home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / H9413 / BACH.CD < prev    next >
Text File  |  1994-11-26  |  4KB  |  72 lines
  1.           @VJ. S. Bach@N
  2.           
  3.           Michelangelo  után  a nagy barokk muzsikus, Johann Sebastian
  4.           Bach  nevét  is  besározták  a  vírusprogramozók. A JSB vagy
  5.           J.S.Bach  Észak-Európában,  a  karácsonyi vásár után bukkant
  6.           fel,  1993 utolsó hetében. Egy számítógép-kereskedô akadt rá
  7.           a   furcsán   viselkedô  állományokra,  és  elküldte  azokat
  8.           vizsgálatra      @KFriderik     Skulassonhoz@N.     Heurisztikus
  9.           analízis  üzemmódjában  az Fprot jelezte a rendellenességet,
  10.           majd  alaposabb  elemzés következett, s a betolakodó megléte
  11.           immár bebizonyosodott. Víruspatak született.
  12.           
  13.           JSB  kizárólag  a  496  bájtnál  hosszabb  .COM állományokat
  14.           fertôzi  meg (csak a kiterjesztést nézi). Minden lefutásakor
  15.           egyetlen  egy  másik fertôzhetô állományt fertôz meg. Ha már
  16.           van  ilyen,  áldozatot  keresve  végigmegy  a teljes elérési
  17.           úton.  Egy  példával  illusztrálva  ezt  a  kissé  szokatlan
  18.           jelenséget:  van  egy  start.bat programunk a fôkönyvtárban,
  19.           amelyet  indítunk.  Ez  meghívja  a  C:\KAKADU\BACH\bach.com
  20.           programot.   Ekkor   a  vírus  nem  a  BACH  vagy  a  KAKADU
  21.           könyvtárakban, hanem a fôkönyvtárban fog fertôzni.
  22.           
  23.           Mint   említettük,  csak  kitejesztést  ellenôriz,  ezért  a
  24.           COM-nak   átnevezett  .EXE  programot  szintén  nem  kíméli,
  25.           amibôl  az  következik,  hogy  a  víruskód  lefutása  után a
  26.           program elszáll.
  27.           
  28.           Mindenekelôtt  ellenôrzi,  nem  fertôzött-e  az állomány. Ha
  29.           igen,  azt  jelzi,  hogy  a  harmadik  eltolási  cím a vírus
  30.           szignatúrája:   JSB.   Az   elsô  2x3  bájton  ugróutasítást
  31.           találunk   (JMP).   Bach  ""kegyeltjének"  hosszabbnak  kell
  32.           lennie  15  bájtnál, illetve rövidebbnek 64513 bájtnál (ez a
  33.           .COM  hosszkorlátja).  A  fertôzés  során  az elsô 16 bájtot
  34.           cseréli  fel a kód egy részével, a többit az állomány végére
  35.           fûzi.  Végrehajtáskor  fertôz,  de  van  rezidens  része is,
  36.           amely    a    lemezaktivitást   (írást,   olvasást)   tartja
  37.           ellenôrzése    alatt.   Édesmindegy   a   számára,   hol   a
  38.           célállomány:    hajlékony-    vagy    merevlemezen,    avagy
  39.           hálózaton.  Nincs  kegyelem,  nincs  különbség;  legyen akár
  40.           rejtett,  akár  csak  olvasható  vagy rendszerállomány -- az
  41.           attribútum   nem   tartja  vissza.  Ami  a  dátumot  illeti,
  42.           aktivizálódás  után  nem  állítja helyre az eredeti értéket,
  43.           viszont  egyszerû  szerkesztôprogrammal  is  felfedezhetô  a
  44.           benne található, de nem megjelenô szövegrôl:
  45.           
  46.           J.S. Bach by TXQ
  47.           
  48.           vagy  a  7--10. bájtokon levô JSB szignóról. Bach az 1993-as
  49.           évben  csak  minden  hó  20-a után volt aktív, azóta viszont
  50.           minden áldott nap veszélyes.
  51.           
  52.           Amikor  a korábban említett lemezvezérlô rutin a DOS memória
  53.           alsó  részében  ül, saját megszakítási táblájával írja felül
  54.           az  eredetit.  Maga  a  DOS ""lukaiba" ül be, így nem foglal
  55.           memóriát,  és  segédprogramokkal sem lehet látni. Az INT 13h
  56.           megszakítást  magára  veszi,  és  mihelyt ezt valamely másik
  57.           program   meghívja,  eggyel  csökkenti  egy  200-ról  induló
  58.           számláló   értékét.   Minden   kétszázadik  lemezhozzáférést
  59.           átirányít  az  elsô fizikai meghajtóra, azaz általában az A:
  60.           lemezegységre.  Ha tehát látszólag ok nélkül kigyullad az A:
  61.           meghajtó  aktivitását jelzô LED, a JSB-re is gyanakodhatunk.
  62.           Az  eredmény  elkeserítô: amikor a hajlékonylemezt olvassa a
  63.           gép,  akkor  is  azt  hiszi, hogy a merevlemezzel van dolga.
  64.           Ezért,   mivel   rossz   könyvtári   táblát   olvas   be,  a
  65.           merevlemezre  is rossz helyre írja be az adatokat, ily módon
  66.           igen gyorsan hihetetlen káoszt okoz.
  67.           
  68.           Az  Fprot  2.11  olimpiai  kiadása  a  vírust  detektálja és
  69.           takarítja. További elemzése folyamatban van.
  70.           
  71.           @KKis János@N
  72.