home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / H9409 / OLIMPIA.CD < prev    next >
Text File  |  1994-11-28  |  5KB  |  82 lines
  1.  
  2.           @VVírusolimpia@N
  3.  
  4.           Mielôtt   megkezdôdtek  Lillehammerben  az  1994.  évi  téli
  5.           olimpiai   játékok,   természetes,   a  számítógép-hálózatot
  6.           vírusok   szempontjából   is   ellenôrizték  a  szakemberek.
  7.           Eredmény:  Olympic  lapult  a  gépeken, kifejezetten február
  8.           12-ére  idôzítve.  Szerencsére  sikerült  kiirtaniuk,  és  a
  9.           játékok  közvetítése rendszerhiba nélkül lefutott. A tettes?
  10.           Egy  svéd  bacillusgyártó  társaság, az Immortal Riot Group,
  11.           amely  a nemzetközi ranglistán egyre elôkelôbb helyet foglal
  12.           el.  Igazi veszélyük abban rejlik, hogy küldeményeiket el is
  13.           tudják   juttatni   a  kívánt  címre,  a  megfertôzni  szánt
  14.           számítógéprendszerbe.   Pedig   még  azt  a  fáradságot  sem
  15.           veszik,  hogy  ôk maguk programozzanak! Termékeiket Nuke VCL
  16.           fejlesztôkészletének apróbb módosításával hozzák létre.
  17.  
  18.           Olympic  a  .COM  állományokat  támadja  meg,  ám  az a mód,
  19.           ahogyan  a  leendô  bacillusgazdát  keresi,  túl hosszú idôt
  20.           vesz   igénybe,   ha   túlburjánzott  a  merevlemezen.  Akár
  21.           percekig  is  eltarthat, míg újabb áldozatát megleli -- ezen
  22.           bukott  meg  a rendszerpróbák idején. Az ilyen fokú lassulás
  23.           mindenképpen    gyanút   ébreszt   és   alapos   vizsgálatot
  24.           eredményez.   Felderítéséhez   hatalmas   segítség   volt  a
  25.           vírusírók   lustasága,   hiszen   egyszerûen  átvették  Nuke
  26.           fertôzési  algoritmusát,  amelyet  a  szakemberek immár több
  27.           helyrôl is jól ismerhetnek.
  28.  
  29.           Aktivizálja   1994.   február   12.,   az  olimpiai  játékok
  30.           kezdetének  dátuma.  Kirajzolja  az  ötkarikát a képernyôre,
  31.           majd  csípôs megjegyzéseket fûz a játékokhoz. Amikor mindezt
  32.           megunta,  felülírja  a  merevlemez  elsô  256 szektorát, s a
  33.           rombolás  idejére  letiltja a Ctrl-C és Ctrl-Break gombokat.
  34.           Végül    kimerevíti    a    rendszert.   Fertôzött   program
  35.           végrehajtásakor  elôször  is  dekódolja magát, amihez persze
  36.           idô   kell,   majd   kezdôdik  az  áldozatkeresés:  elôbb  a
  37.           fôkönyvtár,  utána  a  merevlemez  strukturális  vizsgálata,
  38.           mind   mélyebben   a   katalógusszinteken.   îgy  a  vírusos
  39.           állományok   és   az   összes   adatmennyiség   függvényében
  40.           gyakorlatilag exponenciálisan lassul a mûködés.
  41.  
  42.           Nem   rezidens,   közvetlenül  támad.  A  fertôzött  program
  43.           indításakor  elôször  ô  maga  fut  le,  elvégzi  feladatát,
  44.           szaporodik  vagy  rombol,  utána  kilép  és  --  ha tudja --
  45.           átadja   a   vezérlést   a  gazdaprogramnak.  Amúgy  roppant
  46.           elôvigyázatos.   Beköltözés   elôtt  mindig  ellenôrzi,  nem
  47.           haladja-e  majd  meg  a  .COM hossza a 64 kilobájtos határt.
  48.           Megnézi  az elsô bájtot, s ha ott nem talál fertôzésre utaló
  49.           jelet,  egy  sima ugróutasítással ""betelepszik" az állomány
  50.           elejére,  itt  lesz  az  inicializálás, a víruskódot pedig a
  51.           programkód  mögé  illeszti.  Ellenkezô  esetben  más áldozat
  52.           után  néz. De mivel nem ellenôrzi az .EXE program fejének MZ
  53.           vagy  ZM  azonosítóját, egy rossz .EXE állományból futóképes
  54.           COM  típusú  vírust  produkálhat.  S  ha  ezután  rákerül  a
  55.           vezérlés,   .COM-ként  indul  el,  így  a  rendszer  kiakad.
  56.           Megfertôzi  egyébként  a  DOS csak olvasható állományait is.
  57.           Sem  a  dátum,  sem  az idôbejegyzés nem módosul, viszont az
  58.           1440 bájt hossznövekedést a katalógus kimutatja.
  59.  
  60.           Sovány   vigasz:  a  sérült  állományok  viszonylag  könnyen
  61.           helyreállíthatók.  Ugyanis  fertôzéskor 3 bájtot átköltöztet
  62.           az   állomány   legvégére,  hogy  a  helyébe  beírja  a  JMP
  63.           utasítást.  A  visszakódoló rutin az eredeti programkód után
  64.           következik,  ehhez  fûzi a vírust. Titkosításához a fertôzés
  65.           pillanatának  idôértékébôl  képzett  kulcsot  használ fel. A
  66.           kód ismeretében egyszerû a takarítás.
  67.  
  68.           1994.  február  12-tôl  kezdve folyamatosan aktív, jelenlegi
  69.           ismereteink  szerint  nincs  kikapcsolási idôpontja. Korábbi
  70.           dátum  esetén  a  kód  lefutásakor  visszaadja a vezerlést a
  71.           gazdaprogramnak.   Bármely  szövegszerkesztôvel  megnézve  a
  72.           lemeztartalmat,  magunk  is  felfedezhetjük a vírus szöveges
  73.           részét:
  74.  
  75.           @VOlympic Aid(s) `94 (c) The Penetrate@N
  76.  
  77.           Persze   nem   szükséges   barkácsolni,  az  Fprot  olimpiai
  78.           kiadása,  a 2.11 már ismeri és irtja. A többi víruskeresôvel
  79.           vigyázni  kell,  mert  átsiklanak  felette,  néhányan  pedig
  80.           tévesen VCL-nek vélik.
  81.  
  82.           @KKis János@N