home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9308 / MSAVKRIT.CD

< prev

next >

Wrap

Text File  |  1995-04-19  |  9KB  |  162 lines

---

1.           @VHamis biztonságban@N
2.  
3.           @VLehangoló tények a Microsoft Anti-Virusról@N
4.  
5.           A   Microsoft  idén  piacra  dobott  MS  DOS  6.0  operációs
6.           rendszerének  része  egy  antivírus  programcsomag is. Ez az
7.           önmagában  jó  dolog  azonban  a  visszájára  fordul,  ha  a
8.           felhasználók  arra  hivatkozva,  hogy  a  DOS-szal  érkezett
9.           MSAV,  VSAFE  és  MWAV  programokat használják, lemondanak a
10.           jóval   hatékonyabb   és  megbízhatóbb  antivírus  programok
11.           beszerzésérôl.  Cikkünkben  sorra  vesszük  a csomag védelmi
12.           rendszerének ismert lyukait.
13.  
14.  
15.  
16.           Az  új  DOS  elterjedésével  minden  esély  megvan  arra  --
17.           legalábbis   elméletben  --,  hogy  a  Microsoft  Anti-Virus
18.           legyen  a  világ  legelterjedtebb  antivírus programja, a de
19.           facto  szabvány,  tekintet  nélkül  minôségére. Éppen emiatt
20.           várható,  hogy  a vírusírók egyik fô célpontjává válik, mint
21.           ahogy   ez   több   hasonló  szoftverrel  is  megtörtént.  A
22.           programok   gyengéit   --   márpedig   sajnos  vannak  --  a
23.           vírusfejlesztôk   gátlástalanul   ki  is  fogják  használni.
24.           îrásunkkal    nem    elrettenteni    akarunk   a   programok
25.           használatától,   inkább  csak  szeretnénk  figyelmeztetni  a
26.           forgalmazókat   és   a   felhasználókat   a   már  felismert
27.           problémákra.
28.  
29.           A  Microsoft  --  mint köztudott -- nem maga fejlesztette ki
30.           az  MSAV programot. A Central Pointtól megvásárolt szoftvert
31.           ugyan  némileg  átalakították,  tehát  a  két program néhány
32.           dologban  különbözik,  ám  alapvetô szerkezetük, képességeik
33.           nagyon  hasonlók.  A három fô programból álló csomag egy DOS
34.           és  egy Windows alatt futtatható interaktív menüs programot,
35.           és  egy  háttérben  futó  TSR  programot  tartalmaz. Mivel a
36.           DOS-os  és  a  windowsos változat csak a kezelési felületben
37.           különbözik,   a   következôkben   csak   a   DOS-változattal
38.           foglalkozunk.
39.  
40.           A  négy  legáltalánosabb antivírus-funkciót megosztva végzik
41.           a  programok.  Az  MSAV  és a VSAFE is maga keresi az ismert
42.           vírusokat,  ellenôrzi  a  file-ok  épségét.  Az MSAV egyedül
43.           intézi  a  megtalált  vírusok eltávolítását, a VSAFE pedig a
44.           vírusgyanús  funkciók  folyamatos ellenôrzését. Vegyük sorra
45.           a programokat.
46.  
47.  
48.           @VMSAV@N
49.  
50.           Az  MSAV  menüs  üzemmódban  --  a  CPAV-tól  eltérôen -- csak
51.           teljes   lemezellenôrzést   végezhet,   nem   képes   egyetlen
52.           kiválasztott  könyvtár  vagy  file  ellenôrzésére.  Ez utóbbit
53.           csak  megfelelô  parancssori  paraméterezéssel kérhetjük tôle.
54.           Nem  kell  talán  külön  részleteznem,  mennyire lelassíthatja
55.           az    ellenôrzést,    ha    például    az    átmenetileg   egy
56.           tesztkönyvtárba  felvitt  vagy  kibontott  programokat akarjuk
57.           ellenôriztetni  interaktív  módon.  Ha  már  itt  tartunk, egy
58.           másik   programhibáról  is  szót  kell  ejteni:  az  MSAV  nem
59.           fogadja  el  a  joker  karaktereket  (*  és  ?) a file-névben.
60.           Ezért nem adható meg paraméterként file-maszk.
61.  
62.           Független  szakértôk  több  helyen is rendszeresen tesztelik a
63.           víruskeresô  programok  tudását.  A hamburgi Virus Test Center
64.           mérései    szerint   (ott   2300   víruson   vizsgáztatják   a
65.           programokat)  az  MSAV  a ráeresztett vírusoknak csupán 61%-át
66.           fedezte  fel,  ami  az  élmezôny 90 százalék feletti átlagához
67.           képest   lehangoló.  A  Patricia  Hoffman  nevével  fémjelzett
68.           VSUMX   adatbázis   április  28-i  kiadása  szerint  (ez  2015
69.           vírust  tartalmaz)  az  MSAV  53,1, a CPAV 59,4%-ot produkált,
70.           ami   a  listavezetô  ViruScan  93,2%-ához  képest  édeskevés.
71.           További,  eddig  nemigen  publikált  tény,  hogy  az  MSAV nem
72.           veszi  észre  az  EXE/COM  tömörítôkkel  (LZEXE,  PKLITE stb.)
73.           zsugorított   programokban   rejtôzködô   kártevôket.  Hát  ez
74.           van...
75.  
76.           A  program  sebességérôl  sem  beszélhetünk  felsôfokon. Igaz,
77.           hogy  memóriaellenôrzése  ötször  gyorsabb,  mint a ViruScané,
78.           de  csak  fele  az F-Proténak. (Amúgy az F-Prot egyike azoknak
79.           a   programoknak,  amelyek  90  százalék  feletti  hatásfokkal
80.           dolgoznak.)  A  lemezek  ellenôrzése  során hasonlóan lomhának
81.           bizonyult.
82.  
83.           A  gyári  beállítások  külön  téma.  Fel  nem  fogható, mi oka
84.           lehet  annak,  hogy  az  igen  veszélyes  és  egyre  gyakoribb
85.           lopakodó  vírusok  ellenôrzése  nem része az alapbeállításnak,
86.           ellenben   az   összes  file  ellenôrzése  igen.  Ha  már  itt
87.           tartunk,   az   ellenôrzendô  kiterjesztéseknél  állandó,  nem
88.           módosítható   (!)   készlettel   dolgozik   a  program.  Hiába
89.           használható     parancssori     paraméterezéssel,    azok    a
90.           bejegyzések,   amelyek  nincsenek  meg  az  MSAV.INI-ben,  nem
91.           bírálhatók   felül.   Az   INI   file   kézi  átszerkesztéssel
92.           módosítható, de ez aligha erény.
93.  
94.           A  víruskeresô  frissítését  a  Microsoft  pénzért  ígéri,  ám
95.           kétséges,    hányan    tudnak   és   fognak   élni   ezzel   a
96.           lehetôséggel.  Mi  még  egyetlen olyan esetrôl sem hallottunk,
97.           hogy   a  Microsoft  frissítést  küldött  volna  az  MSAV-hoz.
98.           Enélkül   pedig   egy   antivírus  program  nem  lehet  igazán
99.           hatásos.
100.  
101.  
102.           @V@VVSAFE@N
103.  
104.           Az  új  DOS memóriában maradó (rezidens) antivírus programja
105.           nincs  felkészítve  a  lopakodó (stealth) vírusok jelzésére.
106.           Az   MSAV  indításkor  elmenti,  majd  kikapcsolja  a  VSAFE
107.           kapcsolóit,  hogy  ne legyen feleslegesen kettôs ellenôrzés,
108.           visszakapcsolnia  azonban nem mindig sikerül. A továbbiakhoz
109.           fontos  tudnivaló,  hogy  amennyiben  Windows alatt kívánunk
110.           dolgozni,  a  VSAFE-et  ki  kell kapcsolni, s az MWAVTSR.EXE
111.           programmal  védhetjük  programjainkat.  Szerencsére  erre  a
112.           súgó (help) és a dokumentáció figyelmeztet is.
113.  
114.           A  VSAFE inaktiválása szoftveres úton -- sajnos -- egyszerû.
115.           Az  AX  és DX regiszterbe megadott értéket kell tölteni, meg
116.           kell  hívni  egy  megszakítást  (a  három rendelkezésre álló
117.           közül),  s  máris  önként  és  dalolva kitakarodik a VSAFE a
118.           memóriából,  vagy  kikapcsolja a beállításait, anélkül, hogy
119.           a  gép  elôtt  ülô  felhasználó errôl tudomást szerezne. Nem
120.           tippeket   akarunk   ezzel   adni   a   vírusíróknak,   csak
121.           figyelmeztetünk  a  valós  veszélyre.  A  Tremor vírus ezt a
122.           játékot  játssza. Mivel az ehhez szükséges rutin mindössze 8
123.           byte  hosszú,  várható,  hogy  ismertté válásával egyre több
124.           vírus alkalmazni fogja ezt a kikapcsolási trükköt.
125.  
126.           A  VSAFE csak a már létezô végrehajtható file-ok módosítását
127.           figyeli,  nem  foglalkozik az új file-ok létrehozásával. îgy
128.           egy   vírus   nyugodtan  megváltoztathatja  egy  programfile
129.           kiterjesztését,   megfertôzheti   majd   visszanevezheti,  s
130.           mindezt  nem  veszi észre a VSAFE. Avagy a vírus létrehozhat
131.           egy  fertôzött  file-t más néven, törölheti az eredetit, s a
132.           fertôzôtt  file-t  átnevezheti  az  eredeti névre -- a Suriv
133.           vírus  például  ezt a technikát alkalmazza. Egyes vírusok --
134.           például  az Aids-II, Twin-351, Mithrandir -- nem módosítanak
135.           létezô  file-okat,  hanem  újakat  hoznak  létre,  amelyek a
136.           célprogram  elôtt hajtódnak végre. Ezeket sem az MSAV, sem a
137.           VSAFE nem veszi észre.
138.  
139.           Az  MSAV nem tud ellenôrzô értéket (checksum, CRC) képezni a
140.           DOS  bootszektorából  és  a  Master  Boot  Recordból  (MBR).
141.           Ráadásul  az  MSAV  és  a  VSAFE csak az ellenôrzött file-ok
142.           elsô  63  byte-ját  figyeli.  îgy  nem  csoda,  ha  az olyan
143.           vírusok,  amelyek  nem módosítják a fertôzött file elejét --
144.           ilyen   a   LeapFrog  --  könnyen  elsétálnak  e  mellett  a
145.           ""védelem" mellett.
146.  
147.           További  kifogás a program(ok) ellen, hogy nem takarítják el
148.           maguk  után  a  keresô stringeket a memóriából, s nem rejtik
149.           el  kellôen  azokat. Ezért aztán Israeli Boot [Iboot vírust
150.           vél  felfedezni  a  McAfee-féle  ViruScan a memóriában, ha a
151.           VSAFE  bent  csücsül.  Mivel  általánosan ajánlott módszer a
152.           különbözô    víruskeresôk    kombinált    alkalmazása,   nem
153.           elfogadható  az  az  álláspont,  hogy a többi programot kell
154.           felkészíteni a VSAFE felismerésére.
155.  
156.           Összefoglalva  annyit  állapíthatunk  meg,  hogy a Microsoft
157.           elindított   egy  ígéretes  kezdeményezést  azzal,  hogy  az
158.           MSAV-ot   beépítette  a  DOS-ába,  de  a  programnak  --  és
159.           támogatásának  --  még  sokat  kell  fejlôdnie, hogy valóban
160.           versenyképes termékké váljon.
161.  
162.           @KNagy Gábor@N