home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / H9407 / CINCOFR.CD < prev    next >
Text File  |  1994-11-28  |  7KB  |  124 lines
  1.           @VKerülget a cincófrász@N
  2.  
  3.           Egyre  többen  látják  el víruskeresô rutinokkal a különféle
  4.           alaplapokon,    merevlemez-vezérlô    kártyákon    található
  5.           BIOS-okat,    amivel   legalább   a   többé-kevésbé   ismert
  6.           számítógépvírusok  terjedése  ellen  megtesszük  a szükséges
  7.           intézkedéseket.      A      módosíthatatlanul      beégetett
  8.           mikroprogrammal  ugyanis  elérhetô  az  a minimális védelem,
  9.           amire   szüksége  lehet  a  laikusnak,  aki  nem  cserélgeti
  10.           rendszeresen  lemezeit és programjait. A szándék dicséretes,
  11.           a  megvalósítások  azonban  zömmel  félresikerültek. Vagy az
  12.           elsô   komolyabb  fertôzésig  tartó  hamis  biztonságérzetet
  13.           nyújtanak,  vagy nehezen kivédhetô vakriasztásokkal hozzák a
  14.           cincófrászt a szerencsétlen gépkezelôre.
  15.  
  16.  
  17.           @VEsettanulmány@N
  18.  
  19.           Egy  rendszergazda  barátom  nemrégiben  új  gépet  vásárolt
  20.           otthoni  munkájához.  486-os típus, 8 megabájt tárral és 400
  21.           megabájtos  merevlemezzel,  VESA helyi sínes IDE vezérlôvel.
  22.           Meglepetten   tapasztalta,   hogy   a   /chkhi   kapcsolóval
  23.           futtatott  109-es  Viruscan  szerint  Aragon [Arag fertôzte
  24.           meg  a  tárat.  Végigjárta  a  szokott köröket: kikapcsolás,
  25.           pár  perc után újraindítás garantáltan vírusmentes lemezrôl,
  26.           s  új ellenôrzés a rendelkezésére álló jobb víruskeresôkkel.
  27.           Egyik    sem    jelzett    semmit,    ám    a   leragasztott
  28.           rendszerlemezrôl  indított  Scan újfent megtalálta az Aragon
  29.           nyomait.  Nem segített a tárelemek cseréje sem; ekkor hívott
  30.           engem.
  31.  
  32.           Hamar   kiderítettük,   mit  mond  a  szakirodalom  errôl  a
  33.           vírusról.  Több  program  felismeri,  azok  is, amelyekkel a
  34.           fiú  ellenôrzött,  csak eltávolítani nem tudják. Akkor miért
  35.           csak a Viruscan akad el rajta?
  36.  
  37.           Elôször  is tisztáztuk, a BIOS a C-MOS beállítása szerint az
  38.           A  meghajtóról tölti a rendszert. Bootolás, keresés: vírus a
  39.           tárban.   Sebaj,   ott   a   régi   gép,  ellenôriztettük  a
  40.           bootlemezt,   nincs   rajta   Aragon!   Ismét   az  új  gép,
  41.           rendszertöltés,  FDISK /mbr, SYS, keresés, s megint csak ott
  42.           a  vírus.  Lemezformázás  a  gyanús  gépen,  hátha  azon  is
  43.           sikerül  nyakon csípni egy kórokozót. Az eredmény negatív, a
  44.           frissen   formázott   lemezeken   nem   találtunk  semmiféle
  45.           fertôzést.
  46.  
  47.           Próbálkoztunk   azzal   is,   hogy   mindenféle  programokat
  48.           betöltve  felülírjuk  a tárat. Åm a tünetek megmaradtak. Már
  49.           engem  is elfogott a cincófrász, ezért a gépben levô hardver
  50.           finomságairól  érdeklôdtem.  Kiderült,  a  VESA  helyi sínes
  51.           kombinált  IDE/IO  vezérlôbe  (Trend Micro Device, MI 3220V)
  52.           beépítették  a  víruskeresô  Chip  Away Virus szolgáltatást.
  53.           Igaz,  ezt  lekapcsoltuk,  de  a  BIOS-ban  bent volt. Ebbôl
  54.           logikusan  adódott  a  következô  lépés:  vezérlôcsere.  Egy
  55.           mezei  IDE  vezérlôvel  a  vírusra  utaló  jelek nyomtalanul
  56.           eltûntek.
  57.  
  58.           Megkönnyebbülten   állapítottuk   meg,  hogy  a  kellemetlen
  59.           órákat   a   kissé   átgondolatlanul  megvalósított  bôvítés
  60.           okozta.  A  kártya  használható,  csupán  az  kínos,  hogy a
  61.           tulajdonosa  a  Scan  egyik  legajánlottabb  kapcsolóját,  a
  62.           /chkhi-t  nem  alkalmazhatja  a vírusvizsgálatnál. Ugyanis a
  63.           program  megtagadja  a  további  keresést,  miután az Aragon
  64.           vélt nyomaira bukkan a tárban.
  65.  
  66.           @VTanulságok@N
  67.  
  68.           A  számítógépvírusok  attól  vírusok, hogy szaporodnak, azaz
  69.           kódjukat  újabb  és  újabb programokhoz fûzik vagy beírják a
  70.           lemezek  bootszektorába.  Mivel  az elôbbi esetben a jelzett
  71.           ""vírus"    nem   szaporodott,   és   a   figyelmeztetés   a
  72.           kártyacserével  megszûnt,  ez  a  jelzés  csakis vakriasztás
  73.           lehetett.  Emellett  szól  az  is,  hogy  akkor  sem tûnt el
  74.           (látszólag)  a vírus a tárból, amikor az operációs rendszert
  75.           hajlékonylemezrôl hívtuk meg.
  76.  
  77.           A  magyarázat  valószínûleg annyi, hogy a merevlemez-vezérlô
  78.           BIOS-a  belapozódik  a  640  kilobájt  feletti  tárrészbe, s
  79.           hiába  kapcsoltuk  ki  az aktív vírusvizsgálatot, az Aragont
  80.           azonosító   karaktersorozat   a  belapozott  BIOS  területre
  81.           került.    Hiszen    az    eredetileg   a   DOS   területére
  82.           specializálódott  vírust  csak  a /chkhi kapcsolóval fedezte
  83.           fel  a Scan. Hasonló tünetekkel a tisztán szoftveres védelmi
  84.           rendszereknél  is  találkozhatunk. A nem kellôen titkosított
  85.           karakterláncok  az  adatállományokban,  illetve  a tárból el
  86.           nem  takarított  azonosító  kódsorozatok  sajnos  mindennapi
  87.           bizonyítékai a programozó figyelmetlenségének.
  88.  
  89.           Mivel  a nevezett vezérlôt és hasonló kiépítésû társait több
  90.           VESA  sínes  alaplappal  szerelt  gyors  és  modern gépbe is
  91.           beépítették,   számolnunk   kell   azzal,   hogy   az  ilyen
  92.           jelenségek  jócskán  meg  fognak szaporodni a nem túl távoli
  93.           jövôben.  A  helyzet  adott.  Szeretnünk  ugyan nem kell, de
  94.           együtt  kell  élnünk  a  következményekkel. Aki ilyen BIOS-ú
  95.           gépet   vagy   vezérlôkártyát  kap,  fel  kell  készülnie  a
  96.           cincófrász  támadásaira,  hacsak  a  lemezek  rendszeres  és
  97.           alapos  ellenôrzésével ki nem váltja a felsô tárcímek minden
  98.           keresésnél lefutó vizsgálatát.
  99.  
  100.           Másik   víruskeresôre  átállni  nem  feltétlenül  szükséges.
  101.           Érdemes   azonban   második,   sôt   harmadik   keresôt   is
  102.           beállítani.  Három  jól megválasztott víruskeresôvel nemcsak
  103.           az  adatbiztonságot  fokozhatjuk,  de  a  vakriasztásokat is
  104.           könnyebben szûrhetjük ki.
  105.  
  106.           @KNagy Gábor@N
  107.  
  108.           @VAragon@N
  109.  
  110.           1992   augusztusában  tûnt  föl  elôször.  Merevlemezeken  a
  111.           partíciós  táblát  fertôzi  (az  eredeti MBR a 0-ás oldal 0.
  112.           cilinderének   9-es  szektorába  kerül),  hajlékonylemezeken
  113.           pedig  a bootszektort támadja meg. E lopakodó típusú vírus a
  114.           DOS  640  kilobájtos  tárterületének  tetejébôl csíp le 1024
  115.           bájtot,   és   kisajátítja   a   12-es  megszakítást.  Aktív
  116.           állapotában  --  akár írunk a lemezre, akár olvasunk róla --
  117.           minden lemezt megfertôz, amelyen nincs írásvédelem.
  118.  
  119.           Felismeri  a  Viruscan,  az Fprot, a NAV, az AVTK, az Utscan
  120.           és  a  Sweep.  Eltávolításához  MS-DOS-4-ig  futtassuk le az
  121.           MDISK  programot  /p  paraméterrel,  vagy  a  SYS paranccsal
  122.           telepítsünk  új  rendszert.  Ha  a  vírus  belepiszkított  a
  123.           partíciós  táblába,  MS-DOS  5.0-tól az FDISK /mbr parancsot
  124.           javasoljuk a SYS elôtt.