home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 958 / HARD.CD < prev    next >
Text File  |  1996-02-08  |  4KB  |  70 lines
  1.           @VVégóra?@N
  2.  
  3.               Indiai    és    szingapúri    gyártású   hardvereszközök
  4.           meghajtólemezein indult el fertôzô útjára  a Die  Hard, majd
  5.           egy hónapon  belül megjelent a skandináv államokban.  Hossza
  6.           4000 bájt, fertôzéskor ennyivel növeli meg a .COM állományok
  7.           méretét,   az.EXE   típusúaké   pedig   a  paragrafushatárok
  8.           függvényében változik. Szaporodásához  remanensen  megüli  a
  9.           tárat,  helyigénye 9232 bájt.  Miért  e  többlet?  Nos ennek
  10.           magyarázatát  a titkosításra  alkalmazott újfajta   kódolási
  11.           technika adja, dekódolási  és kódolási algoritmusa elég  sok
  12.           memóriát és számítási kapacitást köt le.
  13.               Bonyolultsága    ellenére    nem    polimorfikus,    így
  14.           szekvenciális kereséssel viszonylag könnyen felismerhetô, az
  15.           irtását ellenben megnehezítik trükkjei.Visszafejtôi egyetlen
  16.           üzenetettaláltak benne:
  17.               SW DIE HARD 2
  18.               A   vírus   többi   ténykedése   egyelôre    ismeretlen.
  19.           Reméljük, méregfogát nem is fogja kimutatni, hiszen az Fprot
  20.           megvéd ellene. 2.14-es kiadásától kezdve jelzi a betolakodót,
  21.           sôt nemcsak szûrôként  állja   meg  a  helyét,   éppúgy  jól
  22.           használható, amikor  a  fertôzött  lemezt   és  tárat   kell
  23.           fertôtleníteni.
  24.               Szintén a Távol-Keletrôl származik az LZR, terjesztôi az
  25.           ott manufakturális        módszerekkel          elôformázott
  26.           hajlékonylemezek. Október   közepén    Finnországban     egy
  27.           rutinvizsgálat  során  az importôr  a teljes  szállítmány 10
  28.           százalékáról    állapíthatta    meg fertôzött    voltát   --
  29.           hozzátesszük, általában nem szokás az elôformázott lemezeket
  30.           vírus szempontból  ellenôrizni.  Nekik köszönhetô, hogy ez a
  31.           szállítmány nem került forgalomba.
  32.               Az  LZR  egy   8  kilobájt  tárigényû,   igen  veszélyes
  33.           bootvírus. Hajlékonylemezen    a   bootszektorba    ül   be,
  34.           merevlemezen   pedig   a mesterbootrekord   a    telephelye.
  35.           Beköltözésének feltétele,  hogy fertôzött lemezzel indítsunk
  36.           rendszert  az A:  meghajtóról. Furmányos módon  azonban  nem
  37.           minden  esetben  fertôz,  hanem véletlenszerûen! Igaz,  ez a
  38.           terjedését  jelentôsen  lassítja,  de egyúttal megnehezíti a
  39.           felismerését is.
  40.               Merevlemezrôl     csak     az     írásvédelem    nélküli
  41.           lemezeket veszélyezteti,írásvédett lemezre meg sem kísérli a
  42.           bejutást. Hogy a 3,5 hüvelykes lemezeket nem  tudja kezelni,
  43.           az viszont programhiba - a vírusgyártó nem gondolt a kétféle
  44.           méretûlemez  közötti   különbséggel.   Jelenlétében  a   3,5
  45.           hüvelykes lemezek  idôvel  az  operációs   rendszer  számára
  46.           olvashatatlanná válnak. Az ok?Mielôtt feltenné kódját a boot
  47.           helyére,  az eredeti bootszektort  a  lemez  közepe   tájára
  48.           másolja, s  az a terület bizony felülíródhat  adatokkal. Nem
  49.           véletlen, hogy a hasonló vírusok az eredeti bootot általában
  50.           a gyökérkönyvtár utolsó  szektorára vagy  a lemez fizikailag
  51.           legutolsó  szektorára teszik;  mindkettô  viszonylag  biztos
  52.           hely. Az  5,25 hüvelykes lemezeken  egyébként ô is az utóbbi
  53.           lehetôséggel él: a 39-es cilinder 8-as  és 9-es  szektoraira
  54.           menti  az  eredeti   bootot,  az ott esetlegesen   található
  55.           adatokat felülírva. Két károkozó  rutinja  is van. Az  egyik
  56.           1/65536 eséllyel aktivizálódik, tehát elég ritkán,ám ha erre
  57.           sor kerül, egyszerûen felülírja szeméttel a számítógép  elsô
  58.           merevlemezét. A másik rombolórutin a lemezírási mûveletekhez
  59.           kapcsolódik. Ennek esélye 1/256. Aktiválódásakor ez a  rutin
  60.           egy bájtnyi információt elront  a  gép írópufferében, amivel
  61.           hibát okoz az éppen akkor írt állományban, s ha  nem vesszük
  62.           észre, ez a hiba a mentésekben is megmarad.
  63.               Ellenszere az Fprot, amely mindenféle lemezrôl  kiirtja.
  64.           De leszedhetjük  az  FDISK  /MBR  és  a SYS  C: parancsokkal
  65.           is, ilyenkor  azonban  az FDISK  /F  utasítással  össze kell
  66.           gyûjteni az  elveszett   clustert,  majd   törölni   kell  a
  67.           hibásnak mutatkozott állományokat.
  68.  
  69.           @KKis János@N
  70.