home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9302 / HORNAK.CD < prev    next >
Text File  |  1995-04-18  |  26KB  |  442 lines
  1.           @VVírusvédelmi módszerek, megvalósítások@N
  2.           
  3.           Aki  ma  számítógéppel  dolgozik,  annak  gondolnia  kell  a
  4.           vírusok   elleni   védekezésre   is.   Az   eddig  elterjedt
  5.           víruskereséses  módszerek  mellett  egyre  nagyobb  szerepet
  6.           kapnak  a  különféle vírusvédelmi termékek. Közöttük azonban
  7.           nehéz eligazodni. Ehhez kívánunk némi segítséget nyújtani.
  8.           
  9.           
  10.           A  számítógépvírusok  elleni  harc  ma  már  több fronton is
  11.           zajlik.  Ennek csak egyik, bár máig is legfontosabb színtere
  12.           a  víruskeresés,  hogy a megtalált kórokozókat utána ""kézi"
  13.           módszerekkel    kiiktathassuk,    és   helyreállíthassuk   a
  14.           programokat  és  az  adatokat.  A  megelôzés,  sôt  az aktív
  15.           védekezés  is  csak  az  utóbbi  években  jutott  el  arra a
  16.           szintre,  hogy  komoly segítséget jelentsen a vírusok elleni
  17.           küzdelemben.  Ha  már  az  alább  ismertetett  lehetôségek a
  18.           rendelkezésünkre állnak, ne habozzunk élni velük.
  19.           
  20.           
  21.            @VVédekezés a vírusok ellen@N
  22.           
  23.           Manapság  legtöbben  úgy  védekeznek  a  vírusok ellen, hogy
  24.           állandóan    begyûjtik   a   legújabb   víruskeresôket,   és
  25.           segítségükkel  döntik  el,  hogy  a számítógépükre felkerült
  26.           programok  vírusmentesek-e. Emellett egyre többen használnak
  27.           vírusvédelmi   termékeket   is.   Szándékosan  használtam  a
  28.           ""termék"  szót  a ""program" helyett, mert amint azt késôbb
  29.           látni  fogjuk,  a  vírusok  ellen  úgynevezett  víruskártyás
  30.           védelmek is léteznek már.
  31.           
  32.           A  védekezés  lehetôségeinek  megértéséhez  elengedhetetlen,
  33.           hogy  ismerjük  a vírusok fertôzésének, terjedésének módját.
  34.           A  Neumann-elv  szerint  a  számítógép  számára a futtatható
  35.           program  kódja  és  az  adatok egymásba áttranszformálhatók,
  36.           nincsenek  egymástól  elkülönítve a memóriában. Az adatok és
  37.           programok  tárolása  a  DOS feladata, s a DOS -- hasonlóan a
  38.           Neumann-elvhez   --   nem   különbözteti  meg  a  futtatható
  39.           file-okat   és  az  adatfile-okat.  Például  egy  futtatható
  40.           programot,    mondjuk   a   COMMAND.COM-ot,   akár   ki   is
  41.           nyomtathatunk.   Természetesen   az   eredmény   egy   csomó
  42.           értelmetlen  karakter  lesz a kinyomtatott papíron. A DOS az
  43.           ellenkezô   irányú   átalakítást   is  megengedi:  akár  egy
  44.           szövegfile-t    (például    egy    README.TXT    nevût)   is
  45.           elindíthatunk  a  @KRENAME  README.TXT  README.COM@N,  majd  ezt
  46.           követôen a @KREADME.COM@N parancsokkal.
  47.           
  48.           Természetesen   ekkor   a   gép  semmi  értelmeset  sem  fog
  49.           csinálni,   hiszen  számára  a  README.TXT  file  ugyanolyan
  50.           értelmetlen,   mint  számunkra  a  COMMAND.COM  kinyomtatott
  51.           listája.  Åm  lehetséges, hogy a futtatható kód és az adatok
  52.           közötti  ilyenfajta  transzformáció következtében egy, a gép
  53.           számára  értelmes  kód  lesz az eredmény. Ez az a lehetôség,
  54.           ami   megengedi   vírusok   létezését.   Ugyanis  egy  vírus
  55.           fertôzésekor,  szaporodásakor  önmagát -- a futtatható kódot
  56.           --   adattá   alakítja,   majd  így,  mint  adatot,  önmagát
  57.           lemásolja.  Ezután  ismét  futtatható  kóddá  visszaváltozva
  58.           létrejön   a   vírus   másolata.   A   valóságban,  mivel  a
  59.           PC-architektúra  és  a DOS egyáltalán nem törôdik az adat és
  60.           a  futtatható  kód  közötti  különbséggel  --  gyakorlatilag
  61.           minden   egyszerre   adat  és  kód  is  egyben  --  a  fenti
  62.           transzformáció   csak   képletesen   hajtódik  végre.  Ennek
  63.           ellenére  tisztában  kell  lennünk  azzal,  hogy  csak ennek
  64.           köszönhetôen létezhetnek vírusok.
  65.           
  66.           Nyilvánvaló,  hogy  a vírusok létezését, terjedését csak úgy
  67.           lehet  megakadályozni,  ha  az  adatok és a futtatható kódok
  68.           között  mindenféle  átalakítást  megtiltunk,  vagy  legalább
  69.           felügyelünk.  Mivel  a PC-architektúra és a DOS is támogatja
  70.           ezt   a  vírusoknak  kedvezô  transzformációt,  az  egyetlen
  71.           biztos  megoldás  egy új típusú számítógép és egy, a DOS-tól
  72.           teljesen  eltérô  operációs  rendszer  használata  lenne. Ez
  73.           elvileg  ugyan  megoldaná  a  gondokat, de a PC-felhasználók
  74.           milliós  tábora  nem fogja egyik napról a másikra lecserélni
  75.           a  számítógépét.  Åtmeneti  megoldásként  nem tehetünk mást,
  76.           védekezni  kell  a vírusok ellen, szaporodásukat vissza kell
  77.           szorítani.
  78.           
  79.           A   védekezésre   többfajta   módszert   fejlesztettek   ki,
  80.           mindegyiknek   megvannak   a   maga  elônyei,  hátrányai  és
  81.           korlátai.  Az  egyes  megvalósítások  eltérnek  egymástól  a
  82.           minôségben  is.  A védekezési módszereket általában három fô
  83.           csoportra szokás osztani:
  84.           
  85.           --  alkalmi  vagy  rendszeres víruskeresés az ismert vírusok
  86.           felderítésére;
  87.           
  88.           -- változásdetektorok,
  89.           
  90.           -- általános vírusvédelmek.
  91.           
  92.           
  93.            @VAlkalmi vagy rendszeres víruskeresés@N
  94.           
  95.           Ebbe  a  csoportba  tartoznak  a  mindenki  által jól ismert
  96.           víruskeresô  és  vírusirtó  programok  (SCAN és CLEAN, CPAV,
  97.           NAV,  TNT,  CHKVIR, SYSDOKI, PRGDOKI stb.). Segítségükkel az
  98.           általuk  ismert vírusokat könnyû felismerni, sôt többségük a
  99.           felismert   vírusokat   irtani  is  tudja.  Hátrányuk,  hogy
  100.           állandóan  a  legfrissebb  programváltozatra  van szükség, s
  101.           ennek  ellenére  a  ""legújabb"  vírusokat  nem ismerik fel.
  102.           Léteznek   ismeretlen   vírusokat  felderítô  módszerek  is,
  103.           melyek   egyik   altípusa   a   több   antivírus  programnál
  104.           alkalmazott  immunizálás.  A másik típus hazai képviselôje a
  105.           CHKVIR,   amely   beépített  processzorszimulátorával  képes
  106.           vírusgyanús programok keresésére is.
  107.           
  108.           A   nagy   és   gyorsan   növekvô   vírusszám,   valamint  a
  109.           merevlemezen  tárolt hatalmas adatmennyiség miatt a rendszer
  110.           vírusmentességének  ellenôrzése sokáig eltart. Komoly gondot
  111.           okozhat,  ha  egy  vírus  már aktív a memóriában. Ilyenkor a
  112.           baci  képes  akár  a  vírusvadász programokat is becsapni, s
  113.           amikor  a  keresô  a  fertôzött  file-t akarja megvizsgálni,
  114.           akkor  a  vírus  a  file-nak  csak  az  eredeti, vírusmentes
  115.           állapotát  mutatja  --  és a keresôprogramok ilyenkor semmit
  116.           sem  találnak.  Ennek  kivédésére  a  programok induláskor a
  117.           memóriát is ellenôrzik.
  118.           
  119.           Egyre  többen  használnak EXE/COM tömörítô programokat, mint
  120.           amilyen  az  LZEXE  és  a  PKLITE. Ha ezekkel a programokkal
  121.           sûrítettek  össze  egy  vírusos  file-t, akkor abban a vírus
  122.           csak  úgy  ismerhetô  fel,  ha  átmenetileg,  az  ellenôrzés
  123.           idejére  azt  kicsomagolja  a  keresô.  Azonban egyrészt nem
  124.           ismerhetnek   minden  sûrítôt  a  víruskeresôk,  másrészt  a
  125.           kibontás  nagymértékben  lassítja a keresést. Emellett az is
  126.           gátolja  a  vírusok  felismerését, hogy az újabb vírusok már
  127.           önmagukat  mutálva,  megváltoztatva  szaporodnak,  így nehéz
  128.           ôket   teljes   biztonsággal   felismerni.   A   víruskeresô
  129.           programok  azon kívül, hogy nem mindig észlelik a fertôzést,
  130.           néha  még vaklármát is csapnak. Ez olykor nagyobb kárt okoz,
  131.           mint egy valódi vírus.
  132.           
  133.           Ebbe  a  csoportba  tartoznak még a többé-kevésbé rendszeres
  134.           víruskeresést  megvalósító  programok is, például a VCOPY, a
  135.           VSHIELD,  és a VIROVERSEER. A VCOPY nem más, mint a DOS COPY
  136.           parancsa   helyett   alkalmazandó  program.  Másolás  közben
  137.           azonban  ellenôrzi  a  file-ok vírusmentességét. Ha mindig a
  138.           VCOPY   paranccsal   másolunk   file-okat  gépünkre,  sokkal
  139.           ritkábban   van   szükség   az  egész  merevlemezre  vagy  a
  140.           hálózatra  kiterjedô  víruskeresésre.  A VSHIELD-hez hasonló
  141.           programok  pedig  az  elindított programokat és a megnyitott
  142.           file-okat   ellenôrzik.   Ha   vírusos   programot  akarnánk
  143.           elindítani,  akkor  szólnak. Használatuk azért elônyös, mert
  144.           nem  igénylik  a  felhasználó  határozott  közremûködését, a
  145.           vírusellenôrzés automatikusan zajlik.
  146.           
  147.           A  VSHIELD-tôl kissé eltérô módon keres vírust az elindított
  148.           programokban  a VIRSEC vírusvédelme. Valójában nem is keresi
  149.           a  vírust, hanem figyeli a gép mûködését, s ha az valamelyik
  150.           ismert  vírusra jellemzô utasítássorozatot hajt végre, akkor
  151.           elkapja  a  vírust. Elônye, hogy a fentebb említett sûrített
  152.           file-okba  is  bele  tud kukkantani, azokban is képes vírust
  153.           keresni.
  154.           
  155.           
  156.            @VVáltozásdetektorok@N
  157.           
  158.           ùj,  ismeretlen vírust úgy lehet a legkönnyebben elkapni, ha
  159.           figyeljük  a lemezeken lévô adatok változását. Természetesen
  160.           ehhez  az  kell, hogy -- a késôbbi összehasonlítás érdekében
  161.           --  elôbb  elmentsük  a  lemezen lévô file-okról a szükséges
  162.           információkat.  E módszer másik elônye, hogy a tárolt adatok
  163.           alapján  a  file  akár  még  akkor  is  visszaállítható,  ha
  164.           ismeretlen vírus fertôzte meg a file-t.
  165.           
  166.           Ma   már   a  legtöbb  víruskeresô  programban  (CPAV,  NAV,
  167.           SYSDOKI)  van  olyan  funkció,  amely  az összes megvizsgált
  168.           futtatható   file-ról   automatikusan  eltárolja  ezeket  az
  169.           ellenôrzô    információkat,   és   a   késôbbiekben   minden
  170.           ellenôrzéskor  a  víruskeresés  mellett a file-ok változását
  171.           is  figyeli.  A  CPAV (Central Point AntiVirus) és a SYSDOKI
  172.           ezt  egész  intelligensen  teszi  meg.  Minden alkönyvtárban
  173.           létrehoznak  egy-egy  néhány  Kbyte-os adatfile-t, amiben az
  174.           egyes  file-ok adatait tárolják. Ezzel szemben a NAV (Norton
  175.           AntiVirus)  --  minden  figyelmeztetés, opcionális letiltási
  176.           lehetôség   nélkül  --  minden  egyes  EXE,  COM,  OVL,  SYS
  177.           kiterjesztésû  file-hoz  létrehoz egy 77 byte hosszú rejtett
  178.           file-t.   77   byte   egészen   minimálisnak  tûnik,  de  ha
  179.           figyelembe  vesszük,  hogy a DOS minden létrehozott file-nak
  180.           lefoglal  egy  clustert  (lemezfoglalási  egységet, ami 2048
  181.           byte),  akkor  ez a 77 byte a valóságban jóval több. Például
  182.           egy  80  Mbyte-os  merevlemezen körülbelül 600 ilyen rejtett
  183.           file-t  hozott  létre,  ami  azt  jelenti,  hogy  600*2048 =
  184.           1|228|800  byte-ot  foglalt le minden figyelmeztetés nélkül.
  185.           Ez egy kicsit túlzás.
  186.           
  187.           A   víruskeresô   programokon   kívül   vannak  kifejezetten
  188.           változásdetektor  programok  is. Ilyen például a VIRSEC és a
  189.           VIRUSSAFE    program.    Elônyük,    hogy   csak   változást
  190.           detektálnak,  így  sokkal  gyorsabbak  a víruskeresôknél. Ez
  191.           azt  jelenti,  hogy az ellenôrzést minden rendszerindításkor
  192.           végre   lehet  hajtani.  A  VIRSEC-ben  például  a  sebesség
  193.           növelése   érdekében   egy  mindig  végrehajtott  elsôdleges
  194.           ellenôrzés  mellett  egy  ritkábban végrehajtott másodlagos,
  195.           alaposabb  ellenôrzés  is  beállítható.  Hátrányuk, hogy egy
  196.           már  memóriában  lévô lopakodó (stealth) technikát alkalmazó
  197.           vírus felfedezésére ez a módszer nem alkalmas.
  198.           
  199.           
  200.            @VÅltalános vírusvédelmek@N
  201.           
  202.           A  vírusvédelmek  már  valamivel  bonyolultabb  felépítésûek
  203.           mint   a   víruskeresôk,   hiszen   a  feladatuk  sem  olyan
  204.           egyértelmû.   Céljuk  bármilyen  típusú  vírus  terjedésének
  205.           megakadályozása, a vírus mielôbbi felismerése.
  206.           
  207.           Mint  azt  a  bevezetôben  láthattuk,  a vírusokat általában
  208.           azon  a ponton foghatjuk meg, ahol az adatok és a futtatható
  209.           kódok  közötti  transzformáció  történik. Vagyis a COM, EXE,
  210.           BAT,  OVL  kiterjesztésû  file-ok változtatásakor. Szinte az
  211.           összes  általános  vírusvédelem figyeli ezeknek a file-oknak
  212.           a  változtatását,  és  illegális  mûveletnél figyelmeztet az
  213.           esetleges  vírusveszélyre.  Az  intelligensebb vírusvédelmek
  214.           lehetôséget  biztosítanak  az  illegális  mûveletek  körének
  215.           megadására  is.  Például  a VIRSEC vírusvédelem segítségével
  216.           egy  teljes  file-védelmi  rendszer  állítható  össze.  Akár
  217.           file-onként  is  kijelölhetôk az adott file-on végrehajtható
  218.           mûveletek.  Sajnos  egy  illegális  mûvelet kiadása után nem
  219.           lehet   egyértelmûen  eldönteni,  hogy  vírus  adta-e  ki  a
  220.           parancsot,  vagy  a  felhasználó  szeretné azt végrehajtani,
  221.           ezért   a  legtöbb  védelem  ilyenkor  --  egy  ablakban  --
  222.           megkérdezi  a  felhasználót,  ô  adta-e  ki a parancsot vagy
  223.           gyanakodjon  vírusra.  Ha egy sûrûn használt program jogosan
  224.           akar  illegálisnak minôsülô utasítást végrehajtani, akkor az
  225.           állandó  üzenetek  nagyon  zavaróak  lehetnek, ezért szükség
  226.           van  a  vírusvédelmek  konfigurálhatóságára. Ez sajnos jópár
  227.           vírusvédelmi terméknél nem lehetséges.
  228.           
  229.           Egy  másik  módszer  a  rezidenssé váló programokat figyeli.
  230.           Mivel  a vírusok többsége szeret a memóriában maradni, ezért
  231.           ez  a módszer ezek ellen elég hatékony lehet. Hátránya, hogy
  232.           sok  vaklármát  csap,  és  az  elfogott vírusokat sem mindig
  233.           lehet kezelni, betelepedésüket megakadályozni.
  234.           
  235.           E   csoporton  belül  van  a  legnagyobb  eltérés  az  egyes
  236.           termékek  minôsége  között.  Ez  leginkább annak köszönhetô,
  237.           hogy   ezeket   a   szoftvereket   nagyon  nehéz  tesztelni,
  238.           összehasonlítani.  îgy  eddig  nem  volt különösebb ösztönzô
  239.           erô  az  igazi  fejlesztésre.  Teszteltem már olyan külföldi
  240.           vírusvédelmet is, amelynek a dokumentációjában az állt, hogy
  241.           a   program  mûködése  mesterséges  inteligencián  alapszik,
  242.           miközben  a  program  csak ismert vírusokat fedezett fel, és
  243.           mindössze egy minimális file-védelemmel volt ellátva.
  244.           
  245.           A  vakriadók  miatt  egyes  védelmek bizonyos környezetekben
  246.           egyáltalán    nem   használhatók,   ráadásul   kevés   olyan
  247.           vírusvédelemmel  találkozhatunk, amit igazán jól, rendszerre
  248.           szabottan  lehetne  konfigurálni. Ezért mielôtt bárki is egy
  249.           felkínált  vírusvédelem  vásárlására  adná  a  fejét  (és  a
  250.           pénzét)  gyôzôdjön  meg  róla,  vajon  az  adott  program az
  251.           általa használt szoftverekkel is együtt tud-e mûködni.
  252.           
  253.           
  254.            @VBoot-vírusok@N
  255.           
  256.           Aki  már  foglalkozott  vírusokkal, annak bizonyára feltûnt,
  257.           hogy   eddig  nem  foglalkoztam  a  boot-vírusokkal.  Ezt  a
  258.           gonosztevô-családot  teljesen  külön kell bemutatni, ugyanis
  259.           ôk  már  nem  a DOS operációs rendszerhez tartoznak, hanem a
  260.           PC-k  indulásakor  történô  inicializáláshoz.  îgy  az elôzô
  261.           részben   tárgyalt  DOS-vírusokkal  keverve  csak  rontották
  262.           volna az érthetôséget.
  263.           
  264.           A  boot-vírusok  lényege  az,  hogy egy PC-n nem csupán EXE,
  265.           COM,  OVL,  stb.  kiterjesztésû file-ok futtathatók, hanem a
  266.           bekapcsolás  utáni  inicializáláskor  --  ezt  a  folyamatot
  267.           hívják  bootolásnak  -- betöltôdô MBR (master boot record, a
  268.           partíciós  tábla  programja),  a  boot szektorok, valamint a
  269.           rendszerfile-ok  is. îgy a vírusok egy nagy csoportja ezeket
  270.           (is) fertôzi.
  271.           
  272.           Az  adat--kód  transzformáció  itt  is  megvan,  hiszen  ami
  273.           adatot   a  boot-szektorba  írunk,  az  futtathatóvá  válik,
  274.           valamint  a  boot-szektort  is  el  tudjuk olvasni adatként.
  275.           Ezek   alapján  a  boot-vírusok  elleni  védekezés  egyszerû
  276.           lenne,  hiszen  csak  az MBR és a boot szektorok felülírását
  277.           kellene  megakadályozni, felügyelni. Elméletileg ez igaz is,
  278.           de  a  boot-vírusokkal az a baj, hogy az inicializálás alatt
  279.           az    @KA:@N    meghajtóban    felejtett    floppyról    szoktak
  280.           elindulni,  amikor  a vírusvédelem még nem aktív. Ha pedig a
  281.           vírusvédelem  a  vírus  után  indul  el,  akkor  a vírus azt
  282.           könnyedén kicselezheti.
  283.           
  284.           A  vírusvédelmeknek  szükségük van annak kivédésére, hogy az
  285.           @KA:@N  meghajtóban  felejtett  lemezrôl  bootolni  lehessen. Az
  286.           újabb   gépek   beépített   setup   programjai  már  képesek
  287.           opcionálisan   letiltani  az  @KA:@N-ról  való  bootolást.  Ahol
  288.           ilyen  lehetôség  nincs,  ott  többféle trükk is segíthet. A
  289.           legbiztonságosabb  megoldás  az, ha hardveresen gondoskodunk
  290.           arról,  hogy  ne  legyen  @KA:@N  meghajtó.  Ezt  akkor tehetjük
  291.           meg,  ha  a számítógépben csak egy floppymeghajtó van. Ekkor
  292.           ezt   a   meghajtót   az  üres  @KB:@N  csatlakozóra  átdugva  a
  293.           rendszer   nem   képes   az   @KA:@N-ról  bootolni,  miközben  a
  294.           meghajtó   a   továbbiakban   --   mint   @KB:@N   meghajtó   --
  295.           használható marad.
  296.           
  297.           Mindenféle  hardverátkötés  nélkül,  mindössze  a  CMOS  RAM
  298.           módosításával  is  elérhetô, hogy inicializáláskor a BIOS ne
  299.           vegye  észre  az  @KA:@N  meghajtót.  Ha az abszolút boot-tiltás
  300.           nem  oldható  meg,  akkor  a  vírusvédelmek  többféle  módon
  301.           védekeznek  a  vírusos  lemezek  ellen.  A legegyszerûbb, de
  302.           talán  leghatásosabb  módszer,  hogy  minden  olyan esetben,
  303.           amikor  az  @KA:@N  lemezrôl  olvasnak,  a  védelem megvizsgálja
  304.           annak   bootszektorát,  s  ha  fertôzöttnek  találja,  akkor
  305.           figyelmezteti  a  felhasználót.  Egyes  védelmek  addig  nem
  306.           engednek  bootolni  melegindításnál  ([Ctrl  Alt Del), amíg
  307.           lemez van az @KA:@N meghajtóban.
  308.           
  309.           Néhányan  azonban  nem  elégedtek meg a ""félmegoldásokkal".
  310.           Külön  antivírus  kártyát  építettek, melynek az a feladata,
  311.           hogy   a   vírusvédelmi   program   még   a  bootolás  elôtt
  312.           elinduljon.   Kártyás  védelemnél  biztosítva  van,  hogy  a
  313.           védelem   indulásakor   még   nincs   vírus   a  gépben.  De
  314.           bármennyire  szépen hangzik, hogy hardveres a védelem, ennél
  315.           többet sajnos nem tehet.
  316.           
  317.           Ha  a  fenti  megoldások bármelyikével sikerül meggátolni az
  318.           @KA:@N    meghajtóról    való    bootolást,   akkor   a   @KC:@N-rôl
  319.           induló  védelem  ugyanazt  a feladatot láthatja el, mint egy
  320.           kártya  beégetett  programja.  A  kártya  vírusvédelmi része
  321.           sem  más,  mint  egy  megírt  program. A különbség mindössze
  322.           annyi,  hogy  a  program  a kártya memóriájában található, s
  323.           így  nem  foglal helyet a központi memóriában. Åm ez is csak
  324.           félig   igaz.   Sokszor   a   640  Kbyte  fölötti  részt  is
  325.           használjuk  rezidens  programok tárolására, s a kártya onnan
  326.           lefoglal   valamekkora   helyet,   hiszen   egy   PC-ben   a
  327.           hardverelemek  számára  kijelölt  hely  a 640 Kbyte-os határ
  328.           fölött  van.  îgy  elôfordulhat,  hogy  egy saját memóriával
  329.           rendelkezô  kártya  több  RAM-ot  foglal el, mint egy EMS-be
  330.           feltöltôdô rezidens vírusvédelem.
  331.           
  332.           
  333.            @VEgyéb cselesen szaporodó vírusok@N
  334.           
  335.           Mivel   az   eddig   felsorolt   vírusvédelmi   módszerek  a
  336.           hagyományos  vírusok  ellen  elég jó hatékonyságot értek el,
  337.           az  újabb  vírusok  már  mindenféle cseles szaporodási módot
  338.           alkalmaznak  a  vírusvédelmek  kijátszására. Egy jó védelmet
  339.           az   is  jellemez,  hogy  ezek  közül  az  újabb  generációs
  340.           terjedési   módok   közül   melyeket  ismer.  Néhány  cseles
  341.           módszer:
  342.           
  343.           
  344.           A   @KCEB-vírusok@N   (companion-vírusok)   a   DOS-nak   azt  a
  345.           tulajdonságát  használják  ki, hogy ha egymás mellett azonos
  346.           néven  van  egy  COM,  és  egy  EXE,  vagy  BAT  file,  és a
  347.           parancssorban  nem  adjuk  meg  a file kiterjesztését, akkor
  348.           mindig  a  COM  kiterjesztésû  indul  el.  Egy CEB-vírus úgy
  349.           fertôz  EXE  és  BAT  file-okat,  hogy  velük  azonos  néven
  350.           létrehoz  egy rejtett, COM kiterjesztésû file-t, ami magát a
  351.           vírust  tartalmazza. îgy az eredeti program helyett mindig a
  352.           vírus fog elindulni.
  353.           
  354.           A  @KFAT-vírusok@N  legszebb  példája  az  utóbbi idôben talán a
  355.           DIR2FAT,  más  néven  Cluster  Buster  vírus volt. Terjedési
  356.           módszere  annyira új volt felbukkanásakor, hogy több hónapig
  357.           lappangott,    míg    végre    a   szakembereknek   sikerült
  358.           felfedezniük.  A  terjedés lényege, hogy a DOS alá telepszik
  359.           be,  és  a  lemezek  abszolút  olvasását, írását kihasználva
  360.           terjed.  îgy  a  vírusvédelmek  szinte  tehetetlenek  voltak
  361.           ellene.
  362.           
  363.           @KBAT-vírusok@N:   a   vírusok   egy  része  BAT  file-okban  is
  364.           képes  terjedni -- ellenük egyszerû a védekezés, mindössze a
  365.           BAT file-ok írását kell felügyelni.
  366.           
  367.           @KANSI-bombák@N:    sajnos    az   is   megoldható,   hogy   egy
  368.           egyszerû  szövegfile-ba  olyan vezérlôkarakterek kerüljenek,
  369.           amelyek  segítségével  a szövegfile kiíratásakor elindítható
  370.           egy  futtatható  program, ami azután már akár magát a vírust
  371.           is tartalmazhatja.
  372.           
  373.           
  374.            @VSzakmai segítség@N
  375.           
  376.           Akármilyen  jó  vírusvédelmi  rendszert is választunk, a baj
  377.           mindig   bekövetkezhet   --   s   Murphy   szerint  ami  baj
  378.           bekövetkezhet,  az  be  is  következik.  Ezért  nem  árt  az
  379.           országban  mûködô  számos  vírusirtó  csapat  valamelyikével
  380.           felvenni  a  kapcsolatot,  netán  vírusmentesítô  szerzôdést
  381.           kötni a nagyobb bajok megelôzésére.
  382.           
  383.           @KHornák Zoltán@N
  384.           
  385.           
  386.               @VHacker Híradó@N
  387.           
  388.           A  CompuServe  Hacker  fórumán  és  a  Virusforumon  néztünk
  389.           körül  a  minap. Arra voltunk kíváncsiak, idén milyen hamis,
  390.           átvakart   programverziókkal  találkozhatunk.  A  begyûjtött
  391.           anyag  hatalmas  terjedelme miatt csak szemelvényeket tudunk
  392.           közreadni az újdonságokból.
  393.           
  394.           A  vírusterjesztôk  egyik  legkellemetlenebb  tréfája,  hogy
  395.           vírusaikat   idônként   feltört   és  megpiszkált  antivírus
  396.           programokba  telepítik. E durva tréfák egyik szenvedô alanya
  397.           John  McAfee  ViruScan  programja.  A hírneves szakember nem
  398.           vállal  semmiféle  közösséget  az  alábbi programverziókkal:
  399.           SCAN74,  SCAN78,  SCAN79,  SCAN81,  SCAN83,  SCAN87, SCAN88,
  400.           SCAN92, SCAN94, SCAN96, SCAN98.
  401.           
  402.           A  COMPILER  névre hallgató csomag azt állítja magáról, hogy
  403.           a  Stacker  freeware  változata. A szövegfile-okban megadott
  404.           telefonszámok  hamisak,  a  program  törli a merevlemezrôl a
  405.           COMMAND.COM-ot.
  406.           
  407.           Az  LHA  3.00  verziójaként jelentkezik a PSI3. Lerombolja a
  408.           partíciós  táblát,  a  bootszektort,  a FAT|1 és FAT|2 egyes
  409.           részeit.   A   program   emellett  hivatkozik  egy  ZAPPER15
  410.           nevû  programra,  amelyre  állítólag  egy ""PSQR" nevû vírus
  411.           eltávolításához  van  szükség.  Ne  dôljünk  be.  A ZAPPER15
  412.           maga   is  egy  trójai  program,  amely  a  memóriából  vett
  413.           véletlenszerû    szeméttel    írja    felül   a   merevlemez
  414.           bootszektorát.
  415.           
  416.           Egy  amatôr  trójai  programról  is hírt adhatunk. Egy Danny
  417.           Swerdloff  rendszeroperátor  (SysOp)  jelezte  a  JOKE  nevû
  418.           csomagot.  A  tréfaként  bemutatkozó  csomag  mindössze  két
  419.           file-ból  áll.  A JOKE.DOC biztosítja a felhasználót, hogy a
  420.           batch  file  teljesen  ártalmatlan,  de  ne higgyünk neki. A
  421.           batch file ugyanis az alábbi sorokat tartalmazza:
  422.            @Kc:@N
  423.           @K cd\dos@N
  424.           @K del keyboard.sys@N
  425.           @K format C:@N
  426.           Mint    látszik,   óvatosnak   kell   lennünk.   Kegyetlenül
  427.           megtréfálhatnak  bennünket, ha ellenôrzés nélkül lefuttatjuk
  428.           az   ismeretlen   eredetû   batch   file-okat.   Ráadásul  a
  429.           víruskeresôk   sem  használhatók  e  veszély  csökkentésére,
  430.           mivel a batch file-okat nem ellenôrzik.
  431.           
  432.           Az    ARJ240    néven    elôforduló    program    használata
  433.           életveszélyes.  Egy  security  envelope  csomagolásba  galád
  434.           kezek Fish vírust terjesztô rutint csomagoltak.
  435.           
  436.           Figyelmeztetést  kaptunk,  hogy  a  Proto-T  vírus  -- amely
  437.           állítólag  a  VGA  kártyák RAM-jában vagy a modempufferekben
  438.           bújik   meg   --   a   PKZip   átvakart,   3.x   ""verziójú"
  439.           változataiban is terjed.
  440.           
  441.           @KNagy Gábor@N
  442.