home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9301 / VIRKONFE.CD < prev    next >
Text File  |  1995-04-18  |  6KB  |  102 lines

  1.           @VVíruskonferencia Edinburghban@N
  2.           
  3.           Szeptemberben   került   sor   a  második  nemzetközi  Vírus
  4.           Bulletin   konferencia   megrendezésére,  melynek  a  festôi
  5.           szépségû  skót  város,  Edinburgh  adott otthont. A kétnapos
  6.           találkozó  alatt  21  elôadás  hangzott  el  a  több mint 20
  7.           országból  érkezett,  mintegy 200 résztvevô elôtt. A világon
  8.           ez volt eddig a legnagyobb ""vírus-találkozó".
  9.           
  10.           
  11.           A  tavalyi Vírus Bulletin konferenciához hasonlóan most is a
  12.           világ  víruskutató szakemberei gyûltek össze, hogy megosszák
  13.           egymással    legfrissebb    eredményeiket,   ötleteiket.   A
  14.           konferencia   idejére   már   1573   DOS  vírussal,  illetve
  15.           vírusmutánssal  számolhatunk.  Sajnos  a  számuk  egyre  nô,
  16.           mégpedig  exponenciálisan! Az elmúlt években a vírusok száma
  17.           évenként  megháromszorozódott,  és semmi jel nem mutat arra,
  18.           hogy ez az ütem lassulna.
  19.           
  20.           Sötét   jövôt   tárt   elénk   Vesselin  Bontchev,  aki  egy
  21.           feltételezett  vírust  körvonalazott,  a  Kuang nevû vírust.
  22.           Ez  egy  nagyon lassan terjedô vírus, amely egyesíti magában
  23.           az  összes  eddig  létezô  vírusterjedési  technikákat. Csak
  24.           idô kérdése, hogy ilyen vírusok feltûnjenek.
  25.           
  26.           Tegyük  fel,  hogy  a  Kuang vírus valamely BBS szoftverrel,
  27.           vagy  egy  gépindításkor  floppymeghajtóban  felejtett, csak
  28.           adatot  tartalmazó  lemezrôl  kerül  a számítógépbe. A vírus
  29.           elindításakor   a   memóriában   rezidenssé  válik.  Hogy  a
  30.           memóriában   ne   lehessen   kimutatni,  ezért  a  vírus  az
  31.           operációs  rendszer  üres helyeit (miként a Tiny vírus) vagy
  32.           a képernyô memóriáját (miként a StarShip vírus) használja.
  33.           
  34.           Ha  a Kuang aktívvá válik, nem azonnal fertôz. Figyeli, hogy
  35.           változik-e   valamely   végrehajtható   terület  (COM,  EXE,
  36.           overlay   file,  boot  szektor,  partíciós  tábla).  Ha  azt
  37.           érzékeli,  hogy  valamely végrehajtható terület megváltozna,
  38.           úgy  a  Kuang  is  megfertôzi  azt. Az SVC 6.0-hoz hasonlóan
  39.           alkalmas  lehetne  az eszközvezérlô programok megfertôzésére
  40.           is,  sôt  nem  kímélné  az  .OBJ  és  .LIB  file-okat sem. A
  41.           fertôzés  egyetlen  feltétele,  hogy  a fertôzendô területen
  42.           valamilyen  módosítás,  létrehozás vagy felülírás történjen.
  43.           îgy  mûködik  például  a  Darth  Vader,  a  StarShip,  és  a
  44.           Compiler vírus.
  45.           
  46.           A  Kuang  nagyon  lassan  (de  biztosan)  terjed,  leginkább
  47.           akkor,  amikor  a  felhasználó file-okat másol, vagy floppyt
  48.           formáz.   A   file-ok   fertôzésekor  a  Kuang  többféleképp
  49.           mûködhet.  Ha  egy file 0-kból álló területet tartalmaz, úgy
  50.           a  Kuang nem kell, hogy módosítsa a file méretét. Ilyenkor a
  51.           vírus   ezt   a   területet   használja   saját  kódjának  a
  52.           tárolására.   Ha  nem  0  értékû,  hanem  másmilyen  byte-ok
  53.           ismétlôdnek,  a módszer természetesen akkor is alkalmazható.
  54.           Erre  a  terjedési technikára is van létezô példa: a Phoenix
  55.           vírus.  Az  EXE  file-ok esetén, ha azok EXE-fejléce hosszú,
  56.           úgy  a  Phoenix tömöríti e fejlécet, így szabadít fel helyet
  57.           a  víruskód  számára.  A  lényeg:  nem  változik a fertôzött
  58.           file-ok hossza.
  59.           
  60.           A  Kuang  vírus figyeli a tömörített file-ok (ARC, ARJ, HYP,
  61.           LZH,   PAK,  ZIP,  ZOO,  ...)  megnyitását.  Ekkor  a  vírus
  62.           megváltoztatja  viselkedését:  megfertôz  minden  megnyitott
  63.           végrehajtható  file-t  (és  az  OBJ, LIB file-okat is), azaz
  64.           ekkor  már nemcsak változtatáskor fertôz. E file-ok lezárása
  65.           esetén   viszont   eltávolítja  magát  a  file-okról.  Ez  a
  66.           viselkedés  addig  tart,  amíg a tömörített file nyitva van.
  67.           Ezzel  a  vírus  azt  éri  el,  hogy  a tömörített file-okba
  68.           kerülô  végrehajtható file-ok megfertôzôdnek, míg eredetijük
  69.           változatlanul  marad.  E  viselkedésmód  alatt  szüksége van
  70.           arra,   hogy  a  fertôzést  és  az  eltávolítást  a  figyelô
  71.           programok  ne  fedezhessék  fel.  Erre  példát  szolgáltat a
  72.           Frodo  (4096)  vírus. Ezt az eljárást a Kuangnak a szokásos,
  73.           lassú   terjedése   alatt  nem  kell  alkalmaznia,  mivel  a
  74.           felhasználó  ekkor  nem  lepôdik  meg  egy file-létrehozási,
  75.           illetve file-felülírási üzeneten.
  76.           
  77.           Természetesen,   ha   a   Kuang   aktív  a  memóriában,  úgy
  78.           használhatja   a   ""stealth"   (lopakodó)  technikát,  mint
  79.           például  a  Number of the Beast vírus teszi. Ez azt jelenti,
  80.           hogy  minden  fertôzött  területet  (annak  olvasásakor)  az
  81.           eredeti,  fertôzetlen  állapotban mutat, így például a vírus
  82.           még   a   @KCOPY   /V@N,   illetve   a   @KCOMP@N  parancsokkal  sem
  83.           fedezhetô fel.
  84.           
  85.           A  vírus  detektálását megnehezítendô a Kuang tartalmazhat a
  86.           Whale  vírushoz  hasonlóan  olyan  részt, amely a víruskódot
  87.           milliónyi   megjelenési   formájában  állítja  elô.  Ha  már
  88.           sikerült   volna  a  vírust  azonosítani,  visszafejteni  és
  89.           megérteni  mûködését,  úgy  a  V2Px  vírushoz,  avagy a Dark
  90.           Avenger    Mutation    Engine-hez    hasonlóan    a    vírus
  91.           gondoskodhatna   róla,   hogy   még  hasonló  víruskódot  se
  92.           generáljon.
  93.           
  94.           Felmerül  a  kérdés,  hogy  van-e  lehetôség egy ilyen vírus
  95.           detektálására.    Rendkívül    nehéz   olyan   víruskeresôt,
  96.           víruskeresési  eljárást,  illetve  olyan változás-detektálót
  97.           készíteni,  amely 100%-os biztonsággal azonosítja a Kuangot.
  98.           Szerencsére  a  Kuang  vírust  még nem a jelen, hanem a jövô
  99.           kérdéseként kell kezelnünk.
  100.           
  101.           @KLeitold Ferenc@N
  102.