home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2001 August - Disc 3 / chip_20018103_hu.iso / antivir / virtest.txt

< prev

Wrap

Text File  |  2001-07-05  |  17KB  |  398 lines

---

1.  
2.  
3.  
4.                                 Vírusvadászat
5.                                 ─────────────
6.  
7.          1997-es júliusi és októberi CD-nken is elôfordult vírus.   A
8.          CHIP Magazinban beszámoltunk  a részletekrôl.   Mindkét eset
9.          fontos  tanulságokkal  szolgált  számunkra,  és ennek nyomán
10.          módosítottunk CD-ink "gyártástechnológiáján".
11.  
12.          Többek  közt  fontosnak  érezzük  azt,  hogy  minden CD-nken
13.          közzétegyük  a  végsô  vírusellenôrzésünk  eredményeit.   (A
14.          CD-kre  kerülô  anyagokat  munka  közben  is   ellenôrizzük.
15.          Ennek során már többször is találtunk vírust.)
16.  
17.  
18.                      Az ellenôrzés módszere és eredménye
19.                      ───────────────────────────────────
20.  
21.          A CD-re kerülô anyagot egy külön merevlemezre másoltuk.   Az
22.          anyag sok tömörített  file-t tartalmaz. Ezeket  kibontottuk,
23.          mindegyik  file-t  külön  könyvtárba.   A kibontott anyagban
24.          található  tömörített  file-okat  is  kibontottuk,  és   így
25.          tovább (rekurzív kibontás).
26.  
27.          A  CD  így  kapott  "teljes"  tartalmát  az  alábbi   DOS-os
28.          és Windows-s víruskeresôk  legfrissebb verzióival és  vírus-
29.          adatbázisaival ellenôriztük:
30.           
31.                * DOS
32.  
33.                    * két "nemzetközi" keresôvel:
34.                                               F-Prot
35.                                               Tbav
36.                    * és egy magyarral:
37.                                               VirusBuster
38.  
39.                * Windows
40.                                               Mcafee Scan
41.                                               F-Secure Antivirus
42.  
43.  
44.          Azért választottuk  e keresôk  DOS-os változatait,  mert bár
45.          már több mint  három évvel ezelôtt  megjelent a Windows  95,
46.          de  a  víruskeresôknek  még  mindig  a  DOS-os  változatai a
47.          megbízhatóbbak  a   keresés  eredményessége   szempontjából.
48.          Mindkét  vírusunk  drámaian  igazolta  ezt  a  - számunkra -
49.          akkor   még   ismeretlen   tényt,   amit   azóta    szerzett
50.          tapasztalataink sem cáfoltak meg.
51.  
52.          2000 tavaszától a Mcafee  Windows-s  változatát  használjuk,
53.          mert a gyártó a DOS-os változathoz  tartozó vírus-adatbázist
54.          már nem frissíti.
55.      
56.          A   vizsgálathoz    használt    víruskeresôk    verziószáma,
57.          vírus-adatbázisaik   dátuma    és   a    keresôket    indító
58.          parancssorok megtalálhatók a  naplófile-jaikban (*.log).   A
59.          dupla CD-mellékletünk  két korongjára  kerülô anyagot  külön
60.          vizsgáltuk.
61.  
62.          A VirusBuster nem írja  be a parancssorát a  naplófile-jába.
63.          Ezt a  keresôt az  összes file  vizsgálatára, "alapos"  (nem
64.          rövid  és  nem  teljes  végigolvasással  járó)  ellenôrzésre
65.          kérve,  és   az  általános   illetve  makró   heurisztikáját
66.          "normál" érzékenységûre állítva indítottuk.
67.  
68.          Ahol a DOS-os keresôk a számukra túl hosszú elérési  útvonal
69.          (path), vagy egy file  furcsa neve miatt esetleg  nem tudtak
70.          megvizsgálni egyes file-okat,  ott külön lépésben  ezeket is
71.          megvizsgáltuk.
72.  
73.          A naplófile-okban  talált gyanús  eseteket megvizsgáltuk,  a
74.          programokat  elindítottuk  és  a  Tbav  rezidens (memóriában
75.          maradó),  a  programok  tevékenységét  figyelô  vírusvédelmi
76.          programjaival  felfegyverkezve   figyeltük   viselkedésüket.
77.          Ennek során nem észleltünk vírusra utaló tevékenységet.
78.  
79.          Ezután összehasonlítottuk  a merevlemez  állapotát a  gyanús
80.          file-ok  futtatását  megelôzô   állapottal.   A   változások
81.          (megváltozott a BOOTLOG.TXT  file tartalma stb.)  egyike sem
82.          utalt vírusra.
83.  
84.          A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk.
85.  
86.  
87.                                  Tanulságok
88.                                  ──────────
89.  
90.          Az   új   programokkal,   Excel-   és  Word-dokumentumokkal,
91.          valamint más  potenciális makróvírus-hordozó  adatfile-okkal
92.          szembeni óvatosság mindenképpen ajánlatos.
93.  
94.          Az  adatvesztések  több  mint  90%-át  egyébként nem vírusok
95.          okozzák, hanem hardverhibák és emberi figyelmetlenség,  ezek
96.          pedig  bármikor  bekövetkezhetnek.   Ezért  mindenkinek  azt
97.          javasoljuk   továbbra   is,    hogy   rendszeresen    mentse
98.          (backupolja) adatait (ezeket  sokkal nehezebb pótolni,  mint
99.          a programokat), és - ha  teheti - gépe teljes tartalmát  is,
100.          hiszen  egy  gép  esetleges  teljes újratelepítése általában
101.          nagyon sok idôbe kerül.
102.  
103.          Érdemes   végigfutni    a    víruskeresôk    naplófile-jait,
104.          tanulságosak!  Akit  érdekel, az a  vakriasztások többségére
105.          megtalálja  a  magyarázatot   a  meggyanúsított   file-okhoz
106.          tartozó leírásokban.  A memóriarezidens programokat  például
107.          joggal gyanúsítják a keresôk azzal, hogy memóriában  akarnak
108.          maradni...
109. ===============================================================================
110.  
111. Virus scanning report  -  5. July 2001   20:44
112.  
113. F-PROT 3.07
114. SIGN.DEF created 25. June 2001
115. SIGN2.DEF created 25. June 2001
116. MACRO.DEF created 7. June 2001
117.  
118. Search: .
119. Action: Report only
120. Files: "Dumb" scan of all files
121. Switches: /PACKED /REPORT=d:\av\fprot.log
122. No viruses found in memory.
123. No viruses were found in MBRs or hard disk boot sectors.
124.  
125. D:\CD\HONOSITO.GEP\INTERNET\HSE332~1\HSE3.32_\CGI-BIN\P2X560.DLL  could be infected with an unknown virus
126.  
127. Results of virus scanning:
128.  
129. Files: 13460
130. MBRs: 2
131. Boot sectors: 3
132. Objects scanned: 15057
133. Infected: 0
134. Suspicious: 1
135. Disinfected: 0
136. Deleted: 0
137. Renamed: 0
138.  
139. Time: 33:28
140. ===============================================================================
141.  
142. Scanning Report
143. Thu Jul 05 21:45:58 2001 
144.  
145. Options
146.  
147. --------------------------------------------------------------------------------
148. Target:
149. D:\cd 
150. Action:
151. Ask after scan 
152. Scanning options: 
153. Scan all files 
154. Scan inside archives: off 
155. Results
156.  
157. --------------------------------------------------------------------------------
158. Boot Sectors 
159. Scanned: 0 
160. Infected: 0 
161. Suspected: 0 
162. Disinfected: 0 
163. Files 
164. Scanned: 13460 
165. Infected: 1 
166. Suspected: 0 
167. Disinfected: 0 
168. Renamed: 0 
169. Deleted: 0 
170. Quarantined: 0 
171. Report
172.  
173. --------------------------------------------------------------------------------
174.  
175. D:\cd\honosito.gep\internet\HSE332~1\HSE3.32_\CGI-BIN\P2X560.DLL Infection: Possibly infected with an unknown virus 
176. ===============================================================================
177.  
178. 2001.07.05.    22:54    Scan Started    On Demand Scan
179. 2001.07.05.    22:54    Scan Settings    Current scan settings:
180. 2001.07.05.    22:54    Scan Settings        Log file size is limited to 100 kilobytes.
181. 2001.07.05.    22:54    Scan Settings    Action options
182. 2001.07.05.    22:54    Scan Settings        Automatically clean    : DISABLED
183. 2001.07.05.    22:54    Scan Settings        Automatically delete   : DISABLED
184. 2001.07.05.    22:54    Scan Settings    Log options
185. 2001.07.05.    22:54    Scan Settings        Virus detections       : ENABLED
186. 2001.07.05.    22:54    Scan Settings        Cleaned files          : ENABLED
187. 2001.07.05.    22:54    Scan Settings        Deleted files          : ENABLED
188. 2001.07.05.    22:54    Scan Settings        Moved files            : ENABLED
189. 2001.07.05.    22:54    Scan Settings    Scan Options
190. 2001.07.05.    22:54    Scan Settings        Subdirectories         : ENABLED
191. 2001.07.05.    22:54    Scan Settings        All files              : ENABLED
192. 2001.07.05.    22:54    Scan Settings        Compressed files       : DISABLED
193. 2001.07.05.    22:54    Scan Settings        Skip memory scan       : DISABLED
194. 2001.07.05.    22:54    Scan Settings        Priority [1-5]         : 0
195. 2001.07.05.    22:54    Scan Settings    Heuristics scan : ENABLED
196. 2001.07.05.    22:54    Scan Settings    Macro heuristics scan  : ENABLED
197. 2001.07.05.    22:54    Scan Settings    Program file heuristics scan  : ENABLED
198. 2001.07.05.    22:54    Scan Settings    Remove all Macros : DISABLED
199. 2001.07.05.    22:54    Scan Settings        Program extensions     : EXE COM DO? XL? MD? VXD SYS BIN RTF OBD DLL 
200. 2001.07.05.    22:54    Scan Settings    Scan targets
201. 2001.07.05.    22:54    Scan Settings        D:\CD
202. 2001.07.05.    23:07    Scan Summary    Scan Summary 
203. 2001.07.05.    23:07    Scan Summary        Memory scan            : No Viruses Found
204. 2001.07.05.    23:07    Scan Summary        Boot sectors scanned   : 1
205. 2001.07.05.    23:07    Scan Summary        Boot sectors infected  : 0
206. 2001.07.05.    23:07    Scan Summary        Boot sectors cleaned   : 0
207. 2001.07.05.    23:07    Scan Summary        Files scanned          : 13460
208. 2001.07.05.    23:07    Scan Summary        Files infected         : 0
209. 2001.07.05.    23:07    Scan Summary        Files cleaned          : 0
210. 2001.07.05.    23:07    Scan Summary        Files deleted          : 0
211. 2001.07.05.    23:07    Scan Summary        Files moved            : 0
212. 2001.07.05.    23:07    Scan Complete    On Demand Scan
213. ===============================================================================
214.  
215. Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.î
216.  
217. TbScan report,  07-05-2001  21:24:06
218.  
219. Parameters:  . hr hm lo ln=d:\av\tbav.log
220.  
221. ** Unregistered evaluation version. Do not forget to register! **
222.  
223. D:\CD\AMIGA.OK\UAE\DUAE075D\UTILS\MAKEDISK.EXE might be infected by an unknown virus
224. c  No checksum / recovery information (Anti-Vir.Dat) available.
225. i  Additional data found at end of file. Probably internal overlay.
226. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
227. Z  EXE/COM determination.  The program tries to check whether a file
228.    is a COM or EXE file.  Viruses need to do this to infect a program.
229. K  Unusual stack.  The program has a suspicious stack or an odd stack.
230.  
231.  
232. D:\CD\AMIGA.OK\UAE\DUAE075D\UTILS\READDISK.EXE might be infected by an unknown virus
233. c  No checksum / recovery information (Anti-Vir.Dat) available.
234. i  Additional data found at end of file. Probably internal overlay.
235. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
236. Z  EXE/COM determination.  The program tries to check whether a file
237.    is a COM or EXE file.  Viruses need to do this to infect a program.
238. K  Unusual stack.  The program has a suspicious stack or an odd stack.
239.  
240.  
241. D:\CD\AMIGA.OK\UAE\XDMS\MSDOS-BI\READDISK.EXE might be infected by an unknown virus
242. c  No checksum / recovery information (Anti-Vir.Dat) available.
243. i  Additional data found at end of file. Probably internal overlay.
244. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
245. Z  EXE/COM determination.  The program tries to check whether a file
246.    is a COM or EXE file.  Viruses need to do this to infect a program.
247. K  Unusual stack.  The program has a suspicious stack or an odd stack.
248.  
249.  
250. D:\CD\PROFI.OK\PROFI\PROFIDEM\INSTALL.COM might be infected by an unknown virus
251. c  No checksum / recovery information (Anti-Vir.Dat) available.
252. N  Wrong name extension. Extension conflicts with program structure.
253. #  Found a code decryption routine or debugger trap.  This is common
254.    for viruses but also for some copy-protected software.
255. t  Program contains a time or date triggered event.
256.  
257.  
258. D:\CD\PROFI.OK\PROFI\TARSAS-D\INSTALL.COM might be infected by an unknown virus
259. c  No checksum / recovery information (Anti-Vir.Dat) available.
260. N  Wrong name extension. Extension conflicts with program structure.
261. #  Found a code decryption routine or debugger trap.  This is common
262.    for viruses but also for some copy-protected software.
263. t  Program contains a time or date triggered event.
264.  
265.  
266. D:\CD\PROFI.OK\PROFI\RAKTAR-D\INSTALL.COM might be infected by an unknown virus
267. c  No checksum / recovery information (Anti-Vir.Dat) available.
268. N  Wrong name extension. Extension conflicts with program structure.
269. #  Found a code decryption routine or debugger trap.  This is common
270.    for viruses but also for some copy-protected software.
271. t  Program contains a time or date triggered event.
272.  
273.  
274. D:\CD\PROFI.OK\PROFI\TARGYI-D\INSTALL.COM might be infected by an unknown virus
275. c  No checksum / recovery information (Anti-Vir.Dat) available.
276. N  Wrong name extension. Extension conflicts with program structure.
277. #  Found a code decryption routine or debugger trap.  This is common
278.    for viruses but also for some copy-protected software.
279. t  Program contains a time or date triggered event.
280.  
281.  
282. D:\CD\PROFI.OK\PROFIDEM\INSTALL.COM might be infected by an unknown virus
283. c  No checksum / recovery information (Anti-Vir.Dat) available.
284. N  Wrong name extension. Extension conflicts with program structure.
285. #  Found a code decryption routine or debugger trap.  This is common
286.    for viruses but also for some copy-protected software.
287. t  Program contains a time or date triggered event.
288.  
289.  
290. D:\CD\PROFI.OK\TARSAS-D\INSTALL.COM might be infected by an unknown virus
291. c  No checksum / recovery information (Anti-Vir.Dat) available.
292. N  Wrong name extension. Extension conflicts with program structure.
293. #  Found a code decryption routine or debugger trap.  This is common
294.    for viruses but also for some copy-protected software.
295. t  Program contains a time or date triggered event.
296.  
297.  
298. D:\CD\PROFI.OK\RAKTAR-D\INSTALL.COM might be infected by an unknown virus
299. c  No checksum / recovery information (Anti-Vir.Dat) available.
300. N  Wrong name extension. Extension conflicts with program structure.
301. #  Found a code decryption routine or debugger trap.  This is common
302.    for viruses but also for some copy-protected software.
303. t  Program contains a time or date triggered event.
304.  
305.  
306. D:\CD\PROFI.OK\TARGYI-D\INSTALL.COM might be infected by an unknown virus
307. c  No checksum / recovery information (Anti-Vir.Dat) available.
308. N  Wrong name extension. Extension conflicts with program structure.
309. #  Found a code decryption routine or debugger trap.  This is common
310.    for viruses but also for some copy-protected software.
311. t  Program contains a time or date triggered event.
312.  
313.  
314. D:\CD\SEGEDLET.!!\PK250DOS\PKUNZIP.EXE might be infected by an unknown virus
315. c  No checksum / recovery information (Anti-Vir.Dat) available.
316. #  Found a code decryption routine or debugger trap.  This is common
317.    for viruses but also for some copy-protected software.
318. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
319.  
320.  
321. D:\CD\SEGEDLET.!!\PK250DOS\PKZIP.EXE might be infected by an unknown virus
322. c  No checksum / recovery information (Anti-Vir.Dat) available.
323. #  Found a code decryption routine or debugger trap.  This is common
324.    for viruses but also for some copy-protected software.
325. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
326.  
327.  
328. D:\CD\SEGEDLET.!!\PK250DOS\PKZIPFIX.EXE might be infected by an unknown virus
329. c  No checksum / recovery information (Anti-Vir.Dat) available.
330. #  Found a code decryption routine or debugger trap.  This is common
331.    for viruses but also for some copy-protected software.
332. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
333.  
334.  
335. D:\CD\SEGEDLET.!!\PK250DOS\ZIP2EXE.EXE might be infected by an unknown virus
336. c  No checksum / recovery information (Anti-Vir.Dat) available.
337. #  Found a code decryption routine or debugger trap.  This is common
338.    for viruses but also for some copy-protected software.
339. !  Invalid opcode (non-8088 instructions) or out-of-range branch.
340.  
341.  
342.  
343.  
344. Found 13460 files in 2035 directories, 954 files seem to be executable.
345. 3 files were checked for changes, 0 files have been changed.
346.  
347. 15 files are infected by one or more viruses
348. ===============================================================================
349.  
350. VirusBuster v10.02.016 - DOS változat
351. ▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
352. (c) 1988-2001. VirusBuster Kft. Minden jog fenntartva.
353.                World Wide Web URL: http://www.vbuster.hu
354.  
355. Vírus adatbázis: 7.196 - 2001. Július 03.
356. Operációs rendszer: MS-Windows 98
357.  
358. Memória ellenôrzése... rendben.
359.  
360. Keresés elindult: 2001. Július 05. 21:26:59
361.  
362. Keresési területek:
363.   partíciós tábla, boot szektor, alkönyvtárak, állományok
364. Kijelölt állományok:
365.   mindegyik.
366. Keresési minta:
367.   "*.*"
368.  
369. Keresés:           alapos
370. heurisztika:       normál
371. makró heurisztika: normál
372. Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal
373.  
374. Nem irtható vírusok esetén: File meghagyása
375. Gyanús programok:           File meghagyása
376. Gyanús dokumentumok:        File meghagyása
377.  
378. Karantén: "D:\AV\PROG\VB91\VIRUSOK"
379. Åtmeneti könyvtár: "C:\TEMP"
380. C: fizikai drive MBOOT rekord ellenôrzése
381. D: fizikai drive MBOOT rekord ellenôrzése
382. D:\ boot rekord ellenôrzése
383.  
384. Keresés leállt:   2001. Július 05. 21:51:57
385. A keresés idôtartama: 00:24:58
386.  
387. Nincs felismerhetô vírus.
388.  
389.    Terület      │    File    Directory           Egyéb      │            
390.  ───────────────┼─────────────────────────     ─────────────┼────────────
391.    ellenôrzött  │   13460      2035              packer     │       0
392.    fertôzött    │       0         0              immunizer  │       0
393.    gyanús       │       0         0
394.    kiirtva      │       0         0
395.    törölve      │       0         -  
396.    átmozgatva   │       0         -  
397.    átnevezve    │       0         -  
398.