Vírusleírások. Általános bevezetõ: Boot vírusok

Vírusleírások Szeretnénk minden felhasználónk kezébe egy jól használható vírusleírás gyűjteményt adni. Egyelőre a CD-re került leírások csak ízelítőként szolgálnak, de megpróbáljuk e gyűjteményt folyamatosan bővítve minél teljesebbé és naprakészebbé tenni. A ma ismert vírusok az általuk megtámadott célpontok szerint osztályozva az alábbi főbb csoportokra oszthatók: • Boot vírusok • Programvírusok • Makrovírusok • Hoax-ok • Worm-ok

Boot vírusok

Általános bevezetõ: Egészen 1996 végéig ezek gyakorlatilag ezek a vírusok jelentették a vírusproblémát, hiszen az összes fertõzés több mint 90%-a tõlük származott. Legelõször is részletesen meg kell vizsgálnunk, mi is játszódik le egy PC belsejében a rendszerindítás közben. A következõ fontos lépésekben zajlik le az indítás. 0. lépés: a felhasználó bekapcsolja a gépet, megnyomja a Reset gombot vagy a CTRL+ALT+DEL billentyûkombinációt. 1. A processzor az FFFF:0000 memóriacímen elkezdi az ott található program végrehajtását. Ezen a helyen a BIOS indítórutinja található. 2. A BIOS-ban levõ kód leteszteli a különbözõ hardverelemeket (RAM, lemezegységek, ...). 3. Még mindig a BIOS-ban levõ kód kiolvassa a CMOS-ból a rendszerindítási sorrendet, vagyis hogy a merevlemezrõl vagy a floppiról kezdje-e tölteni a rendszert. Ha a floppimeghajtóban nincs lemez, akkor mindenképpen a merevlemezrõl indít. 4. Ha floppiról indít, akkor beolvassa onnan a legelsõ szektort, vagyis a 0. fej 0. cilinderének 1. szektorát. A szektor tartalma két fõ részbõl áll: az operációs rendszert indító kis kódrészletbõl (ez a közhiedelemmel ellentétben nem csak a rendszerlemezeken van jelen, hanem a közönséges adatlemezeken is) és a lemez fizikai paramétereit (szektorméret, oldalak száma, gyökérkönyvtár mérete stb.) tartalmazó adatmezõbõl. Errõl a szektorról a BIOS ellenõrzi, hogy az valóban boot-szektorszerû-e. Ezt onnan dönti el, hogy az utolsó két bájtnak 55AAh-nak kell lenni. Ha nem ez áll fenn, a rendszerindítás hibaüzenettel megszakad. Ha sikeres volt azonosítás, a BIOS átadja a vezérlést a beolvasott boot-szektorban levõ kódnak és rendszerindítás folytatódik a 7. ponttal. 5. Ha merevlemezrõl indítunk, akkor is a 0. fej 0. cilinderének 1. szektorát olvassa be a BIOS program, de ez ebben az esetben nem a boot-szektor lesz, hanem a partíciós rekord, amely ugyancsak két részbõl áll, egy rövid programból illetve a merevlemez felosztottságát könyvelõ partíciós táblából. Ez az extra lépés azért kerül be, mert egy merevlemez több operációs rendszert és azokhoz tartozó partíciókat is tartalmazhat. A BIOS program ugyanúgy megnézi az utolsó két bájtot, aminek itt is 55AAh-nak kell lennie. Ha nem az, a rendszerindítás hibaüzenettel megszakad, illetve a régebbi, eredeti IBM PC-ken a gépek a BIOS-ában tartalmazott BASICinterpretert hívja meeg a BIOS. 6. A BIOS-ban futó kód a partíciós táblából kiolvassa, hogy melyik az aktív partíció (ha nem talál ilyet, hibaüzenettel leáll) és hogy az a merevlemezen mettõl meddig tart. Ennek ismeretében be tudja olvasni az aktív partíció legelsõ logikai szektorját, ami a partíció boot szektora. A BIOS átadja a vezérlést a boot szektorban levõ kódnak. Egészen eddig a pontig a folyamat független volt attól, milyen operációs rendszer van a PC-n, mindent a BIOS-ba beégetett kód végzett. A továbbiakban az MSDOS operációs rendszer felállását taglaljuk. 7. A boot-szektor kódja ellenõrzi, hogy az adott floppilemez illetve partíció alkalmas-e rendszerindításra. Ezt úgy dönti el, hogy megnézi, hogy a gyökérkönyvtár elsõ két bejegyzése az IO.SYS illetve az MSDOS.SYS állományokhoz tartozik-e (a mostanában már kihalófélben levõ IBM DOS esetében a két fájl neve

IBMIO.COM és IBMDOS.COM). Ha nem ezt a két állományt találja ott, akkor hibaüzenettel leáll a rendszerindítás. Ha igen, akkor beolvassa az IO.SYS elsõ 3 szektorát, majd átadja annak a vezérlést. 8. Az IO.SYS inicializálja az interrupt-táblát, megkeresi az esetleges ROM-bõvítéseket és feldolgozza a CONFIG.SYS-t, betölti az abban levõ meghajtókat. Ezután lefuttatja az MSDOS.SYS-t. 9. Az MSDOS.SYS inicializálja a DOS-hoz tartozó interruptokat, betölti a COMMAND.COM-ot és feldolgozza az AUTOEXEC.BAT-ot. A boot vírusok ebbe a végrehajtási sorrendbe tolakszanak be. Ezt két ponton teszik meg: vagy a boot szektort vagy a partíciós rekordot helyettesítik saját kódjukkal - ez alapján osztjuk fel ezt a víruscsoportot két alcsoportra. Természetesen ez a választás csak a merevlemezek esetében áll fenn, a floppikon nincs partíciós tábla, ezért ott mindig a boot szektort fertõzik. Mivel a BIOS csak nagyon felületesen ellenõrzi e két létfontosságú szektor valódiságát, a vírusok dolga egyszerû: saját kódjukkal lecserélik azokat, annyira kell csak vigyázni, hogy az ellenõrzésre használt utolsó két bájtot változatlanul hagyják. A két szektorban tárolt adatokra is vigyázni kell, hiszen nagy galiba lenne, ha a partíciós táblába is beleírna a vírus, mert akkor az adatoknak búcsút lehetne mondani. Ezt a vírusok vagy úgy oldják meg, hogy a létfontosságú részeket nem írják felül, vagy pedig úgy, hogy azokat egy másik szektorba elmentik, és szükség esetén onnan továbbítják. Egy partíciós táblát fertõzõ vírus (a boot vírusok nagyobbik része ilyen, többek között a hazánkban is közismert Michelangelo) esetében az 1. 2. és 3. pont a fent ismertetett sorrendben lezajlik, de a 4. pontban kisiklik a normál menet, ugyanis a BIOS a boot szektor indítókódja helyett az ugyanabba a szektorba került víruskódnak adja át a vezérlést. Ez aztán megfertõzi a merevlemez partíciós rekordját, majd a víruskód vagy maga folytatja a végrehajtást a 7. ponttal, vagy pedig beolvassa a gondosan elmentett eredeti boot szektort és átadja annak a vezérlést és mint aki jól végezte a dolgát hátradõl és megpihen. Ha ezután a már fertõzött merevlemezrõl indítjuk a rendszert, az 1. 2. és 3. pont után az 5. pontban az eredeti partíciós rekordbeli kód helyett a vírus kerül végrehajtásra, amely aztán rezidenssé válik majd megkeresi az aktív partíciót, beolvassa annak boot szektorát és átadja annak a vezérlést. A rendszer felállása ezután a 7. ponttól kezdve a normális mederben folyik (csak éppen a vírus már rezidens a memóriában). Egy boot szektor vírus esetében (ilyen például a Magyarországon is igen elterjedtnek számító Cruel) a floppiról történõ fertõzõdés ugyanúgy zajlik, mint az imént ismertetett esetben, azzal az egyetlen különbséggel, hogy a vírus a merevlemezen nem a partíciós rekordot, hanem az aktív partíció boot szektorát fertõzi meg. Ha azután a merevlemezrõl áll fel a PC, akkor egészen a 7. pontig minden rendben folyik, ahol is a normál indítókód helyett a vírus kódja fut le. Ez aztán ismét gondoskodik arról, hogy a vírus rezidenssé váljon, majd általában beolvassa az eredeti fertõzés elõtti indítókódot és minden folytatódik a legnagyobb rendben - persze a vírustól eltekintve.

Részletes vírusleírások 3APA3A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

---1024 bájt 1994 október Moszkva Merevlemez volume címkéjének megváltozása Minden lemezmûvelet --Ritka

Részletes leírás: A 3APA3A vírus teljes hossza 1024 bájt (két szektor). A fertõzött floppikon teljesen úgy viselkedik, mint egy közönséges boot vírus, a boot szektort és a gyökérkönyvtár utolsó szektorát használja fel kódjának tárolására. Amikor azonban a merevlemezt fertõzi, akkor egy teljesen egyedi technikát alkalmaz. A vírus egy teljesen váratlan helyen, az IO.SYS helyére tolakodik be rendszerindítási láncban. Amint azt ismertettük, a rendszerindítás során a BIOS a 7. pontban csak azt ellenõrzi, hogy az aktív partíció gyökérkönyvtárában az elsõ két állomány neve IO.SYS és MSDOS.SYS legyen. Semmi egyébbel nem törõdik. Így például az attribútumokkal sem. A trükk rendkívül egyszerû és szellemes. A vírus az IO.SYS-t felülírja a saját kódjával, és az így kapott állományt Volume label -nek minõsíti (ez a lemezcímke attribútum arra szolgál, hogy a lemezeket el lehessen nevezni, floopiknál például a formázás után lehet megadni). A DOS ezeket a bejegyzéseket figyelmen kívül hagyja, csak a DIR parancs jeleníti meg a sorrendben legelõször megtalált lemezcímkét. Természetesen a vírusnak az eredeti IO.SYS-t is meg kell õrizni, így azt az MSDOS.SYS után harmadik könyvtárbejegyzésként elhelyezi. Eredetileg az IO.SYS és az MSDOS.SYS után következett a többi gyökérkönyvtárbeli állomány. Fertõzés után az elsõ bejegyzés a vírussal fertõzött IO.SYS (aminek elsõ 1024 bájtját felülírta a vírus), a második az eredeti MSDOS.SYS, a harmadik az eredeti, fertõzés elõtti IO.SYS és utána jön eggyel odébb tolva a többi bejegyzés. Ha az a nagyon ritka eset áll fenn, hogy éppen tele volt a gyökérkönyvtár (ez ugyanis az egyetlen olyan könyvtár, amelynek véges a mérete), akkor az utolsó bejegyzés és az ahhoz tartozó fájl elveszik örökre. A rendszerindítás során a BIOS csak a fertõzött IO.SYS bejegyzés nevét ellenõrzi, az attribútumával nem törõdik, így mechanikusan beolvassa a vírust és átadja a vezérlést neki. Az aztán rezidenssé válik, majd beolvasva az eredeti IO.SYS-t rendes útjára tereli a rendszerindítást. Késõbb aztán minden floppihoz való nyúlás esetén (írás, olvasás, listázás) fertõz, vagyis igen fertõzõképes, nagyon hamar kiterjedt fertõzésekhez vezethet, és 1994 õszén vezetett is. A DIR parancscsal kilistázva egy könyvtárt a fertõzött gépen az alábbit látjuk: Volume in drive C is IO SYS Volume Serial Number is 2191-7E22 Directory of C:\ COMMAND COM 65117 08-29-94 6:22a WINA20 386 9349 08-29-94 6:22a TEMP 12-19-96 9:22p VC 12-17-96 12:45a MOUSE COM 56425 03-10-92 8:20a HIMEM SYS 14208 03-10-93 6:00a DOS 12-17-96 3:34p NETMANAG 12-17-96 12:58a MOUSE DRV 10144 03-10-92 8:20a PDOS 12-17-96 3:51p PDOS DEF 2164 12-17-96 3:58p p; 0 01-11-98 2:00a WINDOWS 12-17-96 4:26p WINWORD 12-17-96 5:36p CONFIG SYS 344 12-21-96 8:38a AUTOEXEC BAT 238 12-17-96 5:03p TEST 12-18-96 5:48p 21 file(s) 157989 bytes p; 6885376 bytes free

Ha a vírus augusztusban aktivizálódik, akkor az alábbi orosz nyelvû üzenetet jeleníti meg: B BOOT CEKTOPE - 3APA3A (hevenyészett magyar fordításban: "A boot szektor fertõzött"). Mivel a vírus nem ellenõrzi a rendszerfájlok neveit, hanem fixen az IO.SYS-t használja, minden olyan DOS alatt, amely más elnevezéseket használ (Novell DOS, IBM DOS) életképtelen.

Brain.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

---2560 bájt 1986 Pakisztán ------Lemez írás/olvasás --Csak vírusgyûjteményekben fordul elõ

Részletes leírás: A Brain.A rezidens boot vírus. Arról híres, hogy ez volt az elsõ PC vírus. Csak floppikat támad meg, a merevlemezeket nem fertõzi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertõzött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 13h megszakításokat, és ettõl kezdve elsõ alkalommal a 31., késõbb minden 4. minden floppira irányuló lemez írásnál és olvasásnál fertõz. A már fertõzött lemezeket nem támadja fel, ezt a boot szektor 4. és 5. bájtja alapján dönti el: amennyiben ez 12234h, akkor békénhagyja a kiszemelt célpontot. A vírus elsõ szektora a boot szektort foglalja el, a további részeet és az eredeti boot szektort 5 használatlan szektorban ment el, amelyeket ezután rossz szektorként jegyez be a FAT-be, hogy a DOS azokat késõbb békén hagyja. A Brain a fertõzés után a floppik volume címkéjét "(c) Brain"-re változtatja. Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetõsen korlátozottak az elszaporodási lehetõségei. Mivel a Brain magára irányítja a lemezolvasási mûveleteket, el tudja rejteni jelenlétét azáltal, hogy a boot szektorra vonatkozó olvasási kísérletekkor az eredeti, fertõzetlen példányt adja vissza. A fertõzött boot szektorok az alábbi szöveget tartalmazzák (a vírus nem jeleníti meg az üzenetet): Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES..730 NIZAM BLOCK ALLAMA IQBAL TOWN PAKISTAN..PHONE :430791,443248,280530. Beware of this VIRUS.....Contact us for vaccination............... $#@%$@!!

DenZuk Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Tünetek Terjedés elindítója Romboló rutin

---5120 bájt -----Grafika megjelenése Minden lemezmûvelet ---

LAHORE-

Elterjedettsége

Ritka

Részletes leírás: A DenZuk vírus rezidens boot vírus. Csak floppikat támad meg, a merevlemezeket nem fertõzi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertõzött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 9h és 13h megszakításokat, és ettõl kezdve minden floppira irányuló lemezmûveletnél megkísérli megfertõzni a célpontot. A vírus elsõ szektora a boot szektort foglalja el, a további részek a 0. fej 40. sávjának 1-9 szektorában találhatók. A vírus nem ellenõrzi fertõzéskor, hogy ebben a pozícióban van-e már információ, ezért a 360kB-nál nagyobb kapacitású floppikon felülírja az esetleg itt levõ adatokat, adatvesztést okozva ezzel. A DenZuk a fertõzés után a floppik volume címkéjét "Y.C.1.E.R.P"-re változtatja, ahol a "." helyében az F9h kódú karakter szerepel. Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetõsen korlátozottak az elszaporodási lehetõségei. Amennyiben a felhasználó újraindítást kezdeményez a CTRL+ALT+DEL billentyûkombináció lenyomásával, a vírus az alábbi grafikus üzenetet görgeti be a képernyõ szélérõl:

Ismert variánsok: 

DenZuk.B: Annyiban különbözik az alapváltozattól, hogy fertõzés elõtt felismeri és eltávolítja azt a floppikról (a Brain vírussal együtt), illetve hogy amennyiben rezidens, a lemezolvasások manipulálásával igyekszik elrejteni jelenlétét.

Form.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

---1024 bájt 1990 február Svájc Szöveges üzenet megjelenítése Minden lemezmûvelet --Gyakori

Részletes leírás: A Form.A annak ellenére, hogy nagyon egyszerû, rendkívül elterjedt vírus. Az 1990-es évek elején a vílágsdzerte legelterjedtebb vírusnak számított, és ezt a pozícióját egészen a makróvírusok megjelenéséig tartotta.. Kódja két lemezszektornyi területet foglal el. A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertõzött lemezrõl történik rendszerindítás. Ekkor az Form.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h és 9h megszakítást rezidenssé válik. Ettõl kezdve minden lemezolvasás során elõször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertõzi. A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat. Minden hónap 16. napján a vírus magára irányítva a 9h (billentyûzetkezelõ) megszakítást a billentyû lenyomására sípoló hangot ad ki, és jelentõsen lelassítja a válaszidõt. A fertõzött boot szektor az alábbi szöveget tartalmazza: "The FORM-Virus sends greetings to everyone who's read this text." "FORM doesn't destroy data! Don't panic! Fuckings go to Corinne."

Kampana.B Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

Antitelefonica 1024 bájt 1991 nyár Spanyolország Szöveges üzenet megjelenítése Minden lemezmûvelet Floppik szektorainak felülírása Ritka

Részletes leírás: A Kampana.B rezidens lopakodó boot szektort fertõzõ boot vírus. Egy számítógép két úton fertõzõdhet meg a vírussal: vagy a boot vírusoknál megszokott módon a floppi meghajtóban benn felejtett fertõzött floppiról való rendszerindításkor, vagy akkor, ha a társvírusa, a Kampana.A programvírus mellékhatásként megfertõzi a boot szektort. A víruskód második szektora a 0. fej 0. sáv 6. szektorába, eredeti boot szektort a közvetlenül ezután a merevlemez 0. fej 0. sáv 7. szektorába kerül. Aktivizálódása után rezidenssé válik a hagyományos DOS memória legtetején, majd magára irányítja a 13h megszakítást. Ettõl kezdve minden nem írásvédett floppit célbavesz minden lemezhozzáférés során. Amennyiben a célpont még nem fertõzött (erre a célra a boot szektor 4Ah pozíciójában levõ két bájtot vizsgálja meg, a vírusban ezen a pozíción 9EBCh van), akkor megfertõzi. Mivel a lemezkezelõ 13h megszakítást a Kampana.B magára irányítja, elrejti a jelenlétét, mert minden boot szektorra vonatkozó olvasásnál az eredeti elmentett boot szektor tartalmát adja vissza. A vírus minden 400. rendszerindítás után minden rendszerbe került floppi és minden merevlemez tartalmát felülírja a memóriából kiolvasott véletlen adatokkal, majd kiírja az alábbi üzenetet: "Campa¤a Anti-TELEFONICA (Barcelona)"

Michelangelo Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye

Stoned.March6 512 bájt 1991 nyár -----

Tünetek ---Terjedés elindítója Minden lemezmûvelet Romboló rutin Merevlemez vagy floppi szektorainak felülírása Elterjedettsége

Gyakori

Részletes leírás: A Michelangelo a Stoned-család tagja. Nevét onnan kapta, hogy romboló rutinja március 6-án indul el, ami Michelangelo születésnapja. A vírusíró minden bizonnyal nem emiatt idõzítette a rombolást erre a napra, de a név rajta maradt a víruson. Merevlemezeken a partíciós táblát írja felül, floppikon pedig a boot szektort. Egy számítógép megfertõzésére akkor kerül sor, ha a rendszert egy floppimeghajtóban felejtett fertõzött lemezrõl indítják újra. Ekkor a vírus felülírja a partíciós táblát a saját kódjával, az eredetit a 0. fej 0. sáv 7. szektorába mentve. Ezáltal a következõ rendszerindításkor már a vírus aktivizálódik. Ekkor a vírus lefoglal magának 2048 bájt helyet a konvencionális DOS memória tetején, lecsökkentve a DOS számára hozzáférhetõ memóriaterület méretét a BIOS adatmezõben. Magára irányítja a 13h lemezkezelõ megszakítást, majd innentõl kezdve megfertõz minden floppit, amihez a DOS hozzányúl. Amennyiben a rendszer fertõzött merevlemezrõl vagy floppiról lett indítva március 6-án, a vírus elindítja romboló rutinját, amely a rendszert indító média adatait törli. Merevlemezeken felülírja a 0-3. fej összes sávjának 1-17. szektorát, míg floppikon az összes fej összes szektorának (a lemezsûrûségtõl függõen) 1-9. vagy 1-14. szektorait.

Stoned.Empire Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

---Empire.A: 1024 bájt Empire.B: 512 bájt 1991 április Kanada Szöveges üzenet megjelenítése Minden lemezmûvelet --Gyakori

Részletes leírás: Az Empire.A vírus a Stoned család tagja, rezidens lopakodó vírus, amely floppi lemezen a boot szektort, merevlemezen a partíciós táblát fertõzi meg. Kódja két lemezszektornyi területet foglal el. A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertõzött lemezrõl történik rendszerindítás. Ekkor az Empire.A felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h megszakítást rezidenssé válik. Ehhez a DOS számára hozzáférhetõ fizikai memória méretét 2kB-tal csökkenti (emiatt a CHKDSK általában csak 653,312 bájt összes memóriát jelez). Ettõl kezdve minden lemezmûvelet során elõször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertõzi. A már fertõzött merevlemezeket és floppikat nem fertõzi meg újra, ehhez az elsõ négy bájtot használja azonosítónak, és amennyiben ott "EA 9F 01 C0"-t talál, békén hagyja a célpontot. Fertõzött floppikon a víruskód elsõ szektora a boot szektorban foglal helyet, míg az eredeti boot szektor az 1. fej 0. sávjának 2 szektorába kerül. A víruskód második szektora közvetlenül ezután foglal helyet. A fertõzött merevlemezen a víruskód elsõ szektora a partíciós táblát foglalja el, az eredeti partíciós tábla a 0. fej 0. sávjának 6. szektorába kerül, a víruskód második szektora pedig közvetlenül ezután. Mivel minden lemezmûvelet a víruson keresztül fut, amennyiben rezidens, el tudja rejteni jelenlétét: a partíciós tábla olvasása estén az elmentett eredetit adja vissza, míg írása esetén az elmentett példányt írja felül. A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat. A rendszeridõtõl függõen az alábbi üzenetet jeleníti meg a vírus: "I'm becoming a little confused as to where the "evil empire" is these days. If we paid attention, if we cared, we would realize just how unethical this impending war with Iraq is, and how impure the American motives are for wanting to force it. It is ironic that when Iran held American hostages, for a few lives the Americans were willing to drag negotiation on for months; yet when oil is held hostage, they are willing to sacrifice hundreds of thousands of lives, and refuse to negotiate ......."


Empire.B : néhány különbségtõl eltekintve megegyezik az alapváltozattal: csak 512 bájt hosszú, mert nem tartalmazza a szöveges üzenete, továbbá máshová menti el az eredeti boot szektort (1. fej 0. sáv 3. szektor) és a partíciós táblát (0. fej 0. sáv 3. szektor).

Programvírusok Általános bevezetõ: A ma ismert vírusok óriási többsége a programvírusok közé sorolható. Ezek a vírusok a programokat, a DOS COM és EXE illetve a Windows NewEXE és a Windows95/NT Portable EXE formátumú végrehajtható állományait fertõzik. A fájlvírusok nagy többsége a programok végére illeszti saját kódját, és ezen kívül végrehajt olyan változtatásokat, amelyek a program elindításakor automatikusan a vírus futtatását vonják maguk után. Mivel az operációs rendszer másképp kezeli a COM és az EXE programokat, ezért a fertõzés mechanizmusa is némiképpen különbözõ. A programok esetében meg kell különböztetni a lemezen tárolt alakot, illetve annak a futtatáskor a memóriában kialakult képét. Egy COM program esetében a kettõ pontosan ugyanaz, a DOS egy az egyben beolvassa a fájl tartalmát egy memóriaszegmensbe, majd átadja a vezérlést a program legelsõ utasításának. Ennek fényében a

vírusnak is igen könnyû a dolga. Az esetek többségében csupán a programfájl végére illeszti magát, és az elején csak pár bájtot ír át, amelyek a vezérlésnek a vírusra irányuló eltérítéséért felelõsek. Miután a vírus lefutott, általában helyreállítja a az eredeti elsõ pár bájtot, majd átadja a vezérlést az eredeti programnak. Van néhány vírus, amely eltér ettõl a szimpla sémától. Az ún. felülíró vírusok átírják az eredeti programrészletet a saját kódjukkal, ezzel aztán helyrehozhatatlanul károsítják azt. Ezek a vírusok nem túl elterjedtek, mert minden fertõzött program használhatatlanná válik, ami még a legnaivabb felhasználó gyanakvását is felkelti. A fájlvírusok másik kisebb csoportja pedig a teljes víruskódot a program elejére illeszti, az ott levõ eredeti tartalmat pedig a fájl végére menti el. A vírus lefutása után az elmentett darabokból újra összerakja az erdeti programot, majd átadja annak a vezérlést. Az EXE programok esetében jelentõs különbségek vannak a lemezen tárolt alak illetve a futtatáskor a memóriában megjelenõ forma között. Elõször is a lemezfájl egy fejléccel kezdõdik, amely fontos adatokat tartalmaz, többek között a program memóriaigényét, a regiszterek kezdeti értékét. Másik fontos feladata is van a fejlécben tárolt információnak. A COM programokkal ellentétben az EXE programok több adat illetve kódszegmensbõl állhatnak. Ezek a szegmensek a futás során kapcsolódnak egymáshoz, hiszen az egyik kódszegmens a másikból hívhat meg függvényt, vagy adatszegmensbõl olvashat be adatokat. A futtatáskor a DOS helyezi el ezeket a szegmenseket a szabad memóriaterületeken. A program összeszerkesztésekor (linkelésekor) még nem lehet tudni, hogy a futtatáskor éppen hol lesznek egymáshoz viszonyítva a szegmensek, ezért a szerkesztés után ezek a szegmensek közötti hivatkozások még nem definiáltak. A DOS parancsértelmezõje lesz az, amely futtatáskor a helyes memóriacímeket tölti be ezekbe a hivatkozásokba. Az EXE fejléc feladata tehát az is, hogy könyvelje, a lemezfájl mely pontjain vannak olyan hivatkozások, amelyek futtatáskor kitöltendõk. Mivel a fejléc tartalmazza a regiszterek kezdeti értékét, ezért az utasításregiszterek (CS és IP, ezek határozzák meg a belépési pontot, ahol a program futása megkezdõdik) értékei is itt vannak. A vírus a fájl végére írja magát, majd a fejlécet módosítja úgy, hogy az most már a víruskódra mutasson (közben elmenti az eredetileg ott levõ értékeket). Sikeres lefutás után a vírus elõszedi az elmentett CS és IP értékeket, és elindítja az eredeti programot.

Részletes vírusleírások

CIH Összefoglalás: Egyéb nevei

TTIT, Tatung 1.2 változat: 1003 bájt

Effektív hossz

1.3 változat: 1010 bájt 1.4 változat: 1019 bájt

Keletkezés ideje Keletkezés helye Célpontok Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

1998 június Tajvan Windows 95 PE EXE programok Minden fájlhozzáférés CMOS tönkretétele, BMR és boot szektor felülírása Világszerte gyakori

Részletes leírás: A vírus elso változata 1998 júniusában bukkant fel, eloször Tajvanban, amjd kisvártatva a világ szinte minden táján kezdve Ausztráliától Oroszországon át az USA-ig és Chiléig. Gyors terjedésében közrejátszott, hogy több Internetes levelezocsoportba is postáztak fertozött programot. A vírusnak, amely Windows95 és Windows98 alatt életképes, három változata ismert, a CIH 1.1, CIH 1.2 és a CIH 1.3. Ezek rendre 1003, 1010 és 1019 bájt hosszúak. A fertozött programok futtatása során a vírus eloször rezidenssé válik, ezután pedig minden újonnan megnyitott PE (a Windows95 Portable Executable nevu saját programfajtája) programot megkísérel fertozni. Ennek során egyedülálló trükkel biztosítja, hogy a fertozott program mérete ne változzon (ezzel is csökkentve a lebukásának veszélyét). Az eredeti programban, amely a PE szerkezet révén több szekcióra van osztva, üres helyeket keres. A PE szerkezet olyan, hogy az egyes szekciók hossza egy, a program fejlécében szereplo blokkhossz többszöröse. Ennek elérésére minden szekció ki van egészítve annyi, nem használt bájttal, hogy pontosan betöltse az utolsó blokkot. A vírus ezekbe az üres töredékblokkokban tárolja el magát több darabban. Elég kicsi annak a valószínusége, hogy akkora töredéket találjon, ahová az egész kód beférne, ezért aztán több darabra vágva, több törekékterületre elhelyezve magát történik a fertozés. Ha esetleg az adott programban összesen nincs annyi töredékhely, ami elég lenne a vírusnak, akkor békén hagyja. A fertozött program késobbi futtatása során a vírus elegendo memóriaterületet foglal, darabonként összeszedi magát, magára irányítja a fájlkezelési szolgáltatásokat, majd lefuttatja az eredeti programot. De még mielott ezt tenné, ellenorzi a dátumot, a megfelelo idopontokban találja (ez az 1.2 és 1.3 verziónál április 26, az 1.4-nél bármelyik hónap 26-a), akkor elindítja romboló rutinját. Eloször véletlen adatokkal teleírja a merevelemezt, majd a Flash BIOS-t is teleírja véletlen adatokkal, aminek viszont tragikus következményei vannak. Miután a BIOS tartalma törlodött, gyakorlatilag lehetetlen újraindítani a PC-t. Ha valakinek véletlenül még lenne olyan rendszerlemeze, amely tartalmazza az elmentett BIOS-tartalmat az is tehetetlen, mert BIOS hiányában a PC még csak meg sem tudja kezdeni a rendszerindítást. Gyakorlatilag az egyetlen megoldás az egész BIOS cseréje. És mivel a mai BIOS chipek meglehetosen stabilan beépültek az alaplapba, az esetek többségében ez alaplapcserét is jelent. A BIOS-ok egy része védheto, egy jumper segítségével lehet váltani az írható és a védett állapota között. De a gyártók általában írható állapotban szállítják le a gépet. Ez azért van, hogy a késobbi frissítések során ne kelljen megbontani a dobozt a jumper átdugása erejéig.

Ismert variánsok: CIH.1003 a CCIH 1.2 TTIT szöveget tartalmazza, a romboló rutin aktivizálódása április 26-án történik. Több helyen, közte hazánkban is felbukkant.  CIH.1010 a CCIH 1.3 TTIT szöveget tartalmazza, a romboló rutin aktivizálódása április 26-án történik. Nem okozott számottevo fertozéseket.  CIH.1019 a CCIH 1.4 TATUNG szöveget tartalmazza, a romboló rutin minden hónap 26-án aktivizálódik. Több helyen is komoly fertozéseket okozott. 

Dark Avenger Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---1800 bájt 1988

Keletkezés helye Célpontok Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

Szófia, Bulgária COM és EXE állományok ----Programok megnyitása Véletlen lemezszektor felülírása Ritka

Részletes leírás: A Dark Avenger vírusnak rengeteg változata létezik. A legtöbbjüknek a szerzõje az ugyancsak a Dark Avenger névre hallgató bolgár vírusíró, aki minden valószínûség szerint egy szófiai egyetem hallgatója volt. Az 1800 bájt effektív hosszúságú alapváltozat a fertõzött program futtatása során azonnal rezidenssé válik, és magára irányítja a 13h, 21h és 27h megszakításokat. Ettõl a pillanattól kezdve minden EXE és COM program, amelyet megnyitnak, bezárnak, létrehoznak végrehajtanak vagy átneveznek megfertõzõdik. A víruskód a fertõzött programok végére kerül. EXE programok esetén úgy, hogy a kezdetét paragrafushatárra igazítja. Emiatt a fertõzetlen programkódot kiegészíti maximum 16 bájttal, ami miatt a programok eredeti állapotának visszaállítása gyakorlatilag lehetetlen. A vírus gyakorlatilag minden programhozzáférés révén terjed. Az ilyen típusú vírusokat gyors fertõzõknek nevezik, a Dark Avenger volt az elsõ elterjedt vírus ebbõl a típusból. A terjedési mechanizmusa révén elegendõ volt csupán egy a vírust nem ismerõ víruskeresõt lefuttatni ahhoz, hogy az össze program fertõzötté váljon. A vírus nem engedi, hogy más programok magukra irányítsák a 21h DOS megszakítást, ezzel megnehezítve a rezidens víruskeresõk dolgát. Minden 16. fertõzés esetén a vírus felülír egy véltelenszerûen kiválasztott szektort egy véletlen számmal. Ezáltal lassan, de helyrehozhatatlanul megrongálja a fájlrendszert. Mire ezt észreveszik, addigra már rendszerint az adatok jelentõs része menthetetlenül károsodik.

Dark Avenger Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

V2000, Eddie 2000 bájt 1989

Keletkezés helye Célpontok Tünetek

Szófia, Bulgária COM és EXE állományok -----

Terjedés elindítója Romboló rutin Elterjedettsége

Programok megnyitása Véletlen lemezszektor felülírása Ritka

Részletes leírás: A Dark Avenger vírusnak rengeteg változata létezik. A legtöbbjüknek a szerzõje az ugyancsak a Dark Avenger névre hallgató bolgár vírusíró, aki minden valószínûség szerint egy szófiai egyetem hallgatója volt. Az 2000 bájt effektív hosszúságú változat a fertõzött program futtatása során azonnal rezidenssé válik, és

magára irányítja a 21h és 27h megszakításokat, valamint a romboló rutin során a 24h megszakítást, illetve a fertõzés során a 13h és a 24h megszakítást. Ettõl a pillanattól kezdve minden legalább 1959 bájt hosszúságú EXE és COM program, amelyet megnyitnak, bezárnak, létrehoznak végrehajtanak, átneveznek vagy amelynek attribútumát megváltoztatják, megfertõzõdik. A víruskód a fertõzött programok végére kerül. EXE programok esetén úgy, hogy a kezdetét paragrafushatárra igazítja. Emiatt a fertõzetlen programkódot kiegészíti maximum 16 bájttal, ami miatt a programok eredeti állapotának visszaállítása gyakorlatilag lehetetlen. A vírus gyakorlatilag minden programhozzáférés révén terjedõ gyors fertõzõ. A terjedési mechanizmusa révén elegendõ volt csupán egy a vírust nem ismerõ víruskeresõt lefuttatni ahhoz, hogy az össze program fertõzötté váljon. A vírus nem engedi, hogy más programok magukra irányítsák a 21h DOS megszakítást, ezzel megnehezítve a rezidens víruskeresõk dolgát. A vírus már fertõzött programokat nem fertõz meg újra. Önmagát úgy ismeri ferl, hogy a fertõzött programokban az utolsó módosítás dátumában a másodpercek értékét 62-re állítja - ez egy olyan érték, amit normális program vagy a DOS sosem hozna létre. Minden 16. fertõzés esetén a vírus felülír egy véltelenszerûen kiválasztott szektort egy véletlen számmal. Ezáltal lassan, de helyrehozhatatlanul megrongálja a fájlrendszert. Mire ezt észreveszik, addigra már rendszerint az adatok jelentõs része menthetetlenül károsodik. Amennyiben az éppen futtatandó program tartalmazza a "(c) 1989 by Vesselin Bontchev" szöveget, akkor a futtatás helyett lefagyasztja a gépet. A célbavett személy, Vesselin Bontchev, ismert vírusszakértõ, aki több vírusvédelmi programot is írt, így a cél nyilvánvalóan ezen programok futtatásának megakadályozása.

Esperanto Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---4733 bájt ---

Keletkezés helye

-DOS COM és EXE programok, Windows 3.x NewEXE programok, Windows 95 és NT PE EXE programok, MAC OS alkalmazások

Célpontok Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

Üzenetablak megjelenése FindFirst/FindNext hívás --Csak vírusgyûjteményekben fordul elõ

Részletes leírás: Az Esperanto az elsõ igazi multiplatform vírus, amely különbözõ architerktúrájú gépeken és processzortípusokon is életképes. A vírus a DOS hagyományos COM és EXE programjait, a Windows NE programjait és a Windows95/NT PE programjait is fertõzi, ugyanakkor Macintoshon is életképes, ott minden programot és számos rendszerállománytípust (a Finder nevû file- és programmenedzsert, a rendszerfájlokat, a Control Panel elemeit, a szoftvermeghajtókat) megfertõz. A DOS COM és EXE programjainak a végére írja magát, a NE programokat egy új szegmenst hozzáadva fertõzi meg, míg a PE programokban az utolsó szegmens végére írja be magát. Ha egy fertõzött programot sima DOS alól indítunk, akkor rezidenssé válik a 21h DOS-interrupt-ot magára irányítva. A továbbiakban minden futtatott programot megfertõz a típusának megfelelõ módon.

Ha Windows/Win95/WinNT alól indítunk egy fertõzött programot, akkor az nem válik rezidenssé, hanem gyorsan keres néhány megfertõzhetõ programot, majd azok megfertõzése után ellenõrzi a dátumot. Ha az éppen július 26 (az elsõ eszperantó nyelv könyv kiadásának évfordulója), akkor egy üzenetablakban az alábbi üzenetet jeleníti meg: p; p; p; p;

Never mind your culture / Ne gravas via kulturo, Esperanto will go beyond it / Esperanto preterpasos gxin; never mind the differences / ne gravas la diferencoj, Esperanto will overcome them / Esperanto superos ilin.

p; p; p; p;

Never mind your processor / Ne gravas via procesoro, Esperanto will work in it / Esperanto funkcios sub gxi; never mind your platform / Ne gravas via platformo, Esperanto will infect it / Esperanto infektos gxin.

p; p;

Now not only a human language, but also a virus... Turning impossible into possible, Esperanto.

A vírus közvetlenül nem terjed át Macintosh-ról PC-re és fordított irányban sem: tehát a Mac-en futó példány nem fertõz meg PC programokat még akkor sem, ha hozzájuk férhet, és a PC-n aktív vírus sem fert?zi meg a keze ügyébe es? Macintosh programokat. Azonban ha egy fertõzött DOS programot egy Macintosh vagy egy PowerMac DOS-emulátorában futtatunk, akkor elõjön a multiplatform viselkedés. A vírus tartalmaz olyan szegmenst, amelyet a Macintosh OS értelmezni tud és futtat is, és ez egy Macintosh vírust ejt el, amely a továbbiakban önálló életre kelve fertõz a Macintosh világban - a továbbiakban már nem terjed vissza PC-re.

HDD Cleaner 2 A HDD Cleaner 2.0 .com és .exe kiterjesztésűfuttatható programokat fertőz. A fertőzött program elindítása után rezidens módon a számítógép memóriájában marad. A programokat végrehajtáskor (elindításkor) fertőzi meg. Romboló tevékenysége dátumhoz kötött. Szeptember 8-án felülír néhányat a merevlemez elsőszektorai közül, így a partíciós tábla elveszik, a gép nem indítható. Szakember számára ez a hiba viszonylag egyszerűmódon, adatvesztés nélkül javítható.

Kaczor Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

Pieck 2016 bájt 1995 vége-1996 eleje Lengyelország EXE fájlok, MBR Minden fájlhozzáférés MBR és boot szektor felülírása Világszerte gyakori

Részletes leírás: A Kaczor virussal fertőzött EXE fájl futtatásakor a virus megfertőzi a Master Boot Record-ot, majd következő induláskor rezidenssé válik, és megfertőz minden EXE fájlt, ami futtatva, vagy másolva lett. Érdekesség, hogy csak a floppy lemezeken lévőfájlokat fertőz, sőt, ha Kaczor virussal fertőzött fájlt másolunk a winchesterre, akkor kiirtja magát a fertőzött fájlból. A Pieck lopakodó vírus, nem engedi látni magát sem a fájl végén, sem az MBR-ben. A virus minden év március harmadikán aktiválódik, amikoris a következőüzenetet írja a képernyőre: Podaj haslo ? Amely egy jelszó megadásra utaló kérdés. A helyes jelszó "PIECK". Abban az esetben, ha nem a helyes jelszót adtuk meg, egy "Blad!" ("Rossz!") felkiáltással a gépet indíthatatlanná teszi. Ha a helyes szóval próbálkoztunk akkor a következőüzenetre számíthatunk: Pozdrowienia dla wynchowankow Pieck'a.


Pieck.4444

Ha a "kaczor" szót begépeljük egy fertőzött gépen, a virus kiírtja magát a MasterBootRecord-ból, és a következőszöveget írja ki: Zrobione. Ha a "test" szót írjuk be, akkor ismét kiír egy pár sort: Wersja Kodowanie Licznik HD Március harmadikán a virus a monitor képét "összerázza".

Kampana.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok: Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

Telefonica, Spanish Telecom 3700 bájt 1990 december Spanyolország COM programok Szöveges üzenet megjelenítése Programok futtatása --Gyakori

Részletes leírás: A Kampana.A rezidens COM programokat fertõzõ lopakodó önkódoló vírus. Aktivizálódására fertõzött programok futtatásakor kerül sor. Ekkor a vírus rezidenssé válik, lefoglalva a DOS memóriából 3700 bájtnyit a maga számára, majd a boot szektort megfertõzi társvírusával a Kampana.B boot vírussal. A 21h DOS megszakítást magára irányítja, és ettõl a pillanattól kezdve minden futtatott COM programot, amelynek hossza 128 bájtnál nagyobb és 61000 bájtnál kisebb, megtámad. A víruskód a programok végére kerül. A Kampana.A úgy kerüli el, hogy ugyanazt a programot többször is megfertõzze, hogy a fertõzött prorgamok módosítási dátumát 200 évvel megnöveli. Ezt a változást a vírus elrejti, amikor rezidens, így csak tiszta rendszerindításkor észrevehetõ. A vírusoknak problémákat okozó rendszerfájlokat nem bántja, így az IBM*.COM és ???MAND*.COM állományokat békén hagyja. A fertõzési folyamat során megkísérli a rezidens vírusvédelmeket kikerülendõ megtalálni a 13h, 21h és 40h megszakítások eredeti belépési pontjait. A vírus két különbözõ algoritmussal kódolja magát, kitöltve a kódot hatástalan utasításokkal, ezzel teszi nehézzé a megfelelõ vírusaláírás készítését. A Kampana.A rejtõzködõ vírus, amennyiben rezidens, a fertõzött programok hossznövekedését és a módosítási dátum változását elrejti. Miután rezidenssé vált, minden lemezmeghajtó esetében az elsõ hozzáféréskor megfertõzi annak boot szektorát a Kampana.B vírussal.

Lehigh Összefoglalás:

Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok: Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

----555 bájt 1987 november USA COMMAND.COM ---------Merevlemez elsõ szektorainak felülírása Ma már ritka

Részletes leírás: A Lehigh vírus a 80-as évek végén elterjedt vírusnak számított. 1987-es felbukkanásakor az egyik legelsõ ismert programvírusként robbant be a köztudatba. Rezidens vírus, amely csak a COMMAND.COM-ot fertõzi meg. Emiatt gyakorlatilag csak úgy tud más gépre átterjedni, ha egy fertõzött rendszerlemezzel viszik át. A felbukkanása idején még elég gyakoriak voltak a merevlemez nélküli gépek, amelyeket boot lemezzel kellett használni, így akkor kiterjedt fertõzéseket volt képes okozni. Manapság már nem gyakori a rendszerlemezek használata, így gyakoraltilag kihaltnak kell tekinteni ezt a vírust. A fertõzött COMMAND.COM lefutásakor a vírus rezidenssé válik. Ennek során nem ellenõrzi, hogy a memóriában ül már-e egy példánya, így elvileg több rezidens példánya is lehetne, de mivel a COMMAND.COM-ot viszonylag ritkán futtatják, ez nem okozhat komoly gondot. Rezidenssé válása után magára irányítja a 21h megszakítást. Ezután minden a DOS által hozzáfért lemez esetében megnézi, hogy a gyökérkönyvtárában van-e fertõzetlen COMMAND.COM, ésha talál ilyet, akkor megfertõzi. Ennek során nem a program méretét növeli meg, hanem az abban levõ, a verem számára lefoglalt és 0h bájtokkal teletöltött

területre helyezi el a víruskódot. Amennyiben a vírus 4 COMMAND.COM-ot egymás után megfertõz úgy, hogy közben egyszer sem indult újra floppiról a rendszer , a vírus aktivizálja romboló rutinját. A BIOS-ból véletlenszerûen kiolvasott adatokkal felülírja a COMMAND.COM-ot tartalmazó lemez elsõ 32 szektorját, ezzel gyakorlatilag újraindíthatatlanná teszi a gépet.

OneHalf Régóta garázdálkodik már hazánkban ez a több szempontból is különleges vírus. Kártékony voltát csak még fokozza az a tény, hogy az elérhetővíruskeresők kivétel nélkül rosszul irtják. Pontosabban szólva a vírust ugyan eltávolítják, ám az általa módosított adatokat nem állítják helyre, s így azok a felhasználó szempontjából elveszettnek minősíthetők. Mit is tesz ez a vírus? .EXE és .COM kiterjesztésűfájlokat fertőz, hosszukat nagyjából 3.5 kB-tal növelve. Egy fertőzött program indításakor azonnal megfertőzi a 0. merevlemez partíciós tábláját is. Csak a partíciós táblából indulva válik rezidenssé. Amennyiben rezidens, úgy a nem fertőzött partíción lévő.EXE és .COM kiterjesztésűfájlokat megfertőzi a fájl megnyitásakor, lezárásakor, illetve futtatásakor. Merevlemezről történő bootolásonként 2-2 cylinder teljes tartalmát titkosítja. A titkosításban a merevlemez utolsó cylinderétől halad visszafelé. Egy, a merevlemeztől függőcylindernél abbahagyja a titkosítást. Ezután időközönként (rendszerindításkor) a „Dis is one half.” szöveget írja ki. A titkosítás azon a cylinderen, melyen hibás szektor található, nem történik meg. Az OHK program képes a OneHalf vírust felismerni, azt a fertőzött területekről eltávolítani, valamint a kódolt területeket visszakódolni. A program valamennyi, a vírus által érintett cylindert dekódolja. Mivel már igen sok esetben okozott a helytelen irtás jelentős károkkal járó adatvesztést, a VirusBuster Team e vírust irtó különálló programját (OHK) szabadon terjeszthetőformában elérhetővé teszi (a VBuster víruskereső és irtó program természetesen szintén alkalmas a OneHalf keresésére és irtására). A program letölthetőa World Wide Web-ről, megtalálható több számítástechnikai folyóirat CD mellékletén és kérhetőa forgalmazóktól. Amennyiben más vírusirtóval távolította el gépéről a OneHalf-ot, s ezután adatait nem tudja elérni, keressen minket, még mindig van remény a visszakódolásra! Addig azonban NE HASZNÁLJA gépét, mert a vírus által kódolt területek tovább sérülhetnek.

RedTeam Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

---4766 bájt 1997 június -Windows 3.x NewEXE programok Levelek elküldése Programok futtatása --Csak vírusgyûjteményekben fordul elõ

Részletes leírás: Fertõzött programok elsõ futtatása esetén a vírus egyetlen állományt támad meg, a 16 bites operációs rendszer magjához tartozó függvények tárházát alkotó KRNL286.EXE illetve KRNL386.EXE programot. Ezekhez nem

ad új kódszegmenst, hanem a meglevõhöz illeszti hozzá magát, majd pedig a fejlécet módosítja úgy, hogy a WINEXEC (Windows 3.x esetében) illetve az INITPROC (Win95/NT) eljárások az eredeti operációs rendszer rutinok helyett a vírusra mutassanak. Mivel minden program futtatása ezen eljárások révén történik, anélkül, hogy a vírus rezidenssé válna és külön memóriaterületet foglalna le magának (hiszen így most a kernel területén tárolja el magát, ami egy-egy Windows szesszió során statikusan megmarad) képes arra, hogy minden program futtatásakor aktivizálódjon. Az aktivizálódás során a vírus elõször elindítja a fertõzésre kiszemelt programot, majd a háttérben megfert?zi azt. Ezzel elkerüli a fertõzés miatti futáslassulást, lecsökkentve a lebukás kockázatát. A fertõzött programok közül átlagosan minden nyolcadik képes az e-mailen való terjedés elõidézésére. Ha a kernelt egy ilyen különleges program fertõzi meg, és a továbbiakban olyan programot futtatunk, amelynek a könyvtárában a Eudora levelezõ programhoz tartozó levelesláda van, akkor a vírus szétküldi magát levélen. Ezt úgy teszi, hogy az NNDBASE.TOC fájlból kiolvassa a felhasználó által definiált levélcím-rövidítéseket (nicknames), majd az ebbõl kiolvasott címzetteknek összeszerkesztett leveleket beleírja az OUT.MBX kimenõ levelesládába, és a rájuk való hivatkozást beírja az ugyanezen levelesláda tartalomjegyzékeként szolgáló OUT.TOC fájlba, azzal a bejegyzéssel, hogy a levelek elküldendõek. Az összeszerkesztett levelek két részbõl állnak, egy rövid ismertetõbõl, és a mellékelt 6351 bájt hosszúságú KRTEAM.EXE programból. Az ismertetõ olyan, mint az összes ál-levélvírusról szóló levél, azzal a különbséggel, hogy azt állítja, hogy a mellékelt program minden gond nélkül megszabadít az állítólagos Red Team nevû levélvírustól. A mellékelt program természetesen nem ezt teszi, hanem a vírust ülteti el. Egy géprõl csak egy levélcsokor indul el. Ezt úgy biztosítja a vírus, hogy a levelek elküldése után létrehoz egy RTBASE.TOC nevû állományt. Ha a továbbiakban talál ilyen nevû fájlt, akkor a levélküldést nem hajtja végre. A RedTeam vírus a vírusíró eredeti tervei szerint mind a 16 bites Windows 3.x, mind a 32 bites Windows 95/NT alatt mûködõképes lenne, azonban egy programozási hiba miatt csak a 16 bites környezetben életképes.

Semisoft Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

Net.666 60416 bájt 1997 õsz --Windows 95/NT EXE programok Új processzek megjelenése a taszk listában, Notepad mûködésében zavarok Programok futtatása --Ritka

Részletes leírás: A vírusnak több variánsa is van, a legelsõként felfedezett 60416 bájt hosszú, 1997 õszén bukkant fel. Valódi 32 bites vírus, vagyis egyaránt mûködõképes Windows95 és WindowsNT alatt is. Mindkét operációs rendszer natív programjait képes megfertõzni azok legelsõ kódmoduljának elejére írva magát. Így aztán a vírus mindig az eredetileg fertõzetlen programok elõtt fut le. A vírusok között ritkaságnak számító módon magas szintû programnyelven, a Microsoft C fordítójával készítették, emiatt pontos elemzése komoly nehézségeket okoz.

A vírus külön eljárást tartalmaz a NOTEPAD.EXE megfertõzésére. Az eredeti programot elmenti NOTEPADX.EXE néven. A nem megfelelõ fertõzés miatt (a vírus nem adja tovább a parancssori paramétereket a fertõzetlen programnak) a böngészõ (Explorer) ablakból nem lehet megnyitni a korábban a Notepad alkalmazáshoz rendelt állományokat. Azokon kétszer kattintva a dokumentumot tartalmazó ablak helyett csak egy üres ablakkal indul el a Notepad. Ezen felül létrehoz néhány állományt, amelyek csupán a víruskódot tartalmazzák (és emiatt ugyanolyan hosszúak és azonos tartalmúak): WINIPX.EXE, WINIPXA.EXE, WINSRVC.EXE, EXPLORE.EXE (az elsõ három a Windows könyvtárában, az utolsó a WINDOWS\START MENU\PROGRAMS\STARTUP könyvtárban keletkezik). Ezek szolgálnak arra, hogy a Windows95/NT indítási könyvtáraiban elhelyezve minden rendszerindításkor automatikusan indítsák a vírust is. Emiatt fertõzött gépen a futó processzek listájában a fent említett programok mindig megtalálhatóak. A taszk listában kiválasztva be lehet ugyan zárni õket, de az éppen leállított processzt a többi még futó processz rögtön újraindítja - ezzel a vírus primitív önvédelmi és regenerációs mechanizmussal rendelkezik. Az automatikus indítást a registry-ben létrehozott bejegyzéseket biztosítják. Ezek a bejegyzések: Windows95 alatt a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] szekcióban a WINIPX kulcsszó értékét "C:\WINDOWS\WINIPX.EXE"-re állítja. WindowsNT alatt a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] szekcióban a Shell kulcs érékének "Explorer.exe,WINIPX.EXE"- állítja be. Az aktív vírust a leggyakoribb, 59904 bájtos variánsnál egy 6.666 nevû processz jelzi a taszk-listában (a 60416 bájtosnál a processz neve 5.2, az 59904b variánsnál 4.4). Emiatt a futó taszk miatt a leállás során gyakran hibaüzeneteket kap a felhasználó. Egy gép megfertõzése után a vírus egy kis ideig vár, majd felveszi a kapcsolatot (ping-et küldve) 4 IP címmel (ezek közül 3 cím ismert: 202.37.225.170, 202.50.80.221, 210.55.239.5), amelyekhez új-zélandi illetõségû számítógépek tartoznak. Ezek után megnyitja és folyamatosan nyitva tartja az 531 portot a bejövõ csomagok számára. Ennek feltehetõen az a célja, hogy az említett 4 IP cím valamelyikérõl küldött parancsokkal vezérelni lehessen a fertõzött számítógépet, hozzáférve és teljes kontrollt gyakorolva annak összes állománya felett. A vírus felfedezése után pár héttel ezek az IP címek megszûntek létezni. Azt, hogy a vírus nem csak elméleti veszélyt jelent jelzi, hogy 1997 végén és 1998 elején több fertõzést is jeleztek. A vírust többek között a Netscape Navigator 4.04 (Windows95-ös változat) egyik telepítõkészletében bukkant fel.

Tequila Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok: Tünetek Terjedés elindítója Romboló rutin Elterjedettsége

----Fertõzött programokban 2468 bájt Merevlemezen 6 szektor 1991 április Svájc EXE programok, partíciós tábla Grafika megjelenítése Programok futtatása, bezárása --Gyakori

Részletes leírás: A Tequila rezidens, lopakodó, önkódoló, EXE programokat és a partíciós táblát fertõzõ vírus. Legelõször Svájcban fedezték fel, de gyakorlatilag egész Európában elterjedt vírusnak számít. Fertõzött programok futtatásakor megfertõzi a partíciós táblát (az eredetit és a víruskód többi szektorát az aktív partíció legvégére írja, majd lecsökkenti az aktív partíció méretét, így a víruskód hagyományos eszközökkel gyakorlatilag hozzáférhetetlenné válik). Nem klasszikus boot vírus, mert további floppik vagy lemezmeghatjtók boot szektorát nem fertõzi meg, csupán annyi a cél, hogy a következõ rendszerindításkor a vírus rezidenssé váljon és magára irányítsa a 13h, 1Ch és 21h megszakításokat. Ettõl kezdve minden futtatott vagy bezárt EXE program végére írja magát. Hogy az általában önellenõrzést végrehajtó víruskeresõk fertõzését elkerülje, nem támad meg olyan programokat, melyek nevében a SC vagy a V megtalálható. A többszörös fertõzések elkerülése végett a Tequila minden általa megfertõzött program esetében a módosítási idõ másodpercének értékét 62-re állítja. Ha ilyen programmal találkozik, akkor azt békénhagyja. A vírus magára irányítva a 21h megszakítást elrejti a fertõzött programok hosszának megnövekedését. Továbbá a 13h megszakítás manipulálásával a partíciós tábla változását is elrejti. Amennyiben a rezidens vírus jelenlétében a DOS olyan programhoz nyúl hozzá, amelyhez a SCAN program segítségével validációs ellenõrzõ összeget rendeltek, törli a szóban forgó programot. A vírus által növelt belsõ számlálók pillanatnyi értékétõl függõen megjeleníti az alábbi fraktál ábrát az üzenet elsõ sorával, majd további billentyûlenyomásra az üzenet többi része is megjelenik a képernyõn.

Makrovírus leírások A makróvírusok a szövegszerkesztők beépített makróprogramozási nyelvében megírt vírusokat nevezzük. A makrónyelv nem más, mint az alkalmazásokba beépített belsőparancsokból felépülőnyelv. Az elsődleges feladata az, hogy a mechanikusan ismétlődőfeladatokat automatizálni lehessen. Biztosítania kell továbbá egy ilyen nyelvnek a felhasználás legfontosabb parancsainak végrehajtását, azok egymás után fűzését. A Microsoft olyan komplex makró programnyelvet (WordBASIC) mellékelt a Word for Windows szövegszerkesztőjéhez, amely lehetőségeiben a maga korában egyedülállónak számított. Nem csak a Word összes belsőparancsához nyújtott hozzáférést, hanem lehetővé tette automatikusan végrehajtható programok írását, sőt a beépített Word parancsok kibővítését, kézre szabását is. Természetesen nem csak a Word for Windows makrónyelve rendelkezik mindazokkal a lehetőségekkel, amelyek egy vírus megteremtéséhez szükségesek. Szinte minden elterjedtebb szövegszerkesztővagy táblázatkezelőrendelkezik makrózási lehetőségekkel. Ennek megfelelően rendre születtek is AmiPro, Excel, Lotus 1-2-3 makrónyelven írt kártevők, ezek azonban csak elenyészőszámban léteznek a Word vírusaival szemben.

Makrókat csak sablonokhoz (template) lehet csatolni, amelyeknek .DOT kiterjesztésük van, megkülönböztetendőa szokványos, .DOC kiterjesztésűdokumentumoktól. A Word viszont akkor is felismeri, hogy nem szokványos dokumentum, ha egy sablon esetleg .DOC kiterjesztést kap, és minden külön tájékoztatás nélkül helyesen kezeli. Minden ismert MS Word makró vírus ilyen .DOC kiterjesztésűde a sablonokra jellemzőbelsőszerkezetűállomány. Attól függően, hogy melyik szövegszerkesztőmakrónyelvében íródtak, az alábbi főcsoportokra oszthatjuk ezt a csoportot:

Word makróvírusok Általános bevezetõ: Rengeteg támadási pont van, ahol a vírus bekapcsolódhat a végrehajtási láncba a Word esetén. Létezik 5 elõre definiált, fix nevû ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elõfordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy sablon tartalmaz egy AutoClose nevû makrót, akkor minden ezen a sablonon alapuló dokumentum lezárásakor ez a makró automatikusan végrehajtódik. Makró neve AutoExec

Végrehajtódás feltétele MS Word indítása

AutoOpen AutoClose AutoExit AutoNew

Dokumentum nyitása Dokumentum zárása Kilépés az MS Word-bõl Új dokumentum létrehozása

A másik aktivizálódási lehetõség egy vírus számára abban rejlik, hogy a Word beépített, menübõl kiválasztható parancsait makrókkal át lehet definiálni. Ha például létezik egy FileSaveAs nevû makró a mintaállományban (amely éppen az aktív ablakban van), akkor a Save As... menüpontot kiválasztva nem az eredeti Word parancs, hanem ez a makró hajtódik végre, és a vírus ismét vígan terjed. A legtöbb makróvírus az automatikus makrókat használja fel a globális sablon (NORMAL.DOT) megfertõzéséhez, és a menüparancsok átírását a további dokumentumok fertõzéséhez. Ezen kívül van még néhány egzotikus módszer a vírusok aktivizálódásának biztosítására. A Word makró vírusok az elsõ valóban platform-független vírusok, amelyek képesek különbözõ architektúrájú gépek között terjedni. Minden operációs rendszer alatt, amelyre létezik MS Word (Macintosh OS, DOS, Windows NT, OS/2) életképesek. Gyakorlatilag mindegyik ismert Word vírus képes más operációs rendszer alatt terjedni (bár mindet Windows alatt írták), csak legfeljebb néhány apróság nem mûködik bennük. A Word különbözõ nyelvi verziói valamelyest gátat szabnak a szabad terjedésnek. Ezekben a változatokban ugyanis az egyes menüpontoknak, így a hozzájuk rendelt belsõ parancsoknak a neveit is lefordították. Például az angolszász változatokban levõ FileSaveAs belsõ parancsnak a német verzióban a DateiSpeichernUnter felel meg, a hollandban a BestandOpslaanAls stb. Emiatt az angol verzióban megírt Concept például nem életképes német nyelvterületre érve. Mivel pedig a makró parancsok a sablonokon belül nem nevük szerint, hanem már félig lefordított 2-3 bájtos tokenekként tárolódnak (és ezek a tokenek ugyanazok minden változatban), a csupán automatikus makrókkal operáló vírusok, mint például az igen elterjedt Wazzu, gond nélkül mûködnek minden Word verzióban.

Alliance.A Összefoglalás: Egyéb nevei

Aliance

Effektív hossz Keletkezés ideje Keletkezés helye

352 bájt a dokumentumokban, 704 bájt a globális sablonban 1996 nyara USA

Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Word dokumentumok és sablonok --Fertõzött dokumentumok megnyitása Dokumentum nyitása vagy új dokumentum létrehozása ---Csak gyûjteményekben fordul elõ

Vírus összetétele:

AutoOpen AutoNew (csak a globális sablonban) Nem

Makrók: Titkosított:

Részletes leírás: Az Alliance vírust Usenet hírcsoportokban terjesztették, ezért elvileg világszerte elõfordulhat, de valójában nem okozott kiterjedt fertõzéseket. A vírus a fertõzött dokumentumok megnyitásakor fertõzi meg a globális sablont. Mindenféle ellenõrzés nélkül másolja be a makóját a NORMAL.DOT-ba két példányban, AutoOpen illetve AutoNew néven. A két makró tartalma teljesen azonos. Ellentétben a makróvírusok többségével csak nagyon ritkán, meghatározott napokon terjed át további dokumentumokba. Ezek minden hónap 2., 7., 11. és 12 napjai. Ezeken a napokon minden megnyitott illetve újonnan létrehozott dokumentumot megfertõz. Elõször ellenõrzi, hogy megváltozott-e annak a tartalma, és csak akkor másolja át az AutoOpen makróját oda. Ennek az a célja, hogy ha nem változott volna meg a dokumentum tartalma, akkor gyanút kelthetett volna a vírus által kezdeményezett mentés, így viszont a gyanútlan felhasználó a Word automatikus mentési funkciójára terhelheti a mentést. Mindezek arra utalnak, hogy a vírusíró ún. lassan terjedõ vírust akart létrehozni, amely a lehetõ legkevesebb árulkodó jelet hagyva maga után szép lassan fertõzi csak meg a rendszert. A fertõzött dokumentumok File/Properties mezejébe az alábbi megjegyzést illeszti be a vírus: You Have Been Infected by the Alliance

Anarchy.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye

Anarchy.6093 7226 bájt 1997. június Oroszország

Célpontok

Word dokumentumok és sablonok, DOS EXE és COM programok

Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin

---

Merevlemez szektorainak felülírása

Elterjedettsége

Fõleg Oroszországban elterjedt

Fertõzött dokumentum megnyitása ---



AUTOOPEN Igen

Részletes leírás: Az Anarchy.A kombinált COM, EXE és Windows NewEXE fertõzõ vírus és Word trójai program. Oroszországban rövid idõ alatt igen kiterjedt fertõzéseket okozott. Amikor egy Anarchy.6093-mal fertõzött DOS programot indítunk, az elõször önellenõrzést hajt végre: 16 bites CRC ellenõrzõ összeget számít ki, és ha ez nem egyezik meg a program fertõzésekor eltárolt értékkel (vagyis ha valaki belepiszkált a fertõzés után a programba), akkor lefagyasztja a gépet. Ezután a vírus ellenõrzi, ül-e már egy példánya a memóriában, ha nem, akkor megfertõzi a WIN.COM-ot és a parancsértelmezõt (ez MSDOS esetében a COMMAND.COM), lefoglalja magának a szükséges memóriaterületet majd a 21h és 2Fh megszakításokat magára irányítva háttérbe húzódik. Mivel a 21h megszakítás, azaz a DOS legfontosabb függvényeit kezében tartja, gyakorlatilag teljesen el tudja rejteni magát. Így ha például egy víruskeresõ megnyitja a programot, a vírus közbelép, és eltávolítja a saját kódját belõle, ezzel próbálja lehetetlenné tenni a felismerését. A hasonló módon operáló vírusok gyakori hibája, hogy akkor is megtisztítja a fertõzött programot, ha valamelyik arhiváló program nyitja meg, emiatt a tömörített archívumokba a megtisztított programok kerülnek bele. Ezt a csapdát a vírus részben megkerüli, ha ugyanis az ARJ.EXE, ZIP.EXE, RAR.EXE, RAR20.EXE programok valamelyike nyit meg fertõzött programot, a vírus nem tisztítja azt meg, vírussal fertõzötten fog eltárolódni program. A file megnyitási, létrehozási és becsukási funkciókat használja fel a vírus a szaporodásra. A COM, EXE és DOC file-okat fertõzi meg, az elõbbi kettõt a vírusoktól már megszokott eljárással, a dokumentumokat viszont teljesen egyedülálló módon. Szemmel látható, hogy a vírus írója részben tisztában volt a Word dokumentumok szerkezetével és a tárolásukra használt OLE2 filefragmentálási eljárással. A fertõzés elsõ lépéseként a vírus megkeresi beolvassa a Word dokumentum fejlécét. Ha a dokumentumok fejlécében az az információ áll, hogy az egy sablon, vagy ha jelszóval védett akkor békén hagyja, ha egyik sem, akkor módosítja a fejlécet és hozzáad az immár sablonná minõsített dokumentumhoz egy AUTOOPEN makrót, amely a fertõzött dokumentum Word általi megnyitásakor indul el. Úgy állítja össze ezt a makrót, hogy az futtatáskor létrehozzon egy EXE file-t és abba elpottyantsa a vírus kódját. A Word egy igen érdekes következetlensége miatt ez a makró gyakorlatilag láthatatlan lesz. Ugyanis a Word két névlistát tart számon a makrókról. Az elsõnek a makrók tényleges használatakor van szerepe (futtatás, másolás, törlés), a második listát csak akkor használja, amikor a Tools|Macro és az Organizer parancsok kilistázzák a sablon

makróit. A vírus az elsõ listába bejegyzi a makróját, a másodikba nem, így a makró a megnyitáskor gond nélkül lefut, viszont a makrólistákban nem jelenik meg. Érdekes helyzetet teremt ez, amivel normális körülmények között senki sem találkozhat, mivel a Word egyszerre módosítja mindig a két névlistát. A vírus büntetõrutinja április 8-án, 30-án és május 9-én aktivizálódik ,amikor is a merevlemez véletlenül kiválasztott szektorait teleírja orosz nyelvû idézetekkel. A vírus nem mentes a hibáktól sem, ha ugyanis nagyon kicsi Word dokumentumokat, vagy Word97 dokumentumokat fertõzne meg, akkor azt hibásan teszi és korruptálja azokat. Összességében a vírus a Word makrófázisában csak egy, a tényleges DOS vírust útjára bocsátó trójai programként funkcionál, más dokumentumokba közvetlenül nem terjed át, azonban mivel a Word-fázis is hozzájárul a terjedéshez, besorolható a makrókártevõk közé is.

Atom.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye

Atomic 1029 bájt 1997. február Ukrajna

Célpontok Tünetek Fertõzés elindítója Terjedés elindítója

Word dokumentumok és sablonok Fájlok törlése, dokumentumok jelszóval védése Fertõzött dokumentumok megnyitása Dokumentumok megnyitása és mentése

Romboló rutin

Minden hónap 13-án törli az aktuális könyvtárban az õsszes állományt

Elterjedettsége

Nagyon ritka



Atom AutoOpen FileOpen FileSaveAs Az összes makró titkosított

Részletes leírás: A vírus a fertõzött dokumentumok megnyitásakor aktivizálódik. Elõször ellenõrzi, hogy a globális sablonban van-e legalább 4 makró és hogy ezek egyikének a neve Atom-e. Ha ezen feltételek valamelyike nem teljesül, akkor a NORMAL.DOT biztosan nem tartalmaz egy sértetlen Atom vírust, ezért az összes makróját odamásolva megfertõzi azt. A globális sabon megfertõzése után a vírus minden esetben meghívja a romboló rutinját tartalmazó Atom makrót. Ez erdeetileg ógy volt szánva, hogy minden év december 13-án az éppen aktuális könyvtárban töröl minden állományt, de egy programozási hiba miatt a romboló trutin minden hónap 13. napján aktivizálódik. Ezután a Word által megnyitott dokumentumokat két úton fertõzheti meg. Vagy megnyitásukkor a FileOpen

makró révén, vagy pedig (ha valami okból nem a File menü Open elemének kiválasztásával nyitották meg a dokumentumot) a Save As... paranccsal való mentésekor. Egyik esetben sem ellenõrzi, hogy a kiszemelt dokumentum esetleg fertõzött-e. A kettõ között az a különbség, hogy a FileOpenen keresztül való fertõzéskor minden fájlt megfertõz (ha például szöveges dokumentumot vagy RTF állományt nyitottunk meg, azt is), a FileSaveAs-en keresztül való mentéskor csak a dokumentumokat és a sablonokat. Ez utóbbi esetben, ha a mentés pillanatában a rendszeridõ a 13. másodpercben jár, az elmentett dokumentumot az "ATOM#1" jelszóval védi le. Az Atom nem tiltja le a globális sablon megváltozását jelzõ figyelmeztetést, ezért a NORMAL.DOT megfertõzése után ez a Word-üzenet elárulhatja jelenlétét. Mivel a vírus az angol Word menüparancsaihoz tartozó makrüneveket használja, csak az angolszász nyelvi változattal kompatibilis Word változatokon életképes.

Bandung.A

Összefoglalás: Egyéb nevei Effektív hossz

Jakarta 4262 bájt

Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin

1996 augusztus/szeptember Bandung, Indonézia Word dokumentumok és sablonok Üzenetablakok megjelenése Fertõzött dokumentum megnyitása Dokumentum mentése A WINDOWS, WINWORD és WINWORD6 könyvtárakban

Elterjedettsége

Elterjedt


Makrók:

AutoExec AutoOpen FileSave FileSaveAs Toolsmacro Toolscustomize

Titkosított:

Egyik makró sem az

Részletes leírás: A Bandung.A a fertõzött dokumentumok megnyitásakor, az AutoOpen makró révén aktivizálódik. Ennek során semmi ellenõrzést nem végez, minden fertõzött dokumentum megnyitásakor bemásolja makróit a globális sablonba. A további dokumentumokat mentésükkor fertõzi, akár a Save akár a Save As... paranccsal történik a

mentés.Ekkor sem végez ellenõrzést arra nézve, hogy a kiszemelt dokumentum már fertõzött-e, minden esetben bemásolja makróit. A fertõzéshez használt kódrészlet észrevehetõen a Concept.A vírusból származik, ezért a Bandung.A akár távoli Concept-variánsnak is tekinthetõ. Miután a globális sablont megfertõzte a Bandung, az AutoExec makrójban levõ romboló rutin minden Wordindításkor aktivizálódik. Ha a Word indítása a hónap 19. napja utén, délelõtt 11 óra után történik, a vírus a C:\ meghajtón a vírus életben maradásához szükséges WINDOWS, WINWORD és WINWORD6 könyvtárak kivételével minden könyvtárat 3 alkönyvtár mélységig rekurzíven kitöröl. Ezután megjeleníti a rendszerdátumot és idõt indonéz nyelven, majd létrehozza a C:\PESAN.TXT állományt, az alábbi (feltehetõen indonéz nyelvû) tartalommal: Anda rupanya sedang sial, semua file di mesin ini kecuali yang berada di direktori WINDOWS dan WINWORD telah hilang, jangan kaget, ini bukan ulah Anda, tapi ini hasil pekerjaan saya...Barang siapa yang berhasil menemukan cara menangkal virus ini, saya aka" + "n memberi listing virus ini untuk Anda !!! Dan tentu saja saya akan terus datang kesini untuk memberi Anda salam dengan virus-virus terbaru dari saya...selamat! Bandung,

A szöveg körülbelüli fordítása a következõ: " " " " " " "

Nincs szerencsld, a gépeden az összes fájl törlõdött, " kivéve a WINDOWS-t és a WINWORD-öt, ne ess kétségebe, nem a te " hibád, hanem az én munkám eredménye ... Ha megtalálod a " módját a vírus leküzdésének, akkor odaadom a forráskódját!!! " És természetesen állandóan dicsõíteni foglak " az új vírusaimmal ... sok szerencsét Bandung 1996 június 28," Hétfõ, délután 13:00"

A vírus primitív önvédelmi funkciókat is megvalósít. Hogy a makróit elrejtse a hozzáférés elõl a Tools|Macro ;s Tools|Customize menüpontok kiválasztásakor (amelyek a makrókhoz való kézi hozzáférést szolgálják) 1996. március 10. után csak az alábbi üzenetet jeleníti meg: Fail on step 29296 Majd az adott dokumentumon belül az összes "a" betût a "#@" kombinációval helyettesíti.

Birthday.A

Összefoglalás: Egyéb nevei Effektív hossz

PCW, Suzanne 1039 bájt

Keletkezés ideje Keletkezés helye Célpontok

Németország 1996 július Word dokumentumok és sablonok

Tünetek Fertõzés elindítója Terjedés elindítója

Üzenetablak megjelenése Fertõzött dokumentum megnyitása Dokumentum mentése

Romboló rutin Elterjedettsége

--Csak vírusgyûjteményekben fordul elõ


AutoOpen DateiSpeichernUnter


Mindkét makró titkosított

Részletes leírás: A Birthday.A vírus azzal vált hirhedtté, hogy kódját a német PCW számítástechnikai folyóirat leközölte. Ennek ellenére meglepõ módon sem komoly fertõzéseket nem okozott, sem újabb variánsai nem bukkantak fel, pedig mindkettõ lehetõség gyakori a publikált kódú vírusok esetében. A vírus aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Az ekkor elinduló AutoOpen makró elõször létrehoz egy teljesen üres új dokumentumot (ennek a dokumentumnak semmi szerepe nincs, rejtély, miért hozza létre a vírus), majd minden ellenõrzés nélkül átmásolja két makróját a globális sablonba, felülírva ezzel a vírus már esetleg ott levõ példányát. Végül bezárja a korábban létrehozott dokumentumot. A további dokumentumokba való terjedés azok elmentésekor zajlik. Ekkor a vírus DateiSpeichernUnter makrója indul el, ami a német Word változat Mentés másképp... menüparancsát definiálja felül. Ez a makró minden ellenõrzés nélkül átmásolja a két vírusmakrót a kiszemelt dokumentumba, felülírva a vírus esetleg abban levõ példányát. Mivel a terjedés a mentési parancs német nevén alapul, a vírus csak a német nyelvû Word változatban képes dokumentumokat fertõzni. Júliustól kezdve minden hónap 15. napján a vírus minden dokumentum megnyitásakor megjelenít egy üzenetablakot az alábbi szöveggel: Happy Birthday! Herzlichen Glückwunsch Suzanne B. aus E. zu deinem Geburstag Ich liebe dich Bár a vírus nem fertõz dokumentumokat a némettõl eltérõ nemzeti Word változatokban, a globális sablon fertõzésére és az üzenet megjelenítésére ezekben is sor kerül.

Boom.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin

Boombastic 2863 bájt 1996 július Németország Word dokumentumok sablonok és RTF állományok A menüsor megváltozik fertôzött dokumentum megnyitása Dokumentum mentése ---

Elterjedettsége

Ritka

Vírus összetétele: AutoOpen DateiSpeichernUnter Makrók: System AutoExec Titkosított:

Az összes makró titkosított

Részletes leírás: A Boom.A fertôzött dokumentumok megnyitásakor aktivizálódik. A globális sablonban már esetleg jelenlevo példányát a System makró megkeresésével ellenorzi. Ha ezt megtalálja, akkor nem másolja makróit a NORMAL.DOT-ba, ha ott ez a makró még nincs jelen, akkor fertôzetlennek ítéli azt, és bemásolja makróit. A további dokumentumokba való terjedés a dokumentumok elmentésekor, A DateiSpeciernUnter makró révén történik. A kiszemelt dokumentumban már esetleg jelenlevo példányát a System makró megkeresésével ellenorzi. Ha ezt megtalálja, akkorbékén hagyja a dokumentumot, ha ott ez a makró még nincs jelen, akkor fertôzetlennek ítéli azt, és bemásolja makróit. Nem csak a dokumentumokat és asblonokat, hanem az RTF formátumban elmenteni szánt állományokat is megfertôzi: azokat dokumentummá konvertálja, és sablon formátumban, de RTF kiterjesztéssel menti el. A globális sablon fertôzése után illetve minden Word indításkor aktiválja zavaró rutinját, amely az 1996-os évetol kezdodoen minden február utáni hónap 13. napján fut le. A Word idozíto szolgáltatását kihasználva garantálja a vírus, hogy az általa okozott effektusók 13óra 13 perc 13 másodperckor lépjenek életbe. Ekkor a vírus átdefiniálja a német Word teljes menüsorát az alábbi séma szerint: Datei -> Mr.Boombastic Bearbeiten -> and Ansicht -> Sir WIXALOT Einfuegen -> are Format -> watching Extras -> you Tabelle -> ! Fenster -> ! Hilfe -> ! Vagyis a teljes menüsor szövege az alábbi lesz: "Mr. Boombastic and Sir WIXALOT are watching you !!!" Ha a Word éppen valami müvelet miatt elfoglalt a jelzett idopontban, akkor 30 percet vár a vírus, és ha ezalatt felszabadul, akkor hajtja végre az átnevezést. Ez az effektus, mivel a német Word menüelemeinek nevein alapul, csak a német Word környezetben müködik. Ezután a Word üzenetsorába kiírja az alábbi szöveget: "Mr. Boombastic and Sir WIXALOT : Don`t Panik, all things are removeable !!! Thanks VIRUSEX !!!" A menüsor átdefiniálása után a Boom.A létrehoz és kinyomtat egy dokumentumot az alábbi tartalommal:

Greetings from Mr. Boombastic and Sir WIXALOT !!! Oskar L. wir kriegen dich. Dies ist eine Initiative des Institutes zur Vermeidung und Verbreitung on Peinlichkeiten, durch in der ™ffenlichkeit stehende Personen, unter der Schimherrschaft von Rudi S. ! A kinyomtatás befejeztével a vírus visszaállítja a menüsor eredet, alapértelmezett állapotát. Amennyiben a felhasználó vagy az általa telepített valamelyik Word-segédprogram a Word elôre definiált menüsorában bármiféle változtatást eszközölt korábban, ezek a változtatások elvesznek. A Boom.A AutoExec makrója minden rendszerindításnál engedélyzi a gyors mentéseket és letiltja a NORMAL.DOT megváltozása miatt megjelenô Word figyelmeztetô ablakot, ezáltal igyekszik a lehetô legjobban leplezni a jelenlétét.

Buero.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

BuroNeu 697 bájt 1996 augusztus

Keletkezés helye Célpontok Tünetek Fertõzés elindítója

Németország Word dokumentumok és sablonok Dokumentumok törlése Fertozött dokumentumok megnyitása


Dokumentumok mentése A C:\ könyvtárban levo dokumentumok törlése Elterjedt

Vírus összetétele: AutoOpen (csak fetozött dokumentumban) Makrók:

BüroNeu DateiSpeichern (csak a globális sablonban)

Titkosított:

Mindkét makró titkosított

Terjedési séma Fertõzött dokumentum AutoOpen AutoSave

Globális sablon BüroNeu DateiSpeichern

Részletes leírás: A Buero.A aktivizálódása fertôzött dokumentumok megnyitása során történik. Ekkor a vírus minden ellenôrzés nélkül bemásolja makróit a NORMAL.DOT-ba felülírva egy esetlegesen ott levô korábbi példányát is. A terjedés során az AutoOpen makrót átnevezi BüroNeu-ra, és a dokumentumban BüroNeu néven szereplô makró kapja a DateiSpeichern nevet. Emiatt a globális sablonban illetve a fertôzött dokumentumokban levô BüroNeu makrók tartalma különbözô.

A további dokumentumok fertôzése azok mentésekor történik. A Buero.A elkerülendô az újonnan létrehozott, és ezért még rendes névvel nem rendelkezô dokumentumok mentésekor fellépô problémákat ellenôrzést végez. ha egy vadonatúj dokumentumról van szó, akkor azt békén hagyja, és egyszerüen csak elmenti, ha már régebben létrehozott dokumentum a kiszemelt célpont, akkor azt megfertôzi. Ennek során nem ellenôrzi a dokumentum esetleges fertôzött voltát, egyszerüen bemásolja makróit, felülírva ezzel a vírus esetleg jelen levô korábbi példányát. A DateiSpeichern makró a német Word változatban a mentés menüparancsát definiálja felül, viszont a némettôl különbözô nyelvi verziókban nem kapja meg a vezérlést, ezért ezekben a környezetekben a vírus szaporodásképtelen. Az aktivizálódás, lévén a nyelvfüggetlen AutoOpen makróra alapul, megtörténik, a vírus a legtöbb nyelvi verzióban képes megfertôzni a globális sablont, de a további dokumentumokba való terjedés már nem fog müködni. A dokumentumok fertôzése során a vírus aktiválja romboló rutinját. Amennyiben a rendszerdátum több 1996. augusztus 15-nél, akkor megkísérli átnevezni a C:\IO.SYS állomány nevét C:\IIO.SYS -re. Amennyiben ez sikerülne, az MSDOS operációs rendszert futtató számítógép újraindíthatatlanná válik. Ezután a vírus a C:\DOC könyvtárban levô összes DOC kiterjesztésü állományt törli.

CAP.A Összefoglalás: Egyéb nevei

----

Effektív hossz 2593 bájt Keletkezés ideje 1996. vége Keletkezés helye Venezuela Célpontok Tünetek Fertõzés elindítója Terjedés elindítója

Word DOC és RTF fájlok Menüpontok eltûnése, gyakori és indokolatlan mentések Fertõzött dokumentum megnyitása Dokumentum megnyitása, bezárása vagy mentése

Romboló rutin

Tools|Macro, Tools|Customize és File|Templates menüpontok eltüntetése

Elterjedtsége


Makrók:

CAP AutoExec AutoOpen AutoClose FileOpen FileClose FileSave FileSaveAs ToolsMacro FileTemplates

világszerte gyakori

Titkosított: ToolsMacro kivételével az összes makró

Részletes leírás: A vírus Venezuelában született valamikor 1996 vége felé. Európába 1997 februárjában jutott, és a tavasz folyamán már Európa-szerte komoly fertõzéseket okozott, majd 1997 nyár elejére hazánkba is begyûrûzött. A CAP alapesetben 10 titkosított makróból áll, ezek: CAP, AutoExec, AutoOpen, AutoClose, FileOpen, FileClose, FileSave, FileSaveAs, ToolsMacro, FileTemplates. A víruskód teljes hossza 2593 bájt, és szinte a teljes egészében a CAP nevû makróban összpontosul, a többi makró gyakorlatilag csak az ebben elhelyezett eljárásokat hívja meg. Amikor egy fertõzött dokumentumot nyitunk meg vagy mentünk el, a globális sablont automatikusan megfertõzi a vírus. Ezen folyamat során a globális sablonban korábban levõ összes korábbi makrót (tartalmazzon az akár más vírust akár vírusvédelmet) kitörli. A CAP rendkívül fertõzõképes. Amint megszállta a globális sablont, a továbbiakban minden egyes megnyitott, bezárt vagy elmentett dokumentumot megfertõz. Sõt nem csak dokumentumokat, hanem az RTF (Rich Text Format) formátumban elmentett állományokba is befészkeli magát, azokat valójában sablonként menti el, de RTF kiterjesztéssel. A makróvírusok túlnyomó többsége azzal árulja el magát, hogy a megfertõzött dokumentumok más néven való mentését (FileSaveAs) a sablon formátumnak köszönhetõen csak a Word által létrehozott sablon könyvtárába engedélyezi (a korlát csak a File|Save As parancsra él- ha a sablon már eleve máshol van elhelyezve, akkor a File|Save paranccsal mentve a helyén marad). Ezt a vírus megkerüli egy ügyes trükkel: ha ilyen mentést kezdeményezünk, akkor az új néven létrehoz egy olyan új dokumentumot, amely a régi fertõzött sablonon alapul, így annak teljes tartalma (a makrók kivételével) átkerül az új dokumentumba. Ez, lévén egy közönséges dokumentum, bárhova elmenthetõ. A rejtõzködés másik fontos eleme az, hogy azokat a (vírusra) veszélyes parancsokat, amelyekkel a makrók felfedezhetõk lennének, a vírus eltávolítja a menüsorból. Ezek a parancsok a Tools|Macro (Eszközök|Makrók), a Tools|Customize (Eszközök|Testreszabás) illetve a File|Templates (Fájl|Sablonok). A makróvírusok terjedésének egyik legkomolyabb gátja az, hogy a legtöbbjük csak abban a Word nyelvi verzióban életképes, amelyikben íródott. A CAP egy ötletes trükkel oldja meg a problémát kihasználva, hogy bármennyire is megváltozott a menüpontok neve, a menüsorban elfoglalt pozíciójuk változatlan marad. Tehát a FileSave parancs minden esetben az elsõ legördülõ menüpont ötödik tagja lesz A vírus kiolvassa az ebben a pozícióban levõ menüponthoz rendelt belsõ parancs nevét, és a FileSave makrót ezen a néven elmentve adoptálódik az idegen nyelvi környezethez. A CAP a FileOpen, FileClose, FileSave, FileSaveAs és FileTemplates nevû makróit a helyi Word változatnak megfelelõ néven másolja be a globális sablonba illetve a megfertõzött dokumentumba. A CAP egy, a vírusoknál ritkán látható generációs számlálót is mûködtet. Ennek értéke a NORMAL.DOT megfertõzése után növekszik meg eggyel, majd a továbbiakban minden megfertõzött dokumentumban ezt az értéket tárolja. Ha ezek a dokumentumok átkerülnek egy másik gépre, akkor ott megfertõzve a NORMAL.DOT-ot ismét növekszik eggyel a számláló. A CAP, bármennyire is óvatos, néhány árulkodó jel utal a jelenlétére. A fertõzetlen dokumentumokat megnyitáskor, bezáráskor vagy elmentéskor megfertõzi. A sûrû mentési folyamat még a legtapasztalatlanabbaknak is feltûnhet. Ez ellen a vírus úgy próbál védekezni, hogy az automatikus mentési intervallumot beállítja 10 percre. Ez már eleve annyira gyakori mentéseket jelent, hogy egy-két extra már nem feltétlenül szúr szemet. Továbbá a gyors mentési opciót is bekapcsolja a CAP.

Clock.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

Extra 3795 bájt 1996 nyara

Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

USA A német Word dokumentumai és sablonjai Üzenetablakok megjelenése Fertõzött dokumentumok megnyitása Dokumentumok megnyitása, mentése és bezárása -----


Makrók:

Titkosított:

Action Oeffnen(csak dokumentumokban) AutoExec AutoOpen Speichern(csak dokumentumokban) Extrasmakro DateiSchliessen Datumunduhrzeit Dateidokvorlagen Dateiallesspeichern DateiOeffnen(csak a NORMAL.DOT-bat) DateiSpeichern(csak a NORMAL.DOT-bat) Az összes makró titkosított

Terjedési séma

Részletes leírás: A Clock.A a német Word környezetben született, és csak ebben a környezetben életképes. Bár az aktivizálódás és aa NROMAL.DOT fertõzése más (így az angol) nyelvi verziókban is mûködik, a további dokumentumokba való terjedés már speciálisan a német Word menüparancsaihoz kötött makrókon alapul, ezért bármely más környezetbe kreülve a vírus terjedésre képtelen lesz. A Clock.A fertõzött dokuemntumok megnyitása során aktivizálódik. Ekkor a vírust hordozó dokumentum tulajdonságai közül kiolvassa a teljes nevét, majd minden ellenõrzés nélkül a NORMAL.DOT-ba másolja a dokumentumban található összes makrót. Ehhez a makróvírusok többségével ellentétben nem a MacroCopy, hanem a Organizer parancsot használja. Ennek egyik mellékhatása, hogy a makrókat nem tudja közvetlenül átnevezni. Ez csak a következõ Word-indításnál, az AutoExec makró lefutása során kerül sor, ekkor kaják meg aSpeichern és az Oeffnen makrók a nevük elé a Datei prefixet. A Clock.A terjedése, amelynek rutinja sok más vírushoz hasonlóan részben a Concept.A-n alapul a dokumentumok megnyitása, mentése és bezárása során aktivizálódik. Ekkor minden ellenõrzés nélkül a kiszemelt dokumentumba másolja az összes makrót. A vírus az ExtrasMakro és a DateiDokvorlagen makrók révén védekezik a kézi eltávolítás és felfedezés ellen. Ez a két makró a Tools|Macro és a File|Tempaltes parancsok német megfelelõi, és ezek tennék lehetõvé a makrókhoz való hozzáférést. A vírus megfelelõ makrói teljesen üresek, ezért a menüpontok kiválasztásakor semmi sem fog történni.

Ha a Word 1997-tól kezdve bár,alyik évben valamely hónap 25. napja után a rendszeróra 39. másodpercében indul, a vírus aktiválja az egyik zavaró rutinját. Ez semmi károsat nem csinál, csak éppen kétpercenként az adott perc 33. másodpercében egy üzenetablakban megjeleníti a pontos idõt. A másik zavaró rutin csak bizonyos napokon indul be. Szintén 1997-tõl kezdve amennyiben egy dokumentum mentése vagy bezárása a hónap 1., 2., 13., 17., 21. vagy 27. napján történik, és a rendszeridõ perceinek száma 5-nél kisebb, a vírus felcseréli a megnyitás és a mentés menüpontok hatását: a megnyitás kezdeményezésekor az aktív dokumentumot menti el a vírus, mentés kezdeményezésekor pedig egy új dokumentumot nyit meg.

Colors.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója

Rainbow 6470 bájt 1995 október Portugália Word dokumentumok és sablonok Windows objektumok színeinek változása Fertõzött dokumentumok megnyitása, bezárása, mentése Dokumentumok mentése, új dokumentum létrehozása


---Ritka


Makrók:

Titkosított:

macros FileNew AutoExec AutoOpen FileExit FileSave AutoClose FileSaveAs ToolsMacro Igen

Részletes leírás: A Colors.A vírus, amelyet több Usenet hírcsoporton terjesztettek, az elsõ olyaa makróvírus volt, amely az automatikus makrók végrehajtásásánake kikapcsolása esetén is képes volt megfertõzni a globális sablont. Ezt úgy éri el, hogy a legfontosabb menüparancsokat magára irányítja (Open..., Save..., New...), sõt még a Tools|Macro parancsot is. Emiatt egy fetõzött dokumentum megnyitása után pusztán azzal, hogy a makróit meg akarja valaki nézni, meg lehet fertõzni a NORMAL.DOT-ot. Az aktivizálódást fertõzött dokumentum megnyitása, becsukása, mentése, vagy éppen nyitott fertõzött dokumentum esetén a Word-bõl való kilépés, új dokumentum létrehozása vagy a Tools|Macro menüparancs kiválasztása mind kiválthatja. Ezután a vírus ellenõrzi, hogy a globális sablonban valamennyi makrója jelen

van-e, és ha akár egyik is hiányzik, újramásolja az összeset, felülírva az ott jelen levõ makrókat. Ezután létrehoz egy countersu nevû számlálót a WIN.INI fájl [Windows] szekciójában, és lenullázza az értékét. A további dokumentumokba való terjedést ezek után a fertõzetlen dokumentumok mentése (akár a Sava, akára a Sava As... paranccsal történik) vagy új dokumentum létrehozása válthatja ki. A vírus ismét ellenõrzi, hogy a célpontként kiszemelt dokumentumban jelen van-e valamennyi makrója, és ha nem, akkor átmásolja azokat. A macros nevû makró tartalmazza a víruskód zömét, nevezetten a terjedésért és a mellékhatásokért felelõs eljárásokat. Ez utóbbi a vírus minden makrójának meghívása (tehát minden elfogott Word-mûvelet) után aktivizálódik. Eggyel megnöveli a vírus által létrehozott számláló értékét, és ha az eléri a 300-at (ez a Word használatának gyakoriságától és intenzitásától függõen a fertõzés után pár nappal vagy pár héttel történik meg), véletlenszerûen megváltoztatja a Windows desktop 21 legfontosabb elemének (pl. menük, háttér, gördítõsávok) színét. Ez a változtatás a Windows következõ indításakor lép érvénybe. Ez a kellemetlen bosszantó rutin csak Windows alapú rendszereken mûködik. A víruskód több, a végleges verzióban kiiktatott diagnosztikai üzenetet tartalmaz, amelyeknek a vírus fejlesztése és hibajavítása során lehetett funkciója.

Concept.A Összefoglalás: Egyéb nevei

Prank, WW6Macro, WBMV

Effektív hossz Keletkezés ideje Keletkezés helye Célpontok

1968 bájt a dokumentumokban, 1661 bájt a globális sablonban USA 1995. július Word 6.0/7.0 dokumentumok


Üzenetablak megjelenése Fertõzött dokumentum megnyitása Dokumentum mentése


--Világszerte elterjedt



AutoOpen (csak dokumentumban) AAAZAO AAAZFS Payload FileSaveAs (csak a globális sablonban) Nem titkosított

Terjedési séma Fertõzött dokumentum AAAZAO

AutoOpen

Globális sablon AAAZAO

AAAZFS

AAAZFS

FileSaveAs PayLoad

PayLoad

Részletes leírás: A Concept.A volt a legelsõ, széles körben elterjedt makróvírus. 1995 júliusában bukkant fel, és rövid idõ alatt világszerte hatalmas fertõzéseket okozott. Ebben közrejátszott az, hogy teljesen új vírusfajta lévén semmiféle védelem nem létezett ellene, ugyanakkor több, a Microsoft által terjesztett CD-re is rákerült. A vírus fertõzött dokumentumok megnyitásakor aktivizálódik. Elsõ lépésben ellenõrzi, hogy a globális sablon fertõzött-e (jelen van-e benne már a vírustól származó Payload vagy FileSaveAs makró), és ha nem, akkor bemásolja makróit.Ezután a WIN.INI fájlba beleírja a WW6I=1 sort. Ezzel minden bizonnyal generációs számláló akart létrehozni a vírus írója, de programozási hiba miatt ezt sosem lépteti, így a generációs szám mindig 1 marad. A vírus a globális sablon fertõzése után megjeleníti a számláló aktuális értékét (ami mindig 1) egy üzenetablakban, ami a számon kívül semmit sem tartalmaz. A vírus terjedése a dokumentumok mentése során történik. Amennyiben a Save As.. menüponton keresztül történik a mentés, a vírus minden ellenõrzés néllkül a dokumentumba másolja a makróit, majd azt sablonként menti el. A késõbbi mentések során a Word már csak a sablonok könyvtárába hajlandó elmenteni a dokumentumot. A vírus Payload makrójának egyetlen funkciója a fertõzött dokumentumok felismerése: ha jelen van a makró, a vírus nem fertõz. A makró tartalma egyetlen megjegyzés: "That's enough to prove my point " Mivel a terjedéshez a File|Save As... menüponthoz tartozó makrót használja, csak az angol, illetve az avval WordBASIC szinjént kompatibilis nyelvi változatokban életképes. Ismert variánsok: a Concept.A vírus családja a legnépesebb, több százra tehetõ a variánsainak és a rajta alapuló vírusoknak a száma.

Concept.L Összefoglalás:

SCAN: Concept.L/M Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója

SWEEP: Blast_C 3741 bájt --USA Word 6.0/7.0 dokumentumok és sablonok üzenetek megjelenése Fertõzött dokumentumok megnyitása


Dokumentumok mentése C:\DELETEME könyvtár törlése Csak vírusgyûjteményekben fordul elõ

Vírus összetétele: Alignment AutoOpen BorderSet Makrók:

FileSaveAs AutoClose ExitRoutine BlastCDrive

Titkosított:

Nem titkosított

Terjedési séma Fertõzött dokumentum Globális sablon Alignment

Alignment

AutoOpen

AutoOpen

BorderSet

BorderSet

FileSaveAs FileSaveAs AutoClose

AutoClose

ExitRoutine

ExitRoutine

BlastCDrive

BlastCDrive

Részletes leírás: A Concept.L vírus aktivizálódására fertõzött dokumentmok megynitásakor kerül sor. Ekkor a vírus AutoOpen makrója fut le, amely a Concept.A vírus fertõzési rutinján alapul. Elsõ lépésben megjelenít egy üzenetablakot a "Welcome to the 'WINWORD.BLAST_C' macro Virus..." szöveggel, majd ellenõrzi, fertõzött-e már a rendszer. Amennyiben a globális sablonba megtalálja az Exitroutine vagy a FileSaveAs makrókat, akkor békén hagyja, ellenkezõ esetben bemásolja makróit a globális sablonba. Ennek végeztével üzenetablakot jelenít meg a "Uh Ohhh. NORMAL.DOT just got infected..." szöveggel.

Ezek után a vírus megfertõz minden egyes dokumentumot, amely a Save As… paranccsal kerül elmentésre. Ennek során minden különösebb ellenõrzés nélkül másolja át a makróit, felülírva a dokumentumban esetleg már létezõ azonos nevû makrókat. Amennyiben egy dokumentum vagy a Word bezárására az adott hónap 24. Napján kerül sor, a vírus aktivizálja romboló rutinját. Ez elindítja a Windows File Managerét, majd az ennek közvetlenül küldött billentyûzetkombinációk segítségével törli a C:\DELETEME könyvtárat annak minden alkönyvtárával együtt. Mivel a vírus az angol Word menüparancsainak neveire alapítja terjedését, nem teljesen életképes ettõl eltérõ nyelvi változatokban, nem lesz képes új dokumentumokat megfertõzni. Ugyanakkor a NORMAL.DOT megfertõzése ezekben a nyelvi változatokban is megtörténik, valamint a romboló rutin is végrehajtódik.

Ismert variánsok: A Concept.M vírus valószínûleg ugyanazon szerzõ által készített módosított változata a vírusnak.

Concept.M

Összefoglalás: New_Horizons Egyéb nevei

SCAN: Concept.L/M SWEEP: Blast_D 2432 bájt dokumentumokban

Effektív hossz 2055 bájt a globális sablonban --USA

Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója

Word 6.0/7.0 dokumentumok és sablonok üzenetek megjelenése Fertõzött dokumentumok megnyitása


Dokumentumok mentése ------Csak vírusgyûjteményekben fordul elõ

Vírus összetétele: AutoOpen (csak fertõzött dokumenutmokban) Makrók:

Alignment BorderSet

AutoClose ExitRoutine BlastCDrive

Titkosított:

FileSaveAs (csak a globális sablonban) Nem titkosított

Terjedési séma Fertõzött dokumentum Globális sablon Alignment

Alignment

AutoOpen BorderSet

BorderSet

FileSaveAs AutoClose ExitRoutine

AutoClose ExitRoutine

Részletes leírás: A Concept.M vírus aktivizálódására fertõzött dokumentmok megnyitásakor kerül sor. Ekkor a vírus AutoOpen makrója fut le, amely a Concept.A vírus fertõzési rutinján alapul. Elsõ lépésben ellenõrzi, fertõzött-e már a rendszer. Amennyiben a globális sablonba megtalálja az Exitroutine vagy a FileSaveAs makrókat, akkor békén hagyja, ellenkezõ esetben bemásolja makróit a globális sablonba. Ennek végeztével üzenetablakot jelenít meg a "Uh Ohhh. NORMAL.DOT just got infected..." szöveggel. Ezek után a vírus megfertõz minden egyes dokumentumot, amely a Save As… paranccsal kerül elmentésre. Ennek során minden különösebb ellenõrzés nélkül másolja át a makróit, felülírva a dokumentumban esetleg már létezõ azonos nevû makrókat. Amennyiben egy dokumentum vagy a Word bezárására az adott hónap 17. Napján kerül sor, a vírus aktivizálná romboló rutinját, amelynek a Concept.L variánshoz hasonlóan a BlastCDrive makróban kellene lennie. Programozói hiba vagy figyelmetlenség miatt azonban ez a makró hiányzik, így a romboló rutin nem fut le. Mivel a vírus az angol Word menüparancsainak neveire alapítja terjedését, nem teljesen életképes ettõl eltérõ nyelvi változatokban, nem lesz képes új dokumentumokat megfertõzni. Ugyanakkor a NORMAL.DOT megfertõzése ezekben a nyelvi változatokban is megtörténik, valamint a romboló rutin is végrehajtódik.

Ismert variánsok: A Concept.L vírus valószínûleg ugyanazon szerzõ által készített módosított változata a vírusnak.

Daniel.A Összefoglalás: Egyéb nevei

Daniel_1F


2718 bájt 1996 szeptember Portugália Word dokumentumok és sablonok


Tools|Macro menüpont eltûnése Fertõzött dokumentum megnyitása Dokumentum mentése


--Csak vírusgyûjteményekben létezik

Vírus összetétele: Makrók: Titkosított:

AutoOpen (csak dokumentumokban) MacroManager Word6Menu (csak a globális sablonban) Minden makró titkosított

Terjedési séma Fertõzött dokumentum AutoOpen

MacroManager

Globális sablon Word6Menu

MacroManager

Részletes leírás: A Daniel.A aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Ekkor a vírus minden ellenõrzés nélkül megfertõzi a globális sablont, bemásolva abba makróit. Eközben a dokumentumokban AutoOpen néven szereplõ makrót átnevezi Word6Menu névre. Ezután a vírus eltávolítja a Tools|Macro menüpontot a globális sablonból. Pontosabban eltávolítja azt a menüpontot, ami abban a pozícióban van, ahol normális esetben a Tools|Macro lenne (ha idõközben a felhasználó új menüpontokat definiált, akkor ez változhat). Ennek az volt a célja, hogy a vírus blokkolja a makróihoz való esetleges hozzáférést. Ugyanígy átdefniniálja a File|Save menüpontot, vagyis azt a menüpontot, ami a File|Save normális esetben megszokott pozíciójának helyén van. Az új menüpont neve minden nemzeti Word változatban Save lesz

(kivéve a portugált, ahol a név Salvar), és a vírus MacroManager makróját fogja futtatni. Ezután a vírus a CTRL+B és a CTRL+S billentyûkombinációk lenyomásához is a MacroManager makró lefutását rendeli hozzá. Minden további dokumentum megfertõzése annak mentésekor (tehát vagy a megfelelõ menüpont kiválasztásakor, vagy a CTRL+S lenyomásakor) történik. Ha a kiszemelt célpont kiterjesztése nem DOC vagy DOT (vagyis nem dokumentumról vagy sablonról van szó), akkor békénhagyja, ha ezne kiterjesztések valamelyikével rendelkezik, és a vírus nem találja benne az AutoOpen vagy a MacroManager makrók közül legalább az egyiket, akkor megfertõzi azt. Ezután a dokumentum információs blokkjába a "Daniel_Stone" kulcsszó alá az alábbi tartalmat írja be: All information should be free.

Date.A Összefoglalás:

Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye

AntiDMV 1042 bájt 1996 USA

Célpontok Tünetek Fertõzés elindítója

Word dokumentumok és sablonok AutoClose makró eltunése Fertozött dokumentum megnyitása


Dokumentum megnyitása --Ritka



AutoOpen Igen

Részletes leírás: A Date.A vírusnak a kód sajátosságai és a használt változónevek alapján feltehetoen olasz anyanyelvu szerzoje volt. A kód nagy része megegyezik a Divina.A vírus kódjával, ezért szinte biztos, hogy a két vírus szerzoje ugyanaz. A Date.A minden bizonnyal egy ún. vírusvadász vírus, ugyanis terjedése során minden vele érintkezésbe lépo vírusból kitörli az AutoClose makrót. Ennek csak az lehet a szerepe, hogy az ezt a makrót tartalmazó vírusokat, vélhetoen a Divina.A-t felkutassa és kiirtsa. A helyzet azonban úgy hozta, hogy a Date.A hamarabb került a vírusszakértok kezébe, mint az általa vadászott párja, ezért úgy gondolták, hogy az akkor egyedül ilyennek ismert, egyetlen AutoClose makróból álló DMV.A vírus a Date.A célpontja.

A vírus aktivizálódására fertozött dokumentumok megnyitásakor kerül sor. Minden különösebb ellenorzés nélkül felülírja a globális sablonban esetleg már ott levo példányá, majd törli az esetleg ott levo AutoClose makrót. A további dokumentumokba való terjedés azok megnyitásakor történik. Ismét csak ellenorzés nélkül bemásolja a vírus az AutoOpen makróját a dokumentumba, felülírva esetleg önmaga egy korábbi példányát. A dokumentumban levo esetleges AutoClose makrót ugyancsak törli. A Date.A 1996. június 1. után megszunik funkcionálni. E dátum után sem a globális sablont, sem egyetlen más dokumentumot nem fertoz meg. Ez is alátámasztja a vírus vírusvadász voltát. A szerzo valószínuleg a korlátlan elterjedést akarta megfékezni ezzel a beépített idokorláttal.

Divina.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

Inifezione, Roberta 2357 bájt 1996


Olaszország Word dokumentumok és sablonok Üzenetablakok megjelenése Fertõzött dokumentum bezárása


Dokumentum bezárása --Ritka


AutoClose Igen

Részletes leírás: A Divina.A a kódban haszált változónevek alapján ítélve olasz anyanyelvû vírusíró terméke. A programkód olyan mértékben hasonlít a Date.A-ra (a víruskód mintegy 60%-a, közte a terjedésért felelõs eljárások teljes egészében megegyeznek a két vírusban), hogy szinte biztosan ugyanaz a szerzõjük. A vírus aktiválódására fertõzött dokumentumok bezárásakor kerül sor. Ekkor a vírus minden különösebb ellenõrzés nélkül bemásolja NORMAL.DOT-ba AutoClose makróját. További dokumentumokba való terjedésre azok bezárásakor kerül sor. Ekkor a vírus szintén minden ellenõrzés nélkül bemásolja azokba AutoClose makróját. Amennyiben valamelyik fertõzési aktusra az adott óra 30. vagy 45. percében kerül sor, akkor a vírus az éppen aktuális könyvtárban keres magának egy DOT kiterjesztésû sablonállományt, és azt is megfertõzi. Amennyiben valamelyik fertõzési aktusra vagy a Word bezárására 10 óra 10 perckor kerül sor, akkor a vírus az aktuális könyvtárban keres magának egy DOC kiterjesztésû állományt, és megfertõzi azt. Ha egy dokumentum bezárása az adott óra 17. percében történik a Divina.A megjelenít egy sorozat párbeszédablakot az alábbi szövegekkel:

ROBERTA TI AMO! Virus 'ROBERTA' is running. Hard Disk damaged. Start antivirus? Exit from system and low level format are recommended. Exit from System? Minden párbeszédablak után sípol egyet a PC hangszóróján. Bár ezek az üzenetek a merevlemez formázását javasolják, arra természetesen semmi szükség. Az utolsó ablak bezárása után a vírus megkísérel kilépni a Windows-ból. Amennyiben valamely dokumentum bezárására Május 21-én kerül sor, és az adott perc 10. és 20., illetve 40. és 50. másodperce között járunk, a vírus két üzenetablakot jelenít meg. Az elsõ tartalma: DIVINA IS THE BEST! A második üzenet tartalma: Oggi è il compleanno di Divina: devi far festa! Non continuare o verrà formattato il disco rigido...

DMV.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---3002 bájt USA


1994. õsz Word 6.0/7.0 dokumentumok Üzenetablakok megjelenése

Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Fertõzött dokumentumok bezárása Dokumentum bezárása --Ritka


AutoClose Nem titkosított

Részletes leírás: A DMV.A (Document Macro Virus) a legelsõként megszületett makróvírus. Joel McNamara készítette 1994 õszén demonstrációs célokkal, de csak a Concept világszerte való elterjedése után tette közzé. A DMV.A a fertõzött dokumentum bezárása során fertõzi meg a globális sablont. A terjedés során szintén a dokumentumok bezárásakor fertõz. A vírus demonstrációs jellegét erõsíti meg, hogy a fertõzés minden egyes lépését üzenetablakokkal jelzi. Elõször meghatározza a globális sablonban levõ makrók számát, amit az alábbi üzenettel tudat: " Counting global macros"

Majd ellenõrzi, hogy van-e már AutoClose makró, és ha van, az újabb üzenetablakkal tudatja: " AutoClose macro virus is already installed in NORMAL.DOT. " Ha nincs AutoClose makró, akkor bemásolja a vírusét, majd errõl informálja a felhasználót is: " Infected NORMAL.DOT with a copy of AutoClose macro virus. " Ugyanezt végigcsinálja a becsukott dokumentum fertõzésénél is, elõször ellenõrzi, van-e bennemár vírusra utaló AutoClose makró, ha van, szól: " AutoClose macro virus already present in this document. " Ha még nem fertõzött, akkor elvégzi a vírusként való mûködéhez elengedhetetlen sablonná való konvertálást, amit ismét dokumentál: " Saved current document as template. " Miután mindezt elvégezte, bemásolja a vírust tartalmazó AutoClose makrót, és nyugtázza a fertõzés tényét: " Infected current document with copy of AutoClose macro virus. " Végül pedig jelzi annak a lehetõségét, hogy a terjedésen kívül még valami romboló programrészlet is szerepelhetne: " Macro virus has been spread. Now execute some other code " " (good, bad, or indifferent). " Az összes megjelenített üzenetalak címsorában a "Document Macro Virus" fejléc szerepel, innen származik a vírus neve. Mivel a DMV.A a terjedéshez az AutoClose automatikus makrót használja, a Word minden nyelvi változatában életképes.

FormatC Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye

---81 bájt ----


----Fertõzött dokumentum megnyitása ---


C: meghajtó formázása Csak gyûjteményekben fordul elõ


AutoOpen Igen

Részletes leírás: A FormatC nem makróvírus, hanem az elsõ WordBasic nyelvben megírt trójai program. Usenet hírcsoportokba postázták a példányait, de romboló hatása és a terjedés hiánya miatt soha nem terjedt el, és valószínûleg a jövõben sem fog. A FormatC egyetlen makróból, az AutoOpen-bõl áll. A fertõzött dokumentumot megnyitva aktivizálódik a romboló rutin, amely azonnal megkezdi a C: meghajtó feltétel nélküli formázását a "Format C: /U" parancsnak egy minimalizált DOS-ablakban való lefuttatásával. Mivel a makróját nem másolja, egyetlen módon kerülhet a gazdagépre, ha valaki letölt vagy kap egy, a trójaival fertõzött dokumentumot.

Friendly.A

Összefoglalás:

Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Friends 9867 bájt 1996 május Németország Word dokumentumok és sablonok Szöveges üzenetek megjelenése Fertőzött dokumentumok megnyitása Dokumentumok megnyitása, mentése, új dokumentum létrehozása A Little_Brother.385 DOS-vírus szabadon eresztése Csak vírusgyűjteményekben fordul elő


Makrók:

Abbrechen AutoExec AutoOpen Cancel DateiBeenden DateiNeu DateiOeffnen DateiSchliessen DateiSpeichern DateiSpeichernUnter

ExtrasMacro ExtrasMakro Fast FileExit FileNew FileOpen FileSave FileSaveAs Infizieren Talk Titkosított:


Részletes leírás: A Friendly.A egy Nightmare Joker álnevűnémet vírusírótól származik. Kísérletet tesz arra, hogy ugyanaz a vírus a Word több nyelvi verziója (jelen esetben az angolszász és a német) alatt is életképes legyen. Ennek érdekében a minden nyelvben ugyanúgy nevezett automatikus makrókon felül a Word menüparancsokat eltéríteni célzott makrókból létezik angol illetve német nevűváltozat is a vírusban (FileNew-DateiNeu, FileExit-DateiBeenden, FileOpen-DateiÖffnen, FileSave-DateiSpeichern, FileSaveAs-DateiSpeichernUnter). A vírus a fertőzött dokumentum megnyitásakor aktivizálódik. Először ellenőrzi, hogy megfertőzte-e már a rendszert. Rendhagyó módon nem a makróinak jelenlétét ellenőrzi a NORMAL.DOT-ban, hanem a WIN.INIből kiolvassa a Friends szekció alatti Author kulcsszó értékét. Amennyiben ez nem "Nightmare Joker", fertőzetlennek tekinti a rendszert, és most már beállítja a fertőzöttségi jelzőhelyes értékét, majd bemásolja makróit a globális sablonba. A további terjedés kiváltója a dokumentumok mentése, bezárása, létrehozása, megnyitása, a Word-ból való kilépés illetve valamely Word tevékenység megszakítása az ESC billentyűvel. A vírus nem ellenőrzi, hogy a kiszemelt dokumentum fertőzött-e már, egyszerűen bemásolja a makróit. Ha a globális sablon fertőzésekor vagy dokumentum mentésekor rendszeróra másodperceinek értéke 2-nél kisebb, a vírus előállít egy, a Little_Brother.385 DOS-vírust tartalmazó DEBUG-scriptet, majd a DOS DEBUG parancsának meghívásával legyártja a vírust a C:\DOS könyvtárba, majd az AUTOEXEC.BAT végére beír egy sort, amely a következőrendszerindításkor lefuttatja ezt a vírust. A fertőzés után, amennyiben május elseje már elmúlt, a legelsődokumentum létrehozása, mentése vagy megnyitása során a vírus megjelenít négy üzenetablakot. A szöveg attól függően, hogy angol vagy német nyelvűrendszeren fut a vírus (ezt onna dönti el, hogy a német rendszerekben a Windows-ban beállított valuta általában a DM), angol vagy német nyelvűlesz. Az elsőablak tartalma: "Hallo mein Freund!" "Ich bin der << Friends >> Virus und wie heiát du?" ugyanez angolul: "Hello my Friend!" "I'm the << Friends >> Virus and how are you?" Ezután a vírus bekéri a felhasználó nevét: "Gib doch bitte anschlieáend unten deinen Namen ein:"

ugyanez angolul:

"Can you give me your name, please?" Végül egy utolsó üzenettel megnyugtatni szándékszik mindenkit, azt állítva, hogy az általa kibocsátott DOS vírus csak egy billentyűzetgyorsító program: "Also ..... ich habe eine gute und eine schlechte Nachricht fuer dich!" "Die schlechte Nachricht ist, daá ich mich auf deiner Platte eingenistet" "habe und die gute ist, daá ich aber ein freundlicher und auch nuetzlicher" "Virus bin. Druecke bitte OK fuer Weiter!" "Wenn du mich nicht killst, dann fuege ich ein Programm in deine" "Autoexec.bat ein, daá deine lame Tastatur etwas auf Touren bringt." "Also ...., gib dir einen Ruck und kill mich nicht. Goodbye!"

ugyanez angolul: "Hello .. I have a good and a bad message for you! The bad message is that" "you have now a Virus on your Harddisk and the good message is that I'm" "harmless and useful. Press OK!" "If you don't kill me, I will insert a programme in your AutoExec.bat thats" "your Keyboard accelerated. Please .... don't kill me. Goodbye!" Ez az üzenetsor csak a legelsőalkalommal jelenik meg. Január elsején a vírus az alábbi újévi üdvözletet jeleníti meg: Ein gutes neues Jahr !

Ha a vírus aktív, akkor az Extras|Makro menüpont (a Tools|Macro angol megfelelője) kiválasztásakor két üzenetablak jelenik meg az alábbi tartalommal: "Du kannst das nicht tun!" "Ich bin sehr aengstlich!" "Hallo mein Freund!" "<< Friends >> Virus" (magyarul:) "Ezt nem teheted!" "Nagyon izgatott vagyok!" "Helló barátom!" "<< Friends >> Vírus" Feltehetően az angol változatban is ezt a hatást tervezte a vírusíró, de mivel a ToolsMacro név helyett EztrasMacro néven szerepelteti a megfelelőmakrót, ott ez a hatás elmarad.

FutureNot.A Összefoglalás: Egyéb nevei Effektív hossz

Anti-IVX Változó


1997 -Word dokumentumok és sablonok


--Fertõzött dokumentumok megnyitása Dokumentumok mentése ---

Elterjedettsége

Csak vírusgyûjteményekben található

Vírus összetétele: Makrók:

AutoOpen (csak a dokumentumokban) FileSaveAs (csak a NORMAL.DOT-ban) +AutoOpen egy másolata a NORMAL.DOT-ban változó néven

Titkosított:

Nem titkosított

Részletes leírás: A FutureNot.A volt a legelsõ valódi polimorf makróvírus, amely már nem csak a makróinak a neveit, hanem azok tartalmát is megváltoztatta. A vírus aktivizálódására fertõzött dokumentumot megnyitásakor kerül sor. Ekkor az AutoOpen makrója indul el. Ellenõrzi, megfertõzte- már korábban a globális sablont, amit úgy dönt el, hogy megkeresi benne a FileSaveAs makrót. Ha ilyet talál, akkor fertõzöttnek ítéli a NORMAL.DOT-ot, és befejezi a futását. Ha nem, akkor kiválaszt egy véletlenszerûen kiválasztott karakterekbõl összerakott 5 betûs nevet, és azon a néven elmenti magát a globális sablonba. Majd természetesen ezt az új nevet be kell helyettesíteni a víruskódban már jelenlevõ véletlenszerû név helyébe (emiatt, mivel a vírus dinamikusan módosítja a saját kódját, a FutureNot.A nem használhat titkosított vírusmakrókat). Ezután egy találomra kiválasztott helyre beszúr egy megjegyzést, melynek szöveg "1 Gen". Ennek a vírus viselkedése szempontjából semmi jelentõsége nincs, de a globális sablon minden fertõzésekor megteszi ezt, megszámlálásukból kideríthetjük, hogy hány gépet fertõzött meg a bestia, amíg a mi számítógépünkig eljutott. És emiatt van az, hogy a víruskód effektív hossza fertõzásrõl fertõzésre változik. Az AutoOpen makró mutálásáért felelõs programrészlet az alábbi: For q = 1 To 5 w$ = w$ + Chr$(Int(Rnd() * 26) + 65) Next q EditReplace .Find = "GGMZW", .Replace = w$, .Direction = 0, .MatchCase = 0, .WholeWord = 0, .PatternMatch = 0, .SoundsLike = 0, .ReplaceAll, .Format = 0, .Wrap = 1 w$ = "" For q = 1 To 3 w$ = w$ + Chr$(Int(Rnd() * 26) + 97) Next q w$ = w$ + "$" EditReplace .Find = "jqp$", .Replace = w$, .Direction = 0, .MatchCase = 0, .WholeWord = 0, .PatternMatch = 0, .SoundsLike = 0, .ReplaceAll, .Format = 0, .Wrap = 1 ParaDown Int(Rnd() * 50) + 1 Insert "'1 Gen" InsertPara

A következõ lépés a FileSaveAs makró létrehozása, amely a vírus terjedését hivatott szolgálni. Ezt a makrót a FurureNot.A soronként szerkeszti össze (ezért mivel az utasításokat szövegesen, és nem tokenesen tárolja, csak az angolszász Word változatokban életképes a vírus), majd egy kis mutációt is belecsempész. Beszúr két véletlenszámot, majd a kettõ közé pedig véletlenszerûen 2 és 7 közötti számú soremelést. A további dokumentumokba való terjedésre azok mentésekor kerül sor. Ekkor a vírus minden ellenõrzés nélkül a dokumentumba másolja a globális sablonból az AutoOpen makrót. A vírus semmi károsat nem csinál, csak minden fertõzés után az áldozatul esett dokumentum könyvtárában létrehoz egy IVX.NOT nevû szöveges file-t, melynek tartalma egyetlen mondat: IVX detects all macro viruses, past, present and future. (Az üzenet kis fricska azon vírusirtókat gyártók felé, amelyek reklámozási okokból nem egészen helytálló módon felüldícsérik és mindenhatónak titulálják saját terméküket.) Ezután végignézi az AUTOEXEC.BAT tartalmát, és ha talál benn olyan sort, amely tartalmazza a NORMAL.DOT stringet (a globális sablon AUTOEXEC.BAT-ból való automatikus írásvédetté tétele egy eléggé kezdetleges, nem túl biztonságos viszont rendkívül kényelmetlen módja a makró vírusok visszaszorításának), beszúrni a végére egy sort, amely megszünteti a NORMAL.DOT írásvédettségét .

Goldfish.A Összefoglalás:

Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Fishfood 1906 bájt 1996 július USA Word dokumentumok és sablonok Üzenetablakok megjelenése Fertõzött dokumentumok megnyitása vagy bezárása Fertõzött dokumentumok megnyitása vagy bezárása --Csak vírusgyûjteményekben fordul elõ



AutoOpen AutoClose Mindkét makró titkosított

Részletes leírás: A vírus fertõzött dokumentumok megnyitásakor aktivizálódik. Ellenõrzi, hogy a globális sablonban jelen van-e az AutoOpen és az AutoClose makró, és ha valamelyik is hiányzik, akkor megfertõzi a NORMAL.DOT-ot.

Ennek során a makróvírusoknál ritkán látható módon nem írja felül a glbális sablonban már megtalálható, a víruséval azonos nevû AutoOpen vagy AutoClose makrókat. Emiatt könnyen elõfordulhatna, hogy a vírus más makróvírusokkal vagy egyéb makróprogramokkal kombinálódik, azonban ez a veszély a GoldFish ritkasága miatt csak elméleti. Ha valamelyik makró hiányzik, akkor azt vírus újramásolja, ezzel primitív önjavító funkciót is megvalósít. A fent elmondottak érvényesek a dokumentumok fertõzésére is: ha egy kiszemelt dokumentumban a két vírusmakró valamelyike nincs jelen, akkoe azt kipótolja a vírus. Minden aktivizálódás vagy fertõzés esetében 1:500 eséllyel egy üzenetablakot jelenít meg a vírus az alábbi szöveggel: "I am the GoldFish, I am hungry, feed me." (magyarul) "Én vagyok az aranyhal, éhes vagyok, etess meg." A párbeszédablak addig nem tûnik el, amíg a fishfood, worms, worm, pryme, core szavak valamelyikét be nem gépelik..

Helper.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---409 bájt 1996. december


-Word dokumentumok és sablonok Dokumentumok jelszóval védése


Fertõzött dokumentumok bezárása Dokumentumok bezárása --Ritka


AutoClose Igen

Részletes leírás: A Helper.A meglehetõsen egyszerû makróvírus, amely kódjának a vázát a DMV.A-tól kölcsönözte. Ez nem lehet véletlen egybeesés, mert még a kódban használt változónevek is rendre megegyeznek. A vírus aktivizálódására fertõzött dokumentumok bezárásakor kerül sor. Az AutoClose makróban futó kód ekkor elõször ellenõrzi, hogy a globális sablonban létezik-e már AutoClose nevû makró, és ha ilyet nem talál, akkor fertõzetlennek ítélve a rendszert bemásolja makróját a NORMAL.DOT-ba. Ettõl a pillanattól kezdve minden bezárt dokumentumot megfertõz. Nem ellenõrzi pontosan, hogy a dokumentum tartalmazza-e a vírust, csak annyit néz meg, hogy van-e benne már bármilyen makró. Ha ilyet talál, akkor a dokumentumot békén hagyja, egyébként megfertõzi azt az AutoClose makró bemásolásával. Ily módon a vírus semmi olyan dokumentumot nem támad meg, ami bármilyen makróvírust vagy hasznos makróprogramot tartalmaz.

Amennyiben a dokumentum bezárására októberben kerül sor, a vírus a dokumentumot a "help" jelszóval védve menti el.


Helper.B: az alapvariánsnál sokkal eltrejedtebb. Annyiban különbözik tõle, hogy programozási hiba miatt a jelszóval védés ebben a változatban nem mûködik.

LBYNJ Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

Tele, Telefonica 22256 bájt 1996 április


Németország Word dokumentumok és sablonok Kinyomtatott dokumentumok végére szöveg kerül Fertõzött dokumentumok megyitása


Dokumentumok megnyitása, létrehozása vagy bezárása --Csak vírusgyûjteményekben fordul elõ


Makrók:

Titkosított:

AutoExec AutoOpen DateiBeenden DateiDrucken DateiNeu DateiOeffnen Telefonica Az összes makró titkosított

Részletes leírás: Az LBYNJ.A vírus a korábbi német makróvírusoktól (különösen a Xenixos.A-tól) kölcsönözte kódjának egyes részeit. A vírus aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Ekkor az AutoOpen makró indul el, ami semmi mást nem tesz, mint meghívja az ugyancsaka vírushoz tartozó AutoExec makrót. Ez elsõ lépésben ellenõrzi, hogy a win.ini "Compatibility" szekciójában mi a "0x0030303" kulcs értéke. Ha ez éppen "0x0030303", akkor a vírus békén hagyja a rendszert (ez minden bizonnyal azt a célt szolgálta, hogy bizonyos gépeket meg lehessen óvni a vírusfertõzéstõl).. Ha a kulcsnak nem ez az értéke, vagy egyáltalán nem létezik, akkor a vírus ellenõrzi, hogy a globális sablon fertõzött-e már. Ha még nem az (amit onnan állapít meg, hogy létezik-e benne a vírushoz tartozó Telefonica makró), akkor bemásolja makróit. Ettõl a pillanattól kezdve minden dokumentum megnyitásakor, bezárásakor vagy újonnan létrehozásakor a víus minden ellnõrzés nélkül azonnal megfertõzi azt. A globális sablon fertõzése után, illetve a megnyitása során történõ fertõzés után a vírus meghívja a Telefonica nevû makróját. Ez, amennyiben az adott perc elsõ másodpercében járunk, a DOS DEBUG parancsának segítségével szabadjára engedi a Kampana.3785 DOS vírust. Ehhez a vírustestben eltárolt DEBUG scriptet kimenti C:\DOS\TELEFONI.SCR néven, majd ugyanebben a könyvtárban léterhoz egy TELEFONI.BAT fájlt,

ami a fenti scriptet a DEBUG parancsanak továbbítja. Ennek eredményeképpen megszületik a C:\DOS könyvtárban a TELEFONI.COM program, amit az elõbbi batch fájl az utolsó parancsával elindít. A vírus a terjedéshez a német Word menüparancsaihoz rendelt nevû makróit használja. Emiatt csak a német Word változatban képes továbbterjedni, minden egyéb környezetben csak a globális sablont fertõzi meg, és a DOS vírust dobja el. Amennyiben egy dokumentum nyomtatása az adott perc 10. másodperce elõtt történik, a vírus az alábbi sort illeszti a kinyomtatandó dokumentum végére: Lucifer by Nightmare Joker (1996) Ez a sor a nyomtatásban is megjelenik.

Maddog.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---4209 bájt 1996 július


USA Word dokumentumok és sablonok --Fertõzött dokumentumok megnyitása


Dokumentumok bezárása --Csak vírusgyûjteményekben fordul elõ


AutoOpen AutoClose AutoExec FileClose FCFinish AOpnFinish

Titkosított:

Nem titkosított

Részletes leírás: A Maddog.A aktivizálódása fertõzött dokumentumok megnyitásakor történik. Ekkor a vírus AutoOpen makrója bemásolja az össze vírusmakrót a globális sablonba. Érdekes módon ezután lefuttatja az AOPNFinish makrót, ami pusztán annyit csinál, hogy az AutoOpen makrót ismét bemásolja a NORMAL.DOT-ba. Minden pusztán azzal magyarázható, hogy a vírusíró tévesen azt hitte, hogy az éppen futó AutoOpen makró nem képes önmagát másolni minden esetben. Ettõl kezdve a vírus minden becsukásra kijelölt dokumentumot megfertõz. Ugyancsak minden ellenõrzés nélkül a FileClose makró bemásolja az összes vírusmakrót a célpontként kiszemelt dokumentumba. Ha valamely dokumentumot vagy a Word-öt magát este 8 és 9 óra között zárnak be, a vírus az éppen aktív dokumentumban az összes 'e' betût kicseréli 'a' betûkre. Minden bizonnyal a vírusíró ezt a részletet Word 7.0ban makrórögzítéssel vette fel, mert olyan, általában nem használt opciókat használ, ami a korábbi Word verziókban nem szrepelt. Emiatt Word 6.0 alatt a vírus csupán hibaüzenetet jelenít meg a csere helyett.

Magnum.A Összefoglalás: Egyéb nevei

----


31383 bájt 1996 Németország

Célpontok

Word dokumentumok és sablonok Tools|Macro (angol) és Extras|Makro (német) menüpontok kiválasztásakor hibaüzenet jelenik meg

Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Szóköz billentyû lenyomása Szóköz billentyû lenyomása --Csak vírusgyûjteményekben fordul elõ


Magnum ExtrasMakro ToolsMacro

Titkosított:

Mindegyik makró titkosított

Részletes leírás: A Magnum.A a makróvírusok azon kis csoportjába tartozik, melyek aktivizálódásukat és terjedésüket a Word makrókhoz rendelhetõ billentyûkombinációkra alapozzák. Minden valószínûség szerint a számos más német makróvírus szerzõjeként ismert Nightmare Joker álnevû vírusíró terméke. A vírus aktivizálódására a szóköz lenyomásakor kerül sor. Ekkor a vírus elõször beszúr egy szóközt az aktuális dokumentum aktuális pozíciójára, majd ellenõrzi, hogy a globális sablon fertõzött-e már. Amennyiben nem (ezt onnan dönti el, hogy létezik-e benne már Magnum nevû makró), akkor belemásolja makróit, majd megjelenít egy üzenetablakot a "MaGnUm" szöveggel. Ezután ellenõrzi, hogy a magával cipelt HLLO.Havoc DOS vírust elszabadította-e már ezen a gépen. Ameennyiben a win.ini-ben az [DOS Virus] szekcióban a Installed értéke nem Yes, a vírus egy DEBUG-script segítségével létrehozza a DOS vírust tartalmazó rejtett, rendszerattribótumokkal ellátott C:\HTC.COM állományt, majd az AUTOEXEC.BAT végére illesztett @echo off htc.com cls sorokkal elintézi, hogy a következõ rendszerindításkor leinduljon. Ettõl kezdve minden dokumentumot megfertõz, amennyiben a dokumentum az éppen aktív ablakban van és a szóköz billentyût lenyomják. Elõször azt ellenõrzi, hogy a kiszemelt dokumentum fertõzött-e már. Amennyiben nem (ezt onnan dönti el, hogy létezik-e benne már Magnum nevû makró), akkor belemásolja makróit. Április 13-án minden szóköz lenyomáskor a vírus egy új dokumentumot hoz létre az alábbi tartalommal:

Schon mal im blasen Mondlicht mit dem Teufel getanzt? ;-)) The Magnum Virus! NJ 1996 A Magnum.A meglehetõsen fejlett rejtõzködõ vírus. A Tools|Macro parancsot (és annak német megfelelõjét) a saját makrójával helyettesíti, amely egy az eredetihez teljesen hasonlító párbeszédablakot produjál, csak éppen a Cancel kivételével minden gomb lenyomásakor hibaüzenet jelenik meg, melynek szövege a német verzióban Nicht genügend Arbeitsspeicher! az angoléban pedig Not enough memory! A vírus eltávolítása során nem elég csupán a vírusmakrók törlésére ügyelni, hanem vissza kell állítani az eredeti billentyûkombinációt is, különben a szóköz billentyû lenyomásakor csak egy sípoló hang fog válaszolni, de a szóköz nem jelenik meg a szövegben.

MDMA.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Stickykeys, MDMA_DMV 1635 bájt 1996 július USA Word dokumentumok és sablonok Rendszerbeállítások változása Fertozött dokumentum bezárása Dokumentumok bezárása Rendszerfájlok törlése Gyakori


AutoClose Igen

Részletes leírás: Az MDMA.A volt az elso makróvírus, amely a Word valamennyi létezo platformján (Windows, Windows 95, Macintosh és Windows NT) egyaránt életképes, sot a vírusíró eredeti szándéka szerint minden platformra külön romboló rutint indított volna el. Programozási hiba miatt azonban minden alkalommal csak a Windows95 alá szánt romboló eljárás indul el, ami a azonban részben Windows NT és Windows 3.x alatt is pusztít.Egy másik apró programozási figyelmetlenség miatt csak az angolszásszal kompatibilis nyelvi verziókban muködoképes.

A vírust tartalmazó dokumentum bezárása során történik az aktivizálódás. Ennek elso lépésében a vírus ellenorzi az AutoClose makró esetleges jelenlétét a globális sabloban. Ha ott megtalálja, akkor azt már fertozöttnek ítélve békén hagyja. Ha a makró nincs jelen, akkor a vírus bemásolja saját AutoClose makróját. Minden további dokumentum megfertozése azok bezárásakor történik. Az MDMA.A eloször ellenorzi a dokumentumokban az AutoClose makró jelenlétét, és ha azt nem találja, akkor fertozetleneknek gondolva azokat bemásolja saját makróját. Ha a fertozései aktusra valamely hónap elso napjén kerül sor, a vírus aktiválja romboló rutinját. Eloször a rendszerinfomrációk lekérdezésébol megállapítja az operációs rendszer nevét, és ettol függo büntetorutinokat aktiválna. Windows alatt a "c:\shmk." könyvtár tartalmát törölné, és a "deltree /y c:" sort illesztené a autoexec.bat végére, ami a C: meghajtón található összes könyvtárat törölné. Windows NT alatt az aktuális könyvtár és a "c:\shmk." könyvtára tartalmát törölné. Macintosh alatt a merevlemezen található összes állományt törölné a vírus. Windows 95 alatt a "c:\shmk." könyvtár tartalmát törli a vírus, továbbá a "c:\windows" könyvtárban levo összes súgó állományt és a "c:\windows\system" könyvtárban az összes Control Panel-beli elemet. Ezután a regisztrációs adatbázisban végez változtatásokat, amelyek eredményeképpen a Netware hálózatba való bejelentkezéskor letiltja a login script futtatását, ezen kívül a Desktop kontrasztját megnöveli (amitol az gyakorlatilag fekete alapon fehér betukkel való megjelenítésre vált át), és a SHIFT, CONTROL és ALT billentyuk hatását ogy mídosítja, hogy azok egyszeri lenyomás után lenyomott állapotban maradjanak. Programozási miatt mindig a Windows95 alá szánt rutin kísérli meg futtatni, amely Macintosh alatt teljesen hatástalan, Windows 3.x és Windows NT alatt pedig a fájltörlések akkor muködnek, ha a windows nevu könyvtárba lett telepítve Windows megfelelo verziója. Windows 3.x alatt a rendszerbeállítások változtatása teljesen hatástalan. Mindenzen károkozás után az MDMA.A megjelenít egy üzenetablakot MDMA_DMV címmel és az alábbi tartalommal: You are infected with MDMA_DMV. Brought to you by MDMA (Many Delinquent Modern Anarchists)

Mentes Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

---3820 bájt 1998. Magyarország Word 6.0/7.0 DOC fájlok Tools|Macro menüpont blokkolása Fertõzött dokumentum megnyitása, mentése vagy bezárása Fertõzött dokumentum megnyitása, mentése vagy bezárása Dokumentumok tartalmának ellopása Magyarországon elterjedt


Makrók:

Titkosított:

Killer AutoClose FileSave FileSaveAs ToolsMacro AutoExec DocClose ListMacros FielOpen AutoOpen Mind a 10 makró titkosított

Részletes leírás: A Mentes nyilvánvalóan Magyarországon fejlesztett és a büntetõrutinjából ítélve egy speciális hálózati konfigurációra felkészített vírus, amelyet Magyarországon több helyen is észleltek. A Killer makró a legnagyobb valamennyi közül, ez tartalmazza a MENTES és TERJED nevû eljárásokat, amelyek a vírus terjedéséért felelõsek. A FileSaveAs, FileSave, DocClose, FileOpen és AutoOpen makrók a globális sablon és a dokumentumok megfertõzéséért felelõsek. A makróvírusok legnagyobb problémája az, hogy lévén sablonná kovertált dokumentumok, a Save As... menüponttal mentve (Word 6 esetében) csak a sablonok kijelölt könyvtárába lehet õket elmenteni. Ezt a Mentes úgy oldja meg, hogy a fertõzött dokumentum mentésekor létrehoz egy teljesen új dokumentumot, ami nem a globális sablonon, hanem az eredeti fertõzött dokumentumon alapul (ezáltal annak teljes tartalma átkerül bele), majd ezt (lévén közönséges dokumentum) már báshova el lehet menteni. A mentés után pedig a vírus megfertõzi az újonnan létrehozott dokumentumot, és bezárja az eredetit. Ezen felül az AutoOpen és a FileOpen makrók a vírus részleges önmegsemmisítõ és önblokkoló funkcióját is megvalósítják.Ha a Windows könyvtárában létezik egy MY.INI nevû állomány, és abban a [Word Info] szekció alatt a Kod nevû kulcs értéke éppen aaa, akkor a Mentes nem fertõzi meg a globális sablont és egyetlen további dokumentumot sem. Ezen felül a már fertõzõtteket megkísérli megtisztítani. Ez programozási hiba eredményeképpen csak részlegesen siekrül, a NORMAL.DOT-ban bennemarad a Killer és a FileOpen makró, a dokumentumokban pedig az AutoOpen és a Killer makrók. Az eredményül kapott csonka vírusok már nem életképesek, továbbterjedésre képtelenek. A ToolsMacro és a ListMacros makrók a vírus rejtõzködését hivatottak biztosítani. A Tools|Macro menüpont kiválasztásakor az alábbi üzenetablakot jelenteti meg:

A ListMacros makró ugyanezt az ablakot jelentetné meg, de mivel az nem egy belsõ Word parancshoz tartozik, hanem a makrószerkesztõ ablakban az éppen szerkesztett makrókat tartalmazó legördülõ ablakot reprezentálja, soha nem aktivizálódik. Az AutoClose makró tartalmazza a vírus büntetõ rutinját. A C:\LOGIN.SYS fájlba gyûjti össze a vírus egymás után elhelyezve minden elmentett dokumentum esetében a dokumentum nevét, a becsukás dátumát és idejét valamint a dokumentum lesõ 65281 bájtját. A dokumentum becsukásakor tehát elõször a C:\LOGIN.SYS végére illeszti a fenti információt, majd megkísérli a fájlt feltölteni a \\HS_WORKH\COMMON\STUDENT\TEMP hálózati könyvtárba. Ott az Archive.a10, ... Archive.a50 nevû

állományokat körpufferként használva az éppen aktuálist felülírva tölti fel az ellopott adatokat. A körpufferbeli pozíciót (ami nem más, mint az éppen aktuális kiterjesztés) a hálózati meghajtó gyökérkönyvtárában levõ PROG.INI fájl tartalmazza. Ha a számítógép nincs a hálózatra kötve, vagy nem arra van csatlakoztatva, amelynek adatait a vírusíró el akarta rabolni, akkor az alábbi üzenetablak jelenik meg, és a C:\LOGIN.SYS fájlba gyûlnek folyamatosan az információk a bezárt dokumentumokból, egészen addig, amíg a teljes szabad lemezterületet el nem foglalja ez az állomány.

Moon.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---14859 bájt 1996 november

Keletkezés helye

Németország

Célpontok

Word dokumentumok és sablonok Tools|Macro (angol) és Extras|Makro (német) menüpontok kiválasztásakor hibaüzenet jelenik meg


Szóköz billentyû lenyomása 'e' billentyû lenyomása ---

Elterjedettsége

Csak vírusgyûjteményekben fordul elõ


ToolsMacro ExtrasMakro +3 változó nevû makró

Titkosított:


Részletes leírás: A Moon.A lényegében a vírusszerzõ két korábbi vírusának, a Magnum.A-nak és az Outlaw.A-nak a kombinálásából született. Az utóbbihoz hasonlóan változó nevû makrókat használ. Maga az effektív víruskód nem változik, csak az azt hordozó makrók nevei. Két különbözõ megfertõzött dokumetum esetében teljesen más néven tárolódik maga a vírus. Annyi szabályosság figyelhetõ meg, hogy a hat betûs név elsõ két karaktere a fertõzés órájának megfelelõ betûkód, a többi négy szám viszont már teljesen véltelenszerû. Fertõzött dokumetumok esetében a dokumentumhoz csatolható paraméterváltozókban (VirName,

VirNameDoc, VirNamePayLoad), a fertõzött globális sablon esetében pedig a win.ini néhány beírása (az [intl] szekciókban a Name, Name2 és Name3 kulcsok értékei) szolgál tároló eszköz gyanánt. Az aktivizálódásra a szóköz lenyomásakor kerül sor, amennyiben az aktív ablakban éppen fertõzött dokumentum van. Elõször a vírus ellenõrzi, hogy a win.ini-ben az Intl szekció alatt Name kulcsszó alatt bejegyzett makró megtalálható-e. Ha nem találja ezt a kulcsot, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a NORMAL.DOT-ba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül bejegyzi a win.ini-be ezeket az új neveket. A további dokumentumokba való terjedéshez az "e" billentyû lenyomásakor kerül sor. Elõször a vírus ellenõrzi, hogy a kiszemelt dokumentum VirNameDoc paraméterváltozójában bejegyzett makró megtalálható-e. Ha nem találja ezt a változót, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a dokumentumba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül elmenti a paraméterváltozókba ezeket az új neveket. A Tools|Macro parancsot (és annak német megfelelõjét, az Extras|Makro-t) a saját makrójával helyettesíti, amely egy az eredetihez teljesen hasonlító párbeszédablakot produjál, csak éppen a Cancel kivételével minden gomb lenyomásakor hibaüzenet jelenik meg, melynek szövege a német verzióban Nicht genügend Arbeitsspeicher! az angoléban pedig Not enough memory!

Az 'e' billentyû lenyomásakora rendszerdátumtól függõen a vírus több zavaró rutint is elindíthat:

október 10-én létrehoz egy dokumentumot az alábbi tartalommal: You are infected with the MooNRaiDer Virus! Greetings to all members of Vlad! I hope that's not the end! The scene would be to boring without this very good group! Nightmare Joker minden más napon pedig ellenõrzi a win.ini [Vlad] szekciójában levõ Goodbye kulcs értékét. Amennyiben ez nem Yes, DEBUG script segítségével létrehozza a Quark.860 nevû DOS vírust tartalmazó goodbye.com állományt, majd az AUTOEXEC.BAT végére beírja az ezt elindító sorokat: @echo off goodbye.com A vírus eltávolítása során nem elég csupán a vírusmakrók törlésére ügyelni, hanem vissza kell állítani az eredeti billentyûkombinációt is, különben a szóköz billentyû lenyomásakor csak egy sípoló hang fog válaszolni, de a szóköz nem jelenik meg a szövegben. Megjegyzés: A Quark.860 vírust az ausztrál VLAD vírusíró csoport egy tagja írta. Ez a csoport nem sokkal a Moon.A születése elõtt szûnt meg, a vírusíró minden valószínûség szerint nekik akart emléket állítani.

Nasty.A

Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

---Változó 1997 április Szlovákia Word dokumentumok és sablonok Menüpontok eltûnése Fertõzött dokumentumok megnyitása Dokumentumok mentése --Csak vírusgyûjteményekben létezik

Vírus összetétele: AutoOpen (csak dokumentumokban) ToolsMacro (csak a NORMAL.DOT-ban) FileSave (csak a NORMAL.DOT-ban) Titkosított: Nem titkosított Makrók:

Részletes leírás: A Nasty.A vírust Word 7.0 alatt fejlesztették. Mivel felhasználja az EditReplace parancs olyan paramétereit, amelyek csak ebben a verzióban léteznek, azon kevesek egyike, amelyek csak Word 7.0 mûködõképesek, Word 6.0 alatt nem. A vírus szerzõi minden jel szerint ugyanazok, akik a Slow.A vírust is írták. A fertõzött dokumentumok egyetlen AutoOpen makróból állnak, így a vírus a dokumentumok megnyitásakor aktivizálódik. A vírus ellenõrzi, hogy a globális sablonban van-e már FileSave makró, és ha nem talál. akkor azt fertõzetlennek ítélve megfertõzi, két makrót, a FileSave és a ToolsMacro nevût létrehozva. A globális sablonban jelenlevõ két makrómodul lényegében azonos tartalommal rendelkezik. Ezek a makrók azonban csak a vírusnak egy töredékét tartalmazzák, a lényegi vírustest egy AutoText bejegyzés formájában tárolódik. (Ezek a bejegyzések a felhasználó által definiálható "gyorsírási" rövidítések tárolására szolgálnak). A fertõzés során ezt a bejegyzéként tárolt kódot egy ideiglenes makróba másolja a vírus, majd azt futtatva történik meg maga a fertõzés. A vírustest soronként létrehozza az imént említett makrókat, mégpedig úgy, hogy minden sor után egy véletlenszerûen kiválasztott, lényegi hatás nélküli sort szúr be (ezek vagy egy soha nem használt változónak adnak véletlenszerû értéket, vagy a dátomut töltik be egy soha fel nem használt változóba vagy egy véletlenszerû megjegyzést szúrnak be). Így a vírusmakró látható része minden fertõzésnél teljesen más és más lesz. A vírus felhasználja, hogy a Word parancsok paraméterei tetszõleges sorrendben megadhatóak. Így például egy makrót megnyitni az alábbi 6 forma bármelyikével lehetséges. 1. ToolsMacro .Edit, .Name="XXXX", .Show=0 2. ToolsMacro .Edit, .Show=0, .Name="XXXX" 3. ToolsMacro .Name="XXXX", .Edit, .Show=0 4. ToolsMacro .Name="XXXX", .Show=0, .Edit 5. ToolsMacro .Show=0, .Name="XXXX", .Edit 6. ToolsMacro .Show=0, .Edit, .Name="XXXX" A vírus fertõzéskor addig keveri a paraméterek sorrendjét, amíg azok teljesen véletlenszerûen nem következnek egymás után, jelentõsen megnövelve ezzel a lehetséges alakok számát. Legvégül természetesen átmásolja a vírustestet hordozó AutoText bejegyzést is. Pusztán önvédelem gyanánt a vírus eltávolítja a File|Templates és az Edit|AutoText menüpontokat, lévén ez az a két támadási pont, ahol az AutoText bejegyzések megvizsgálhatók illetve törölhatõk lehetnének. A Nasty minden megfertõzött dokumentum szerzõjének nevét írja át Nasty-re, kezdõbetûit pedig Ugly-ra. Mint

minden olyan vírus, amelyik soronként szerkeszti össze a makróit, a Nasty is csak abban a nemzeti verzióban (konkrétan az angolszászban - és az azzal lényegében ekvivalens magyarban is) életképes, miben megírták.

NF.A Összefoglalás: Egyéb nevei Effektív hossz

---286 bájt


1996 nyár USA Word dokumentumok és sablonok


Státuszsori üzenetek Fertõzött dokumentumok bezárása Dokumentumok bezárása


--Csak vírusgyûjteményekben létezik


nf AutoClose Mindkét makró titkosított

Terjedési séma Fertõzött dokumentum AutoClose nf

Globális sablon nf AutoClose

Részletes leírás: Az NF.A rendkívül egyszerû makróvírus. Aktivizálódására fertõzött dokumentumok bezárásakor kerül sor. Ekkor az AutoClose makró fut le, amely elõször ellenõrzi, fertõzött-e már a globális sablon. Ha a NORMAL.DOT-ban talát nf nevû makrót, akkor azt már fertõzöttnek gondolva békén hagyja, ellenkezõ esetben bemásolja makróit, de felcseréleve azokat, vagyis a dokumentumban AutoClose névre hallgató makró a lesz a globális a sablonban az nf makró, és megfordítva. Ezután a Word státuszsorában megjeleníti az "Infected!" szöveget. Ettõl kezdve minden éppen bezárt dokumentumot megfertõz a vírus. Minden ellenõrzés nélkül a dokumentumba másolja makróit, ismét felcserélve azok neveit. Ezután a Word státuszsorában megjeleníti a "Traced!" szöveget.


NF.B: lényegében megegyezik az alapvariánssal. Annyi a különbség, hogy a globális sablon fertõzésekor nem ellenõrzi annak fertõzöttségét, illetve ekkor is a "Traced!" üzenetet jeleníti meg a státuszsorban.

NPAD.A Összefoglalás: Egyéb nevei

DOEUnpad


1831 bájt 1996 március Bandung, Indonézia


Word dokumentumok és sablonok A státuszsorban gördülõ üzenet Fertõzött dokumentum megnyitása


Dokumentum megnyitása --Világszerte elterjedt


AutoOpen Igen

Részletes leírás: Az NPAD.A fertõzött dokumentumok megnyitásakor aktivizálódik. Elõször ellenõrzi, hogy a víruskód érintetlen maradt-e. Ehhez az vizsgálja meg, hogy a hordozó dokumentum vírust tartalmazó AutoOpen makrója megõrizte-e titkosított voltát. Ha valki belejavított volna, és ehhez elõször feloldja a tikosítást, akkor a vírus ezt érzékeli, és megakadályozza a globális sablon fertõzését. Ha a vírus érintetlen, akkor a NORMAL.DOT-ba másolja az AutoOpen makrót. A terjedés során ugyanezt az ellenõrzést elvégzi, és csak a titkosított makrót hajlandó másolni. A dokumentumokat csak akkor fertõzi, ha azok garantáltan dokumentum vagy sablon szerkezetûek, ezzel elkerüli a szövegfájlok vagy RTF állományok megtámadását. Az NPAD.A elsõ aktivizálódása során számlálót hoz létre a WIN.INI [Compatibility] szekciójában az NPAD328 név alatt. Minde fertõzési aktus során eggyel növeli ennek értékét, és ha ez eléri a 23-at, akkor lenullázza, majd (a fentiek értelmében minden 23. fertõzésnél) a Word státuszsorában végiggörgeti az alábbi üzenetet: D0EUNPAD94 v.2.21 (c) Maret 1996, Bandung, Indonesia A vírus a fentieken kívül semmi egyebet nem csinál, nem tartalmaz romboló hatású eljárásokat.

Nuclear.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek

---10556 bájt 1995 szeptember Ausztrália Word dokumentumok és sablonok Kinyomtatott szõveg végére üzenet kerül

Fertõzés elindítója Terjedés elindítója Romboló rutin

Fertõzött dokumentum megnyitása Dokumentum mentése ---

Elterjedettsége

Elterjedt

Vírus összetétele: AutoExec AutoOpen DropSuriv FileExit FilePrint FilePrintDefault FileSaveAs InsertPayload Payload


Minden makró titkosított

Részletes leírás: A Nuclear.A nem sokkal a Concept.A világszerte való elterjedése után bukkant fel. Különös pikantériája a helyzetnek, hogy eredetileg egy, a Concept.A vírusról szóló elemzést tartalmazó fertõzött dokumentumban próbálta meg a szerzõje elterjeszteni. Ez volt az elsõ makróvírus, amely a vírusszakértõk helyzetét megnehezítendõ titkosította makróit. A Nuclear.A fertõzött dokumentumok megnyitásakor aktivizálódik. Mielõtt megfertõzné a globális sablont, ellenõrzi, hogy jelen van-e már benne. E célra az AutoExec makrót használja: ha ezt megtalálja ott, akkor a NORMAL.DOT-ot fertõzöttnek nyilvánítja, ellenkezõ esetben bemásolja makróit. A további terjedés a dokumentumok Save As... paranccsal történõ mentésekor történik. Mivel a FileSaveAs makró az angol Word verzió menüparancsának nevét használja, a vírus csak az angolszász vagy azzal kompatibilis Word változatokban képes terjedni. Ennek során a Nuclear.A mindene ellenõrzés nélkül bemásolja makróit a célpontként kiszemelt dokumentumba. A globális sablon fertõzése után a vírus meghívja rombolónak szánt rutinját. Ez a DOS DEBUG parancsa és a vírusban tárolt DEBUG-script segítségével a Ph33R nevû, szintén Ausztráliában kifejlesztett DOS/Windows EXE programvírust szabadítaná el, de egy programozási hiba miatt ez az elszabadítás nem hajtódik végre. Egy második szándékozott romboló rutin minden év április 5-én a C:\IO.SYS", "C:\MSDOS.SYS" és "C:\COMMAND.COM állományokat törölné, ami az MSDOS operációs rendszerû gépek újraindítását ellehetetlenítené. Mivel azonban a futó makró nem képes rendszer-attribútummal ellátott fájlt törölni, ez a rutin sem fut le. Amennyiben valamely dokumentum nyomtatását bármely perc utolsó 5 másodpercében kezdeményezik, a Nuclear.A a kinyomtatandó szöveg végére odailleszti odailleszti az alábbi, a Csendes-óceáni francia nukleáris robbantások ellen tiltakozó szöveget: And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC Ez a szövegrészlet a nyomtatás után is megmarad a szóban forgó dokumentum végén.

Outlaw.A

Összefoglalás: Egyéb nevei

----


21410 bájt 1996 szeptember Németország


Word dokumentumok és sablonok Nevetõ hang a PC hangszóróján A szóköz billentyû megnyomása Az "e" billentyû megnyomása


--Csak vírusgyûjteményekben fordul elõ


3 változó nevû makró Nem titkosított

Részletes leírás: Az elsõ lépést a polimorf makróvíruok felé az Outlaw.A jelentette. Maga az effektív víruskód nem változik, csak az azt hordozó makrók nevei. Két különbözõ megfertõzött dokumetum esetében teljesen más néven tárolódik maga a vírus. Annyi szabályosság figyelhetõ meg, hogy az öt betûs név elsõ karaktere a fertõzés órájának megfelelõ betûkód, a többi négy szám viszont már teljesen véltelenszerû. Fertõzött dokumetumok esetében a dokumentumhoz csatolható paraméterváltozókban (VirName, VirNameDoc, VirNamePayLoad), a fertõzött globális sablon esetében pedig a win.ini néhány beírása (az [intl] szekciókban a Name, Name2 és Name3 kulcsok értékei) szolgál tároló eszköz gyanánt. A vírus új aktiválódási mechanizmust használ. Az automatikus makrók illetve a Word menüparancsok felüldefiniálása helyett a makrókhoz rendelhetõ billentyûkombinációkat használja. Az aktivizálódásra a szóköz lenyomásakor kerül sor, amennyiben az aktív ablakban éppen fertõzött dokumentum van. Elõször a vírus ellenõrzi, hogy a win.ini-be Name kulcsszó alatt bejegyzett makró megtalálható-e. Ha nem találja ezt a kulcsot, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a NORMAL.DOT-ba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül bejegyzi a win.ini-be ezeket az új neveket. A további dokumentumokba való terjedéshez az "e" billentyû lenyomásakor kerül sor. Elõször a vírus ellenõrzi, hogy a kiszemelt dokumentum VirNameDoc paraméterváltozójában bejegyzett makró megtalálható-e. Ha nem találja ezt a változót, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a dokumentumba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül elmenti a paraméterváltozókba ezeket az új neveket. A vírus zavaró rutinja Január 20-án indul aktiválódik. Mivel ez a rutin a Windows kernel egyes függvényeinek közvetlen hívásán alapul, csak Windows 95 alatt mûködik. Az Outlaw.A elõször egy új dokumentumot készít az alábbi tartalommal: You are infected with Outlaw A virus from Nightmare Joker. Majd a PC hangszóróján lejátszik egy nevetõ hangot. A hangot lejátszó programot a vírus tartalmazza, és a DOS DEBUG parancsa segítségével hozza létre és indítja el.


Outlaw.B :csak annyiban különbözik az Outlaw.A-tól, hogy titkosított makrókat használ, egyébként tökéletesen megegyeznek

Polite.A Összefoglalás: Egyéb nevei

WW2Demo


1918 bájt 1996 március USA Word 2 és Word 6/7 dokumentumok és sablonok


Üzenetablakok megjelenése Fertôzött dokumentum bezárása Dokumentum mentése


--Csak vírusgyüjteményekben létezik

Vírus összetétele: FileClose Makrók: Titkosított:

FileSaveAs Egyik makró sem titkosított

Részletes leírás: A Polite.A két szempontból is úttörônek számít. Ez volt az elsô olyan makróvírus, amerly Word 2.x alatt müködött, és ez volt az elsô makróvírus, amely teljes egészében az automatikus makrók nélkül müködött. A Polite.A eredetileg Word 2 alatt íródott, és Word 2 dokumentumokban képes terjedni. A Word 6/7 lefelé való kompatibilitása azonban a makrónyelvre is kiterjed, ezért ha egy Polite.A -val fertôzött dokumentumot Word 6tal nyitnak meg, akkor azt megfertôzi, és a továbbiakban Word 6 dokumentumokban terjed tovább. Visszafelé ez az út járhatatlan, a Word 6 dokumentumban levô Polite.A (bár a dokumentum tartalma a megfelelô konverterek révén Word 2 alat is olvasható) már nem képes a Word 2-t megfertôzni. A vírus aktivizálódására a fertôzött dokumentumok megnyitásakor kerül sor. Ekkor a vírus megjelenít egy üzenetablakot " Activization " címmel és a következô tartalommal: "I am alive!" Ezután a vírus minden ellenôrzés nélkül megfertôzi a NORMAL.DOT-ot. A vírus továbbterjedése a dokumentumok mentésekor történik. Elôször megjelenít egy üzenetablakot " Propagation of the virus " címmel és a következô tartalommal: "Shall I infect the file?"

A " No "gomb lenyomására a vírus megszakítja a fertôzést, a " Yes " gomb lenyomásakor pedig átmásolja a makróit a dokumentumba. Mivel a Polite.A a fertôzési rutinját az angol Word menüparancsait felüldefiniáló makrói tartalmazzák, a vírus csak az angolszász, illetve az azzal kompatibilis nyelvi verziókban életképes.

Saver.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---602 bájt 1996


Ausztria Word dokumentumok és sablonok Üzenetablak megjelenése


Fertozött dokumentum mentése Dokumentum mentése --Csak vírusgyujteményekben fordul elo


dateispeichern Titkosított

Részletes leírás: A Saver.A-t ugyanaz az osztrák szerzo írt, mint az Easy.A és a Spooky.A vírust. A vírus aktivizálódására fertozött dokumentumok mentésekor kerül sor. Amennyiben a vírus a globális sablonban nem talált dateispeichern makrót, akkor azt fertozetlennek véli, és belemásolja a saját dateispeichern makróját. Ettol kezdve minden elmentett dokumentumot megfertoz. Amennyiben a vírus a kiszemelt dokumentumban nem talált dateispeichern makrót, akkor azt fertozetlennek véli, és belemásolja a saját dateispeichern makróját. Ha bármelyik fertozési aktusra április 21-én kerül sor, a vírus megjelenít egy üzenetablakot az alábbi szöveggel: "Saver(SEX) written by Spooky. Austria 1996" Ezen a napon minden dokumentumentésen megjelenik a fent említett üzenetablak. Mivel a vírus a német Word menüparancsának megfelelo nevu makróval operál, ettol eltéro nyelvi környezetben teljesen életképtelen.

Sharefun.A Összefoglalás:

Egyéb nevei

----


1777 bájt 1997 USA


Word dokumentumok és sablonok Windows leállása, levelek küldése Fertozött dokumentumok megnyitása, bezárása, mentése Dokumentumok megnyitása, bezárása, mentése


--Ritka


Makrók:

Titkosított:

autoOpen FileClose AutoExec FileExit FileSave FileOpen FileTemplates ToolsMacro ShareTheFun Az összes makró titkosított

Részletes leírás: Amennyiben az automatikus makróvégrehajtás engedélyezett, a ShareFun.A aktivizálódása a fertozött dokumentumok megnyitásakor történik. Amennyiben óvintézkedés gyanánt az automatikus végrehajtás ki lett kapcsolva, akkor a fertozött dokumentum mentésekor, bezárásakor, a Word-bol való kilépéskor illetve a Tools|Macro és a File|Templates menüparancsok kiválasztásakor. Minden ellenorzés nélkül bemásolja makróit a NORMAL.DOT-ba, felülírva a vírus esetleg már ott levo példányát. A további dokumentumokba való terjedés ugyanazon események hatására történik, mint az aktivizálódás: dokumentumok megnyitásakor, bezárásakor, mentésekor, illetve a Tools|Macro és a File|Templates menüparancsok kiválasztásakor. Minden ellenorzés nélkül bemásolja makróit a dokumentumba, felülírva a vírus esetleg már ott levo példányát. Dokumentumok megnyitásakor éedekes módon nem az újonnan megnyitott dokumentumot fertozi meg, hanem azt, amelyik a megnyitás elott éppen az aktív ablakban volt.

Minden fertozési aktus során a vírus generál egy véletlenszámot, és ennek értékétol függoen 25% valószínuséggel aktivizálja a ShareTheFun makrójában levo zavaró rutint. Ez az éppen megfertozött dokumentumot elmenti C:\DOC1.DOC néven, majd megkísérel kapcsolatot teremteni a Microsoft Mail egy éppen futó példányával. Ha ilyet nem talál, vagy az adott számítógépen egyáltalán nincs is futó MSMail, akkor kilép a Windows-ból. Ha talál aktív MSMail-t, akkor közvetlenül billentyukombinációkat küldve annak, az imént elmentett és már fertozött dokumentumot a felhasználó címlistájából véletlenszeruen kiválasztott 3 címzettnek elküldi "You have GOT to read this!" címsorral ellátva. A Tools|Macro és a File|Templates parancsokat a vírus blokkolja. Kiválasztásuk hatására az éppen aktív ablakban levo dokumentumot megfertozi, majd sípol egyet. Ezzel akadályozza meg a makróihoz való kézi hozzáférést. A ShareFun.A új utat nyitott a vírusok történelmében: ez volt az elso, amely szándékoltan a levelezorendszert használta fel egyik terjedési eszközként, lehetoséget teremtve a korábban megszokottnál jóval nagyobb kiterjedésu fertozések kialakítására. Ennek ellenére nem jelent komoly veszélyt a felhasználóknak, mivel csak nagyon ritkán fordul elo, és csak egyetlen speciális levelezorendszer esetében muködik ez az effektus.

Shuffle.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

---2076 bájt ---Word dokumentumok és sablonok Üzenetablak megjelenése Fertõzött dokumentumok megnyitása Dokumentumok megnyitása --Csak vírusgyûjteményekben létezik

Vírus összetétele: AutoOpen (csak dokumentumokban) Makrók: FileSaveAs (csak a NORMAL.DOT-ban) XXXXX (csak a NORMAL.DOT-ban) Titkosított: ---

Terjedési séma p; p; p;

Fertõzött p; Globális sablonban AutoOpen <---> XXXXX FileSaveAs

Részletes leírás: A Shuffle.A egyszerû polimorf vírus. Aktivizálódására a fertõzött dokumentumok megnyitásakor kerül sor. Az ekkor elinduló AutoOpen makró elõször törli a globális sablonban megtalálható AutoOpen, FileSaveAs és XXXXX makrókat. Ezután a globális sablonban létrehoz egy XXXXX és FileSaveAs nevû makrókatt, majd az elõbbibe belemásolja a

dokumentumban levõ AutoOpen makró teljes tartalmát, az utóbbiba csak egy részét, ami a dokumentumokba való terjedésért felelõs. Az alakváltás annyiban mutatkozik meg, hogy a globális sablon minden fertõzésekor (vagyis praktikusan minden alkalommal, amikor új gépre kerül a vírus) a víruskód által használt belsõ változó és eljárás neveket véletlenszerû karakterekbõl összerakott ötbetûs nevekkel helyettesít. Minden további dokumentum mentésekor a vírus ellenõrzi, hogy a kiszemelt célpont formátuma dokumentum vagy sablon-e, amdj minden további ellenõrzés nélkül belemásolja AutoOpen néven a globálisa sablonban levõ XXXXX makrót. A jelenlétének fedezése érdekében használhatatlanná teszi a makrókat elérni képes Tools|Macro illetve File|Templates Word parancsokat, felülírva azokat üres makrókkal. A vírus egyetlen látható hatása (a fent említett Word parancsok hatástalanítása mellett) az, hogy minden ötvenedik fertõzéskor megjeleníti az alábbi párbeszédablakot.

Slow.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

Nasty Változó 1997 március


Szlovákia Word dokumentumok és sablonok Dokumentumok bezárásának lelassulása


Fertõzött dokumentum bezárása Dokumentum bezárása --Csak vírusgyûjteményekben létezik


AutoClose Igen

Részletes leírás: Az elsõ immár valóban polimorfikusnak tekinthetõ vírus, a Slow. Amint azt az általa megjelenített üzenetablakból megtudhatjuk, Szlovákiából származik. A vírus maga egyetlen makróból, az AutoClose-ból áll. A globális sablon fertõzött dokumentumok becsukásával fertõzõdik meg, és ettõl a pillanattól kezdve minden további bezárt dokumentum megfertõzõdik. A fertõzések elõtt ellenõrzi, hogy a kiszemelt célpont már tartalmaz-e AutoClose makrót. Ha igen, akkor azt békénhagyja. Figyelembe véve a vírus terjedésének elképesztõen lassú voltát, ez mindenképpen szükséges óvintézkedés. Szerencsére semmilyen káros mellékhatása nincs, a létét két jelbõl lehet észrevenni:

- minden hónap 4. és 11. napján megjeleníti a fenti ábrán látható ablakot

- mivel a titkosítás idõigényes, egy-egy fertõzési aktus akár percekig is eltarthat, ami még a legnaivabb felhasználó gyanúját is felkeltheti. A vírus a teljes forráskódját is magában hordozza stringtömb formájában. Ez soronként tartalmazza a vírust, de minden karakter egy 4 és 14 között választott véletlen számmal el van tolva. Ettõl ez az eltárolt forráskód meglehetõsen zagyva képet mutat: FHUMCEAANPGT$(167) = "L{tizout&IKJQQQGXUGQLYXGN*" FHUMCEAANPGT$(168) = "IUOIYOTPO[OUO*&C&FFFF" Ha azonban visszakódoljuk, akkor máris elõttünk áll teljes életnagységban a változónevek mutálásáért felelõl programrészlet: LBJTAOCKNKC$(167) = "Function AADEEPGIVKAHI$" LBJTAOCKNKC$(168) = "ONRFPIBQBFKETUJOFA$ = @@@@" A forráskód titkosításán kívül minden, a makróban használt változó nevének hossza 10 és 20 karakter között véletlenszerû, maguk a karakterek is véletlenszerûen vannak kiválasztva. Ha értélemszerû nevekkel látjuk el ezeket a változókat, akkor sokkal jobban látszik, mi is történik. source$(167) = "Function Get_random_name$" source$(168) = "templine$ = @@@@" A fertõzés mechanizmusa szükségszerûen komplikált. A vírus létrehoz egy (természetesen véletlen névvel ellátott) makrót, amibe bemásolja soronként a kódot. Természetesen nem titkosítva, hanem a középsõ kódrészletben látott visszafejtett formában, és lefuttatja ezt a makrót. Ez az ideiglenes modul létrehozza a vírust hordozó AutoClose makrót, kiválasztja az új titkosító kulcsszámot, a forráskódot tartalmazó tömböt ezzel megmutálja, minden változó nevét véletlenszerû módon megváltoztatja, végül pedig az egészet beírja az AutoClose makróba. Majd pedig az ideiglenes makrót nyom nélkül kitörli a vírus. A Slow.A vírust Word 7.0 alatt fejlesztették. Mivel felhasználja az EditReplace parancs olyan paramétereit, amelyek csak ebben a verzióban léteznek, azon kevesek egyike, amelyek csak Word 7.0 mûködõképesek, Word 6.0 alatt nem.

Spooky.A Összefoglalás: Egyéb nevei

----

Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

3114 bájt 1996 szeptember Ausztria Word dokumentumok és sablonok Üzenetablak megjelenése Fertozött dokumentum megnyitása Dokumentum mentése és megnyitása --Csak vírusgyujteményekben fordul elo


Makrók:

Titkosított:

"Spooky" "Datei™ffnen" "DateiSpeichernUnter" "AutoOpen" "extrasmakro" "dateidruckenstandard" "dateidrucken" "dateidokvorlagen" "autoexec" Titkosított

Részletes leírás: A Spooky.A-t ugyanaz az osztrák szerzo írta, mint az Easy.A és a Saver.A vírust. A vírus aktivizálódására fertozött dokumentumok megnyitásakor kerül sor. Amennyiben a globális sablon legalább 9 makrót tartalmaz, és azok egyike a spooky makró, akkor azt fertozöttnek véli, és békénhagyja, máskülönben belemásolja a makróit. Az aktivizálódás során a vírus generál egy véletlenszámot 1 és 28 között, és amennyiben ez megegyezik az aznapi dátummal (vagyis gyakorlatilag 1:28 eséllyel) a státuszsorban megjeleníti a "Word.Spooky" üzenetet. Ettol kezdve minden megnyitott vagy elmentett dokumentumot megfertoz. Amennyiben a kiszemelt dokumentum legalább 9 makrót tartalmaz, és azok egyike a spooky makró, akkor azt fertozöttnek véli, és békénhagyja, máskülönben belemásolja a makróit. A Spooky.A letiltja a File|Templates és Tools|Macro menüparancsok német megfeleloinek végrehajtását. Amennyiben a felhasználó kiválasztja ezeket, a vírus egy párbeszédablakban bekér egy jelszót. Amennyiben a helyes jelszót, a "ykoops"-t aja meg, az eredeti menüparancsok végrehajtódnak, különben csak egy hibaüzenet jelenik meg az alábbi szöveggel: "Sie haben das falsche Passwort eingegeben" Ha a felhasználó nyomtatást kezdeményez az adott perc utolsó 5 másodpercében, a vírus a "Word.Spooky" szöveget ileszti a nyomtatás végére.

Mivel a vírus a német Word menüparancsainak megfelelo nevu makróval operál, ettol eltéro nyelvi környezetben a NORMAL.DOT fertozésére még képes, de további terjedésre már nem.

Wazzu.A Összefoglalás: Egyéb nevei Effektív hossz

---632 bájt

Keletkezés ideje Keletkezés helye Célpontok Tünetek

1996 április Washington, USA Word dokumentumok és sablonok A dokumentumok szavai összekeverednek, helyenként a "wazzu" szó megjelenik


Fertõzött dokumentum megnyitása Dokumentum megnyitása --Világszerte elterjedt


autoOpen Nem titkosított

Részletes leírás: A Wazzu.A vírus 1996 áprilisában bukkant fel legelõször, amikor több Usenet hírcsoporton belül is terjesztették. Minden bozonnyal Washingtonból származik, amit alátámaszt az a tény is, hogy a vírus által is használt "wazzu" szócska a Washington State University közkedvelt beceneve. A vírus dokumentumok megnyitásakor aktivizálódik. Elsõ lépésben ellenõrzi, hogy mi a hordozó dokumentum neve. Ha ez NORMAL.DOT-ra végzõdik (vagyis a globális sablonban levõ víruspéldány fut éppen), akkor az éppen megnyitott dokumentumot kell megfertõzni. Ha nem NORMAL.DOT-ra végzõdik, akkor a vírus az éppen megnyitott dokumentumból fut, és ekkor a globális sablont kell megfertõzni. Mindkét esetben a vírus minden ellenõrzés nélkül másolja át makróját a célpontba. Ennek a terjedési mechanizmusnak két mellékhatása van. Elõször is, mivel pusztán az automatikus amkrókon alapul, elvileg a Word minden nyelvi változatában futhatna. Ez szerencsére egy apró figyelmetéenség miatt nem igaz, és így csak az angolszász Word verziókban életképes a vírus. Másodszor nem Windows alapú környezetben (pl. Macintosh Word esetében) a vírus képes megfertõzni a globális sablont, de továbbterjedni már képtelen lesz. A Wazzu.A minden fertõzési aktus után elindítja a kárt okozó rutinját. Elõször generál egy véletlen, majd ennek értékétõl függõen 20% valószínûséggel kiválaszt véletlenszerûen egy szót az aktív dokumentból, és azt egy véletlenszerûen kiválasztott másik helyre atmozgatja. Ezt a véletlenszám generálásától kezdve összesen háromszor elismétli, így végeredményben az átmozgatott szavak száma 0 és 3 között bármennyi lehet. Annak a valószínûsége, hogy egy szó sem változtatja meg a helyét, 48.8%.

Ezek után a vírus még egy véletlen szám segítségével 25% valószínûséggel a szõveg egy véletlenszerûen kiválasztott pontjára beszúrja a "wazzu" szócskát. Mindezek az akciók rendkívül megnehezítik a vírus nyom nélküli eltávolítását. Ugyanis az autoOpen makró kiirtása nem nehéz feladat, ezzel szemben a beszúrt "wazzu"-k megtalálása vagy még inkább az elmozdított szavak helyretétele már meghaladja bármely víruskeresõ tudását, így valamennyi fertõzött dokumentum esetében kézzel kell végigvizsgálni az okozott károkat - ez pedig kiterjedt fertõzés esetében igen idõigényes mûvelet lehet.

Excel makróvírusok Általános bevezetõ: A Microsoft Excel táblázatkezelõ a Word szövegszerkesztõhöz hasonlóan igen hatékony makrónyelvvel rendelkezik. A fejlesztésbeli összehangolatlanság miatt bár az Excel is a Basic egy változatát használja, az itt alkalmazott VBA (Visual Basic for Applications) több lényeges pontban különbözik a WordBASIC-tõl. Annál sokkal komolyabb programozási környezetet biztosít, és mivel az Excel makróprogramozásának összehasonlíthatatlanul nagyobb hagyományai vannak, mint a Wordének, némiképp meglepõ, hogy a makróvírusok terén mennyire háttérbe szorult. Akárcsak a Word makróvírusok esetében, az Excel kártevõi is több ponton aktivizálódhatnak. Létezik 5 elõre definiált, fix nevû ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elõfordulásakor kerülnek végrehajtásra. Ezeket az 1. táblázat tartalmazza. Ha például egy workbook tartalmaz egy Auto_Close nevû makrót, akkor annak lezárásakor ez a makró automatikusan végrehajtódik. Makró neve Auto_Open Auto_Close

Végrehajtódás feltétele Workbook nyitása Workbook zárása

Auto_Activate Auto_Deactivate

Workbook aktivizálása Workbook háttérbe küldése

Az Excel makróvírusai gyakorlatilag mind az automaitkus makrók valamelyikét használják az aktivizálódásra, és a további állományok fertõzésére. Az aktiválódás során a vírusok leggyakrabban az Excel STARTUP könyvtárában levõ PERSONAL.XLS állományt veszik célba, ami hasonlóan a NORMAL.DOT Word-beli szerepéhez az egyedi beállításokat és a felhasználó által definiált makrókat tartalmazza vagy a GLOBAL.XLM állományt, ami ugyancsak hasonló szerepet tölt be.


DMV.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok

-----1994. december -Excel workbookok

Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Üzenetablakok megjelenése Fertõzött workbook bezárása Workbook bezárása --Csak vírusgyûjteményekben fordul elõ


Auto_Close ---

Részletes leírás: Az Excel DMV.A vírusát ugyanaz a Joel McNamara írta, aki a Word DMV.A vírusának is a szerzõje. Ahhoz hasonlóan az Excel vírus is pusztán demonstrációs célokat szolgált, a vírus életciklusának valamennyi fontos lépését üzenetablakokkal tudatja. A vírus aktivizálódására fertõzött munkalapok bezárásakor kerül sor. Ekkor a vírus ellenõrzi, hogy létezik-e az Excel globális beállításait és makróit tartalmazó GLOBAL.XLM állomány, valamint azt, hogy létezik-e abban egy Sheet01 nevû modul. Ez a lap tartalmazza a víruskódot, és minden fertõzött munkalapban ezzel a névvel szerepel. Amennyiben a GLOBAL.XLM létezik, csak még nem tartalmazza a vírust, akkor a Sheet01 modult abba bemásolja, és megjeleníti az alábbi üzenetablakot: "GLOBAL.XLM exists. Adding Auto_Close virus to it." Amennyiben a vírus már jelen van a GLOBAL.XLM állományban, a vírus az alábbi tartalmú üzenetablakot jeleníti meg: "Virus already installed in GLOBAL.XLM" Ha a GLOBAL.XLM egyáltalán nem létezik még, akkor a vírus az alábbi üzenetet jeleníti meg: "GLOBAL.XLM doesn't exist. Creating it now." Majd víruskódot tartalmazó dokumentumot GLOBAL.XLM néven elmenti, ezáltal annak makróit az Excel következõ indításától globálisan elérhetõvé teszi. Mindezek végeztével a vírus, demonstrálja az esetleges büntetõrutinok lehetõségeit. Esõ lépésben megjeleníti az alábbi ablakot: "The virus has been spread. Now execute some other code, for example..." Majd lekérdezi az Excelt telepítõ szervezet nevét, és megjelenít egy üzenetablakot az alábbi szöveggel (a lekérdezett szervezetnevet nem használja fel): "Just checked which organization Excel was registered to..." "A DMV could selectively target a business, government agency, or organization. For example, delete all files if this software was licensed to IBM.") Ezután az Excelt telepítõ személy nevét kérdezi le a vírus, de ezt sem használja fel, csak az alábbi ablakot jeleníti meg: "Just checked who Excel was registered to..." "A DMV could selectively target a specific individual for revenge or eavesdropping." Majd lekérdezve a nemzeti beállítások közül az országot, az alábbi üzenetet jeleníti meg: "Just checked Excel's country code..." "A DMV could selectively target users within a certain country. For example, overwrite files if an Arabic version of Excel was running."

Ezután a dátumot ellenõrzi, és az alábbi szöveget jeleníti meg: "Just checked the date..." "A DMV could serve as a time bomb. For example, start renaming files after September 1995, so it appears problems are related to the release of Microsoft Windows 95." Végül az operációs rendszer lekérdezése után az alábbi szöveg jelenik meg: "Just checked the operating system..." "A DMV could only execute if a specific version of an operating system was running." A DMV.A a szó szoros értelmében nem tekinthetõ vírusnak. Csak arra képes, hogy a GLOBAL.XLM-et megfertõzze (mivel a kódba fixen bevarrta a szerzõ a hordozó munkalap nevét, erre is csak nagyon korlátozott mértékben), de továbbterjedésre a vírus képtelen.

Laroux.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

-----1996 július


----Excel workbookok ---

Fertõzés elindítója Terjedés elindítója Romboló rutin

Fertõzött workbook megnyitása Workbook megnyitása ---

Elterjedettsége

Világszerte elterjedt


auto_open check_files ---

Részletes leírás: A Laroux.A az elsõ igazán elterjedt Excel makróvírus, amely még napjainkban is komoly fertõzéseket okoz. A fertõzött workbookokban egy rejtett " laroux " nevû lap tartalmazza a vírus makróit. A vírus aktivizálódására fertõzött táblázatok megnyitásakor kerül sor. Ekkor a vírus auto_open makrója fut le, amely csak annyit tesz, hogy elintézi, hogy minden táblázatlap megnyitásakor a vírus check_files makrója fusson le. Ezáltal a vírus minden új vagy régi táblázathoz való bárminemû hozzáférés során aktivizálódik, lehetõséget kapva annak megfertõzésére. Ezután a vírus ellenõrzi, hogy létezik-e az Excel STARTUP könyvtéréban a PERSONAL.XLS állomány, illetve hogy mennyi makrót tartalmaz az éppen nyitott workbook. Amennyiben nem létezik még a PERSONAL.XLS, a vírus bemásolja a fertõzött dokumentumot a helyére, ezáltal az Excel következõ indításától kezdve a vírus makrói globális makrókként hozzáférhetõek, és mivel minden shhet-aktivizáláshoz a vírus makrója lett hozzárendelve, semmi akadálya sem lesz már a továbbterjedésnek.

Ha az éppen nyitott workbook nem tartalmaz makrót (és a PERSONAL.XLS már létezik), akkor a vírus megfertõzi azt, a laroux nevû sheetet bemásolva. A rendszer megfertõzése után a Laroux.A minden érintetlen workbook-ot megfertõz abban apillanatban, amint azok az aktív ablakba kerülnek, vagyis praktikusan általában a megnyitásukkor.

Word 97 makróvírusok Általános bevezetõ: Az 1997 legelején a boltokba kerülõ Office 97 teljesen átalakította a makróvírusok frontját. A makrónyelv egységesítése jegyében a Word által használt WordBASIC nyelvet teljes egészében lecserélték az Excel és az Access esetében már korábban is alkalmazott VBA (Visual Basic for Applications) nyelvre. Kompatibilitási okokból azonban megteremtették a régi WordBASIC makróprogramok automatikus VBA-konvertálásának lehetõségét. Ezzel aztán meg is oldották a Word makróvírusok nagy részének átlépését az új platformra. A Word 97 tartalmaz néhány vírusvédelemre is alkalmas komponenst. Már a kezdetben kibocsátott verzióban is jelen volt az a figyelmeztetõ ablak, ami elõször a Word 7.0a verzióban jelent meg, és jelezte, ha a megnyitandó dokumentum makrókat tartalmazott.

Ez elvileg gátat szabhatott volna a makróvírusok terjedésének, de több alapvetõ hiba volt a megvalósításban. A teljesség hiánya nélkül: 1. Nem csak akkor riasztott, ha makró volt a dokumentumba, hanem akkor is, ha az egyedi menü vagy parancsgomb beállításokat tartalmazott. 2. Még ha tartalmazott is makrókat a dokumentum, azok nem feltétlenül származtak vírustól. A figyelmeztetés azonban nem válogatott, hasznos makróprogramok esetében is felharsant. Emiatt olyan cégeknél, ahol saját készítésû makrókat használtak (és ez a nagyobb cégeknél gyakori), a felhasználók inkább kikapcsolták a beépített vírusvédelmet. 3. A figyelmeztetés lekapcsolható volt, de sajnos nem csak a Word-ön belülrõl, hanem mivel a beállítást a Word a registry-ben tárolta, külsõ programból is. Ezt néhány hagyományos vírus aztán ki is használta, kikapcsolva a vírusvédelmet megnyitotta az utat az utánuk jövõ makróvírusok elõtt. 4. A javítás nem azon a szinten történt, ahol problémák keletkeztek. A gond gyökere az volt, hogy az Office97 VBA nyelve termékeny táptalaja volt a vírusoknak. Ezzel a figyelmeztetéssel a Microsoft nem a VBA funkcionalitását korlátozta, a vírusok terjedését szolgáló utasítások megszorításával, hanem egy teljesen más szinten, a Word szintjén épített be egy figyelmeztetést. Nagyon kevesen tudhatnak arról, hogy a Microsoft az Office97-be valódi makróvírus elleni védelmet is beépített. A Word 6/7 alatt íródott makrókat a Word97 automatikusan VBA nyelvre konvertálja. Hogy elkerüljék, vagy legalábbis lelassítsák az amúgy is nagy számban létezõ makróvírusok új platformra kerülését, egy egyszerû ellenõrzõ mechanizmust építettek be. Ez a konvertálandó makróban a legfontosabb vírusokra (pl. Concept, Wazzu, Bandung) jellemzõ szekvenciákat keresett (ezek miatt a tárolt szekvenciák miatt aztán néhány víruskeresõ fertõzöttnek vélte az ellenõrzést tartalmazó WWINTL32.DLL állományt), és ha ezeket megtalálta, akkor, minden további értesítés helyett befejezte a konvertálást, a kérdéses makrót pedig meg sem jelenítette, így a késõbbi mentés során ezek a makrók megszûntek létezni. Ez így szép, csak nem vírusok, hanem makrók ellen nyújtott védelmet. Azaz a Concept.A esetében az AutoOpen, AAAZAO és AAAZFS makrókat törli, a PayLoad makrót viszont meghagyja. Másik hátrány, hogy csak nagyon korlátozott számú vírus ellen véd. A harmadik pedig az, hogy még ha meg is talál egy vírust, és törli is a megfelelõ makrót, akkor sem szól egy szót

sem a felhasználónak, aki így észre sem veszi, hogy vírusos dokumentumot nyitott meg. További korlátozásokat építettek be a Service Release 1 javításba: az SR1-tõl kezdve nem lehet a VBA-ban a globális sablonból (NORMAL.DOT) makrót átmásolni dokumentumba. Nem lehet sem a kompatibilitási okokból átemelt WordBasic.MacroCopy, sem pedig az OrganizerCopy utasítással. és ezzel az összes korábbi makróvírus mûködésképtelenné vált. Hiszen elsõ lépésben ugyan meg tudták fertõzni a NORMAL.DOT-ot, de onnantól kezdve már nem tudnak új dokumentumokba átterjedni. Az újabban született vírusok már ezt a korlátozást is képesek leküzdeni.

Részletes vírusleírások Acid.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

---2328 bájt 1998 február --Word 97 dokumentumok üzenetablakok megjelenése Fertõzött dokumentum megnyitása Dokumentum megnyitása Víruskeresõk állományainak törlése Csak vírusgyûjteményekben fordul elõ

Vírus összetétele: Modulok: Titkosított:

ACID Nem titkosított

Részletes leírás: A vírus aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Ekkor az ACID.A elsõ lépésben ellenõrzi, hogy létezik-e a globális sablonban már egy ACID nevû modul. Ha igen, akkor békén hagyja, ha nem, akkor bemásolja saját ACID modulját. Ettõl kezdve minden megnyitott dokumentumot megfertõz a vírus. Elsõ lépésben ellenõrzi, hogy létezik-e a kiszemelt dokumentumban már egy ACID nevû modul. Ha igen, akkor békén hagyja, ha nem, akkor bemásolja saját ACID modulját. Az ACID.A új dokumentum létrehozásakor, Save As… paranccsal való mentésekor és nyomtatásakor a dokumentum legelejére illeszti 140 pontos Impact fonttal az "ULTRAS" szöveget. Dokumentumok Save paranccsal való mentésekor és a nyomtatási elõkép meghívásakor a dokumentum legelejére illeszti 65 pontos Impact fonttal az " ACID BY ULTRAS " szöveget. A vírus lehetetlenné teszi a makróihoz a hozzáférést. Mind a Tools|Macro parancs aktivizálódásakor, mind a VBA szerkesztõ meghívásakor az eredeti Word parancs végrehajtása helyett egy "Impossible open this function" tartalmú üzenetablakot jelenít meg. Az ACID.A minden fertõzési aktus elõtt elindítja romboló rutinját. Ez a legnépszerûbb víruskeresõk tipikus telepítési helyeinek megfelelõen törli az alábbi állományokat:

"C:\Program Files\AntiViral Toolkit Pro\*.*" Kill "C:\Program Files\Command Software\F-PROT95\*.*" Kill "C:\Program Files\McAfee\VirusScan\*.*" Kill "C:\Program Files\Norton AntiVirus\*.*" Kill "C:\Program Files\FindVirus\*.*" Kill "C:\f-macro\*.*" Kill "C:\Tbavw95\*.*"

Majd ellenõrzi, hogy az adott hónap melyik napján vagyunk, és ennek megfelelõen az alábbiakat teszi: o o o o

1-én: Megjelenít egy üzenetablakot a "You Infected WM97.ACID by ULTRAS" szöveggel, ezután a megnyitott dokumentumot az "ACID BY ULTRAS" jelszóval védi le. 9-én: Megjelenít egy üzenetablakot a "You Infected WM97.ACID by ULTRAS" szöveggel, ezután a megnyitott dokumentumot az "ULTRAS" jelszóval védi le. 17-én: letörli a C:\Autoexec.bat, C:\Config.sys és C:\Command.com állományokat. 25-én: a C:\Windows\ könyvtárban törli az összes INI kiterjesztésû állományt, továbba a C:\Windows\System\ könyvtárban a DLL kiterjesztésû állományokat. Ezáltal a tipikusan telepített Windows 95 esetében az operációs rendszer mûködésképtelenné válik, annak újratelepítése szükséges.

AntiSR.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

---1488 bájt 1998 február --Word 97 sablonok Menüpontok eltünése Fertõzött dokumentum mentése, zárása, nyomtatása Dokumentum mentése, zárása, nyomtatása --Csak vírusgyûjteményekben fordul elõ

Vírus összetétele: Makrók: VBA modulok:

FuSR_1 Nem titkosított

Részletes leírás: Az AntiSR.A volt az elsõ ismert Word 97 vírus, amely az Office 97-hez kiadott Service Release 1 telepítése után is mûködõképes volt. A vírus aktivizálódására fertõzött dokumentumok mentése, nyomtatása, bezárása és a Word bezárása esetén kerül sor. Ekkor a vírus ellenõrzi, hogy a globális sablonban van-e már FuSR_1 nevû makró, és ha ilyet nem talál, akkor azt fertõzetlennek ítélve megfertõzi. Ezt a Service Release 1 korlátozásai miatt úgy teszi meg, hogy a teljes víruskódot exportálja egy szöveges állományba, majd ezt importálja új modulként a globális sablonba.

Ezután eltávolítja a Tools|Macro és a Tools|Templates and add-ins menüpontokat, a VBA szerkesztõ meghívását pedig egy üres makróval definiálja felül, ezáltal teszi lehetetlenné a kódjához való hozzáférést.

Ismert variánsok: o

AntiSR.B : az 1456 bájt hosszú variáns csak annyiban különbözik az alapváltozattól, hogy abban egy programozási hibát kijavított a vírusíró.

Brenda Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---1664 bájt 1998. október


--Word 97 dokumentumok A desktop elemeinek megváltozása


Fertõzött dokumentum megnyitása Dokumentum bezárása --Ritka

Vírus összetétele: Makrók: VBA modulok:

---ThisDocument

Részletes leírás: A Brenda A Class-osztályba tartozó Word97 makró vírus. Aktivizálódása fertõzött dokumentumok megnyitása során történik. Elsõ lépésben biztonsági óvintézkedés gyanánt kikapcsolja a Word97 beépített vírusvédelmi figyelmeztetõ funkcióját, majd a globális sablon megváltoztatását jelzõ figyelmeztetést is letiltja. Ezután ellenõrzi a globális sablon fertõzött voltát. Ehhez az abban lévõ ThisDocument modul elsõ sorát olvassa ki. Amennyiben az a vírusra jellemzõ "Private Sub Document_Close()", akkor nem fertõz, egyébként pedig a NORMAL.DOT-beli ThisDocument modul elejére beilleszti a víruskódot. A felismerésre használt legelsõ sor különbözõ a fertõzött dokumentumok és a fertõzött globális sablon esetében. A globális sablonban ez "Private Sub Document_Close()", míg a dokumentumokban "Private Sub Document_Open()". Emiatt az aktivizálódás a dokumentumok megnyitása, a további dokumentumokba terjedés pedig azok bezárása során zajlik le. Ezért a globális sablon fertõzése után a vírusnak még át kell írnia a legelsõ sort a megfelelõ értékre. A dokumentumokban való továbbterjedés ugyanazokban a lépésekben zajlik le, mint az aktivizálódás. Elõször ellenõrzi a vírus, hogy a kiszemelt dokumentum elsõ sorában mi áll, és ha az nem "Private Sub Document_Open()", akkor megfertõzi azt, bemásolva a víruskódot a ThisDocument modul legelejére, majd kicseréli ezt a legelsõ sort a dokumentumokra jellemzõ "Private Sub Document_Close()"-re.

A vírus az általa használt speciális fertõzési módszer miatt az Office97 Service Release 1 telepítése után is életképes marad. A globális sablon sikeres fertõzése után a Brenda nekilát a regisztrációs adatbázis felforgatásának. Az ott található "My Computer" ikon nevét átcseréli " Little Miss Nick"-re. Az ikon kinézetét is megváltoztatja, a desktop következõ frissítésekor (legkésõbb a következõ rendszerindításkor) kicseréli azt a nem csatlakoztatott hálózati meghajtókat reprezentáló ikonra. Az ikoncsere csak Windows95/98 operációs rendszer alatt mûködik. A levelezés beállításai között az email-címet [email protected], az SMTP nevet pedig Asexual-ra változtatja. A WinZip regisztrálási nevet "Nick FitzGerald the queen"-re változtatja. Végezetül a C: meghajtó volume-nevét n0nuts-ra változtatja. A vírus nyilvánvalóan az angol Virus Bulletin számítástechnikai szaklap fõszerkesztõjét, Nick FitzGeraldot veszi célba, akinek természetesen semmi köze nincs a vírushoz. Word.97.Melissa.A

Összefoglalás: PRIVATEEgyéb nevei

----


---

Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

1999.március -Word 97 és Word 2000 dokumentumok e-mail üzenet küldése, szöveg beszúrása adokumentumba Fertőzött dokumentum megnyitása Dokumentum bezárása --Világszerte rendkívül elterjedt

Vírus összetétele: PRIVATEVBA modulok: Titkosított:

Melissa Nem tikosított

Részletes leírás: A vírus először 1996 március 26-án, pénteken délután bukkant fel néhány alt.sex névvel kezdődőhírcsoportban (az eredeti fertőzött dokumentum pornográfiával foglalkozó web-helyek jelszavait tartalmazta), és mit ad isten , még aznap estére Amerika-szerte elterjedt. Több nagy cég (a hírek szerint a Microsoft és az Intel is) kénytelen volt leállítani a levelezőrendszerét, hogy a további terjedésnek gátat vessenek. A vírus minden olyan rendszeren életképes, amely Word 97-tel vagy Word 2000-rel van felszerelve, de az igazán robbanásszerű terjedés akkor lép fel, ha a gépen az Outlook levelezőprogram is telepítve van. Ennek hiányában hagyományos makróvírusként terjed.

A vírus aktivizálódása egy fertőzött dokumentum megnyitásakor történik. Elsőlépésben a Melissa eldönti, hogy Word 97, avagy Word 2000 alatt fut-e. Mindkét esetben kikapcsolja a beépített vírusvédelmi figyelmeztetéseket (a makrók jelenlétére utaló és a globális sablon változásakor felugró ablak megjelenítését), valamint kiválaszthatatlanná teszi a makrókhoz való hozzáférést szolgáló menüpontokat. Ezután terjed tovább levélben. Egy, a registry-ben megejtett bejegyzéssel gondoskodik arról, hogy egyazon gépről csak egyszer küldje szét magát. Ha a HKEY_CURRENT_USER\Software\Microsoft\Office szekcióban a Melissa? kulcs értéke éppen ��b y Kwyjibo�, akkor ezt annak jeleként értelmezi, hogy erről a gépről már kiindult egy levélfolyam. Ellenkezőesetben a vírus aktivizálja az Outlook alkalmazás egy példányát (amennyiben ilyet talál a gépen), és minden egyes levél address bookban az első50 címzettnek tovább küldi a fertőzött dokumentum egy példányát. Mindezt egy olyan levélhez csatolva teszi meg, amelynek címe Important Message From XXX , ahol XXX a felhasználó neve, a levél szövege pedig egyetlen sor, �Here is that document you asked for �do n�t show anyone else ;-)� Dolga végeztével a Melissa megejti a bejegyzést a registry-be. Mivel az address book-okban szereplőcímzettek nem csak szóló személyek lehetnek, hanem levelezőlisták is, így valójában sokkal több levél is kimehet 50-nél. Ezekben az esetekben a lokális hálózati levélforgalom annyira megnövekedhet, amitől jópár levelező kiszolgáló megroggyant. A levélküldőprogramrész lefutása után után a vírus megfertőzi a globális sablont. A Melissa a Class típusú vírusok közé tartozik, vagyis fertőzéskor nem hoz létre új VBA modult a kiszemelt célpontban, hanem a minden dokumentumban jelen levőThisDocument objektumot veszi célba. Ennek először kitörli a teljes tartalmát, majd átnevezi a nevét Melissa-ra, végül pedig soronként bemásolja a víruskódot. Legvégül a kód elsősorában a Private Sub Document_Open sort lecseréli Private Sub Document_Close-ra, ezzel érve el, hogy a NORMAL.DOT megfertőzése után a vírus már a fertőzetlen dokumentumokat nem megnyitásukkor, hanem bezárásukkor fertőzi. A fertőzött rendszerben a dokumentumok fertőzése gyakorlatilag az előbbiekben megismertek szerint zajlik le, azzal a különbséggel, hogy a fertőzési aktusra bezáráskor kerül sor, és a fent említett programsort visszacseréli. Ha valamilyen fertőzési aktusra olyan együttálláskor kerül sor, amikor éppen annyiadik napja van az adott hónapnak, mint ahányadik perce az adott órának, akkor a vírus az épen aktuális kurzorpozícióba beszúrja a �Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game�s over. I�m outta here.� szöveget, ami a népszerűSimpsons rajzfilmsorozat egyik részéből való idézet. A vírus korlátozott hatású rendszerspecifikus terjedése miatt. Csak azok a rendszerek igazán veszélyeztetettek, melyeken az Outlook levelezőrendszer működik. Ha ez nincs jelen (még az Internet Explorerhez csatolt Outlook Express sem elég jó a vírusnak), akkor a vírus csak a hagyományos makróvírusokra jellemzőterjedést produkálja.

Ismert variánsok: Alig pár nappal a Melissa megjelenése után már felbukkant a Papa névre hallgató variánsa is, amely Excel 97 makróvírus, de ugyanazt a trükköt alkalmazza az Outlook révén való terjedésre, mint a Melissa, csak éppen 50 helyett 60 címre küldi el magát egyegy alkalommal.

Nightshade.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje

---848 bájt 1997 február

Keletkezés helye

--


Word 97 dokumentumok Üzenetablak megjelenése Fertõzött dokumentumok bezárása


Dokumentum bezárása Dokumentumok levédése jelszóval Csak vírusgyûjteményekben létezik

Vírus összetétele: VBA modul: Titkosított:

NightShade Nem titkosított

Részletes leírás: A Nightshade.A a legelsõ ismert vírus, amely az Office 97 valamely alkalmazását, jelen esetben a Word 97-et támadja meg. Rekordgyorsasággal, alig pár héttel az Office 97 piacra kerülése után született meg, és bár variánsa csak elég kevés van, a Word 97 vírusok elsõ nemzedékének java a Nightshade.A kódján alapul. A vírus aktivizálódására fertõzött dokumentumok bezárásakor kerül sor. Ekkor a vírus elsõ lépésben megteremti a biztonságos mûködéséhez szükséges feltételeket: letiltja ideiglenesen a képernyõfrissítést, kikapcsolja a Word 97 beépített vírusvédelmét és engedélyezi az automatikus makrók végrehajtását. Ezután ellenõrzi, hogy a globális sablonban létezik-e már NightShade nevû modul. Ha nem, akkor azt fertõzetlennek ítélve bemásolja a vírusmodult. Ettõl a pillanattól kezdve a vírus minden egyes dokumentumot megfertõz azok bezárásakor. Elsõ lépésben ellenõrzi, hogy a kiszemelt célpontban létezik-e már NightShade nevû modul. Ha nem, akkor azt fertõzetlennek ítélve bemásolja a vírusmodult. Minden fertõzési aktus során generál egy véletlenszámot, és ennek értékétõl függõen, összességében 1/7 valószínûséggel az Office Assistant ablakocskájában megjeleníti az alábbi szöveget: Word97.NightShade by Pyro [VBB]" A hónap 13. napjára esõ péntekeken a vírus az összes bezárt dokumentumot a " NightShade " jelszóval védi le.

Flitnic.A Összefoglalás:

Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója

-----1999. április -Word dokumentumok Üzenetablak megjelenése Fertőzött dokumentum megnyitása Fertőzött dokumentum megnyitása


CIH vírus elindítása Csak vírusgyűjteményekben fordul elő

Vírus összetétele: Document_Open (dokumentumban)

Makrók:

AutoExec (NORMAL.DOTban) tatung

VBA modulok:

+1 változó nevűmakró ThisDocument (dokumentumban) Flitnic (NORMAL.DOT-ban)

Részletes leírás: A Flitnic Class típusú közvetlen hatású nem rezidens polimorf makróvírus, amely egyetlen VBA modulból áll (ez fertőzött dokumentumoknál a ThisDocument class-modul, az ideiglenesen fertőzött NORMAL.DOT-nál pedig a Flitnic nevűmodul). A modul 3 makrót tartalmaz, a fővíruskódot magába foglaló Document_Open makrót (ez az ideiglenes globális sablonbeli változatnál AutoExec nevet kap), a büntetőrutin tartalmazó tatung makró, és egy harmadik, változó nevűmakró. A vírus aktivizálódására és terjedésére két fázisban kerül sor. Aktivizálódására fertőzött dokumentumok megnyitásakor kerül sor. Ekkor a vírus Document_Open makrója indul el, amely a vírus elsőfázisát indítja el. Ez először ellenőrzi, hogy melyik fázis (mivel a második fázis egy másik Word alkalmazásban indul el, ez a Word alkalmazások számának egyszerűösszeszámlálásával történik), majd letiltja a VBA szerkesztőmegjelenítését, a Word 97 makróvédelmét valamint a futó makró megállítására szolgáló CTRL+BREAK billentyűkombinációt. Ezután bemásolja a kódját a globális sablonba, miközben átnevezi a főeljárást AutoExec-re, majd elindítja a Word egy második, rejtett példányát. Az újonnan elinduló példánynál a NORMAL.DOT már tartalmazza AutoExec néven a vírus makróját, ezért az automatikusan elindul. Látván, hogy már két Word alkalmazás fut, a második fázis kódjára ugrik a vírus. Először a víruskódot mutálja, melynek során minden használt változó nevét megváltoztatja. Az új név hossza véletlenszerűen 2 és 22 karakter között bármennyi lehet, a felhasznált karaktereket is véletlenszerűen választja ki a vírus. A mutáció után a vírus megkeresi az összes dokumentumot a C: lemezen és megfertőzi azt. Ennek során a Flitnic nem ellenőrzi, hogy a célpont már fertőzött-e, hanem egyszerűen törli a ThisDocument modul korábbi tartalmát és belemásolja a víruskódot. Mivel a fertőzési folyamat rendkívül hosszadalmas, a vírus időnként átengedi a végrehajtást a Windows-nak, így nem annyira feltűnőa tevékenysége. Végezetül a vírus elsőfázisa visszaveszi az irányítást, kitörli a globális sablonból az ideiglenesen használt Flitnic modult, és látszólag az aktív dokumentumból is a víruskódot, majd a C:\MOODY.DAT nevűszöveges fájl végére beszúr egy sort az alábbi formában: Flitnic has enjoyed your system at: 1999.04.23., 12:03:21

ahol a fertőzés pillanatában érvényes dátum és időszerepel. Amennyiben ezen bejegyzések száma eléri a százat, a vírus romboló rutinja beindul. Ez lőször elkészíti a C:\KILLER.EXE fájlba a CIH 1.4 vírus egy módosított példányát, majd azt végre is hajtja. A módosítás eredményeképpen a vírus nem csak április 26-án, hanem minden alkalommal tönkreteszi a flash BIOS-t és a merevlemezt. Ezután megjeleníti az alábbi üzenetablakot:

Excel 97 makróvírusok Általános bevezetõ: Az Excel 97 vírusairól általánosságban ugyanaz mondható el, mint a Word 97 vírusairól. Ugyanúgy, mint elõdeik esetében, az Excel 97 vírusok sokkal kisebb számban születtek, mint Word 97-es társaik, és még azoknál is kisebb mértékben terjedtek el.

Részletes vírusleírások NEG.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye

---4304 bájt 1998 március Indonézia


Excel munkalapok Menüpontok eltûnése, üzenetablakok megjelenése Fertõzött munkalap megnyitása


Munkalap megnyitása Fájlok törlése a C:\WINDOWS könyvtárból Csak vírusgyûjteményekben fordul elõ

Vírus összetétele: VBA modulok: Titkosított:

Dollar ---

Részletes leírás: A NEG.A vírust az indonéz Nomercy vírusíró csoport által készített NEG (Nomercy Excel Generator) vírusgyártó készlettel készítették. A vírus aktivizálódására fertõzött munkalapok megnyitásakor kerül sor. Ekkor a vírus ideiglenesen lekapcsolja a képernyõfrissítést, majd eltávolítja azokat a menüpontokat, amelyek alkalmasak lehetnének a vírushoz való

hozzáférésre. A munkalapokhoz rendelt menüben eltávolítja a Tools almenübõl a Macro és a Record Macro elemeket, a Window almenübõl a Hide és az Unhide menüpontokat, Format almenübõl a Sheet menüpontot, az Edit almenübõl a Delete , Delete Sheet és Move or Copy Sheet... menüpontokat és az Insert almenübõl a Macro menüpontot. A grafikonokhoz rendelt menüben eltávolítja a a Tools almenübõl a Macro és a Record Macro elemeket, a Window almenübõl a Hide és az Unhide menüpontokat, Format almenübõl a Sheet menüpontot, az Edit almenübõl a Delete , Delete Sheet és Move or Copy Sheet... menüpontokat és az Insert almenübõl a Macro menüpontot. Abban a menüben, amely akkor jelenik meg, amikor egyetlen munkalap sincs nyitva, a vírus eltávolítja a File almenübõl a Macro , Record New Macro és az Unhide menüpontokat. Mindezek után a vírus ellenõrzi, hogy a rendszer már fertõzött-e. Ezt úgy dönti el, hogy megkeresi, van-e a megnyitott globális sablonállományok között DOLLAR.XLM nevû és ha van, abbna létezik-e Dollar nevû modul. Ha a két feltétel valamelyike nem teljesül, akkor a vírus a hordozó munkalapot bemásolja az Excel 97 STARTUP könyvtárába GLOBAL.XLM néven, majd beállítja, hogy a munkalapok aktív ablakba kerülésekor minden alkalommal a vírus Fuck nevû makrója fusson le. Így az Excel következõ indításától kezdve a vírus modulja globális modulként lesz hozzáférhetõ, és megfertõz minden megnyitott dokumentumot. A fertõzés során a vírus a kiszemelt munkalap legelsõ sheetjeként masolja be a saját, víruskódot tartalmazó Dollar nevû sheetjét. A vírus romboló rutinja dokumentumok bezárásakor aktivizálódik. Amennyiben ez az aktus a hónap 13. napján történik, a vírus az AUTOEXEC.BAT végére illeszt pár sort, emelyek a következõ rendszerindításkor törölnek minden COM, VXD, DRV és DLL kiterjesztésû állományt a WINDOWS könyvtárból. Az AUTOEXEC.BAT módosítása után a vírus egy üzenetablakot jelenít meg az alábbi szöveggel: "Excellent!!! now 1 dollar = 10000 rupiah " A romboló rutin és a nagyon nyilvánvaló tünetek miatt a vírusnak gyakorlatilag nincs esélye arra, hogy kiterjedt fertõzéseket okozzon.

Access 97 makróvírusok Általános bevezetõ: Az Office97 programcsalád tagjai közül az Access97 vált legkésõbb makróvírusok célpontjává. A Word és Excel programozásához képest az Access komplikáltabb. Az elõbbiekben ugyanis az alkalmazás indításához vagy leállításához lehetett kapcsolni egyes makrók végrehajtását (pl. AutoExec, AutoClose) vagy pedig egyes menüpontokat lehetett helyettesíteni a felhasználó által definiált makrók tartalmával. Az Access esetében is lehet beszélni automatikus makróvégrehajtásról, azonban az Access makrói nem azonosak a VBA makróival, hanem sokkal szegényesebb scriptek. Léteznek VBA-modulok is, és mivel ezeket az automatikus scriptekbõl meg lehet hívni, semmi technikai akadálya nincs a vírusok írásának. Mind a scriptek, mind a modulok csatolhatók az adatbázisokat tartalmazó .MBD fájlokhoz, azokkal együtt képesek terjedni.

Vírusok

AccessIV.A Összefoglalás: Egyéb nevei

----

Keletkezés ideje Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

1998.március Access .MDB fájlok ---Fertõzött adatbázis megnyitása ---nincs nem fordul elõ szabadon

Vírus összetétele: Access scriptek: VBA modulok:

Autoexec Virus

Részletes leírás: Az AccessIV.A néven ismert példány az elsõ ismert Access vírus. 1998 márciusában írták. Két komponensbõl áll, egy Autoexec nevû scriptbõl és egy Virus nevû modulból. A fertõzött adatbázis megnyitásakor ez automatikusan lefut, de csak annyit csinál, hogy meghívja a vírus lényegi részét tartalmazó Virus nevû VBAmodult. Az ebben levõ program végigkeresi az aktuális könyvtárat, és az abban található összes *.MDB fájlt megfertõz, hozzájuk adva mindkét komponensét. Amennyiben a fertõzendõ adatbázis már tartalmaz Autoexec scriptet, azt a vírus helyrehozhatatlanul felülírja. A vírus ismert variánsai: AccessIV.B , AccessIV.C

AccessIV.B Összefoglalás: Egyéb nevei

----

Keletkezés ideje Célpontok Tünetek Fertõzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

1998.március Access .MDB fájlok Üzenetablak megjelenése Fertõzött adatbázis megnyitása ---nincs Nem fordul elõ szabadon

Vírus összetétele: Access scriptek: VBA modulok:

Autoexec Virus

Részletes leírás: Az AccessIV.B néven ismert példány az AccessIV.A továbbfejlesztett változata. Ahhoz hasonlóan két komponensbõl áll, egy Autoexec nevû scriptbõl és egy Virus nevû modulból. A fertõzött adatbázis megnyitásakor az Autoexec script automatikusan lefut, ésmeghívja a vírus lényegi részét tartalmazó Virus nevû VBA-modult. Az ebben levõ program végigkeresi az aktuális könyvtárat, és az abban található összes *.MDB

fájlt megfertõz, hozzájuk adva mindkét komponensét. Amennyiben a fertõzendõ adatbázis már tartalmaz Autoexec scriptet, azt a vírus helyrehozhatatlanul felülírja. Amennyiben a fertõzési aktus március hónapban történik, akkor a vírus egy üzenetablakban megjeleníti az alábbi szöveget: AccessiV - Strain B I am the AccessiV virus, Strain B Written by Jerk1N, of the DIFFUSION Virus Team AccesiV was/is the first ever Access Virus!!!

Ami lefordítva az alábbit jelenti: AccessiV - B változat Én az AccessiV vírus vagyok, B változat Írta Jerk1N, a DIFFUSION vírusíró csoportból AccesiV a legelsõ Access Vírus!!!

Ezután a vírus létrehozza és lefuttatja a Jerkin.443 nevû hagyományos DOS vírust. Az Autoexec scriptet és a Virus modult rejtett attribútummal látja el, emiatt az Access alapértelmezésben nem jeleníti meg ezeket. A vírus ismert variánsai: AccessIV.A , AccessIV.C

Többplatformú makróvírusok Általános bevezetõ: A Microsoft az OLE Automatizmus következetes alkalmazásával és az egységes Office97 objektum modell kialakításával a vírusok egy teljesen új csoportjának a lehetõségét hozta létre. Az OLE Automatizmus révén a megfelelõ specifikációnak megfelelõ alkalmazások (ezekre a legjobb példát éppen az Office97 alkalmazások szolgáltatják) minden gond nélkül használni tudják egymás szolgáltatásait. Semmi akadálya nincs, hogy egy futó Excel makró létrehozzon egy Word dokumentumot. Ehhez csupán meg kell hívnia a Word objektum modelljének megfelelõ eljárásokat például a következõ formában: wrdApp=New Word.Application wrdApp.Documents.Add Ettõl a pillanattól kezdve az Excel makró teljes kontrollal bír a Word és a létrehozott dokumentum felett (már amennyiben persze a Word telepítve van az adott számítógépen), tehát akár makrókkal meg is fertõzheti azt. Mivel az Office97 alkalmazásai egységesen a VBA (Visual Basic for Applications) makrónyelvet használják, elvileg semmi akadálya nincs annak, hogy ugyanaz a modul több alkalmazásban is életképes vírusként funkcionáljon. Persze az egyes alkalmazások objektummodelljei nem teljesen ugyanazok, de kis odafigyeléssel több alkalmazásban is életképes, azok közötti átjárásra és dokumentumaik fertõzésére egyaránt képes vírusokat lehet alkotni. A többplatformú vírusok persze nem csak az Office97 alkalmazásokra koncentrálódnak, hanem minden olyan makrórendszerre, amely támogatja az OLE automatizmust, így a legújabb célpont a VBScript nyelv lett.


ConceptII

Összefoglalás: Egyéb nevei

----


--1998. november -Word dokumentumok VBS scriptek

Célpontok Tünetek

--Fertõzött HTML lap megnyitása Fertõzött dokumentumok bezárása Dokumentumok bezárása ---


Csak vírusgyûjteményekben fordul elõ

Vírus összetétele: Modulok: Titkosított:

ThisDocument ---

Részletes leírás: A ConceptII igazi átjárást biztosít a VBS scriptek és a DOC makróvírusok között. Aktivizálódására a vírust tartalmazó HTML lap megnyitása után kerül sor. Ekkor megfertõzi az aktuális könyvtárban található valamennyi .VBS állományt, majd a Word-öt veszi célba. Miután ellenõrizte annak fertõzetlenségét (erre a célra a víruskód elején található 1nternal stringet használja), a NORMAL.DOT ThisDocument moduljába másolja magát. A vírus két részbõl áll, a VBScript komponensbõl és a Document_Close makrót tartalmazó VBA komponensbõl. Ezek közvetlenül egymás után találhatók a forráskódban (ne felejtsük el, hogy ezek a vírusok forráskód formájában terjednek), ezért mindkét komponens belekerül a modulba. A VBSript és a VBA közötti minimális különbségek miatt meg kell oldani, hogy egyszerre mindig csak a megfelelõ rész futhasson le. Ennek érdekében a bemásolás után a VBScript fázishoz tartozó sorok elé REM-eket illesztve kizárja azokat a végrehajtásból. A Word fázisban a ConceptII jóravaló makróvírusként teszi a dolgát. Bezáráskor megfertõz minden dokumentumot (ennek során is a kód legelején található 1nternal szavacskát tekinti a már fertõzöttsége jelének). Ha ez valamely hónap 15-én történik, akkor a vírus átlépt VBScript fázisba: végigkeresi a C: meghajtó valamennyi .VBS állományát, és azoknak tartalmát felülírja a vírus kódjával. A vírus felkészült az Office97 Service Release 1 fokozott makróvédelmére, ezért a terjedés során magát nem modulként másolja (amire egyébként a ThisDocument speciális modul használata miatt nem is lehetne lehetõség), hanem a célpontként kiszemelt modul legelejére másolja a vírus forráskódjának szövegét.

Corel makróvírusok

Általános bevezető:

A Corel irodai alkalmazáscsomagja is tartalmaz olyan makrónyelvet, amely alkalmas vírusok írására. Ez a makrónyelv, a Corel Script szegényesebb, mint a Word makrovírusok nyelve a WordBASIC, vagy a Word 97 makrovírusok VBA nyelve, de elégséges az önszaporító programok előállításához. A Corel Script nyelv egy egyszerűBASIC nyelv, néhány beépített függvénnyel kiegészítve. Megalkotásakor nem a Corel alklamazásokat

vezérlőmakrónyelv lehetett a cél, hanem egy egyszerűBASIC interpreter létrehozása. A nyelv ugyanakkor tartalmazza ugyanazokat a párbeszédablak elemeket, amelyek a WordBASIC-ben is szerepelnek. A Corel Script vírusai Word-beli társaikkal ellentétben nem jelentenek komoly veszélyt. Ennek több oka is van: 1. A Corel scriptjei nem a dokumentumokban tárolódnak, hanem külön, CSC kiterjesztésűállományokban. Ezért bár egy lokális gépen lehetséges nagyobb fertőzés kialakulása, ez nem terjedhet át más számítógépekre, így igazi kiterjedt fertőzésekre nem lehet számítani. 2. A Corel script nem támogatja az automatikus makrókat vagy a menüparancsok átdefiniálását. Így ezen vírusok csak akkor aktivizákódhatnak, ha a felhasználó lefuttat egy fertőzött scriptet. Ekkor a futó script meg tud fertőzni más scripteket, de a futás végeztéve l a vírus inaktívvá válik. Következő aktivizálódására csak a következőscript-futtatáskor kerülhet sor.

Részletes vírusleírások Corel.Galadriel.A Összefoglalás:

Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

CSC.A --1999. május ---Corel scriptek Üzenetek megjelenése Fertőzött script futtatása Fertőzött script futtatása --Csak vírusgyűjteményekben fordul elő


-----

Részletes leírás: A Galadriel.A az elsőismert vírus, amely a Corel alkalmazáscsomag Corel Script programnyelvében íródott, és amely Colre scripteket fertőzővírus. A vírus aktivizálódására fertőzött scriptek futtatásakor kerül sor. Ekkor a vírus ellenőrzi a dátumot, és ha az éppen június 6-a, akkor egy üzenetablakban megjeleníti az alábbi szöveget (amely a Gyűrűk Ura c. fantasztikus regényből vett idézet):

" Ai! laurië to lantar lassi súrinen. Yéni únótime sees rámar aldaron, yéni sees linte yuldar to vánier my oromardi lisse-miruvóreva Andúne Vardo pellet to tellumar nu luini yassen to tintilar i eleni ómaryo airetári-lirinen. .... " Ezután a vírus végignézi az aktuális könyvtárban levőösszes CSC kiterjesztésűscriptet. Ha valamelyik legelső sorának legelején megtalálja a �REM VIRUS�szöveget, akkor azt fertőzöttnek veszi, és a további terjedés forrásának használja. Ezután keres egy fertőzetlen scriptet (vagyis olyat, aminek az elején nem a fenti szöveg található), és azt a fertőzés célpontjának tekinti. A célpont eredeti tartalmát lementi egy ideiglenes, MALLORN.TMP nevűállományba, kitörli a tartalmát, majd a forrásul szolgáló állomány elejéről egészen a víruskód végét jelzőREM END kezdetűsorig soroonként átmásolja a célpontba.Végezetül a víruskód végére illeszti a MALLORN.DAT álományból a célpontul kiválasztott script eredeti tartalmát. A Galadriel.A a víruskódban levőszövegek és a használt változónevek alapján minden bizonnyal spanyol nyelvterületen íródott. A vírus nem tartalmaz semmiféle romboló rutint.

Hoaxok (számítógépes hírlapi kacsák) Mi is az a hoax? Legegyszerűbben: kacsa, átverés, tréfa, rémhír.

Bevezetés Az Interneten folyamatosan információ áramlik a számítógépes vírusokról, "Trójai falovakról" és egyéb kártékony programokról. A valódi vírus leírások, veszélyre figyelmeztetőlevelek közé számítógépes hoaxok is vegyülnek. Bár ezek nem fertőzik meg a számítógépes rendszereket, mégis időt és pénzt pocsékolnak azáltal, hogy hamis információ terjesztésére (s így pl. a hálózatok felesleges terhelésére) veszik rá a gyanútlan, jóhiszeműfelhasználókat. Általában elmondható, hogy a hoaxok leleplezése és a rémhír terjedésének megakadályozása sokkal több időt és energiát emészt fel, mint a valódi vírusok okozta káresetek kezelése. Ha pontosan nem azonosítható, meg nem erősített figyelmeztetést kapnak, ne küldjék tovább barátaiknak, ismerőseiknek, ahogyan azt legtöbbször maga a szöveg is javasolja, hanem először kérjék ki számítógépes szakemberek véleményét. Lehetőleg ne fogadják el a sokad kézből származó információkat. Néha informatikai biztonságtechnikával foglalkozó cégek, vagy vírusellenes szoftverek fejlesztői is kibocsátanak figyelmeztetőfelhívásokat, ám ezek eredete minden esetben tisztázottnak vehető(pontosan tudható, ki vagy kik indították el), sokszor a kibocsátó saját PGP kulcsával is aláírja ezeket hitelesíthetőség céljából.

Hogyan azonosítsuk a hoaxokat? Sokféle mód létezik a hoaxok azonosítására, de előbb tekintsük át mit csinál a sikeres hoax az Iterneten. A sikernek két tényezője van: 1. A számítógépes szakzsargon használata 2. A hitelesség látszata

Ha figyelmeztetés bizonyos tecnikai szakzsargont használ, s a legtöbben, még a szakemberek is, hajlamosak valódinak hinni. Például a Good times hoax a következőt tartalmazza: "... ha a program nem áll le, a processzor végtelen ciklusba kerül és ez súlyosan károsíthatja azt..." Elsőolvasásra szakszerűtűnik. Egy kis utánanézéssel viszont kideríthető, hogy szó sem lehet róla, hogy egy végtelen ciklusba került processzor (maga a végtelen ciklus szoftver hiba folytán előállhat) ettől fizikailag károsodjon. „Szavahihetőség” alatt az üzenet küldőjére utalunk. Ha egy nagy műszaki cég nevében küldik az üzenetet, az emberek hajlamosabbak hitelesnek elfogadni, mert egy „ilyen cégnek tudnia kell ezekről a dolgokról”. Még akkor is, ha a figyelmeztetést küldőszemély nem a cég egyik kulcsembere, a cég presztizséből adódóan elfogadják. Ráadásul ha a cég egyik vezetője küldi a figyelmeztetést az a beosztása miatt méginkább hihetőnek tűnik. Különös éberségre int az, ha a figyelmeztetésben hangsúlyozzák a továbbküldés fontosságát. Ez a hoax fontos ismérve. Ha a Federal Communication Commission (FCC) jelzés is benne van, ez újabb intőjel. A FCC soha sem küld és nem is fog küldeni ilyen üzeneteket vírusokról. Ez nem az őfeladatuk. Mindenkinek csak azt ajánlhatjuk, hogy NE küldjön ilyen figyelmeztetőkörözvényeket anélkül, hogy előbb meg nem bizonyosodott valósságukról. Erre alkalmas módszer, ha megkérdezi rendszergazdáját vagy erre specializálódott cégek szakembereit. A valódi figyelmeztetések vírusokkal és egyéb hálózati problémákkal kapcsolatban általában a következőszervezetektől érkezhetnek: pl. CIAC, CERT, ASSIST, NASIRC, vagy bármely antivírus fejlesztô cég és többnyire PGP digitális aláírás van rajtuk. A névtelen üzenetek, vagy azok, amelyek nem létezőcímet, telefonszámot tartalmaznak, nagy valószínüséggel hoaxok. Figyelmeztetőüzenet vétele esetén a hozzá csatolt PGP aláírást kell megvizsgálni, hogy valódi, hiteles szervezettől érkezett-e. Ehhez egy PGP szoftwer és a szervezet publikus kulccsa szükséges, melyet mindenkitôl (legyen az személy vagy szervezet) elsô kézbôl igyekezzünk megszerezni. Ha nincs PGP aláírás a levélen, s ha a levél tartalmazza a feladó adatait, kapcsolatba kell vele lépni és megtudni, valóban küldött-e ilyen üzenetet. Ha nincsenek benne ilyen adat, vagy azok valótlannak tünnek, megkérdőjelezhetőa levél hitelessége, ezért ne küldjük tovább. Ehelyett a rendszergazdának vagy ezzel foglalkozó cégnek adjuk át értékelésre. Az antivírus programokkal foglalkozó vállalkozások web oldalain is található információ az ismert vírusokról és hoaxokról. Őket is érdemes lehet keresni Inerneten keresztül vagy telefonon.

Az elterjedtebb hoaxok

Microsoft E-Mail Tracking System hoax A hoax eredeti angol szövege a következő: Netscape and AOL have recently merged to form the largest internet company in the world. In an effort to remain at pace with this giant, Microsoft has introduced a new email tracking system as a way to keep Internet Explorer as the most popular browser on the market. This email is a beta test of the new software and Microsoft has generously offered to compensate those who participate in the testing process. For each person you send this email to, you will be given $5. For every person they give it to, you will be given an additional $3. For every person they send it to you will receive $1. Microsoft will tally all the emails produced under your name over a two week period and then email you with more instructions. This beta test is only for Microsoft Windows users because the email tracking device that contacts Microsoft is embedded into the code of Windows 95 and 98. Pár mappal a hoax elterjedése után bukkant fel ez a kiegészítés:

I know you guys hate forwards. But I started this a month ago because I was very short on cash. A week ago I got an email from Microsoft asking me for my address. I gave it to them and yesterday I got a check in the mail for $800. It really works. I wanted you to get a piece of the action. You won't regret it. Magyar változat még nem ismeretes.

Budweiser Frogs Ez a hoax mostanában Magyarországon is számos alkalommal feléledt és mind angol, mind magyar nyelven sokan küldözgették egymásnak. A szöveg tipikusnak is nevezhetô: nem derül ki a hír pontos származása, súlyos ártalmakkal fenyegetôzik, de nem ad rá részletes magyarázatot, majd felszólít a hír minél szélesebb körü terjesztésére. Angol nyelvü változata a következô szöveget tartalmazza: DANGER! VIRUS ALERT! THIS IS A NEW TWIST. SOME CREEPOID SCAM-ARTIST IS SENDING OUT A VERY DESIRABLE SCREEN-SAVER {{THE BUD FROGS}}. IF YOU DOWN-LOAD IT, YOU'LL LOSE EVERYTHING!!!! YOUR HARD DRIVE WILL <<>> CRASH!! DON'T DOWNLOAD THIS UNDER ANY CIRCUMSTANCES!!! CIRCULATION ON 05/13/97, AS FAR AS I KNOW!!

IT JUST WENT INTO

PLEASE DISTRIBUTE THIS WARNING TO AS MANY PEOPLE AS POSSIBLE...

Ennek a hoaxnak magyarra fordított változata is él: FIGYELEM! Valaki egy nagyon feltünõ screen-savert (Budweiser Békák) küldözget, de ha letöltöd mindent elveszítesz a winchester-rõl! Semmilyen körülmények között se mentd le! A vírus neve: BUDDYLST.ZIP NE NYISSATOK KI! Vigyázz nagyon! Ha megnyitod, szinte mindent le fog törölni a disc-edrõl. Ez egy új és nagyon ártalmas vírus és csak kevesen vannak, akik tudnak róla. Ezt az információt nemrég hirdette ki a Microsoft. Hogy megállíthassuk, légy szíves küld el ezt az üzenetet minden személynek a címjegyzékedbõl!

Cancer chain letter Néhány alkalommal nem félelmeinkre, hanem együttérzésünkre alapozzák a hoax tartalmát, mint például ennél, a súlyos rákbeteg kislányról szóló híradásnál. Az eredeti angol szöveg a következô: Dear All, I just received this mail from a friend of mine in my College. Please respond to it. It will just mean employing a little bit of time and won't cost you a penny. All it needs is the heart for you to send this mail. PLEASE pass this mail on to everybody you know. It is the request of a little girl who will soon leave this world as she has been a victim of the terrible disease called CANCER. Thank you for your effort, this isn't a chain letter, but a choice for all of us to save a little girl that's dying of a serious and fatal form of cancer. Please send this to everyone you know...or don't know. This little girl has 6 months left to live, and as her dying wish,she wanted to send a chain letter telling everyone to live their life to fullest, since she never will. She'll never make it to prom, graduate from high school, or get married and have a family

of her own. By you sending this to as many people as possible, you can give her and her family a little hope, because with every name that this is> sent to, The American Cancer Society will donate 3 cents per name to her treatment and recovery plan. One guy sent this to 500 people!!!! So,I know that we can send it to at least 5 or 6. Come on you guys....and if you're too selfish to take 10-15 minutes scrolling this and forwarding it to EVERYONE, then you are one sick person. Just think it could be you one day. It's not even your money, just your time!!! PLEASE PASS ON Dr. Dennis Shields Professor Department of Developmental and Molecular Biology Albert Einstein College of Medicine of Yeshiva University 1300 Morris Park Avenue Bronx, New York 10461 Phone 718-430-3306 Fax 718-430-8567

Free Gap Clothes hoax Ez a hoax a Microsoft E-mail Tracking System hoax változata. A hoax eredeti angol szövege a következő: FREE GAP CLOTHS - FOR REAL!!! Abercrombie & Fitch have recently merged to form the largest hottie outfitter company in the world! In aneffort to remain at pace with this giant, the GAP has introduced a new email tracking system to determine who has the most loya followers. This email is a beta test of the new clothing lineand GAP has generously offered to compensate those who participate in the testing process. For each person you send this e-mail to, you will be given a pair of cargo pants. For every person they give it to, you will be given an additional Hawaiian print T-shirt, for every person they send it to, you will recieve a fishermans hat! GAP will tally all the emails produced under your name over a two week period and then email you with more instructions. This beta test is only for Microsoft Windows users because the email tracking device that contacts GAP is embedded into the code of Windows 95 and 98. If you wish to speed up the "clothes receiving process" then you can email the GAP's P.R. rep for a free list of email addresses to try, at.... "[email protected] (mailto:[email protected])" (this was forwarded to me, it's not me saying this...) I know you guys hate forwards, but I started this a month ago because I was naked and couldn't get a date. A week ago, I got an email from the GAP asking me for my address I gave it to them yesterday and I got a box load of mechandise in the mail from the GAP!!!!! It really works! I wanted you to get a piece of the action, you won't regret it! Alison Rowan Assistant Director Annual Funds 5998 Alcala Park San Diego, CA 92110-2492 (619)260-2991 A hoax folytatása a következõ:

Hello everyone! My name is Amber McClurkin. You have probably heard about the email from Gap offering free clothes to anyone who will forward the message on. Well, I am the founder of Abercrombie and Fitch, and I am willing to make a better deal with you. You will receive a twenty-five dollar gift certificate for every five people you forward this to. This is a sales promotion in order to get our name our name out to young people around the world. We believe this project can be a success, but only with your help. Thank you for your support !!

Sincerely, Amber McClurkin Founder of Abercrombie and Fitch Magyar változat még nem ismeretes.

Free Windows 2000 Update CD hoax A hoax eredeti angol szövege a következő: Date: Tuesday, August 03, 1999 8:39 PM Subject: Fw: This is real I called Microsoft and this is for real. They are mailing me a Y2K update CD which is not available on the Web. Paul B. ---------You may or may not need these numbers, but pass it on to people who do! Windows 95 and 98 both need CD's to ready them for y2k. I called the numbers and it's TRUE. For no charge they mail you what is needed....the MS lady told me it makes them MORE y2k compliant or something like that....so I sent for one for my neighbor too, they don't mind sending more than 1 in a package. Here is the info. she sent me below: Notice to anyone running Windows 98 - it is NOT year 2000 compliant. Call Microsoft at 1-888-219-1302 to order the upgrade on CD-ROM. [Windows 95 see below] When you call, do not use the digital telephone number access. STAY on the line until the recording is done, and you'll get an operator to take your order.. Tell them you want "Windows 98 Year 2000 Update" on CD-ROM.. It IS free and there is no charge whatsoever for the CD or the shipping.. If you are using Windows 95 you must call 1-888-673-8925, option # 4 for 2000 update, which is free. Magyar változat még nem ismeretes.

Frog and Fish A hoax eredeti angol szövege a következő: If you've had forwarded Frog blender and Fish bowl to you, PLEASE get rid of them ASAP. Seems there is a terrible virus attached to them set to go on MAY 28th. If you do not delete them, your hard drive will get wiped out. Please delete these two immediately and run your virus protection. Please be advised: That I have been informed that the joke regarding the frog being splattered in a blender and the similar fish joke both contain viruses set to execute on the 28th of May and if you still have them on your hard drive to delete them a.s.a.p.

The programs were called blender.exe and fish.exe. PLEASE make sure everyone has deleted it and run their virus check program. This virus is the worst one yet - it wipes your harddrive completely. Remember to check your temp. files as well to make they are not lurking there, and also to make sure that you empty out your Recycle / Delete bins. Regards Please forward this to anyone you may have sent this e-mail to!!! Magyar változat még nem ismeretes.

Good Times A "Good Times" virus figyelmeztetés is egy hoax. Ilyen néven nem ismeretes egyetlen vírus sem. Mégis, már évek óta kering az interneten ez a figyelmeztetés. Tipikus módon használja a szakszerüség látszatát keltô elemeket, valamint a tekintélyes forrásra való hivatkozást. Az üzenet eredeti angol szövege: ******** VIRUS ALERT ****** VERY IMPORTANT INFORMATION: PLEASE READ ! There is a computer virus that is being sent across the Internet. If you receive an email message with the subject line "Deeyenda", DO NOT read the message, DELETE it immediately. Please read the messages below. Some miscreant is sending email under the title "Deeyenda" nationwide, if you get anything like this DON'T DOWNLOAD THE FILE! It has a virus that rewrites your hard drive, obliterating anything on it. Please be careful and forward this mail to anyone you care about. FCC WARNING !!!!! ----- DEEYENDA PLAGUES INTERNET ---The internet community has again been plagued by another computer virus. This message is being spread throughout the internet, including USENET posting, EMAIL, and other interent activities.. The reason for all the attention is because of the nature of this virus and the potential security risks it makes. Instead of a destructive trojan virus (most viruses!), this virus, referred to as Deeyenda Maddick, performs a comprehensive search on your computer, looking for valuable information, such as email and login passwords, credit cards, personal info, etc. The Deeyenda virus also has the capability to stay memory resident while running a host of applications and operation systems, such as Windows 3.11 and Windows 95. What this means to internet users is that when a login and PASSWORD are sent to the server, this virus can COPY this information and SEND IT OUT TO AN UNKNOWN ADDRESS (varies). The reason for this warning is because the Deeyenda virus is virtually undetectable. Once attacked, your computer will be unsecure. Although it can attack any O/S, this virus is most likely to attack those users viewing Java enhanced Web Pages (Netscape 2.0+ and Microsoft Internet Explorer 3.0+ which are running on Windows 95) . Researchers at Princeton University have found this virus on a number of World Wide Web pages and fear its spread. Please pass this on, for we must alert the general public at the security risks.

Bõvebb információ: http://ciac.llnl.gov/ciac/notes/Notes09.shtml

Hallmark Greeting Card hoax A hoax eredeti angol szövege a következő:

The subject was: "Tag" and the the message body is: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! If Life is a waste of time, & time is a waste of life, then let's all get wasted together and have the time of our lives. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! There was a binary attachment which seems to be from hallmark (the card developers). A nice animation is shown of a dog who taps on the screen and says: "Tag your it! forward this to everyone and keep the chain alive" or something. I scanned the file with 4 AV's but they say it was clean. Then my Internet explorer wouldn't start anymore. So apparently this program wrecks your Internet Explorer (and maybee some different programms) Magyar változat még nem ismeretes.

How to Give a Cat a Colonic hoax A hoax eredeti angol szövege a következő: IF YOU RECEIVE AN E-MAIL ENTITLED, "HOW TO GIVE A CAT A COLONIC," DO NOT OPEN IT!!!!!!!! It will erase everything on your hard drive. Forward this letter out to as many people as you can. This is a new, very malicious virus and not many people know about it This information was announced by IBM Please share it with everyone that might access the Internet. Once again, pass this along to EVERYONE in your address book so that this may be stopped. AOL has said that this is a very dangerous virus and that there is NO remedy for it at this time. Please practice cautionary measures and forward this message to all your online friends ASAP. Magyar változat még nem ismeretes.

"Join the crew","Penpal greetings" A "Join the crew" vagy "Penpal greetings" vírus figyelmeztetés is egy hoax. A benne leírtak sem helyesek, mivel önmagában egy elektronikus levél nem képes károkozásra illetve fertõzésre. A figyelmeztetés sok formában elõfordulhat, az alábbiakban látható néhány változat: Magyar változat: "Ha "Join the crew" vagy "penpal greetings" címu üzenetet kapsz (ráadásul látszólag az IBM-tol), NE OLVASD EL. A "Join the crew" levél elolvasáskor mindent töröl a merevlemezrol. A "penpal greetings" ártatlan meghívásnak tunik, de megnyitásakor a benne lévo Trójai vírus megfertozi a boot szektort és minden adatot töröl. Önreplikáló vírusról van szó: automatikusan továbbküldi magát a címjegyzékben szereplo valamennyi címre. Ha a levelezo kliens támogatja, célszeru automatikusan törölni azokat a beérkezo üzeneteket, amelyek subject sora a "join the crew" vagy "penpal greetings" szövegeket tartalmazza." Magyar változat:

"Ha kapsz egy JOIN THE CREW... vagy ....PENPAL..., esetleg hasonló címzésu levelet, NE NYISSÁTOK MEG ! VÍRUS REJOZIK BENNE! Ez a PENPAL(levelezotárs) egy barátságos levél, hogy érdekel-e egy levelezotárs (vagy valami hasonló,gyenge vagyok angolból)de akkor már túl késo. Ez a trójai vírus már megfertozte a lemezed boot szektorát és megsemmisíti az adataidat, ráadásul elküldi saját másolatait a te címjegyzékedben lévo összes címre. Úgyhogy, ha PENPAL vagy JOIN THE CREW címzésu levelet kapsz azonnal TÖRÖLD KI, mert nagy kárt tehet az egész világon" Angol változat: "WARNING!!!! If you receive an e-mail titled.. JOIN THE CREW... for PENPALS, DO NOT open it! It will erase EVERYTHING on your hard drive! Send this letter out to as many people as you can... .this is a new virus and not many people know about it!! This information was received this morning by IBM, Please share it with anyone that might access the Internet! PENPAL appears to be a friendly letter asking you if you are interested In a pen pal but by the time you read this letter it is TOO late. The Trojan horse virus will have already infected the boot sector of your hard drive, destroying all the data present. It is a self-replicating virus, and once the message is read it will AUTOMATICALLY forward itself to anyone who's e-mail address is present in your box!!! This virus will destroy your hard drive and holds the potential to DESTROY the hard drive of anyone whose mail is in your box and whose mail is in their box and so on and on! So delete any message titled PENPAL or JOIN THE CREW. This virus can do major DAMAGE to worldwide networks!!! PLEASE PASS THIS ALONG TO ALL YOUR FRIENDS AND PEOPLE IN YOUR MAILBOXES.."

Macro Virus from Microsoft hoax A hoax eredeti angol szövege a következő: There is a macro virus going off on Oct 1!!! All computers installed with Windows 95 are installed with this virus. It is a time bomb Virus. Microsoft has already apologized for the mass breakdown of computers around the world on that day. However they had yet to come up with a remedy. Some versions of Win95 are safe but some are not. Please be careful, and forward to all your on-line friends ASAP. Not a lot of people know about it, just let everyone know, so they won't be a victim. Please forward this e-mail. Magyar változat még nem ismeretes.

Email Bomb Warning A hoax eredeti angol szövege a következő:

Subject: Email Bomb Warning We have received several notices of a new email virus called "y2kstat.exe". This is not a hoax. If you receive a mail message with the "y2kstat.exe" program, do not run the program. DELETE THE MAIL MESSAGE. This program destroys systems files that are required to boot the machine. We are currently filtering email messages for this virus in hopes of preventing any destruction. Magyar változat még nem ismeretes.

Night Kiss Greeting CardWarning Ez a hoax 1999. júliusában jelent meg. Az említett "Night Kiss" üdvözlõkártya és a Kiss Card webhely nem létezik... A hoax eredeti angol szövege a következő: Night Kiss Animated greeting card Night: don't get it ! If you get an animated greeting card named Night Kiss from a site called Kiss card, don't download the card, don't execute the file under named My kiss and don't accept any cookie form that site. It's a hacker site that uses musical animated greeting cards to infect your computer. Magyar változat még nem ismeretes.

PKZ300 A PKZ300 egy tipikus Trójai faló. Elôször 1995 közepén adtak hírt róla. A figyelmeztetés maga már szinte legenda számba megy. Nagyon kevés alkalommal találkoztak ezzel a Trójaival, mely kivételesen még létezik is. A kezdetben szétküldött riasztások helyénvalók voltak. Hoaxszá akkor lett, amikor e figyelmeztetô írások sokadik alkalommal indultak útjukra és nagyon sok emberhez újra és újra megérkeztek. Ezek az ismétlõdõ figyelmezetések már értelmetlenek. Bõvebb információ: http://www.pkware.com.

Red Alert hoax A hoax eredeti angol szövege a következő: Red Alert for anybody using Microsoft's Internet Explorer as their web browser. This came in on the virus forum at the University of Hamburg from a fairly reliable source: Mikko H. Hypponen ([email protected]) in Finland. (datafellows is an anti-virus company) The first indication that something was amiss was when the computer of an MIS professional friend of Mikko's was completely wiped -- including BIOS and CMOS -- on 11-20-96. It took a great deal of arguing with Microsoft until 11-2296 (logged at 0930 hours) when they finally admitted something was wrong and took "their homepage into their lab." Mikko's first report was at 11:13 on 11-22-96. By 13:17 on 11-22-96 the following message was received: Okay, it's official (last conversation with techs at 1200 hrs, 11-22-96, virus confirmed) Western Digital and Microsoft confirm that a new virus is on the web and they cannot isolate it. The only thing they know for sure is that it completely wipes out a computer. As of this time, they cannot determine how best to get rid of the thing once it is in your system. [irrelevant "in-joke" cut] They are recommending that until they can isolate it (it

appears to be coming from several locations) you just stay off the web. This sounds like a trojan rather than a virus, but it is extremely destructive nonetheless. Unless you can filter addresses so your webbrowser will not go to Microsoft's home page, stay off Microsoft's home page until further notice. (As Mikko post updates, I'll forward them.) Incidentally, Mikko and his friend *were* frequent users of Microsoft's Web browser. Magyar változat még nem ismeretes.

Win a holiday A hoax eredeti szövege: If you receive an email titled "WIN A HOLIDAY" DO NOT open it. It will erase everything on your hard drive. Forward this letter out to as many people as you can. This is a new, very malicious virus and not many people know about it. This information was announced yesterday morning from Microsoft; please share it with everyone that might access the internet. Once again, pass this along to everyone in your address book so that this may be stopped.

Wobbler hoax A hoax eredeti angol szövege a következő: Thought you might be interested in this message. If you receive an email with a file called "California" do not open the file. The file contains the "WOBBLER" virus. This information was announced yesterday morning by IBM. The report says that ... "This is a very dangerous virus, much worse than "Melissa" and there is NO remedy for it at this time. Some very sick individual has succeeded in using the reformat function from Norton Utilities causing it to completely erase all documents on the hard drive. It has been designed to work with Netscape Navigator and Microsoft Internet Explorer. It destroys Macintosh and IBM compatible computers. This is a new, very malicious virus and not many people know about it at this time. Please pass this warning to everyone in your address book and share it with all your online friends ASAP so that the destruction it can cause may be minimized. Magyar változat még nem ismeretes.

Work Virus hoax Nagyon jópofa ez a figyelmeztetőlevél. A munka vírus veszélyeiről fenyeget, melyek közé a társadalmi élet törlődése is beletartozik. A "virus" írtásához küldjünk egy levelet a főnökünknek a következőszöveggel: "Elegem van a hülyeségeidből....lementem a kocsmába:". Ha netán a "munka" vírusfertőzést papír dokumentum formában kapjuk, csak egyszerűen dobjuk a kukába.... A hoax eredeti angol szövege a következő: This virus warning is genuine. There is a new virus going around, called "work." If you receive any sort of "work" at all, whether via email, internet or simply handed to you by a colleague...DO NOT OPEN IT.

This has been circulating around our building for months and those who have been tempted to open "work" or even look at "work" have found that their social life is deleted and their brain ceases to function properly. If you do encounter "work" via email or are faced with any "work" at all, then to purge the virus, send an email to your boss with the words "I've had enough of your crap... I'm off to the pub." The "work" should automatically be forgotten by your brain. If you receive "work" in paper-document form, simply lift the document and drag the "work" to your garbage can. Put on your hat and coat and skip to the nearest bar with two friends and order three pints of beer (or rum punch). After repeating this action 14 times, you will find that "work" will no longer be of any relevance to you and that "Scooby Doo" was the greatest cartoon ever. Send this message to everyone in your address book. If you do NOT have anyone in your address book, then I'm afraid the "work" virus has already corrupted your life. Magyar változat még nem ismeretes.

Y2K Computer Clock Bug Fix hoax A hoax arra buzdít mindenkit, hogy állítsa át a dátum formátumát, mert így elkerőlhetőaz un. y2k bug. Ennek persze semmi értelme sincs, a lent leírt beállítások nem teszik 2000 év kompatibilissá a számítógépünket, ha még nem lenne az. A hoax eredeti angol szövege a következő: Hey all, If you haven't heard of this, you need to do it. It is simple and quick. Send it to everyone else you know. Best regards, Bill Snyder-Computer Guru Y2K Computer Clock Bug Fix I received this and checked my computer and found it to be set up to fail. I recommend you check and fix your computers. If you are running Windows, this is a fix for a small Y2K problem almost everyone should do. After running this quick little test, much to my surprise, I learned that my computer would have failed on 01-01-2000 due to a computer clock glitch. Fortunately, a quick fix is provided, should your computer fail the test. I submit the following for your consideration: TEST 1. Double click on "My Computer". 2. Double click on "Control Panel". 3. Double click on "Regional Settings" icon. 4. Click on the "Date" tab at the top of the page. 5. Where it says, "Short Date Sample", look and see if it shows a "two digit" year. Of course it does. That's the default setting for Windows 95, Windows 98 and NT. This date RIGHT HERE is the date that feeds application software and WILL NOT rollover in the year 2000. It will roll over to 00. NOW TO FIX IT : 6. Click the drop-down arrow to the right of "Short Date Style" 7. Select the option mm/dd/yyyy. (Be sure your selection has four Y's, not two) 8. Click "OK" Easy enough to fix. However, every single installation of Windows worldwide is defaulted to fail Y2K rollover. Makes you wonder. Please feel free to pass this on to your friends and associates.

Magyar változat még nem ismeretes.

Internet worm-ok Általános bevezető: Az Internet széleskörűelterjedése magával hozta az e-mail en terjedővírusokat is. Ezek a vírusok felismerhetőek arról, hogy mindíg tartalmaznak valamilyen csatolt állományt, ami maga a vírus. Ha nem indítjuk el, nem nyitjuk meg ezeket a mellékleteket, akkor a vírus nem tud semmilyen kárt okozni. A beérkezett levelünk nem kap indítási jogot, csak mikor a csatolt fájlhoz nyúlunk hozzá. A csatolt fájlban lévővírus makró vagy programvírus lehet. A wormok másik tulajdonsága, hogy önmagukat küldözgetik a fertőzött gép e-mail címével mint feladó.


Back Orifice 2000 Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

--1999 július USA Minden -Fertőzött melléklet futtatása nem terjed -Világszerte elterjedt

Részletes leírás: A Back Oricife 2000 inkább trójai program mint worm, hiszen lopakodva megbújik egy másik program belsejében. A BO2K program két részre osztható, kliens és szerver oldali programra. A kliens oldali programot a hacker használja, míg a szerver oldali programot az irányítandó gépen találjuk meg. A program installálás után rezidenssé válik, és egy portot figyel, ahol a kliens fel tud kapcsolódni rá. kapcsolódás után a hacker bármit megtehet, pl. fájlokat törölhet, másolhat, feltölthet, újraindíthatja a gépet, megtudhatja a jelszavakat, üzenetablakot irathat ki a képernyőre, zinte bármit megtehet, amit a gép előtt ülőfelhasználó. Ahhoz, hogy a gép indulásakor aktíválódni tudjon a BO2K, a windows registry állományt kell átírnia. A következőbejegyzés alá szúrja be magát Windows 9x alatt: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Illetve Windows NT alatt: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Ezen kulcsok értékeinek törlésével nem csak a BO2K-t hatástalanítjuk, hanem a tálcán, az óra mellett lévő programokat is, mint pl. a hangerőszabályzó. Bár a telepítéskor bármilyen nevet kaphat a BO2K szerver fájl, az alapbeállítás szerint UMGR32.EXE névre hallgat. ha ilyen nevűfájlt találunk a Windows\System, illetve a

Windows\System32 könyvtárban, akkor mozgassuk át valahova máshová, és a BO2K máris inaktív, de csak a következőrendszerindítás után!

Win32.Ska Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

Happy99 10000 bájt 1999 -Levél és news üzenetek --Fertőzött melléklet futtatása Levél vagy news üzenet külése --Világszerte elterjedt

Részletes leírás: A Happy99 féregnek tekintendő, bár attól eltérően nem úgy terjed, hogy közvetlenül megsokszorozza és szétküldi magát, hanem vírusokhoz hasonlóan parazita módon belefészkeli magát a normális levélküldési folyamatba, és annak aktivizálódásakor (vagyis egy e-mail vagy news-üzenet elküldésekor) önmagát is továbbküldi. Ennek során egy új levelet hoz létre az eredetivel azonosfejléccel, ami csak egy attachment-et tartalmaz, a férget EXE formában. Emiatt, mivel önmagát sokszorozza, és nem az elküldendőlevélhez adja magát, hanem egy újat hoz létre, nem tekinthetővírusnak. Mindig egy normális küldeményhez csapódva, általában biztonságos forrásból jön, ezért nagyobb a veszélye a jóhiszeműfuttatásának. A fertőzött melléklet végrehajtásakor a féreg szórakoztató tűzijátékot mutat be. Közben a háttérben azonban telepíti magát a rendszerbe, majd elfogja az Internetre kuldott emaileket, es mellékletként hozzájuk fű zi magát.

Ennek eredményeképpen a féreg képes továbbterjedni mindazokra a rendszerekre, amelyekre a fertőzött rendszerről levél érkezik. A HAPPY99.EXE program a féreg droppere, ez hozza létre önmagából kibontva a SKA.EXE-t és a SKA.DLL állományokat. Először a WSOCK32.DLL-t módosítja (az eredeti példányt a biztonság okáért elmenti WSOCK32.SKA néven) úgy, hogy a végére biggyeszt egy rövid kódot, és a DLL azon importált eljárásait, amelyek a levél vagy newscikk elküldéséért felelősek, erre a kódra irányítja. Levél küldésekor ez a kód lefut, és az eredeti küldemény elküldése mellett ugyanolyan fejléccel, de a férget tartalmazó melléklettel elküld egy újabb levelet. A féreg pontosan egy, 10000 byte-os HAPPY99.EXE nevűWin32 Portable Executable (PE) belsőstruktúrájú végrehajtható állományként érkezik. Windows 95/98 rendszereken probléma nélkül telepíti magát és megkezdi a szaporodást. Windows NT alatt programhibák miatt nem képes a szaporodásra. A féreg különbözőszövegeket tartalmaz, némelyiket kódolva: Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999. Happy New Year 1999 !!

Pretty Park

Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

CHV 37 kbyte 1999 -Levél és news üzenetek -Fertőzött melléklet futtatása Levél vagy news üzenet külése backdoor Világszerte elterjedt

Részletes leírás: A PrettyPark nevűvírus internet worm, jelszólopó trojai és backdoor program egyszerre. A fertőzés 1999 junius elején terjedt el Európában. A PrettyPark e-mailen keresztül terjeszti magát, akár csak a Melissa, és csatolt fájlként van mellette a Pretty Park.exe fájl, ami maga a vírus. Ha ezt a mellékletként kapott fájlt elindítjuk, akkor a címlistában levőcímekre elküldi saját magát, és elküldi valakinek (valószínűa vírus írójának) a megfertőzött rendszer beállításait és jelszavait. Így könnyen be lehet jutni a fertőzött gépbe kívülről. A vírus elsőindulásakor megnézi, hogy aktív-e már a gépen. Ha még nem, akkor elkezdi a telepítőrutinját futtatni. A lebukás elkerülése miatt rejtett feladatként működik, így nem látható a feladatkezelőben. A vírus létrehozza a FILES32.VXD fájlt a Windows\System könyvtárban, és módosítja a rendszerleíró adatbázist, hogy minden .EXE fájl futtatása esetén a FILES32.VXD is induljon el. Ha törlődik a FILES32.VXD, és a regisztrációs kulcs még nincs kijavítva, egyetlen .EXE fájl sem fog elindulni. A kulcs a következő: HKEY_CLASSES_ROOT\exefile\shell\open\command Ha a worm valamilyen hibát észlel a telepítés közben elindítja az SSPIPES.SCR képernyővédőt, vagy ha ezt nem találja akkor a Cansalisation3D.SCR -el próbálkozik. Amikor a vírus internet kapcsolatot érzékel aktíválja két rutinját. Az elsőt 30 másodpercenként, amely üzenetet küld egy IRC szerverre. Így jelenti a worm, hogy aktív egy gépen. Ha ez a vírus írójának a tudomására jut, akkor a program segítségével bármit meg tud tenni a fertőzött gépen: törölni, futtatni, létrehozni fájlokat, jelszavakat, telefonszámokat megnézni.... A következőIRC szervereken próbálkozik a worm: irc.twiny.net irc.stealth.net irc.grolier.net irc.club-internet.fr ircnet.irc.aol.com irc.emn.fr irc.anet.com irc.insat.com irc.ncal.verio.net irc.cifnet.com irc.skybel.net irc.eurecom.fr irc.easynet.co.uk

A második rutin, amely 30 percenként aktíválódik, megnyitja a címlistát, kiolvassa az e-mail címeket, és üzenetet küld ezekre a címekre. A tárgy mezőbe a következősor kerül: C:\CoolProgs\Pretty Park.exe A levél törzsbe nem kerül semmi, viszont mellékletként szerepel a Pretty Park.exe program.

Zipped_Files Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége

ExploreZIP -1999 -Levél és news üzenetek -Fertőzött melléklet futtatása Levél vagy news üzenet külése fájlok csonkolása --

Részletes leírás: A Zipped_Files szintén egy Melissa alapú internet worm. Felismerhetőségét rontja, hogy az Inbox-ban lévő levelekre küld választ, tehát olyan, mintha egy elküldött levelünkre kapnánk visszajelzést. Az e-mail felépítése a következő: Hi [címzett neve]! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. sincerely [küldőneve] Mellékletként a zipped_files.exe fájlt kapjuk. Ha megnyitjuk a fájlt, úgy tesz, mintha egy WinZip lenne, de hibaüzenettel megáll. Ezalatt a vírus bemásolja magát a \WINDOWS\SYSTEM\EXPLORE.EXE fájlba, majd módosítja a WIN.INI fájlt, hogy minden rendszerindításkor fusson le a vírus. Amint az EXPLORE.EXE elindult, 0 hosszúságra csonkolja a következőkiterjesztésűfájlokat: DOC, XLS, PPT, ASM, C, HA A vírus felismerhetőa windows feladatkezelőjében (zipped_files.exe), nem álcázza magát. A vírus kézzel is eltávolítható az EXPLORE.EXE törlésével, és a WIN.INI fájlból a 'run=' sor kitörlésével. A gép újraindítását követően törölhetőaz EXPLORE.EXE fájl is. Windows NT alatt nem a WIN.INI -be ír a vírus, hanem a rendszerleíró adatbázisban hoz létre egy kulcsot, ami minden gépinduláskor elindítja a vírust. A kulcs, amelyet meg kell keresni, a következő: HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Ezalól a következőbejegyzést kell törölni:

"run=C:\\WINNT\\System32\\Explore.exe" A gép újraindítása után az EXPLORE.EXE is törölhető.

A vírusleírásokban használt mezõk magyarázata Egyéb nevei Az egyes vírusokat a különbözõ víruskeresõk különbözõképpen nevezik. Bár jórészt a nagy cégek törekszenek a nevek egységesítésére, az újonnan felbukkanó vírusokat a felhasználók érdekében azonnal hozzá kell adni az adatbázishoz, az esetleges névegyeztetésre csak jóval késõbb, és csak a vírusok kis része esetében kerül sor. Emiatt egy és ugyanazon vírus különbözõ nevek alatt bukkanhat fel.

Effektív hossz A különbözõ vírustípusoknál mást jelent ennek a mezõnek a tartalma. A Word 6.0/7.0 makróvírusok esetében ez a mezõ a vírusmakrók bináris reprezentációjának teljes hosszát jelenti. Ez nem az jelenti, hogy a megfertõzött dokumentum ennyivel lesz hosszabb, mivel egyrészt ezen kívül egy, a makrók általános adatait is tartalmazó táblázattal is megnõ a dokumentum mérete, másrészt a Word sajátos OLE2 fájltárolási módszerének köszönhetõen a növekmény függ a dokumentum eredeti hosszától is. Mindenesetre az így megadott effektív hossz jellemzõ a vírusokra, minden fertõzött dokumentumban ugyanakkora lesz. A Word 97/Excel 97 makróvírusok esetében ez a mezõ a vírusmakrókat tartalmazó struktúrákon (streameken) belül a makrók bináris reprezentációjának teljes hosszát jelenti. Ez nem az jelenti, hogy a megfertõzött dokumentum ennyivel lesz hosszabb, mivel magukat a víruskód által használt változónevek egy teljesen más objektumban tárolódnak. Mindenesetre az így megadott effektív hossz jellemzõ a vírusokra, minden fertõzött dokumentumban ugyanakkora lesz.

Célpontok A vírusok által célba vett állományok specifikációját tartalmazza ez a mezõ. A makróvírusok esetében is meg kell különböztetni a .DOC illetve a DOC állományokat fertõzõ vírusokat. Az elõbbiek ugyanis a DOC kiterjesztésû állományokat veszik célba, az utóbbiak viszont a Word dokumentumnak megfelelõ belsõ szerkezetû állományokat.

Keletkezés helye és ideje A vírusok egy részének esetében pontosan lehet tudni, hol és mikor keletkeztek - erre utalhatnak a víruskódban elhelyezett üzenetek illetve az, hogy a vírusírók nagy része el szokta küldeni legfrissebb teremtményeit a vírusszakértõknek. A többi esetben csak a vírus elsõ felbukkanási helye vagy a kódban talált apró utalások alapján lehet meghatározni a hozzávetõleges keletkezési helyet és idõt.

Tünetek A vírusok jelenlétére a számítógépen különféle jelekbõl lehet következtetni. Ezek egyrészt szándékoltan a vírustól (üzenetek vagy a felhasználói környezet megváltoztatása révén), másrészt a vírus mellékhatásai és bizonyos programokkal való kölcsönhatásaiból származhatnak.

Fertõzés elindítója Egy vírus életciklusának legelsõ fázisa (az aktivizálódás) az, hogy a gazdagépre kerülve valamilyen módon végrehajtódjon. Ez a programvírusok esetében általában a program futtatása révén jön létre, a boot vírusok esetében a floppy-meghajtóban felejtett lemezrõl való rendszerindítás által, makróvírusok esetében pedig leggyakrabban pusztán a fertõzött dokumentum megnyitásával fertõzõdik a globális sablon. Ez a kezdeti lépés mindenképpen szúkséges ahhoz, hogy a vírus megvesse a lábát a számítógépen, és ott átvegye az események irányítását.

Terjedés elindítója Miután a vírus átvette az irányítást a gazdagépen, a következõ fázis a továbbterjedés, amikor is új célpontokat kell keresni. Ez történhet úgy, hogy a vírus az aktivizálódás során rögtön megfertõzi a következõ célponot, de történhet úgy is, hogy az aktivizálódás után a vírus vár a következõ célpont felbukkanására. A programvírusok esetében tipikusan a fájlmûveletek felett veszi át a vírus az irányítást, és például programok másolásakor vagy futtatásakor végzi el a fertõzést. Makróvírusok esetében a leggyakoribb esetekben a dokumentumok megnyitásakor, bezárásakor vagy mentésekor történik a fertõzés.

Romboló rutin A vírusok többsége ártalmatlan, kisebb részük azonban szándékoltan hordoz magában olyan kódrészleteket, amelyek alkalmasak a gazdagépen való károkozásra, amely lehet akár a fájlok tõrlése, a merevlemez formázása vagy a CMOS memória törlése.

Elterjedtsége Nem minden vírus fordul elõ szerte a nagyvilágban és okoz komoly fertõzéseket. Sõt, ennek éppen az ellenkezõje igaz, az összes ismert vírusnak a töredéke bukkan csak fel a valós életben, a többit az írójuk nem engedte szabadon, így csak a vírusgyûjteményekben bukkannak fel.

Vírusleírások. Általános bevezetõ: Boot vírusok

Recommend Documents