Specializovan² t²denφk o v²poΦetnφ technice
o Internetu
(CW 32/96)
O viru DAN jsme ji₧ psali v jednom z minul²ch Φlßnk∙. Vra¥me se nynφ k jeho variantßm.
Virus DAN.1092 je velmi podobn² d°φve popsanΘ variant∞. V pam∞ti zabφrß vzhledem ke svΘ dΘlce mnohem v∞tÜφ mφsto, a tak je pokles volnΘ pracovnφ pam∞ti tentokrßt roven 2 752 bajt∙m. InfikovanΘ soubory jsou prodlu₧ovßny o efektivnφ dΘlku viru, tedy o 1 092 bajt∙. Toto prodlou₧enφ, stejn∞ tak jako nastavenφ vte°inovΘho pole v ·daji Φasu souboru na hodnotu "58", je vÜak skrytΘ, pokud je virus rezidentnφ v pam∞ti systΘmu. TextovΘ °et∞zce ve virovΘm k≤du, a tedy i v infikovan²ch souborech, jsou tentokrßt zak≤dovanΘ. Jsou to tyto °et∞zce:
"Virus ANTI-ENTER V1.0"
"(c) 1995 El Cancerbero [DAN]"
"ARGENTINA"
"DIGITAL ANARCHY"
"C:CHKLIST.MS C:CHKLIST.CPS C:ZZ#.IM anti-vir.dat ANTI-VIR.DAT"
Virus DAN.1500 je nerezidentnφm infektorem COM soubor∙. Ka₧dΘ spuÜt∞nφ ji₧ infikovanΘho COM souboru mß za nßsledek naka₧enφ jednoho dalÜφho COM souboru z aktußlnφho adresß°e. Ten bude delÜφ o 1 500 bajt∙ a jeho datum a Φas v dosovskΘm v²pisu se infekcφ nezm∞nφ. InfikovanΘ soubory obsahujφ jedin² zak≤dovan² textov² °et∞zec: "Aqui no estoy!"
NejdelÜφ virus, virus DAN.1871, je rezidentnφm infektorem COM program∙, n∞kter²ch EXE program∙ a COMMAND.COMu. Jeho velikost v pam∞ti je 3 744 bajt∙. InfikovanΘ programy jinΘ ne₧ COMMAND.COM, kterΘ virus napadß v okam₧iku jejich spuÜt∞nφ, prodlu₧uje o 1 871 bajt∙. Toto prodlou₧enφ stejn∞ jako nastavenφ vte°inovΘho pole ΦasovΘho ·daje v razφtku na hodnotu "56" nenφ viditelnΘ, pokud je virus rezidentnφ v pam∞ti. V p°φpad∞ COMMAND.COMu infekcφ nedochßzφ k ₧ßdnΘmu prodlou₧enφ, proto₧e virus DAN.1871 p°epφÜe koncovou Φßst souboru, kde jsou hex nuly. Vte°inovΘ pole infikovanΘho COMMAND.COMu nastavφ virus na hodnotu "06". Ve virovΘm k≤du jsou zak≤dovßny tyto textovΘ °et∞zce:
"Disk Full"
"Press any key to continue"
"This program was written in Argentina"
"Copyright 1994-1995 Cancerbero [DAN]"
"C:CHKLIST.MS C:CHKLIST.CPS C:ZZ#.IM anti-vir.dat ANTI-VIR.DAT"
"Greetings to all [DAN] members"
Tento virus je pova₧ovßn za zatφm poslednφ ve skupin∞. Na ve°ejnosti se objevil v pr∙b∞hu ledna tohoto roku.
Internet je takΘ zdrojem zajφmav²ch vir∙. Jednφm z nich je virus HARE. Zatφm jsme obdr₧eli variantu HARE.7750, 6710, 7750 a 7786. Virus HARE se objevil v Internet Newsgroups v t∞chto programech:
vpro46c.exe v alt.cracks
agent99e.exe v alt.cracks
agent99e.exe v alt.crackers
lviewc.exe v alt.crackers
red_4.exe v alt.sex
pkzip300.exe v alt.comp.shareware
Jde o velmi komplikovan² multipartitnφ virus, kter² je velmi nesnadno detekovateln². Napadß COM a EXE soubory, MBR pevnΘho disku a boot sektory disket. Aktivuje se v srpnu a zß°φ a p°i aktivaci sma₧e obsah pevnΘho disku.
U₧ivatelΘ poΦφtaΦ∙ mohou virus detekovat a odstranit pomocφ antivirovΘ utility F-HARE, kterß pochßzφ od firmy Datafellows, producenta F-Protu. Tuto utilitu je mo₧no zφskat na adrese http://www.europe.datafellows.com, bli₧Üφ informace je mo₧nΘ obdr₧et na adrese http://www.aec.cz.
Podle zdroj∙ z firmy McAfee je varianta Scanu s datov²mi °et∞zci 9607 schopna detekovat a₧ 16 variant tohoto viru.