home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 92 / MTEPRESS.CD < prev    next >
Text File  |  1995-09-14  |  7KB  |  124 lines
  1.        @VSegítség! A vírusok élnek!@N
  2.  
  3.           Élhetnek-e  önálló  létet  a  számítógépvírusok?  Nagyon
  4.       sokszor feltettük magunknak ezt a kérdést, látva, hogy egyes
  5.       vírusok immár szinte  kiirthatatlanná váltak a  számítógépes
  6.       kultúrákból.  Minden  a  Whale  vírussal  kezdôdött  -- vele
  7.       megjelentek azok  a vírusok,  melyek önmaguk  kódját képesek
  8.       szinte határtalanul módosítani.
  9.           Szinte egyszerre jelentkezett két veszély a  mesterséges
  10.       intelligencia körében.  Érdemes mindkettôrôl  kissé bôvebben
  11.       szólni,   mert   hihetetlenül   komoly   kockázati  tényezôt
  12.       jelentenek  adataink  biztonsága  szemszögébôl.  Az   egyik:
  13.       megjelentek  a  vírusíró  automaták,  amelyekkel   szaktudás
  14.       nélkül  is  írhatók  vírusok. A  másik:  megjelentek  azok a
  15.       polimorf  (magukat  mindig  más  és  más  vírusnak  mutató),
  16.       valamint saját maguk  kódját folyamatosan módosító  vírusok,
  17.       amelyek kétségessé teszik az ellenük való fellépés sikerét.
  18.           ""Nem  törôdöm  többé  a  vírusok  irtásával,  inkább az
  19.       amerikaiakhoz  hasonlóan  arra  törekszem,  hogy  jelezzem a
  20.       vírusok   valószínû   jelenlétét,   és   megakadályozzam   a
  21.       fertôzést!"  --  fakadt ki  a  közelmúltban Farmosi  István,
  22.       ismert  antivírus  szakembereink  egyike,  amikor  az  egyik
  23.       újabb, ki tudja hányadik Dir2FAT-átiratot prezentáltam neki.
  24.       Valóban, merre tart most a vírusháború?
  25.           1992. május 11-én Santa Clara-ban John McAfee  bemutatta
  26.       az elsô @KCLEAN@N verziót, amely valami védelmet tud adni a  sok
  27.       alakban  megjelenô   vírusok  ellen,   mivel  ekkor   került
  28.       kifejlesztésre   programrendszerének   @KGeneric@N   opciója  az
  29.       önmagukat  megváltoztató  vírusok  ellen.  Ugyanakkor  ekkor
  30.       merült  fel  egy  másik,  ennél  sokkal  súlyosabb probléma:
  31.       megjelent a @KMutation Engine@N (mutációs gép), amely egy  adott
  32.       kódból  egy  újabbat  gyárt.  Külföldi  és  hazai  antivírus
  33.       szakemberek  szívességébôl  viszonylag  hamar  megkaptam  az
  34.       inkriminált programrendszert.
  35.           A programrendszer mindössze  5525 byte-os ARJ  file-ban,
  36.       MUTATOR.ARJ néven kószál  a programmásolás homályos  útjain.
  37.       Ebbôl kibontás  után egy  MUTATOR.EXE és  egy hozzá  tartozó
  38.       .DOC file válik szabaddá. Számítógépes anarchistánk ebben  a
  39.       dokumentációban ajánlja  melegen minden  szabotôr figyelmébe
  40.       remekmûvét, amely remekmû  az egyszerû és  nagyhatású ötlete
  41.       okán.
  42.           Az EXE file veszély nélkül elindítható generáló program.
  43.       Szükséges hozzá még egy  assembly vírus forráskód, vagy  más
  44.       assembly program. A MUTATOR  ezt a kódot veszi  kezelésbe és
  45.       ebbôl   készít   egy    másik,   lefordítható   kódot.    Az
  46.       funkcionálisan  teljesen   azonos  az   eredetivel,  viszont
  47.       binárisan már semmi köze hozzá...
  48.           Amikor elindítjuk a programot, akkor egy rövid üzenetben
  49.       felszólít, hogy romboljuk  le használatával saját  cégünket.
  50.       Utána bekéri  a forrásfile  nevét, majd  ha ezt  megadtuk, a
  51.       kimeneti file-t is. Ezután teszi fel kérdéseit:
  52.           -- a forráskód hányadik sorától hányadik soráig kívánom
  53.          mutáltatni;
  54.           -- milyen lépésközzel;
  55.           -- hány új sort tegyen be.
  56.           A  program azt  használja ki,  hogy az  assembly  kódban
  57.       vannak hatástalan és  semleges utasítások. Hatástalan  lehet
  58.       egy NOP parancs. Ha a fordító lefordítja, akkor ez binárisan
  59.       belekerül  a  kész  kódba.   Nos,  ha  én  ezt   elszórom  a
  60.       programban, akkor annak bináris  kódja más lesz, mint  ha az
  61.       eredeti forrást  lefordítom. De  más utasításokkal,  például
  62.       regisztercserékkel is megtehetem ugyanezt. A végeredmény egy
  63.       olyan kód lesz, amely  semmiben sem hasonlít az  eredetihez.
  64.       Vírusirtó program  legyen a  talpán, amely  az így  generált
  65.       újabb  és  újabb  verziókat  követni  tudja!  S  mint minden
  66.       technika, nemcsak rossz  célra, hanem a  vírusíráshoz képest
  67.       bocsánatos bûnre is  felhasználható. Ha ellopok  mondjuk egy
  68.       forráskódot assemblyben, azt megmutálom, még saját  szerzôje
  69.       sem  ismeri fel  saját programját!  Egyelôre ez  a  rendszer
  70.       ismert,   de   ennél   komolyabb   technológiával    dolgozó
  71.       virusfejlesztô  készletek   jelentek  meg   a  feketepiacon,
  72.       amikhez képest a Heti CHIP testvérlapunkban bemutatott MANTA
  73.       vírusíró készlet gyermekjáték.
  74.           A Mutation Engine-nel  párhuzamosan jelent meg  egy igen
  75.       veszélyes  programrutin.  Bolgár  eresztés,  a  Dark Avenger
  76.       írójának alkotása. Cikkünk illusztrációjában éppen ennek egy
  77.       programrutinján mutatjuk be a Mutation Engine hatását.
  78.           A  Mutate  assembly  rutinja  nemcsak  vírushoz,   hanem
  79.       minimális módosítás után bármely programba  beleilleszthetô.
  80.       Ennek segítségével megvalósítható az, hogy a program  minden
  81.       futása során átírja önmagát. Tehát a programkód folyamatosan
  82.       él, változik. Miként a természetben, itt is megindulhat az a
  83.       folyamat,  amit  biológiai  --  pontosabban  számítógépes --
  84.       értelemben    vett    életnek    nevezhetünk.    Létrejöttek
  85.       segítségükkel   az    alakjukat   folyamatosan    változtató
  86.       programok. Ezek detektálására  a standard byte-minta  keresô
  87.       technológia teljesen  hasztalan, miként  irtásuk is  egészen
  88.       más eljárásokat igényel. Itt nem lehet byte-mintákat  venni,
  89.       mert nincsen benne semmi  állandó" -- ezekkel az  elkeserítô
  90.       szavakkal     vázolta    fel     Igor    Grebert,     McAfee
  91.       vírusprogram-visszafejtó      csapatának      vezetôje     a
  92.       vírusdetektálás  és  -irtás  esélyeit.  ""A  Mutation Engine
  93.       minden olyan sajátossággal rendelkezik, ami megfoghatatlanná
  94.       teszi a  víruskódot, s  ha azt  az önmaga megváltoztatásával
  95.       kombinálják, az már szinte tökéletes!"
  96.           Hogy az élet ne  legyen ilyen egyszerû, más  kellemetlen
  97.       meglepetésekkel  is  kedveskedtek  ebben  az  esztendôben  a
  98.       vírusírók  az  adatbiztonsággal  foglalkozó  szakembereknek.
  99.       Viszonylag korán  megjelentek az  alakváltó vírusok.  Az már
  100.       kisded vicc  csupán, hogy  ugyanaz a  vírus más  vírusnak is
  101.       álcázhatja  magát.  Erre példa  a  magyar Androméda  sorozat
  102.       legidôsebb tagja. Ez nem csinál semmit, csak szaporodik.  Ha
  103.       a memóriában van,  és elindítunk egy  víruskeresô programot,
  104.       akkor  az  úgy  látja,  hogy  merevlemezünk  Stoned vírussal
  105.       fertôzött.  S  ha  ""leirtjuk"  ezt,  akkor  volt  egy  tele
  106.       merevlemezünk...  Az  igazi polimorf  vírusok  viszont azok,
  107.       amelyek újabb, az eredetitôl eltérô vírusoknak adnak életet.
  108.       Ilyen megoldásokat trójai rutinként a számítógépes programok
  109.       másolásvédelmébe beépítve  sajnos rutinszerûen  alkalmaznak.
  110.       De vírusban jelenleg a Whale--Eddie--Fish vírusrendszer volt
  111.       a  csúcs. Ugyanis  ha a  Whale vírus  a Fish  vagy az  Eddie
  112.       vírussal találkozik,  akkor átmenetileg  ""összeolvad" vele,
  113.       majd  több  feltétel találkozása  esetén  szétváláskor újabb
  114.       halak  nevét  viselô  vírusoknak   ad  életet.  A  Whale   a
  115.       memóriában  éppen  arról  ismerhetô  fel,  hogy  egy   adott
  116.       memóriacímen  halnevek  tömegét találhatjuk,  ha  jelen van.
  117.       Jelenleg a Makrela és a Guppi nevû szüleményei élnek  önálló
  118.       életet, és a Whale mintegy negyven mutánsa ismert.
  119.           Rosszak  az  elkövetkezô  évek  víruskilátásai,  s   nem
  120.       valószínû, hogy  az adatbiztonsággal  foglalkozó szakemberek
  121.       állás nélkül fognak maradni...
  122.  
  123.       @KKis János@N
  124.