home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
H9449
/
BELVIR.CD
< prev
next >
Wrap
Text File
|
1995-04-18
|
3KB
|
58 lines
@VBelga erotika@N
Legutóbbi ""portyázásakor" két új fertôzô elemre figyelt
fel @KPierre Vandevenne,@N a belga Datarescue S. P. R. L.
adatbiztonsági szakembere a helybéli BBS rendszereken. Az
egyik a Sandrine, egy ""gyalogos" csatolt (companion)
vírus. Ållományneve 486up.com, hossza pedig mindössze 445
bájt. Természetesen a hasonnevû 486up.exe program
kíséretében indul el -- tudva lévôen az ilyen típusú
vírusok nem épülnek be az anyaprogramba, hanem azt
használják ki, hogy a DOS elôbb indítja a .COM állományt,
mint az .EXE-t, és a lefutó COM vírus indítja el az eredeti
.EXE programot. Ha a rendszer fertôzött, csak ezt a 445
bájt hosszú .COM programot kell kipucolni mindenhonnan.
Egyébként az Fprot a 2.14 kiadása is kiirtja.
Aktiválódásakor a Sandrine egy önálló, SANDRINE.COM nevû
programot gyárt, amelynek feladata a benne lévô
Sandrine Baillieux thoughts of you are in my mind (c) 1994
by BrokenHeart
üzenet képernyôre írása.
Erotikus animációs programokba építve terjed a másik
újdonság, a Bombtrack. Ez a 2400 bájt hosszú, tárrezidens
betolakodó egyaránt megtámadja a .COM és az .EXE
állományokat. A DOS programterületébôl 6 kilobájtot foglal
le; jelenléte a programok futásidejének megnyúlását okozza.
Számos trükköt alkalmaz az általános vírusvédô kártyák és
programok kijátszására és a visszafejtés megakadályozására.
Megtelepedése után az elsô dolga, hogy a gépbôl kitakarítsa
a Microsoft, illetve a Central Point Antivirus programok
CRC ellenôrzô állományait. Aktivizálódásakor a következô
könyvtári struktúrát alakítja ki magának:
\BOMBTRA.CK\NEVERYne
Ezután számos rendszerállományt megrongál -- kedvenc
szokása a programok belépési pontjának módosítása. Nincs
tekintettel azonban a .COM állományok 64 kilobájtos
határára, nem zavarja, hogy beépülése után az illetô
program végrehajthatatlanná válik. Ez hiba az író részérôl,
szerencse ránk nézve, hiszen a mûködésképtelen programok
nem is terjeszthetik.
Polimorfitása -- mutálása -- miatt egyelôre nincs
biztonságos detektora, bár a heurisztikus analízisek jelzik
az állományok elhalását és a belépési pont elkeveredését.
Összességében egy profi mutáló résszel ellátott, de igen
gyöngén kidolgozott vírussal van dolgunk. rója feltehetôen
valahonnan kiemelt egy mutáló modult, és azzal ütötte össze
ezt a kódot.
Kis János