home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9308
/
MSAVKRIT.CD
< prev
next >
Wrap
Text File
|
1995-04-19
|
9KB
|
162 lines
@VHamis biztonságban@N
@VLehangoló tények a Microsoft Anti-Virusról@N
A Microsoft idén piacra dobott MS DOS 6.0 operációs
rendszerének része egy antivírus programcsomag is. Ez az
önmagában jó dolog azonban a visszájára fordul, ha a
felhasználók arra hivatkozva, hogy a DOS-szal érkezett
MSAV, VSAFE és MWAV programokat használják, lemondanak a
jóval hatékonyabb és megbízhatóbb antivírus programok
beszerzésérôl. Cikkünkben sorra vesszük a csomag védelmi
rendszerének ismert lyukait.
Az új DOS elterjedésével minden esély megvan arra --
legalábbis elméletben --, hogy a Microsoft Anti-Virus
legyen a világ legelterjedtebb antivírus programja, a de
facto szabvány, tekintet nélkül minôségére. Éppen emiatt
várható, hogy a vírusírók egyik fô célpontjává válik, mint
ahogy ez több hasonló szoftverrel is megtörtént. A
programok gyengéit -- márpedig sajnos vannak -- a
vírusfejlesztôk gátlástalanul ki is fogják használni.
îrásunkkal nem elrettenteni akarunk a programok
használatától, inkább csak szeretnénk figyelmeztetni a
forgalmazókat és a felhasználókat a már felismert
problémákra.
A Microsoft -- mint köztudott -- nem maga fejlesztette ki
az MSAV programot. A Central Pointtól megvásárolt szoftvert
ugyan némileg átalakították, tehát a két program néhány
dologban különbözik, ám alapvetô szerkezetük, képességeik
nagyon hasonlók. A három fô programból álló csomag egy DOS
és egy Windows alatt futtatható interaktív menüs programot,
és egy háttérben futó TSR programot tartalmaz. Mivel a
DOS-os és a windowsos változat csak a kezelési felületben
különbözik, a következôkben csak a DOS-változattal
foglalkozunk.
A négy legáltalánosabb antivírus-funkciót megosztva végzik
a programok. Az MSAV és a VSAFE is maga keresi az ismert
vírusokat, ellenôrzi a file-ok épségét. Az MSAV egyedül
intézi a megtalált vírusok eltávolítását, a VSAFE pedig a
vírusgyanús funkciók folyamatos ellenôrzését. Vegyük sorra
a programokat.
@VMSAV@N
Az MSAV menüs üzemmódban -- a CPAV-tól eltérôen -- csak
teljes lemezellenôrzést végezhet, nem képes egyetlen
kiválasztott könyvtár vagy file ellenôrzésére. Ez utóbbit
csak megfelelô parancssori paraméterezéssel kérhetjük tôle.
Nem kell talán külön részleteznem, mennyire lelassíthatja
az ellenôrzést, ha például az átmenetileg egy
tesztkönyvtárba felvitt vagy kibontott programokat akarjuk
ellenôriztetni interaktív módon. Ha már itt tartunk, egy
másik programhibáról is szót kell ejteni: az MSAV nem
fogadja el a joker karaktereket (* és ?) a file-névben.
Ezért nem adható meg paraméterként file-maszk.
Független szakértôk több helyen is rendszeresen tesztelik a
víruskeresô programok tudását. A hamburgi Virus Test Center
mérései szerint (ott 2300 víruson vizsgáztatják a
programokat) az MSAV a ráeresztett vírusoknak csupán 61%-át
fedezte fel, ami az élmezôny 90 százalék feletti átlagához
képest lehangoló. A Patricia Hoffman nevével fémjelzett
VSUMX adatbázis április 28-i kiadása szerint (ez 2015
vírust tartalmaz) az MSAV 53,1, a CPAV 59,4%-ot produkált,
ami a listavezetô ViruScan 93,2%-ához képest édeskevés.
További, eddig nemigen publikált tény, hogy az MSAV nem
veszi észre az EXE/COM tömörítôkkel (LZEXE, PKLITE stb.)
zsugorított programokban rejtôzködô kártevôket. Hát ez
van...
A program sebességérôl sem beszélhetünk felsôfokon. Igaz,
hogy memóriaellenôrzése ötször gyorsabb, mint a ViruScané,
de csak fele az F-Proténak. (Amúgy az F-Prot egyike azoknak
a programoknak, amelyek 90 százalék feletti hatásfokkal
dolgoznak.) A lemezek ellenôrzése során hasonlóan lomhának
bizonyult.
A gyári beállítások külön téma. Fel nem fogható, mi oka
lehet annak, hogy az igen veszélyes és egyre gyakoribb
lopakodó vírusok ellenôrzése nem része az alapbeállításnak,
ellenben az összes file ellenôrzése igen. Ha már itt
tartunk, az ellenôrzendô kiterjesztéseknél állandó, nem
módosítható (!) készlettel dolgozik a program. Hiába
használható parancssori paraméterezéssel, azok a
bejegyzések, amelyek nincsenek meg az MSAV.INI-ben, nem
bírálhatók felül. Az INI file kézi átszerkesztéssel
módosítható, de ez aligha erény.
A víruskeresô frissítését a Microsoft pénzért ígéri, ám
kétséges, hányan tudnak és fognak élni ezzel a
lehetôséggel. Mi még egyetlen olyan esetrôl sem hallottunk,
hogy a Microsoft frissítést küldött volna az MSAV-hoz.
Enélkül pedig egy antivírus program nem lehet igazán
hatásos.
@V@VVSAFE@N
Az új DOS memóriában maradó (rezidens) antivírus programja
nincs felkészítve a lopakodó (stealth) vírusok jelzésére.
Az MSAV indításkor elmenti, majd kikapcsolja a VSAFE
kapcsolóit, hogy ne legyen feleslegesen kettôs ellenôrzés,
visszakapcsolnia azonban nem mindig sikerül. A továbbiakhoz
fontos tudnivaló, hogy amennyiben Windows alatt kívánunk
dolgozni, a VSAFE-et ki kell kapcsolni, s az MWAVTSR.EXE
programmal védhetjük programjainkat. Szerencsére erre a
súgó (help) és a dokumentáció figyelmeztet is.
A VSAFE inaktiválása szoftveres úton -- sajnos -- egyszerû.
Az AX és DX regiszterbe megadott értéket kell tölteni, meg
kell hívni egy megszakítást (a három rendelkezésre álló
közül), s máris önként és dalolva kitakarodik a VSAFE a
memóriából, vagy kikapcsolja a beállításait, anélkül, hogy
a gép elôtt ülô felhasználó errôl tudomást szerezne. Nem
tippeket akarunk ezzel adni a vírusíróknak, csak
figyelmeztetünk a valós veszélyre. A Tremor vírus ezt a
játékot játssza. Mivel az ehhez szükséges rutin mindössze 8
byte hosszú, várható, hogy ismertté válásával egyre több
vírus alkalmazni fogja ezt a kikapcsolási trükköt.
A VSAFE csak a már létezô végrehajtható file-ok módosítását
figyeli, nem foglalkozik az új file-ok létrehozásával. îgy
egy vírus nyugodtan megváltoztathatja egy programfile
kiterjesztését, megfertôzheti majd visszanevezheti, s
mindezt nem veszi észre a VSAFE. Avagy a vírus létrehozhat
egy fertôzött file-t más néven, törölheti az eredetit, s a
fertôzôtt file-t átnevezheti az eredeti névre -- a Suriv
vírus például ezt a technikát alkalmazza. Egyes vírusok --
például az Aids-II, Twin-351, Mithrandir -- nem módosítanak
létezô file-okat, hanem újakat hoznak létre, amelyek a
célprogram elôtt hajtódnak végre. Ezeket sem az MSAV, sem a
VSAFE nem veszi észre.
Az MSAV nem tud ellenôrzô értéket (checksum, CRC) képezni a
DOS bootszektorából és a Master Boot Recordból (MBR).
Ráadásul az MSAV és a VSAFE csak az ellenôrzött file-ok
elsô 63 byte-ját figyeli. îgy nem csoda, ha az olyan
vírusok, amelyek nem módosítják a fertôzött file elejét --
ilyen a LeapFrog -- könnyen elsétálnak e mellett a
""védelem" mellett.
További kifogás a program(ok) ellen, hogy nem takarítják el
maguk után a keresô stringeket a memóriából, s nem rejtik
el kellôen azokat. Ezért aztán Israeli Boot [Iboot vírust
vél felfedezni a McAfee-féle ViruScan a memóriában, ha a
VSAFE bent csücsül. Mivel általánosan ajánlott módszer a
különbözô víruskeresôk kombinált alkalmazása, nem
elfogadható az az álláspont, hogy a többi programot kell
felkészíteni a VSAFE felismerésére.
Összefoglalva annyit állapíthatunk meg, hogy a Microsoft
elindított egy ígéretes kezdeményezést azzal, hogy az
MSAV-ot beépítette a DOS-ába, de a programnak -- és
támogatásának -- még sokat kell fejlôdnie, hogy valóban
versenyképes termékké váljon.
@KNagy Gábor@N