home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / H9416 / HEAD.CD < prev    next >
Text File  |  1994-11-26  |  3KB  |  56 lines

  1.           @Vfejétôl bûzlik@N
  2.           
  3.           ùj  és  --  sajnos  --igen  ötletes vírustípusra hívta fel a
  4.           közelmúltban   a   számítógép-használók  figyelmét  @KIgor  G.@N
  5.           @KMuttik,@N  a  Moszkvai  Ållami  Egyetem  informatikaprofesszora.
  6.           A  náluk  decemberben fellépett vírus teljesen új módszerrel
  7.           dolgozik.  Nem  cseréli  le  az  EXE állományok kódjának egy
  8.           részét  sem,  s  nem  is  fûzôdik  hozzá a programhoz, hanem
  9.           annak  fejlécébe  épül be. Mindössze egyetlen állományfej az
  10.           egész.  Az  új  mechanizmusból eredôen az ismert vírusvadász
  11.           programok nem észlelik.
  12.           
  13.           Nem   használ   semmilyen  más  DOS  funkcióhívást,  csak  a
  14.           rezidenssé   válásra  szolgáló  INT  27-et.  Egyetlen  rövid
  15.           szöveget  tartalmaz  a  kódja végén; 205 bájtján több nem is
  16.           igen férne el:
  17.           
  18.           (C)VVM
  19.           
  20.           Innen  a  neve,  a VVM. Lopakodva terjed, a tárban ezért nem
  21.           mutatható  ki  szokványos  eszközökkel.  Természetesen így a
  22.           katalógusban sem látszik az állományhossz változása.
  23.           
  24.           Mint  már  említettük,  az EXE fejbe épül be, és ellentétben
  25.           például  a  Dir  II  FAT-tal,  nem  használ  alacsony szintû
  26.           írást,  olvasást.  A  fertôzés kiváltója az EXE fejet indító
  27.           MZ  jelzés.  Nem  fertôz  .COM állományokat (azokban ugyanis
  28.           nincs fejléc).
  29.           
  30.           Jelenleg kimutatni a következô kézi eljárással lehet:
  31.           
  32.           Tiszta  lemezrôl  kell  rendszert  hívni. Egyetlen bájtot, a
  33.           harmadikat  változtatja  meg.  Ezenkívül még keresni kell az
  34.           azonosító  stringet  is.  Amennyiben  az  EXE  az  E9  30 01
  35.           bájttal  indul,  akkor  fertôzött.  A gyors helyreállításhoz
  36.           elég  az  elsô két bájton visszaírni az MZ-t, az eredeti EXE
  37.           szignatúrát.
  38.           
  39.           Keresési szignatúrája hexadecimálisan:
  40.           
  41.           B4,13,BA,75,02,8B,DA,CD
  42.           
  43.           Összeveszik   a   Smartdrv   és   szinte   az  összes  többi
  44.           lemezgyorsító  programmal.  Az eredmény: a fertôzött program
  45.           kiakad, és megkapjuk a
  46.           
  47.           Memory allocation error/Cannot load COMMAND
  48.           
  49.           rendszerüzenetet.  Olykor  elveszett  clusterek árulkodnak a
  50.           jelenlétérôl,  egyéb  károkozása  eddig nem ismert. Elemzése
  51.           folyamatban   van,   hiszen  kizárólag  dokumentálatlan  DOS
  52.           funkciókon  keresztül dolgozik, nem funkcióhívásokkal, hanem
  53.           direkt regiszter értékadásokkal.
  54.           
  55.           @KKis János@N
  56.