home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
953
/
ARALE.CD
< prev
next >
Wrap
Text File
|
1995-12-18
|
5KB
|
85 lines
@VLomha boleró, avagy spanyol korona@N
Spanyolországban keletkezett az -- a tárból 1984 bájtot
lekötô -- Arale vírus, amely az év hét napján is lazsálásra
készteti a számítógépet. Munkaszüneti napnak tekinti március
14-ét, április 28-át, május 13-át és 17-ét, június 12-ét,
július 15-ét és december 12-ét. Ha fertôzött a gépünk,
ezeken az ominózus napokon hiába is kísérletezünk, bármely
program végrehajtásának eredményeképpen csak egy kétsoros
üzenetben gyönyörködhetünk:
FELICIDADES: @Kés egy név@N
(P) 1993 by Arale & Goku Corp.
majd visszakapjuk a DOS készenléti, munkára várakozó
jelzését. Március 14-én Elsa B. E., április 28-án Roberto R.
I., május 13-án Anselmo B. V., 17-én David M. E., június
12-én Carol C. B.,július 15-én Esther F. P., december 12-én
pedig Maite C. P. a címzettje.
Mi kell ahhoz, hogy idáig eljusson? Elôször is egy
fertôzött program, amely beviszi a tárba anélkül, hogy
észrevennénk. Kódsorát a rendszerterület alsó címeire
helyezi, majd átveszi a 21-es megszakításhívások vezérlését.
Miután rezidenssé vált, figyelve természetesen a naptárra,
következhet a terjeszkedés:megfelelô táptalaj számára
bármely .COM vagy .EXE típusú program, amint a
végrehajtásukat kezdeményezzük, azonnal át is ültetjük a
fertôzô programot. Hatására az állomány a
katalógusban kimutathatóan több helyet igényel a
háttértárolón, mint korábban; a növekmény 1526 és 1541 bájt
közé esik. Kódja a sérült programvégére kerül, s itt
találhatók egyszerû szöveges adatként, megjegyzésként azok a
feliratok is, amelyeket a már említett napokon megjelenít a
képernyôn. Årulkodik róla tehát a megnövekedett
állományméret, a programhoz toldott, de oda nem illô
névhalmaz, viszont a tárolási idôpontban nincs változás,
ezt a DOS nyilvántartásában nem vezeti át.
Felismeri a Viruscan 2.1.3E, az Fprot 2.13, a Central
Point, Dr.Solomon, sôt az IBM aktuális Antivirus készlete,
javasolva a fertôzött állományok törlését és az újbóli
programtelepítést. Kigyomlálásához a Sweep használható a
2.67-es sorszámú kiadásátólkezdve.
Szintén spanyol származású a Rasek -- vagy Coruna --
család, amelynek tavaly két tagját is lefülelték.
Közrebocsátását nem hamarkodták el, hiszen belsô jelzésük
szerint mindkettô egy évvel korábban készült; az egyik 1993
márciusában, a másik egy hónap múlva, áprilisban. Ötletük
azonos, csupán apró eltérések vannak a kódban, illetve az
üzenetek módosultak. A kaptafa összetett víruskód:
tárrezidens, merevlemezen a partíciós tábla területére,
hajlékonylemezen a rendszerbetöltô szektorba költözô,
valamint .EXE és .COM állományokat egyaránt fertôzô,
titkosított eljárásokból áll. Ténykedéséhez szüksége
van a 13-as és a 21-es megszakítási rutinok
vezérlésére, ám a tárból nem tünteti el magát. Mivel a 12-es
megszakításhívásokat nem babrálja, így a CHKDSK jelzi, hogy
2048 bájttal csökkentett méretû terület használható fel a
munkához.
RaseK v2.0 from LA CORUNA(SPAIN). Mar93
derül ki visszafejtés közben az egyikbôl, a másikból
pedig:
RaseK v3.1, from La Coruna(SPAIN). Ap 93
s ez utóbbiban még az MS DOS 3.3 is szerepel mint
szöveges bejegyzés. Továbbá tartalmazzák a kódok a
hibajelenségekrôl tájékoztató sorokat is, Invalid Partition
Table, illetve Error Loading Operation System -- jelenti a
2.0 változat, amikor a DOS nem tud betöltôdni. Ugyanezt a
3.1-es Non-System disk or diskerror, valamint Disk Boot
failure kiírással tudatja.
Mindkét családtag az állományok végére akaszkodik, és
fertôzéskor nem tesz kivételt, áldozatául eshet akár a
COMMAND.COM is. A 2.0 jelzésû 1490 bájttal növeli a .COM és
1490-tôl 1506-tal az .EXE programok méretét, a 3.1-es pedig
1492-vel, illetve 1492--1508 bájtos hossznövekedést
eredményez. Hagyományos katalógust kérve a tárolás idejében
nem látunk változást, hiszen az órát és a percet nem
módosítja egyikük sem, csupán a másodpercet írják
át,mégpedig egységesen 62-re.
Biztonságot adnak ellenük az Arale ellen is védelmet
nyújtó, közkézen forgó vírusszûrôk. Viszont ha nem
voltunk elôvigyázatosak, a fertôzött állományok törlését
követôen helyre kell állítanunk a mester bootrekordot, majd
steril rendszerlemezrôl betölteni a DOS-t. De jobb ezt eleve
megakadályozni!
@KLukács Erzsébet