Chip 1996 April

home *** CD-ROM | disk | FTP | other *** search

/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9401 / 1993.CD next >

Wrap

Text File | 1994-11-26 | 13KB | 285 lines

@VVîRUS! VîRUS! VîRUS!@N @VTavalyi nyavalyák@N 1993 az amatôr vírusírók éve volt Magyarországon. Nem jelent meg túl sok vírus, a profik talán már belefáradtak a DOS környezetbe és más irányba fordultak. A kezdôk ""munkái" között vannak érdekes újdonságok, veszélyes, és igazából ""ártalmatlan", tréfának szánt vírusok is. A vírusok 150--200 családdal szaporodtak. Ebbôl a magyar vírusírók is kivették részüket. Több új, keleti vírus is megjelent, fôleg román és orosz termékek. Emlékeztetésül illetve figyelmeztetésül ismerkedjünk meg néhány új vírus tulajdonságaival. @VAtomAnt v1.0@N Ez a rövid (564 byte-os) vírus csak a COM programokat fertôzi meg. Rezidenssé válásakor lekérdezi a gépidôt. Ha egy órán keresztül nem sikerül fertôznie, letiltja a DOS file-törlô funkcióit. Ha ekkor file-okat szeretnénk törölni, a következô üzenettel tiltakozik: ""Hát igazán nem kedveltek bennünket?" A vírus érdekessége, hogy tartalmaz egy deaktiváló lehetôséget. Ha végrehajtjuk az alábbi interrupt-hívást, a vírus eltünteti magát a memóriából: @KMOV AH,0@N @K@N @KINT 80H@N Ennek hatására az INT 21H és az INT 80H is vírus elôtti címére áll vissza, így lehetôségünk nyílik a fenti szöveget tartalmazó COM file-ok törlésére, bár több hazai program is képes eltávolítani. A vírus az INT 80H elvétele miatt összetûzésbe kerül a Sound Blaster driverekkel. @VAtomAnt v3.0@N Ez a változat már az EXE programokat is megfertôzi. Hossza 2143+15 byte a paragrafushatárra növelés miatt. Kódoltan az alábbi szövegeket tartalmazza, amelyeket meg is jelenítget idônként: ""A billentyûzet 5000 leütésig garanciális. Ez most lejárt. Kérem cserélje ki!" ""Csak aztán idejében hagyja abba!" ""Ez nem SKÅLA áru!!!!" ""Hát igazán nem kedveltek bennünket?" ""MC Hammer rap-sztár és PEPSI ôrült, de most kicseréltük a PEPSI-ét valami másra ... FILLING, NOTHING MORE THEM FILLING ..." ""Kérem fogadjon el egy vírust a vallási eszmélés egyházától. Nem akar adakozni?" ""Túl régi ROM-BIOS verzió! Cserélje ki újabbra!" ""Atomant v3.0 Erôsebb, mint valaha!" ""Csôtörés az I-O csatornákban. Kérem azonnal hívjon szerelôket!!!" ""Tömeg van az adatbuszon. Gyorsítsa meg az adatforgalmat!" @VComcom (RESET 524, Compót, 524, V524, Lock)@N Ez egy rövid, COM-fertôzô, rezidens vírus. Nagyon széles körben elterjedt, annak ellenére, hogy ma már a SCAN is ismeri Lock néven. A vírus 1993 második felében 14 óra környékén hidegindítást hajtott végre. @VMagyar Vándor@N Nem rezidens, COM-fertôzô. Enyhén polimorf vírus (lásd CHIP, '93/06). Elsô 13 byte-ja dekódolja a többit. Ezt az elsô területet a vírus folyamatosan változtatgatja, hogy megnehezítse a detektálását. A variációk száma szerencsére nem túl nagy. A vírus a COM file-ok elejét írja felül és a file-ok végére rakja az eredeti kezdetüket (parazita technikát alkalmaz). A read-only attribútumot is kezeli. Az 1024--64255 byte hosszú COM programokat fertôzi meg. Az elsô fertôzéskor a vírus bemutatkozik: ""Magyar Vándor `92 VírMiki Ez a program fertôzött (volt)! Most megyek, csô!" @VSchönherz Qpa@N Ez a nem rezidens, COM-fertôzô vírus számomra a tavalyi év legérdekesebb darabja. A vírust -- forráslistájának tanúsága szerint -- a XXI. Schönherz Qpa tiszteletére írták. Változatainak hosszára is ügyeltek: az elsô egy bitvadászat után 666 byte-osra sikeredett, hogy kellôen ördögi legyen. A vírusnak több érdekes húzása is van. Terjedését tekintve leginkább a felülíró vírusok közé tartozik, mert a COM file-ok elejére másolja magát, de eltér tôlük abban, hogy az eredeti file kezdetét letárolja. Ezt nem a fertôzött file végére teszi, hanem az áldozat nevével, WIN kiterjesztéssel, hidden + system + read-only attribútummal egy külön file-ba. Például a COMMAND.COM-ot megfertôzve létrejön a 666 byte hosszú COMMAND.WIN, s ez a file egy sima DIR parancs hatására nem látszik. Másik érdekessége, hogy a kereséshez *.CôM filtert használ, amivel sok aktív vírusvédelmet kicselezhet: a DOS számára -- az INT 21H/60H RESOLVE PATH STRING TO CANONICAL PATH STRING belsô híváson keresztül -- ez *.COM-ot fog jelenteni, miközben a védelem .CôM file keresésére, nyitására, írására gondolhat... Ha elindítunk egy fertôzött file-t, akkor az alábbi üzenetet jeleníti meg: ""This program requires Microsoft Windows." Ezt köztudottan a Windows programok DOS stub programjai szokták kiírni. Nagyon érdekes jelenség, amikor a COMMAND.COM is a Windowsért kezd ""könyörögni". Létezik egy másik, 333 byte-os, fele akkora változat is. @VBoot-437@N Rezidens, boot-fertôzô. Ez a vírus nagyon hasonlít a Stoned vírushoz. Csak egyetlen jelentôs eltérése van: több fizikai merevlemezt is megfertôz a memóriából. Akkor jut a merevlemez partíciós táblájába, amikor egy fertôzött lemezrôl indítunk rendszert vagy egyszerûen benne felejtünk egy lemezt abban a lemezegységben, amelyikrôl a rendszer bootolni tud, és így kapcsoljuk be a gépet. A rendszert már a vírus tölti be, majd minden lemezolvasás során fertôz. Nem csinál mást, csak terjed. Éppen úgy, ahogy a Stoned vírus is, gondot okozhat, ha a floppyn túl sok könyvtárbejegyzés van, mert az eredeti boot rekordot az utolsó könyvtári szektorra helyezi. Merevlemezen a 0. oldal 0.sáv 6. szektorán van az eredeti partíciós tábla. Az @KFDISK /MBR@N parancs is segíthet rajtunk, de csak akkor, ha tiszta lemezrôl rendszert indítunk elôtte, mert a memóriából visszafertôzi a merevlemezt is. @VCFFL@N Rezidens, EXE-fertôzô, 2560 byte hosszú vírus. Ezt a vírust is nagyon hibásan írták meg. A fertôzés a PATH alapján történik direkt módon. Ha elindítunk egy fertôzött EXE file-t, az keres egy másik, még nem fertôzött file-t, és belemászik. Gyakran az eredeti file végét is felülírja, de az EXE header kiszámolása is gondokat jelentett a vírusírónak, így az eredeti file-t nem lehet irtással visszanyerni. A vírus szokatlanul fertôz: az órák elsô felében nem, a másodikban igen. Az elsô félórában egy rutint rakna az INT 8-ra, de ez nem mindig sikerül neki. Kódoltan az alábbi szövegeket tartalmazza (hexa F9 van a '*' helyén): ""This vi* CFFL.........Borsóf Program too big to fit in memory You've become an hour older again!" (ez utóbbi felirat egy ablakban van, a felsô keretén az aktuális órával) Valójában a hibák miatt építhették utólag a vírusba a ""Program too..." DOS hibaüzenet szimulálását, mintegy kényszermegoldásként, hiszen a vírus miatt nem indulhat az eredeti file. @VHizlaló/AXE@N A vírus amatôr munka, egy kezdô assemblys elsô ""szárnypróbálgatása". Elsô példányát Kunhalasról kaptam meg. Felfedezôi keresztelték el Hizlalónak. Rögtön kiderül, hogy miért. A vírus rezidens, EXE-fertôzô. Akkor fertôz, amikor egy programot elindítunk, de -- az ilyen típusú vírusoktól eltérôen -- nem azt amit elindítottunk. Ebbôl ered a vírus hibája, ugyanis ilyenkor kizárólag az INT 21H/4EH (findfirst) hívást használja, EXE programok kereséséhez. Ezen az úton mindig egy adott alkönyvtár elsô EXE file-ját találja meg, azaz nem tud mást megfertôzni, csak az elsôt. Ez még nem lenne nagy hiba a terjedés szempontjából, hiszen ha mi magunk megváltoztatjuk egy adott alkönyvtárban található file-ok sorrendjét, akkor a vírusnak új lehetôséget adhatunk. Ez a módszer egy másik apró hibával párosulva komolyabb problémává válik. Már a régi COM vírusoknál jelentkezett a többszörös fertôzés okozta DOS gond: a program nem fért a vírussal együtt a részére kiutalt szegmensre, így attól kezdve használhatatlanná vált. Nos, a Hizlaló vírus írója is megfeledkezett -- hiszen valószínû, hogy elsô vírusát írta -- a többszörös fertôzés lehetôségérôl, így nem helyezett el azonosító elemeket, amiknek segítségével a késôbbi fertôzéseknél eldönthetné, hogy már megfertôzte-e az adott file-t. Ez vezet a vírus lebukásához. Nem kell hozzá sok idô és a DOS képtelen lesz betölteni a fertôzött EXE (!) programot, mert olyan kövérre hízik (fertôzésenként éppen egy kilóval -- 1024 byte-tal -- nô a ""súlya"). Az 1024 byte-os hosszal az író saját munkáját könnyítette meg (FCB-s file-kezelése miatt), valójában ez csak egy felkerekítés eredménye. A fertôzött program, amit a felfedezôktôl kaptam, egy LL3.EXE nevû, jól ismert utility volt. A DOS nem véletlenül tiltakozott a vírusos file ellen, hiszen 435,360 byte-os hossza már vetekszik egy kisebb Clipper program méretével. A vírus irtása is problémába ütközött: a stack nem bírta a rekurzívan mûködô -- addig tökéletesnek hitt -- rutinomat, így kénytelen voltam ciklusba szervezni azt. Az irtás után 93,344 byte lett az LL3.exe hossza. A vírus 334 példányban volt rajta, 342,016 byte terjedelemben. Bár a vírustestben szerepelt az AXE szó, én mégis tartottam magam a felfedezôk által adott, találó névhez. Csak a mára gyakran hallott reklám hatására jutott eszembe: ""AXE -- vírus, ami fogva tart." A Hizlaló a DOS verziólekérdezô funkcióját egészítette ki aktívságának lekérdezésére. Ennek segítségével mi is eldönthetjük, hogy fertôzött-e a gépünk: @K MOV SI,0AFDFH@N @K@N @K MOV AH,30H@N @K@N @K INT 21H@N @K@N @K CMP DI,0C3C3H@N @K@N @K JZ FERTOZOTT@N A vírus az INT 9-re is elhelyez egy rövid rutint. Számolja, hogy hány scan kód érkezik be, majd a 2000. után reseteli a gépet. @VHizlaló (NSO)@N Ez a változat késôbb jelent meg. 725 byte hosszú, COM-fertôzô. A hibák ki lettek javítva az eredetileg EXE-fertôzô ôséhez képest. A fertôzött file-ok vége-6. byte-ra ""NSO" azonosítót tesz, így nem fertôz újra. Persze még nem tökéletes ez sem, mert egyesével kérdez rá az azonosító elemeire. Ez ahhoz vezet, hogy nem fertôzi meg azt a COM file-t sem, aminek a [vége-6='N', [vége-5@N='S' vagy [vége-4='O'. @VFSN@N Ez az 1279 byte-os, rezidens, COM-fertôzô vírus Romániából került hazánkba. Aktivizálódásakor a következô szöveget jeleníti meg bekeretezve, minden elindított program elôtt: @KHave you voted F.S.N.?@N @K@N @K Well, you can fuck it now ...@N A politika a vírusírókat sem kíméli meg. Az üzenet kódoltan található a vírusban. Van egy másik, az eredetivel megegyezô hosszú változata is, természetesen annak az irtása is más. @KSzôr Péter@N