home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9301
/
VIRKONFE.CD
< prev
next >
Wrap
Text File
|
1995-04-18
|
6KB
|
102 lines
@VVíruskonferencia Edinburghban@N
Szeptemberben került sor a második nemzetközi Vírus
Bulletin konferencia megrendezésére, melynek a festôi
szépségû skót város, Edinburgh adott otthont. A kétnapos
találkozó alatt 21 elôadás hangzott el a több mint 20
országból érkezett, mintegy 200 résztvevô elôtt. A világon
ez volt eddig a legnagyobb ""vírus-találkozó".
A tavalyi Vírus Bulletin konferenciához hasonlóan most is a
világ víruskutató szakemberei gyûltek össze, hogy megosszák
egymással legfrissebb eredményeiket, ötleteiket. A
konferencia idejére már 1573 DOS vírussal, illetve
vírusmutánssal számolhatunk. Sajnos a számuk egyre nô,
mégpedig exponenciálisan! Az elmúlt években a vírusok száma
évenként megháromszorozódott, és semmi jel nem mutat arra,
hogy ez az ütem lassulna.
Sötét jövôt tárt elénk Vesselin Bontchev, aki egy
feltételezett vírust körvonalazott, a Kuang nevû vírust.
Ez egy nagyon lassan terjedô vírus, amely egyesíti magában
az összes eddig létezô vírusterjedési technikákat. Csak
idô kérdése, hogy ilyen vírusok feltûnjenek.
Tegyük fel, hogy a Kuang vírus valamely BBS szoftverrel,
vagy egy gépindításkor floppymeghajtóban felejtett, csak
adatot tartalmazó lemezrôl kerül a számítógépbe. A vírus
elindításakor a memóriában rezidenssé válik. Hogy a
memóriában ne lehessen kimutatni, ezért a vírus az
operációs rendszer üres helyeit (miként a Tiny vírus) vagy
a képernyô memóriáját (miként a StarShip vírus) használja.
Ha a Kuang aktívvá válik, nem azonnal fertôz. Figyeli, hogy
változik-e valamely végrehajtható terület (COM, EXE,
overlay file, boot szektor, partíciós tábla). Ha azt
érzékeli, hogy valamely végrehajtható terület megváltozna,
úgy a Kuang is megfertôzi azt. Az SVC 6.0-hoz hasonlóan
alkalmas lehetne az eszközvezérlô programok megfertôzésére
is, sôt nem kímélné az .OBJ és .LIB file-okat sem. A
fertôzés egyetlen feltétele, hogy a fertôzendô területen
valamilyen módosítás, létrehozás vagy felülírás történjen.
îgy mûködik például a Darth Vader, a StarShip, és a
Compiler vírus.
A Kuang nagyon lassan (de biztosan) terjed, leginkább
akkor, amikor a felhasználó file-okat másol, vagy floppyt
formáz. A file-ok fertôzésekor a Kuang többféleképp
mûködhet. Ha egy file 0-kból álló területet tartalmaz, úgy
a Kuang nem kell, hogy módosítsa a file méretét. Ilyenkor a
vírus ezt a területet használja saját kódjának a
tárolására. Ha nem 0 értékû, hanem másmilyen byte-ok
ismétlôdnek, a módszer természetesen akkor is alkalmazható.
Erre a terjedési technikára is van létezô példa: a Phoenix
vírus. Az EXE file-ok esetén, ha azok EXE-fejléce hosszú,
úgy a Phoenix tömöríti e fejlécet, így szabadít fel helyet
a víruskód számára. A lényeg: nem változik a fertôzött
file-ok hossza.
A Kuang vírus figyeli a tömörített file-ok (ARC, ARJ, HYP,
LZH, PAK, ZIP, ZOO, ...) megnyitását. Ekkor a vírus
megváltoztatja viselkedését: megfertôz minden megnyitott
végrehajtható file-t (és az OBJ, LIB file-okat is), azaz
ekkor már nemcsak változtatáskor fertôz. E file-ok lezárása
esetén viszont eltávolítja magát a file-okról. Ez a
viselkedés addig tart, amíg a tömörített file nyitva van.
Ezzel a vírus azt éri el, hogy a tömörített file-okba
kerülô végrehajtható file-ok megfertôzôdnek, míg eredetijük
változatlanul marad. E viselkedésmód alatt szüksége van
arra, hogy a fertôzést és az eltávolítást a figyelô
programok ne fedezhessék fel. Erre példát szolgáltat a
Frodo (4096) vírus. Ezt az eljárást a Kuangnak a szokásos,
lassú terjedése alatt nem kell alkalmaznia, mivel a
felhasználó ekkor nem lepôdik meg egy file-létrehozási,
illetve file-felülírási üzeneten.
Természetesen, ha a Kuang aktív a memóriában, úgy
használhatja a ""stealth" (lopakodó) technikát, mint
például a Number of the Beast vírus teszi. Ez azt jelenti,
hogy minden fertôzött területet (annak olvasásakor) az
eredeti, fertôzetlen állapotban mutat, így például a vírus
még a @KCOPY /V@N, illetve a @KCOMP@N parancsokkal sem
fedezhetô fel.
A vírus detektálását megnehezítendô a Kuang tartalmazhat a
Whale vírushoz hasonlóan olyan részt, amely a víruskódot
milliónyi megjelenési formájában állítja elô. Ha már
sikerült volna a vírust azonosítani, visszafejteni és
megérteni mûködését, úgy a V2Px vírushoz, avagy a Dark
Avenger Mutation Engine-hez hasonlóan a vírus
gondoskodhatna róla, hogy még hasonló víruskódot se
generáljon.
Felmerül a kérdés, hogy van-e lehetôség egy ilyen vírus
detektálására. Rendkívül nehéz olyan víruskeresôt,
víruskeresési eljárást, illetve olyan változás-detektálót
készíteni, amely 100%-os biztonsággal azonosítja a Kuangot.
Szerencsére a Kuang vírust még nem a jelen, hanem a jövô
kérdéseként kell kezelnünk.
@KLeitold Ferenc@N