home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
958
/
HARD.CD
< prev
next >
Wrap
Text File
|
1996-02-08
|
4KB
|
70 lines
@VVégóra?@N
Indiai és szingapúri gyártású hardvereszközök
meghajtólemezein indult el fertôzô útjára a Die Hard, majd
egy hónapon belül megjelent a skandináv államokban. Hossza
4000 bájt, fertôzéskor ennyivel növeli meg a .COM állományok
méretét, az.EXE típusúaké pedig a paragrafushatárok
függvényében változik. Szaporodásához remanensen megüli a
tárat, helyigénye 9232 bájt. Miért e többlet? Nos ennek
magyarázatát a titkosításra alkalmazott újfajta kódolási
technika adja, dekódolási és kódolási algoritmusa elég sok
memóriát és számítási kapacitást köt le.
Bonyolultsága ellenére nem polimorfikus, így
szekvenciális kereséssel viszonylag könnyen felismerhetô, az
irtását ellenben megnehezítik trükkjei.Visszafejtôi egyetlen
üzenetettaláltak benne:
SW DIE HARD 2
A vírus többi ténykedése egyelôre ismeretlen.
Reméljük, méregfogát nem is fogja kimutatni, hiszen az Fprot
megvéd ellene. 2.14-es kiadásától kezdve jelzi a betolakodót,
sôt nemcsak szûrôként állja meg a helyét, éppúgy jól
használható, amikor a fertôzött lemezt és tárat kell
fertôtleníteni.
Szintén a Távol-Keletrôl származik az LZR, terjesztôi az
ott manufakturális módszerekkel elôformázott
hajlékonylemezek. Október közepén Finnországban egy
rutinvizsgálat során az importôr a teljes szállítmány 10
százalékáról állapíthatta meg fertôzött voltát --
hozzátesszük, általában nem szokás az elôformázott lemezeket
vírus szempontból ellenôrizni. Nekik köszönhetô, hogy ez a
szállítmány nem került forgalomba.
Az LZR egy 8 kilobájt tárigényû, igen veszélyes
bootvírus. Hajlékonylemezen a bootszektorba ül be,
merevlemezen pedig a mesterbootrekord a telephelye.
Beköltözésének feltétele, hogy fertôzött lemezzel indítsunk
rendszert az A: meghajtóról. Furmányos módon azonban nem
minden esetben fertôz, hanem véletlenszerûen! Igaz, ez a
terjedését jelentôsen lassítja, de egyúttal megnehezíti a
felismerését is.
Merevlemezrôl csak az írásvédelem nélküli
lemezeket veszélyezteti,írásvédett lemezre meg sem kísérli a
bejutást. Hogy a 3,5 hüvelykes lemezeket nem tudja kezelni,
az viszont programhiba - a vírusgyártó nem gondolt a kétféle
méretûlemez közötti különbséggel. Jelenlétében a 3,5
hüvelykes lemezek idôvel az operációs rendszer számára
olvashatatlanná válnak. Az ok?Mielôtt feltenné kódját a boot
helyére, az eredeti bootszektort a lemez közepe tájára
másolja, s az a terület bizony felülíródhat adatokkal. Nem
véletlen, hogy a hasonló vírusok az eredeti bootot általában
a gyökérkönyvtár utolsó szektorára vagy a lemez fizikailag
legutolsó szektorára teszik; mindkettô viszonylag biztos
hely. Az 5,25 hüvelykes lemezeken egyébként ô is az utóbbi
lehetôséggel él: a 39-es cilinder 8-as és 9-es szektoraira
menti az eredeti bootot, az ott esetlegesen található
adatokat felülírva. Két károkozó rutinja is van. Az egyik
1/65536 eséllyel aktivizálódik, tehát elég ritkán,ám ha erre
sor kerül, egyszerûen felülírja szeméttel a számítógép elsô
merevlemezét. A másik rombolórutin a lemezírási mûveletekhez
kapcsolódik. Ennek esélye 1/256. Aktiválódásakor ez a rutin
egy bájtnyi információt elront a gép írópufferében, amivel
hibát okoz az éppen akkor írt állományban, s ha nem vesszük
észre, ez a hiba a mentésekben is megmarad.
Ellenszere az Fprot, amely mindenféle lemezrôl kiirtja.
De leszedhetjük az FDISK /MBR és a SYS C: parancsokkal
is, ilyenkor azonban az FDISK /F utasítással össze kell
gyûjteni az elveszett clustert, majd törölni kell a
hibásnak mutatkozott állományokat.
@KKis János@N