home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9539
/
W95VIR.CD
< prev
next >
Wrap
Text File
|
1996-02-13
|
9KB
|
140 lines
@VA Win 95 és a vírusok@N
Nagyon fell kell kötnie a nadrágszíjat annak a régi
vírusnak, amely meg szeretne élni az MS-Windows 95-ben. A
program ugyanis csak látszólag azonos azokkal a dolgokkal,
amit mi az operációs rendszerrôl és a programok
felépítésérôl tudunk. ùj éra kezdôdik, az új formátumú .EXE
birodalmának határára éltünk. Itt új, MS-Win 95 formátumú
.EXE programok és régi .COM-ok szolgálják egyszerre a gép
mûködését.
A dolog ott kezdôdik, hogy egészen más a FAT felépítése,
még ha vannak is némely rokoni szálak, melyek a korábbi DOS
verziókhoz kötik. Mit csináljon az a szerencsétlen vírus,
amelyik mondjuk a hosszú állománynevet kapná vissza mint
fertôzendô programnevet az operációs rendszertôl? Helyette
nyilván annak csonkolt nevû verzióját értelmezné, s mellé is
fogna menten, hisz az MS-Windows 95 nem egyszerû
névcsonkolással képezi DOS-kompatibilis állományneveit. A
hullámvonalas DOS-os és a hosszú név együttes kezelésére fel
kell készülni, de erre a vírusok többsége nem képes. Majd
talán néhány hét múlva az újabb eresztés...
Gond azért akad, például a hajlékonylemezes verzióval
kezdôdik. A Microsoft Európában -- ellentétben az IBM-mel --
nem forgalmazza azokat a programokat a szoftvercsomagban,
amelyek a túlformázott 1,44-es lemezek kezeléséhez,
biztonsági másolat készítéséhez szükségesek lennének. A
vírusok pedig ezt a lemezt ugyanúgy fertôzik, mint a
szokásosakat, illetve azt hiszik róla, kivehetô merevlemez.
ìgy aztán akarva-akaratlan általában szerencsésen tönkre is
teszik. Legalább a biztonsági másolat készítésének
lehetôségét nem volna szabad elvenni az európai
felhasználótól. Szerencsére vannak leleményes európaiak, s
nekik köszönhetôen már megjelentek a shareware programok,
amelyekkel ez a feladat, a másolat készítése megvalósítható.
A vírusnál is pusztítóbban leselkedhetnek a különleges
lemeztartalomra azok a segédprogramok, amelyekkel mélyebbre
szoktunk hatolni a lemezek lelkivilágába. Jobb megvárni az
új közkincs programokat, avagy mélyebben nyúlva zsebünkbe,
megvenni Norton híres segédprogramcsomagjának Windows 95-re
hangszerelt új kiadását. Spórolni nem érdemes, a béták
alkalmatlanok, mert közben alapos módosítások voltak a lemez
felépítésében.
További nehézségeket eredményezhet, hogy a megszokottól
eltérô a boot felépítése is. Egyfajta multibootos szerkezet.
Mit csinálhat vele a vírus? Két eset lehetséges: nem ismeri
fel, hogy boot, és békén hagyja, vagy ami a még rosszabb,
nem ismeri fel, és akaratlanul is tönkreteszi. Ugyancsak
bajban vannak a Command.com-ra vadászók. Ha jobban
megvizsgáljuk, ez a program bizony valamifajta új formátumú
.EXE állomány. ìgy hát az .EXE-ket fertôzô vírusok áldozata
lesz, tessék: az egész rendszer összeomlik, már indítani sem
lehet a gépet.
Felül kell vizsgálni irtási és detektálási
stratégiánkat, fel kell készülni az új veszélyekre. McAfee
kibocsátotta Scan programrendszerének kifejezetten
MS-Windows 95-re írt verzióját, amelyet a korábbi MS-Windows
verzió használói ingyen frissítésként kapnak. Adatállományai
azonosak a korábbi új generációs Scanével. Az F-prot
professzionális, pénzbe kerülô MS-Windows 95 specifikus
verziói is rövidesen elkészülnek. Az F-prot 2.18-tól a DOS
verzió a DOS ablakból nyugodtan használható Win 95 alatt,
mert ismeri annak az állományszerkezetét.
Az MS-Windows 95 alaposan megkeserítette a víruskeresô
szakemberek életét, mert ingatagabb, de könnyebben
telepíthetô a standard hardverre, mint az OS/2. Vagyis
egyszer-egyszer magától is összeomlik, ha rossz napja van.
Ilyenkor azután törheti a fejét a szakember, míg eldönti, mi
okozta a bajt. A szokásos programhiba? Vagy éppen
vírusfertôzés? Hibája ugyanis az új MS-Windowsnak, hogy
ilyesfajta malôrök ellen egyelôre meglehetôsen védtelen.
Nincsen automatikus FAT- és boot-mentô, -helyreállító
segédprogram, illetve, ha már megírta is valaki, ide még nem
jutott el a híre. Üdvös lenne, ha a Microsoft mielôbb széles
körben forgalmazni kezdené a Win 95 fejlesztôkészleteket,
hogy megszülessenek azok a segédprogramok, mindenesek,
amelyekre a biztonságos munkához szükség van.
Az MS-Windows 95-öt akkor is fenyegeti veszély, ha nem
maga fut, hanem a multiboot ablakból az MS-DOS 6.22-t
indítjuk. Az újfajta .EXE programok szinte felkínálják
magukat a fertôzésre azoknak a vírusoknak, amelyek nem az
elindított programot keresik. Fertôzésük viszont -- éppen az
eltérô formátum miatt -- helyreállíthatatlan
programkárosodást eredményez.
A DOS ablak csak látszólag azonos az eredeti DOS-szal.
Csak azok a programok futnak rajta normálisan, amelyek
mérsékelten vagy egyáltalán nem alkalmazzák az úgynevezett
nem publikált rendszerközeli funkciókat. Ezért nem mennek a
megszokott programok közül a régebbi orosz és magyar
vírusirtók, viszont nem futnak az ilyen vírusok sem. A
rendszer vagy kiakad a @KGeneral protection failure@N üzenettel,
és meghal a DOS ablakunk, vagy úgy lefagy a gép, hogy a
ctrl-alt-del-lel sem lehet újraindítani. Ha pedig az
összeomlás elôtt még sikerült írnia valamit a programokba
vagy általában a merevlemezre, az kész katasztrófa.
A lemezre író másolásvédelmek vagy nem mûködnek
szerencsére az MS-Windows 95 alatt, vagy valami galibát
okoznak. Például azok, amelyek a boot átírásával vagy
partíciós tábla bejegyzéssel operálnak, képesek teljesen
tönkretenni az MS- Windows 95 képére formázott
merevlemez-szerkezetet. Ez érzékenyen fogja érinteni a hazai
könyvelôprogramok forgalmazóit, akik a legkeményebb
másolásvédelmekkel folyamatosan fenyegetik adatállományaink
épségét.
Szebbé teszi az életet, hogy több MS-Windows 95 variáns
van forgalomban, közöttük jó pár olyan, amit még a ""build
number"-nek nevezett alverzióval sem lehet teljességgel
azonosítani. Ezek egészen elképesztô módon eltérôen
reagálnak a nem tisztán programozott szoftverekre. Jól
futnak a legrégebbi programok, amelyek Microsoft C-ben vagy
Assemblerben íródtak és MS vagy hasonló szerkesztôvel
készültek, továbbá kizárólag dokumentált funkciókat
használnak. A Microsoft ezúttal betartotta ígéretét, mely
szerint a saját termékeivel kompatibilis lesz. Az eltérések
okozta gondok megkérdôjelezik azt a gyakorlatot, hogy a
programozó a rendszer felszíne alá nyúlva igyekszik
gyorsítani, megnehezíteni a visszafejtést vagy éppen vírust,
másolásvédelmeket készíteni.
Åm a nyomtatókimenetre csatlakozó hardverkulcsos
programok nagy része megôrül az MS-Windows 95 alatt.
Rosszabbik esetben aktivizálódik a büntetô rutin, jobbik
esetben csak a nyomtató mûvel csodás dolgokat, esetleg --
korrektebb védelmek esetében -- a program a demo üzemmódjába
kapcsol. A tesztek nyomán önkéntelenül felvetôdik a kérdés:
nem kellene-e ugyanolyan korrekteknek lenniük a hazai
szoftverforgalmazóknak, mint az amerikaiak. Panaszkodniuk
sem kellene, hiszen a kalózkodás visszaszorítására a saját
szervezetüket is létrehozták, és az egyre eredményesebben
mûködik is.
Mindenesetre az MS-Windows 95 alapjában fogja
megváltoztatni a szoftverírást és az adat- és vírusvédelmet.
Folynak a munkák, és részeredmények már vannak a gyári hátsó
ajtó felderítésében -- amely létezését a Microsoft soha nem
ismerte be hivatalosan --, s ugyanakkor megindultak azok a
fejlesztések is, amelyek az adatbiztonságot kívánják
elfogadható szintûvé tenni, védelmet nyújtva a jelen és a
jövô vírusainak kártételeivel szemben. A vírusírók szintén
dolgoznak, az elsô Win 95 vírusok most hagyják el
inkubátoraikat.
@KKis János@N