A 103. CHIP-CD VAKRIASZTÁS LISTÁJA
1997-es júliusi és októberi CD-nken is elôfordult vírus. A
CHIP Magazinban beszámoltunk a részletekrôl. Mindkét eset
fontos tanulságokkal szolgált számunkra, és ennek nyomán
módosítottunk CD-ink "gyártástechnológiáján".
Többek közt fontosnak érezzük azt, hogy minden CD-nken
közzétegyük a végsô vírusellenôrzésünk eredményeit. (A
CD-kre kerülô anyagokat munka közben is ellenôrizzük.
Ennek során már többször is találtunk vírust.)
Az ellenôrzés módszere és eredménye
-----------------------------------
A CD-re kerülô anyagot egy külön merevlemezre másoltuk. Az
anyag sok tömörített file-t tartalmaz. Ezeket kibontottuk,
mindegyik file-t külön könyvtárba. A kibontott anyagban
található tömörített file-okat is kibontottuk, és így
tovább (rekurzív kibontás).
A CD így kapott "teljes" tartalmát az alábbi DOS-os
víruskeresôk legfrissebb verzióival és vírus-adatbázisaival
ellenôriztük:
* négy "nemzetközi" keresôvel:
F-Macro
F-Prot
McAfee Scan
Tbav
* és egy magyarral:
VirusBuster
Azért választottuk e keresôk DOS-os változatait, mert bár
már több mint három évvel ezelôtt megjelent a Windows 95,
de a víruskeresôknek még mindig a DOS-os változatai a
megbízhatóbbak a keresés eredményessége szempontjából.
Mindkét vírusunk drámaian igazolta ezt a - számunkra -
akkor még ismeretlen tényt, amit azóta szerzett
tapasztalataink sem cáfoltak meg.
A vizsgálathoz használt víruskeresôk verziószáma,
vírus-adatbázisaik dátuma és a keresôket indító
parancssorok megtalálhatók a naplófile-jaikban (*.log). A
dupla CD-mellékletünk két korongjára kerülô anyagot külön
vizsgáltuk.
A VirusBuster nem írja be a parancssorát a naplófile-jába.
Ezt a keresôt az összes file vizsgálatára, "alapos" (nem
rövid és nem teljes végigolvasással járó) ellenôrzésre
kérve, és az általános illetve makró heurisztikáját
"normál" érzékenységûre állítva indítottuk.
Ahol a DOS-os keresôk a számukra túl hosszú elérési útvonal
(path), vagy egy file furcsa neve miatt esetleg nem tudtak
megvizsgálni egyes file-okat, ott külön lépésben ezeket is
megvizsgáltuk.
A naplófile-okban talált gyanús eseteket megvizsgáltuk, a
programokat elindítottuk és a Tbav rezidens (memóriában
maradó), a programok tevékenységét figyelô vírusvédelmi
programjaival felfegyverkezve figyeltük viselkedésüket.
Ennek során nem észleltünk vírusra utaló tevékenységet.
Ezután összehasonlítottuk a merevlemez állapotát a gyanús
file-ok futtatását megelôzô állapottal. A változások
(megváltozott a BOOTLOG.TXT file tartalma stb.) egyike sem
utalt vírusra.
A CD-re kerülô anyagot mindezek alapján "tisztának" találtuk.
Tanulságok
----------
Az új programokkal, Excel- és Word-dokumentumokkal,
valamint más potenciális makróvírus-hordozó adatfile-okkal
szembeni óvatosság mindenképpen ajánlatos.
Az adatvesztések több mint 90%-át egyébként nem vírusok
okozzák, hanem hardverhibák és emberi figyelmetlenség, ezek
pedig bármikor bekövetkezhetnek. Ezért mindenkinek azt
javasoljuk továbbra is, hogy rendszeresen mentse
(backupolja) adatait (ezeket sokkal nehezebb pótolni, mint
a programokat), és - ha teheti - gépe teljes tartalmát is,
hiszen egy gép esetleges teljes újratelepítése általában
nagyon sok idôbe kerül.
Érdemes végigfutni a víruskeresôk naplófile-jait,
tanulságosak! Akit érdekel, az a vakriasztások többségére
megtalálja a magyarázatot a meggyanúsított file-okhoz
tartozó leírásokban. A memóriarezidens programokat például
joggal gyanúsítják a keresôk azzal, hogy memóriában akarnak
maradni...
===============================================================================
Virus scanning report - 5. July 2001 20:44
F-PROT 3.07
SIGN.DEF created 25. June 2001
SIGN2.DEF created 25. June 2001
MACRO.DEF created 7. June 2001
Search: .
Action: Report only
Files: "Dumb" scan of all files
Switches: /PACKED /REPORT=d:\av\fprot.log
No viruses found in memory.
No viruses were found in MBRs or hard disk boot sectors.
D:\CD\HONOSITO.GEP\INTERNET\HSE332~1\HSE3.32_\CGI-BIN\P2X560.DLL could be infected with an unknown virus
Results of virus scanning:
Files: 13460
MBRs: 2
Boot sectors: 3
Objects scanned: 15057
Infected: 0
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0
Time: 33:28
===============================================================================
Scanning Report
Thu Jul 05 21:45:58 2001
Options
--------------------------------------------------------------------------------
Target:
D:\cd
Action:
Ask after scan
Scanning options:
Scan all files
Scan inside archives: off
Results
--------------------------------------------------------------------------------
Boot Sectors
Scanned: 0
Infected: 0
Suspected: 0
Disinfected: 0
Files
Scanned: 13460
Infected: 1
Suspected: 0
Disinfected: 0
Renamed: 0
Deleted: 0
Quarantined: 0
Report
--------------------------------------------------------------------------------
D:\cd\honosito.gep\internet\HSE332~1\HSE3.32_\CGI-BIN\P2X560.DLL Infection: Possibly infected with an unknown virus
===============================================================================
2001.07.05. 22:54 Scan Started On Demand Scan
2001.07.05. 22:54 Scan Settings Current scan settings:
2001.07.05. 22:54 Scan Settings Log file size is limited to 100 kilobytes.
2001.07.05. 22:54 Scan Settings Action options
2001.07.05. 22:54 Scan Settings Automatically clean : DISABLED
2001.07.05. 22:54 Scan Settings Automatically delete : DISABLED
2001.07.05. 22:54 Scan Settings Log options
2001.07.05. 22:54 Scan Settings Virus detections : ENABLED
2001.07.05. 22:54 Scan Settings Cleaned files : ENABLED
2001.07.05. 22:54 Scan Settings Deleted files : ENABLED
2001.07.05. 22:54 Scan Settings Moved files : ENABLED
2001.07.05. 22:54 Scan Settings Scan Options
2001.07.05. 22:54 Scan Settings Subdirectories : ENABLED
2001.07.05. 22:54 Scan Settings All files : ENABLED
2001.07.05. 22:54 Scan Settings Compressed files : DISABLED
2001.07.05. 22:54 Scan Settings Skip memory scan : DISABLED
2001.07.05. 22:54 Scan Settings Priority [1-5] : 0
2001.07.05. 22:54 Scan Settings Heuristics scan : ENABLED
2001.07.05. 22:54 Scan Settings Macro heuristics scan : ENABLED
2001.07.05. 22:54 Scan Settings Program file heuristics scan : ENABLED
2001.07.05. 22:54 Scan Settings Remove all Macros : DISABLED
2001.07.05. 22:54 Scan Settings Program extensions : EXE COM DO? XL? MD? VXD SYS BIN RTF OBD DLL
2001.07.05. 22:54 Scan Settings Scan targets
2001.07.05. 22:54 Scan Settings D:\CD
2001.07.05. 23:07 Scan Summary Scan Summary
2001.07.05. 23:07 Scan Summary Memory scan : No Viruses Found
2001.07.05. 23:07 Scan Summary Boot sectors scanned : 1
2001.07.05. 23:07 Scan Summary Boot sectors infected : 0
2001.07.05. 23:07 Scan Summary Boot sectors cleaned : 0
2001.07.05. 23:07 Scan Summary Files scanned : 13460
2001.07.05. 23:07 Scan Summary Files infected : 0
2001.07.05. 23:07 Scan Summary Files cleaned : 0
2001.07.05. 23:07 Scan Summary Files deleted : 0
2001.07.05. 23:07 Scan Summary Files moved : 0
2001.07.05. 23:07 Scan Complete On Demand Scan
===============================================================================
Thunderbyte virus detector v8.09 - (C) Copyright 1989-1998 Thunderbyte B.V.Í
TbScan report, 07-05-2001 21:24:06
Parameters: . hr hm lo ln=d:\av\tbav.log
** Unregistered evaluation version. Do not forget to register! **
D:\CD\AMIGA.OK\UAE\DUAE075D\UTILS\MAKEDISK.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
i Additional data found at end of file. Probably internal overlay.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
Z EXE/COM determination. The program tries to check whether a file
is a COM or EXE file. Viruses need to do this to infect a program.
K Unusual stack. The program has a suspicious stack or an odd stack.
D:\CD\AMIGA.OK\UAE\DUAE075D\UTILS\READDISK.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
i Additional data found at end of file. Probably internal overlay.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
Z EXE/COM determination. The program tries to check whether a file
is a COM or EXE file. Viruses need to do this to infect a program.
K Unusual stack. The program has a suspicious stack or an odd stack.
D:\CD\AMIGA.OK\UAE\XDMS\MSDOS-BI\READDISK.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
i Additional data found at end of file. Probably internal overlay.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
Z EXE/COM determination. The program tries to check whether a file
is a COM or EXE file. Viruses need to do this to infect a program.
K Unusual stack. The program has a suspicious stack or an odd stack.
D:\CD\PROFI.OK\PROFI\PROFIDEM\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\PROFI\TARSAS-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\PROFI\RAKTAR-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\PROFI\TARGYI-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\PROFIDEM\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\TARSAS-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\RAKTAR-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\PROFI.OK\TARGYI-D\INSTALL.COM might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
N Wrong name extension. Extension conflicts with program structure.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
t Program contains a time or date triggered event.
D:\CD\SEGEDLET.!!\PK250DOS\PKUNZIP.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
D:\CD\SEGEDLET.!!\PK250DOS\PKZIP.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
D:\CD\SEGEDLET.!!\PK250DOS\PKZIPFIX.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
D:\CD\SEGEDLET.!!\PK250DOS\ZIP2EXE.EXE might be infected by an unknown virus
c No checksum / recovery information (Anti-Vir.Dat) available.
# Found a code decryption routine or debugger trap. This is common
for viruses but also for some copy-protected software.
! Invalid opcode (non-8088 instructions) or out-of-range branch.
Found 13460 files in 2035 directories, 954 files seem to be executable.
3 files were checked for changes, 0 files have been changed.
15 files are infected by one or more viruses
===============================================================================
VirusBuster v10.02.016 - DOS változat
====================================
(c) 1988-2001. VirusBuster Kft. Minden jog fenntartva.
World Wide Web URL: http://www.vbuster.hu
Vírus adatbázis: 7.196 - 2001. Július 03.
Operációs rendszer: MS-Windows 98
Memória ellenôrzése... rendben.
Keresés elindult: 2001. Július 05. 21:26:59
Keresési területek:
partíciós tábla, boot szektor, alkönyvtárak, állományok
Kijelölt állományok:
mindegyik.
Keresési minta:
"*.*"
Keresés: alapos
heurisztika: normál
makró heurisztika: normál
Diszk olvasási módok: BIOS hívásokkal, OS hívásokkal
Nem irtható vírusok esetén: File meghagyása
Gyanús programok: File meghagyása
Gyanús dokumentumok: File meghagyása
Karantén: "D:\AV\PROG\VB91\VIRUSOK"
Átmeneti könyvtár: "C:\TEMP"
C: fizikai drive MBOOT rekord ellenôrzése
D: fizikai drive MBOOT rekord ellenôrzése
D:\ boot rekord ellenôrzése
Keresés leállt: 2001. Július 05. 21:51:57
A keresés idôtartama: 00:24:58
Nincs felismerhetô vírus.
Terület | File Directory Egyéb |
---------------+------------------------- -------------+------------
ellenôrzött | 13460 2035 packer | 0
fertôzött | 0 0 immunizer | 0
gyanús | 0 0
kiirtva | 0 0
törölve | 0 -
átmozgatva | 0 -
átnevezve | 0 -
|
