home *** CD-ROM | disk | FTP | other *** search
/ PC World Interactive 1 / PC World Interactive 1 - Nisan 1997.iso / nostalji / ps / 19 / progbank / nt651.txt < prev    next >
Text File  |  1995-02-07  |  10KB  |  224 lines
  1.   ┌──────────────────────────────────────────────────────────────────────────┐
  2.   │┌────────────────────────────────────────────────────────────────────────┐│
  3.   ││                                                                        ││
  4.   ││                     Oxana Virüsü Temizleyicisi                         ││
  5.   ││                                                                        ││
  6.   │└────────────────────────────────────────────────────────────────────────┘│
  7.   │ Oyun · DOS                                           GoRGoN              │
  8.   └──────────────────────────────────────────────────────────────────────────┘
  9.  
  10.  
  11.  
  12. > Oxana diye bilinen bu virüsün birden fazla versiyonu vardìr. Bunlardan bir
  13.   tanesini PSAV'ìn 2. versiyonu temizleyebilmektedir. PSAV 2'nin bulup da
  14.   problemsiz olarak temizleyemediºi diºer Oxana türevini bu program
  15.   temizleyebilmektedir.
  16.  
  17.   Oxana'nìn bu versiyonu (AA651); EXE ve COM dosyalarìna bulaƒan ve bellekte
  18.   yerleƒik kalan parazit bir virüstür. NT651 ile bugün için çoºu virüs
  19.   tarayìcìlarìnìn tanìyamadìºì bu virüsü bulmak ve temizlemek mümkündür.
  20.  
  21.  
  22.   PROGRAMI KULLANMADAN ÖNCE BÿLMENÿZ GEREKENLER
  23. ───────────────────────────────────────────────
  24. ■ ÿlk olarak; NT651 sadece bu virüse karƒì yazìlmìƒtìr. Genel amaçlì virüs
  25.   tarama programlarìnìn aksine kendisine baƒka bir virüs bulaƒtìºìnì dahi
  26.   anlayamaz. Bu nedenle NT651'i yazma korumalì bir disketten çalìƒtìrmanìzì
  27.   tavsiye ederiz.
  28.  
  29.   ÿkincisi, GoRGoN bu programìn kullanìmìndan doºacak dolaylì ve/veya dolaysìz
  30.   zararlardan sorumlu tutulamaz. Programìn orjinal sürümünde bilinen bir hata
  31.   yoktur.
  32.  
  33.     ┌─────────────────────────────────────────────────────┐
  34.     │   NT651 TEMÿZLEME YAPMAK ÿÇÿN ONAYINIZI BEKLEMEZ    │
  35.     │        DOSYALARINIZI YEDEKLEMEYÿ UNUTMAYIN!         │
  36.     └─────────────────────────────────────────────────────┘
  37.  
  38. ■ NT651, temizlediºi dosyalarìn yedeklemesini yapmaz. Nispeten zararsìz bir
  39.   virüs olan AA651'den kurtulmak isterken zamansìz bir elektrik kesilmesi
  40.   nedeniyle dosyanìzì tümden kaybetmemek için önemli dosyalarìnìzìn virüslü de
  41.   olsa yedeºini almanìz yararìnìza olcaktìr.
  42.  
  43. ■ NT651, bellekte aktif olan AA651'i bulmak için yine virüsün kendi kullandìºì
  44.   yöntemi kullanìr. Windows altìnda virüsün kendisini tanìyamamasì gibi, NT651
  45.   de bellekteki virüsü Wÿndows DOS kutusundan çalìƒtìrìldìºìnda bulamaz. En
  46.   iyi sonuç için programì DOS altìnda çalìƒtìrmanìzì tavsiye ediyoruz.
  47.  
  48. ■ Oxana (AA651) bulaƒm샠bir dosyanìn arkasìna baƒka bir virüsün bulaƒmasì ya
  49.   da bir ƒekilde dosyanìn virüs bulaƒtìktan sonraki halinden farklì olma
  50.   durumda NT651, virüsü bulamayacaktìr. Programì, önce diºer virüs tarama ve
  51.   temizleme programlarìyla diºer virüslerden kurtulduktan sonra kullanmanìzì
  52.   tavsiye ediyoruz.
  53.  
  54. ■ COM dosyalar tümüyle orjinal haline getirilebildiºi halde, EXE dosyalar için
  55.   bu mümkün deºildir. Virüs, EXE dosyaya bulaƒmadan önce dosya boyunu 16'nìn
  56.   katì olacak ƒekilde ayarlìyor. Ancak akìllìlìk edip zaten 16'ya bölünebilen
  57.   dosyalarda bu iƒlemi atlamìyor, önce 16 byte ekliyor sonra fazlalìk varsa
  58.   azaltìyor ve dosyanìn orjinal uzunluºunu saklamìyor. Bu nedenle, EXE
  59.   dosyanìn tümüyle eski haline getirilmesi teorik olarak mümkün deºil. EXE
  60.   dosya onarìldìºìnda dosya boyu 1 ila 16 byte arasìnda uzayacaktìr, bu
  61.   fazlalìk ve fazlalìºìn EXE baƒlìºìnda oluƒturduºu deºiƒiklik dìƒìnda dosya
  62.   orjinaliyle aynì olacaktìr.
  63.  
  64.   Yukarìdaki durumun getirdiºi bir diºer dikkat edilmesi gereken nokta ise
  65.   aynì EXE dosyaya sürekli virüs bulaƒìp onarìldìkça ilk defasìnda dosya
  66.   boyunun 1 ila 16 byte arasì uzayacaºì ve daha sonra her onarìmda dosya boyu
  67.   16 byte artacaºìdìr. Bu nedenle virüsten bir defada kurtulmak için tüm
  68.   dosyalarìnìzì taramanìzì tavsiye ediyoruz, çekmecenin arka taraflarìnda
  69.   kalm샠bir disketten tekrar gelecek bir Oxana (AA651) ataºì sonucu tekrar
  70.   NT651 programìnì kullanmak zorunda kalabilirsiniz ki bu da EXE
  71.   dosyalarìnìzìn 16 byte ƒiƒmanlamasì demek olacaktìr..
  72.  
  73. ■ Daºìtìldìºì haliyle NT651'in program yükleniƒindeki program sayaç deºeri 0
  74.   olduºu için Oxana (AA651) bulaƒmayacaktìr. DIET 1 ile sìkìƒtìrìlm샠olan
  75.   NT561 eºer açìlarak kullanìlìrsa Oxana (AA651) bulaƒabilir. Bu durumda
  76.   bellek temizken NT651'i çalìƒtìrarak dosyayì onarabilirsiniz, ancak hemen
  77.   sonra tekrar temiz bir sistem disk/disketinden boot etmelisiniz.
  78.  
  79.  
  80.  
  81.  
  82.   PROGRAMIN KULLANIMI
  83. ─────────────────────
  84.   NT651 günümüzün standartlarìna göre kullanìcìyla etkileƒim açìsìndan oldukça
  85.   ilkel bir program. Komut satìrìndan tarama ve temizlemenin yapìlmasìnì
  86.   istediºiniz sürücüyü belirten harfi ya da bu harfle bereber bir (:)
  87.   iƒaretini girdikten sonra, NT561 verilen sürücüdeki tüm dizinleri ve
  88.   dosyalarì tarar, virüsü bulduºunda temizler.
  89.  
  90.   Tarama yapìlìrken taranan dosyanìn adì görüntülenir. Eºer temizleme
  91.   yapìlmìƒsa dosya adì ekranda kalìr.
  92.  
  93.   Açìlamayan dosyalar, kullanìmda olan ya da okuma ve yazma eriƒimi verilmeyen
  94.   (örneºin aº üzerindeki dosyalara hem okuma hem de yazma eriƒiminiz
  95.   olmayabilir) dosyalardìr. Bu dosyalar taranmayacaktìr.
  96.  
  97.   Bir hata mesajì görüntülenmesi kötüye iƒarettir. Bu durumda o an üzerinde
  98.   iƒlem yapìlmakta olan dosya kullanìlmaz hale gelebilir.
  99.  
  100.      Örnek:
  101.  
  102.      C sürücüsünde tarama ve temizleme yapmak için:
  103.  
  104.                       NT651 C:
  105.  
  106.                       ya da
  107.  
  108.                       NT651 C
  109.  
  110.      komutlarìnì kullanabilirsiniz.
  111.  
  112.  
  113.  
  114.   Virüsün ÿmzasì (Oxana/AA651)
  115. ──────────────────────────────
  116.   Virüsün NT651 tarafìndan kullanìlan 22 byte'lìk imzasì aƒaºìdaki gibidir:
  117.  
  118.        06 1E 06 E8 00 00 5D B8 43 43 CD 21 3D 34 34 75 02 EB 3B 8C C0 48
  119.  
  120.   Bu imzayì her zaman kullandìºìnìz virüs tarama programìna eklemeniz yararlì
  121.   olacaktìr. Eºer program sizden virüs hakkìnda baƒka bilgiler isterse
  122.   aƒaºìdaki soru-cevaplardan yararlanabilirsiniz.
  123.  
  124.   · COM dosyalara bulaƒìyor mu?               Evet.
  125.   · EXE dosyalara bulaƒìyor mu?               Evet.
  126.   · BOOT sektörüne bulaƒìyor mu?              Hayìr.
  127.   · Bellekte yerleƒik (resident) kalìyor mu?  Evet.
  128.  
  129.  
  130.   Örnek:
  131.   ──────
  132.   McAfee'nin çok bilinen virüs tarama programì VIRUSCAN (SCAN.EXE)'ye
  133.   bu imzayì tanìtmak için:
  134.  
  135.      1·SCAN.EXT (herhangi bir isim olabilir) adlì bir dosya oluƒturun
  136.        ve aƒaºìdaki satìrì girin:
  137.  
  138.              "061E06E800005DB84343CD213D34347502EB3B8CC048" AA651 [AA651]
  139.  
  140.      2·SCAN.EXE'yi çalìƒtìrìrken /EXT ile aƒaºìdaki gibi bu dosyayì
  141.        belirtin:
  142.  
  143.              SCAN C: /EXT C:\SCAN\SCAN.EXT
  144.  
  145.  
  146.  
  147.  
  148.  
  149.   Oxana (AA651) HAKKINDA NOTLAR
  150. ───────────────────────────────
  151. ■ Tipi:
  152.   Parazit belleºe yerleƒik dosya virüsü (EXE ve COM)
  153.  
  154. ■ Virüsün belleºe yerleƒik olduºunu anlama yöntemi:
  155.   INT 21 FUN 43 SUBFUN 43'ün, AX = 3434 döndürmesi. Bu yöntem Wÿndows DOS
  156.   kutusunda çalìƒmìyor, bu durumda virüs her çalìƒtìºìnda bellek azalìyor.
  157.  
  158. ■ Virüsün COM dosyaya bulaƒm샠olduºunu anlama yöntemi:
  159.   Dosyanìn ilk üç baytìnda dosya uzunluºu-651 adresine bir yakìn atlama
  160.   komutunun bulunmasì. Boyu 55,000'den büyük COM dosyalara bulaƒmìyor.
  161.  
  162. ■ Virüsün EXE dosyaya bulaƒm샠olduºunu anlama yöntemi:
  163.   EXE baƒlìºìnda IP=0000
  164.  
  165. ■ Belleºe yerleƒme yöntemi:
  166.   Bellek kontrol bloklarì yardìmìyla bellek sonundan 35 paragraf çalarak
  167.   kendisini kopyalìyor. INT 21'e normal INT 21 fonksiyonuyla takìlìyor.
  168.   INT 21 FUN 4B SUBFUN 00 (load and execute) ile çalìƒtìrìlmak istenen
  169.   dosyalara bulaƒìyor.
  170.  
  171. ■ Koruma tedbirleri:
  172.   Dosyanìn salt okunur olma özelliºini kaldìrìyor, bu yapìlamazsa program
  173.   kitleniyor. Kritik hatalarì bulaƒma iƒlemleri sìrasìnda 'ignore' ediyor.
  174.   Dosya tarihini deºiƒtirmiyor.
  175.  
  176. ■ Virsün amacì:
  177.   Yok. Varlìºìnìn yarattìºì zararlar dìƒìnda virüsün sabit diski formatlamak
  178.   gibi bir amacì yok.
  179.  
  180. ■ Virüs uzunluºu:
  181.   651 byte
  182.  
  183. ■ Virüsün dosya boyunda yaptìºì artìƒ:
  184.   651 byte (COM) 651+1..16 byte (EXE)
  185.  
  186. ■ Virüsün olasì zararlarì:
  187.   Belleºi azaltmak, sistem kilitlenmesi, dosya boylarìnìn uzamasìyla disk
  188.   alanìnìn iƒgali, virüsün yaptìºì fazladan iƒlemler için zaman kaybì, olasì
  189.   bir hatada dosya kayìplarì, Windows'un çalìƒmasìnda etkiler(?), EXE
  190.   dosyalarda tümüyle onarìlamaz deºiƒiklikler
  191.  
  192. ■ Genel:
  193.   Oldukça basit bir virüs olmasìna karƒìn baƒlìca anti-virüs programlarì
  194.   tarafìndan tanìnmamasì sorun yaratìyor.
  195.  
  196.  
  197.  
  198.   PROGRAM HAKKINDA NOTLAR:
  199. ──────────────────────────
  200. ■ Okuma hakkì olmasìna raºmen yazma hakkì olmayan dosyalarì taramamasì
  201.   (Bu durumda zaten temizleme mümkün deºil!) ve virüsü onay almadan
  202.   temizlemesi,
  203.  
  204. ■ Tüm dosyalarì ve diski taramasì, belli bir dizin seçimine
  205.   izin vermemesi,
  206. ■ (EXE dosyalara en azìndan 1 byte eklendiºini düƒünürsek, bu byte'ìn
  207.   dosyadan çìkartìlmasì her yeni temizlemede 16 byte artìƒì önleyecektir.)
  208.   EXE dosyalardan sadece virüsü çìkartmasì, 1 ekstra byte çìkartmamasì,
  209.   programa özellikle verilmiƒ davranìƒlarìdìr. (hata deºillerdir!)
  210.  
  211. ■ Programìn bu davran샠ƒeklinin sizi yedekleme yapmaya teƒvik
  212.   etmesini umuyoruz.
  213.  
  214.  
  215.    ┌──────────────────────────────────────────────────────────────────────┐
  216.    │┌┬──────────────────────────────────────────────────────────────────┬┐│
  217.    │││ r.002                                                            │││
  218.    │││                                                                  │││
  219.    │││ NT651   AA651 Virüsü Tarayìcì ve Temizleyicisi   Versiyon 1.1    │││
  220.    │││         (c)1994 GoRGoN ltd.  Tel/fax: (216) 347 8705             │││
  221.    │││                       20.7.1994                                  │││
  222.    │││                                                                  │││
  223.    │└┴──────────────────────────────────────────────────────────────────┴┘│
  224.    └──────────────────────────────────────────────────────────────────────┘