home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / H9447 / SZAMTER.CD < prev    next >
Text File  |  1994-11-27  |  5KB  |  84 lines
  1.           @VSzélhámos a lap nevében@N
  2.           
  3.           ìme  egy  újabb bizonyítéka annak, hogy a tisztességtelenség
  4.           mennyire nem ismer határokat. Két és fél éve számoltunk be a
  5.           Számalk  vírus  ténykedéseirôl  (@KHeti  CHIP,@N  1992/7.), most
  6.           pedig  ennek  egy  átiratáról  kell szólnunk. Ezúttal nem az
  7.           oktatóközpont  lejáratása  volt  a  cél,  hanem néhány hazai
  8.           számítástechnikai  lap  és  szakember nevében eregették szét
  9.           írói.   Mindez  nem  ismeretlen  a  szakmában,  hiszen  @KJohn@N
  10.           @KMcAfee,     Patricia    Hoffman@N    és    mások    rendszeresen
  11.           találkoznak a nevükben megírt vírussal.
  12.           
  13.           E mostani károkozó alapjául a Számalk 1.x család szolgált --
  14.           szerencsére   a   kód  átdolgozói  eléggé  felületes  munkát
  15.           végeztek:  a  specifikus azonosító részt NOP-okkal spékeltek
  16.           meg,  hogy  ne  lehessen  felismerni a Számalknál megszokott
  17.           módon,  valamint átállították az aktivizálódási idôt. Azaz a
  18.           1994.  június  1-je  és  szeptember  1-je közötti idôszakban
  19.           csak  terjed, nem rombol. Mindenestre fellépése a meglepetés
  20.           erejével  hatott,  az  egyik  hazai  bank  fiókja rendkívüli
  21.           bankszünnapot   és   tetemes   veszteséget   volt  kénytelen
  22.           elszenvedni.  Azóta  a Virkillhez elkészült az ezt felismerô
  23.           és  irtó  kiegészítés,  illetve  ellenszerét  beépítették  a
  24.           kereskedelmi  programok  közül  a  Sysdoki  és a Virusbuster
  25.           legújabb  változatába.  A  hagyományos  vírusszûrôk egyelôre
  26.           nem veszik észre.
  27.           
  28.           Ugyanolyan   módszerrel   fertôz,  mint  elôdje:  nem  válik
  29.           rezidenssé,  áldozatait *.COM-mal keresi meg. Ha talál ilyen
  30.           programot,  elôször  megnézi,  hogy  fertôzött-e,  ha  igen,
  31.           tovább  keres  addig,  amíg  olyan programot nem talál, amit
  32.           megfertôzhet.  Ha  az  aktuális  alkönyvtárban  nincs ilyen,
  33.           tovább  keres  a  fôkönyvtárban, majd a path útvonalán. 2588
  34.           bájtos  kódját az állomány végére toldja be, de csakis olyan
  35.           .COM   állományokhoz   tapasztva,  amelyek  E9h,  EBh,  E8h,
  36.           illetve   9Ah   utasítással  kezdôdnek.  Megmaradt  benne  a
  37.           Számalk  vírus azon hibája, hogy az EBh utasítás (jmp short)
  38.           címzését    elrontja.    Emiatt    elôfordulhat,    hogy   a
  39.           megfertôzött  program a rendszer elszállását okozza. További
  40.           hiba,   s   hasonló  eredményre  vezet,  hogy  néhány  rövid
  41.           programot  elsôre  nem  tud  megfertôzni.  Ilyenkor  elôször
  42.           átírja  az  ugróutasítást,  de  nem  teszi  be  a  vírust  a
  43.           megfelelô  helyre.  Második  alkalommal  már  végrehajtja  a
  44.           fertôzést,  viszont  ekkor  már  nem tudja elmenteni az elsô
  45.           utasítás ugrócímét.
  46.           
  47.           Mint említettük, szeptember 1-jéig tart a terjedési idôszak,
  48.           ám attól kezdve, akárcsak a többi Számalk vírus, ""ledarálja"
  49.           a merevlemezek elsô clustereit, aminek teljes adatvesztés  a
  50.           következménye. Ezt is programhibásan oldották meg a szerzôk,
  51.           úgyhogy  32  megabájtnál  nagyobb  partícióméret és 4.xx-nél
  52.           nagyobb verziószámú  DOS esetén  nem okoz  teljes kárt, csak
  53.           üzenget és  esetenként lefagyasztja  a rendszert.  Ugyanis a
  54.           felülírást  a  26-os  megszakítás  hívásával  oldja  meg, de
  55.           elfeledkeztek  a  vírusírok  arról,  hogy  a   megnövekedett
  56.           partícióméret  miatt  a  4.xx  vagy  késôbbi  DOS-okban  ezt
  57.           másképpen  kell  meghívni,  ezért  Ivalid media visszatérést
  58.           kap  a  program.  Azonban  a  3.xx-es  DOS-ok és 32 megabájt
  59.           alatti partícióméret  esetén direkt  írással teszi  tönkre a
  60.           merevlemez tartalmát, memóriaszeméttel írva azt felül.
  61.           
  62.           Aktivitását jelzi a  monitoron megjelenô üzenet,  illetve ha
  63.           a számítógéphez csatlakozó nyomtató be van kapcsolva, ki  is
  64.           nyomtatja azt. A kiírás szövege kódolt formában található meg
  65.           a vírus törzsén belül.  Ezenkívül még egy szöveg  szerepel a
  66.           vírusban,  ami  viszont  nincs  kódolva,  így akár azonosító
  67.           szignatúrának is használható:
  68.           
  69.           Copyright (C)  Mr Tamás  Rudnai, Mr  Imre Szegedi,  Mr János
  70.           Kiss 1993. (R)
  71.           
  72.           (It's we work dear user. Please call up we now !)
  73.           
  74.           Szerzônk,  úgy  látszik,  nincs  tisztában  azzal,  hogy   a
  75.           nevezett személyek  nem dolgoznak  együtt, sôt  az egyikük a
  76.           nevét sem úgy  írja, ahogy a  vírusban szerepel. E  kórokozó
  77.           és   romboló  programot  @KFarmosi  István@N  és  @KRudnai   Tamás@N
  78.           fejtette  vissza   igen  gyorsan,   nekik  köszönhetjük   az
  79.           ellenszereken  kívül  az  imént  közölt  információkat   is.
  80.           Természetesen  sem  az  üzenetben  megnevezett személyeknek,
  81.           sem pedig a lapoknak nincs közük a vírushoz.
  82.           
  83.           @KKis János@N
  84.