A CD-re kerülô anyagot egy külön merevlemezre másoltuk. Az
anyag sok tömörített file-t tartalmaz. Ezeket kibontottuk,
mindegyik file-t külön könyvtárba. A kibontott anyagban
található tömörített file-okat is kibontottuk, és így
tovább (rekurzív kibontás).
A CD így kapott "teljes" tartalmát az alábbi DOS-os
víruskeresôk legfrissebb verzióival és vírus-adatbázisaival
ellenôriztük:
* négy "nemzetközi" keresôvel:
F-Macro
F-Prot
McAfee Scan
Tbav
* és egy magyarral:
VirusBuster
Azért választottuk e keresôk DOS-os változatait, mert bár
már több mint három évvel ezelôtt megjelent a Windows 95,
de a víruskeresôknek még mindig a DOS-os változatai a
megbízhatóbbak a keresés eredményessége szempontjából.
Mindkét vírusunk drámaian igazolta ezt a - számunkra -
akkor még ismeretlen tényt, amit azóta szerzett
tapasztalataink sem cáfoltak meg.
A vizsgálathoz használt víruskeresôk verziószáma,
vírus-adatbázisaik dátuma és a keresôket indító
parancssorok megtalálhatók a naplófile-jaikban (*.log). A
dupla CD-mellékletünk két korongjára kerülô anyagot külön
vizsgáltuk.
A VirusBuster nem írja be a parancssorát a naplófile-jába.
Ezt a keresôt az összes file vizsgálatára, "alapos" (nem
rövid és nem teljes végigolvasással járó) ellenôrzésre
kérve, és az általános illetve makró heurisztikáját
"normál" érzékenységûre állítva indítottuk.
Ahol a DOS-os keresôk a számukra túl hosszú elérési útvonal
(path), vagy egy file furcsa neve miatt esetleg nem tudtak
megvizsgálni egyes file-okat, ott külön lépésben ezeket is
megvizsgáltuk.
A naplófile-okban talált gyanús eseteket megvizsgáltuk, a
programokat elindítottuk és a Tbav rezidens (memóriában
maradó), a programok tevékenységét figyelô vírusvédelmi
programjaival felfegyverkezve figyeltük viselkedésüket.
Ennek során nem észleltünk vírusra utaló tevékenységet.
Ezután összehasonlítottuk a merevlemez állapotát a gyanús
file-ok futtatását megelôzô állapottal. A változások
(megváltozott a BOOTLOG.TXT file tartalma stb.) egyike sem
utalt vírusra.
A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk.
Tanulságok
----------
Az új programokkal, Excel- és Word-dokumentumokkal,
valamint más potenciális makróvírus-hordozó adatfile-okkal
szembeni óvatosság mindenképpen ajánlatos.
Az adatvesztések több mint 90%-át egyébként nem vírusok
okozzák, hanem hardverhibák és emberi figyelmetlenség, ezek
pedig bármikor bekövetkezhetnek. Ezért mindenkinek azt
javasoljuk továbbra is, hogy rendszeresen mentse
(backupolja) adatait (ezeket sokkal nehezebb pótolni, mint
a programokat), és - ha teheti - gépe teljes tartalmát is,
hiszen egy gép esetleges teljes újratelepítése általában
nagyon sok idôbe kerül.
Érdemes végigfutni a víruskeresôk naplófile-jait,
tanulságosak! Akit érdekel, az a vakriasztások többségére
megtalálja a magyarázatot a meggyanúsított file-okhoz
tartozó leírásokban. A memóriarezidens programokat például
joggal gyanúsítják a keresôk azzal, hogy memóriában akarnak
maradni...
===============================================================================
Virus scanning report - 4. July 2001 21:56
F-PROT 3.07
SIGN.DEF created 25. June 2001
SIGN2.DEF created 25. June 2001
MACRO.DEF created 7. June 2001
Search: .
Action: Report only
Files: "Dumb" scan of all files
Switches: /PACKED /REPORT=d:\av\fprot.log
No viruses found in memory.
No viruses were found in MBRs or hard disk boot sectors.
D:\CD\SAC\PACK\FS\FS.EXE could be infected with an unknown virus
Results of virus scanning:
Files: 7866
MBRs: 2
Boot sectors: 3
Objects scanned: 8371
Infected: 0
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0
Time: 12:37
===============================================================================
Scanning Report
Wed Jul 04 23:02:37 2001
Options
--------------------------------------------------------------------------------
Target:
D:\cd
Action:
Ask after scan
Scanning options:
Scan all files
Scan inside archives: off
Results
--------------------------------------------------------------------------------
Boot Sectors
Scanned: 0
Infected: 0
Suspected: 0
Disinfected: 0
Files
Scanned: 7866
Infected: 2
Suspected: 0
Disinfected: 0
Renamed: 0
Deleted: 0
Quarantined: 0
Report
--------------------------------------------------------------------------------
D:\cd\sac\pack\FS\FS.EXE Infection: Possibly infected with an unknown virus
D:\cd\sac\sound\MEW801\SETUP\MEW.IMG Infection: Possibly an image file of a boot sector virus
===============================================================================
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Virus in memory,0
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Boot sectors scanned,1
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Boot sectors infected,0
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Boot sectors cleaned,0
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files scanned,9388
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files infected,0
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files cleaned,0
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files deleted,0
7/4/2001,23:22:22,4287327,VSCAN,SUMMARY,OUTSIDER,McAdam,Files quarantined,0
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan engine version,4.1.40
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Virus definition file version,4.0.4145
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Product name,VirusScan
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Product version,5.12.0000.1
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,ScanItem 1,D:\cd
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan action,Clean infected files automatically
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan priority,Normal
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scanning subdirectories,0
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Scan all files,1
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Memory scanning skipped,0
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,Boot sector scanning skipped,0
7/4/2001,23:22:22,4287327,VSCAN,SETTING,OUTSIDER,McAdam,File Extensions,001
===============================================================================
Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.
TbScan report, 07-04-2001 22:10:32
Parameters: . hr hm lo ln=d:\av\tbav.log
** Unregistered evaluation version. Do not forget to register! **
D:\CD\SAC\UTILTEXT\VIM58D32\VIM\VIM58\XXD.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
i Additional data found at end of file. Probably internal overlay.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
Z EXE/COM determination. The program tries to check whether a file
is a COM or EXE file. Viruses need to do this to infect a program.
K Unusual stack. The program has a suspicious stack or an odd stack.
Found 7866 files in 1237 directories, 1019 files seem to be executable.
3 files were checked for changes, 0 files have been changed.
1 files are infected by one or more viruses
===============================================================================
VirusBuster v10.02.016 - DOS változat
====================================
(c) 1988-2001. VirusBuster Kft. Minden jog fenntartva.
World Wide Web URL: http://www.vbuster.hu
Vírus adatbázis: 7.196 - 2001. Július 03.
Operációs rendszer: MS-Windows 98
Memória ellenôrzése... rendben.
Keresés elindult: 2001. Július 04. 22:12:43
Keresési területek:
partíciós tábla, boot szektor, alkönyvtárak, állományok
Kijelölt állományok:
mindegyik.
Keresési minta:
"*.*"
Keresés: alapos
heurisztika: normál
makró heurisztika: normál
Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal
Nem irtható vírusok esetén: File meghagyása
Gyanús programok: File meghagyása
Gyanús dokumentumok: File meghagyása
Karantén: "D:\AV\PROG\VB91\VIRUSOK"
Átmeneti könyvtár: "C:\TEMP"
C: fizikai drive MBOOT rekord ellenôrzése
D: fizikai drive MBOOT rekord ellenôrzése
D:\ boot rekord ellenôrzése
D:\cd\sac\avir\ROSEGOAT\MINI_GOA\GOAT102.COM: gyanús állomány! Heurisztikus jelzök: F
D:\cd\sac\avir\DUMPMBR\DUMPMBR.COM: gyanús állomány! Heurisztikus jelzök: UOB
Keresés leállt: 2001. Július 04. 22:34:38
A keresés idôtartama: 00:21:55
Nincs felismerhetô vírus.
Terület | File Directory Egyéb |
---------------+------------------------- -------------+------------
ellenôrzött | 7866 1237 packer | 0
fertôzött | 0 0 immunizer | 0
gyanús | 2 0
kiirtva | 0 0
törölve | 0 -
átmozgatva | 0 -
átnevezve | 0 -
|
