home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9310
/
VIR9310.CD
< prev
next >
Wrap
Text File
|
1995-04-19
|
24KB
|
400 lines
@VAndroméda-ôrület, Scan 107, Fprot 2.09, Tbav 6.03@N
@VVirkill 2.0 [033]@N
@VKeresôk és keresetlenek@N
A PC-s vírusfronton a helyzet változatlan: továbbra is
gyorsan nô az új vírusok, vírusváltozatok száma, a
keresôprogramok is egyre jobbak, s továbbra is vannak, akik
szeretnék, ha szoftverforgalmuk (még) gyorsabban ívelne
felfelé.
Ez utóbbi téma a legkevésbé érdekes, kezdjük mégis ezzel!
Szomorú aktualitást adtak az augusztus eleji ""események" a
következô kérdésnek: meddig szabad elmenni a hírkeltés, az
üzletmenetet javító trükkök és fogások terén? Legtöbb
olvasónk számára talán nem új információ, hogy augusztus
3-a és 5-e közt Androméda-láz dúlt Magyarországon.
(Magazinunk elôzô számának 5. oldalán már ízelítôt adtunk a
BBS-ek ezzel kapcsolatos levelezésébôl. A Heti CHIP
augusztus 19-i számában járta körül az esetet.) A Magyar
Vírusirtó Csoport (röviden MVCs) tömegtájékoztatási
eszközök útján közhírré tette, hogy augusztus 5-én fog
rombolni a PC-ken az új, ismeretlen s rendkívül veszedelmes
Androméda vírus. (Ezeket a jelzôket az MVCs használta az
Andromédával kapcsolatban.) Azt javasolták, hogy ezen a
napon a felhasználók állítsák elôre/hátra a rendszerdátumot
gépeiken, vagy ne is kapcsolják be azokat, illetve
forduljanak hozzájuk, a vírus felfedezôihez (legalábbis ezt
írta a Népszabadság), ingyenes ellenszert fognak adni a
vírus ellen minden érdeklôdônek.
Nem kívánunk belemélyedni szakmai részletkérdésekbe.
Ellenben szögezzünk le néhány tényt: az Androméda vírus
nem új; több (magánszemélyek számára ingyenesen
használható) víruskeresô program is megtalálja, sôt kérésre
ki is irtja; @Kminden@N napra esik -- nem is egy, hanem
több -- olyan vírus aktivizálódása, amely rombolással
(adatok, programok tönkretételével) fenyeget, amennyiben
nem fedezik fel idejében a fertôzést; a vírusok ellen
@Knem@N a gépek be nem kapcsolása vagy a rendszerdátum
állítgatása a megfelelô védelem, hanem a merevlemez(ek)
tartalmának rendszeres mentése, a körültekintô
programtelepítés és a rendszeres víruskeresés, szükség
esetén a vírusirtás -- csupa olyan tevékenység, amit nem
lehet kampányszerûen végezni, viszont bizonyos alapfokú
tájékozottságot és állandó odafigyelést igényel, pénzbe
(magánszemélyeknek) nem, csak idôbe kerül. Ezek tények.
Azt már csak találgatni lehet, hogy a riadalmat --
állítása szerint -- önzetlenül, segítô szándékkal keltô
MVCs miért ezt a napot, ezt a vírust választotta ki a jónép
""okítására" vírusügyben?!
A következô kérdésekre pedig alighanem mindenki maga is
megtalálja a választ: a többi, szintén romboló vírusok
akcióba lépésével fenyegetô napon (tehát minden áldott nap)
miért nem veri a tamtamot az MVCs? Miért nem rendez hasonló
vírusellenes kampányt a szép hazánkban megtalálható többi,
vírusellenes kutatást és fejlesztést folytató programozó és
szoftverfejlesztô cég?!
És végül egy messzire vezetô, súlyos következtetéseket
indukáló kérdés: miért nincs intézményes, államilag
támogatott, hatásos fogyasztói érdekképviselet
Magyarországon? (Nemcsak nyílt reklám lehet megtévesztô...)
Saját érdekeit persze mindenkinek elsôsorban magának kell
képviselnie. A szakmai fórumok, számítástechnikai újságok,
folyóiratok ebben csak ismeretterjesztéssel és
tájékoztatással segíthetnek. ùgy véljük, a CHIP Magazint
és a Heti CHIP-et e téren nem érheti szemrehányás.
@VMcAfee 107@N
Megjelent McAfee közismert vírusellenes szoftvercsomagjának
107-es sorszámú sorozata. Részei: VirusScan (SCAN),
Clean-Up (CLEAN), Vshield, Scan for Windows (WSCAN) és a
NetShieldhez adott VIR.DAT adatfile-frissítés.
Az új Scan leírásában (SCAN107.DOC) az áll, hogy 160 új
vírust ismer fel, ezzel 1613-ra (a változatokat is számolva
2309-re) nôtt az általa ismert vírusok száma. A leírás a
VIRLIST.TXT file-t említi meg a program által ismert összes
vírus listájának lelôhelyeként, de ott csak 1323 vírus
alapadatai szerepelnek (ez is komoly fejlôdés!). A Cleanhez
adott CLEAN107.DOC szerint az új verzió 15 újabb vírus
eltávolítására képes. A WScan hagyományosan a Scan Windows
alatt használható változata, képességei azonosak a
Scanével. A McAfee-féle programok menüs keretrendszerébôl,
a ViruShellbôl a tavaly áprilisi 1.30-as az utolsó verzió,
amit ismerünk.
Nagy újdonságot a Vshield 107 hoz: ha van a gépben szabad
EMS, automatikusan oda tölti adatai egy részét, s így csak
mintegy 25 Kbyte-ot foglal a DOS-memóriából (avagy a
640K-1M közti felsô memóriából). ùgy tûnik, McAfee-ék is
érezték, hogy a Vshield nagy memóriaigénye (az elôzô
verzióban még 40 Kbyte felett volt) bizonyos esetekben
akadályozza a használatát. Errôl csak egyetlen tapasztalat:
egy -- igaz, hogy 1988-as keltezésû -- program
overlay-váltáskor lefagyott a Vshield /SWAP beállítása (így
csak 3 Kbyte-ot foglalt) mellett. (Vagy a Vshield fagyott
le? Nem tudni.) A /SWAP nélkül viszont a Vshield be sem
fért a 640K-1M közti felsô memóriába.
@VFprot 2.09@N
Sokan ismerik az izlandi Fridrik Skulason víruskeresô és
-irtó programját, az Fprot csomagot, de mindmáig kevésbé
népszerû hazánkban, mivel legtöbben a McAfee-féle Scant és
Cleant használják. Ezt talán az indokolja, hogy a
víruskeresô programok legátfogóbb összehasonlító
értékelését nyújtó Patricia Hoffman-féle VSUM adatbázis
adatai szerint a Scan a legutóbbi idôkig toronymagasan
vezette a mezônyt a boot- és file-vírusok felismerési
arányát tekintve. Az Fprot lépésrôl lépésre fejlôdött, s
2.09-es verziójának megjelentével alapvetôen megváltozott a
helyzet: találati aránya még a Scanét is felülmúlja --
igaz, a Scan 106-ét (a 107-es minden valószínûség szerint
orrhossznyival az Fprot 2.09 elôtt járhat). Mindenképpen
érdemes több víruskeresôt is használni, hogy ""sûrûbb
legyen a háló", minél kevesebb vírusnak legyen esélye
átjutni az ellenôrzéseken. Ha úgy döntünk, hogy legalább
két (külföldi) keresôt használunk, akkor az -- úgy tûnik --
legnagyobb biztonságot nyújtó Scan mellett az Fprot látszik
a legjobb választásnak.
Az Fprot használata mellett szól néhány további érv is.
Talán a legfontosabb, hogy nagyon gyors, sokkal gyorsabb a
Scannél. Elfogulatlanul ítélve: mivel felismerési aránya
csak hajszálnyival marad el a Scanétôl, sebességi fölénye
miatt jelenleg az Fprot a vezetô víruskeresô program. A
másik pozitívum: rezidens vírusvédelmet is kínál az Fprot,
a VIRSTOP.EXE programot, amelynek memóriaigénye mindössze
15|680 byte (v2.09). Tehát ebben is jobb McAfee-nél, bár
itt figyelembe kell venni, hogy nincsenek összevethetô
adatok a rezidens vírusvédelmek eredményességérôl. Ha
azonban az off-line (parancssorból futtatható) keresôk
eredményességére támaszkodunk, akkor lényeges különbség
csak a memóriaigényben van -- a VIRSTOP javára. A VIRSTOP
memóriafoglalása szükség esetén egyébként még tovább
csökkenthetô a /DISK kapcsolóval, ekkor mindössze 2
Kbyte-ot igényel -- igaz, az alsó 640 Kbyte-ból, mivel
Skulason ellenjavallja a DEVICEHIGH illetve LH használatát
a /DISK kapcsoló alkalmazása esetén. Amelyik gépen nincs
elég szabad felsô (640K-1M közti) memória, ott ez lehet az
optimális beállítás, de: lásd @KVIRSTOP /DISK@N címû
keretes cikkrészünket. Az Fprotnak végül van még egy
elônye: paraméter nélkül hívva menüsen jelentkezik be, s
menürendszerébôl kényelmesen elérhetô a programcsomag
minden lényeges szolgáltatása. Érdemes ezt használva
megismerkedni az Fprot lehetôségeivel, amiben az online
súgó (help) is segít (angolul). Röviden: melegen ajánljuk
az Fprotot, kitûnô program!
@VTbav 6.03@N
A Thunderbyte Anti Virus csomag sem újonc a vírusfronton,
ezt verziószáma is jelzi. Felépítése meglehetôsen egyedi:
nem egyetlen programból áll, hanem 18, összesen 110|956
byte-os, egymással együttmûködô, egymást kiegészítô
programból. Mindegyikhez (kettô kivételével) külön .DOC
file-ban olvasható a használati ismertetô. A programok
összméretébôl talán sejthetô, hogy assemblyben írták ôket,
ennek (is) köszönhetô tömörségük és rendkívüli gyorsaságuk.
A rezidens vírusvédelmet nyújtó TBSCANX.EXE memóriaigénye
hihetetlenül kicsire, mindössze 1 Kbyte-ra is leszorítható!
A .DOC file-ok (melyeket nem javaslunk törölni, lásd
@KTelepítés, fogyókúra@N címû keretes cikkrészünket)
kevésbé érdemlik meg a dicséretet: igaz, hogy precízen,
érthetôen vannak megírva (angolul), ám elég sokat tesz ki
bennük a minden .DOC file-ban azonos gondolatok, módszerek,
tippek stb. ismételgetése.
Sajnos egyetlen támpontunk van a Tbav vírusellenes
hatásosságának megítélésére (a VSUM adatbázis
összehasonlítása nem szól a Tbavról): a programcsomagot
fejlesztô holland Thunderbyte B.V. cég állítása
(TBSCAN.DOC, TBSCANX.DOC), miszerint a parancssori keresô
(TBSCAN.EXE) több mint 1000, a rezidens keresô
(TBSCANX.EXE) több mint 750 víruscsaládot ismer fel, s a
változatokkal együtt az általuk felismert vírusok száma
2000 fölött van. Néhány felhasználó hozzánk eljutott
visszajelzése alapján a Tbav csomag felismerési aránya
nagyon jó, egyikük külön dicsérte a TBSCAN.EXE heurisztikus
(ismeretlen vírusok felismerésére szolgáló) keresésének
eredményességét (mi is kipróbáltuk, tényleg intelligensnek
tûnik). A TBAV.EXE program menürendszerbôl kínálja fel a
csomag szolgáltatásait. Rengeteg beállítási lehetôsége
megnehezíti használatát -- például mindmáig nem tudtuk
rávenni arra, hogy a keresés során @Kminden@N file-t (tehát
például minden adatfile-t is) megnézzen (sok file-on
átugrik -- @Kskipping@N --, bár lehet, hogy jó oka van rá,
de ilyet nem találtunk eddig), s alighanem sokakat zavarba
ejthet a kínálat bôsége.
Fantasztikus sebessége és a rezidens vírusvédô programok
(több is van belôlük a Tbav csomagban -- memóriavédô,
lemezvédô, file-védô stb.) elenyészô memóriaigénye alapján
a Tbav mindenképpen figyelmet érdemel. Egymagában való
használatát eredményességi adatok hiányában nem ajánljuk,
de második vagy inkább harmadik (külföldi) víruskeresôként
mindenképp érdemes használni a Tbavot.
@VVirkill 2.0 [035@N @N
Rudnai Tamás hazai, illetve más víruskeresôk, irtók által
nem felismert vagy rosszul irtott vírusokra specializált
programját korábban már bemutattuk. A programnak eddig is
erénye volt a gyorsaság, a 2.0 verzió még tovább javult e
téren. További újdonság, hogy néhány újabb vírust is
felismer illetve irt. Ezek számának növekedését csak
részben tükrözi a zárójelben megadott szám (035), mivel a
program szerzôje módosított a keresési algoritmuson is, s
ennek során több, eddig külön számontartott vírust
egybevont. A programhoz rövid, magyar nyelvû leírás is
tartozik, amely jól érthetôen bemutatja a program
szolgáltatásait.
A Virkill képességeit egy ízben mi is ki tudtuk próbálni:
vírust találtunk egy programban, amit a Clean-Up ugyan
irtott, de apró szépséghibával: a visszaállított
programfile végén hagyott néhány felesleges byte-ot. A
Virkill itt hibátlan munkát végzett. Ez csak egy -- nem túl
izgalmas -- példa a Virkill filozófiájára: a lehetô
legjobban elvégezni azt, amit más vírusellenes programok
nem, vagy rosszul végeznek el, s a magyar
""vírusspecialitások" ismerete terén teljességre törekedni.
Mindezek alapján a Virkill önmagában való használatát
senkinek nem javasoljuk, hiszen a külföldi vírusok ellen
nem nyújt semmiféle védelmet (kivéve néhány speciális
esetet). Viszont kitûnôen kiegészíti a külföldi
keresôprogramokat.
@VÖsszefoglalás@N
ùgy tûnik, bizonyos alapigazságokat nem lehet elégszer,
eléggé nyomatékosan megismételni. Az egyik ilyen
alapigazság, hogy egyetlen víruskeresô program nem elég,
többet is használnunk kell a megbízhatóbb védelem
érdekében. Mostani áttekintésünkben az -- úgy tûnik --
továbbra is legnagyobb biztonságot nyújtó Scan mellett
három nagyon gyors vírusellenes programcsomagot mutattunk
be. Érdemes kipróbálni, s érdemes használni ôket -- vagy
más, általunk megbízhatónak ítélt keresôket. A lényeg:
TÖBBET is -- és ne maradjon ki közülük valamelyik magyar
víruskeresô sem! Rezidens vírusvédelemként az Fprot 2.09
VIRSTOP.EXE-jét ajánljuk.
Sebességmérési adatokat hely hiányában nem közlünk ezúttal.
A bemutatott keresôk közül három szerepelt e számunk
géptesztjének CD-meghajtó-méréseiben. Az ott látható
idôtartamok arányai géptôl, lemezmeghajtótól és a programok
paraméterezésétôl függôen sokat változhatnak.
Åltalánosságban elmondható, hogy a Scan messze a leglassabb
a bemutatott keresôk közül, míg a többiek nagyjából
ugyanannyi idô alatt futnak le a különbözô meghajtókon.
Végül csak annyit: mind a négy, itt bemutatott víruskeresô
programcsomag shareware, vagyis magánszemélyek ingyenesen
kipróbálhatják ôket, s a tartós használatot is csak a
Tbavnál, illetve McAfee programcsomagjainál kötik
regisztrációs díjhoz. Cégek, intézmények számára
programonként más és más feltételek érvényesek a jogosult
használatra vonatkozóan -- ennek ismertetésére sajnos nincs
helyünk, de ebben segítenek a használatukat ismertetô
szövegfile-ok.
@KBérces László@N
@VVIRSTOP /DISK@N
Az Fprot rezidens (tehát memóriában maradó, s minden
elindított programot ellenôrzô) vírusvédô programja a
VIRSTOP.EXE. @K/DISK@N kapcsolóval indítva csupán a
feltétlenül szükséges helyet foglalja le a memóriából,
lemezen hagyott részét csak szükség esetén tölti be.
Sajnos, ennek a megoldásnak van egy hátránya, amit nem
említ a szerzô: nemcsak olvassa a cserefile-t (swap file),
hanem @Kírja@N is. Minden programindításkor. Lassúbb
gépeken, illetve röptömörítô használata esetén ez jócskán
lassítja a programindításokat. Ezért érdemes a leggyorsabb
meghajtóról betölteni a programot (oda fog swapelni). Ha
nincs memórialemezünk (RAM-diszk), akkor (legalábbis olyan
gépeken, ahol van szabad EMS vagy XMS) pusztán a VIRSTOP
kedvéért is érdemes lehet készítenünk! (Feltéve, hogy
rászorulunk a /DISK használatára.) Ugyanis például a DOS
RAMDRIVE.SYS meghajtóprogramjának memóriaigénye kevesebb
mint 3K, s így összességében kevesebb DOS-memóriát foglal
le az összeállítás, mint /DISK nélkül.
@VTelepítés, fogyókúra@N
Talán egyetlen más programtípusnál sem oly fontos, hogy a
lehetô legfrissebb verziójukkal dolgozzunk, mint a
víruskeresô szoftvereknél. Sûrûn jelennek meg új vírusok, s
míg más programoknál kényelmesen dolgozhatunk akár sokéves
verziókkal is, ugyanez szinte értelmetlen a
víruskeresôknél... Tehát gyakran kell telepítenünk új
víruskeresôt gépünkre. Ez megnöveli a vírusfertôzés
veszélyét is.
Ha elérhetôk, biztonsági jelzéssel (authority verify, AV)
ellátott archív file-okból bontsuk ki az új vírusellenes
csomagokat! Bár fertôzöttségük nem gyakoribb, mint más
programoké, de sosem lehet tudni... (Eddig csak McAfee
programjainál találkoztunk felbontott, szándékosan
megfertôzött és újracsomagolt példányokkal.)
Kibontás után mindenképpen vizsgáljuk meg meglévô
víruskeresôinkkel a file-okat! Ha lehet, olyan gépen
próbáljuk ki a programokat, amelynél nem kell aggódnunk az
esetleges vírusfertôzés, adatvesztés miatt. Mindezek az
óvintézkedések persze minden programtelepítésnél -- még
nagy cégek ""gyári" szoftvercsomagjainál is! -- indokoltak.
Csak két, nagy visszhangot kapott esetet említenénk:
Csehszlovákiában az MS DOS 5.0, a Távol-Keleten pedig a
Novell NetWare 3.11 -- eredetinek látszó, ám jogosulatlanul
másolt, s vírussal fertôzött -- példányai okoztak fejfájást
a gyanútlan felhasználóknak.
Az ismerkedés után, vagy ha már ismerjük a szoftvercsomagok
összeállítását (víruskeresôknél ez csak lassan változik a
sûrû verzióváltás miatt), érdemes törölni a már ismert, s a
mindennapi használat közben felesleges file-okat. A
SCAN107.ZIP csomagból (kibontásakor figyeljünk az @K-AV@N
jelzésre!) csak a SCAN.EXE-t és a SCAN107.DOC-ot érdemes
megtartani. A CLEAN107.ZIP-bôl a CLEAN.EXE-t és a
CLEAN107.DOC-ot. A VSHLD107.ZIP-bôl az összes .EXE file-ra
és a VSHLD107.DOC-ra lehet szükségünk. Az e három csomagban
érkezô VALIDATE.COM már elég régóta ugyanaz (v0.4), ha még
nincs meg, ezt is hagyjuk meg, .DOC file-jával együtt. A
VALIDATE-tel egyébként még egy ellenôrzésre van
lehetôségünk: McAfee minden programhoz tartozó .DOC
file-ban közli a programok ellenôrzô számait, amit mi is
megvizsgálhatunk (ha lehet, egy régebbi VALIDATE-tel --
ugyanazt az értéket fogja közölni, mint a frissen
érkezett).
A WSCAN107.ZIP kibontása után elôször telepítsük a
programot a WINSTALL.EXE-vel. Utána az EXE-k és a SCAN.ICO,
SCAN.PIF, SCANHLP.HLP és a SCANHLP.HLP kivételével mindent
törölhetünk (a SCAN.EXE mellesleg azonos a SCAN107.ZIP
SCAN.EXE-jével). Az Fprot 2.09-nél egyszerûbb megadni azt,
hogy mely file-ok törölhetôk aggodalom nélkül: NEW.209
(miután átfutottuk), NEW_VIR.DOC, ORDER-2.DOC, ORDER.DOC,
READ_ME.DOC, VIRUS.DOC. A Tbav 6.03 összesen 50 file-ból
áll, és ebbôl gond nélkül csak az AGENTS.DOC, a
DESCRIPT.ION, az INSTALL.BAT (csak telepítés után!), a
REGISTER.EXE (ha nem akarjuk regisztráltatni magunkat), a
REPORT.DOC, az UPGRADE.BAT (ha már használtuk a TBAV egy
korábbi verzióját, akkor ezt kell futtatni az INSTALL.BAT
helyett), s a WHATSNEW.603 (átfutás után) törölhetô.
@Vùj programok ellenôrzése@N
A következô batch-file-lal az aktuális meghajtó kurrens
könyvtárát (tehát ahol éppen vagyunk) ellenôrizhetjük az
ismertetett víruskeresôkkel! A programok elérési útja
telepítési helyüktôl függ, de mindenképp érdemes megadni
teljes útvonalukat, nehogy egy másik, azonos nevû programot
indítsunk el helyettük! ùj programok ellenôrzésekor
hozzáértôknek a HR kapcsolót is érdemes használni a
TBSCAN.EXE meghívásakor. Ha a batch file simán lefutott,
akkor nagy valószínûséggel nincs vírus a vizsgált
könyvtárban és alkönyvtáraiban.
@@ECHO OFF
IF NOT EXIST C:\AV\SCAN.107\SCAN.EXE GOTO PATHERR
IF NOT EXIST C:\AV\VIRKILL.200\VIRKILL.EXE GOTO PATHERR
IF NOT EXIST C:\AV\FPROT.209\F-PROT.EXE GOTO PATHERR
IF NOT EXIST C:\AV\TBAV.603\TBSCAN.EXE GOTO PATHERR
C:\AV\SCAN.107\SCAN.EXE . /a /sub
IF ERRORLEVEL 1 GOTO ERR
C:\AV\VIRKILL.200\VIRKILL.EXE . /a /sub /nokill
IF ERRORLEVEL 1 GOTO ERR
C:\AV\FPROT.209\F-PROT.EXE . /ALL
IF ERRORLEVEL 1 GOTO ERR
C:\AV\TBAV.603\TBSCAN.EXE . LL=0 AF HM
GOTO END
:ERR
ECHO.
ECHO Vírus?! Vírus?! Vírus?! Vírus?! Vírus?!
PAUSE
GOTO END
:PATHERR
ECHO.
ECHO Hibás elérési út!
PAUSE
:END
: