home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / H9449 / BELVIR.CD < prev    next >
Text File  |  1995-04-18  |  3KB  |  58 lines

  1.           
  2.            @VBelga erotika@N
  3.           
  4.           Legutóbbi  ""portyázásakor"  két  új  fertôzô elemre figyelt
  5.           fel  @KPierre  Vandevenne,@N  a  belga  Datarescue  S.  P. R. L.
  6.           adatbiztonsági  szakembere  a  helybéli BBS rendszereken. Az
  7.           egyik   a  Sandrine,  egy  ""gyalogos"  csatolt  (companion)
  8.           vírus.  Ållományneve  486up.com,  hossza pedig mindössze 445
  9.           bájt.    Természetesen   a   hasonnevû   486up.exe   program
  10.           kíséretében  indul  el  --  tudva  lévôen  az  ilyen  típusú
  11.           vírusok   nem   épülnek   be  az  anyaprogramba,  hanem  azt
  12.           használják  ki,  hogy  a DOS elôbb indítja a .COM állományt,
  13.           mint  az .EXE-t, és a lefutó COM vírus indítja el az eredeti
  14.           .EXE  programot.  Ha  a  rendszer  fertôzött, csak ezt a 445
  15.           bájt  hosszú  .COM  programot  kell  kipucolni mindenhonnan.
  16.           Egyébként az Fprot a 2.14 kiadása is kiirtja.
  17.           
  18.           Aktiválódásakor  a  Sandrine  egy  önálló, SANDRINE.COM nevû
  19.           programot gyárt, amelynek feladata a benne lévô
  20.           
  21.           Sandrine  Baillieux  thoughts of you are in my mind (c) 1994
  22.           by BrokenHeart
  23.           
  24.           üzenet képernyôre írása.
  25.           
  26.           Erotikus   animációs   programokba  építve  terjed  a  másik
  27.           újdonság,  a  Bombtrack.  Ez a 2400 bájt hosszú, tárrezidens
  28.           betolakodó   egyaránt   megtámadja   a   .COM   és  az  .EXE
  29.           állományokat.  A  DOS programterületébôl 6 kilobájtot foglal
  30.           le; jelenléte a programok futásidejének megnyúlását okozza.
  31.           
  32.           Számos  trükköt  alkalmaz  az általános vírusvédô kártyák és
  33.           programok  kijátszására és a visszafejtés megakadályozására.
  34.           Megtelepedése  után az elsô dolga, hogy a gépbôl kitakarítsa
  35.           a  Microsoft,  illetve  a  Central Point Antivirus programok
  36.           CRC  ellenôrzô  állományait.  Aktivizálódásakor  a következô
  37.           könyvtári struktúrát alakítja ki magának:
  38.           
  39.           \BOMBTRA.CK\NEVERYne
  40.           
  41.           Ezután   számos   rendszerállományt   megrongál  --  kedvenc
  42.           szokása  a  programok  belépési  pontjának módosítása. Nincs
  43.           tekintettel   azonban   a   .COM  állományok  64  kilobájtos
  44.           határára,   nem  zavarja,  hogy  beépülése  után  az  illetô
  45.           program  végrehajthatatlanná válik. Ez hiba az író részérôl,
  46.           szerencse  ránk  nézve,  hiszen  a mûködésképtelen programok
  47.           nem is terjeszthetik.
  48.           
  49.           Polimorfitása   --   mutálása   --   miatt   egyelôre  nincs
  50.           biztonságos  detektora, bár a heurisztikus analízisek jelzik
  51.           az  állományok  elhalását  és a belépési pont elkeveredését.
  52.           Összességében  egy  profi  mutáló  résszel ellátott, de igen
  53.           gyöngén  kidolgozott  vírussal van dolgunk. rója feltehetôen
  54.           valahonnan  kiemelt egy mutáló modult, és azzal ütötte össze
  55.           ezt a kódot.
  56.           
  57.           Kis János
  58.