COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 32/96)

Nové viry přicházejí i z Internetu

Jiří Mrnuštík

O viru DAN jsme již psali v jednom z minulých článků. Vraťme se nyní k jeho variantám.

Virus DAN.1092 je velmi podobný dříve popsané variantě. V paměti zabírá vzhledem ke své délce mnohem větší místo, a tak je pokles volné pracovní paměti tentokrát roven 2 752 bajtům. Infikované soubory jsou prodlužovány o efektivní délku viru, tedy o 1 092 bajtů. Toto prodloužení, stejně tak jako nastavení vteřinového pole v údaji času souboru na hodnotu "58", je však skryté, pokud je virus rezidentní v paměti systému. Textové řetězce ve virovém kódu, a tedy i v infikovaných souborech, jsou tentokrát zakódované. Jsou to tyto řetězce:

"Virus ANTI-ENTER V1.0"

"(c) 1995 El Cancerbero [DAN]"

"ARGENTINA"

"DIGITAL ANARCHY"

"C:CHKLIST.MS C:CHKLIST.CPS C:ZZ#.IM anti-vir.dat ANTI-VIR.DAT"

Virus DAN.1500 je nerezidentním infektorem COM souborů. Každé spuštění již infikovaného COM souboru má za následek nakažení jednoho dalšího COM souboru z aktuálního adresáře. Ten bude delší o 1 500 bajtů a jeho datum a čas v dosovském výpisu se infekcí nezmění. Infikované soubory obsahují jediný zakódovaný textový řetězec: "Aqui no estoy!"

Nejdelší virus, virus DAN.1871, je rezidentním infektorem COM programů, některých EXE programů a COMMAND.COMu. Jeho velikost v paměti je 3 744 bajtů. Infikované programy jiné než COMMAND.COM, které virus napadá v okamžiku jejich spuštění, prodlužuje o 1 871 bajtů. Toto prodloužení stejně jako nastavení vteřinového pole časového údaje v razítku na hodnotu "56" není viditelné, pokud je virus rezidentní v paměti. V případě COMMAND.COMu infekcí nedochází k žádnému prodloužení, protože virus DAN.1871 přepíše koncovou část souboru, kde jsou hex nuly. Vteřinové pole infikovaného COMMAND.COMu nastaví virus na hodnotu "06". Ve virovém kódu jsou zakódovány tyto textové řetězce:

"Disk Full"

"Press any key to continue"

"This program was written in Argentina"

"Copyright 1994-1995 Cancerbero [DAN]"

"C:CHKLIST.MS C:CHKLIST.CPS C:ZZ#.IM anti-vir.dat ANTI-VIR.DAT"

"Greetings to all [DAN] members"

Tento virus je považován za zatím poslední ve skupině. Na veřejnosti se objevil v průběhu ledna tohoto roku.

Internet je také zdrojem zajímavých virů. Jedním z nich je virus HARE. Zatím jsme obdrželi variantu HARE.7750, 6710, 7750 a 7786. Virus HARE se objevil v Internet Newsgroups v těchto programech:

vpro46c.exe v alt.cracks

agent99e.exe v alt.cracks

agent99e.exe v alt.crackers

lviewc.exe v alt.crackers

red_4.exe v alt.sex

pkzip300.exe v alt.comp.shareware

Jde o velmi komplikovaný multipartitní virus, který je velmi nesnadno detekovatelný. Napadá COM a EXE soubory, MBR pevného disku a boot sektory disket. Aktivuje se v srpnu a září a při aktivaci smaže obsah pevného disku.

Uživatelé počítačů mohou virus detekovat a odstranit pomocí antivirové utility F-HARE, která pochází od firmy Datafellows, producenta F-Protu. Tuto utilitu je možno získat na adrese http://www.europe.datafellows.com, bližší informace je možné obdržet na adrese http://www.aec.cz.

Podle zdrojů z firmy McAfee je varianta Scanu s datovými řetězci 9607 schopna detekovat až 16 variant tohoto viru.


| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage |