by skippy litherature:how does it works?

A computer v�rusokat, az�rt  h�vj�k v�rusnak mert hasonl�tanak a bi�logiai v�rusokra, csak ezek �pp nem az embert gyalulj�k le, hanem az ember sz�m�t�g�p�t. Ugyan�gy mint a biol�giai v�rusok, a v�rus is terjeszkedik. A biol�giai v�rus emberr�l 

emberre terjeszkedik, valamilyen �t alapj�n, teh�t a szam�t�g�p v�rus is �gy valahogy terjszkedik, csak nem �rrintkez�ssel, hanem legjobb esetben  floppy-n kereszt�l.

A v�rusok el�sz�r a nyolcvanas �vek v�g�n t�ntek fel, �s egy p�r ok miatt t�ntek fel. Az els� ok volt a PC-k terjeszked�se. A nyolcvanas �vekben felt�n� sz�m�t�g�pek „j�t�kok” voltak, az igazi sz�m�t�g�pek ritk�k �s a legt�bb esetben elvoltak z�rva, vagyis rakt�rozva a “profiknak”.Az igazi sz�m�t�g�pek a nyolcvanas �vek v�g�n kezdtek el terjeszkedni, k�sz�nhet�en az IBM PC n�pszer�s�g�nek. A m�sodik ok volt a h�rdet�t�bl�k megjelen�se. Ugyanis ezekr�l rengetegen �s rengeteget t�lt�ttek le k�l�nb�z� dolgokat. Ezekre nem interneten kereszt�l kapcsol�dtak r�, hanem modemen kereszt�l. Nagy volt a n�pszer�s�g�k a j�t�koknak is. Ezt kihaszn�lva, a programoz�k felt�lt�ttek egy “Tr�jai Lovat“ amit j�t�knak kereszteltek. A felhaszn�l� olvasva a l�r�l azt hitte hogy az egy j�t�k. �gy amikor elind�totta nem t�rt�nt semmi,teh�t a v�rus beindult...A harmadik ok volt a floppy-k megjelen�se. A nyolcvanas �vekben a programok olyan apr�ak voltak, hogy az eg�sz sz�m�t�g�pet, vagyis az oper�ci�s rendszert is floppy-r�l futtat�k!(mellesleg sok g�pnek nem is volt hard disk-je.)   

A r�gebbi v�rusok egy k�d r�sze voltak, ami megtal�lhat� az adott programban. Teh�t ha valaki let�lt�tt egy fert�zott j�t�kot a net-r�l, �s elind�tja azt, a v�rus aktiv�lja �s befecskendezi mag�t a mem�ri�ba. A mem�ri�ban a v�rus keres mag�nak egy programot. �gy teh�t m�r k�t v�rusos programunk van, de persze ezt mi nem tudjuk. �gy sajnos elind�tunk egy progaromot, ami fert�zott, �s evvel a v�rus megint aktiv�l�dik, �s megint keres mag�nak “j�tsz�t�rsat”. Ez a folyamat annyiszor j�tsz�dik le, ah�nyszor el�nditjuk a fert�z�tt programot. Ha a fert�z�tt programot odaadjuk valaki m�snak egy floppy-n ez a folyamat n�la is le fog j�tszodni �s �gy tov�bb. A v�rusok �nmagukban nem is lenn�nek olyan vesz�lyesek, ha csak t�bbsz�r�s�ten�k �nmagukat. Sajnos a v�rusok t�bbs�ge tartalmaz valamif�le t�mad� vagy rombol� jelleg� folyamatot. Valamif�le beind�t� folyamat ami beind�tja ezt a “t�mad�” folyamatot, �s a v�rus ilyenkor “csin�l valamit”. Ak�rmit a h�lye �zenetki�r�st�l az �sszes file kit�rl�s�ig. Az a beind�to folyamat lehet mondjuk egy d�tum, vagy �ppen ha a virus el�r egy bizonyos sz�mot a harddisken. A v�rus “k�sz�tok” egyre tobb �tlettel rukkolnak el�. Ilyen jelent�s �tlet volt a mem�ri�ba val� befecskendez�s. Evvel az “�ttor�ssel” a v�rusok m�kodhettek a h�tt�rben am�g csak a sz�m�tog�pen �l�sk�dnek. Ez a v�rusoknak sokat seg�tett, abban hogy min�l gyorsabban szaporodjanak a harddisk-en. M�g egy ilyen �ttor�s a boot sector megfert�z�se. A boot sector egy kis program, ami az els� r�sze az oper�ci�s rendszernek. Ahogy a v�rus megfert�zi a boot sector-t, garant�lja a beind�t� folyamatot is mivel a boot sector-t mindig elind�tjuk amikor bekapcsoljuk a sz�m�t�g�pet. A boot sectorban l�v� v�rusok ak�rmilyen berakott floppy (CD-�t nem!) boot sector�t megfert�zheti, �s folytat�dik a mese. Ugyanez megt�rt�nhet k�z�piskol�kban ahol (jobb finanszi�lis esetben) rengeteg sz�m�t�g�p van h�l�zaton �sszek�tve. V�g�lis mind az executable(�nbeind�t�) mind a sector v�rusok manaps�g mar nem olyan vesz�lyesek mint a nyolcvanas �vek t�j�n. Az els� ok a programok nagy m�rete. Manaps�g a programokat nem lehet csak �gy floppykon hordozgatni mint r�gebben. Teh�t �tt�rt�nk a CD-re. Mint tudjuk, a CD boot sector�t nem lehet m�dos�tani. A sector v�rusok az�rt sem olyan gyakoriak manaps�g, mert az oper�ci�s rendszer v�di a boot sector-t. A boot sector �s az executable v�rusok is m�g megtalhat�ak a “forgalomban”, csak sokkal de sokkal nehezebb a terjeszk�des�k.

a leg�jjabb v�rusfaj az e-mail v�rus. Ilyen volt 1999 tavasz�n(pontosabban 1999 m�rcius 4-�n)  a Melissa nev� v�rus. Melissa Microsoft Word Document-ek alapj�n terjeszkedett amit e-mailben k�ldtek el, �s valahogy �gy m�k�d�tt.Valaki k�sz�tett egy Microsoft Word Document-et, felt�ltve egy h�rcsoporthoz. Ak�rki let�lt�tte a documentet, �s kinyitotta azt = beind�t� folyamat. A v�rus evvel elk�ldi a documentet(�s persze saj�t mag�t) a felhaszn�l� “address book”-j�ban l�v� �ls� 50 szem�lynek. Az e-mail subject-je a sz�m�t�g�p tulaj�nak a nev�t tartalmazta (mondjuk ha neadjisten �n kapom meg akkor “skippy”). Ezut�n a v�rus csin�l 50 ugyanilyen  levelet �s �gy terjeszkedik. A v�geredme�y = a Melissa v�rus  a leggyorsabban terjeszked� v�rus amit ember valaha is l�tott. Az (amelyet Onel de Guzman szerkesztett)ILOVEYOU v�rus 2000. m�jus 3.-�n jelent meg. Ez a v�rus egyszer�bb volt a Meliss�n�l. Egy kis executable(.exe) file-t tartalmazott, ami el�nd�t�s�val beindul a “rombol�” folyamat. Hogy mi k�sztette az embert a az elind�t�sra? A k�v�ncsis�g. Szerintem ez ink�bb egy tr�jai fa l� mint egy e-mail v�rus. A Melissa v�rust egy “egyszer�” Microsoft Word-ben megtalalhat� VBA

(Visual Basic for Aplications) language-el kesz�tett�k. Ez a programnyelv k�pes olyan megold�sokra mint p�ld�ul e-mail k�ld�s, vagy eppen file m�dos�t�s. Van meg egy hasznos, de egyben vesz�lyes “�nikiold�” r�sze is. Ezt haszn�lta ki a programoz�. �gy a programoz� betudta �l�tani a documentet hogy amikor az ki van nyitva, egyben a v�rus is fusson. Teh�t �gy programozt�k Melissa-t. Ak�rki aki kinyitotta a documentot az egyben aktivalta a v�rust is, �s evvel megfert�zte a saj�t g�pet. A v�rus-t aktiv�lva, az elk�ld 50 eml�tett e-mailt es v�g�l megfert�zi a NORMAL.DOT nev� k�zponti file-t. Teh�t ez ut�n ak�rmelyik elmentett file tartalmazza a v�rus-t! Teh�t nagy kavalk�dot okozott ez a kis “level”. A Microsoft programok (evvel nem eml�tend�ek a j�t�kok!) �ltal�ban tartalmaznak egy Macro Virus Protection nevu� kis v�rus�rt� programot. Ha ebben a programban a protection-t(v�delem) ON-ra �ll�tjuk, akkor ez megel�zi az “�nkiold�s” parancsot. Evvel ak�r (hangs�lyozom AK�R) a Meliss�-t is kiv�dhetj�k. De ez nem minden programban megtalalhat� “pip�cska”. Visszat�rve a Macro Virus Protection-re, ha �ppen kioldani k�sz�l�nk egy “�nind�t�t”, akkor a program figyelmeztet minket. Sajnos a na�v felhaszn�lo ezeket csak X-eli (elimin�lja), vagy �ppen kikapcsolja a v�delmet. �gy adva eg�rutat a v�rusnak.

skippy

annipe@tippnet.co.yu

annipe@kanjiza.net

www.bigoot.com/~kpeda