Vírusleírások. Általános bevezetõ: Boot vírusok

Átírás

1 Vírusleírások Szeretnénk minden felhasználónk kezébe egy jól használható vírusleírás gyűjteményt adni. Egyelőre a CD-re került leírások csak ízelítőként szolgálnak, de megpróbáljuk e gyűjteményt folyamatosan bővítve minél teljesebbé és naprakészebbé tenni. A ma ismert vírusok az általuk megtámadott célpontok szerint osztályozva az alábbi főbb csoportokra oszthatók: Boot vírusok Programvírusok Makrovírusok Hoax-ok Worm-ok Általános bevezetõ: Boot vírusok Egészen 1996 végéig ezek gyakorlatilag ezek a vírusok jelentették a vírusproblémát, hiszen az összes fertõzés több mint 90%-a tõlük származott. Legelõször is részletesen meg kell vizsgálnunk, mi is játszódik le egy PC belsejében a rendszerindítás közben. A következõ fontos lépésekben zajlik le az indítás. 0. lépés: a felhasználó bekapcsolja a gépet, megnyomja a Reset gombot vagy a CTRL+ALT+DEL billentyûkombinációt. 1. A processzor az FFFF:0000 memóriacímen elkezdi az ott található program végrehajtását. Ezen a helyen a BIOS indítórutinja található. 2. A BIOS-ban levõ kód leteszteli a különbözõ hardverelemeket (RAM, lemezegységek,...). 3. Még mindig a BIOS-ban levõ kód kiolvassa a CMOS-ból a rendszerindítási sorrendet, vagyis hogy a merevlemezrõl vagy a floppiról kezdje-e tölteni a rendszert. Ha a floppimeghajtóban nincs lemez, akkor mindenképpen a merevlemezrõl indít. 4. Ha floppiról indít, akkor beolvassa onnan a legelsõ szektort, vagyis a 0. fej 0. cilinderének 1. szektorát. A szektor tartalma két fõ részbõl áll: az operációs rendszert indító kis kódrészletbõl (ez a közhiedelemmel ellentétben nem csak a rendszerlemezeken van jelen, hanem a közönséges adatlemezeken is) és a lemez fizikai paramétereit (szektorméret, oldalak száma, gyökérkönyvtár mérete stb.) tartalmazó adatmezõbõl. Errõl a szektorról a BIOS ellenõrzi, hogy az valóban boot-szektorszerû-e. Ezt onnan dönti el, hogy az utolsó két bájtnak 55AAh-nak kell lenni. Ha nem ez áll fenn, a rendszerindítás hibaüzenettel megszakad. Ha sikeres volt azonosítás, a BIOS átadja a vezérlést a beolvasott boot-szektorban levõ kódnak és rendszerindítás folytatódik a 7. ponttal. 5. Ha merevlemezrõl indítunk, akkor is a 0. fej 0. cilinderének 1. szektorát olvassa be a BIOS program, de ez ebben az esetben nem a boot-szektor lesz, hanem a partíciós rekord, amely ugyancsak két részbõl áll, egy rövid programból illetve a merevlemez felosztottságát könyvelõ partíciós táblából. Ez az extra lépés azért kerül be, mert egy merevlemez több operációs rendszert és azokhoz tartozó partíciókat is tartalmazhat. A BIOS program ugyanúgy megnézi az utolsó két bájtot, aminek itt is 55AAh-nak kell lennie. Ha nem az, a rendszerindítás hibaüzenettel megszakad, illetve a régebbi, eredeti IBM PC-ken a gépek a BIOS-ában tartalmazott BASICinterpretert hívja meeg a BIOS. 6. A BIOS-ban futó kód a partíciós táblából kiolvassa, hogy melyik az aktív partíció (ha nem talál ilyet, hibaüzenettel leáll) és hogy az a merevlemezen mettõl meddig tart. Ennek ismeretében be tudja olvasni az aktív partíció legelsõ logikai szektorját, ami a partíció boot szektora. A BIOS átadja a vezérlést a boot szektorban levõ kódnak. Egészen eddig a pontig a folyamat független volt attól, milyen operációs rendszer van a PC-n, mindent a BIOS-ba beégetett kód végzett. A továbbiakban az MSDOS operációs rendszer felállását taglaljuk. 7. A boot-szektor kódja ellenõrzi, hogy az adott floppilemez illetve partíció alkalmas-e rendszerindításra. Ezt úgy dönti el, hogy megnézi, hogy a gyökérkönyvtár elsõ két bejegyzése az IO.SYS illetve az MSDOS.SYS állományokhoz tartozik-e (a mostanában már kihalófélben levõ IBM DOS esetében a két fájl neve

2 IBMIO.COM és IBMDOS.COM). Ha nem ezt a két állományt találja ott, akkor hibaüzenettel leáll a rendszerindítás. Ha igen, akkor beolvassa az IO.SYS elsõ 3 szektorát, majd átadja annak a vezérlést. 8. Az IO.SYS inicializálja az interrupt-táblát, megkeresi az esetleges ROM-bõvítéseket és feldolgozza a CONFIG.SYS-t, betölti az abban levõ meghajtókat. Ezután lefuttatja az MSDOS.SYS-t. 9. Az MSDOS.SYS inicializálja a DOS-hoz tartozó interruptokat, betölti a COMMAND.COM-ot és feldolgozza az AUTOEXEC.BAT-ot. A boot vírusok ebbe a végrehajtási sorrendbe tolakszanak be. Ezt két ponton teszik meg: vagy a boot szektort vagy a partíciós rekordot helyettesítik saját kódjukkal - ez alapján osztjuk fel ezt a víruscsoportot két alcsoportra. Természetesen ez a választás csak a merevlemezek esetében áll fenn, a floppikon nincs partíciós tábla, ezért ott mindig a boot szektort fertõzik. Mivel a BIOS csak nagyon felületesen ellenõrzi e két létfontosságú szektor valódiságát, a vírusok dolga egyszerû: saját kódjukkal lecserélik azokat, annyira kell csak vigyázni, hogy az ellenõrzésre használt utolsó két bájtot változatlanul hagyják. A két szektorban tárolt adatokra is vigyázni kell, hiszen nagy galiba lenne, ha a partíciós táblába is beleírna a vírus, mert akkor az adatoknak búcsút lehetne mondani. Ezt a vírusok vagy úgy oldják meg, hogy a létfontosságú részeket nem írják felül, vagy pedig úgy, hogy azokat egy másik szektorba elmentik, és szükség esetén onnan továbbítják. Egy partíciós táblát fertõzõ vírus (a boot vírusok nagyobbik része ilyen, többek között a hazánkban is közismert Michelangelo) esetében az és 3. pont a fent ismertetett sorrendben lezajlik, de a 4. pontban kisiklik a normál menet, ugyanis a BIOS a boot szektor indítókódja helyett az ugyanabba a szektorba került víruskódnak adja át a vezérlést. Ez aztán megfertõzi a merevlemez partíciós rekordját, majd a víruskód vagy maga folytatja a végrehajtást a 7. ponttal, vagy pedig beolvassa a gondosan elmentett eredeti boot szektort és átadja annak a vezérlést és mint aki jól végezte a dolgát hátradõl és megpihen. Ha ezután a már fertõzött merevlemezrõl indítjuk a rendszert, az és 3. pont után az 5. pontban az eredeti partíciós rekordbeli kód helyett a vírus kerül végrehajtásra, amely aztán rezidenssé válik majd megkeresi az aktív partíciót, beolvassa annak boot szektorát és átadja annak a vezérlést. A rendszer felállása ezután a 7. ponttól kezdve a normális mederben folyik (csak éppen a vírus már rezidens a memóriában). Egy boot szektor vírus esetében (ilyen például a Magyarországon is igen elterjedtnek számító Cruel) a floppiról történõ fertõzõdés ugyanúgy zajlik, mint az imént ismertetett esetben, azzal az egyetlen különbséggel, hogy a vírus a merevlemezen nem a partíciós rekordot, hanem az aktív partíció boot szektorát fertõzi meg. Ha azután a merevlemezrõl áll fel a PC, akkor egészen a 7. pontig minden rendben folyik, ahol is a normál indítókód helyett a vírus kódja fut le. Ez aztán ismét gondoskodik arról, hogy a vírus rezidenssé váljon, majd általában beolvassa az eredeti fertõzés elõtti indítókódot és minden folytatódik a legnagyobb rendben - persze a vírustól eltekintve. Részletes vírusleírások 3APA3A Egyéb nevei bájt 1994 október Keletkezés helye Moszkva Merevlemez volume címkéjének megváltozása Minden lemezmûvelet Romboló rutin --- Ritka

3 A 3APA3A vírus teljes hossza 1024 bájt (két szektor). A fertõzött floppikon teljesen úgy viselkedik, mint egy közönséges boot vírus, a boot szektort és a gyökérkönyvtár utolsó szektorát használja fel kódjának tárolására. Amikor azonban a merevlemezt fertõzi, akkor egy teljesen egyedi technikát alkalmaz. A vírus egy teljesen váratlan helyen, az IO.SYS helyére tolakodik be rendszerindítási láncban. Amint azt ismertettük, a rendszerindítás során a BIOS a 7. pontban csak azt ellenõrzi, hogy az aktív partíció gyökérkönyvtárában az elsõ két állomány neve IO.SYS és MSDOS.SYS legyen. Semmi egyébbel nem törõdik. Így például az attribútumokkal sem. A trükk rendkívül egyszerû és szellemes. A vírus az IO.SYS-t felülírja a saját kódjával, és az így kapott állományt Volume label -nek minõsíti (ez a lemezcímke attribútum arra szolgál, hogy a lemezeket el lehessen nevezni, floopiknál például a formázás után lehet megadni). A DOS ezeket a bejegyzéseket figyelmen kívül hagyja, csak a DIR parancs jeleníti meg a sorrendben legelõször megtalált lemezcímkét. Természetesen a vírusnak az eredeti IO.SYS-t is meg kell õrizni, így azt az MSDOS.SYS után harmadik könyvtárbejegyzésként elhelyezi. Eredetileg az IO.SYS és az MSDOS.SYS után következett a többi gyökérkönyvtárbeli állomány. Fertõzés után az elsõ bejegyzés a vírussal fertõzött IO.SYS (aminek elsõ 1024 bájtját felülírta a vírus), a második az eredeti MSDOS.SYS, a harmadik az eredeti, fertõzés elõtti IO.SYS és utána jön eggyel odébb tolva a többi bejegyzés. Ha az a nagyon ritka eset áll fenn, hogy éppen tele volt a gyökérkönyvtár (ez ugyanis az egyetlen olyan könyvtár, amelynek véges a mérete), akkor az utolsó bejegyzés és az ahhoz tartozó fájl elveszik örökre. A rendszerindítás során a BIOS csak a fertõzött IO.SYS bejegyzés nevét ellenõrzi, az attribútumával nem törõdik, így mechanikusan beolvassa a vírust és átadja a vezérlést neki. Az aztán rezidenssé válik, majd beolvasva az eredeti IO.SYS-t rendes útjára tereli a rendszerindítást. Késõbb aztán minden floppihoz való nyúlás esetén (írás, olvasás, listázás) fertõz, vagyis igen fertõzõképes, nagyon hamar kiterjedt fertõzésekhez vezethet, és 1994 õszén vezetett is. A DIR parancscsal kilistázva egy könyvtárt a fertõzött gépen az alábbit látjuk: Volume in drive C is IO SYS Volume Serial Number is E22 Directory of C:\ COMMAND COM :22a WINA :22a TEMP <DIR> :22p VC <DIR> :45a MOUSE COM :20a HIMEM SYS :00a DOS <DIR> :34p NETMANAG <DIR> :58a MOUSE DRV :20a PDOS <DIR> :51p PDOS DEF :58p p; :00a WINDOWS <DIR> :26p WINWORD <DIR> :36p CONFIG SYS :38a AUTOEXEC BAT :03p TEST <DIR> :48p 21 file(s) bytes p; bytes free Ha a vírus augusztusban aktivizálódik, akkor az alábbi orosz nyelvû üzenetet jeleníti meg: B BOOT CEKTOPE - 3APA3A (hevenyészett magyar fordításban: "A boot szektor fertõzött"). Mivel a vírus nem ellenõrzi a rendszerfájlok neveit, hanem fixen az IO.SYS-t használja, minden olyan DOS alatt, amely más elnevezéseket használ (Novell DOS, IBM DOS) életképtelen.

4 Brain.A Egyéb nevei bájt 1986 Keletkezés helye Pakisztán Lemez írás/olvasás Romboló rutin --- Csak vírusgyûjteményekben fordul elõ A Brain.A rezidens boot vírus. Arról híres, hogy ez volt az elsõ PC vírus. Csak floppikat támad meg, a merevlemezeket nem fertõzi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertõzött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 13h megszakításokat, és ettõl kezdve elsõ alkalommal a 31., késõbb minden 4. minden floppira irányuló lemez írásnál és olvasásnál fertõz. A már fertõzött lemezeket nem támadja fel, ezt a boot szektor 4. és 5. bájtja alapján dönti el: amennyiben ez 12234h, akkor békénhagyja a kiszemelt célpontot. A vírus elsõ szektora a boot szektort foglalja el, a további részeet és az eredeti boot szektort 5 használatlan szektorban ment el, amelyeket ezután rossz szektorként jegyez be a FAT-be, hogy a DOS azokat késõbb békén hagyja. A Brain a fertõzés után a floppik volume címkéjét "(c) Brain"-re változtatja. Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetõsen korlátozottak az elszaporodási lehetõségei. Mivel a Brain magára irányítja a lemezolvasási mûveleteket, el tudja rejteni jelenlétét azáltal, hogy a boot szektorra vonatkozó olvasási kísérletekkor az eredeti, fertõzetlen példányt adja vissza. A fertõzött boot szektorok az alábbi szöveget tartalmazzák (a vírus nem jeleníti meg az üzenetet): Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES..730 NIZAM BLOCK ALLAMA IQBAL TOWN PAKISTAN..PHONE :430791,443248, Beware of this VIRUS...Contact us for vaccination... $#@%$@!! LAHORE- DenZuk Egyéb nevei bájt ---- Keletkezés helye --- Grafika megjelenése Minden lemezmûvelet Romboló rutin ---

5 Ritka A DenZuk vírus rezidens boot vírus. Csak floppikat támad meg, a merevlemezeket nem fertõzi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertõzött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 9h és 13h megszakításokat, és ettõl kezdve minden floppira irányuló lemezmûveletnél megkísérli megfertõzni a célpontot. A vírus elsõ szektora a boot szektort foglalja el, a további részek a 0. fej 40. sávjának 1-9 szektorában találhatók. A vírus nem ellenõrzi fertõzéskor, hogy ebben a pozícióban van-e már információ, ezért a 360kB-nál nagyobb kapacitású floppikon felülírja az esetleg itt levõ adatokat, adatvesztést okozva ezzel. A DenZuk a fertõzés után a floppik volume címkéjét "Y.C.1.E.R.P"-re változtatja, ahol a "." helyében az F9h kódú karakter szerepel. Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetõsen korlátozottak az elszaporodási lehetõségei. Amennyiben a felhasználó újraindítást kezdeményez a CTRL+ALT+DEL billentyûkombináció lenyomásával, a vírus az alábbi grafikus üzenetet görgeti be a képernyõ szélérõl: Ismert variánsok: DenZuk.B: Annyiban különbözik az alapváltozattól, hogy fertõzés elõtt felismeri és eltávolítja azt a floppikról (a Brain vírussal együtt), illetve hogy amennyiben rezidens, a lemezolvasások manipulálásával igyekszik elrejteni jelenlétét. Form.A Egyéb nevei bájt 1990 február Keletkezés helye Svájc Szöveges üzenet megjelenítése Minden lemezmûvelet Romboló rutin --- Gyakori

6 A Form.A annak ellenére, hogy nagyon egyszerû, rendkívül elterjedt vírus. Az 1990-es évek elején a vílágsdzerte legelterjedtebb vírusnak számított, és ezt a pozícióját egészen a makróvírusok megjelenéséig tartotta.. Kódja két lemezszektornyi területet foglal el. A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertõzött lemezrõl történik rendszerindítás. Ekkor az Form.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h és 9h megszakítást rezidenssé válik. Ettõl kezdve minden lemezolvasás során elõször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertõzi. A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat. Minden hónap 16. napján a vírus magára irányítva a 9h (billentyûzetkezelõ) megszakítást a billentyû lenyomására sípoló hangot ad ki, és jelentõsen lelassítja a válaszidõt. A fertõzött boot szektor az alábbi szöveget tartalmazza: "The FORM-Virus sends greetings to everyone who's read this text." "FORM doesn't destroy data! Don't panic! Fuckings go to Corinne." Kampana.B Egyéb nevei Keletkezés helye Romboló rutin Antitelefonica 1024 bájt 1991 nyár Spanyolország Szöveges üzenet megjelenítése Minden lemezmûvelet Floppik szektorainak felülírása Ritka A Kampana.B rezidens lopakodó boot szektort fertõzõ boot vírus. Egy számítógép két úton fertõzõdhet meg a vírussal: vagy a boot vírusoknál megszokott módon a floppi meghajtóban benn felejtett fertõzött floppiról való rendszerindításkor, vagy akkor, ha a társvírusa, a Kampana.A programvírus mellékhatásként megfertõzi a boot szektort. A víruskód második szektora a 0. fej 0. sáv 6. szektorába, eredeti boot szektort a közvetlenül ezután a merevlemez 0. fej 0. sáv 7. szektorába kerül. Aktivizálódása után rezidenssé válik a hagyományos DOS memória legtetején, majd magára irányítja a 13h megszakítást. Ettõl kezdve minden nem írásvédett floppit célbavesz minden lemezhozzáférés során. Amennyiben a célpont még nem fertõzött (erre a célra a boot szektor 4Ah pozíciójában levõ két bájtot vizsgálja meg, a vírusban ezen a pozíción 9EBCh van), akkor megfertõzi. Mivel a lemezkezelõ 13h megszakítást a Kampana.B magára irányítja, elrejti a jelenlétét, mert minden boot szektorra vonatkozó olvasásnál az eredeti elmentett boot szektor tartalmát adja vissza. A vírus minden 400. rendszerindítás után minden rendszerbe került floppi és minden merevlemez tartalmát felülírja a memóriából kiolvasott véletlen adatokkal, majd kiírja az alábbi üzenetet: "Campa a Anti-TELEFONICA (Barcelona)"

7 Michelangelo Egyéb nevei Stoned.March6 512 bájt 1991 nyár Keletkezés helye Minden lemezmûvelet Romboló rutin Merevlemez vagy floppi szektorainak felülírása Gyakori A Michelangelo a Stoned-család tagja. Nevét onnan kapta, hogy romboló rutinja március 6-án indul el, ami Michelangelo születésnapja. A vírusíró minden bizonnyal nem emiatt idõzítette a rombolást erre a napra, de a név rajta maradt a víruson. Merevlemezeken a partíciós táblát írja felül, floppikon pedig a boot szektort. Egy számítógép megfertõzésére akkor kerül sor, ha a rendszert egy floppimeghajtóban felejtett fertõzött lemezrõl indítják újra. Ekkor a vírus felülírja a partíciós táblát a saját kódjával, az eredetit a 0. fej 0. sáv 7. szektorába mentve. Ezáltal a következõ rendszerindításkor már a vírus aktivizálódik. Ekkor a vírus lefoglal magának 2048 bájt helyet a konvencionális DOS memória tetején, lecsökkentve a DOS számára hozzáférhetõ memóriaterület méretét a BIOS adatmezõben. Magára irányítja a 13h lemezkezelõ megszakítást, majd innentõl kezdve megfertõz minden floppit, amihez a DOS hozzányúl. Amennyiben a rendszer fertõzött merevlemezrõl vagy floppiról lett indítva március 6-án, a vírus elindítja romboló rutinját, amely a rendszert indító média adatait törli. Merevlemezeken felülírja a 0-3. fej összes sávjának szektorát, míg floppikon az összes fej összes szektorának (a lemezsûrûségtõl függõen) 1-9. vagy szektorait. Stoned.Empire Egyéb nevei ---- Empire.A: 1024 bájt Empire.B: 512 bájt 1991 április Keletkezés helye Kanada Szöveges üzenet megjelenítése Minden lemezmûvelet Romboló rutin --- Gyakori

8 Az Empire.A vírus a Stoned család tagja, rezidens lopakodó vírus, amely floppi lemezen a boot szektort, merevlemezen a partíciós táblát fertõzi meg. Kódja két lemezszektornyi területet foglal el. A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertõzött lemezrõl történik rendszerindítás. Ekkor az Empire.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h megszakítást rezidenssé válik. Ehhez a DOS számára hozzáférhetõ fizikai memória méretét 2kB-tal csökkenti (emiatt a CHKDSK általában csak 653,312 bájt összes memóriát jelez). Ettõl kezdve minden lemezmûvelet során elõször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertõzi. A már fertõzött merevlemezeket és floppikat nem fertõzi meg újra, ehhez az elsõ négy bájtot használja azonosítónak, és amennyiben ott "EA 9F 01 C0"-t talál, békén hagyja a célpontot. Fertõzött floppikon a víruskód elsõ szektora a boot szektorban foglal helyet, míg az eredeti boot szektor az 1. fej 0. sávjának 2 szektorába kerül. A víruskód második szektora közvetlenül ezután foglal helyet. A fertõzött merevlemezen a víruskód elsõ szektora a partíciós táblát foglalja el, az eredeti partíciós tábla a 0. fej 0. sávjának 6. szektorába kerül, a víruskód második szektora pedig közvetlenül ezután. Mivel minden lemezmûvelet a víruson keresztül fut, amennyiben rezidens, el tudja rejteni jelenlétét: a partíciós tábla olvasása estén az elmentett eredetit adja vissza, míg írása esetén az elmentett példányt írja felül. A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat. A rendszeridõtõl függõen az alábbi üzenetet jeleníti meg a vírus: "I'm becoming a little confused as to where the "evil empire" is these days. If we paid attention, if we cared, we would realize just how unethical this impending war with Iraq is, and how impure the American motives are for wanting to force it. It is ironic that when Iran held American hostages, for a few lives the Americans were willing to drag negotiation on for months; yet when oil is held hostage, they are willing to sacrifice hundreds of thousands of lives, and refuse to negotiate..." Ismert variánsok: Empire.B : néhány különbségtõl eltekintve megegyezik az alapváltozattal: csak 512 bájt hosszú, mert nem tartalmazza a szöveges üzenete, továbbá máshová menti el az eredeti boot szektort (1. fej 0. sáv 3. szektor) és a partíciós táblát (0. fej 0. sáv 3. szektor). Programvírusok Általános bevezetõ: A ma ismert vírusok óriási többsége a programvírusok közé sorolható. Ezek a vírusok a programokat, a DOS COM és EXE illetve a Windows NewEXE és a Windows95/NT Portable EXE formátumú végrehajtható állományait fertõzik. A fájlvírusok nagy többsége a programok végére illeszti saját kódját, és ezen kívül végrehajt olyan változtatásokat, amelyek a program elindításakor automatikusan a vírus futtatását vonják maguk után. Mivel az operációs rendszer másképp kezeli a COM és az EXE programokat, ezért a fertõzés mechanizmusa is némiképpen különbözõ. A programok esetében meg kell különböztetni a lemezen tárolt alakot, illetve annak a futtatáskor a memóriában kialakult képét. Egy COM program esetében a kettõ pontosan ugyanaz, a DOS egy az egyben beolvassa a fájl tartalmát egy memóriaszegmensbe, majd átadja a vezérlést a program legelsõ utasításának. Ennek fényében a

9 vírusnak is igen könnyû a dolga. Az esetek többségében csupán a programfájl végére illeszti magát, és az elején csak pár bájtot ír át, amelyek a vezérlésnek a vírusra irányuló eltérítéséért felelõsek. Miután a vírus lefutott, általában helyreállítja a az eredeti elsõ pár bájtot, majd átadja a vezérlést az eredeti programnak. Van néhány vírus, amely eltér ettõl a szimpla sémától. Az ún. felülíró vírusok átírják az eredeti programrészletet a saját kódjukkal, ezzel aztán helyrehozhatatlanul károsítják azt. Ezek a vírusok nem túl elterjedtek, mert minden fertõzött program használhatatlanná válik, ami még a legnaivabb felhasználó gyanakvását is felkelti. A fájlvírusok másik kisebb csoportja pedig a teljes víruskódot a program elejére illeszti, az ott levõ eredeti tartalmat pedig a fájl végére menti el. A vírus lefutása után az elmentett darabokból újra összerakja az erdeti programot, majd átadja annak a vezérlést. Az EXE programok esetében jelentõs különbségek vannak a lemezen tárolt alak illetve a futtatáskor a memóriában megjelenõ forma között. Elõször is a lemezfájl egy fejléccel kezdõdik, amely fontos adatokat tartalmaz, többek között a program memóriaigényét, a regiszterek kezdeti értékét. Másik fontos feladata is van a fejlécben tárolt információnak. A COM programokkal ellentétben az EXE programok több adat illetve kódszegmensbõl állhatnak. Ezek a szegmensek a futás során kapcsolódnak egymáshoz, hiszen az egyik kódszegmens a másikból hívhat meg függvényt, vagy adatszegmensbõl olvashat be adatokat. A futtatáskor a DOS helyezi el ezeket a szegmenseket a szabad memóriaterületeken. A program összeszerkesztésekor (linkelésekor) még nem lehet tudni, hogy a futtatáskor éppen hol lesznek egymáshoz viszonyítva a szegmensek, ezért a szerkesztés után ezek a szegmensek közötti hivatkozások még nem definiáltak. A DOS parancsértelmezõje lesz az, amely futtatáskor a helyes memóriacímeket tölti be ezekbe a hivatkozásokba. Az EXE fejléc feladata tehát az is, hogy könyvelje, a lemezfájl mely pontjain vannak olyan hivatkozások, amelyek futtatáskor kitöltendõk. Mivel a fejléc tartalmazza a regiszterek kezdeti értékét, ezért az utasításregiszterek (CS és IP, ezek határozzák meg a belépési pontot, ahol a program futása megkezdõdik) értékei is itt vannak. A vírus a fájl végére írja magát, majd a fejlécet módosítja úgy, hogy az most már a víruskódra mutasson (közben elmenti az eredetileg ott levõ értékeket). Sikeres lefutás után a vírus elõszedi az elmentett CS és IP értékeket, és elindítja az eredeti programot. Részletes vírusleírások CIH Egyéb nevei Keletkezés helye Romboló rutin TTIT, Tatung 1.2 változat: 1003 bájt 1.3 változat: 1010 bájt 1.4 változat: 1019 bájt 1998 június Tajvan Windows 95 PE EXE programok Minden fájlhozzáférés CMOS tönkretétele, BMR és boot szektor felülírása Világszerte gyakori

10 A vírus elso változata 1998 júniusában bukkant fel, eloször Tajvanban, amjd kisvártatva a világ szinte minden táján kezdve Ausztráliától Oroszországon át az USA-ig és Chiléig. Gyors terjedésében közrejátszott, hogy több Internetes levelezocsoportba is postáztak fertozött programot. A vírusnak, amely Windows95 és Windows98 alatt életképes, három változata ismert, a CIH 1.1, CIH 1.2 és a CIH 1.3. Ezek rendre 1003, 1010 és 1019 bájt hosszúak. A fertozött programok futtatása során a vírus eloször rezidenssé válik, ezután pedig minden újonnan megnyitott PE (a Windows95 Portable Executable nevu saját programfajtája) programot megkísérel fertozni. Ennek során egyedülálló trükkel biztosítja, hogy a fertozott program mérete ne változzon (ezzel is csökkentve a lebukásának veszélyét). Az eredeti programban, amely a PE szerkezet révén több szekcióra van osztva, üres helyeket keres. A PE szerkezet olyan, hogy az egyes szekciók hossza egy, a program fejlécében szereplo blokkhossz többszöröse. Ennek elérésére minden szekció ki van egészítve annyi, nem használt bájttal, hogy pontosan betöltse az utolsó blokkot. A vírus ezekbe az üres töredékblokkokban tárolja el magát több darabban. Elég kicsi annak a valószínusége, hogy akkora töredéket találjon, ahová az egész kód beférne, ezért aztán több darabra vágva, több törekékterületre elhelyezve magát történik a fertozés. Ha esetleg az adott programban összesen nincs annyi töredékhely, ami elég lenne a vírusnak, akkor békén hagyja. A fertozött program késobbi futtatása során a vírus elegendo memóriaterületet foglal, darabonként összeszedi magát, magára irányítja a fájlkezelési szolgáltatásokat, majd lefuttatja az eredeti programot. De még mielott ezt tenné, ellenorzi a dátumot, a megfelelo idopontokban találja (ez az 1.2 és 1.3 verziónál április 26, az 1.4-nél bármelyik hónap 26-a), akkor elindítja romboló rutinját. Eloször véletlen adatokkal teleírja a merevelemezt, majd a Flash BIOS-t is teleírja véletlen adatokkal, aminek viszont tragikus következményei vannak. Miután a BIOS tartalma törlodött, gyakorlatilag lehetetlen újraindítani a PC-t. Ha valakinek véletlenül még lenne olyan rendszerlemeze, amely tartalmazza az elmentett BIOS-tartalmat az is tehetetlen, mert BIOS hiányában a PC még csak meg sem tudja kezdeni a rendszerindítást. Gyakorlatilag az egyetlen megoldás az egész BIOS cseréje. És mivel a mai BIOS chipek meglehetosen stabilan beépültek az alaplapba, az esetek többségében ez alaplapcserét is jelent. A BIOS-ok egy része védheto, egy jumper segítségével lehet váltani az írható és a védett állapota között. De a gyártók általában írható állapotban szállítják le a gépet. Ez azért van, hogy a késobbi frissítések során ne kelljen megbontani a dobozt a jumper átdugása erejéig. Ismert variánsok: CIH.1003 a CCIH 1.2 TTIT szöveget tartalmazza, a romboló rutin aktivizálódása április 26-án történik. Több helyen, közte hazánkban is felbukkant. CIH.1010 a CCIH 1.3 TTIT szöveget tartalmazza, a romboló rutin aktivizálódása április 26-án történik. Nem okozott számottevo fertozéseket. CIH.1019 a CCIH 1.4 TATUNG szöveget tartalmazza, a romboló rutin minden hónap 26-án aktivizálódik. Több helyen is komoly fertozéseket okozott. Dark Avenger Egyéb nevei bájt 1988

11 Keletkezés helye Szófia, Bulgária COM és EXE állományok Programok megnyitása Romboló rutin Véletlen lemezszektor felülírása Ritka A Dark Avenger vírusnak rengeteg változata létezik. A legtöbbjüknek a szerzõje az ugyancsak a Dark Avenger névre hallgató bolgár vírusíró, aki minden valószínûség szerint egy szófiai egyetem hallgatója volt. Az 1800 bájt effektív hosszúságú alapváltozat a fertõzött program futtatása során azonnal rezidenssé válik, és magára irányítja a 13h, 21h és 27h megszakításokat. Ettõl a pillanattól kezdve minden EXE és COM program, amelyet megnyitnak, bezárnak, létrehoznak végrehajtanak vagy átneveznek megfertõzõdik. A víruskód a fertõzött programok végére kerül. EXE programok esetén úgy, hogy a kezdetét paragrafushatárra igazítja. Emiatt a fertõzetlen programkódot kiegészíti maximum 16 bájttal, ami miatt a programok eredeti állapotának visszaállítása gyakorlatilag lehetetlen. A vírus gyakorlatilag minden programhozzáférés révén terjed. Az ilyen típusú vírusokat gyors fertõzõknek nevezik, a Dark Avenger volt az elsõ elterjedt vírus ebbõl a típusból. A terjedési mechanizmusa révén elegendõ volt csupán egy a vírust nem ismerõ víruskeresõt lefuttatni ahhoz, hogy az össze program fertõzötté váljon. A vírus nem engedi, hogy más programok magukra irányítsák a 21h DOS megszakítást, ezzel megnehezítve a rezidens víruskeresõk dolgát. Minden 16. fertõzés esetén a vírus felülír egy véltelenszerûen kiválasztott szektort egy véletlen számmal. Ezáltal lassan, de helyrehozhatatlanul megrongálja a fájlrendszert. Mire ezt észreveszik, addigra már rendszerint az adatok jelentõs része menthetetlenül károsodik. Dark Avenger Egyéb nevei V2000, Eddie 2000 bájt 1989 Keletkezés helye Szófia, Bulgária COM és EXE állományok Programok megnyitása Romboló rutin Véletlen lemezszektor felülírása Ritka A Dark Avenger vírusnak rengeteg változata létezik. A legtöbbjüknek a szerzõje az ugyancsak a Dark Avenger névre hallgató bolgár vírusíró, aki minden valószínûség szerint egy szófiai egyetem hallgatója volt. Az 2000 bájt effektív hosszúságú változat a fertõzött program futtatása során azonnal rezidenssé válik, és

12 magára irányítja a 21h és 27h megszakításokat, valamint a romboló rutin során a 24h megszakítást, illetve a fertõzés során a 13h és a 24h megszakítást. Ettõl a pillanattól kezdve minden legalább 1959 bájt hosszúságú EXE és COM program, amelyet megnyitnak, bezárnak, létrehoznak végrehajtanak, átneveznek vagy amelynek attribútumát megváltoztatják, megfertõzõdik. A víruskód a fertõzött programok végére kerül. EXE programok esetén úgy, hogy a kezdetét paragrafushatárra igazítja. Emiatt a fertõzetlen programkódot kiegészíti maximum 16 bájttal, ami miatt a programok eredeti állapotának visszaállítása gyakorlatilag lehetetlen. A vírus gyakorlatilag minden programhozzáférés révén terjedõ gyors fertõzõ. A terjedési mechanizmusa révén elegendõ volt csupán egy a vírust nem ismerõ víruskeresõt lefuttatni ahhoz, hogy az össze program fertõzötté váljon. A vírus nem engedi, hogy más programok magukra irányítsák a 21h DOS megszakítást, ezzel megnehezítve a rezidens víruskeresõk dolgát. A vírus már fertõzött programokat nem fertõz meg újra. Önmagát úgy ismeri ferl, hogy a fertõzött programokban az utolsó módosítás dátumában a másodpercek értékét 62-re állítja - ez egy olyan érték, amit normális program vagy a DOS sosem hozna létre. Minden 16. fertõzés esetén a vírus felülír egy véltelenszerûen kiválasztott szektort egy véletlen számmal. Ezáltal lassan, de helyrehozhatatlanul megrongálja a fájlrendszert. Mire ezt észreveszik, addigra már rendszerint az adatok jelentõs része menthetetlenül károsodik. Amennyiben az éppen futtatandó program tartalmazza a "(c) 1989 by Vesselin Bontchev" szöveget, akkor a futtatás helyett lefagyasztja a gépet. A célbavett személy, Vesselin Bontchev, ismert vírusszakértõ, aki több vírusvédelmi programot is írt, így a cél nyilvánvalóan ezen programok futtatásának megakadályozása. Esperanto Egyéb nevei bájt --- Keletkezés helye -- DOS COM és EXE programok, Windows 3.x NewEXE programok, Windows 95 és NT PE EXE programok, MAC OS alkalmazások Üzenetablak megjelenése FindFirst/FindNext hívás Romboló rutin --- Csak vírusgyûjteményekben fordul elõ Az Esperanto az elsõ igazi multiplatform vírus, amely különbözõ architerktúrájú gépeken és processzortípusokon is életképes. A vírus a DOS hagyományos COM és EXE programjait, a Windows NE programjait és a Windows95/NT PE programjait is fertõzi, ugyanakkor Macintoshon is életképes, ott minden programot és számos rendszerállománytípust (a Finder nevû file- és programmenedzsert, a rendszerfájlokat, a Control Panel elemeit, a szoftvermeghajtókat) megfertõz. A DOS COM és EXE programjainak a végére írja magát, a NE programokat egy új szegmenst hozzáadva fertõzi meg, míg a PE programokban az utolsó szegmens végére írja be magát. Ha egy fertõzött programot sima DOS alól indítunk, akkor rezidenssé válik a 21h DOS-interrupt-ot magára irányítva. A továbbiakban minden futtatott programot megfertõz a típusának megfelelõ módon.

13 Ha Windows/Win95/WinNT alól indítunk egy fertõzött programot, akkor az nem válik rezidenssé, hanem gyorsan keres néhány megfertõzhetõ programot, majd azok megfertõzése után ellenõrzi a dátumot. Ha az éppen július 26 (az elsõ eszperantó nyelv könyv kiadásának évfordulója), akkor egy üzenetablakban az alábbi üzenetet jeleníti meg: p; Never mind your culture / Ne gravas via kulturo, p; Esperanto will go beyond it / Esperanto preterpasos gxin; p; never mind the differences / ne gravas la diferencoj, p; Esperanto will overcome them / Esperanto superos ilin. p; Never mind your processor / Ne gravas via procesoro, p; Esperanto will work in it / Esperanto funkcios sub gxi; p; never mind your platform / Ne gravas via platformo, p; Esperanto will infect it / Esperanto infektos gxin. p; Now not only a human language, but also a virus... p; Turning impossible into possible, Esperanto. A vírus közvetlenül nem terjed át Macintosh-ról PC-re és fordított irányban sem: tehát a Mac-en futó példány nem fertõz meg PC programokat még akkor sem, ha hozzájuk férhet, és a PC-n aktív vírus sem fert?zi meg a keze ügyébe es? Macintosh programokat. Azonban ha egy fertõzött DOS programot egy Macintosh vagy egy PowerMac DOS-emulátorában futtatunk, akkor elõjön a multiplatform viselkedés. A vírus tartalmaz olyan szegmenst, amelyet a Macintosh OS értelmezni tud és futtat is, és ez egy Macintosh vírust ejt el, amely a továbbiakban önálló életre kelve fertõz a Macintosh világban - a továbbiakban már nem terjed vissza PC-re. HDD Cleaner 2 A HDD Cleaner 2.0.com és.exe kiterjesztésűfuttatható programokat fertőz. A fertőzött program elindítása után rezidens módon a számítógép memóriájában marad. A programokat végrehajtáskor (elindításkor) fertőzi meg. Romboló tevékenysége dátumhoz kötött. Szeptember 8-án felülír néhányat a merevlemez elsőszektorai közül, így a partíciós tábla elveszik, a gép nem indítható. Szakember számára ez a hiba viszonylag egyszerűmódon, adatvesztés nélkül javítható. Kaczor Egyéb nevei Keletkezés helye Romboló rutin Pieck 2016 bájt 1995 vége-1996 eleje Lengyelország EXE fájlok, MBR Minden fájlhozzáférés MBR és boot szektor felülírása Világszerte gyakori

14 A Kaczor virussal fertőzött EXE fájl futtatásakor a virus megfertőzi a Master Boot Record-ot, majd következő induláskor rezidenssé válik, és megfertőz minden EXE fájlt, ami futtatva, vagy másolva lett. Érdekesség, hogy csak a floppy lemezeken lévőfájlokat fertőz, sőt, ha Kaczor virussal fertőzött fájlt másolunk a winchesterre, akkor kiirtja magát a fertőzött fájlból. A Pieck lopakodó vírus, nem engedi látni magát sem a fájl végén, sem az MBR-ben. A virus minden év március harmadikán aktiválódik, amikoris a következőüzenetet írja a képernyőre: Podaj haslo? Amely egy jelszó megadásra utaló kérdés. A helyes jelszó "PIECK". Abban az esetben, ha nem a helyes jelszót adtuk meg, egy "Blad!" ("Rossz!") felkiáltással a gépet indíthatatlanná teszi. Ha a helyes szóval próbálkoztunk akkor a következőüzenetre számíthatunk: Pozdrowienia dla wynchowankow Pieck'a. Ismert variánsok: Pieck.4444 Ha a "kaczor" szót begépeljük egy fertőzött gépen, a virus kiírtja magát a MasterBootRecord-ból, és a következőszöveget írja ki: Zrobione. Ha a "test" szót írjuk be, akkor ismét kiír egy pár sort: Wersja Kodowanie Licznik HD Március harmadikán a virus a monitor képét "összerázza". Kampana.A Egyéb nevei Telefonica, Spanish Telecom 3700 bájt 1990 december Keletkezés helye Spanyolország : COM programok Szöveges üzenet megjelenítése Programok futtatása Romboló rutin --- Gyakori

15 A Kampana.A rezidens COM programokat fertõzõ lopakodó önkódoló vírus. Aktivizálódására fertõzött programok futtatásakor kerül sor. Ekkor a vírus rezidenssé válik, lefoglalva a DOS memóriából 3700 bájtnyit a maga számára, majd a boot szektort megfertõzi társvírusával a Kampana.B boot vírussal. A 21h DOS megszakítást magára irányítja, és ettõl a pillanattól kezdve minden futtatott COM programot, amelynek hossza 128 bájtnál nagyobb és bájtnál kisebb, megtámad. A víruskód a programok végére kerül. A Kampana.A úgy kerüli el, hogy ugyanazt a programot többször is megfertõzze, hogy a fertõzött prorgamok módosítási dátumát 200 évvel megnöveli. Ezt a változást a vírus elrejti, amikor rezidens, így csak tiszta rendszerindításkor észrevehetõ. A vírusoknak problémákat okozó rendszerfájlokat nem bántja, így az IBM*.COM és???mand*.com állományokat békén hagyja. A fertõzési folyamat során megkísérli a rezidens vírusvédelmeket kikerülendõ megtalálni a 13h, 21h és 40h megszakítások eredeti belépési pontjait. A vírus két különbözõ algoritmussal kódolja magát, kitöltve a kódot hatástalan utasításokkal, ezzel teszi nehézzé a megfelelõ vírusaláírás készítését. A Kampana.A rejtõzködõ vírus, amennyiben rezidens, a fertõzött programok hossznövekedését és a módosítási dátum változását elrejti. Miután rezidenssé vált, minden lemezmeghajtó esetében az elsõ hozzáféréskor megfertõzi annak boot szektorát a Kampana.B vírussal. Lehigh Egyéb nevei bájt 1987 november Keletkezés helye USA : COMMAND.COM Romboló rutin Merevlemez elsõ szektorainak felülírása Ma már ritka A Lehigh vírus a 80-as évek végén elterjedt vírusnak számított es felbukkanásakor az egyik legelsõ ismert programvírusként robbant be a köztudatba. Rezidens vírus, amely csak a COMMAND.COM-ot fertõzi meg. Emiatt gyakorlatilag csak úgy tud más gépre átterjedni, ha egy fertõzött rendszerlemezzel viszik át. A felbukkanása idején még elég gyakoriak voltak a merevlemez nélküli gépek, amelyeket boot lemezzel kellett használni, így akkor kiterjedt fertõzéseket volt képes okozni. Manapság már nem gyakori a rendszerlemezek használata, így gyakoraltilag kihaltnak kell tekinteni ezt a vírust. A fertõzött COMMAND.COM lefutásakor a vírus rezidenssé válik. Ennek során nem ellenõrzi, hogy a memóriában ül már-e egy példánya, így elvileg több rezidens példánya is lehetne, de mivel a COMMAND.COM-ot viszonylag ritkán futtatják, ez nem okozhat komoly gondot. Rezidenssé válása után magára irányítja a 21h megszakítást. Ezután minden a DOS által hozzáfért lemez esetében megnézi, hogy a gyökérkönyvtárában van-e fertõzetlen COMMAND.COM, ésha talál ilyet, akkor megfertõzi. Ennek során nem a program méretét növeli meg, hanem az abban levõ, a verem számára lefoglalt és 0h bájtokkal teletöltött

16 területre helyezi el a víruskódot. Amennyiben a vírus 4 COMMAND.COM-ot egymás után megfertõz úgy, hogy közben egyszer sem indult újra floppiról a rendszer, a vírus aktivizálja romboló rutinját. A BIOS-ból véletlenszerûen kiolvasott adatokkal felülírja a COMMAND.COM-ot tartalmazó lemez elsõ 32 szektorját, ezzel gyakorlatilag újraindíthatatlanná teszi a gépet. OneHalf Régóta garázdálkodik már hazánkban ez a több szempontból is különleges vírus. Kártékony voltát csak még fokozza az a tény, hogy az elérhetővíruskeresők kivétel nélkül rosszul irtják. Pontosabban szólva a vírust ugyan eltávolítják, ám az általa módosított adatokat nem állítják helyre, s így azok a felhasználó szempontjából elveszettnek minősíthetők. Mit is tesz ez a vírus?.exe és.com kiterjesztésűfájlokat fertőz, hosszukat nagyjából 3.5 kb-tal növelve. Egy fertőzött program indításakor azonnal megfertőzi a 0. merevlemez partíciós tábláját is. Csak a partíciós táblából indulva válik rezidenssé. Amennyiben rezidens, úgy a nem fertőzött partíción lévő.exe és.com kiterjesztésűfájlokat megfertőzi a fájl megnyitásakor, lezárásakor, illetve futtatásakor. Merevlemezről történő bootolásonként 2-2 cylinder teljes tartalmát titkosítja. A titkosításban a merevlemez utolsó cylinderétől halad visszafelé. Egy, a merevlemeztől függőcylindernél abbahagyja a titkosítást. Ezután időközönként (rendszerindításkor) a Dis is one half. szöveget írja ki. A titkosítás azon a cylinderen, melyen hibás szektor található, nem történik meg. Az OHK program képes a OneHalf vírust felismerni, azt a fertőzött területekről eltávolítani, valamint a kódolt területeket visszakódolni. A program valamennyi, a vírus által érintett cylindert dekódolja. Mivel már igen sok esetben okozott a helytelen irtás jelentős károkkal járó adatvesztést, a VirusBuster Team e vírust irtó különálló programját (OHK) szabadon terjeszthetőformában elérhetővé teszi (a VBuster víruskereső és irtó program természetesen szintén alkalmas a OneHalf keresésére és irtására). A program letölthetőa World Wide Web-ről, megtalálható több számítástechnikai folyóirat CD mellékletén és kérhetőa forgalmazóktól. Amennyiben más vírusirtóval távolította el gépéről a OneHalf-ot, s ezután adatait nem tudja elérni, keressen minket, még mindig van remény a visszakódolásra! Addig azonban NE HASZNÁLJA gépét, mert a vírus által kódolt területek tovább sérülhetnek. RedTeam Egyéb nevei bájt 1997 június Keletkezés helye -- Windows 3.x NewEXE programok Levelek elküldése Programok futtatása Romboló rutin --- Csak vírusgyûjteményekben fordul elõ Fertõzött programok elsõ futtatása esetén a vírus egyetlen állományt támad meg, a 16 bites operációs rendszer magjához tartozó függvények tárházát alkotó KRNL286.EXE illetve KRNL386.EXE programot. Ezekhez nem

17 ad új kódszegmenst, hanem a meglevõhöz illeszti hozzá magát, majd pedig a fejlécet módosítja úgy, hogy a WINEXEC (Windows 3.x esetében) illetve az INITPROC (Win95/NT) eljárások az eredeti operációs rendszer rutinok helyett a vírusra mutassanak. Mivel minden program futtatása ezen eljárások révén történik, anélkül, hogy a vírus rezidenssé válna és külön memóriaterületet foglalna le magának (hiszen így most a kernel területén tárolja el magát, ami egy-egy Windows szesszió során statikusan megmarad) képes arra, hogy minden program futtatásakor aktivizálódjon. Az aktivizálódás során a vírus elõször elindítja a fertõzésre kiszemelt programot, majd a háttérben megfert?zi azt. Ezzel elkerüli a fertõzés miatti futáslassulást, lecsökkentve a lebukás kockázatát. A fertõzött programok közül átlagosan minden nyolcadik képes az en való terjedés elõidézésére. Ha a kernelt egy ilyen különleges program fertõzi meg, és a továbbiakban olyan programot futtatunk, amelynek a könyvtárában a Eudora levelezõ programhoz tartozó levelesláda van, akkor a vírus szétküldi magát levélen. Ezt úgy teszi, hogy az NNDBASE.TOC fájlból kiolvassa a felhasználó által definiált levélcím-rövidítéseket (nicknames), majd az ebbõl kiolvasott címzetteknek összeszerkesztett leveleket beleírja az OUT.MBX kimenõ levelesládába, és a rájuk való hivatkozást beírja az ugyanezen levelesláda tartalomjegyzékeként szolgáló OUT.TOC fájlba, azzal a bejegyzéssel, hogy a levelek elküldendõek. Az összeszerkesztett levelek két részbõl állnak, egy rövid ismertetõbõl, és a mellékelt 6351 bájt hosszúságú K- RTEAM.EXE programból. Az ismertetõ olyan, mint az összes ál-levélvírusról szóló levél, azzal a különbséggel, hogy azt állítja, hogy a mellékelt program minden gond nélkül megszabadít az állítólagos Red Team nevû levélvírustól. A mellékelt program természetesen nem ezt teszi, hanem a vírust ülteti el. Egy géprõl csak egy levélcsokor indul el. Ezt úgy biztosítja a vírus, hogy a levelek elküldése után létrehoz egy RTBASE.TOC nevû állományt. Ha a továbbiakban talál ilyen nevû fájlt, akkor a levélküldést nem hajtja végre. A RedTeam vírus a vírusíró eredeti tervei szerint mind a 16 bites Windows 3.x, mind a 32 bites Windows 95/NT alatt mûködõképes lenne, azonban egy programozási hiba miatt csak a 16 bites környezetben életképes. Semisoft Egyéb nevei Net bájt 1997 õsz Keletkezés helye --- Terjedés elindítója Windows 95/NT EXE programok Új processzek megjelenése a taszk listában, Notepad mûködésében zavarok Programok futtatása Romboló rutin --- Ritka A vírusnak több variánsa is van, a legelsõként felfedezett bájt hosszú, 1997 õszén bukkant fel. Valódi 32 bites vírus, vagyis egyaránt mûködõképes Windows95 és WindowsNT alatt is. Mindkét operációs rendszer natív programjait képes megfertõzni azok legelsõ kódmoduljának elejére írva magát. Így aztán a vírus mindig az eredetileg fertõzetlen programok elõtt fut le. A vírusok között ritkaságnak számító módon magas szintû programnyelven, a Microsoft C fordítójával készítették, emiatt pontos elemzése komoly nehézségeket okoz.

18 A vírus külön eljárást tartalmaz a NOTEPAD.EXE megfertõzésére. Az eredeti programot elmenti NOTEPADX.EXE néven. A nem megfelelõ fertõzés miatt (a vírus nem adja tovább a parancssori paramétereket a fertõzetlen programnak) a böngészõ (Explorer) ablakból nem lehet megnyitni a korábban a Notepad alkalmazáshoz rendelt állományokat. Azokon kétszer kattintva a dokumentumot tartalmazó ablak helyett csak egy üres ablakkal indul el a Notepad. Ezen felül létrehoz néhány állományt, amelyek csupán a víruskódot tartalmazzák (és emiatt ugyanolyan hosszúak és azonos tartalmúak): WINIPX.EXE, WINIPXA.EXE, WINSRVC.EXE, EXPLORE.EXE (az elsõ három a Windows könyvtárában, az utolsó a WINDOWS\START MENU\PROGRAMS\STARTUP könyvtárban keletkezik). Ezek szolgálnak arra, hogy a Windows95/NT indítási könyvtáraiban elhelyezve minden rendszerindításkor automatikusan indítsák a vírust is. Emiatt fertõzött gépen a futó processzek listájában a fent említett programok mindig megtalálhatóak. A taszk listában kiválasztva be lehet ugyan zárni õket, de az éppen leállított processzt a többi még futó processz rögtön újraindítja - ezzel a vírus primitív önvédelmi és regenerációs mechanizmussal rendelkezik. Az automatikus indítást a registry-ben létrehozott bejegyzéseket biztosítják. Ezek a bejegyzések: Windows95 alatt a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] szekcióban a WINIPX kulcsszó értékét "C:\WINDOWS\WINIPX.EXE"-re állítja. WindowsNT alatt a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] szekcióban a Shell kulcs érékének "Explorer.exe,WINIPX.EXE"- állítja be. Az aktív vírust a leggyakoribb, bájtos variánsnál egy nevû processz jelzi a taszk-listában (a bájtosnál a processz neve 5.2, az 59904b variánsnál 4.4). Emiatt a futó taszk miatt a leállás során gyakran hibaüzeneteket kap a felhasználó. Egy gép megfertõzése után a vírus egy kis ideig vár, majd felveszi a kapcsolatot (ping-et küldve) 4 IP címmel (ezek közül 3 cím ismert: , , ), amelyekhez új-zélandi illetõségû számítógépek tartoznak. Ezek után megnyitja és folyamatosan nyitva tartja az 531 portot a bejövõ csomagok számára. Ennek feltehetõen az a célja, hogy az említett 4 IP cím valamelyikérõl küldött parancsokkal vezérelni lehessen a fertõzött számítógépet, hozzáférve és teljes kontrollt gyakorolva annak összes állománya felett. A vírus felfedezése után pár héttel ezek az IP címek megszûntek létezni. Azt, hogy a vírus nem csak elméleti veszélyt jelent jelzi, hogy 1997 végén és 1998 elején több fertõzést is jeleztek. A vírust többek között a Netscape Navigator 4.04 (Windows95-ös változat) egyik telepítõkészletében bukkant fel. Tequila Egyéb nevei Keletkezés helye : Terjedés elindítója Fertõzött programokban 2468 bájt Merevlemezen 6 szektor 1991 április Svájc EXE programok, partíciós tábla Grafika megjelenítése Programok futtatása, bezárása Romboló rutin --- Gyakori

19 A Tequila rezidens, lopakodó, önkódoló, EXE programokat és a partíciós táblát fertõzõ vírus. Legelõször Svájcban fedezték fel, de gyakorlatilag egész Európában elterjedt vírusnak számít. Fertõzött programok futtatásakor megfertõzi a partíciós táblát (az eredetit és a víruskód többi szektorát az aktív partíció legvégére írja, majd lecsökkenti az aktív partíció méretét, így a víruskód hagyományos eszközökkel gyakorlatilag hozzáférhetetlenné válik). Nem klasszikus boot vírus, mert további floppik vagy lemezmeghatjtók boot szektorát nem fertõzi meg, csupán annyi a cél, hogy a következõ rendszerindításkor a vírus rezidenssé váljon és magára irányítsa a 13h, 1Ch és 21h megszakításokat. Ettõl kezdve minden futtatott vagy bezárt EXE program végére írja magát. Hogy az általában önellenõrzést végrehajtó víruskeresõk fertõzését elkerülje, nem támad meg olyan programokat, melyek nevében a SC vagy a V megtalálható. A többszörös fertõzések elkerülése végett a Tequila minden általa megfertõzött program esetében a módosítási idõ másodpercének értékét 62-re állítja. Ha ilyen programmal találkozik, akkor azt békénhagyja. A vírus magára irányítva a 21h megszakítást elrejti a fertõzött programok hosszának megnövekedését. Továbbá a 13h megszakítás manipulálásával a partíciós tábla változását is elrejti. Amennyiben a rezidens vírus jelenlétében a DOS olyan programhoz nyúl hozzá, amelyhez a SCAN program segítségével validációs ellenõrzõ összeget rendeltek, törli a szóban forgó programot. A vírus által növelt belsõ számlálók pillanatnyi értékétõl függõen megjeleníti az alábbi fraktál ábrát az üzenet elsõ sorával, majd további billentyûlenyomásra az üzenet többi része is megjelenik a képernyõn. Makrovírus leírások A makróvírusok a szövegszerkesztők beépített makróprogramozási nyelvében megírt vírusokat nevezzük. A makrónyelv nem más, mint az alkalmazásokba beépített belsőparancsokból felépülőnyelv. Az elsődleges feladata az, hogy a mechanikusan ismétlődőfeladatokat automatizálni lehessen. Biztosítania kell továbbá egy ilyen nyelvnek a felhasználás legfontosabb parancsainak végrehajtását, azok egymás után fűzését. A Microsoft olyan komplex makró programnyelvet (WordBASIC) mellékelt a Word for Windows szövegszerkesztőjéhez, amely lehetőségeiben a maga korában egyedülállónak számított. Nem csak a Word összes belsőparancsához nyújtott hozzáférést, hanem lehetővé tette automatikusan végrehajtható programok írását, sőt a beépített Word parancsok kibővítését, kézre szabását is. Természetesen nem csak a Word for Windows makrónyelve rendelkezik mindazokkal a lehetőségekkel, amelyek egy vírus megteremtéséhez szükségesek. Szinte minden elterjedtebb szövegszerkesztővagy táblázatkezelőrendelkezik makrózási lehetőségekkel. Ennek megfelelően rendre születtek is AmiPro, Excel, Lotus makrónyelven írt kártevők, ezek azonban csak elenyészőszámban léteznek a Word vírusaival szemben.

20 Makrókat csak sablonokhoz (template) lehet csatolni, amelyeknek.dot kiterjesztésük van, megkülönböztetendőa szokványos,.doc kiterjesztésűdokumentumoktól. A Word viszont akkor is felismeri, hogy nem szokványos dokumentum, ha egy sablon esetleg.doc kiterjesztést kap, és minden külön tájékoztatás nélkül helyesen kezeli. Minden ismert MS Word makró vírus ilyen.doc kiterjesztésűde a sablonokra jellemzőbelsőszerkezetűállomány. Attól függően, hogy melyik szövegszerkesztőmakrónyelvében íródtak, az alábbi főcsoportokra oszthatjuk ezt a csoportot: Általános bevezetõ: Word makróvírusok Rengeteg támadási pont van, ahol a vírus bekapcsolódhat a végrehajtási láncba a Word esetén. Létezik 5 elõre definiált, fix nevû ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elõfordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy sablon tartalmaz egy AutoClose nevû makrót, akkor minden ezen a sablonon alapuló dokumentum lezárásakor ez a makró automatikusan végrehajtódik. Makró neve AutoExec AutoOpen AutoClose AutoExit AutoNew Végrehajtódás feltétele MS Word indítása Dokumentum nyitása Dokumentum zárása Kilépés az MS Word-bõl Új dokumentum létrehozása A másik aktivizálódási lehetõség egy vírus számára abban rejlik, hogy a Word beépített, menübõl kiválasztható parancsait makrókkal át lehet definiálni. Ha például létezik egy FileSaveAs nevû makró a mintaállományban (amely éppen az aktív ablakban van), akkor a Save As... menüpontot kiválasztva nem az eredeti Word parancs, hanem ez a makró hajtódik végre, és a vírus ismét vígan terjed. A legtöbb makróvírus az automatikus makrókat használja fel a globális sablon (NORMAL.DOT) megfertõzéséhez, és a menüparancsok átírását a további dokumentumok fertõzéséhez. Ezen kívül van még néhány egzotikus módszer a vírusok aktivizálódásának biztosítására. A Word makró vírusok az elsõ valóban platform-független vírusok, amelyek képesek különbözõ architektúrájú gépek között terjedni. Minden operációs rendszer alatt, amelyre létezik MS Word (Macintosh OS, DOS, Windows NT, OS/2) életképesek. Gyakorlatilag mindegyik ismert Word vírus képes más operációs rendszer alatt terjedni (bár mindet Windows alatt írták), csak legfeljebb néhány apróság nem mûködik bennük. A Word különbözõ nyelvi verziói valamelyest gátat szabnak a szabad terjedésnek. Ezekben a változatokban ugyanis az egyes menüpontoknak, így a hozzájuk rendelt belsõ parancsoknak a neveit is lefordították. Például az angolszász változatokban levõ FileSaveAs belsõ parancsnak a német verzióban a DateiSpeichernUnter felel meg, a hollandban a BestandOpslaanAls stb. Emiatt az angol verzióban megírt Concept például nem életképes német nyelvterületre érve. Mivel pedig a makró parancsok a sablonokon belül nem nevük szerint, hanem már félig lefordított 2-3 bájtos tokenekként tárolódnak (és ezek a tokenek ugyanazok minden változatban), a csupán automatikus makrókkal operáló vírusok, mint például az igen elterjedt Wazzu, gond nélkül mûködnek minden Word verzióban. Alliance.A Egyéb nevei Aliance