home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
H9407
/
CINCOFR.CD
< prev
next >
Wrap
Text File
|
1994-11-28
|
7KB
|
124 lines
@VKerülget a cincófrász@N
Egyre többen látják el víruskeresô rutinokkal a különféle
alaplapokon, merevlemez-vezérlô kártyákon található
BIOS-okat, amivel legalább a többé-kevésbé ismert
számítógépvírusok terjedése ellen megtesszük a szükséges
intézkedéseket. A módosíthatatlanul beégetett
mikroprogrammal ugyanis elérhetô az a minimális védelem,
amire szüksége lehet a laikusnak, aki nem cserélgeti
rendszeresen lemezeit és programjait. A szándék dicséretes,
a megvalósítások azonban zömmel félresikerültek. Vagy az
elsô komolyabb fertôzésig tartó hamis biztonságérzetet
nyújtanak, vagy nehezen kivédhetô vakriasztásokkal hozzák a
cincófrászt a szerencsétlen gépkezelôre.
@VEsettanulmány@N
Egy rendszergazda barátom nemrégiben új gépet vásárolt
otthoni munkájához. 486-os típus, 8 megabájt tárral és 400
megabájtos merevlemezzel, VESA helyi sínes IDE vezérlôvel.
Meglepetten tapasztalta, hogy a /chkhi kapcsolóval
futtatott 109-es Viruscan szerint Aragon [Arag fertôzte
meg a tárat. Végigjárta a szokott köröket: kikapcsolás,
pár perc után újraindítás garantáltan vírusmentes lemezrôl,
s új ellenôrzés a rendelkezésére álló jobb víruskeresôkkel.
Egyik sem jelzett semmit, ám a leragasztott
rendszerlemezrôl indított Scan újfent megtalálta az Aragon
nyomait. Nem segített a tárelemek cseréje sem; ekkor hívott
engem.
Hamar kiderítettük, mit mond a szakirodalom errôl a
vírusról. Több program felismeri, azok is, amelyekkel a
fiú ellenôrzött, csak eltávolítani nem tudják. Akkor miért
csak a Viruscan akad el rajta?
Elôször is tisztáztuk, a BIOS a C-MOS beállítása szerint az
A meghajtóról tölti a rendszert. Bootolás, keresés: vírus a
tárban. Sebaj, ott a régi gép, ellenôriztettük a
bootlemezt, nincs rajta Aragon! Ismét az új gép,
rendszertöltés, FDISK /mbr, SYS, keresés, s megint csak ott
a vírus. Lemezformázás a gyanús gépen, hátha azon is
sikerül nyakon csípni egy kórokozót. Az eredmény negatív, a
frissen formázott lemezeken nem találtunk semmiféle
fertôzést.
Próbálkoztunk azzal is, hogy mindenféle programokat
betöltve felülírjuk a tárat. Åm a tünetek megmaradtak. Már
engem is elfogott a cincófrász, ezért a gépben levô hardver
finomságairól érdeklôdtem. Kiderült, a VESA helyi sínes
kombinált IDE/IO vezérlôbe (Trend Micro Device, MI 3220V)
beépítették a víruskeresô Chip Away Virus szolgáltatást.
Igaz, ezt lekapcsoltuk, de a BIOS-ban bent volt. Ebbôl
logikusan adódott a következô lépés: vezérlôcsere. Egy
mezei IDE vezérlôvel a vírusra utaló jelek nyomtalanul
eltûntek.
Megkönnyebbülten állapítottuk meg, hogy a kellemetlen
órákat a kissé átgondolatlanul megvalósított bôvítés
okozta. A kártya használható, csupán az kínos, hogy a
tulajdonosa a Scan egyik legajánlottabb kapcsolóját, a
/chkhi-t nem alkalmazhatja a vírusvizsgálatnál. Ugyanis a
program megtagadja a további keresést, miután az Aragon
vélt nyomaira bukkan a tárban.
@VTanulságok@N
A számítógépvírusok attól vírusok, hogy szaporodnak, azaz
kódjukat újabb és újabb programokhoz fûzik vagy beírják a
lemezek bootszektorába. Mivel az elôbbi esetben a jelzett
""vírus" nem szaporodott, és a figyelmeztetés a
kártyacserével megszûnt, ez a jelzés csakis vakriasztás
lehetett. Emellett szól az is, hogy akkor sem tûnt el
(látszólag) a vírus a tárból, amikor az operációs rendszert
hajlékonylemezrôl hívtuk meg.
A magyarázat valószínûleg annyi, hogy a merevlemez-vezérlô
BIOS-a belapozódik a 640 kilobájt feletti tárrészbe, s
hiába kapcsoltuk ki az aktív vírusvizsgálatot, az Aragont
azonosító karaktersorozat a belapozott BIOS területre
került. Hiszen az eredetileg a DOS területére
specializálódott vírust csak a /chkhi kapcsolóval fedezte
fel a Scan. Hasonló tünetekkel a tisztán szoftveres védelmi
rendszereknél is találkozhatunk. A nem kellôen titkosított
karakterláncok az adatállományokban, illetve a tárból el
nem takarított azonosító kódsorozatok sajnos mindennapi
bizonyítékai a programozó figyelmetlenségének.
Mivel a nevezett vezérlôt és hasonló kiépítésû társait több
VESA sínes alaplappal szerelt gyors és modern gépbe is
beépítették, számolnunk kell azzal, hogy az ilyen
jelenségek jócskán meg fognak szaporodni a nem túl távoli
jövôben. A helyzet adott. Szeretnünk ugyan nem kell, de
együtt kell élnünk a következményekkel. Aki ilyen BIOS-ú
gépet vagy vezérlôkártyát kap, fel kell készülnie a
cincófrász támadásaira, hacsak a lemezek rendszeres és
alapos ellenôrzésével ki nem váltja a felsô tárcímek minden
keresésnél lefutó vizsgálatát.
Másik víruskeresôre átállni nem feltétlenül szükséges.
Érdemes azonban második, sôt harmadik keresôt is
beállítani. Három jól megválasztott víruskeresôvel nemcsak
az adatbiztonságot fokozhatjuk, de a vakriasztásokat is
könnyebben szûrhetjük ki.
@KNagy Gábor@N
@VAragon@N
1992 augusztusában tûnt föl elôször. Merevlemezeken a
partíciós táblát fertôzi (az eredeti MBR a 0-ás oldal 0.
cilinderének 9-es szektorába kerül), hajlékonylemezeken
pedig a bootszektort támadja meg. E lopakodó típusú vírus a
DOS 640 kilobájtos tárterületének tetejébôl csíp le 1024
bájtot, és kisajátítja a 12-es megszakítást. Aktív
állapotában -- akár írunk a lemezre, akár olvasunk róla --
minden lemezt megfertôz, amelyen nincs írásvédelem.
Felismeri a Viruscan, az Fprot, a NAV, az AVTK, az Utscan
és a Sweep. Eltávolításához MS-DOS-4-ig futtassuk le az
MDISK programot /p paraméterrel, vagy a SYS paranccsal
telepítsünk új rendszert. Ha a vírus belepiszkított a
partíciós táblába, MS-DOS 5.0-tól az FDISK /mbr parancsot
javasoljuk a SYS elôtt.