Informatika | Informatikai biztonság » Vírusleírások

Vírusleírások Szeretnénk minden felhasználónk kezébe egy jól használható vírusleírás gyűjteményt adni. Egyelőre a CD-re került leírások csak ízelítőként szolgálnak, de megpróbáljuk e gyűjteményt folyamatosan bővítve minél teljesebbé és naprakészebbé tenni. A ma ismert vírusok az általuk megtámadott célpontok szerint osztályozva az alábbi főbb csoportokra oszthatók: • Boot vírusok • Programvírusok • Makrovírusok • Hoax-ok • Worm-ok Boot vírusok Általános bevezetõ: Egészen 1996 végéig ezek gyakorlatilag ezek a vírusok jelentették a vírusproblémát, hiszen az összes fertõzés több mint 90%-a tõlük származott. Legelõször is részletesen meg kell vizsgálnunk, mi is játszódik le egy PC belsejében a rendszerindítás közben. A következõ fontos lépésekben zajlik le az indítás. 0. lépés: a felhasználó bekapcsolja a gépet, megnyomja a Reset gombot vagy a CTRL+ALT+DEL billentyûkombinációt. 1 A

processzor az FFFF:0000 memóriacímen elkezdi az ott található program végrehajtását. Ezen a helyen a BIOS indítórutinja található 2. A BIOS-ban levõ kód leteszteli a különbözõ hardverelemeket (RAM, lemezegységek, ) 3. Még mindig a BIOS-ban levõ kód kiolvassa a CMOS-ból a rendszerindítási sorrendet, vagyis hogy a merevlemezrõl vagy a floppiról kezdje-e tölteni a rendszert. Ha a floppimeghajtóban nincs lemez, akkor mindenképpen a merevlemezrõl indít. 4. Ha floppiról indít, akkor beolvassa onnan a legelsõ szektort, vagyis a 0 fej 0 cilinderének 1 szektorát A szektor tartalma két fõ részbõl áll: az operációs rendszert indító kis kódrészletbõl (ez a közhiedelemmel ellentétben nem csak a rendszerlemezeken van jelen, hanem a közönséges adatlemezeken is) és a lemez fizikai paramétereit (szektorméret, oldalak száma, gyökérkönyvtár mérete stb.) tartalmazó adatmezõbõl Errõl a szektorról a BIOS ellenõrzi, hogy az valóban

boot-szektorszerû-e. Ezt onnan dönti el, hogy az utolsó két bájtnak 55AAh-nak kell lenni. Ha nem ez áll fenn, a rendszerindítás hibaüzenettel megszakad Ha sikeres volt azonosítás, a BIOS átadja a vezérlést a beolvasott boot-szektorban levõ kódnak és rendszerindítás folytatódik a 7. ponttal 5. Ha merevlemezrõl indítunk, akkor is a 0 fej 0 cilinderének 1 szektorát olvassa be a BIOS program, de ez ebben az esetben nem a boot-szektor lesz, hanem a partíciós rekord, amely ugyancsak két részbõl áll, egy rövid programból illetve a merevlemez felosztottságát könyvelõ partíciós táblából. Ez az extra lépés azért kerül be, mert egy merevlemez több operációs rendszert és azokhoz tartozó partíciókat is tartalmazhat. A BIOS program ugyanúgy megnézi az utolsó két bájtot, aminek itt is 55AAh-nak kell lennie. Ha nem az, a rendszerindítás hibaüzenettel megszakad, illetve a régebbi, eredeti IBM PC-ken a gépek a BIOS-ában tartalmazott

BASICinterpretert hívja meeg a BIOS. 6. A BIOS-ban futó kód a partíciós táblából kiolvassa, hogy melyik az aktív partíció (ha nem talál ilyet, hibaüzenettel leáll) és hogy az a merevlemezen mettõl meddig tart. Ennek ismeretében be tudja olvasni az aktív partíció legelsõ logikai szektorját, ami a partíció boot szektora. A BIOS átadja a vezérlést a boot szektorban levõ kódnak. Egészen eddig a pontig a folyamat független volt attól, milyen operációs rendszer van a PC-n, mindent a BIOS-ba beégetett kód végzett. A továbbiakban az MSDOS operációs rendszer felállását taglaljuk 7. A boot-szektor kódja ellenõrzi, hogy az adott floppilemez illetve partíció alkalmas-e rendszerindításra Ezt úgy dönti el, hogy megnézi, hogy a gyökérkönyvtár elsõ két bejegyzése az IO.SYS illetve az MSDOSSYS állományokhoz tartozik-e (a mostanában már kihalófélben levõ IBM DOS esetében a két fájl neve IBMIO.COM és IBMDOSCOM) Ha nem ezt a két

állományt találja ott, akkor hibaüzenettel leáll a rendszerindítás. Ha igen, akkor beolvassa az IOSYS elsõ 3 szektorát, majd átadja annak a vezérlést 8. Az IOSYS inicializálja az interrupt-táblát, megkeresi az esetleges ROM-bõvítéseket és feldolgozza a CONFIG.SYS-t, betölti az abban levõ meghajtókat Ezután lefuttatja az MSDOSSYS-t 9. Az MSDOSSYS inicializálja a DOS-hoz tartozó interruptokat, betölti a COMMANDCOM-ot és feldolgozza az AUTOEXEC.BAT-ot A boot vírusok ebbe a végrehajtási sorrendbe tolakszanak be. Ezt két ponton teszik meg: vagy a boot szektort vagy a partíciós rekordot helyettesítik saját kódjukkal - ez alapján osztjuk fel ezt a víruscsoportot két alcsoportra. Természetesen ez a választás csak a merevlemezek esetében áll fenn, a floppikon nincs partíciós tábla, ezért ott mindig a boot szektort fertõzik. Mivel a BIOS csak nagyon felületesen ellenõrzi e két létfontosságú szektor valódiságát, a vírusok dolga egyszerû:

saját kódjukkal lecserélik azokat, annyira kell csak vigyázni, hogy az ellenõrzésre használt utolsó két bájtot változatlanul hagyják. A két szektorban tárolt adatokra is vigyázni kell, hiszen nagy galiba lenne, ha a partíciós táblába is beleírna a vírus, mert akkor az adatoknak búcsút lehetne mondani. Ezt a vírusok vagy úgy oldják meg, hogy a létfontosságú részeket nem írják felül, vagy pedig úgy, hogy azokat egy másik szektorba elmentik, és szükség esetén onnan továbbítják. Egy partíciós táblát fertõzõ vírus (a boot vírusok nagyobbik része ilyen, többek között a hazánkban is közismert Michelangelo) esetében az 1. 2 és 3 pont a fent ismertetett sorrendben lezajlik, de a 4 pontban kisiklik a normál menet, ugyanis a BIOS a boot szektor indítókódja helyett az ugyanabba a szektorba került víruskódnak adja át a vezérlést. Ez aztán megfertõzi a merevlemez partíciós rekordját, majd a víruskód vagy maga folytatja a

végrehajtást a 7. ponttal, vagy pedig beolvassa a gondosan elmentett eredeti boot szektort és átadja annak a vezérlést és mint aki jól végezte a dolgát hátradõl és megpihen. Ha ezután a már fertõzött merevlemezrõl indítjuk a rendszert, az 1. 2 és 3 pont után az 5 pontban az eredeti partíciós rekordbeli kód helyett a vírus kerül végrehajtásra, amely aztán rezidenssé válik majd megkeresi az aktív partíciót, beolvassa annak boot szektorát és átadja annak a vezérlést. A rendszer felállása ezután a 7 ponttól kezdve a normális mederben folyik (csak éppen a vírus már rezidens a memóriában). Egy boot szektor vírus esetében (ilyen például a Magyarországon is igen elterjedtnek számító Cruel) a floppiról történõ fertõzõdés ugyanúgy zajlik, mint az imént ismertetett esetben, azzal az egyetlen különbséggel, hogy a vírus a merevlemezen nem a partíciós rekordot, hanem az aktív partíció boot szektorát fertõzi meg. Ha azután

a merevlemezrõl áll fel a PC, akkor egészen a 7. pontig minden rendben folyik, ahol is a normál indítókód helyett a vírus kódja fut le. Ez aztán ismét gondoskodik arról, hogy a vírus rezidenssé váljon, majd általában beolvassa az eredeti fertõzés elõtti indítókódot és minden folytatódik a legnagyobb rendben - persze a vírustól eltekintve. Részletes vírusleírások 3APA3A Összefoglalás: Egyéb nevei Effektív hossz ---1024 bájt Keletkezés ideje 1994 október Keletkezés helye Moszkva Tünetek Terjedés elindítója Merevlemez volume címkéjének megváltozása Minden lemezmûvelet Romboló rutin --- Elterjedettsége Ritka Részletes leírás: A 3APA3A vírus teljes hossza 1024 bájt (két szektor). A fertõzött floppikon teljesen úgy viselkedik, mint egy közönséges boot vírus, a boot szektort és a gyökérkönyvtár utolsó szektorát használja fel kódjának tárolására. Amikor azonban a merevlemezt fertõzi, akkor egy

teljesen egyedi technikát alkalmaz. A vírus egy teljesen váratlan helyen, az IO.SYS helyére tolakodik be rendszerindítási láncban Amint azt ismertettük, a rendszerindítás során a BIOS a 7. pontban csak azt ellenõrzi, hogy az aktív partíció gyökérkönyvtárában az elsõ két állomány neve IO.SYS és MSDOSSYS legyen Semmi egyébbel nem törõdik Így például az attribútumokkal sem. A trükk rendkívül egyszerû és szellemes A vírus az IOSYS-t felülírja a saját kódjával, és az így kapott állományt Volume label -nek minõsíti (ez a lemezcímke attribútum arra szolgál, hogy a lemezeket el lehessen nevezni, floopiknál például a formázás után lehet megadni). A DOS ezeket a bejegyzéseket figyelmen kívül hagyja, csak a DIR parancs jeleníti meg a sorrendben legelõször megtalált lemezcímkét. Természetesen a vírusnak az eredeti IOSYS-t is meg kell õrizni, így azt az MSDOSSYS után harmadik könyvtárbejegyzésként elhelyezi. Eredetileg az

IO.SYS és az MSDOSSYS után következett a többi gyökérkönyvtárbeli állomány Fertõzés után az elsõ bejegyzés a vírussal fertõzött IO.SYS (aminek elsõ 1024 bájtját felülírta a vírus), a második az eredeti MSDOS.SYS, a harmadik az eredeti, fertõzés elõtti IOSYS és utána jön eggyel odébb tolva a többi bejegyzés Ha az a nagyon ritka eset áll fenn, hogy éppen tele volt a gyökérkönyvtár (ez ugyanis az egyetlen olyan könyvtár, amelynek véges a mérete), akkor az utolsó bejegyzés és az ahhoz tartozó fájl elveszik örökre. A rendszerindítás során a BIOS csak a fertõzött IO.SYS bejegyzés nevét ellenõrzi, az attribútumával nem törõdik, így mechanikusan beolvassa a vírust és átadja a vezérlést neki. Az aztán rezidenssé válik, majd beolvasva az eredeti IO.SYS-t rendes útjára tereli a rendszerindítást Késõbb aztán minden floppihoz való nyúlás esetén (írás, olvasás, listázás) fertõz, vagyis igen fertõzõképes,

nagyon hamar kiterjedt fertõzésekhez vezethet, és 1994 õszén vezetett is. A DIR parancscsal kilistázva egy könyvtárt a fertõzött gépen az alábbit látjuk: Volume in drive C is IO SYS Volume Serial Number is 2191-7E22 Directory of C: COMMAND COM 65117 08-29-94 6:22a WINA20 386 9349 08-29-94 6:22a TEMP <DIR> 12-19-96 9:22p VC <DIR> 12-17-96 12:45a MOUSE COM 56425 03-10-92 8:20a HIMEM SYS 14208 03-10-93 6:00a DOS <DIR> 12-17-96 3:34p NETMANAG <DIR> 12-17-96 12:58a MOUSE DRV 10144 03-10-92 8:20a PDOS <DIR> 12-17-96 3:51p PDOS DEF 2164 12-17-96 3:58p p; 0 01-11-98 2:00a WINDOWS <DIR> 12-17-96 4:26p WINWORD <DIR> 12-17-96 5:36p CONFIG SYS 344 12-21-96 8:38a AUTOEXEC BAT 238 12-17-96 5:03p TEST <DIR> 12-18-96 5:48p 21 file(s) 157989 bytes p; 6885376 bytes free Ha a vírus augusztusban aktivizálódik, akkor az alábbi orosz nyelvû üzenetet jeleníti meg: B BOOT CEKTOPE - 3APA3A (hevenyészett magyar fordításban: "A boot

szektor fertõzött"). Mivel a vírus nem ellenõrzi a rendszerfájlok neveit, hanem fixen az IO.SYS-t használja, minden olyan DOS alatt, amely más elnevezéseket használ (Novell DOS, IBM DOS) életképtelen. Brain.A Összefoglalás: Egyéb nevei Effektív hossz ---2560 bájt Keletkezés ideje 1986 Keletkezés helye Pakisztán Tünetek Terjedés elindítója ------Lemez írás/olvasás Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Részletes leírás: A Brain.A rezidens boot vírus Arról híres, hogy ez volt az elsõ PC vírus Csak floppikat támad meg, a merevlemezeket nem fertõzi meg. Aktivizálódására akkor kerül sor, ha a rendszer indítása fertõzött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 13h megszakításokat, és ettõl kezdve elsõ alkalommal a 31., késõbb minden 4 minden floppira irányuló lemez írásnál és olvasásnál fertõz. A

már fertõzött lemezeket nem támadja fel, ezt a boot szektor 4 és 5 bájtja alapján dönti el: amennyiben ez 12234h, akkor békénhagyja a kiszemelt célpontot. A vírus elsõ szektora a boot szektort foglalja el, a további részeet és az eredeti boot szektort 5 használatlan szektorban ment el, amelyeket ezután rossz szektorként jegyez be a FAT-be, hogy a DOS azokat késõbb békén hagyja. A Brain a fertõzés után a floppik volume címkéjét "(c) Brain"-re változtatja. Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetõsen korlátozottak az elszaporodási lehetõségei. Mivel a Brain magára irányítja a lemezolvasási mûveleteket, el tudja rejteni jelenlétét azáltal, hogy a boot szektorra vonatkozó olvasási kísérletekkor az eredeti, fertõzetlen példányt adja vissza. A fertõzött boot szektorok az alábbi szöveget tartalmazzák (a vírus nem jeleníti meg az üzenetet): Welcome to

the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES.730 NIZAM BLOCK ALLAMA IQBAL TOWN PAKISTAN.PHONE :430791,443248,280530 Beware of this VIRUS.Contact us for vaccination $#@%$@!! DenZuk Összefoglalás: Egyéb nevei Effektív hossz ---5120 bájt Keletkezés ideje ---- Keletkezés helye --- Tünetek Terjedés elindítója Romboló rutin Grafika megjelenése Minden lemezmûvelet --- LAHORE- Elterjedettsége Ritka Részletes leírás: A DenZuk vírus rezidens boot vírus. Csak floppikat támad meg, a merevlemezeket nem fertõzi meg Aktivizálódására akkor kerül sor, ha a rendszer indítása fertõzött floppiról történik. Ekkor a vírus rezidenssé válik a hagyományos memória legtetején, magára irányítja a 9h és 13h megszakításokat, és ettõl kezdve minden floppira irányuló lemezmûveletnél megkísérli megfertõzni a célpontot. A vírus elsõ szektora a boot szektort foglalja el, a további részek a 0. fej 40 sávjának 1-9

szektorában találhatók. A vírus nem ellenõrzi fertõzéskor, hogy ebben a pozícióban van-e már információ, ezért a 360kB-nál nagyobb kapacitású floppikon felülírja az esetleg itt levõ adatokat, adatvesztést okozva ezzel. A DenZuk a fertõzés után a floppik volume címkéjét "Y.C1ERP"-re változtatja, ahol a "" helyében az F9h kódú karakter szerepel. Mivel csak abban az esetben képes terjedni, ha a floppiról indított rendszerbe új floppikat helyezünk, meglehetõsen korlátozottak az elszaporodási lehetõségei. Amennyiben a felhasználó újraindítást kezdeményez a CTRL+ALT+DEL billentyûkombináció lenyomásával, a vírus az alábbi grafikus üzenetet görgeti be a képernyõ szélérõl: Ismert variánsok: • DenZuk.B: Annyiban különbözik az alapváltozattól, hogy fertõzés elõtt felismeri és eltávolítja azt a floppikról (a Brain vírussal együtt), illetve hogy amennyiben rezidens, a lemezolvasások

manipulálásával igyekszik elrejteni jelenlétét. Form.A Összefoglalás: Egyéb nevei Effektív hossz ---1024 bájt Keletkezés ideje 1990 február Keletkezés helye Svájc Tünetek Terjedés elindítója Szöveges üzenet megjelenítése Minden lemezmûvelet Romboló rutin --- Elterjedettsége Gyakori Részletes leírás: A Form.A annak ellenére, hogy nagyon egyszerû, rendkívül elterjedt vírus Az 1990-es évek elején a vílágsdzerte legelterjedtebb vírusnak számított, és ezt a pozícióját egészen a makróvírusok megjelenéséig tartotta. Kódja két lemezszektornyi területet foglal el A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertõzött lemezrõl történik rendszerindítás. Ekkor az FormA felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h és 9h megszakítást rezidenssé válik. Ettõl kezdve minden lemezolvasás során elõször a vírus aktivizálódik, és amennyiben

floppi lemezhez történik a hozzáférés, azt megfertõzi. A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat. Minden hónap 16. napján a vírus magára irányítva a 9h (billentyûzetkezelõ) megszakítást a billentyû lenyomására sípoló hangot ad ki, és jelentõsen lelassítja a válaszidõt. A fertõzött boot szektor az alábbi szöveget tartalmazza: "The FORM-Virus sends greetings to everyone whos read this text." "FORM doesnt destroy data! Dont panic! Fuckings go to Corinne." Kampana.B Összefoglalás: Egyéb nevei Antitelefonica Effektív hossz 1024 bájt Keletkezés ideje 1991 nyár Keletkezés helye Spanyolország Tünetek Terjedés elindítója Szöveges üzenet megjelenítése Minden lemezmûvelet Romboló rutin Floppik szektorainak felülírása Elterjedettsége Ritka Részletes leírás: A

Kampana.B rezidens lopakodó boot szektort fertõzõ boot vírus Egy számítógép két úton fertõzõdhet meg a vírussal: vagy a boot vírusoknál megszokott módon a floppi meghajtóban benn felejtett fertõzött floppiról való rendszerindításkor, vagy akkor, ha a társvírusa, a Kampana.A programvírus mellékhatásként megfertõzi a boot szektort A víruskód második szektora a 0 fej 0 sáv 6. szektorába, eredeti boot szektort a közvetlenül ezután a merevlemez 0 fej 0 sáv 7 szektorába kerül Aktivizálódása után rezidenssé válik a hagyományos DOS memória legtetején, majd magára irányítja a 13h megszakítást. Ettõl kezdve minden nem írásvédett floppit célbavesz minden lemezhozzáférés során Amennyiben a célpont még nem fertõzött (erre a célra a boot szektor 4Ah pozíciójában levõ két bájtot vizsgálja meg, a vírusban ezen a pozíción 9EBCh van), akkor megfertõzi. Mivel a lemezkezelõ 13h megszakítást a Kampana.B magára irányítja,

elrejti a jelenlétét, mert minden boot szektorra vonatkozó olvasásnál az eredeti elmentett boot szektor tartalmát adja vissza. A vírus minden 400. rendszerindítás után minden rendszerbe került floppi és minden merevlemez tartalmát felülírja a memóriából kiolvasott véletlen adatokkal, majd kiírja az alábbi üzenetet: "Campa¤a Anti-TELEFONICA (Barcelona)" Michelangelo Összefoglalás: Egyéb nevei Stoned.March6 Effektív hossz 512 bájt Keletkezés ideje 1991 nyár Keletkezés helye ----- Tünetek ---- Terjedés elindítója Minden lemezmûvelet Romboló rutin Merevlemez vagy floppi szektorainak felülírása Elterjedettsége Gyakori Részletes leírás: A Michelangelo a Stoned-család tagja. Nevét onnan kapta, hogy romboló rutinja március 6-án indul el, ami Michelangelo születésnapja. A vírusíró minden bizonnyal nem emiatt idõzítette a rombolást erre a napra, de a név rajta maradt a víruson. Merevlemezeken a partíciós

táblát írja felül, floppikon pedig a boot szektort. Egy számítógép megfertõzésére akkor kerül sor, ha a rendszert egy floppimeghajtóban felejtett fertõzött lemezrõl indítják újra. Ekkor a vírus felülírja a partíciós táblát a saját kódjával, az eredetit a 0 fej 0 sáv 7 szektorába mentve. Ezáltal a következõ rendszerindításkor már a vírus aktivizálódik Ekkor a vírus lefoglal magának 2048 bájt helyet a konvencionális DOS memória tetején, lecsökkentve a DOS számára hozzáférhetõ memóriaterület méretét a BIOS adatmezõben. Magára irányítja a 13h lemezkezelõ megszakítást, majd innentõl kezdve megfertõz minden floppit, amihez a DOS hozzányúl. Amennyiben a rendszer fertõzött merevlemezrõl vagy floppiról lett indítva március 6-án, a vírus elindítja romboló rutinját, amely a rendszert indító média adatait törli. Merevlemezeken felülírja a 0-3 fej összes sávjának 1-17. szektorát, míg floppikon az összes fej

összes szektorának (a lemezsûrûségtõl függõen) 1-9 vagy 1-14. szektorait Stoned.Empire Összefoglalás: Egyéb nevei Effektív hossz ---Empire.A: 1024 bájt EmpireB: 512 bájt Keletkezés ideje 1991 április Keletkezés helye Kanada Tünetek Terjedés elindítója Szöveges üzenet megjelenítése Minden lemezmûvelet Romboló rutin --- Elterjedettsége Gyakori Részletes leírás: Az Empire.A vírus a Stoned család tagja, rezidens lopakodó vírus, amely floppi lemezen a boot szektort, merevlemezen a partíciós táblát fertõzi meg. Kódja két lemezszektornyi területet foglal el A vírus aktivizálódására akkor kerül sor, amikor a floppimeghajtóban hagyott fertõzött lemezrõl történik rendszerindítás. Ekkor az EmpireA felülírja a merevlemez partíciós tábláját, és magára irányítva a 13h megszakítást rezidenssé válik. Ehhez a DOS számára hozzáférhetõ fizikai memória méretét 2kB-tal csökkenti (emiatt a CHKDSK általában

csak 653,312 bájt összes memóriát jelez). Ettõl kezdve minden lemezmûvelet során elõször a vírus aktivizálódik, és amennyiben floppi lemezhez történik a hozzáférés, azt megfertõzi. A már fertõzött merevlemezeket és floppikat nem fertõzi meg újra, ehhez az elsõ négy bájtot használja azonosítónak, és amennyiben ott "EA 9F 01 C0"-t talál, békén hagyja a célpontot. Fertõzött floppikon a víruskód elsõ szektora a boot szektorban foglal helyet, míg az eredeti boot szektor az 1. fej 0. sávjának 2 szektorába kerül A víruskód második szektora közvetlenül ezután foglal helyet A fertõzött merevlemezen a víruskód elsõ szektora a partíciós táblát foglalja el, az eredeti partíciós tábla a 0. fej 0 sávjának 6. szektorába kerül, a víruskód második szektora pedig közvetlenül ezután Mivel minden lemezmûvelet a víruson keresztül fut, amennyiben rezidens, el tudja rejteni jelenlétét: a partíciós tábla olvasása

estén az elmentett eredetit adja vissza, míg írása esetén az elmentett példányt írja felül. A vírus szándékosan romboló rutint nem tartalmaz, azonban speciális esetekben a vírus fontos szektorokat írhat felül a floppikon illetve a merevlemezen, ami adatvesztést okozhat. A rendszeridõtõl függõen az alábbi üzenetet jeleníti meg a vírus: "Im becoming a little confused as to where the "evil empire" is these days. If we paid attention, if we cared, we would realize just how unethical this impending war with Iraq is, and how impure the American motives are for wanting to force it. It is ironic that when Iran held American hostages, for a few lives the Americans were willing to drag negotiation on for months; yet when oil is held hostage, they are willing to sacrifice hundreds of thousands of lives, and refuse to negotiate ." Ismert variánsok: • Empire.B : néhány különbségtõl eltekintve megegyezik az alapváltozattal: csak 512 bájt

hosszú, mert nem tartalmazza a szöveges üzenete, továbbá máshová menti el az eredeti boot szektort (1. fej 0 sáv 3 szektor) és a partíciós táblát (0. fej 0 sáv 3 szektor) Programvírusok Általános bevezetõ: A ma ismert vírusok óriási többsége a programvírusok közé sorolható. Ezek a vírusok a programokat, a DOS COM és EXE illetve a Windows NewEXE és a Windows95/NT Portable EXE formátumú végrehajtható állományait fertõzik. A fájlvírusok nagy többsége a programok végére illeszti saját kódját, és ezen kívül végrehajt olyan változtatásokat, amelyek a program elindításakor automatikusan a vírus futtatását vonják maguk után. Mivel az operációs rendszer másképp kezeli a COM és az EXE programokat, ezért a fertõzés mechanizmusa is némiképpen különbözõ. A programok esetében meg kell különböztetni a lemezen tárolt alakot, illetve annak a futtatáskor a memóriában kialakult képét. Egy COM program esetében a kettõ

pontosan ugyanaz, a DOS egy az egyben beolvassa a fájl tartalmát egy memóriaszegmensbe, majd átadja a vezérlést a program legelsõ utasításának. Ennek fényében a vírusnak is igen könnyû a dolga. Az esetek többségében csupán a programfájl végére illeszti magát, és az elején csak pár bájtot ír át, amelyek a vezérlésnek a vírusra irányuló eltérítéséért felelõsek. Miután a vírus lefutott, általában helyreállítja a az eredeti elsõ pár bájtot, majd átadja a vezérlést az eredeti programnak. Van néhány vírus, amely eltér ettõl a szimpla sémától. Az ún felülíró vírusok átírják az eredeti programrészletet a saját kódjukkal, ezzel aztán helyrehozhatatlanul károsítják azt. Ezek a vírusok nem túl elterjedtek, mert minden fertõzött program használhatatlanná válik, ami még a legnaivabb felhasználó gyanakvását is felkelti. A fájlvírusok másik kisebb csoportja pedig a teljes víruskódot a program elejére

illeszti, az ott levõ eredeti tartalmat pedig a fájl végére menti el. A vírus lefutása után az elmentett darabokból újra összerakja az erdeti programot, majd átadja annak a vezérlést. Az EXE programok esetében jelentõs különbségek vannak a lemezen tárolt alak illetve a futtatáskor a memóriában megjelenõ forma között. Elõször is a lemezfájl egy fejléccel kezdõdik, amely fontos adatokat tartalmaz, többek között a program memóriaigényét, a regiszterek kezdeti értékét. Másik fontos feladata is van a fejlécben tárolt információnak. A COM programokkal ellentétben az EXE programok több adat illetve kódszegmensbõl állhatnak. Ezek a szegmensek a futás során kapcsolódnak egymáshoz, hiszen az egyik kódszegmens a másikból hívhat meg függvényt, vagy adatszegmensbõl olvashat be adatokat. A futtatáskor a DOS helyezi el ezeket a szegmenseket a szabad memóriaterületeken. A program összeszerkesztésekor (linkelésekor) még nem lehet tudni,

hogy a futtatáskor éppen hol lesznek egymáshoz viszonyítva a szegmensek, ezért a szerkesztés után ezek a szegmensek közötti hivatkozások még nem definiáltak. A DOS parancsértelmezõje lesz az, amely futtatáskor a helyes memóriacímeket tölti be ezekbe a hivatkozásokba. Az EXE fejléc feladata tehát az is, hogy könyvelje, a lemezfájl mely pontjain vannak olyan hivatkozások, amelyek futtatáskor kitöltendõk. Mivel a fejléc tartalmazza a regiszterek kezdeti értékét, ezért az utasításregiszterek (CS és IP, ezek határozzák meg a belépési pontot, ahol a program futása megkezdõdik) értékei is itt vannak. A vírus a fájl végére írja magát, majd a fejlécet módosítja úgy, hogy az most már a víruskódra mutasson (közben elmenti az eredetileg ott levõ értékeket). Sikeres lefutás után a vírus elõszedi az elmentett CS és IP értékeket, és elindítja az eredeti programot. Részletes vírusleírások CIH Összefoglalás: Egyéb nevei

TTIT, Tatung 1.2 változat: 1003 bájt Effektív hossz 1.3 változat: 1010 bájt 1.4 változat: 1019 bájt Keletkezés ideje 1998 június Keletkezés helye Tajvan Célpontok Windows 95 PE EXE programok Tünetek Terjedés elindítója Minden fájlhozzáférés Romboló rutin CMOS tönkretétele, BMR és boot szektor felülírása Elterjedettsége Világszerte gyakori Részletes leírás: A vírus elso változata 1998 júniusában bukkant fel, eloször Tajvanban, amjd kisvártatva a világ szinte minden táján kezdve Ausztráliától Oroszországon át az USA-ig és Chiléig. Gyors terjedésében közrejátszott, hogy több Internetes levelezocsoportba is postáztak fertozött programot. A vírusnak, amely Windows95 és Windows98 alatt életképes, három változata ismert, a CIH 1.1, CIH 12 és a CIH 1.3 Ezek rendre 1003, 1010 és 1019 bájt hosszúak A fertozött programok futtatása során a vírus eloször rezidenssé válik, ezután pedig minden újonnan

megnyitott PE (a Windows95 Portable Executable nevu saját programfajtája) programot megkísérel fertozni. Ennek során egyedülálló trükkel biztosítja, hogy a fertozott program mérete ne változzon (ezzel is csökkentve a lebukásának veszélyét). Az eredeti programban, amely a PE szerkezet révén több szekcióra van osztva, üres helyeket keres A PE szerkezet olyan, hogy az egyes szekciók hossza egy, a program fejlécében szereplo blokkhossz többszöröse. Ennek elérésére minden szekció ki van egészítve annyi, nem használt bájttal, hogy pontosan betöltse az utolsó blokkot. A vírus ezekbe az üres töredékblokkokban tárolja el magát több darabban Elég kicsi annak a valószínusége, hogy akkora töredéket találjon, ahová az egész kód beférne, ezért aztán több darabra vágva, több törekékterületre elhelyezve magát történik a fertozés. Ha esetleg az adott programban összesen nincs annyi töredékhely, ami elég lenne a vírusnak, akkor

békén hagyja. A fertozött program késobbi futtatása során a vírus elegendo memóriaterületet foglal, darabonként összeszedi magát, magára irányítja a fájlkezelési szolgáltatásokat, majd lefuttatja az eredeti programot. De még mielott ezt tenné, ellenorzi a dátumot, a megfelelo idopontokban találja (ez az 1.2 és 13 verziónál április 26, az 14-nél bármelyik hónap 26-a), akkor elindítja romboló rutinját. Eloször véletlen adatokkal teleírja a merevelemezt, majd a Flash BIOS-t is teleírja véletlen adatokkal, aminek viszont tragikus következményei vannak. Miután a BIOS tartalma törlodött, gyakorlatilag lehetetlen újraindítani a PC-t. Ha valakinek véletlenül még lenne olyan rendszerlemeze, amely tartalmazza az elmentett BIOS-tartalmat az is tehetetlen, mert BIOS hiányában a PC még csak meg sem tudja kezdeni a rendszerindítást. Gyakorlatilag az egyetlen megoldás az egész BIOS cseréje. És mivel a mai BIOS chipek meglehetosen stabilan

beépültek az alaplapba, az esetek többségében ez alaplapcserét is jelent. A BIOS-ok egy része védheto, egy jumper segítségével lehet váltani az írható és a védett állapota között. De a gyártók általában írható állapotban szállítják le a gépet. Ez azért van, hogy a késobbi frissítések során ne kelljen megbontani a dobozt a jumper átdugása erejéig. Ismert variánsok: • • • CIH.1003 a CCIH 12 TTIT szöveget tartalmazza, a romboló rutin aktivizálódása április 26-án történik Több helyen, közte hazánkban is felbukkant. CIH.1010 a CCIH 13 TTIT szöveget tartalmazza, a romboló rutin aktivizálódása április 26-án történik Nem okozott számottevo fertozéseket. CIH.1019 a CCIH 14 TATUNG szöveget tartalmazza, a romboló rutin minden hónap 26-án aktivizálódik. Több helyen is komoly fertozéseket okozott Dark Avenger Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje ---1800 bájt 1988 Keletkezés helye

Célpontok Tünetek Terjedés elindítója Szófia, Bulgária COM és EXE állományok ----Programok megnyitása Romboló rutin Véletlen lemezszektor felülírása Elterjedettsége Ritka Részletes leírás: A Dark Avenger vírusnak rengeteg változata létezik. A legtöbbjüknek a szerzõje az ugyancsak a Dark Avenger névre hallgató bolgár vírusíró, aki minden valószínûség szerint egy szófiai egyetem hallgatója volt. Az 1800 bájt effektív hosszúságú alapváltozat a fertõzött program futtatása során azonnal rezidenssé válik, és magára irányítja a 13h, 21h és 27h megszakításokat. Ettõl a pillanattól kezdve minden EXE és COM program, amelyet megnyitnak, bezárnak, létrehoznak végrehajtanak vagy átneveznek megfertõzõdik. A víruskód a fertõzött programok végére kerül. EXE programok esetén úgy, hogy a kezdetét paragrafushatárra igazítja Emiatt a fertõzetlen programkódot kiegészíti maximum 16 bájttal, ami miatt a programok eredeti

állapotának visszaállítása gyakorlatilag lehetetlen. A vírus gyakorlatilag minden programhozzáférés révén terjed. Az ilyen típusú vírusokat gyors fertõzõknek nevezik, a Dark Avenger volt az elsõ elterjedt vírus ebbõl a típusból. A terjedési mechanizmusa révén elegendõ volt csupán egy a vírust nem ismerõ víruskeresõt lefuttatni ahhoz, hogy az össze program fertõzötté váljon. A vírus nem engedi, hogy más programok magukra irányítsák a 21h DOS megszakítást, ezzel megnehezítve a rezidens víruskeresõk dolgát. Minden 16. fertõzés esetén a vírus felülír egy véltelenszerûen kiválasztott szektort egy véletlen számmal Ezáltal lassan, de helyrehozhatatlanul megrongálja a fájlrendszert. Mire ezt észreveszik, addigra már rendszerint az adatok jelentõs része menthetetlenül károsodik. Dark Avenger Összefoglalás: Egyéb nevei Effektív hossz V2000, Eddie 2000 bájt Keletkezés ideje 1989 Keletkezés helye Szófia, Bulgária

Célpontok Tünetek Terjedés elindítója COM és EXE állományok ----Programok megnyitása Romboló rutin Véletlen lemezszektor felülírása Elterjedettsége Ritka Részletes leírás: A Dark Avenger vírusnak rengeteg változata létezik. A legtöbbjüknek a szerzõje az ugyancsak a Dark Avenger névre hallgató bolgár vírusíró, aki minden valószínûség szerint egy szófiai egyetem hallgatója volt. Az 2000 bájt effektív hosszúságú változat a fertõzött program futtatása során azonnal rezidenssé válik, és magára irányítja a 21h és 27h megszakításokat, valamint a romboló rutin során a 24h megszakítást, illetve a fertõzés során a 13h és a 24h megszakítást. Ettõl a pillanattól kezdve minden legalább 1959 bájt hosszúságú EXE és COM program, amelyet megnyitnak, bezárnak, létrehoznak végrehajtanak, átneveznek vagy amelynek attribútumát megváltoztatják, megfertõzõdik. A víruskód a fertõzött programok végére kerül EXE

programok esetén úgy, hogy a kezdetét paragrafushatárra igazítja. Emiatt a fertõzetlen programkódot kiegészíti maximum 16 bájttal, ami miatt a programok eredeti állapotának visszaállítása gyakorlatilag lehetetlen. A vírus gyakorlatilag minden programhozzáférés révén terjedõ gyors fertõzõ. A terjedési mechanizmusa révén elegendõ volt csupán egy a vírust nem ismerõ víruskeresõt lefuttatni ahhoz, hogy az össze program fertõzötté váljon. A vírus nem engedi, hogy más programok magukra irányítsák a 21h DOS megszakítást, ezzel megnehezítve a rezidens víruskeresõk dolgát. A vírus már fertõzött programokat nem fertõz meg újra. Önmagát úgy ismeri ferl, hogy a fertõzött programokban az utolsó módosítás dátumában a másodpercek értékét 62-re állítja - ez egy olyan érték, amit normális program vagy a DOS sosem hozna létre. Minden 16. fertõzés esetén a vírus felülír egy véltelenszerûen kiválasztott szektort egy

véletlen számmal Ezáltal lassan, de helyrehozhatatlanul megrongálja a fájlrendszert. Mire ezt észreveszik, addigra már rendszerint az adatok jelentõs része menthetetlenül károsodik. Amennyiben az éppen futtatandó program tartalmazza a "(c) 1989 by Vesselin Bontchev" szöveget, akkor a futtatás helyett lefagyasztja a gépet. A célbavett személy, Vesselin Bontchev, ismert vírusszakértõ, aki több vírusvédelmi programot is írt, így a cél nyilvánvalóan ezen programok futtatásának megakadályozása. Esperanto Összefoglalás: Egyéb nevei Effektív hossz ---4733 bájt Keletkezés ideje --- Keletkezés helye -- Célpontok DOS COM és EXE programok, Windows 3.x NewEXE programok, Windows 95 és NT PE EXE programok, MAC OS alkalmazások Tünetek Üzenetablak megjelenése Terjedés elindítója FindFirst/FindNext hívás Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Részletes leírás: Az Esperanto az elsõ

igazi multiplatform vírus, amely különbözõ architerktúrájú gépeken és processzortípusokon is életképes. A vírus a DOS hagyományos COM és EXE programjait, a Windows NE programjait és a Windows95/NT PE programjait is fertõzi, ugyanakkor Macintoshon is életképes, ott minden programot és számos rendszerállománytípust (a Finder nevû file- és programmenedzsert, a rendszerfájlokat, a Control Panel elemeit, a szoftvermeghajtókat) megfertõz. A DOS COM és EXE programjainak a végére írja magát, a NE programokat egy új szegmenst hozzáadva fertõzi meg, míg a PE programokban az utolsó szegmens végére írja be magát. Ha egy fertõzött programot sima DOS alól indítunk, akkor rezidenssé válik a 21h DOS-interrupt-ot magára irányítva. A továbbiakban minden futtatott programot megfertõz a típusának megfelelõ módon Ha Windows/Win95/WinNT alól indítunk egy fertõzött programot, akkor az nem válik rezidenssé, hanem gyorsan keres néhány

megfertõzhetõ programot, majd azok megfertõzése után ellenõrzi a dátumot. Ha az éppen július 26 (az elsõ eszperantó nyelv könyv kiadásának évfordulója), akkor egy üzenetablakban az alábbi üzenetet jeleníti meg: p; p; p; p; Never mind your culture / Ne gravas via kulturo, Esperanto will go beyond it / Esperanto preterpasos gxin; never mind the differences / ne gravas la diferencoj, Esperanto will overcome them / Esperanto superos ilin. p; p; p; p; Never mind your processor / Ne gravas via procesoro, Esperanto will work in it / Esperanto funkcios sub gxi; never mind your platform / Ne gravas via platformo, Esperanto will infect it / Esperanto infektos gxin. p; p; Now not only a human language, but also a virus. Turning impossible into possible, Esperanto. A vírus közvetlenül nem terjed át Macintosh-ról PC-re és fordított irányban sem: tehát a Mac-en futó példány nem fertõz meg PC programokat még akkor sem, ha hozzájuk férhet, és a PC-n aktív

vírus sem fert?zi meg a keze ügyébe es? Macintosh programokat. Azonban ha egy fertõzött DOS programot egy Macintosh vagy egy PowerMac DOS-emulátorában futtatunk, akkor elõjön a multiplatform viselkedés. A vírus tartalmaz olyan szegmenst, amelyet a Macintosh OS értelmezni tud és futtat is, és ez egy Macintosh vírust ejt el, amely a továbbiakban önálló életre kelve fertõz a Macintosh világban - a továbbiakban már nem terjed vissza PC-re. HDD Cleaner 2 A HDD Cleaner 2.0 com és exe kiterjesztésű futtatható programokat fertőz A fertőzött program elindítása után rezidens módon a számítógép memóriájában marad. A programokat végrehajtáskor (elindításkor) fertőzi meg. Romboló tevékenysége dátumhoz kötött. Szeptember 8-án felülír néhányat a merevlemez első szektorai közül, így a partíciós tábla elveszik, a gép nem indítható. Szakember számára ez a hiba viszonylag egyszerű módon, adatvesztés nélkül javítható. Kaczor

Összefoglalás: Egyéb nevei Effektív hossz Pieck 2016 bájt Keletkezés ideje 1995 vége-1996 eleje Keletkezés helye Lengyelország Célpontok EXE fájlok, MBR Tünetek Terjedés elindítója Minden fájlhozzáférés Romboló rutin MBR és boot szektor felülírása Elterjedettsége Világszerte gyakori Részletes leírás: A Kaczor virussal fertőzött EXE fájl futtatásakor a virus megfertőzi a Master Boot Record-ot, majd következő induláskor rezidenssé válik, és megfertőz minden EXE fájlt, ami futtatva, vagy másolva lett. Érdekesség, hogy csak a floppy lemezeken lévő fájlokat fertőz, sőt, ha Kaczor virussal fertőzött fájlt másolunk a winchesterre, akkor kiirtja magát a fertőzött fájlból. A Pieck lopakodó vírus, nem engedi látni magát sem a fájl végén, sem az MBR-ben. A virus minden év március harmadikán aktiválódik, amikoris a következő üzenetet írja a képernyőre: Podaj haslo ? Amely egy jelszó megadásra utaló

kérdés. A helyes jelszó "PIECK" Abban az esetben, ha nem a helyes jelszót adtuk meg, egy "Blad!" ("Rossz!") felkiáltással a gépet indíthatatlanná teszi. Ha a helyes szóval próbálkoztunk akkor a következő üzenetre számíthatunk: Pozdrowienia dla wynchowankow Piecka. Ismert variánsok: • Pieck.4444 Ha a "kaczor" szót begépeljük egy fertőzött gépen, a virus kiírtja magát a MasterBootRecord-ból, és a következő szöveget írja ki: Zrobione. Ha a "test" szót írjuk be, akkor ismét kiír egy pár sort: Wersja Kodowanie Licznik HD Március harmadikán a virus a monitor képét "összerázza". Kampana.A Összefoglalás: Egyéb nevei Effektív hossz Telefonica, Spanish Telecom 3700 bájt Keletkezés ideje 1990 december Keletkezés helye Spanyolország Célpontok: Tünetek Terjedés elindítója COM programok Szöveges üzenet megjelenítése Programok futtatása Romboló rutin ---

Elterjedettsége Gyakori Részletes leírás: A Kampana.A rezidens COM programokat fertõzõ lopakodó önkódoló vírus Aktivizálódására fertõzött programok futtatásakor kerül sor. Ekkor a vírus rezidenssé válik, lefoglalva a DOS memóriából 3700 bájtnyit a maga számára, majd a boot szektort megfertõzi társvírusával a Kampana.B boot vírussal. A 21h DOS megszakítást magára irányítja, és ettõl a pillanattól kezdve minden futtatott COM programot, amelynek hossza 128 bájtnál nagyobb és 61000 bájtnál kisebb, megtámad. A víruskód a programok végére kerül. A KampanaA úgy kerüli el, hogy ugyanazt a programot többször is megfertõzze, hogy a fertõzött prorgamok módosítási dátumát 200 évvel megnöveli. Ezt a változást a vírus elrejti, amikor rezidens, így csak tiszta rendszerindításkor észrevehetõ. A vírusoknak problémákat okozó rendszerfájlokat nem bántja, így az IBM*.COM és ???MAND*.COM állományokat békén hagyja A

fertõzési folyamat során megkísérli a rezidens vírusvédelmeket kikerülendõ megtalálni a 13h, 21h és 40h megszakítások eredeti belépési pontjait. A vírus két különbözõ algoritmussal kódolja magát, kitöltve a kódot hatástalan utasításokkal, ezzel teszi nehézzé a megfelelõ vírusaláírás készítését. A Kampana.A rejtõzködõ vírus, amennyiben rezidens, a fertõzött programok hossznövekedését és a módosítási dátum változását elrejti. Miután rezidenssé vált, minden lemezmeghajtó esetében az elsõ hozzáféréskor megfertõzi annak boot szektorát a Kampana.B vírussal Lehigh Összefoglalás: Egyéb nevei Effektív hossz ----555 bájt Keletkezés ideje 1987 november Keletkezés helye USA Célpontok: COMMAND.COM Tünetek ------ Terjedés elindítója ----- Romboló rutin Merevlemez elsõ szektorainak felülírása Elterjedettsége Ma már ritka Részletes leírás: A Lehigh vírus a 80-as évek végén elterjedt

vírusnak számított. 1987-es felbukkanásakor az egyik legelsõ ismert programvírusként robbant be a köztudatba. Rezidens vírus, amely csak a COMMANDCOM-ot fertõzi meg. Emiatt gyakorlatilag csak úgy tud más gépre átterjedni, ha egy fertõzött rendszerlemezzel viszik át A felbukkanása idején még elég gyakoriak voltak a merevlemez nélküli gépek, amelyeket boot lemezzel kellett használni, így akkor kiterjedt fertõzéseket volt képes okozni. Manapság már nem gyakori a rendszerlemezek használata, így gyakoraltilag kihaltnak kell tekinteni ezt a vírust. A fertõzött COMMAND.COM lefutásakor a vírus rezidenssé válik Ennek során nem ellenõrzi, hogy a memóriában ül már-e egy példánya, így elvileg több rezidens példánya is lehetne, de mivel a COMMAND.COM-ot viszonylag ritkán futtatják, ez nem okozhat komoly gondot Rezidenssé válása után magára irányítja a 21h megszakítást. Ezután minden a DOS által hozzáfért lemez esetében megnézi,

hogy a gyökérkönyvtárában van-e fertõzetlen COMMAND.COM, ésha talál ilyet, akkor megfertõzi Ennek során nem a program méretét növeli meg, hanem az abban levõ, a verem számára lefoglalt és 0h bájtokkal teletöltött területre helyezi el a víruskódot. Amennyiben a vírus 4 COMMAND.COM-ot egymás után megfertõz úgy, hogy közben egyszer sem indult újra floppiról a rendszer , a vírus aktivizálja romboló rutinját. A BIOS-ból véletlenszerûen kiolvasott adatokkal felülírja a COMMAND.COM-ot tartalmazó lemez elsõ 32 szektorját, ezzel gyakorlatilag újraindíthatatlanná teszi a gépet. OneHalf Régóta garázdálkodik már hazánkban ez a több szempontból is különleges vírus. Kártékony voltát csak még fokozza az a tény, hogy az elérhető víruskeresők kivétel nélkül rosszul irtják. Pontosabban szólva a vírust ugyan eltávolítják, ám az általa módosított adatokat nem állítják helyre, s így azok a felhasználó szempontjából

elveszettnek minősíthetők. Mit is tesz ez a vírus? .EXE és COM kiterjesztésű fájlokat fertőz, hosszukat nagyjából 35 kB-tal növelve Egy fertőzött program indításakor azonnal megfertőzi a 0. merevlemez partíciós tábláját is Csak a partíciós táblából indulva válik rezidenssé. Amennyiben rezidens, úgy a nem fertőzött partíción lévő EXE és COM kiterjesztésű fájlokat megfertőzi a fájl megnyitásakor, lezárásakor, illetve futtatásakor. Merevlemezről történő bootolásonként 2-2 cylinder teljes tartalmát titkosítja. A titkosításban a merevlemez utolsó cylinderétől halad visszafelé. Egy, a merevlemeztől függő cylindernél abbahagyja a titkosítást Ezután időközönként (rendszerindításkor) a „Dis is one half.” szöveget írja ki A titkosítás azon a cylinderen, melyen hibás szektor található, nem történik meg. Az OHK program képes a OneHalf vírust felismerni, azt a fertőzött területekről eltávolítani, valamint

a kódolt területeket visszakódolni. A program valamennyi, a vírus által érintett cylindert dekódolja Mivel már igen sok esetben okozott a helytelen irtás jelentős károkkal járó adatvesztést, a VirusBuster Team e vírust irtó különálló programját (OHK) szabadon terjeszthető formában elérhetővé teszi (a VBuster víruskereső és irtó program természetesen szintén alkalmas a OneHalf keresésére és irtására). A program letölthető a World Wide Web-ről, megtalálható több számítástechnikai folyóirat CD mellékletén és kérhető a forgalmazóktól. Amennyiben más vírusirtóval távolította el gépéről a OneHalf-ot, s ezután adatait nem tudja elérni, keressen minket, még mindig van remény a visszakódolásra! Addig azonban NE HASZNÁLJA gépét, mert a vírus által kódolt területek tovább sérülhetnek. RedTeam Összefoglalás: Egyéb nevei Effektív hossz ---4766 bájt Keletkezés ideje 1997 június Keletkezés helye -- Célpontok

Tünetek Terjedés elindítója Windows 3.x NewEXE programok Levelek elküldése Programok futtatása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Részletes leírás: Fertõzött programok elsõ futtatása esetén a vírus egyetlen állományt támad meg, a 16 bites operációs rendszer magjához tartozó függvények tárházát alkotó KRNL286.EXE illetve KRNL386EXE programot Ezekhez nem ad új kódszegmenst, hanem a meglevõhöz illeszti hozzá magát, majd pedig a fejlécet módosítja úgy, hogy a WINEXEC (Windows 3.x esetében) illetve az INITPROC (Win95/NT) eljárások az eredeti operációs rendszer rutinok helyett a vírusra mutassanak. Mivel minden program futtatása ezen eljárások révén történik, anélkül, hogy a vírus rezidenssé válna és külön memóriaterületet foglalna le magának (hiszen így most a kernel területén tárolja el magát, ami egy-egy Windows szesszió során statikusan megmarad) képes arra, hogy

minden program futtatásakor aktivizálódjon. Az aktivizálódás során a vírus elõször elindítja a fertõzésre kiszemelt programot, majd a háttérben megfert?zi azt. Ezzel elkerüli a fertõzés miatti futáslassulást, lecsökkentve a lebukás kockázatát. A fertõzött programok közül átlagosan minden nyolcadik képes az e-mailen való terjedés elõidézésére. Ha a kernelt egy ilyen különleges program fertõzi meg, és a továbbiakban olyan programot futtatunk, amelynek a könyvtárában a Eudora levelezõ programhoz tartozó levelesláda van, akkor a vírus szétküldi magát levélen. Ezt úgy teszi, hogy az NNDBASE.TOC fájlból kiolvassa a felhasználó által definiált levélcím-rövidítéseket (nicknames), majd az ebbõl kiolvasott címzetteknek összeszerkesztett leveleket beleírja az OUT.MBX kimenõ levelesládába, és a rájuk való hivatkozást beírja az ugyanezen levelesláda tartalomjegyzékeként szolgáló OUT.TOC fájlba, azzal a bejegyzéssel,

hogy a levelek elküldendõek Az összeszerkesztett levelek két részbõl állnak, egy rövid ismertetõbõl, és a mellékelt 6351 bájt hosszúságú KRTEAM.EXE programból Az ismertetõ olyan, mint az összes ál-levélvírusról szóló levél, azzal a különbséggel, hogy azt állítja, hogy a mellékelt program minden gond nélkül megszabadít az állítólagos Red Team nevû levélvírustól. A mellékelt program természetesen nem ezt teszi, hanem a vírust ülteti el Egy géprõl csak egy levélcsokor indul el. Ezt úgy biztosítja a vírus, hogy a levelek elküldése után létrehoz egy RTBASE.TOC nevû állományt Ha a továbbiakban talál ilyen nevû fájlt, akkor a levélküldést nem hajtja végre A RedTeam vírus a vírusíró eredeti tervei szerint mind a 16 bites Windows 3.x, mind a 32 bites Windows 95/NT alatt mûködõképes lenne, azonban egy programozási hiba miatt csak a 16 bites környezetben életképes. Semisoft Összefoglalás: Egyéb nevei Effektív

hossz Net.666 60416 bájt Keletkezés ideje 1997 õsz Keletkezés helye --- Célpontok Windows 95/NT EXE programok Tünetek Új processzek megjelenése a taszk listában, Notepad mûködésében zavarok Terjedés elindítója Programok futtatása Romboló rutin --- Elterjedettsége Ritka Részletes leírás: A vírusnak több variánsa is van, a legelsõként felfedezett 60416 bájt hosszú, 1997 õszén bukkant fel. Valódi 32 bites vírus, vagyis egyaránt mûködõképes Windows95 és WindowsNT alatt is. Mindkét operációs rendszer natív programjait képes megfertõzni azok legelsõ kódmoduljának elejére írva magát. Így aztán a vírus mindig az eredetileg fertõzetlen programok elõtt fut le A vírusok között ritkaságnak számító módon magas szintû programnyelven, a Microsoft C fordítójával készítették, emiatt pontos elemzése komoly nehézségeket okoz. A vírus külön eljárást tartalmaz a NOTEPAD.EXE megfertõzésére Az eredeti

programot elmenti NOTEPADX.EXE néven A nem megfelelõ fertõzés miatt (a vírus nem adja tovább a parancssori paramétereket a fertõzetlen programnak) a böngészõ (Explorer) ablakból nem lehet megnyitni a korábban a Notepad alkalmazáshoz rendelt állományokat. Azokon kétszer kattintva a dokumentumot tartalmazó ablak helyett csak egy üres ablakkal indul el a Notepad. Ezen felül létrehoz néhány állományt, amelyek csupán a víruskódot tartalmazzák (és emiatt ugyanolyan hosszúak és azonos tartalmúak): WINIPX.EXE, WINIPXAEXE, WINSRVCEXE, EXPLOREEXE (az elsõ három a Windows könyvtárában, az utolsó a WINDOWSSTART MENUPROGRAMSSTARTUP könyvtárban keletkezik). Ezek szolgálnak arra, hogy a Windows95/NT indítási könyvtáraiban elhelyezve minden rendszerindításkor automatikusan indítsák a vírust is. Emiatt fertõzött gépen a futó processzek listájában a fent említett programok mindig megtalálhatóak. A taszk listában kiválasztva be lehet ugyan

zárni õket, de az éppen leállított processzt a többi még futó processz rögtön újraindítja - ezzel a vírus primitív önvédelmi és regenerációs mechanizmussal rendelkezik. Az automatikus indítást a registry-ben létrehozott bejegyzéseket biztosítják. Ezek a bejegyzések: Windows95 alatt a [HKEY LOCAL MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices] szekcióban a WINIPX kulcsszó értékét "C:WINDOWSWINIPX.EXE"-re állítja WindowsNT alatt a [HKEY LOCAL MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] szekcióban a Shell kulcs érékének "Explorer.exe,WINIPXEXE"- állítja be Az aktív vírust a leggyakoribb, 59904 bájtos variánsnál egy 6.666 nevû processz jelzi a taszk-listában (a 60416 bájtosnál a processz neve 5.2, az 59904b variánsnál 44) Emiatt a futó taszk miatt a leállás során gyakran hibaüzeneteket kap a felhasználó. Egy gép megfertõzése után a vírus egy kis ideig vár, majd felveszi a kapcsolatot

(ping-et küldve) 4 IP címmel (ezek közül 3 cím ismert: 202.37225170, 2025080221, 210552395), amelyekhez új-zélandi illetõségû számítógépek tartoznak. Ezek után megnyitja és folyamatosan nyitva tartja az 531 portot a bejövõ csomagok számára. Ennek feltehetõen az a célja, hogy az említett 4 IP cím valamelyikérõl küldött parancsokkal vezérelni lehessen a fertõzött számítógépet, hozzáférve és teljes kontrollt gyakorolva annak összes állománya felett. A vírus felfedezése után pár héttel ezek az IP címek megszûntek létezni. Azt, hogy a vírus nem csak elméleti veszélyt jelent jelzi, hogy 1997 végén és 1998 elején több fertõzést is jeleztek. A vírust többek között a Netscape Navigator 404 (Windows95-ös változat) egyik telepítõkészletében bukkant fel. Tequila Összefoglalás: Egyéb nevei Effektív hossz ----Fertõzött programokban 2468 bájt Merevlemezen 6 szektor Keletkezés ideje 1991 április Keletkezés helye

Svájc Célpontok: EXE programok, partíciós tábla Tünetek Grafika megjelenítése Terjedés elindítója Programok futtatása, bezárása Romboló rutin --- Elterjedettsége Gyakori Részletes leírás: A Tequila rezidens, lopakodó, önkódoló, EXE programokat és a partíciós táblát fertõzõ vírus. Legelõször Svájcban fedezték fel, de gyakorlatilag egész Európában elterjedt vírusnak számít. Fertõzött programok futtatásakor megfertõzi a partíciós táblát (az eredetit és a víruskód többi szektorát az aktív partíció legvégére írja, majd lecsökkenti az aktív partíció méretét, így a víruskód hagyományos eszközökkel gyakorlatilag hozzáférhetetlenné válik). Nem klasszikus boot vírus, mert további floppik vagy lemezmeghatjtók boot szektorát nem fertõzi meg, csupán annyi a cél, hogy a következõ rendszerindításkor a vírus rezidenssé váljon és magára irányítsa a 13h, 1Ch és 21h megszakításokat. Ettõl

kezdve minden futtatott vagy bezárt EXE program végére írja magát. Hogy az általában önellenõrzést végrehajtó víruskeresõk fertõzését elkerülje, nem támad meg olyan programokat, melyek nevében a SC vagy a V megtalálható. A többszörös fertõzések elkerülése végett a Tequila minden általa megfertõzött program esetében a módosítási idõ másodpercének értékét 62-re állítja. Ha ilyen programmal találkozik, akkor azt békénhagyja A vírus magára irányítva a 21h megszakítást elrejti a fertõzött programok hosszának megnövekedését. Továbbá a 13h megszakítás manipulálásával a partíciós tábla változását is elrejti. Amennyiben a rezidens vírus jelenlétében a DOS olyan programhoz nyúl hozzá, amelyhez a SCAN program segítségével validációs ellenõrzõ összeget rendeltek, törli a szóban forgó programot. A vírus által növelt belsõ számlálók pillanatnyi értékétõl függõen megjeleníti az alábbi fraktál

ábrát az üzenet elsõ sorával, majd további billentyûlenyomásra az üzenet többi része is megjelenik a képernyõn. Makrovírus leírások A makróvírusok a szövegszerkesztők beépített makróprogramozási nyelvében megírt vírusokat nevezzük. A makrónyelv nem más, mint az alkalmazásokba beépített belső parancsokból felépülő nyelv. Az elsődleges feladata az, hogy a mechanikusan ismétlődő feladatokat automatizálni lehessen. Biztosítania kell továbbá egy ilyen nyelvnek a felhasználás legfontosabb parancsainak végrehajtását, azok egymás után fűzését. A Microsoft olyan komplex makró programnyelvet (WordBASIC) mellékelt a Word for Windows szövegszerkesztőjéhez, amely lehetőségeiben a maga korában egyedülállónak számított. Nem csak a Word összes belső parancsához nyújtott hozzáférést, hanem lehetővé tette automatikusan végrehajtható programok írását, sőt a beépített Word parancsok kibővítését, kézre szabását

is. Természetesen nem csak a Word for Windows makrónyelve rendelkezik mindazokkal a lehetőségekkel, amelyek egy vírus megteremtéséhez szükségesek. Szinte minden elterjedtebb szövegszerkesztő vagy táblázatkezelő rendelkezik makrózási lehetőségekkel. Ennek megfelelően rendre születtek is AmiPro, Excel, Lotus 1-2-3 makrónyelven írt kártevők, ezek azonban csak elenyésző számban léteznek a Word vírusaival szemben. Makrókat csak sablonokhoz (template) lehet csatolni, amelyeknek .DOT kiterjesztésük van, megkülönböztetendő a szokványos, .DOC kiterjesztésű dokumentumoktól A Word viszont akkor is felismeri, hogy nem szokványos dokumentum, ha egy sablon esetleg .DOC kiterjesztést kap, és minden külön tájékoztatás nélkül helyesen kezeli. Minden ismert MS Word makró vírus ilyen DOC kiterjesztésű de a sablonokra jellemző belső szerkezetű állomány. Attól függően, hogy melyik szövegszerkesztő makrónyelvében íródtak, az alábbi fő

csoportokra oszthatjuk ezt a csoportot: Word makróvírusok Általános bevezetõ: Rengeteg támadási pont van, ahol a vírus bekapcsolódhat a végrehajtási láncba a Word esetén. Létezik 5 elõre definiált, fix nevû ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elõfordulásakor kerülnek végrehajtásra. Ezeket az 1 táblázat tartalmazza Ha például egy sablon tartalmaz egy AutoClose nevû makrót, akkor minden ezen a sablonon alapuló dokumentum lezárásakor ez a makró automatikusan végrehajtódik. Makró neve Végrehajtódás feltétele AutoExec MS Word indítása AutoOpen Dokumentum nyitása AutoClose Dokumentum zárása AutoExit Kilépés az MS Word-bõl AutoNew Új dokumentum létrehozása A másik aktivizálódási lehetõség egy vírus számára abban rejlik, hogy a Word beépített, menübõl kiválasztható parancsait makrókkal át lehet definiálni. Ha például létezik egy FileSaveAs nevû makró a mintaállományban

(amely éppen az aktív ablakban van), akkor a Save As. menüpontot kiválasztva nem az eredeti Word parancs, hanem ez a makró hajtódik végre, és a vírus ismét vígan terjed. A legtöbb makróvírus az automatikus makrókat használja fel a globális sablon (NORMAL.DOT) megfertõzéséhez, és a menüparancsok átírását a további dokumentumok fertõzéséhez. Ezen kívül van még néhány egzotikus módszer a vírusok aktivizálódásának biztosítására. A Word makró vírusok az elsõ valóban platform-független vírusok, amelyek képesek különbözõ architektúrájú gépek között terjedni. Minden operációs rendszer alatt, amelyre létezik MS Word (Macintosh OS, DOS, Windows NT, OS/2) életképesek. Gyakorlatilag mindegyik ismert Word vírus képes más operációs rendszer alatt terjedni (bár mindet Windows alatt írták), csak legfeljebb néhány apróság nem mûködik bennük. A Word különbözõ nyelvi verziói valamelyest gátat szabnak a szabad

terjedésnek. Ezekben a változatokban ugyanis az egyes menüpontoknak, így a hozzájuk rendelt belsõ parancsoknak a neveit is lefordították. Például az angolszász változatokban levõ FileSaveAs belsõ parancsnak a német verzióban a DateiSpeichernUnter felel meg, a hollandban a BestandOpslaanAls stb. Emiatt az angol verzióban megírt Concept például nem életképes német nyelvterületre érve. Mivel pedig a makró parancsok a sablonokon belül nem nevük szerint, hanem már félig lefordított 2-3 bájtos tokenekként tárolódnak (és ezek a tokenek ugyanazok minden változatban), a csupán automatikus makrókkal operáló vírusok, mint például az igen elterjedt Wazzu, gond nélkül mûködnek minden Word verzióban. Alliance.A Összefoglalás: Egyéb nevei Aliance Effektív hossz 352 bájt a dokumentumokban, 704 bájt a globális sablonban Keletkezés ideje 1996 nyara Keletkezés helye USA Célpontok Word dokumentumok és sablonok Tünetek ---

Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentum nyitása vagy új dokumentum létrehozása Romboló rutin ---- Elterjedettsége Csak gyûjteményekben fordul elõ Vírus összetétele: AutoOpen AutoNew (csak a globális sablonban) Makrók: Titkosított: Nem Részletes leírás: Az Alliance vírust Usenet hírcsoportokban terjesztették, ezért elvileg világszerte elõfordulhat, de valójában nem okozott kiterjedt fertõzéseket. A vírus a fertõzött dokumentumok megnyitásakor fertõzi meg a globális sablont. Mindenféle ellenõrzés nélkül másolja be a makóját a NORMAL.DOT-ba két példányban, AutoOpen illetve AutoNew néven A két makró tartalma teljesen azonos. Ellentétben a makróvírusok többségével csak nagyon ritkán, meghatározott napokon terjed át további dokumentumokba. Ezek minden hónap 2, 7, 11 és 12 napjai Ezeken a napokon minden megnyitott illetve újonnan létrehozott dokumentumot megfertõz.

Elõször ellenõrzi, hogy megváltozott-e annak a tartalma, és csak akkor másolja át az AutoOpen makróját oda. Ennek az a célja, hogy ha nem változott volna meg a dokumentum tartalma, akkor gyanút kelthetett volna a vírus által kezdeményezett mentés, így viszont a gyanútlan felhasználó a Word automatikus mentési funkciójára terhelheti a mentést. Mindezek arra utalnak, hogy a vírusíró ún. lassan terjedõ vírust akart létrehozni, amely a lehetõ legkevesebb árulkodó jelet hagyva maga után szép lassan fertõzi csak meg a rendszert. A fertõzött dokumentumok File/Properties mezejébe az alábbi megjegyzést illeszti be a vírus: You Have Been Infected by the Alliance Anarchy.A Összefoglalás: Egyéb nevei Effektív hossz Anarchy.6093 7226 bájt Keletkezés ideje 1997. június Keletkezés helye Oroszország Célpontok Word dokumentumok és sablonok, DOS EXE és COM programok Tünetek --- Fertõzés elindítója Fertõzött dokumentum

megnyitása Terjedés elindítója --- Romboló rutin Merevlemez szektorainak felülírása Elterjedettsége Fõleg Oroszországban elterjedt Vírus összetétele: Makrók: Titkosított: AUTOOPEN Igen Részletes leírás: Az Anarchy.A kombinált COM, EXE és Windows NewEXE fertõzõ vírus és Word trójai program Oroszországban rövid idõ alatt igen kiterjedt fertõzéseket okozott. Amikor egy Anarchy.6093-mal fertõzött DOS programot indítunk, az elõször önellenõrzést hajt végre: 16 bites CRC ellenõrzõ összeget számít ki, és ha ez nem egyezik meg a program fertõzésekor eltárolt értékkel (vagyis ha valaki belepiszkált a fertõzés után a programba), akkor lefagyasztja a gépet. Ezután a vírus ellenõrzi, ül-e már egy példánya a memóriában, ha nem, akkor megfertõzi a WIN.COM-ot és a parancsértelmezõt (ez MSDOS esetében a COMMAND.COM), lefoglalja magának a szükséges memóriaterületet majd a 21h és 2Fh megszakításokat magára

irányítva háttérbe húzódik. Mivel a 21h megszakítás, azaz a DOS legfontosabb függvényeit kezében tartja, gyakorlatilag teljesen el tudja rejteni magát. Így ha például egy víruskeresõ megnyitja a programot, a vírus közbelép, és eltávolítja a saját kódját belõle, ezzel próbálja lehetetlenné tenni a felismerését. A hasonló módon operáló vírusok gyakori hibája, hogy akkor is megtisztítja a fertõzött programot, ha valamelyik arhiváló program nyitja meg, emiatt a tömörített archívumokba a megtisztított programok kerülnek bele. Ezt a csapdát a vírus részben megkerüli, ha ugyanis az ARJ.EXE, ZIPEXE, RAREXE, RAR20EXE programok valamelyike nyit meg fertõzött programot, a vírus nem tisztítja azt meg, vírussal fertõzötten fog eltárolódni program. A file megnyitási, létrehozási és becsukási funkciókat használja fel a vírus a szaporodásra. A COM, EXE és DOC file-okat fertõzi meg, az elõbbi kettõt a vírusoktól már

megszokott eljárással, a dokumentumokat viszont teljesen egyedülálló módon. Szemmel látható, hogy a vírus írója részben tisztában volt a Word dokumentumok szerkezetével és a tárolásukra használt OLE2 filefragmentálási eljárással. A fertõzés elsõ lépéseként a vírus megkeresi beolvassa a Word dokumentum fejlécét. Ha a dokumentumok fejlécében az az információ áll, hogy az egy sablon, vagy ha jelszóval védett akkor békén hagyja, ha egyik sem, akkor módosítja a fejlécet és hozzáad az immár sablonná minõsített dokumentumhoz egy AUTOOPEN makrót, amely a fertõzött dokumentum Word általi megnyitásakor indul el. Úgy állítja össze ezt a makrót, hogy az futtatáskor létrehozzon egy EXE file-t és abba elpottyantsa a vírus kódját. A Word egy igen érdekes következetlensége miatt ez a makró gyakorlatilag láthatatlan lesz. Ugyanis a Word két névlistát tart számon a makrókról. Az elsõnek a makrók tényleges használatakor van

szerepe (futtatás, másolás, törlés), a második listát csak akkor használja, amikor a Tools|Macro és az Organizer parancsok kilistázzák a sablon makróit. A vírus az elsõ listába bejegyzi a makróját, a másodikba nem, így a makró a megnyitáskor gond nélkül lefut, viszont a makrólistákban nem jelenik meg. Érdekes helyzetet teremt ez, amivel normális körülmények között senki sem találkozhat, mivel a Word egyszerre módosítja mindig a két névlistát. A vírus büntetõrutinja április 8-án, 30-án és május 9-én aktivizálódik ,amikor is a merevlemez véletlenül kiválasztott szektorait teleírja orosz nyelvû idézetekkel. A vírus nem mentes a hibáktól sem, ha ugyanis nagyon kicsi Word dokumentumokat, vagy Word97 dokumentumokat fertõzne meg, akkor azt hibásan teszi és korruptálja azokat. Összességében a vírus a Word makrófázisában csak egy, a tényleges DOS vírust útjára bocsátó trójai programként funkcionál, más

dokumentumokba közvetlenül nem terjed át, azonban mivel a Word-fázis is hozzájárul a terjedéshez, besorolható a makrókártevõk közé is. Atom.A Összefoglalás: Egyéb nevei Atomic Effektív hossz 1029 bájt Keletkezés ideje 1997. február Keletkezés helye Ukrajna Célpontok Word dokumentumok és sablonok Tünetek Fájlok törlése, dokumentumok jelszóval védése Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok megnyitása és mentése Romboló rutin Minden hónap 13-án törli az aktuális könyvtárban az õsszes állományt Elterjedettsége Nagyon ritka Vírus összetétele: Makrók: Titkosított: Atom AutoOpen FileOpen FileSaveAs Az összes makró titkosított Részletes leírás: A vírus a fertõzött dokumentumok megnyitásakor aktivizálódik. Elõször ellenõrzi, hogy a globális sablonban van-e legalább 4 makró és hogy ezek egyikének a neve Atom-e. Ha ezen feltételek valamelyike nem

teljesül, akkor a NORMAL.DOT biztosan nem tartalmaz egy sértetlen Atom vírust, ezért az összes makróját odamásolva megfertõzi azt. A globális sabon megfertõzése után a vírus minden esetben meghívja a romboló rutinját tartalmazó Atom makrót. Ez erdeetileg ógy volt szánva, hogy minden év december 13-án az éppen aktuális könyvtárban töröl minden állományt, de egy programozási hiba miatt a romboló trutin minden hónap 13. napján aktivizálódik Ezután a Word által megnyitott dokumentumokat két úton fertõzheti meg. Vagy megnyitásukkor a FileOpen makró révén, vagy pedig (ha valami okból nem a File menü Open elemének kiválasztásával nyitották meg a dokumentumot) a Save As. paranccsal való mentésekor Egyik esetben sem ellenõrzi, hogy a kiszemelt dokumentum esetleg fertõzött-e. A kettõ között az a különbség, hogy a FileOpenen keresztül való fertõzéskor minden fájlt megfertõz (ha például szöveges dokumentumot vagy RTF

állományt nyitottunk meg, azt is), a FileSaveAs-en keresztül való mentéskor csak a dokumentumokat és a sablonokat. Ez utóbbi esetben, ha a mentés pillanatában a rendszeridõ a 13. másodpercben jár, az elmentett dokumentumot az "ATOM#1" jelszóval védi le. Az Atom nem tiltja le a globális sablon megváltozását jelzõ figyelmeztetést, ezért a NORMAL.DOT megfertõzése után ez a Word-üzenet elárulhatja jelenlétét. Mivel a vírus az angol Word menüparancsaihoz tartozó makrüneveket használja, csak az angolszász nyelvi változattal kompatibilis Word változatokon életképes. Bandung.A Összefoglalás: Egyéb nevei Jakarta Effektív hossz 4262 bájt Keletkezés ideje 1996 augusztus/szeptember Keletkezés helye Bandung, Indonézia Célpontok Word dokumentumok és sablonok Tünetek Üzenetablakok megjelenése Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum mentése Romboló rutin A WINDOWS,

WINWORD és WINWORD6 könyvtárakban Elterjedettsége Elterjedt Vírus összetétele: Makrók: AutoExec AutoOpen FileSave FileSaveAs Toolsmacro Toolscustomize Titkosított: Egyik makró sem az Részletes leírás: A Bandung.A a fertõzött dokumentumok megnyitásakor, az AutoOpen makró révén aktivizálódik Ennek során semmi ellenõrzést nem végez, minden fertõzött dokumentum megnyitásakor bemásolja makróit a globális sablonba. A további dokumentumokat mentésükkor fertõzi, akár a Save akár a Save As. paranccsal történik a mentés.Ekkor sem végez ellenõrzést arra nézve, hogy a kiszemelt dokumentum már fertõzött-e, minden esetben bemásolja makróit. A fertõzéshez használt kódrészlet észrevehetõen a ConceptA vírusból származik, ezért a Bandung.A akár távoli Concept-variánsnak is tekinthetõ Miután a globális sablont megfertõzte a Bandung, az AutoExec makrójban levõ romboló rutin minden Wordindításkor aktivizálódik. Ha a Word

indítása a hónap 19 napja utén, délelõtt 11 óra után történik, a vírus a C: meghajtón a vírus életben maradásához szükséges WINDOWS, WINWORD és WINWORD6 könyvtárak kivételével minden könyvtárat 3 alkönyvtár mélységig rekurzíven kitöröl. Ezután megjeleníti a rendszerdátumot és idõt indonéz nyelven, majd létrehozza a C:PESAN.TXT állományt, az alábbi (feltehetõen indonéz nyelvû) tartalommal: Anda rupanya sedang sial, semua file di mesin ini kecuali yang berada di direktori WINDOWS dan WINWORD telah hilang, jangan kaget, ini bukan ulah Anda, tapi ini hasil pekerjaan saya.Barang siapa yang berhasil menemukan cara menangkal virus ini, saya aka" + "n memberi listing virus ini untuk Anda !!! Dan tentu saja saya akan terus datang kesini untuk memberi Anda salam dengan virus-virus terbaru dari saya.selamat! Bandung, A szöveg körülbelüli fordítása a következõ: " " " " " " " Nincs szerencsld, a

gépeden az összes fájl törlõdött, " kivéve a WINDOWS-t és a WINWORD-öt, ne ess kétségebe, nem a te " hibád, hanem az én munkám eredménye . Ha megtalálod a " módját a vírus leküzdésének, akkor odaadom a forráskódját!!! " És természetesen állandóan dicsõíteni foglak " az új vírusaimmal . sok szerencsét Bandung 1996 június 28," Hétfõ, délután 13:00" A vírus primitív önvédelmi funkciókat is megvalósít. Hogy a makróit elrejtse a hozzáférés elõl a Tools|Macro ;s Tools|Customize menüpontok kiválasztásakor (amelyek a makrókhoz való kézi hozzáférést szolgálják) 1996. március 10. után csak az alábbi üzenetet jeleníti meg: Fail on step 29296 Majd az adott dokumentumon belül az összes "a" betût a "#@" kombinációval helyettesíti. Birthday.A Összefoglalás: Egyéb nevei Effektív hossz PCW, Suzanne 1039 bájt Keletkezés ideje Németország Keletkezés helye 1996

július Célpontok Tünetek Word dokumentumok és sablonok Üzenetablak megjelenése Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: AutoOpen DateiSpeichernUnter Makrók: Titkosított: Mindkét makró titkosított Részletes leírás: A Birthday.A vírus azzal vált hirhedtté, hogy kódját a német PCW számítástechnikai folyóirat leközölte Ennek ellenére meglepõ módon sem komoly fertõzéseket nem okozott, sem újabb variánsai nem bukkantak fel, pedig mindkettõ lehetõség gyakori a publikált kódú vírusok esetében. A vírus aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Az ekkor elinduló AutoOpen makró elõször létrehoz egy teljesen üres új dokumentumot (ennek a dokumentumnak semmi szerepe nincs, rejtély, miért hozza létre a vírus), majd minden ellenõrzés

nélkül átmásolja két makróját a globális sablonba, felülírva ezzel a vírus már esetleg ott levõ példányát. Végül bezárja a korábban létrehozott dokumentumot A további dokumentumokba való terjedés azok elmentésekor zajlik. Ekkor a vírus DateiSpeichernUnter makrója indul el, ami a német Word változat Mentés másképp. menüparancsát definiálja felül Ez a makró minden ellenõrzés nélkül átmásolja a két vírusmakrót a kiszemelt dokumentumba, felülírva a vírus esetleg abban levõ példányát. Mivel a terjedés a mentési parancs német nevén alapul, a vírus csak a német nyelvû Word változatban képes dokumentumokat fertõzni. Júliustól kezdve minden hónap 15. napján a vírus minden dokumentum megnyitásakor megjelenít egy üzenetablakot az alábbi szöveggel: Happy Birthday! Herzlichen Glückwunsch Suzanne B. aus E zu deinem Geburstag Ich liebe dich Bár a vírus nem fertõz dokumentumokat a némettõl eltérõ nemzeti Word

változatokban, a globális sablon fertõzésére és az üzenet megjelenítésére ezekben is sor kerül. Boom.A Összefoglalás: Egyéb nevei Effektív hossz Boombastic 2863 bájt Keletkezés ideje 1996 július Keletkezés helye Németország Célpontok Tünetek Word dokumentumok sablonok és RTF állományok A menüsor megváltozik Fertõzés elindítója fertôzött dokumentum megnyitása Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: AutoOpen DateiSpeichernUnter Makrók: System AutoExec Titkosított: Az összes makró titkosított Részletes leírás: A Boom.A fertôzött dokumentumok megnyitásakor aktivizálódik A globális sablonban már esetleg jelenlevo példányát a System makró megkeresésével ellenorzi. Ha ezt megtalálja, akkor nem másolja makróit a NORMAL.DOT-ba, ha ott ez a makró még nincs jelen, akkor fertôzetlennek ítéli azt, és bemásolja makróit A további dokumentumokba

való terjedés a dokumentumok elmentésekor, A DateiSpeciernUnter makró révén történik. A kiszemelt dokumentumban már esetleg jelenlevo példányát a System makró megkeresésével ellenorzi. Ha ezt megtalálja, akkorbékén hagyja a dokumentumot, ha ott ez a makró még nincs jelen, akkor fertôzetlennek ítéli azt, és bemásolja makróit. Nem csak a dokumentumokat és asblonokat, hanem az RTF formátumban elmenteni szánt állományokat is megfertôzi: azokat dokumentummá konvertálja, és sablon formátumban, de RTF kiterjesztéssel menti el. A globális sablon fertôzése után illetve minden Word indításkor aktiválja zavaró rutinját, amely az 1996-os évetol kezdodoen minden február utáni hónap 13. napján fut le A Word idozíto szolgáltatását kihasználva garantálja a vírus, hogy az általa okozott effektusók 13óra 13 perc 13 másodperckor lépjenek életbe. Ekkor a vírus átdefiniálja a német Word teljes menüsorát az alábbi séma szerint: Datei

-> Mr.Boombastic Bearbeiten -> and Ansicht -> Sir WIXALOT Einfuegen -> are Format -> watching Extras -> you Tabelle -> ! Fenster -> ! Hilfe -> ! Vagyis a teljes menüsor szövege az alábbi lesz: "Mr. Boombastic and Sir WIXALOT are watching you !!!" Ha a Word éppen valami müvelet miatt elfoglalt a jelzett idopontban, akkor 30 percet vár a vírus, és ha ezalatt felszabadul, akkor hajtja végre az átnevezést. Ez az effektus, mivel a német Word menüelemeinek nevein alapul, csak a német Word környezetben müködik. Ezután a Word üzenetsorába kiírja az alábbi szöveget: "Mr. Boombastic and Sir WIXALOT : Don`t Panik, all things are removeable !!! Thanks VIRUSEX !!!" A menüsor átdefiniálása után a Boom.A létrehoz és kinyomtat egy dokumentumot az alábbi tartalommal: Greetings from Mr. Boombastic and Sir WIXALOT !!! Oskar L. wir kriegen dich Dies ist eine Initiative des Institutes zur Vermeidung und Verbreitung on

Peinlichkeiten, durch in der ™ffenlichkeit stehende Personen, unter der Schimherrschaft von Rudi S. ! A kinyomtatás befejeztével a vírus visszaállítja a menüsor eredet, alapértelmezett állapotát. Amennyiben a felhasználó vagy az általa telepített valamelyik Word-segédprogram a Word elôre definiált menüsorában bármiféle változtatást eszközölt korábban, ezek a változtatások elvesznek. A Boom.A AutoExec makrója minden rendszerindításnál engedélyzi a gyors mentéseket és letiltja a NORMAL.DOT megváltozása miatt megjelenô Word figyelmeztetô ablakot, ezáltal igyekszik a lehetô legjobban leplezni a jelenlétét. Buero.A Összefoglalás: Egyéb nevei BuroNeu Effektív hossz 697 bájt Keletkezés ideje 1996 augusztus Keletkezés helye Németország Célpontok Word dokumentumok és sablonok Tünetek Dokumentumok törlése Fertõzés elindítója Fertozött dokumentumok megnyitása Terjedés elindítója Dokumentumok mentése Romboló

rutin A C: könyvtárban levo dokumentumok törlése Elterjedettsége Elterjedt Vírus összetétele: AutoOpen (csak fetozött dokumentumban) Makrók: BüroNeu DateiSpeichern (csak a globális sablonban) Titkosított: Mindkét makró titkosított Terjedési séma Fertõzött dokumentum AutoOpen AutoSave Globális sablon BüroNeu DateiSpeichern Részletes leírás: A Buero.A aktivizálódása fertôzött dokumentumok megnyitása során történik Ekkor a vírus minden ellenôrzés nélkül bemásolja makróit a NORMAL.DOT-ba felülírva egy esetlegesen ott levô korábbi példányát is A terjedés során az AutoOpen makrót átnevezi BüroNeu-ra, és a dokumentumban BüroNeu néven szereplô makró kapja a DateiSpeichern nevet. Emiatt a globális sablonban illetve a fertôzött dokumentumokban levô BüroNeu makrók tartalma különbözô. A további dokumentumok fertôzése azok mentésekor történik. A BueroA elkerülendô az újonnan létrehozott, és ezért még

rendes névvel nem rendelkezô dokumentumok mentésekor fellépô problémákat ellenôrzést végez. ha egy vadonatúj dokumentumról van szó, akkor azt békén hagyja, és egyszerüen csak elmenti, ha már régebben létrehozott dokumentum a kiszemelt célpont, akkor azt megfertôzi. Ennek során nem ellenôrzi a dokumentum esetleges fertôzött voltát, egyszerüen bemásolja makróit, felülírva ezzel a vírus esetleg jelen levô korábbi példányát. A DateiSpeichern makró a német Word változatban a mentés menüparancsát definiálja felül, viszont a némettôl különbözô nyelvi verziókban nem kapja meg a vezérlést, ezért ezekben a környezetekben a vírus szaporodásképtelen. Az aktivizálódás, lévén a nyelvfüggetlen AutoOpen makróra alapul, megtörténik, a vírus a legtöbb nyelvi verzióban képes megfertôzni a globális sablont, de a további dokumentumokba való terjedés már nem fog müködni. A dokumentumok fertôzése során a vírus aktiválja

romboló rutinját. Amennyiben a rendszerdátum több 1996 augusztus 15-nél, akkor megkísérli átnevezni a C:IO.SYS állomány nevét C:IIOSYS -re Amennyiben ez sikerülne, az MSDOS operációs rendszert futtató számítógép újraindíthatatlanná válik. Ezután a vírus a C:DOC könyvtárban levô összes DOC kiterjesztésü állományt törli. CAP.A Összefoglalás: Egyéb nevei ---- Effektív hossz 2593 bájt Keletkezés ideje 1996. vége Keletkezés helye Venezuela Célpontok Word DOC és RTF fájlok Tünetek Menüpontok eltûnése, gyakori és indokolatlan mentések Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum megnyitása, bezárása vagy mentése Romboló rutin Tools|Macro, Tools|Customize és File|Templates menüpontok eltüntetése Elterjedtsége Vírus összetétele: Makrók: CAP AutoExec AutoOpen AutoClose FileOpen FileClose FileSave FileSaveAs ToolsMacro FileTemplates világszerte gyakori

Titkosított: ToolsMacro kivételével az összes makró Részletes leírás: A vírus Venezuelában született valamikor 1996 vége felé. Európába 1997 februárjában jutott, és a tavasz folyamán már Európa-szerte komoly fertõzéseket okozott, majd 1997 nyár elejére hazánkba is begyûrûzött. A CAP alapesetben 10 titkosított makróból áll, ezek: CAP, AutoExec, AutoOpen, AutoClose, FileOpen, FileClose, FileSave, FileSaveAs, ToolsMacro, FileTemplates. A víruskód teljes hossza 2593 bájt, és szinte a teljes egészében a CAP nevû makróban összpontosul, a többi makró gyakorlatilag csak az ebben elhelyezett eljárásokat hívja meg. Amikor egy fertõzött dokumentumot nyitunk meg vagy mentünk el, a globális sablont automatikusan megfertõzi a vírus. Ezen folyamat során a globális sablonban korábban levõ összes korábbi makrót (tartalmazzon az akár más vírust akár vírusvédelmet) kitörli. A CAP rendkívül fertõzõképes. Amint megszállta a globális

sablont, a továbbiakban minden egyes megnyitott, bezárt vagy elmentett dokumentumot megfertõz. Sõt nem csak dokumentumokat, hanem az RTF (Rich Text Format) formátumban elmentett állományokba is befészkeli magát, azokat valójában sablonként menti el, de RTF kiterjesztéssel. A makróvírusok túlnyomó többsége azzal árulja el magát, hogy a megfertõzött dokumentumok más néven való mentését (FileSaveAs) a sablon formátumnak köszönhetõen csak a Word által létrehozott sablon könyvtárába engedélyezi (a korlát csak a File|Save As parancsra él- ha a sablon már eleve máshol van elhelyezve, akkor a File|Save paranccsal mentve a helyén marad). Ezt a vírus megkerüli egy ügyes trükkel: ha ilyen mentést kezdeményezünk, akkor az új néven létrehoz egy olyan új dokumentumot, amely a régi fertõzött sablonon alapul, így annak teljes tartalma (a makrók kivételével) átkerül az új dokumentumba. Ez, lévén egy közönséges dokumentum, bárhova

elmenthetõ. A rejtõzködés másik fontos eleme az, hogy azokat a (vírusra) veszélyes parancsokat, amelyekkel a makrók felfedezhetõk lennének, a vírus eltávolítja a menüsorból. Ezek a parancsok a Tools|Macro (Eszközök|Makrók), a Tools|Customize (Eszközök|Testreszabás) illetve a File|Templates (Fájl|Sablonok). A makróvírusok terjedésének egyik legkomolyabb gátja az, hogy a legtöbbjük csak abban a Word nyelvi verzióban életképes, amelyikben íródott. A CAP egy ötletes trükkel oldja meg a problémát kihasználva, hogy bármennyire is megváltozott a menüpontok neve, a menüsorban elfoglalt pozíciójuk változatlan marad. Tehát a FileSave parancs minden esetben az elsõ legördülõ menüpont ötödik tagja lesz A vírus kiolvassa az ebben a pozícióban levõ menüponthoz rendelt belsõ parancs nevét, és a FileSave makrót ezen a néven elmentve adoptálódik az idegen nyelvi környezethez. A CAP a FileOpen, FileClose, FileSave, FileSaveAs és

FileTemplates nevû makróit a helyi Word változatnak megfelelõ néven másolja be a globális sablonba illetve a megfertõzött dokumentumba. A CAP egy, a vírusoknál ritkán látható generációs számlálót is mûködtet. Ennek értéke a NORMALDOT megfertõzése után növekszik meg eggyel, majd a továbbiakban minden megfertõzött dokumentumban ezt az értéket tárolja. Ha ezek a dokumentumok átkerülnek egy másik gépre, akkor ott megfertõzve a NORMAL.DOT-ot ismét növekszik eggyel a számláló A CAP, bármennyire is óvatos, néhány árulkodó jel utal a jelenlétére. A fertõzetlen dokumentumokat megnyitáskor, bezáráskor vagy elmentéskor megfertõzi. A sûrû mentési folyamat még a legtapasztalatlanabbaknak is feltûnhet. Ez ellen a vírus úgy próbál védekezni, hogy az automatikus mentési intervallumot beállítja 10 percre. Ez már eleve annyira gyakori mentéseket jelent, hogy egy-két extra már nem feltétlenül szúr szemet. Továbbá a gyors

mentési opciót is bekapcsolja a CAP Clock.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Extra 3795 bájt 1996 nyara Keletkezés helye Célpontok USA A német Word dokumentumai és sablonjai Tünetek Üzenetablakok megjelenése Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok megnyitása, mentése és bezárása Romboló rutin --- Elterjedettsége --- Vírus összetétele: Makrók: Action Oeffnen(csak dokumentumokban) AutoExec AutoOpen Speichern(csak dokumentumokban) Extrasmakro DateiSchliessen Datumunduhrzeit Dateidokvorlagen Dateiallesspeichern DateiOeffnen(csak a NORMAL.DOT-bat) DateiSpeichern(csak a NORMAL.DOT-bat) Titkosított: Az összes makró titkosított Terjedési séma Részletes leírás: A Clock.A a német Word környezetben született, és csak ebben a környezetben életképes Bár az aktivizálódás és aa NROMAL.DOT fertõzése más (így az angol) nyelvi verziókban is

mûködik, a további dokumentumokba való terjedés már speciálisan a német Word menüparancsaihoz kötött makrókon alapul, ezért bármely más környezetbe kreülve a vírus terjedésre képtelen lesz. A Clock.A fertõzött dokuemntumok megnyitása során aktivizálódik Ekkor a vírust hordozó dokumentum tulajdonságai közül kiolvassa a teljes nevét, majd minden ellenõrzés nélkül a NORMAL.DOT-ba másolja a dokumentumban található összes makrót. Ehhez a makróvírusok többségével ellentétben nem a MacroCopy, hanem a Organizer parancsot használja. Ennek egyik mellékhatása, hogy a makrókat nem tudja közvetlenül átnevezni. Ez csak a következõ Word-indításnál, az AutoExec makró lefutása során kerül sor, ekkor kaják meg aSpeichern és az Oeffnen makrók a nevük elé a Datei prefixet. A Clock.A terjedése, amelynek rutinja sok más vírushoz hasonlóan részben a ConceptA-n alapul a dokumentumok megnyitása, mentése és bezárása során

aktivizálódik. Ekkor minden ellenõrzés nélkül a kiszemelt dokumentumba másolja az összes makrót. A vírus az ExtrasMakro és a DateiDokvorlagen makrók révén védekezik a kézi eltávolítás és felfedezés ellen. Ez a két makró a Tools|Macro és a File|Tempaltes parancsok német megfelelõi, és ezek tennék lehetõvé a makrókhoz való hozzáférést. A vírus megfelelõ makrói teljesen üresek, ezért a menüpontok kiválasztásakor semmi sem fog történni. Ha a Word 1997-tól kezdve bár,alyik évben valamely hónap 25. napja után a rendszeróra 39 másodpercében indul, a vírus aktiválja az egyik zavaró rutinját. Ez semmi károsat nem csinál, csak éppen kétpercenként az adott perc 33. másodpercében egy üzenetablakban megjeleníti a pontos idõt A másik zavaró rutin csak bizonyos napokon indul be. Szintén 1997-tõl kezdve amennyiben egy dokumentum mentése vagy bezárása a hónap 1., 2, 13, 17, 21 vagy 27 napján történik, és a rendszeridõ

perceinek száma 5-nél kisebb, a vírus felcseréli a megnyitás és a mentés menüpontok hatását: a megnyitás kezdeményezésekor az aktív dokumentumot menti el a vírus, mentés kezdeményezésekor pedig egy új dokumentumot nyit meg. Colors.A Összefoglalás: Egyéb nevei Rainbow Effektív hossz 6470 bájt Keletkezés ideje 1995 október Keletkezés helye Portugália Célpontok Tünetek Word dokumentumok és sablonok Windows objektumok színeinek változása Fertõzés elindítója Fertõzött dokumentumok megnyitása, bezárása, mentése Terjedés elindítója Dokumentumok mentése, új dokumentum létrehozása Romboló rutin ---- Elterjedettsége Ritka Vírus összetétele: Makrók: Titkosított: macros FileNew AutoExec AutoOpen FileExit FileSave AutoClose FileSaveAs ToolsMacro Igen Részletes leírás: A Colors.A vírus, amelyet több Usenet hírcsoporton terjesztettek, az elsõ olyaa makróvírus volt, amely az automatikus makrók

végrehajtásásánake kikapcsolása esetén is képes volt megfertõzni a globális sablont. Ezt úgy éri el, hogy a legfontosabb menüparancsokat magára irányítja (Open., Save, New), sõt még a Tools|Macro parancsot is. Emiatt egy fetõzött dokumentum megnyitása után pusztán azzal, hogy a makróit meg akarja valaki nézni, meg lehet fertõzni a NORMAL.DOT-ot Az aktivizálódást fertõzött dokumentum megnyitása, becsukása, mentése, vagy éppen nyitott fertõzött dokumentum esetén a Word-bõl való kilépés, új dokumentum létrehozása vagy a Tools|Macro menüparancs kiválasztása mind kiválthatja. Ezután a vírus ellenõrzi, hogy a globális sablonban valamennyi makrója jelen van-e, és ha akár egyik is hiányzik, újramásolja az összeset, felülírva az ott jelen levõ makrókat. Ezután létrehoz egy countersu nevû számlálót a WIN.INI fájl [Windows] szekciójában, és lenullázza az értékét A további dokumentumokba való terjedést ezek után a

fertõzetlen dokumentumok mentése (akár a Sava, akára a Sava As. paranccsal történik) vagy új dokumentum létrehozása válthatja ki A vírus ismét ellenõrzi, hogy a célpontként kiszemelt dokumentumban jelen van-e valamennyi makrója, és ha nem, akkor átmásolja azokat. A macros nevû makró tartalmazza a víruskód zömét, nevezetten a terjedésért és a mellékhatásokért felelõs eljárásokat. Ez utóbbi a vírus minden makrójának meghívása (tehát minden elfogott Word-mûvelet) után aktivizálódik. Eggyel megnöveli a vírus által létrehozott számláló értékét, és ha az eléri a 300-at (ez a Word használatának gyakoriságától és intenzitásától függõen a fertõzés után pár nappal vagy pár héttel történik meg), véletlenszerûen megváltoztatja a Windows desktop 21 legfontosabb elemének (pl. menük, háttér, gördítõsávok) színét. Ez a változtatás a Windows következõ indításakor lép érvénybe Ez a kellemetlen bosszantó

rutin csak Windows alapú rendszereken mûködik. A víruskód több, a végleges verzióban kiiktatott diagnosztikai üzenetet tartalmaz, amelyeknek a vírus fejlesztése és hibajavítása során lehetett funkciója. Concept.A Összefoglalás: Egyéb nevei Prank, WW6Macro, WBMV Effektív hossz 1968 bájt a dokumentumokban, 1661 bájt a globális sablonban Keletkezés ideje USA Keletkezés helye 1995. július Célpontok Word 6.0/70 dokumentumok Tünetek Üzenetablak megjelenése Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Világszerte elterjedt Vírus összetétele: Makrók: AutoOpen (csak dokumentumban) AAAZAO AAAZFS Payload FileSaveAs (csak a globális sablonban) Titkosított: Nem titkosított Terjedési séma Fertõzött dokumentum AAAZAO AutoOpen Globális sablon AAAZAO AAAZFS AAAZFS FileSaveAs PayLoad PayLoad Részletes leírás: A Concept.A volt a

legelsõ, széles körben elterjedt makróvírus 1995 júliusában bukkant fel, és rövid idõ alatt világszerte hatalmas fertõzéseket okozott. Ebben közrejátszott az, hogy teljesen új vírusfajta lévén semmiféle védelem nem létezett ellene, ugyanakkor több, a Microsoft által terjesztett CD-re is rákerült. A vírus fertõzött dokumentumok megnyitásakor aktivizálódik. Elsõ lépésben ellenõrzi, hogy a globális sablon fertõzött-e (jelen van-e benne már a vírustól származó Payload vagy FileSaveAs makró), és ha nem, akkor bemásolja makróit.Ezután a WININI fájlba beleírja a WW6I=1 sort Ezzel minden bizonnyal generációs számláló akart létrehozni a vírus írója, de programozási hiba miatt ezt sosem lépteti, így a generációs szám mindig 1 marad. A vírus a globális sablon fertõzése után megjeleníti a számláló aktuális értékét (ami mindig 1) egy üzenetablakban, ami a számon kívül semmit sem tartalmaz. A vírus terjedése a

dokumentumok mentése során történik. Amennyiben a Save As menüponton keresztül történik a mentés, a vírus minden ellenõrzés néllkül a dokumentumba másolja a makróit, majd azt sablonként menti el. A késõbbi mentések során a Word már csak a sablonok könyvtárába hajlandó elmenteni a dokumentumot. A vírus Payload makrójának egyetlen funkciója a fertõzött dokumentumok felismerése: ha jelen van a makró, a vírus nem fertõz. A makró tartalma egyetlen megjegyzés: "Thats enough to prove my point " Mivel a terjedéshez a File|Save As. menüponthoz tartozó makrót használja, csak az angol, illetve az avval WordBASIC szinjént kompatibilis nyelvi változatokban életképes. Ismert variánsok: a Concept.A vírus családja a legnépesebb, több százra tehetõ a variánsainak és a rajta alapuló vírusoknak a száma. Concept.L Összefoglalás: SCAN: Concept.L/M Egyéb nevei SWEEP: Blast C Effektív hossz 3741 bájt Keletkezés ideje ---

Keletkezés helye USA Célpontok Tünetek Fertõzés elindítója Word 6.0/70 dokumentumok és sablonok üzenetek megjelenése Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok mentése Romboló rutin C:DELETEME könyvtár törlése Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Alignment AutoOpen BorderSet FileSaveAs Makrók: AutoClose ExitRoutine BlastCDrive Titkosított: Nem titkosított Terjedési séma Fertõzött dokumentum Globális sablon Alignment Alignment AutoOpen AutoOpen BorderSet BorderSet FileSaveAs FileSaveAs AutoClose AutoClose ExitRoutine ExitRoutine BlastCDrive BlastCDrive Részletes leírás: A Concept.L vírus aktivizálódására fertõzött dokumentmok megynitásakor kerül sor Ekkor a vírus AutoOpen makrója fut le, amely a Concept.A vírus fertõzési rutinján alapul Elsõ lépésben megjelenít egy üzenetablakot a "Welcome to the WINWORD.BLAST C macro Virus"

szöveggel, majd ellenõrzi, fertõzött-e már a rendszer Amennyiben a globális sablonba megtalálja az Exitroutine vagy a FileSaveAs makrókat, akkor békén hagyja, ellenkezõ esetben bemásolja makróit a globális sablonba. Ennek végeztével üzenetablakot jelenít meg a "Uh Ohhh. NORMALDOT just got infected" szöveggel Ezek után a vírus megfertõz minden egyes dokumentumot, amely a Save As paranccsal kerül elmentésre. Ennek során minden különösebb ellenõrzés nélkül másolja át a makróit, felülírva a dokumentumban esetleg már létezõ azonos nevû makrókat. Amennyiben egy dokumentum vagy a Word bezárására az adott hónap 24. Napján kerül sor, a vírus aktivizálja romboló rutinját. Ez elindítja a Windows File Managerét, majd az ennek közvetlenül küldött billentyûzetkombinációk segítségével törli a C:DELETEME könyvtárat annak minden alkönyvtárával együtt. Mivel a vírus az angol Word menüparancsainak neveire alapítja

terjedését, nem teljesen életképes ettõl eltérõ nyelvi változatokban, nem lesz képes új dokumentumokat megfertõzni. Ugyanakkor a NORMALDOT megfertõzése ezekben a nyelvi változatokban is megtörténik, valamint a romboló rutin is végrehajtódik. Ismert variánsok: A Concept.M vírus valószínûleg ugyanazon szerzõ által készített módosított változata a vírusnak Concept.M Összefoglalás: New Horizons Egyéb nevei SCAN: Concept.L/M SWEEP: Blast D 2432 bájt dokumentumokban Effektív hossz 2055 bájt a globális sablonban Keletkezés ideje --- Keletkezés helye USA Célpontok Word 6.0/70 dokumentumok és sablonok Tünetek üzenetek megjelenése Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok mentése Romboló rutin ------- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: AutoOpen (csak fertõzött dokumenutmokban) Makrók: Alignment BorderSet AutoClose

ExitRoutine BlastCDrive FileSaveAs (csak a globális sablonban) Titkosított: Nem titkosított Terjedési séma Fertõzött dokumentum Globális sablon Alignment Alignment AutoOpen BorderSet BorderSet FileSaveAs AutoClose ExitRoutine AutoClose ExitRoutine Részletes leírás: A Concept.M vírus aktivizálódására fertõzött dokumentmok megnyitásakor kerül sor Ekkor a vírus AutoOpen makrója fut le, amely a Concept.A vírus fertõzési rutinján alapul Elsõ lépésben ellenõrzi, fertõzött-e már a rendszer. Amennyiben a globális sablonba megtalálja az Exitroutine vagy a FileSaveAs makrókat, akkor békén hagyja, ellenkezõ esetben bemásolja makróit a globális sablonba. Ennek végeztével üzenetablakot jelenít meg a "Uh Ohhh. NORMALDOT just got infected" szöveggel Ezek után a vírus megfertõz minden egyes dokumentumot, amely a Save As paranccsal kerül elmentésre. Ennek során minden különösebb ellenõrzés nélkül másolja át a makróit,

felülírva a dokumentumban esetleg már létezõ azonos nevû makrókat. Amennyiben egy dokumentum vagy a Word bezárására az adott hónap 17. Napján kerül sor, a vírus aktivizálná romboló rutinját, amelynek a Concept.L variánshoz hasonlóan a BlastCDrive makróban kellene lennie Programozói hiba vagy figyelmetlenség miatt azonban ez a makró hiányzik, így a romboló rutin nem fut le. Mivel a vírus az angol Word menüparancsainak neveire alapítja terjedését, nem teljesen életképes ettõl eltérõ nyelvi változatokban, nem lesz képes új dokumentumokat megfertõzni. Ugyanakkor a NORMALDOT megfertõzése ezekben a nyelvi változatokban is megtörténik, valamint a romboló rutin is végrehajtódik. Ismert variánsok: A Concept.L vírus valószínûleg ugyanazon szerzõ által készített módosított változata a vírusnak Daniel.A Összefoglalás: Egyéb nevei Daniel 1F Effektív hossz 2718 bájt Keletkezés ideje 1996 szeptember Keletkezés helye

Portugália Célpontok Word dokumentumok és sablonok Tünetek Tools|Macro menüpont eltûnése Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben létezik Vírus összetétele: Makrók: AutoOpen (csak dokumentumokban) MacroManager Word6Menu (csak a globális sablonban) Titkosított: Minden makró titkosított Terjedési séma Fertõzött dokumentum AutoOpen MacroManager Globális sablon Word6Menu MacroManager Részletes leírás: A Daniel.A aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor Ekkor a vírus minden ellenõrzés nélkül megfertõzi a globális sablont, bemásolva abba makróit. Eközben a dokumentumokban AutoOpen néven szereplõ makrót átnevezi Word6Menu névre. Ezután a vírus eltávolítja a Tools|Macro menüpontot a globális sablonból. Pontosabban eltávolítja azt a menüpontot, ami abban a pozícióban

van, ahol normális esetben a Tools|Macro lenne (ha idõközben a felhasználó új menüpontokat definiált, akkor ez változhat). Ennek az volt a célja, hogy a vírus blokkolja a makróihoz való esetleges hozzáférést Ugyanígy átdefniniálja a File|Save menüpontot, vagyis azt a menüpontot, ami a File|Save normális esetben megszokott pozíciójának helyén van. Az új menüpont neve minden nemzeti Word változatban Save lesz (kivéve a portugált, ahol a név Salvar), és a vírus MacroManager makróját fogja futtatni. Ezután a vírus a CTRL+B és a CTRL+S billentyûkombinációk lenyomásához is a MacroManager makró lefutását rendeli hozzá. Minden további dokumentum megfertõzése annak mentésekor (tehát vagy a megfelelõ menüpont kiválasztásakor, vagy a CTRL+S lenyomásakor) történik. Ha a kiszemelt célpont kiterjesztése nem DOC vagy DOT (vagyis nem dokumentumról vagy sablonról van szó), akkor békénhagyja, ha ezne kiterjesztések valamelyikével

rendelkezik, és a vírus nem találja benne az AutoOpen vagy a MacroManager makrók közül legalább az egyiket, akkor megfertõzi azt. Ezután a dokumentum információs blokkjába a "Daniel Stone" kulcsszó alá az alábbi tartalmat írja be: All information should be free. Date.A Összefoglalás: Egyéb nevei AntiDMV Effektív hossz 1042 bájt Keletkezés ideje 1996 Keletkezés helye USA Célpontok Tünetek Word dokumentumok és sablonok AutoClose makró eltunése Fertõzés elindítója Fertozött dokumentum megnyitása Terjedés elindítója Dokumentum megnyitása Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: Makrók: Titkosított: AutoOpen Igen Részletes leírás: A Date.A vírusnak a kód sajátosságai és a használt változónevek alapján feltehetoen olasz anyanyelvu szerzoje volt. A kód nagy része megegyezik a DivinaA vírus kódjával, ezért szinte biztos, hogy a két vírus szerzoje ugyanaz. A DateA minden bizonnyal

egy ún vírusvadász vírus, ugyanis terjedése során minden vele érintkezésbe lépo vírusból kitörli az AutoClose makrót. Ennek csak az lehet a szerepe, hogy az ezt a makrót tartalmazó vírusokat, vélhetoen a Divina.A-t felkutassa és kiirtsa A helyzet azonban úgy hozta, hogy a DateA hamarabb került a vírusszakértok kezébe, mint az általa vadászott párja, ezért úgy gondolták, hogy az akkor egyedül ilyennek ismert, egyetlen AutoClose makróból álló DMV.A vírus a DateA célpontja A vírus aktivizálódására fertozött dokumentumok megnyitásakor kerül sor. Minden különösebb ellenorzés nélkül felülírja a globális sablonban esetleg már ott levo példányá, majd törli az esetleg ott levo AutoClose makrót. A további dokumentumokba való terjedés azok megnyitásakor történik. Ismét csak ellenorzés nélkül bemásolja a vírus az AutoOpen makróját a dokumentumba, felülírva esetleg önmaga egy korábbi példányát. A dokumentumban levo

esetleges AutoClose makrót ugyancsak törli. A Date.A 1996 június 1 után megszunik funkcionálni E dátum után sem a globális sablont, sem egyetlen más dokumentumot nem fertoz meg. Ez is alátámasztja a vírus vírusvadász voltát A szerzo valószínuleg a korlátlan elterjedést akarta megfékezni ezzel a beépített idokorláttal. Divina.A Összefoglalás: Egyéb nevei Inifezione, Roberta Effektív hossz 2357 bájt Keletkezés ideje 1996 Keletkezés helye Olaszország Célpontok Tünetek Word dokumentumok és sablonok Üzenetablakok megjelenése Fertõzés elindítója Fertõzött dokumentum bezárása Terjedés elindítója Dokumentum bezárása Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: Makrók: Titkosított: AutoClose Igen Részletes leírás: A Divina.A a kódban haszált változónevek alapján ítélve olasz anyanyelvû vírusíró terméke A programkód olyan mértékben hasonlít a Date.A-ra (a víruskód mintegy 60%-a, közte

a terjedésért felelõs eljárások teljes egészében megegyeznek a két vírusban), hogy szinte biztosan ugyanaz a szerzõjük. A vírus aktiválódására fertõzött dokumentumok bezárásakor kerül sor. Ekkor a vírus minden különösebb ellenõrzés nélkül bemásolja NORMAL.DOT-ba AutoClose makróját További dokumentumokba való terjedésre azok bezárásakor kerül sor. Ekkor a vírus szintén minden ellenõrzés nélkül bemásolja azokba AutoClose makróját. Amennyiben valamelyik fertõzési aktusra az adott óra 30. vagy 45 percében kerül sor, akkor a vírus az éppen aktuális könyvtárban keres magának egy DOT kiterjesztésû sablonállományt, és azt is megfertõzi. Amennyiben valamelyik fertõzési aktusra vagy a Word bezárására 10 óra 10 perckor kerül sor, akkor a vírus az aktuális könyvtárban keres magának egy DOC kiterjesztésû állományt, és megfertõzi azt. Ha egy dokumentum bezárása az adott óra 17. percében történik a DivinaA

megjelenít egy sorozat párbeszédablakot az alábbi szövegekkel: ROBERTA TI AMO! Virus ROBERTA is running. Hard Disk damaged Start antivirus? Exit from system and low level format are recommended. Exit from System? Minden párbeszédablak után sípol egyet a PC hangszóróján. Bár ezek az üzenetek a merevlemez formázását javasolják, arra természetesen semmi szükség. Az utolsó ablak bezárása után a vírus megkísérel kilépni a Windows-ból. Amennyiben valamely dokumentum bezárására Május 21-én kerül sor, és az adott perc 10. és 20, illetve 40 és 50. másodperce között járunk, a vírus két üzenetablakot jelenít meg Az elsõ tartalma: DIVINA IS THE BEST! A második üzenet tartalma: Oggi è il compleanno di Divina: devi far festa! Non continuare o verrà formattato il disco rigido. DMV.A Összefoglalás: Egyéb nevei ---- Effektív hossz 3002 bájt Keletkezés ideje USA Keletkezés helye 1994. õsz Célpontok Tünetek Word 6.0/70

dokumentumok Üzenetablakok megjelenése Fertõzés elindítója Fertõzött dokumentumok bezárása Terjedés elindítója Dokumentum bezárása Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: Makrók: Titkosított: AutoClose Nem titkosított Részletes leírás: A DMV.A (Document Macro Virus) a legelsõként megszületett makróvírus Joel McNamara készítette 1994 õszén demonstrációs célokkal, de csak a Concept világszerte való elterjedése után tette közzé. A DMV.A a fertõzött dokumentum bezárása során fertõzi meg a globális sablont A terjedés során szintén a dokumentumok bezárásakor fertõz. A vírus demonstrációs jellegét erõsíti meg, hogy a fertõzés minden egyes lépését üzenetablakokkal jelzi. Elõször meghatározza a globális sablonban levõ makrók számát, amit az alábbi üzenettel tudat: " Counting global macros" Majd ellenõrzi, hogy van-e már AutoClose makró, és ha van, az újabb

üzenetablakkal tudatja: " AutoClose macro virus is already installed in NORMAL.DOT " Ha nincs AutoClose makró, akkor bemásolja a vírusét, majd errõl informálja a felhasználót is: " Infected NORMAL.DOT with a copy of AutoClose macro virus " Ugyanezt végigcsinálja a becsukott dokumentum fertõzésénél is, elõször ellenõrzi, van-e bennemár vírusra utaló AutoClose makró, ha van, szól: " AutoClose macro virus already present in this document. " Ha még nem fertõzött, akkor elvégzi a vírusként való mûködéhez elengedhetetlen sablonná való konvertálást, amit ismét dokumentál: " Saved current document as template. " Miután mindezt elvégezte, bemásolja a vírust tartalmazó AutoClose makrót, és nyugtázza a fertõzés tényét: " Infected current document with copy of AutoClose macro virus. " Végül pedig jelzi annak a lehetõségét, hogy a terjedésen kívül még valami romboló programrészlet is

szerepelhetne: " Macro virus has been spread. Now execute some other code " " (good, bad, or indifferent). " Az összes megjelenített üzenetalak címsorában a "Document Macro Virus" fejléc szerepel, innen származik a vírus neve. Mivel a DMV.A a terjedéshez az AutoClose automatikus makrót használja, a Word minden nyelvi változatában életképes. FormatC Összefoglalás: Egyéb nevei Effektív hossz ---81 bájt Keletkezés ideje --- Keletkezés helye -- Célpontok --- Tünetek --- Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója --- Romboló rutin C: meghajtó formázása Elterjedettsége Csak gyûjteményekben fordul elõ Vírus összetétele: Makrók: Titkosított: AutoOpen Igen Részletes leírás: A FormatC nem makróvírus, hanem az elsõ WordBasic nyelvben megírt trójai program. Usenet hírcsoportokba postázták a példányait, de romboló hatása és a terjedés hiánya miatt soha

nem terjedt el, és valószínûleg a jövõben sem fog. A FormatC egyetlen makróból, az AutoOpen-bõl áll. A fertõzött dokumentumot megnyitva aktivizálódik a romboló rutin, amely azonnal megkezdi a C: meghajtó feltétel nélküli formázását a "Format C: /U" parancsnak egy minimalizált DOS-ablakban való lefuttatásával. Mivel a makróját nem másolja, egyetlen módon kerülhet a gazdagépre, ha valaki letölt vagy kap egy, a trójaival fertõzött dokumentumot. Friendly.A Összefoglalás: Egyéb nevei Friends Effektív hossz 9867 bájt Keletkezés ideje 1996 május Keletkezés helye Németország Célpontok Word dokumentumok és sablonok Tünetek Szöveges üzenetek megjelenése Fertőzés elindítója Fertőzött dokumentumok megnyitása Terjedés elindítója Dokumentumok megnyitása, mentése, új dokumentum létrehozása Romboló rutin A Little Brother.385 DOS-vírus szabadon eresztése Elterjedettsége Csak vírusgyűjteményekben

fordul elő Vírus összetétele: Makrók: Abbrechen AutoExec AutoOpen Cancel DateiBeenden DateiNeu DateiOeffnen DateiSchliessen DateiSpeichern DateiSpeichernUnter ExtrasMacro ExtrasMakro Fast FileExit FileNew FileOpen FileSave FileSaveAs Infizieren Talk Titkosított: Az összes makró titkosított Részletes leírás: A Friendly.A egy Nightmare Joker álnevű német vírusírótól származik Kísérletet tesz arra, hogy ugyanaz a vírus a Word több nyelvi verziója (jelen esetben az angolszász és a német) alatt is életképes legyen. Ennek érdekében a minden nyelvben ugyanúgy nevezett automatikus makrókon felül a Word menüparancsokat eltéríteni célzott makrókból létezik angol illetve német nevű változat is a vírusban (FileNew-DateiNeu, FileExit-DateiBeenden, FileOpen-DateiÖffnen, FileSave-DateiSpeichern, FileSaveAs-DateiSpeichernUnter). A vírus a fertőzött dokumentum megnyitásakor aktivizálódik. Először ellenőrzi, hogy megfertőzte-e már a

rendszert. Rendhagyó módon nem a makróinak jelenlétét ellenőrzi a NORMALDOT-ban, hanem a WININIből kiolvassa a Friends szekció alatti Author kulcsszó értékét Amennyiben ez nem "Nightmare Joker", fertőzetlennek tekinti a rendszert, és most már beállítja a fertőzöttségi jelző helyes értékét, majd bemásolja makróit a globális sablonba. A további terjedés kiváltója a dokumentumok mentése, bezárása, létrehozása, megnyitása, a Word-ból való kilépés illetve valamely Word tevékenység megszakítása az ESC billentyűvel. A vírus nem ellenőrzi, hogy a kiszemelt dokumentum fertőzött-e már, egyszerűen bemásolja a makróit. Ha a globális sablon fertőzésekor vagy dokumentum mentésekor rendszeróra másodperceinek értéke 2-nél kisebb, a vírus előállít egy, a Little Brother.385 DOS-vírust tartalmazó DEBUG-scriptet, majd a DOS DEBUG parancsának meghívásával legyártja a vírust a C:DOS könyvtárba, majd az AUTOEXEC.BAT

végére beír egy sort, amely a következő rendszerindításkor lefuttatja ezt a vírust. A fertőzés után, amennyiben május elseje már elmúlt, a legelső dokumentum létrehozása, mentése vagy megnyitása során a vírus megjelenít négy üzenetablakot. A szöveg attól függően, hogy angol vagy német nyelvű rendszeren fut a vírus (ezt onna dönti el, hogy a német rendszerekben a Windows-ban beállított valuta általában a DM), angol vagy német nyelvű lesz. Az első ablak tartalma: "Hallo mein Freund!" "Ich bin der << Friends >> Virus und wie heiát du?" ugyanez angolul: "Hello my Friend!" "Im the << Friends >> Virus and how are you?" Ezután a vírus bekéri a felhasználó nevét: "Gib doch bitte anschlieáend unten deinen Namen ein:" ugyanez angolul: "Can you give me your name, please?" Végül egy utolsó üzenettel megnyugtatni szándékszik mindenkit, azt állítva, hogy

az általa kibocsátott DOS vírus csak egy billentyűzetgyorsító program: "Also . ich habe eine gute und eine schlechte Nachricht fuer dich!" "Die schlechte Nachricht ist, daá ich mich auf deiner Platte eingenistet" "habe und die gute ist, daá ich aber ein freundlicher und auch nuetzlicher" "Virus bin. Druecke bitte OK fuer Weiter!" "Wenn du mich nicht killst, dann fuege ich ein Programm in deine" "Autoexec.bat ein, daá deine lame Tastatur etwas auf Touren bringt" "Also ., gib dir einen Ruck und kill mich nicht Goodbye!" ugyanez angolul: "Hello . I have a good and a bad message for you! The bad message is that" "you have now a Virus on your Harddisk and the good message is that Im" "harmless and useful. Press OK!" "If you dont kill me, I will insert a programme in your AutoExec.bat thats" "your Keyboard accelerated. Please dont kill me Goodbye!" Ez az

üzenetsor csak a legelső alkalommal jelenik meg. Január elsején a vírus az alábbi újévi üdvözletet jeleníti meg: Ein gutes neues Jahr ! Ha a vírus aktív, akkor az Extras|Makro menüpont (a Tools|Macro angol megfelelője) kiválasztásakor két üzenetablak jelenik meg az alábbi tartalommal: "Du kannst das nicht tun!" "Ich bin sehr aengstlich!" "Hallo mein Freund!" "<< Friends >> Virus" (magyarul:) "Ezt nem teheted!" "Nagyon izgatott vagyok!" "Helló barátom!" "<< Friends >> Vírus" Feltehetően az angol változatban is ezt a hatást tervezte a vírusíró, de mivel a ToolsMacro név helyett EztrasMacro néven szerepelteti a megfelelő makrót, ott ez a hatás elmarad. FutureNot.A Összefoglalás: Egyéb nevei Effektív hossz Anti-IVX Változó Keletkezés ideje 1997 Keletkezés helye -- Célpontok Word dokumentumok és sablonok Tünetek --- Fertõzés

elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok mentése Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben található Vírus összetétele: Makrók: AutoOpen (csak a dokumentumokban) FileSaveAs (csak a NORMAL.DOT-ban) +AutoOpen egy másolata a NORMAL.DOT-ban változó néven Titkosított: Nem titkosított Részletes leírás: A FutureNot.A volt a legelsõ valódi polimorf makróvírus, amely már nem csak a makróinak a neveit, hanem azok tartalmát is megváltoztatta. A vírus aktivizálódására fertõzött dokumentumot megnyitásakor kerül sor. Ekkor az AutoOpen makrója indul el. Ellenõrzi, megfertõzte- már korábban a globális sablont, amit úgy dönt el, hogy megkeresi benne a FileSaveAs makrót. Ha ilyet talál, akkor fertõzöttnek ítéli a NORMALDOT-ot, és befejezi a futását Ha nem, akkor kiválaszt egy véletlenszerûen kiválasztott karakterekbõl összerakott 5 betûs nevet, és azon a néven

elmenti magát a globális sablonba. Majd természetesen ezt az új nevet be kell helyettesíteni a víruskódban már jelenlevõ véletlenszerû név helyébe (emiatt, mivel a vírus dinamikusan módosítja a saját kódját, a FutureNot.A nem használhat titkosított vírusmakrókat). Ezután egy találomra kiválasztott helyre beszúr egy megjegyzést, melynek szöveg "1 Gen". Ennek a vírus viselkedése szempontjából semmi jelentõsége nincs, de a globális sablon minden fertõzésekor megteszi ezt, megszámlálásukból kideríthetjük, hogy hány gépet fertõzött meg a bestia, amíg a mi számítógépünkig eljutott. És emiatt van az, hogy a víruskód effektív hossza fertõzásrõl fertõzésre változik. Az AutoOpen makró mutálásáért felelõs programrészlet az alábbi: For q = 1 To 5 w$ = w$ + Chr$(Int(Rnd() * 26) + 65) Next q EditReplace .Find = "GGMZW", Replace = w$, Direction = 0, MatchCase = 0, WholeWord = 0, .PatternMatch = 0, SoundsLike =

0, ReplaceAll, Format = 0, Wrap = 1 w$ = "" For q = 1 To 3 w$ = w$ + Chr$(Int(Rnd() * 26) + 97) Next q w$ = w$ + "$" EditReplace .Find = "jqp$", Replace = w$, Direction = 0, MatchCase = 0, WholeWord = 0, PatternMatch = 0, .SoundsLike = 0, ReplaceAll, Format = 0, Wrap = 1 ParaDown Int(Rnd() * 50) + 1 Insert "1 Gen" InsertPara A következõ lépés a FileSaveAs makró létrehozása, amely a vírus terjedését hivatott szolgálni. Ezt a makrót a FurureNot.A soronként szerkeszti össze (ezért mivel az utasításokat szövegesen, és nem tokenesen tárolja, csak az angolszász Word változatokban életképes a vírus), majd egy kis mutációt is belecsempész. Beszúr két véletlenszámot, majd a kettõ közé pedig véletlenszerûen 2 és 7 közötti számú soremelést. A további dokumentumokba való terjedésre azok mentésekor kerül sor. Ekkor a vírus minden ellenõrzés nélkül a dokumentumba másolja a globális sablonból az

AutoOpen makrót. A vírus semmi károsat nem csinál, csak minden fertõzés után az áldozatul esett dokumentum könyvtárában létrehoz egy IVX.NOT nevû szöveges file-t, melynek tartalma egyetlen mondat: IVX detects all macro viruses, past, present and future. (Az üzenet kis fricska azon vírusirtókat gyártók felé, amelyek reklámozási okokból nem egészen helytálló módon felüldícsérik és mindenhatónak titulálják saját terméküket.) Ezután végignézi az AUTOEXEC.BAT tartalmát, és ha talál benn olyan sort, amely tartalmazza a NORMAL.DOT stringet (a globális sablon AUTOEXECBAT-ból való automatikus írásvédetté tétele egy eléggé kezdetleges, nem túl biztonságos viszont rendkívül kényelmetlen módja a makró vírusok visszaszorításának), beszúrni a végére egy sort, amely megszünteti a NORMAL.DOT írásvédettségét Goldfish.A Összefoglalás: Egyéb nevei Fishfood Effektív hossz 1906 bájt Keletkezés ideje 1996 július

Keletkezés helye USA Célpontok Tünetek Word dokumentumok és sablonok Üzenetablakok megjelenése Fertõzés elindítója Fertõzött dokumentumok megnyitása vagy bezárása Terjedés elindítója Fertõzött dokumentumok megnyitása vagy bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: Titkosított: AutoOpen AutoClose Mindkét makró titkosított Részletes leírás: A vírus fertõzött dokumentumok megnyitásakor aktivizálódik. Ellenõrzi, hogy a globális sablonban jelen van-e az AutoOpen és az AutoClose makró, és ha valamelyik is hiányzik, akkor megfertõzi a NORMAL.DOT-ot Ennek során a makróvírusoknál ritkán látható módon nem írja felül a glbális sablonban már megtalálható, a víruséval azonos nevû AutoOpen vagy AutoClose makrókat. Emiatt könnyen elõfordulhatna, hogy a vírus más makróvírusokkal vagy egyéb makróprogramokkal kombinálódik, azonban ez a

veszély a GoldFish ritkasága miatt csak elméleti. Ha valamelyik makró hiányzik, akkor azt vírus újramásolja, ezzel primitív önjavító funkciót is megvalósít. A fent elmondottak érvényesek a dokumentumok fertõzésére is: ha egy kiszemelt dokumentumban a két vírusmakró valamelyike nincs jelen, akkoe azt kipótolja a vírus. Minden aktivizálódás vagy fertõzés esetében 1:500 eséllyel egy üzenetablakot jelenít meg a vírus az alábbi szöveggel: "I am the GoldFish, I am hungry, feed me." (magyarul) "Én vagyok az aranyhal, éhes vagyok, etess meg." A párbeszédablak addig nem tûnik el, amíg a fishfood, worms, worm, pryme, core szavak valamelyikét be nem gépelik. Helper.A Összefoglalás: Egyéb nevei ---- Effektív hossz 409 bájt Keletkezés ideje 1996. december Keletkezés helye -- Célpontok Word dokumentumok és sablonok Tünetek Dokumentumok jelszóval védése Fertõzés elindítója Fertõzött dokumentumok

bezárása Terjedés elindítója Dokumentumok bezárása Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: Makrók: Titkosított: AutoClose Igen Részletes leírás: A Helper.A meglehetõsen egyszerû makróvírus, amely kódjának a vázát a DMVA-tól kölcsönözte Ez nem lehet véletlen egybeesés, mert még a kódban használt változónevek is rendre megegyeznek. A vírus aktivizálódására fertõzött dokumentumok bezárásakor kerül sor. Az AutoClose makróban futó kód ekkor elõször ellenõrzi, hogy a globális sablonban létezik-e már AutoClose nevû makró, és ha ilyet nem talál, akkor fertõzetlennek ítélve a rendszert bemásolja makróját a NORMAL.DOT-ba Ettõl a pillanattól kezdve minden bezárt dokumentumot megfertõz. Nem ellenõrzi pontosan, hogy a dokumentum tartalmazza-e a vírust, csak annyit néz meg, hogy van-e benne már bármilyen makró. Ha ilyet talál, akkor a dokumentumot békén hagyja, egyébként megfertõzi azt az

AutoClose makró bemásolásával. Ily módon a vírus semmi olyan dokumentumot nem támad meg, ami bármilyen makróvírust vagy hasznos makróprogramot tartalmaz. Amennyiben a dokumentum bezárására októberben kerül sor, a vírus a dokumentumot a "help" jelszóval védve menti el. Ismert variánsok: • Helper.B: az alapvariánsnál sokkal eltrejedtebb Annyiban különbözik tõle, hogy programozási hiba miatt a jelszóval védés ebben a változatban nem mûködik. LBYNJ Összefoglalás: Egyéb nevei Tele, Telefonica Effektív hossz 22256 bájt Keletkezés ideje 1996 április Keletkezés helye Németország Célpontok Word dokumentumok és sablonok Tünetek Kinyomtatott dokumentumok végére szöveg kerül Fertõzés elindítója Fertõzött dokumentumok megyitása Terjedés elindítója Dokumentumok megnyitása, létrehozása vagy bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele:

Makrók: Titkosított: AutoExec AutoOpen DateiBeenden DateiDrucken DateiNeu DateiOeffnen Telefonica Az összes makró titkosított Részletes leírás: Az LBYNJ.A vírus a korábbi német makróvírusoktól (különösen a XenixosA-tól) kölcsönözte kódjának egyes részeit. A vírus aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Ekkor az AutoOpen makró indul el, ami semmi mást nem tesz, mint meghívja az ugyancsaka vírushoz tartozó AutoExec makrót. Ez elsõ lépésben ellenõrzi, hogy a win.ini "Compatibility" szekciójában mi a "0x0030303" kulcs értéke Ha ez éppen "0x0030303", akkor a vírus békén hagyja a rendszert (ez minden bizonnyal azt a célt szolgálta, hogy bizonyos gépeket meg lehessen óvni a vírusfertõzéstõl). Ha a kulcsnak nem ez az értéke, vagy egyáltalán nem létezik, akkor a vírus ellenõrzi, hogy a globális sablon fertõzött-e már. Ha még nem az (amit onnan állapít meg, hogy

létezik-e benne a vírushoz tartozó Telefonica makró), akkor bemásolja makróit. Ettõl a pillanattól kezdve minden dokumentum megnyitásakor, bezárásakor vagy újonnan létrehozásakor a víus minden ellnõrzés nélkül azonnal megfertõzi azt. A globális sablon fertõzése után, illetve a megnyitása során történõ fertõzés után a vírus meghívja a Telefonica nevû makróját. Ez, amennyiben az adott perc elsõ másodpercében járunk, a DOS DEBUG parancsának segítségével szabadjára engedi a Kampana.3785 DOS vírust Ehhez a vírustestben eltárolt DEBUG scriptet kimenti C:DOSTELEFONI.SCR néven, majd ugyanebben a könyvtárban léterhoz egy TELEFONIBAT fájlt, ami a fenti scriptet a DEBUG parancsanak továbbítja. Ennek eredményeképpen megszületik a C:DOS könyvtárban a TELEFONI.COM program, amit az elõbbi batch fájl az utolsó parancsával elindít A vírus a terjedéshez a német Word menüparancsaihoz rendelt nevû makróit használja. Emiatt csak a

német Word változatban képes továbbterjedni, minden egyéb környezetben csak a globális sablont fertõzi meg, és a DOS vírust dobja el. Amennyiben egy dokumentum nyomtatása az adott perc 10. másodperce elõtt történik, a vírus az alábbi sort illeszti a kinyomtatandó dokumentum végére: Lucifer by Nightmare Joker (1996) Ez a sor a nyomtatásban is megjelenik. Maddog.A Összefoglalás: Egyéb nevei ---- Effektív hossz 4209 bájt Keletkezés ideje 1996 július Keletkezés helye USA Célpontok Word dokumentumok és sablonok Tünetek --- Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: AutoOpen AutoClose AutoExec FileClose FCFinish AOpnFinish Titkosított: Nem titkosított Részletes leírás: A Maddog.A aktivizálódása fertõzött dokumentumok megnyitásakor történik Ekkor a

vírus AutoOpen makrója bemásolja az össze vírusmakrót a globális sablonba. Érdekes módon ezután lefuttatja az AOPNFinish makrót, ami pusztán annyit csinál, hogy az AutoOpen makrót ismét bemásolja a NORMAL.DOT-ba Minden pusztán azzal magyarázható, hogy a vírusíró tévesen azt hitte, hogy az éppen futó AutoOpen makró nem képes önmagát másolni minden esetben. Ettõl kezdve a vírus minden becsukásra kijelölt dokumentumot megfertõz. Ugyancsak minden ellenõrzés nélkül a FileClose makró bemásolja az összes vírusmakrót a célpontként kiszemelt dokumentumba. Ha valamely dokumentumot vagy a Word-öt magát este 8 és 9 óra között zárnak be, a vírus az éppen aktív dokumentumban az összes e betût kicseréli a betûkre. Minden bizonnyal a vírusíró ezt a részletet Word 70ban makrórögzítéssel vette fel, mert olyan, általában nem használt opciókat használ, ami a korábbi Word verziókban nem szrepelt. Emiatt Word 60 alatt a vírus

csupán hibaüzenetet jelenít meg a csere helyett Magnum.A Összefoglalás: Egyéb nevei ---- Effektív hossz 31383 bájt Keletkezés ideje 1996 Keletkezés helye Németország Célpontok Word dokumentumok és sablonok Tünetek Tools|Macro (angol) és Extras|Makro (német) menüpontok kiválasztásakor hibaüzenet jelenik meg Fertõzés elindítója Szóköz billentyû lenyomása Terjedés elindítója Szóköz billentyû lenyomása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: Magnum ExtrasMakro ToolsMacro Titkosított: Mindegyik makró titkosított Részletes leírás: A Magnum.A a makróvírusok azon kis csoportjába tartozik, melyek aktivizálódásukat és terjedésüket a Word makrókhoz rendelhetõ billentyûkombinációkra alapozzák. Minden valószínûség szerint a számos más német makróvírus szerzõjeként ismert Nightmare Joker álnevû vírusíró terméke. A vírus

aktivizálódására a szóköz lenyomásakor kerül sor. Ekkor a vírus elõször beszúr egy szóközt az aktuális dokumentum aktuális pozíciójára, majd ellenõrzi, hogy a globális sablon fertõzött-e már. Amennyiben nem (ezt onnan dönti el, hogy létezik-e benne már Magnum nevû makró), akkor belemásolja makróit, majd megjelenít egy üzenetablakot a "MaGnUm" szöveggel. Ezután ellenõrzi, hogy a magával cipelt HLLO.Havoc DOS vírust elszabadította-e már ezen a gépen Ameennyiben a win.ini-ben az [DOS Virus] szekcióban a Installed értéke nem Yes, a vírus egy DEBUG-script segítségével létrehozza a DOS vírust tartalmazó rejtett, rendszerattribótumokkal ellátott C:HTC.COM állományt, majd az AUTOEXEC.BAT végére illesztett @echo off htc.com cls sorokkal elintézi, hogy a következõ rendszerindításkor leinduljon. Ettõl kezdve minden dokumentumot megfertõz, amennyiben a dokumentum az éppen aktív ablakban van és a szóköz billentyût

lenyomják. Elõször azt ellenõrzi, hogy a kiszemelt dokumentum fertõzött-e már Amennyiben nem (ezt onnan dönti el, hogy létezik-e benne már Magnum nevû makró), akkor belemásolja makróit. Április 13-án minden szóköz lenyomáskor a vírus egy új dokumentumot hoz létre az alábbi tartalommal: Schon mal im blasen Mondlicht mit dem Teufel getanzt? ;-)) The Magnum Virus! NJ 1996 A Magnum.A meglehetõsen fejlett rejtõzködõ vírus A Tools|Macro parancsot (és annak német megfelelõjét) a saját makrójával helyettesíti, amely egy az eredetihez teljesen hasonlító párbeszédablakot produjál, csak éppen a Cancel kivételével minden gomb lenyomásakor hibaüzenet jelenik meg, melynek szövege a német verzióban Nicht genügend Arbeitsspeicher! az angoléban pedig Not enough memory! A vírus eltávolítása során nem elég csupán a vírusmakrók törlésére ügyelni, hanem vissza kell állítani az eredeti billentyûkombinációt is, különben a szóköz

billentyû lenyomásakor csak egy sípoló hang fog válaszolni, de a szóköz nem jelenik meg a szövegben. MDMA.A Összefoglalás: Egyéb nevei Stickykeys, MDMA DMV Effektív hossz 1635 bájt Keletkezés ideje 1996 július Keletkezés helye USA Célpontok Tünetek Word dokumentumok és sablonok Rendszerbeállítások változása Fertõzés elindítója Fertozött dokumentum bezárása Terjedés elindítója Dokumentumok bezárása Romboló rutin Rendszerfájlok törlése Elterjedettsége Gyakori Vírus összetétele: Makrók: Titkosított: AutoClose Igen Részletes leírás: Az MDMA.A volt az elso makróvírus, amely a Word valamennyi létezo platformján (Windows, Windows 95, Macintosh és Windows NT) egyaránt életképes, sot a vírusíró eredeti szándéka szerint minden platformra külön romboló rutint indított volna el. Programozási hiba miatt azonban minden alkalommal csak a Windows95 alá szánt romboló eljárás indul el, ami a azonban részben

Windows NT és Windows 3.x alatt is pusztítEgy másik apró programozási figyelmetlenség miatt csak az angolszásszal kompatibilis nyelvi verziókban muködoképes. A vírust tartalmazó dokumentum bezárása során történik az aktivizálódás. Ennek elso lépésében a vírus ellenorzi az AutoClose makró esetleges jelenlétét a globális sabloban. Ha ott megtalálja, akkor azt már fertozöttnek ítélve békén hagyja. Ha a makró nincs jelen, akkor a vírus bemásolja saját AutoClose makróját Minden további dokumentum megfertozése azok bezárásakor történik. Az MDMAA eloször ellenorzi a dokumentumokban az AutoClose makró jelenlétét, és ha azt nem találja, akkor fertozetleneknek gondolva azokat bemásolja saját makróját. Ha a fertozései aktusra valamely hónap elso napjén kerül sor, a vírus aktiválja romboló rutinját. Eloször a rendszerinfomrációk lekérdezésébol megállapítja az operációs rendszer nevét, és ettol függo büntetorutinokat

aktiválna. Windows alatt a "c:shmk." könyvtár tartalmát törölné, és a "deltree /y c:" sort illesztené a autoexecbat végére, ami a C: meghajtón található összes könyvtárat törölné. Windows NT alatt az aktuális könyvtár és a "c:shmk." könyvtára tartalmát törölné Macintosh alatt a merevlemezen található összes állományt törölné a vírus. Windows 95 alatt a "c:shmk." könyvtár tartalmát törli a vírus, továbbá a "c:windows" könyvtárban levo összes súgó állományt és a "c:windowssystem" könyvtárban az összes Control Panel-beli elemet. Ezután a regisztrációs adatbázisban végez változtatásokat, amelyek eredményeképpen a Netware hálózatba való bejelentkezéskor letiltja a login script futtatását, ezen kívül a Desktop kontrasztját megnöveli (amitol az gyakorlatilag fekete alapon fehér betukkel való megjelenítésre vált át), és a SHIFT, CONTROL és ALT

billentyuk hatását ogy mídosítja, hogy azok egyszeri lenyomás után lenyomott állapotban maradjanak. Programozási miatt mindig a Windows95 alá szánt rutin kísérli meg futtatni, amely Macintosh alatt teljesen hatástalan, Windows 3.x és Windows NT alatt pedig a fájltörlések akkor muködnek, ha a windows nevu könyvtárba lett telepítve Windows megfelelo verziója. Windows 3x alatt a rendszerbeállítások változtatása teljesen hatástalan. Mindenzen károkozás után az MDMA.A megjelenít egy üzenetablakot MDMA DMV címmel és az alábbi tartalommal: You are infected with MDMA DMV. Brought to you by MDMA (Many Delinquent Modern Anarchists) Mentes Összefoglalás: Egyéb nevei Effektív hossz ---3820 bájt Keletkezés ideje 1998. Keletkezés helye Magyarország Célpontok Tünetek Word 6.0/70 DOC fájlok Tools|Macro menüpont blokkolása Fertõzés elindítója Fertõzött dokumentum megnyitása, mentése vagy bezárása Terjedés elindítója Fertõzött

dokumentum megnyitása, mentése vagy bezárása Romboló rutin Dokumentumok tartalmának ellopása Elterjedettsége Magyarországon elterjedt Vírus összetétele: Makrók: Titkosított: Killer AutoClose FileSave FileSaveAs ToolsMacro AutoExec DocClose ListMacros FielOpen AutoOpen Mind a 10 makró titkosított Részletes leírás: A Mentes nyilvánvalóan Magyarországon fejlesztett és a büntetõrutinjából ítélve egy speciális hálózati konfigurációra felkészített vírus, amelyet Magyarországon több helyen is észleltek. A Killer makró a legnagyobb valamennyi közül, ez tartalmazza a MENTES és TERJED nevû eljárásokat, amelyek a vírus terjedéséért felelõsek. A FileSaveAs, FileSave, DocClose, FileOpen és AutoOpen makrók a globális sablon és a dokumentumok megfertõzéséért felelõsek. A makróvírusok legnagyobb problémája az, hogy lévén sablonná kovertált dokumentumok, a Save As. menüponttal mentve (Word 6 esetében) csak a sablonok

kijelölt könyvtárába lehet õket elmenteni. Ezt a Mentes úgy oldja meg, hogy a fertõzött dokumentum mentésekor létrehoz egy teljesen új dokumentumot, ami nem a globális sablonon, hanem az eredeti fertõzött dokumentumon alapul (ezáltal annak teljes tartalma átkerül bele), majd ezt (lévén közönséges dokumentum) már báshova el lehet menteni. A mentés után pedig a vírus megfertõzi az újonnan létrehozott dokumentumot, és bezárja az eredetit. Ezen felül az AutoOpen és a FileOpen makrók a vírus részleges önmegsemmisítõ és önblokkoló funkcióját is megvalósítják.Ha a Windows könyvtárában létezik egy MYINI nevû állomány, és abban a [Word Info] szekció alatt a Kod nevû kulcs értéke éppen aaa, akkor a Mentes nem fertõzi meg a globális sablont és egyetlen további dokumentumot sem. Ezen felül a már fertõzõtteket megkísérli megtisztítani Ez programozási hiba eredményeképpen csak részlegesen siekrül, a NORMAL.DOT-ban

bennemarad a Killer és a FileOpen makró, a dokumentumokban pedig az AutoOpen és a Killer makrók. Az eredményül kapott csonka vírusok már nem életképesek, továbbterjedésre képtelenek. A ToolsMacro és a ListMacros makrók a vírus rejtõzködését hivatottak biztosítani. A Tools|Macro menüpont kiválasztásakor az alábbi üzenetablakot jelenteti meg: A ListMacros makró ugyanezt az ablakot jelentetné meg, de mivel az nem egy belsõ Word parancshoz tartozik, hanem a makrószerkesztõ ablakban az éppen szerkesztett makrókat tartalmazó legördülõ ablakot reprezentálja, soha nem aktivizálódik. Az AutoClose makró tartalmazza a vírus büntetõ rutinját. A C:LOGINSYS fájlba gyûjti össze a vírus egymás után elhelyezve minden elmentett dokumentum esetében a dokumentum nevét, a becsukás dátumát és idejét valamint a dokumentum lesõ 65281 bájtját. A dokumentum becsukásakor tehát elõször a C:LOGINSYS végére illeszti a fenti információt, majd

megkísérli a fájlt feltölteni a \HS WORKHCOMMONSTUDENTTEMP hálózati könyvtárba. Ott az Archivea10, Archivea50 nevû állományokat körpufferként használva az éppen aktuálist felülírva tölti fel az ellopott adatokat. A körpufferbeli pozíciót (ami nem más, mint az éppen aktuális kiterjesztés) a hálózati meghajtó gyökérkönyvtárában levõ PROG.INI fájl tartalmazza Ha a számítógép nincs a hálózatra kötve, vagy nem arra van csatlakoztatva, amelynek adatait a vírusíró el akarta rabolni, akkor az alábbi üzenetablak jelenik meg, és a C:LOGIN.SYS fájlba gyûlnek folyamatosan az információk a bezárt dokumentumokból, egészen addig, amíg a teljes szabad lemezterületet el nem foglalja ez az állomány. Moon.A Összefoglalás: Egyéb nevei ---- Effektív hossz 14859 bájt Keletkezés ideje 1996 november Keletkezés helye Németország Célpontok Word dokumentumok és sablonok Tünetek Tools|Macro (angol) és Extras|Makro (német)

menüpontok kiválasztásakor hibaüzenet jelenik meg Fertõzés elindítója Szóköz billentyû lenyomása Terjedés elindítója e billentyû lenyomása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: ToolsMacro ExtrasMakro +3 változó nevû makró Titkosított: Az összes makró titkosított Részletes leírás: A Moon.A lényegében a vírusszerzõ két korábbi vírusának, a MagnumA-nak és az OutlawA-nak a kombinálásából született. Az utóbbihoz hasonlóan változó nevû makrókat használ Maga az effektív víruskód nem változik, csak az azt hordozó makrók nevei. Két különbözõ megfertõzött dokumetum esetében teljesen más néven tárolódik maga a vírus. Annyi szabályosság figyelhetõ meg, hogy a hat betûs név elsõ két karaktere a fertõzés órájának megfelelõ betûkód, a többi négy szám viszont már teljesen véltelenszerû. Fertõzött dokumetumok esetében a

dokumentumhoz csatolható paraméterváltozókban (VirName, VirNameDoc, VirNamePayLoad), a fertõzött globális sablon esetében pedig a win.ini néhány beírása (az [intl] szekciókban a Name, Name2 és Name3 kulcsok értékei) szolgál tároló eszköz gyanánt. Az aktivizálódásra a szóköz lenyomásakor kerül sor, amennyiben az aktív ablakban éppen fertõzött dokumentum van. Elõször a vírus ellenõrzi, hogy a winini-ben az Intl szekció alatt Name kulcsszó alatt bejegyzett makró megtalálható-e. Ha nem találja ezt a kulcsot, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a NORMAL.DOT-ba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül bejegyzi a win.ini-be ezeket az új neveket A további dokumentumokba való terjedéshez az "e" billentyû lenyomásakor kerül sor. Elõször a vírus ellenõrzi, hogy a kiszemelt dokumentum VirNameDoc paraméterváltozójában

bejegyzett makró megtalálható-e. Ha nem találja ezt a változót, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a dokumentumba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül elmenti a paraméterváltozókba ezeket az új neveket. A Tools|Macro parancsot (és annak német megfelelõjét, az Extras|Makro-t) a saját makrójával helyettesíti, amely egy az eredetihez teljesen hasonlító párbeszédablakot produjál, csak éppen a Cancel kivételével minden gomb lenyomásakor hibaüzenet jelenik meg, melynek szövege a német verzióban Nicht genügend Arbeitsspeicher! az angoléban pedig Not enough memory! Az e billentyû lenyomásakora rendszerdátumtól függõen a vírus több zavaró rutint is elindíthat: október 10-én létrehoz egy dokumentumot az alábbi tartalommal: You are infected with the MooNRaiDer Virus! Greetings to all members of Vlad! I hope thats not the end! The

scene would be to boring without this very good group! Nightmare Joker minden más napon pedig ellenõrzi a win.ini [Vlad] szekciójában levõ Goodbye kulcs értékét Amennyiben ez nem Yes, DEBUG script segítségével létrehozza a Quark.860 nevû DOS vírust tartalmazó goodbyecom állományt, majd az AUTOEXEC.BAT végére beírja az ezt elindító sorokat: @echo off goodbye.com A vírus eltávolítása során nem elég csupán a vírusmakrók törlésére ügyelni, hanem vissza kell állítani az eredeti billentyûkombinációt is, különben a szóköz billentyû lenyomásakor csak egy sípoló hang fog válaszolni, de a szóköz nem jelenik meg a szövegben. Megjegyzés: A Quark.860 vírust az ausztrál VLAD vírusíró csoport egy tagja írta Ez a csoport nem sokkal a Moon.A születése elõtt szûnt meg, a vírusíró minden valószínûség szerint nekik akart emléket állítani Nasty.A Összefoglalás: Egyéb nevei ---- Effektív hossz Változó Keletkezés ideje

1997 április Keletkezés helye Szlovákia Célpontok Word dokumentumok és sablonok Tünetek Menüpontok eltûnése Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok mentése Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben létezik Vírus összetétele: Makrók: AutoOpen (csak dokumentumokban) ToolsMacro (csak a NORMAL.DOT-ban) FileSave (csak a NORMAL.DOT-ban) Titkosított: Nem titkosított Részletes leírás: A Nasty.A vírust Word 70 alatt fejlesztették Mivel felhasználja az EditReplace parancs olyan paramétereit, amelyek csak ebben a verzióban léteznek, azon kevesek egyike, amelyek csak Word 7.0 mûködõképesek, Word 6.0 alatt nem A vírus szerzõi minden jel szerint ugyanazok, akik a SlowA vírust is írták A fertõzött dokumentumok egyetlen AutoOpen makróból állnak, így a vírus a dokumentumok megnyitásakor aktivizálódik. A vírus ellenõrzi, hogy a globális sablonban van-e már

FileSave makró, és ha nem talál akkor azt fertõzetlennek ítélve megfertõzi, két makrót, a FileSave és a ToolsMacro nevût létrehozva. A globális sablonban jelenlevõ két makrómodul lényegében azonos tartalommal rendelkezik. Ezek a makrók azonban csak a vírusnak egy töredékét tartalmazzák, a lényegi vírustest egy AutoText bejegyzés formájában tárolódik. (Ezek a bejegyzések a felhasználó által definiálható "gyorsírási" rövidítések tárolására szolgálnak) A fertõzés során ezt a bejegyzéként tárolt kódot egy ideiglenes makróba másolja a vírus, majd azt futtatva történik meg maga a fertõzés. A vírustest soronként létrehozza az imént említett makrókat, mégpedig úgy, hogy minden sor után egy véletlenszerûen kiválasztott, lényegi hatás nélküli sort szúr be (ezek vagy egy soha nem használt változónak adnak véletlenszerû értéket, vagy a dátomut töltik be egy soha fel nem használt változóba vagy egy

véletlenszerû megjegyzést szúrnak be). Így a vírusmakró látható része minden fertõzésnél teljesen más és más lesz. A vírus felhasználja, hogy a Word parancsok paraméterei tetszõleges sorrendben megadhatóak. Így például egy makrót megnyitni az alábbi 6 forma bármelyikével lehetséges 1. ToolsMacro Edit, Name="XXXX", Show=0 2. ToolsMacro Edit, Show=0, Name="XXXX" 3. ToolsMacro Name="XXXX", Edit, Show=0 4. ToolsMacro Name="XXXX", Show=0, Edit 5. ToolsMacro Show=0, Name="XXXX", Edit 6. ToolsMacro Show=0, Edit, Name="XXXX" A vírus fertõzéskor addig keveri a paraméterek sorrendjét, amíg azok teljesen véletlenszerûen nem következnek egymás után, jelentõsen megnövelve ezzel a lehetséges alakok számát. Legvégül természetesen átmásolja a vírustestet hordozó AutoText bejegyzést is. Pusztán önvédelem gyanánt a vírus eltávolítja a File|Templates és az Edit|AutoText menüpontokat,

lévén ez az a két támadási pont, ahol az AutoText bejegyzések megvizsgálhatók illetve törölhatõk lehetnének. A Nasty minden megfertõzött dokumentum szerzõjének nevét írja át Nasty-re, kezdõbetûit pedig Ugly-ra. Mint minden olyan vírus, amelyik soronként szerkeszti össze a makróit, a Nasty is csak abban a nemzeti verzióban (konkrétan az angolszászban - és az azzal lényegében ekvivalens magyarban is) életképes, miben megírták. NF.A Összefoglalás: Egyéb nevei ---- Effektív hossz 286 bájt Keletkezés ideje 1996 nyár Keletkezés helye USA Célpontok Word dokumentumok és sablonok Tünetek Státuszsori üzenetek Fertõzés elindítója Fertõzött dokumentumok bezárása Terjedés elindítója Dokumentumok bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben létezik Vírus összetétele: Makrók: nf AutoClose Titkosított: Mindkét makró titkosított Terjedési séma Fertõzött dokumentum

AutoClose nf Globális sablon nf AutoClose Részletes leírás: Az NF.A rendkívül egyszerû makróvírus Aktivizálódására fertõzött dokumentumok bezárásakor kerül sor Ekkor az AutoClose makró fut le, amely elõször ellenõrzi, fertõzött-e már a globális sablon. Ha a NORMAL.DOT-ban talát nf nevû makrót, akkor azt már fertõzöttnek gondolva békén hagyja, ellenkezõ esetben bemásolja makróit, de felcseréleve azokat, vagyis a dokumentumban AutoClose névre hallgató makró a lesz a globális a sablonban az nf makró, és megfordítva. Ezután a Word státuszsorában megjeleníti az "Infected!" szöveget. Ettõl kezdve minden éppen bezárt dokumentumot megfertõz a vírus. Minden ellenõrzés nélkül a dokumentumba másolja makróit, ismét felcserélve azok neveit. Ezután a Word státuszsorában megjeleníti a "Traced!" szöveget. Ismert variánsok: • NF.B: lényegében megegyezik az alapvariánssal Annyi a különbség, hogy a

globális sablon fertõzésekor nem ellenõrzi annak fertõzöttségét, illetve ekkor is a "Traced!" üzenetet jeleníti meg a státuszsorban. NPAD.A Összefoglalás: Egyéb nevei DOEUnpad Effektív hossz 1831 bájt Keletkezés ideje 1996 március Keletkezés helye Bandung, Indonézia Célpontok Tünetek Word dokumentumok és sablonok A státuszsorban gördülõ üzenet Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum megnyitása Romboló rutin --- Elterjedettsége Világszerte elterjedt Vírus összetétele: Makrók: Titkosított: AutoOpen Igen Részletes leírás: Az NPAD.A fertõzött dokumentumok megnyitásakor aktivizálódik Elõször ellenõrzi, hogy a víruskód érintetlen maradt-e. Ehhez az vizsgálja meg, hogy a hordozó dokumentum vírust tartalmazó AutoOpen makrója megõrizte-e titkosított voltát. Ha valki belejavított volna, és ehhez elõször feloldja a tikosítást, akkor a vírus ezt

érzékeli, és megakadályozza a globális sablon fertõzését. Ha a vírus érintetlen, akkor a NORMALDOT-ba másolja az AutoOpen makrót. A terjedés során ugyanezt az ellenõrzést elvégzi, és csak a titkosított makrót hajlandó másolni. A dokumentumokat csak akkor fertõzi, ha azok garantáltan dokumentum vagy sablon szerkezetûek, ezzel elkerüli a szövegfájlok vagy RTF állományok megtámadását. Az NPAD.A elsõ aktivizálódása során számlálót hoz létre a WININI [Compatibility] szekciójában az NPAD328 név alatt. Minde fertõzési aktus során eggyel növeli ennek értékét, és ha ez eléri a 23-at, akkor lenullázza, majd (a fentiek értelmében minden 23. fertõzésnél) a Word státuszsorában végiggörgeti az alábbi üzenetet: D0EUNPAD94 v.221 (c) Maret 1996, Bandung, Indonesia A vírus a fentieken kívül semmi egyebet nem csinál, nem tartalmaz romboló hatású eljárásokat. Nuclear.A Összefoglalás: Egyéb nevei Effektív hossz ---10556 bájt

Keletkezés ideje 1995 szeptember Keletkezés helye Ausztrália Célpontok Tünetek Word dokumentumok és sablonok Kinyomtatott szõveg végére üzenet kerül Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Elterjedt Vírus összetétele: AutoExec AutoOpen DropSuriv FileExit FilePrint FilePrintDefault FileSaveAs InsertPayload Payload Makrók: Titkosított: Minden makró titkosított Részletes leírás: A Nuclear.A nem sokkal a ConceptA világszerte való elterjedése után bukkant fel Különös pikantériája a helyzetnek, hogy eredetileg egy, a Concept.A vírusról szóló elemzést tartalmazó fertõzött dokumentumban próbálta meg a szerzõje elterjeszteni. Ez volt az elsõ makróvírus, amely a vírusszakértõk helyzetét megnehezítendõ titkosította makróit. A Nuclear.A fertõzött dokumentumok megnyitásakor aktivizálódik Mielõtt megfertõzné a globális

sablont, ellenõrzi, hogy jelen van-e már benne. E célra az AutoExec makrót használja: ha ezt megtalálja ott, akkor a NORMAL.DOT-ot fertõzöttnek nyilvánítja, ellenkezõ esetben bemásolja makróit A további terjedés a dokumentumok Save As. paranccsal történõ mentésekor történik Mivel a FileSaveAs makró az angol Word verzió menüparancsának nevét használja, a vírus csak az angolszász vagy azzal kompatibilis Word változatokban képes terjedni. Ennek során a NuclearA mindene ellenõrzés nélkül bemásolja makróit a célpontként kiszemelt dokumentumba. A globális sablon fertõzése után a vírus meghívja rombolónak szánt rutinját. Ez a DOS DEBUG parancsa és a vírusban tárolt DEBUG-script segítségével a Ph33R nevû, szintén Ausztráliában kifejlesztett DOS/Windows EXE programvírust szabadítaná el, de egy programozási hiba miatt ez az elszabadítás nem hajtódik végre. Egy második szándékozott romboló rutin minden év április 5-én a

C:IO.SYS", "C:MSDOSSYS" és "C:COMMAND.COM állományokat törölné, ami az MSDOS operációs rendszerû gépek újraindítását ellehetetlenítené. Mivel azonban a futó makró nem képes rendszer-attribútummal ellátott fájlt törölni, ez a rutin sem fut le. Amennyiben valamely dokumentum nyomtatását bármely perc utolsó 5 másodpercében kezdeményezik, a Nuclear.A a kinyomtatandó szöveg végére odailleszti odailleszti az alábbi, a Csendes-óceáni francia nukleáris robbantások ellen tiltakozó szöveget: And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC Ez a szövegrészlet a nyomtatás után is megmarad a szóban forgó dokumentum végén. Outlaw.A Összefoglalás: Egyéb nevei ---- Effektív hossz 21410 bájt Keletkezés ideje 1996 szeptember Keletkezés helye Németország Célpontok Word dokumentumok és sablonok Tünetek Nevetõ hang a PC hangszóróján Fertõzés elindítója A szóköz

billentyû megnyomása Terjedés elindítója Az "e" billentyû megnyomása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: Titkosított: 3 változó nevû makró Nem titkosított Részletes leírás: Az elsõ lépést a polimorf makróvíruok felé az Outlaw.A jelentette Maga az effektív víruskód nem változik, csak az azt hordozó makrók nevei. Két különbözõ megfertõzött dokumetum esetében teljesen más néven tárolódik maga a vírus. Annyi szabályosság figyelhetõ meg, hogy az öt betûs név elsõ karaktere a fertõzés órájának megfelelõ betûkód, a többi négy szám viszont már teljesen véltelenszerû. Fertõzött dokumetumok esetében a dokumentumhoz csatolható paraméterváltozókban (VirName, VirNameDoc, VirNamePayLoad), a fertõzött globális sablon esetében pedig a win.ini néhány beírása (az [intl] szekciókban a Name, Name2 és Name3 kulcsok értékei) szolgál

tároló eszköz gyanánt. A vírus új aktiválódási mechanizmust használ. Az automatikus makrók illetve a Word menüparancsok felüldefiniálása helyett a makrókhoz rendelhetõ billentyûkombinációkat használja. Az aktivizálódásra a szóköz lenyomásakor kerül sor, amennyiben az aktív ablakban éppen fertõzött dokumentum van. Elõször a vírus ellenõrzi, hogy a winini-be Name kulcsszó alatt bejegyzett makró megtalálható-e. Ha nem találja ezt a kulcsot, vagy nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a NORMAL.DOT-ba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül bejegyzi a win.ini-be ezeket az új neveket A további dokumentumokba való terjedéshez az "e" billentyû lenyomásakor kerül sor. Elõször a vírus ellenõrzi, hogy a kiszemelt dokumentum VirNameDoc paraméterváltozójában bejegyzett makró megtalálható-e. Ha nem találja ezt a változót, vagy

nincs jelen ez a makró, akkor legenerálja a három új makrónevet, ezeken a neveken bemásolja makróit a dokumentumba, hozzárendeli a makrókhoz a megfelelõ billentyûkombinációkat, végül elmenti a paraméterváltozókba ezeket az új neveket. A vírus zavaró rutinja Január 20-án indul aktiválódik. Mivel ez a rutin a Windows kernel egyes függvényeinek közvetlen hívásán alapul, csak Windows 95 alatt mûködik. Az Outlaw.A elõször egy új dokumentumot készít az alábbi tartalommal: You are infected with Outlaw A virus from Nightmare Joker. Majd a PC hangszóróján lejátszik egy nevetõ hangot. A hangot lejátszó programot a vírus tartalmazza, és a DOS DEBUG parancsa segítségével hozza létre és indítja el. Ismert variánsok: • Outlaw.B :csak annyiban különbözik az OutlawA-tól, hogy titkosított makrókat használ, egyébként tökéletesen megegyeznek Polite.A Összefoglalás: Egyéb nevei WW2Demo Effektív hossz 1918 bájt Keletkezés

ideje 1996 március Keletkezés helye USA Célpontok Word 2 és Word 6/7 dokumentumok és sablonok Tünetek Üzenetablakok megjelenése Fertõzés elindítója Fertôzött dokumentum bezárása Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Csak vírusgyüjteményekben létezik Vírus összetétele: FileClose Makrók: FileSaveAs Titkosított: Egyik makró sem titkosított Részletes leírás: A Polite.A két szempontból is úttörônek számít Ez volt az elsô olyan makróvírus, amerly Word 2x alatt müködött, és ez volt az elsô makróvírus, amely teljes egészében az automatikus makrók nélkül müködött. A Polite.A eredetileg Word 2 alatt íródott, és Word 2 dokumentumokban képes terjedni A Word 6/7 lefelé való kompatibilitása azonban a makrónyelvre is kiterjed, ezért ha egy Polite.A -val fertôzött dokumentumot Word 6tal nyitnak meg, akkor azt megfertôzi, és a továbbiakban Word 6 dokumentumokban terjed tovább

Visszafelé ez az út járhatatlan, a Word 6 dokumentumban levô Polite.A (bár a dokumentum tartalma a megfelelô konverterek révén Word 2 alat is olvasható) már nem képes a Word 2-t megfertôzni. A vírus aktivizálódására a fertôzött dokumentumok megnyitásakor kerül sor. Ekkor a vírus megjelenít egy üzenetablakot " Activization " címmel és a következô tartalommal: "I am alive!" Ezután a vírus minden ellenôrzés nélkül megfertôzi a NORMAL.DOT-ot A vírus továbbterjedése a dokumentumok mentésekor történik. Elôször megjelenít egy üzenetablakot " Propagation of the virus " címmel és a következô tartalommal: "Shall I infect the file?" A " No "gomb lenyomására a vírus megszakítja a fertôzést, a " Yes " gomb lenyomásakor pedig átmásolja a makróit a dokumentumba. Mivel a Polite.A a fertôzési rutinját az angol Word menüparancsait felüldefiniáló makrói tartalmazzák, a

vírus csak az angolszász, illetve az azzal kompatibilis nyelvi verziókban életképes. Saver.A Összefoglalás: Egyéb nevei ---- Effektív hossz 602 bájt Keletkezés ideje 1996 Keletkezés helye Ausztria Célpontok Tünetek Word dokumentumok és sablonok Üzenetablak megjelenése Fertõzés elindítója Fertozött dokumentum mentése Terjedés elindítója Dokumentum mentése Romboló rutin --- Elterjedettsége Csak vírusgyujteményekben fordul elo Vírus összetétele: Makrók: Titkosított: dateispeichern Titkosított Részletes leírás: A Saver.A-t ugyanaz az osztrák szerzo írt, mint az EasyA és a SpookyA vírust A vírus aktivizálódására fertozött dokumentumok mentésekor kerül sor. Amennyiben a vírus a globális sablonban nem talált dateispeichern makrót, akkor azt fertozetlennek véli, és belemásolja a saját dateispeichern makróját. Ettol kezdve minden elmentett dokumentumot megfertoz. Amennyiben a vírus a kiszemelt dokumentumban nem

talált dateispeichern makrót, akkor azt fertozetlennek véli, és belemásolja a saját dateispeichern makróját. Ha bármelyik fertozési aktusra április 21-én kerül sor, a vírus megjelenít egy üzenetablakot az alábbi szöveggel: "Saver(SEX) written by Spooky. Austria 1996" Ezen a napon minden dokumentumentésen megjelenik a fent említett üzenetablak. Mivel a vírus a német Word menüparancsának megfelelo nevu makróval operál, ettol eltéro nyelvi környezetben teljesen életképtelen. Sharefun.A Összefoglalás: Egyéb nevei ---- Effektív hossz 1777 bájt Keletkezés ideje 1997 Keletkezés helye USA Célpontok Word dokumentumok és sablonok Tünetek Windows leállása, levelek küldése Fertõzés elindítója Fertozött dokumentumok megnyitása, bezárása, mentése Terjedés elindítója Dokumentumok megnyitása, bezárása, mentése Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: Makrók: Titkosított: autoOpen

FileClose AutoExec FileExit FileSave FileOpen FileTemplates ToolsMacro ShareTheFun Az összes makró titkosított Részletes leírás: Amennyiben az automatikus makróvégrehajtás engedélyezett, a ShareFun.A aktivizálódása a fertozött dokumentumok megnyitásakor történik. Amennyiben óvintézkedés gyanánt az automatikus végrehajtás ki lett kapcsolva, akkor a fertozött dokumentum mentésekor, bezárásakor, a Word-bol való kilépéskor illetve a Tools|Macro és a File|Templates menüparancsok kiválasztásakor. Minden ellenorzés nélkül bemásolja makróit a NORMAL.DOT-ba, felülírva a vírus esetleg már ott levo példányát A további dokumentumokba való terjedés ugyanazon események hatására történik, mint az aktivizálódás: dokumentumok megnyitásakor, bezárásakor, mentésekor, illetve a Tools|Macro és a File|Templates menüparancsok kiválasztásakor. Minden ellenorzés nélkül bemásolja makróit a dokumentumba, felülírva a vírus esetleg már ott

levo példányát. Dokumentumok megnyitásakor éedekes módon nem az újonnan megnyitott dokumentumot fertozi meg, hanem azt, amelyik a megnyitás elott éppen az aktív ablakban volt. Minden fertozési aktus során a vírus generál egy véletlenszámot, és ennek értékétol függoen 25% valószínuséggel aktivizálja a ShareTheFun makrójában levo zavaró rutint. Ez az éppen megfertozött dokumentumot elmenti C:DOC1.DOC néven, majd megkísérel kapcsolatot teremteni a Microsoft Mail egy éppen futó példányával. Ha ilyet nem talál, vagy az adott számítógépen egyáltalán nincs is futó MSMail, akkor kilép a Windows-ból. Ha talál aktív MSMail-t, akkor közvetlenül billentyukombinációkat küldve annak, az imént elmentett és már fertozött dokumentumot a felhasználó címlistájából véletlenszeruen kiválasztott 3 címzettnek elküldi "You have GOT to read this!" címsorral ellátva. A Tools|Macro és a File|Templates parancsokat a vírus

blokkolja. Kiválasztásuk hatására az éppen aktív ablakban levo dokumentumot megfertozi, majd sípol egyet. Ezzel akadályozza meg a makróihoz való kézi hozzáférést. A ShareFun.A új utat nyitott a vírusok történelmében: ez volt az elso, amely szándékoltan a levelezorendszert használta fel egyik terjedési eszközként, lehetoséget teremtve a korábban megszokottnál jóval nagyobb kiterjedésu fertozések kialakítására. Ennek ellenére nem jelent komoly veszélyt a felhasználóknak, mivel csak nagyon ritkán fordul elo, és csak egyetlen speciális levelezorendszer esetében muködik ez az effektus. Shuffle.A Összefoglalás: Egyéb nevei ---- Effektív hossz 2076 bájt Keletkezés ideje --- Keletkezés helye -- Célpontok Word dokumentumok és sablonok Tünetek Üzenetablak megjelenése Fertõzés elindítója Fertõzött dokumentumok megnyitása Terjedés elindítója Dokumentumok megnyitása Romboló rutin --- Elterjedettsége Csak

vírusgyûjteményekben létezik Vírus összetétele: AutoOpen (csak dokumentumokban) FileSaveAs (csak a NORMAL.DOT-ban) XXXXX (csak a NORMAL.DOT-ban) Makrók: Titkosított: --- Terjedési séma p; p; p; Fertõzött p; Globális sablonban AutoOpen <---> XXXXX FileSaveAs Részletes leírás: A Shuffle.A egyszerû polimorf vírus Aktivizálódására a fertõzött dokumentumok megnyitásakor kerül sor. Az ekkor elinduló AutoOpen makró elõször törli a globális sablonban megtalálható AutoOpen, FileSaveAs és XXXXX makrókat. Ezután a globális sablonban létrehoz egy XXXXX és FileSaveAs nevû makrókatt, majd az elõbbibe belemásolja a dokumentumban levõ AutoOpen makró teljes tartalmát, az utóbbiba csak egy részét, ami a dokumentumokba való terjedésért felelõs. Az alakváltás annyiban mutatkozik meg, hogy a globális sablon minden fertõzésekor (vagyis praktikusan minden alkalommal, amikor új gépre kerül a vírus) a víruskód által használt

belsõ változó és eljárás neveket véletlenszerû karakterekbõl összerakott ötbetûs nevekkel helyettesít. Minden további dokumentum mentésekor a vírus ellenõrzi, hogy a kiszemelt célpont formátuma dokumentum vagy sablon-e, amdj minden további ellenõrzés nélkül belemásolja AutoOpen néven a globálisa sablonban levõ XXXXX makrót. A jelenlétének fedezése érdekében használhatatlanná teszi a makrókat elérni képes Tools|Macro illetve File|Templates Word parancsokat, felülírva azokat üres makrókkal. A vírus egyetlen látható hatása (a fent említett Word parancsok hatástalanítása mellett) az, hogy minden ötvenedik fertõzéskor megjeleníti az alábbi párbeszédablakot. Slow.A Összefoglalás: Egyéb nevei Nasty Effektív hossz Változó Keletkezés ideje 1997 március Keletkezés helye Szlovákia Célpontok Tünetek Word dokumentumok és sablonok Dokumentumok bezárásának lelassulása Fertõzés elindítója Fertõzött dokumentum

bezárása Terjedés elindítója Dokumentum bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben létezik Vírus összetétele: Makrók: Titkosított: AutoClose Igen Részletes leírás: Az elsõ immár valóban polimorfikusnak tekinthetõ vírus, a Slow. Amint azt az általa megjelenített üzenetablakból megtudhatjuk, Szlovákiából származik. A vírus maga egyetlen makróból, az AutoClose-ból áll. A globális sablon fertõzött dokumentumok becsukásával fertõzõdik meg, és ettõl a pillanattól kezdve minden további bezárt dokumentum megfertõzõdik. A fertõzések elõtt ellenõrzi, hogy a kiszemelt célpont már tartalmaz-e AutoClose makrót. Ha igen, akkor azt békénhagyja. Figyelembe véve a vírus terjedésének elképesztõen lassú voltát, ez mindenképpen szükséges óvintézkedés. Szerencsére semmilyen káros mellékhatása nincs, a létét két jelbõl lehet észrevenni: - minden hónap 4. és 11 napján megjeleníti a

fenti ábrán látható ablakot - mivel a titkosítás idõigényes, egy-egy fertõzési aktus akár percekig is eltarthat, ami még a legnaivabb felhasználó gyanúját is felkeltheti. A vírus a teljes forráskódját is magában hordozza stringtömb formájában. Ez soronként tartalmazza a vírust, de minden karakter egy 4 és 14 között választott véletlen számmal el van tolva. Ettõl ez az eltárolt forráskód meglehetõsen zagyva képet mutat: FHUMCEAANPGT$(167) = "L{tizout&IKJQQQGXUGQLYXGN*" FHUMCEAANPGT$(168) = "IUOIYOTPO[OUO*&C&FFFF" Ha azonban visszakódoljuk, akkor máris elõttünk áll teljes életnagységban a változónevek mutálásáért felelõl programrészlet: LBJTAOCKNKC$(167) = "Function AADEEPGIVKAHI$" LBJTAOCKNKC$(168) = "ONRFPIBQBFKETUJOFA$ = @@@@" A forráskód titkosításán kívül minden, a makróban használt változó nevének hossza 10 és 20 karakter között véletlenszerû, maguk a

karakterek is véletlenszerûen vannak kiválasztva. Ha értélemszerû nevekkel látjuk el ezeket a változókat, akkor sokkal jobban látszik, mi is történik. source$(167) = "Function Get random name$" source$(168) = "templine$ = @@@@" A fertõzés mechanizmusa szükségszerûen komplikált. A vírus létrehoz egy (természetesen véletlen névvel ellátott) makrót, amibe bemásolja soronként a kódot. Természetesen nem titkosítva, hanem a középsõ kódrészletben látott visszafejtett formában, és lefuttatja ezt a makrót. Ez az ideiglenes modul létrehozza a vírust hordozó AutoClose makrót, kiválasztja az új titkosító kulcsszámot, a forráskódot tartalmazó tömböt ezzel megmutálja, minden változó nevét véletlenszerû módon megváltoztatja, végül pedig az egészet beírja az AutoClose makróba. Majd pedig az ideiglenes makrót nyom nélkül kitörli a vírus. A Slow.A vírust Word 70 alatt fejlesztették Mivel felhasználja az

EditReplace parancs olyan paramétereit, amelyek csak ebben a verzióban léteznek, azon kevesek egyike, amelyek csak Word 7.0 mûködõképesek, Word 6.0 alatt nem Spooky.A Összefoglalás: Egyéb nevei ---- Effektív hossz 3114 bájt Keletkezés ideje 1996 szeptember Keletkezés helye Ausztria Célpontok Tünetek Word dokumentumok és sablonok Üzenetablak megjelenése Fertõzés elindítója Fertozött dokumentum megnyitása Terjedés elindítója Dokumentum mentése és megnyitása Romboló rutin --- Elterjedettsége Csak vírusgyujteményekben fordul elo Vírus összetétele: Makrók: Titkosított: "Spooky" "Datei™ffnen" "DateiSpeichernUnter" "AutoOpen" "extrasmakro" "dateidruckenstandard" "dateidrucken" "dateidokvorlagen" "autoexec" Titkosított Részletes leírás: A Spooky.A-t ugyanaz az osztrák szerzo írta, mint az EasyA és a SaverA vírust A vírus

aktivizálódására fertozött dokumentumok megnyitásakor kerül sor. Amennyiben a globális sablon legalább 9 makrót tartalmaz, és azok egyike a spooky makró, akkor azt fertozöttnek véli, és békénhagyja, máskülönben belemásolja a makróit. Az aktivizálódás során a vírus generál egy véletlenszámot 1 és 28 között, és amennyiben ez megegyezik az aznapi dátummal (vagyis gyakorlatilag 1:28 eséllyel) a státuszsorban megjeleníti a "Word.Spooky" üzenetet Ettol kezdve minden megnyitott vagy elmentett dokumentumot megfertoz. Amennyiben a kiszemelt dokumentum legalább 9 makrót tartalmaz, és azok egyike a spooky makró, akkor azt fertozöttnek véli, és békénhagyja, máskülönben belemásolja a makróit. A Spooky.A letiltja a File|Templates és Tools|Macro menüparancsok német megfeleloinek végrehajtását Amennyiben a felhasználó kiválasztja ezeket, a vírus egy párbeszédablakban bekér egy jelszót. Amennyiben a helyes jelszót, a

"ykoops"-t aja meg, az eredeti menüparancsok végrehajtódnak, különben csak egy hibaüzenet jelenik meg az alábbi szöveggel: "Sie haben das falsche Passwort eingegeben" Ha a felhasználó nyomtatást kezdeményez az adott perc utolsó 5 másodpercében, a vírus a "Word.Spooky" szöveget ileszti a nyomtatás végére. Mivel a vírus a német Word menüparancsainak megfelelo nevu makróval operál, ettol eltéro nyelvi környezetben a NORMAL.DOT fertozésére még képes, de további terjedésre már nem Wazzu.A Összefoglalás: Egyéb nevei ---- Effektív hossz 632 bájt Keletkezés ideje 1996 április Keletkezés helye Washington, USA Célpontok Word dokumentumok és sablonok Tünetek A dokumentumok szavai összekeverednek, helyenként a "wazzu" szó megjelenik Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum megnyitása Romboló rutin --- Elterjedettsége Világszerte

elterjedt Vírus összetétele: Makrók: Titkosított: autoOpen Nem titkosított Részletes leírás: A Wazzu.A vírus 1996 áprilisában bukkant fel legelõször, amikor több Usenet hírcsoporton belül is terjesztették. Minden bozonnyal Washingtonból származik, amit alátámaszt az a tény is, hogy a vírus által is használt "wazzu" szócska a Washington State University közkedvelt beceneve. A vírus dokumentumok megnyitásakor aktivizálódik. Elsõ lépésben ellenõrzi, hogy mi a hordozó dokumentum neve. Ha ez NORMALDOT-ra végzõdik (vagyis a globális sablonban levõ víruspéldány fut éppen), akkor az éppen megnyitott dokumentumot kell megfertõzni. Ha nem NORMALDOT-ra végzõdik, akkor a vírus az éppen megnyitott dokumentumból fut, és ekkor a globális sablont kell megfertõzni. Mindkét esetben a vírus minden ellenõrzés nélkül másolja át makróját a célpontba. Ennek a terjedési mechanizmusnak két mellékhatása van. Elõször is, mivel

pusztán az automatikus amkrókon alapul, elvileg a Word minden nyelvi változatában futhatna. Ez szerencsére egy apró figyelmetéenség miatt nem igaz, és így csak az angolszász Word verziókban életképes a vírus. Másodszor nem Windows alapú környezetben (pl. Macintosh Word esetében) a vírus képes megfertõzni a globális sablont, de továbbterjedni már képtelen lesz. A Wazzu.A minden fertõzési aktus után elindítja a kárt okozó rutinját Elõször generál egy véletlen, majd ennek értékétõl függõen 20% valószínûséggel kiválaszt véletlenszerûen egy szót az aktív dokumentból, és azt egy véletlenszerûen kiválasztott másik helyre atmozgatja. Ezt a véletlenszám generálásától kezdve összesen háromszor elismétli, így végeredményben az átmozgatott szavak száma 0 és 3 között bármennyi lehet. Annak a valószínûsége, hogy egy szó sem változtatja meg a helyét, 48.8% Ezek után a vírus még egy véletlen szám

segítségével 25% valószínûséggel a szõveg egy véletlenszerûen kiválasztott pontjára beszúrja a "wazzu" szócskát. Mindezek az akciók rendkívül megnehezítik a vírus nyom nélküli eltávolítását. Ugyanis az autoOpen makró kiirtása nem nehéz feladat, ezzel szemben a beszúrt "wazzu"-k megtalálása vagy még inkább az elmozdított szavak helyretétele már meghaladja bármely víruskeresõ tudását, így valamennyi fertõzött dokumentum esetében kézzel kell végigvizsgálni az okozott károkat - ez pedig kiterjedt fertõzés esetében igen idõigényes mûvelet lehet. Excel makróvírusok Általános bevezetõ: A Microsoft Excel táblázatkezelõ a Word szövegszerkesztõhöz hasonlóan igen hatékony makrónyelvvel rendelkezik. A fejlesztésbeli összehangolatlanság miatt bár az Excel is a Basic egy változatát használja, az itt alkalmazott VBA (Visual Basic for Applications) több lényeges pontban különbözik a WordBASIC-tõl.

Annál sokkal komolyabb programozási környezetet biztosít, és mivel az Excel makróprogramozásának összehasonlíthatatlanul nagyobb hagyományai vannak, mint a Wordének, némiképp meglepõ, hogy a makróvírusok terén mennyire háttérbe szorult. Akárcsak a Word makróvírusok esetében, az Excel kártevõi is több ponton aktivizálódhatnak. Létezik 5 elõre definiált, fix nevû ún. automatikus makró, amelyek egy-egy eseményhez tartoznak, annak elõfordulásakor kerülnek végrehajtásra. Ezeket az 1 táblázat tartalmazza Ha például egy workbook tartalmaz egy Auto Close nevû makrót, akkor annak lezárásakor ez a makró automatikusan végrehajtódik. Makró neve Végrehajtódás feltétele Auto Open Workbook nyitása Auto Close Workbook zárása Auto Activate Workbook aktivizálása Auto Deactivate Workbook háttérbe küldése Az Excel makróvírusai gyakorlatilag mind az automaitkus makrók valamelyikét használják az aktivizálódásra, és a

további állományok fertõzésére. Az aktiválódás során a vírusok leggyakrabban az Excel STARTUP könyvtárában levõ PERSONAL.XLS állományt veszik célba, ami hasonlóan a NORMAL.DOT Word-beli szerepéhez az egyedi beállításokat és a felhasználó által definiált makrókat tartalmazza vagy a GLOBAL.XLM állományt, ami ugyancsak hasonló szerepet tölt be. Részletes vírusleírások DMV.A Összefoglalás: Egyéb nevei ---- Effektív hossz --- Keletkezés ideje 1994. december Keletkezés helye -- Célpontok Excel workbookok Tünetek Üzenetablakok megjelenése Fertõzés elindítója Fertõzött workbook bezárása Terjedés elindítója Workbook bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: Titkosított: Auto Close --- Részletes leírás: Az Excel DMV.A vírusát ugyanaz a Joel McNamara írta, aki a Word DMVA vírusának is a szerzõje Ahhoz hasonlóan az Excel vírus

is pusztán demonstrációs célokat szolgált, a vírus életciklusának valamennyi fontos lépését üzenetablakokkal tudatja. A vírus aktivizálódására fertõzött munkalapok bezárásakor kerül sor. Ekkor a vírus ellenõrzi, hogy létezik-e az Excel globális beállításait és makróit tartalmazó GLOBAL.XLM állomány, valamint azt, hogy létezik-e abban egy Sheet01 nevû modul. Ez a lap tartalmazza a víruskódot, és minden fertõzött munkalapban ezzel a névvel szerepel. Amennyiben a GLOBALXLM létezik, csak még nem tartalmazza a vírust, akkor a Sheet01 modult abba bemásolja, és megjeleníti az alábbi üzenetablakot: "GLOBAL.XLM exists Adding Auto Close virus to it" Amennyiben a vírus már jelen van a GLOBAL.XLM állományban, a vírus az alábbi tartalmú üzenetablakot jeleníti meg: "Virus already installed in GLOBAL.XLM" Ha a GLOBAL.XLM egyáltalán nem létezik még, akkor a vírus az alábbi üzenetet jeleníti meg: "GLOBAL.XLM

doesnt exist Creating it now" Majd víruskódot tartalmazó dokumentumot GLOBAL.XLM néven elmenti, ezáltal annak makróit az Excel következõ indításától globálisan elérhetõvé teszi. Mindezek végeztével a vírus, demonstrálja az esetleges büntetõrutinok lehetõségeit. Esõ lépésben megjeleníti az alábbi ablakot: "The virus has been spread. Now execute some other code, for example" Majd lekérdezi az Excelt telepítõ szervezet nevét, és megjelenít egy üzenetablakot az alábbi szöveggel (a lekérdezett szervezetnevet nem használja fel): "Just checked which organization Excel was registered to." "A DMV could selectively target a business, government agency, or organization. For example, delete all files if this software was licensed to IBM.") Ezután az Excelt telepítõ személy nevét kérdezi le a vírus, de ezt sem használja fel, csak az alábbi ablakot jeleníti meg: "Just checked who Excel was registered to."

"A DMV could selectively target a specific individual for revenge or eavesdropping." Majd lekérdezve a nemzeti beállítások közül az országot, az alábbi üzenetet jeleníti meg: "Just checked Excels country code." "A DMV could selectively target users within a certain country. For example, overwrite files if an Arabic version of Excel was running." Ezután a dátumot ellenõrzi, és az alábbi szöveget jeleníti meg: "Just checked the date." "A DMV could serve as a time bomb. For example, start renaming files after September 1995, so it appears problems are related to the release of Microsoft Windows 95." Végül az operációs rendszer lekérdezése után az alábbi szöveg jelenik meg: "Just checked the operating system." "A DMV could only execute if a specific version of an operating system was running." A DMV.A a szó szoros értelmében nem tekinthetõ vírusnak Csak arra képes, hogy a GLOBALXLM-et

megfertõzze (mivel a kódba fixen bevarrta a szerzõ a hordozó munkalap nevét, erre is csak nagyon korlátozott mértékben), de továbbterjedésre a vírus képtelen. Laroux.A Összefoglalás: Egyéb nevei ---- Effektív hossz --- Keletkezés ideje 1996 július Keletkezés helye ----- Célpontok Excel workbookok Tünetek --- Fertõzés elindítója Fertõzött workbook megnyitása Terjedés elindítója Workbook megnyitása Romboló rutin --- Elterjedettsége Világszerte elterjedt Vírus összetétele: Makrók: Titkosított: auto open check files --- Részletes leírás: A Laroux.A az elsõ igazán elterjedt Excel makróvírus, amely még napjainkban is komoly fertõzéseket okoz A fertõzött workbookokban egy rejtett " laroux " nevû lap tartalmazza a vírus makróit. A vírus aktivizálódására fertõzött táblázatok megnyitásakor kerül sor. Ekkor a vírus auto open makrója fut le, amely csak annyit tesz, hogy elintézi, hogy minden

táblázatlap megnyitásakor a vírus check files makrója fusson le. Ezáltal a vírus minden új vagy régi táblázathoz való bárminemû hozzáférés során aktivizálódik, lehetõséget kapva annak megfertõzésére. Ezután a vírus ellenõrzi, hogy létezik-e az Excel STARTUP könyvtéréban a PERSONAL.XLS állomány, illetve hogy mennyi makrót tartalmaz az éppen nyitott workbook. Amennyiben nem létezik még a PERSONAL.XLS, a vírus bemásolja a fertõzött dokumentumot a helyére, ezáltal az Excel következõ indításától kezdve a vírus makrói globális makrókként hozzáférhetõek, és mivel minden shhet-aktivizáláshoz a vírus makrója lett hozzárendelve, semmi akadálya sem lesz már a továbbterjedésnek. Ha az éppen nyitott workbook nem tartalmaz makrót (és a PERSONAL.XLS már létezik), akkor a vírus megfertõzi azt, a laroux nevû sheetet bemásolva. A rendszer megfertõzése után a Laroux.A minden érintetlen workbook-ot megfertõz abban

apillanatban, amint azok az aktív ablakba kerülnek, vagyis praktikusan általában a megnyitásukkor. Word 97 makróvírusok Általános bevezetõ: Az 1997 legelején a boltokba kerülõ Office 97 teljesen átalakította a makróvírusok frontját. A makrónyelv egységesítése jegyében a Word által használt WordBASIC nyelvet teljes egészében lecserélték az Excel és az Access esetében már korábban is alkalmazott VBA (Visual Basic for Applications) nyelvre. Kompatibilitási okokból azonban megteremtették a régi WordBASIC makróprogramok automatikus VBA-konvertálásának lehetõségét. Ezzel aztán meg is oldották a Word makróvírusok nagy részének átlépését az új platformra A Word 97 tartalmaz néhány vírusvédelemre is alkalmas komponenst. Már a kezdetben kibocsátott verzióban is jelen volt az a figyelmeztetõ ablak, ami elõször a Word 7.0a verzióban jelent meg, és jelezte, ha a megnyitandó dokumentum makrókat tartalmazott. Ez elvileg gátat

szabhatott volna a makróvírusok terjedésének, de több alapvetõ hiba volt a megvalósításban. A teljesség hiánya nélkül: 1. Nem csak akkor riasztott, ha makró volt a dokumentumba, hanem akkor is, ha az egyedi menü vagy parancsgomb beállításokat tartalmazott. 2. Még ha tartalmazott is makrókat a dokumentum, azok nem feltétlenül származtak vírustól A figyelmeztetés azonban nem válogatott, hasznos makróprogramok esetében is felharsant. Emiatt olyan cégeknél, ahol saját készítésû makrókat használtak (és ez a nagyobb cégeknél gyakori), a felhasználók inkább kikapcsolták a beépített vírusvédelmet. 3. A figyelmeztetés lekapcsolható volt, de sajnos nem csak a Word-ön belülrõl, hanem mivel a beállítást a Word a registry-ben tárolta, külsõ programból is. Ezt néhány hagyományos vírus aztán ki is használta, kikapcsolva a vírusvédelmet megnyitotta az utat az utánuk jövõ makróvírusok elõtt. 4. A javítás nem azon a szinten

történt, ahol problémák keletkeztek A gond gyökere az volt, hogy az Office97 VBA nyelve termékeny táptalaja volt a vírusoknak. Ezzel a figyelmeztetéssel a Microsoft nem a VBA funkcionalitását korlátozta, a vírusok terjedését szolgáló utasítások megszorításával, hanem egy teljesen más szinten, a Word szintjén épített be egy figyelmeztetést. Nagyon kevesen tudhatnak arról, hogy a Microsoft az Office97-be valódi makróvírus elleni védelmet is beépített. A Word 6/7 alatt íródott makrókat a Word97 automatikusan VBA nyelvre konvertálja Hogy elkerüljék, vagy legalábbis lelassítsák az amúgy is nagy számban létezõ makróvírusok új platformra kerülését, egy egyszerû ellenõrzõ mechanizmust építettek be. Ez a konvertálandó makróban a legfontosabb vírusokra (pl Concept, Wazzu, Bandung) jellemzõ szekvenciákat keresett (ezek miatt a tárolt szekvenciák miatt aztán néhány víruskeresõ fertõzöttnek vélte az ellenõrzést tartalmazó

WWINTL32.DLL állományt), és ha ezeket megtalálta, akkor, minden további értesítés helyett befejezte a konvertálást, a kérdéses makrót pedig meg sem jelenítette, így a késõbbi mentés során ezek a makrók megszûntek létezni. Ez így szép, csak nem vírusok, hanem makrók ellen nyújtott védelmet. Azaz a ConceptA esetében az AutoOpen, AAAZAO és AAAZFS makrókat törli, a PayLoad makrót viszont meghagyja. Másik hátrány, hogy csak nagyon korlátozott számú vírus ellen véd A harmadik pedig az, hogy még ha meg is talál egy vírust, és törli is a megfelelõ makrót, akkor sem szól egy szót sem a felhasználónak, aki így észre sem veszi, hogy vírusos dokumentumot nyitott meg. További korlátozásokat építettek be a Service Release 1 javításba: az SR1-tõl kezdve nem lehet a VBA-ban a globális sablonból (NORMAL.DOT) makrót átmásolni dokumentumba Nem lehet sem a kompatibilitási okokból átemelt WordBasic.MacroCopy, sem pedig az

OrganizerCopy utasítással és ezzel az összes korábbi makróvírus mûködésképtelenné vált. Hiszen elsõ lépésben ugyan meg tudták fertõzni a NORMALDOT-ot, de onnantól kezdve már nem tudnak új dokumentumokba átterjedni. Az újabban született vírusok már ezt a korlátozást is képesek leküzdeni. Részletes vírusleírások Acid.A Összefoglalás: Egyéb nevei ---- Effektív hossz 2328 bájt Keletkezés ideje 1998 február Keletkezés helye --- Célpontok Tünetek Word 97 dokumentumok üzenetablakok megjelenése Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum megnyitása Romboló rutin Víruskeresõk állományainak törlése Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Modulok: ACID Titkosított: Nem titkosított Részletes leírás: A vírus aktivizálódására fertõzött dokumentumok megnyitásakor kerül sor. Ekkor az ACIDA elsõ lépésben ellenõrzi, hogy

létezik-e a globális sablonban már egy ACID nevû modul. Ha igen, akkor békén hagyja, ha nem, akkor bemásolja saját ACID modulját. Ettõl kezdve minden megnyitott dokumentumot megfertõz a vírus. Elsõ lépésben ellenõrzi, hogy létezik-e a kiszemelt dokumentumban már egy ACID nevû modul. Ha igen, akkor békén hagyja, ha nem, akkor bemásolja saját ACID modulját. Az ACID.A új dokumentum létrehozásakor, Save As paranccsal való mentésekor és nyomtatásakor a dokumentum legelejére illeszti 140 pontos Impact fonttal az "ULTRAS" szöveget. Dokumentumok Save paranccsal való mentésekor és a nyomtatási elõkép meghívásakor a dokumentum legelejére illeszti 65 pontos Impact fonttal az " ACID BY ULTRAS " szöveget. A vírus lehetetlenné teszi a makróihoz a hozzáférést. Mind a Tools|Macro parancs aktivizálódásakor, mind a VBA szerkesztõ meghívásakor az eredeti Word parancs végrehajtása helyett egy "Impossible open this

function" tartalmú üzenetablakot jelenít meg. Az ACID.A minden fertõzési aktus elõtt elindítja romboló rutinját Ez a legnépszerûbb víruskeresõk tipikus telepítési helyeinek megfelelõen törli az alábbi állományokat: "C:Program FilesAntiViral Toolkit Pro*.*" Kill "C:Program FilesCommand SoftwareF-PROT95*.*" Kill "C:Program FilesMcAfeeVirusScan*.*" Kill "C:Program FilesNorton AntiVirus*.*" Kill "C:Program FilesFindVirus*.*" Kill "C:f-macro*.*" Kill "C:Tbavw95*.*" Majd ellenõrzi, hogy az adott hónap melyik napján vagyunk, és ennek megfelelõen az alábbiakat teszi: o o o o 1-én: Megjelenít egy üzenetablakot a "You Infected WM97.ACID by ULTRAS" szöveggel, ezután a megnyitott dokumentumot az "ACID BY ULTRAS" jelszóval védi le. 9-én: Megjelenít egy üzenetablakot a "You Infected WM97.ACID by ULTRAS" szöveggel, ezután a megnyitott dokumentumot az

"ULTRAS" jelszóval védi le. 17-én: letörli a C:Autoexec.bat, C:Configsys és C:Commandcom állományokat 25-én: a C:Windows könyvtárban törli az összes INI kiterjesztésû állományt, továbba a C:WindowsSystem könyvtárban a DLL kiterjesztésû állományokat. Ezáltal a tipikusan telepített Windows 95 esetében az operációs rendszer mûködésképtelenné válik, annak újratelepítése szükséges. AntiSR.A Összefoglalás: Egyéb nevei ---- Effektív hossz 1488 bájt Keletkezés ideje 1998 február Keletkezés helye --- Célpontok Tünetek Word 97 sablonok Menüpontok eltünése Fertõzés elindítója Fertõzött dokumentum mentése, zárása, nyomtatása Terjedés elindítója Dokumentum mentése, zárása, nyomtatása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Makrók: VBA modulok: FuSR 1 Nem titkosított Részletes leírás: Az AntiSR.A volt az elsõ ismert Word 97 vírus, amely

az Office 97-hez kiadott Service Release 1 telepítése után is mûködõképes volt. A vírus aktivizálódására fertõzött dokumentumok mentése, nyomtatása, bezárása és a Word bezárása esetén kerül sor. Ekkor a vírus ellenõrzi, hogy a globális sablonban van-e már FuSR 1 nevû makró, és ha ilyet nem talál, akkor azt fertõzetlennek ítélve megfertõzi. Ezt a Service Release 1 korlátozásai miatt úgy teszi meg, hogy a teljes víruskódot exportálja egy szöveges állományba, majd ezt importálja új modulként a globális sablonba. Ezután eltávolítja a Tools|Macro és a Tools|Templates and add-ins menüpontokat, a VBA szerkesztõ meghívását pedig egy üres makróval definiálja felül, ezáltal teszi lehetetlenné a kódjához való hozzáférést. Ismert variánsok: o AntiSR.B : az 1456 bájt hosszú variáns csak annyiban különbözik az alapváltozattól, hogy abban egy programozási hibát kijavított a vírusíró. Brenda Összefoglalás:

Egyéb nevei ---- Effektív hossz 1664 bájt Keletkezés ideje 1998. október Keletkezés helye --- Célpontok Word 97 dokumentumok Tünetek A desktop elemeinek megváltozása Fertõzés elindítója Fertõzött dokumentum megnyitása Terjedés elindítója Dokumentum bezárása Romboló rutin --- Elterjedettsége Ritka Vírus összetétele: Makrók: VBA modulok: ---ThisDocument Részletes leírás: A Brenda A Class-osztályba tartozó Word97 makró vírus. Aktivizálódása fertõzött dokumentumok megnyitása során történik. Elsõ lépésben biztonsági óvintézkedés gyanánt kikapcsolja a Word97 beépített vírusvédelmi figyelmeztetõ funkcióját, majd a globális sablon megváltoztatását jelzõ figyelmeztetést is letiltja. Ezután ellenõrzi a globális sablon fertõzött voltát Ehhez az abban lévõ ThisDocument modul elsõ sorát olvassa ki. Amennyiben az a vírusra jellemzõ "Private Sub Document Close()", akkor nem fertõz,

egyébként pedig a NORMAL.DOT-beli ThisDocument modul elejére beilleszti a víruskódot. A felismerésre használt legelsõ sor különbözõ a fertõzött dokumentumok és a fertõzött globális sablon esetében. A globális sablonban ez "Private Sub Document Close()", míg a dokumentumokban "Private Sub Document Open()". Emiatt az aktivizálódás a dokumentumok megnyitása, a további dokumentumokba terjedés pedig azok bezárása során zajlik le. Ezért a globális sablon fertõzése után a vírusnak még át kell írnia a legelsõ sort a megfelelõ értékre. A dokumentumokban való továbbterjedés ugyanazokban a lépésekben zajlik le, mint az aktivizálódás. Elõször ellenõrzi a vírus, hogy a kiszemelt dokumentum elsõ sorában mi áll, és ha az nem "Private Sub Document Open()", akkor megfertõzi azt, bemásolva a víruskódot a ThisDocument modul legelejére, majd kicseréli ezt a legelsõ sort a dokumentumokra jellemzõ "Private

Sub Document Close()"-re. A vírus az általa használt speciális fertõzési módszer miatt az Office97 Service Release 1 telepítése után is életképes marad. A globális sablon sikeres fertõzése után a Brenda nekilát a regisztrációs adatbázis felforgatásának. Az ott található "My Computer" ikon nevét átcseréli " Little Miss Nick"-re. Az ikon kinézetét is megváltoztatja, a desktop következõ frissítésekor (legkésõbb a következõ rendszerindításkor) kicseréli azt a nem csatlakoztatott hálózati meghajtókat reprezentáló ikonra. Az ikoncsere csak Windows95/98 operációs rendszer alatt mûködik A levelezés beállításai között az email-címet nick@virusbtn.com-ra, az SMTP nevet pedig Asexual-ra változtatja. A WinZip regisztrálási nevet "Nick FitzGerald the queen"-re változtatja. Végezetül a C: meghajtó volume-nevét n0nuts-ra változtatja. A vírus nyilvánvalóan az angol Virus Bulletin

számítástechnikai szaklap fõszerkesztõjét, Nick FitzGeraldot veszi célba, akinek természetesen semmi köze nincs a vírushoz. Word.97MelissaA Összefoglalás: PRIVATEEgyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége -----1999.március -Word 97 és Word 2000 dokumentumok e-mail üzenet küldése, szöveg beszúrása adokumentumba Fertőzött dokumentum megnyitása Dokumentum bezárása --Világszerte rendkívül elterjedt Vírus összetétele: PRIVATEVBA modulok: Titkosított: Melissa Nem tikosított Részletes leírás: A vírus először 1996 március 26-án, pénteken délután bukkant fel néhány alt.sex névvel kezdődő hírcsoportban (az eredeti fertőzött dokumentum pornográfiával foglalkozó web-helyek jelszavait tartalmazta), és mit ad isten , még aznap estére Amerika-szerte elterjedt. Több nagy cég (a hírek szerint a Microsoft és az Intel

is) kénytelen volt leállítani a levelezőrendszerét, hogy a további terjedésnek gátat vessenek. A vírus minden olyan rendszeren életképes, amely Word 97-tel vagy Word 2000-rel van felszerelve, de az igazán robbanásszerű terjedés akkor lép fel, ha a gépen az Outlook levelező program is telepítve van. Ennek hiányában hagyományos makróvírusként terjed. A vírus aktivizálódása egy fertőzött dokumentum megnyitásakor történik. Első lépésben a Melissa eldönti, hogy Word 97, avagy Word 2000 alatt fut-e. Mindkét esetben kikapcsolja a beépített vírusvédelmi figyelmeztetéseket (a makrók jelenlétére utaló és a globális sablon változásakor felugró ablak megjelenítését), valamint kiválaszthatatlanná teszi a makrókhoz való hozzáférést szolgáló menüpontokat. Ezután terjed tovább levélben. Egy, a registry-ben megejtett bejegyzéssel gondoskodik arról, hogy egyazon gépről csak egyszer küldje szét magát. Ha a HKEY CURRENT

USERSoftwareMicrosoftOffice szekcióban a Melissa? kulcs értéke éppen � �by Kwyjibo �, akkor ezt annak jeleként értelmezi, hogy erről a gépről már kiindult egy levélfolyam. Ellenkező esetben a vírus aktivizálja az Outlook alkalmazás egy példányát (amennyiben ilyet talál a gépen), és minden egyes levél address bookban az első 50 címzettnek tovább küldi a fertőzött dokumentum egy példányát. Mindezt egy olyan levélhez csatolva teszi meg, amelynek címe Important Message From XXX , ahol XXX a felhasználó neve, a levél szövege pedig egyetlen sor, � Here is that document you asked for � don � t show anyone else ;-)� Dolga végeztével a Melissa megejti a bejegyzést a registry-be. Mivel az address book-okban szereplő címzettek nem csak szóló személyek lehetnek, hanem levelezőlisták is, így valójában sokkal több levél is kimehet 50-nél. Ezekben az esetekben a lokális hálózati levélforgalom annyira megnövekedhet, amitől

jópár levelező kiszolgáló megroggyant. A levélküldő programrész lefutása után után a vírus megfertőzi a globális sablont. A Melissa a Class típusú vírusok közé tartozik, vagyis fertőzéskor nem hoz létre új VBA modult a kiszemelt célpontban, hanem a minden dokumentumban jelen levő ThisDocument objektumot veszi célba. Ennek először kitörli a teljes tartalmát, majd átnevezi a nevét Melissa-ra, végül pedig soronként bemásolja a víruskódot. Legvégül a kód első sorában a Private Sub Document Open sort lecseréli Private Sub Document Close-ra, ezzel érve el, hogy a NORMAL.DOT megfertőzése után a vírus már a fertőzetlen dokumentumokat nem megnyitásukkor, hanem bezárásukkor fertőzi. A fertőzött rendszerben a dokumentumok fertőzése gyakorlatilag az előbbiekben megismertek szerint zajlik le, azzal a különbséggel, hogy a fertőzési aktusra bezáráskor kerül sor, és a fent említett programsort visszacseréli. Ha valamilyen

fertőzési aktusra olyan együttálláskor kerül sor, amikor éppen annyiadik napja van az adott hónapnak, mint ahányadik perce az adott órának, akkor a vírus az épen aktuális kurzorpozícióba beszúrja a � Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game�s over I�m outta here � szöveget, ami a népszerű Simpsons rajzfilmsorozat egyik részéből való idézet. A vírus korlátozott hatású rendszerspecifikus terjedése miatt. Csak azok a rendszerek igazán veszélyeztetettek, melyeken az Outlook levelező rendszer működik. Ha ez nincs jelen (még az Internet Explorerhez csatolt Outlook Express sem elég jó a vírusnak), akkor a vírus csak a hagyományos makróvírusokra jellemző terjedést produkálja. Ismert variánsok: Alig pár nappal a Melissa megjelenése után már felbukkant a Papa névre hallgató variánsa is, amely Excel 97 makróvírus, de ugyanazt a trükköt alkalmazza az Outlook révén való

terjedésre, mint a Melissa, csak éppen 50 helyett 60 címre küldi el magát egyegy alkalommal. Nightshade.A Összefoglalás: Egyéb nevei Effektív hossz ---848 bájt Keletkezés ideje 1997 február Keletkezés helye -- Célpontok Word 97 dokumentumok Tünetek Üzenetablak megjelenése Fertõzés elindítója Fertõzött dokumentumok bezárása Terjedés elindítója Dokumentum bezárása Romboló rutin Dokumentumok levédése jelszóval Elterjedettsége Csak vírusgyûjteményekben létezik Vírus összetétele: VBA modul: Titkosított: NightShade Nem titkosított Részletes leírás: A Nightshade.A a legelsõ ismert vírus, amely az Office 97 valamely alkalmazását, jelen esetben a Word 97-et támadja meg. Rekordgyorsasággal, alig pár héttel az Office 97 piacra kerülése után született meg, és bár variánsa csak elég kevés van, a Word 97 vírusok elsõ nemzedékének java a Nightshade.A kódján alapul A vírus aktivizálódására fertõzött

dokumentumok bezárásakor kerül sor. Ekkor a vírus elsõ lépésben megteremti a biztonságos mûködéséhez szükséges feltételeket: letiltja ideiglenesen a képernyõfrissítést, kikapcsolja a Word 97 beépített vírusvédelmét és engedélyezi az automatikus makrók végrehajtását. Ezután ellenõrzi, hogy a globális sablonban létezik-e már NightShade nevû modul. Ha nem, akkor azt fertõzetlennek ítélve bemásolja a vírusmodult. Ettõl a pillanattól kezdve a vírus minden egyes dokumentumot megfertõz azok bezárásakor. Elsõ lépésben ellenõrzi, hogy a kiszemelt célpontban létezik-e már NightShade nevû modul. Ha nem, akkor azt fertõzetlennek ítélve bemásolja a vírusmodult. Minden fertõzési aktus során generál egy véletlenszámot, és ennek értékétõl függõen, összességében 1/7 valószínûséggel az Office Assistant ablakocskájában megjeleníti az alábbi szöveget: Word97.NightShade by Pyro [VBB]" A hónap 13. napjára esõ

péntekeken a vírus az összes bezárt dokumentumot a " NightShade " jelszóval védi le Flitnic.A Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója -----1999. április -Word dokumentumok Üzenetablak megjelenése Fertőzött dokumentum megnyitása Fertőzött dokumentum megnyitása Romboló rutin Elterjedettsége CIH vírus elindítása Csak vírusgyűjteményekben fordul elő Vírus összetétele: Document Open (dokumentumban) Makrók: AutoExec (NORMAL.DOTban) tatung VBA modulok: +1 változó nevű makró ThisDocument (dokumentumban) Flitnic (NORMAL.DOT-ban) Részletes leírás: A Flitnic Class típusú közvetlen hatású nem rezidens polimorf makróvírus, amely egyetlen VBA modulból áll (ez fertőzött dokumentumoknál a ThisDocument class-modul, az ideiglenesen fertőzött NORMAL.DOT-nál pedig a Flitnic nevű modul). A modul 3 makrót tartalmaz, a fő

víruskódot magába foglaló Document Open makrót (ez az ideiglenes globális sablonbeli változatnál AutoExec nevet kap), a büntetőrutin tartalmazó tatung makró, és egy harmadik, változó nevű makró. A vírus aktivizálódására és terjedésére két fázisban kerül sor Aktivizálódására fertőzött dokumentumok megnyitásakor kerül sor. Ekkor a vírus Document Open makrója indul el, amely a vírus első fázisát indítja el. Ez először ellenőrzi, hogy melyik fázis (mivel a második fázis egy másik Word alkalmazásban indul el, ez a Word alkalmazások számának egyszerű összeszámlálásával történik), majd letiltja a VBA szerkesztő megjelenítését, a Word 97 makróvédelmét valamint a futó makró megállítására szolgáló CTRL+BREAK billentyűkombinációt. Ezután bemásolja a kódját a globális sablonba, miközben átnevezi a fő eljárást AutoExec-re, majd elindítja a Word egy második, rejtett példányát. Az újonnan elinduló

példánynál a NORMAL.DOT már tartalmazza AutoExec néven a vírus makróját, ezért az automatikusan elindul. Látván, hogy már két Word alkalmazás fut, a második fázis kódjára ugrik a vírus Először a víruskódot mutálja, melynek során minden használt változó nevét megváltoztatja. Az új név hossza véletlenszerűen 2 és 22 karakter között bármennyi lehet, a felhasznált karaktereket is véletlenszerűen választja ki a vírus. A mutáció után a vírus megkeresi az összes dokumentumot a C: lemezen és megfertőzi azt. Ennek során a Flitnic nem ellenőrzi, hogy a célpont már fertőzött-e, hanem egyszerűen törli a ThisDocument modul korábbi tartalmát és belemásolja a víruskódot. Mivel a fertőzési folyamat rendkívül hosszadalmas, a vírus időnként átengedi a végrehajtást a Windows-nak, így nem annyira feltűnő a tevékenysége. Végezetül a vírus első fázisa visszaveszi az irányítást, kitörli a globális sablonból az

ideiglenesen használt Flitnic modult, és látszólag az aktív dokumentumból is a víruskódot, majd a C:MOODY.DAT nevű szöveges fájl végére beszúr egy sort az alábbi formában: Flitnic has enjoyed your system at: 1999.0423, 12:03:21 ahol a fertőzés pillanatában érvényes dátum és idő szerepel. Amennyiben ezen bejegyzések száma eléri a százat, a vírus romboló rutinja beindul. Ez lőször elkészíti a C:KILLEREXE fájlba a CIH 14 vírus egy módosított példányát, majd azt végre is hajtja. A módosítás eredményeképpen a vírus nem csak április 26-án, hanem minden alkalommal tönkreteszi a flash BIOS-t és a merevlemezt. Ezután megjeleníti az alábbi üzenetablakot: Excel 97 makróvírusok Általános bevezetõ: Az Excel 97 vírusairól általánosságban ugyanaz mondható el, mint a Word 97 vírusairól. Ugyanúgy, mint elõdeik esetében, az Excel 97 vírusok sokkal kisebb számban születtek, mint Word 97-es társaik, és még azoknál is

kisebb mértékben terjedtek el. Részletes vírusleírások NEG.A Összefoglalás: Egyéb nevei ---- Effektív hossz 4304 bájt Keletkezés ideje 1998 március Keletkezés helye Indonézia Célpontok Tünetek Excel munkalapok Menüpontok eltûnése, üzenetablakok megjelenése Fertõzés elindítója Fertõzött munkalap megnyitása Terjedés elindítója Munkalap megnyitása Romboló rutin Fájlok törlése a C:WINDOWS könyvtárból Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: VBA modulok: Titkosított: Dollar --- Részletes leírás: A NEG.A vírust az indonéz Nomercy vírusíró csoport által készített NEG (Nomercy Excel Generator) vírusgyártó készlettel készítették. A vírus aktivizálódására fertõzött munkalapok megnyitásakor kerül sor. Ekkor a vírus ideiglenesen lekapcsolja a képernyõfrissítést, majd eltávolítja azokat a menüpontokat, amelyek alkalmasak lehetnének a vírushoz való

hozzáférésre. A munkalapokhoz rendelt menüben eltávolítja a Tools almenübõl a Macro és a Record Macro elemeket, a Window almenübõl a Hide és az Unhide menüpontokat, Format almenübõl a Sheet menüpontot, az Edit almenübõl a Delete , Delete Sheet és Move or Copy Sheet. menüpontokat és az Insert almenübõl a Macro menüpontot. A grafikonokhoz rendelt menüben eltávolítja a a Tools almenübõl a Macro és a Record Macro elemeket, a Window almenübõl a Hide és az Unhide menüpontokat, Format almenübõl a Sheet menüpontot, az Edit almenübõl a Delete , Delete Sheet és Move or Copy Sheet. menüpontokat és az Insert almenübõl a Macro menüpontot. Abban a menüben, amely akkor jelenik meg, amikor egyetlen munkalap sincs nyitva, a vírus eltávolítja a File almenübõl a Macro , Record New Macro és az Unhide menüpontokat. Mindezek után a vírus ellenõrzi, hogy a rendszer már fertõzött-e. Ezt úgy dönti el, hogy megkeresi, van-e a megnyitott globális

sablonállományok között DOLLAR.XLM nevû és ha van, abbna létezik-e Dollar nevû modul. Ha a két feltétel valamelyike nem teljesül, akkor a vírus a hordozó munkalapot bemásolja az Excel 97 STARTUP könyvtárába GLOBAL.XLM néven, majd beállítja, hogy a munkalapok aktív ablakba kerülésekor minden alkalommal a vírus Fuck nevû makrója fusson le. Így az Excel következõ indításától kezdve a vírus modulja globális modulként lesz hozzáférhetõ, és megfertõz minden megnyitott dokumentumot. A fertõzés során a vírus a kiszemelt munkalap legelsõ sheetjeként masolja be a saját, víruskódot tartalmazó Dollar nevû sheetjét. A vírus romboló rutinja dokumentumok bezárásakor aktivizálódik. Amennyiben ez az aktus a hónap 13 napján történik, a vírus az AUTOEXEC.BAT végére illeszt pár sort, emelyek a következõ rendszerindításkor törölnek minden COM, VXD, DRV és DLL kiterjesztésû állományt a WINDOWS könyvtárból. Az AUTOEXECBAT

módosítása után a vírus egy üzenetablakot jelenít meg az alábbi szöveggel: "Excellent!!! now 1 dollar = 10000 rupiah " A romboló rutin és a nagyon nyilvánvaló tünetek miatt a vírusnak gyakorlatilag nincs esélye arra, hogy kiterjedt fertõzéseket okozzon. Access 97 makróvírusok Általános bevezetõ: Az Office97 programcsalád tagjai közül az Access97 vált legkésõbb makróvírusok célpontjává. A Word és Excel programozásához képest az Access komplikáltabb. Az elõbbiekben ugyanis az alkalmazás indításához vagy leállításához lehetett kapcsolni egyes makrók végrehajtását (pl. AutoExec, AutoClose) vagy pedig egyes menüpontokat lehetett helyettesíteni a felhasználó által definiált makrók tartalmával. Az Access esetében is lehet beszélni automatikus makróvégrehajtásról, azonban az Access makrói nem azonosak a VBA makróival, hanem sokkal szegényesebb scriptek. Léteznek VBA-modulok is, és mivel ezeket az automatikus

scriptekbõl meg lehet hívni, semmi technikai akadálya nincs a vírusok írásának. Mind a scriptek, mind a modulok csatolhatók az adatbázisokat tartalmazó .MBD fájlokhoz, azokkal együtt képesek terjedni Vírusok AccessIV.A Összefoglalás: Egyéb nevei ---- Keletkezés ideje 1998.március Célpontok Access .MDB fájlok Tünetek ---- Fertõzés elindítója Fertõzött adatbázis megnyitása Terjedés elindítója ---- Romboló rutin nincs Elterjedettsége nem fordul elõ szabadon Vírus összetétele: Access scriptek: Autoexec VBA modulok: Virus Részletes leírás: Az AccessIV.A néven ismert példány az elsõ ismert Access vírus 1998 márciusában írták Két komponensbõl áll, egy Autoexec nevû scriptbõl és egy Virus nevû modulból. A fertõzött adatbázis megnyitásakor ez automatikusan lefut, de csak annyit csinál, hogy meghívja a vírus lényegi részét tartalmazó Virus nevû VBAmodult. Az ebben levõ program végigkeresi az

aktuális könyvtárat, és az abban található összes *.MDB fájlt megfertõz, hozzájuk adva mindkét komponensét. Amennyiben a fertõzendõ adatbázis már tartalmaz Autoexec scriptet, azt a vírus helyrehozhatatlanul felülírja. A vírus ismert variánsai: AccessIV.B , AccessIVC AccessIV.B Összefoglalás: Egyéb nevei ---- Keletkezés ideje 1998.március Célpontok Access .MDB fájlok Tünetek Üzenetablak megjelenése Fertõzés elindítója Fertõzött adatbázis megnyitása Terjedés elindítója ---- Romboló rutin nincs Elterjedettsége Nem fordul elõ szabadon Vírus összetétele: Access scriptek: Autoexec VBA modulok: Virus Részletes leírás: Az AccessIV.B néven ismert példány az AccessIVA továbbfejlesztett változata Ahhoz hasonlóan két komponensbõl áll, egy Autoexec nevû scriptbõl és egy Virus nevû modulból. A fertõzött adatbázis megnyitásakor az Autoexec script automatikusan lefut, ésmeghívja a vírus lényegi részét

tartalmazó Virus nevû VBA-modult. Az ebben levõ program végigkeresi az aktuális könyvtárat, és az abban található összes *.MDB fájlt megfertõz, hozzájuk adva mindkét komponensét. Amennyiben a fertõzendõ adatbázis már tartalmaz Autoexec scriptet, azt a vírus helyrehozhatatlanul felülírja. Amennyiben a fertõzési aktus március hónapban történik, akkor a vírus egy üzenetablakban megjeleníti az alábbi szöveget: AccessiV - Strain B I am the AccessiV virus, Strain B Written by Jerk1N, of the DIFFUSION Virus Team AccesiV was/is the first ever Access Virus!!! Ami lefordítva az alábbit jelenti: AccessiV - B változat Én az AccessiV vírus vagyok, B változat Írta Jerk1N, a DIFFUSION vírusíró csoportból AccesiV a legelsõ Access Vírus!!! Ezután a vírus létrehozza és lefuttatja a Jerkin.443 nevû hagyományos DOS vírust Az Autoexec scriptet és a Virus modult rejtett attribútummal látja el, emiatt az Access alapértelmezésben nem jeleníti

meg ezeket. A vírus ismert variánsai: AccessIV.A , AccessIVC Többplatformú makróvírusok Általános bevezetõ: A Microsoft az OLE Automatizmus következetes alkalmazásával és az egységes Office97 objektum modell kialakításával a vírusok egy teljesen új csoportjának a lehetõségét hozta létre. Az OLE Automatizmus révén a megfelelõ specifikációnak megfelelõ alkalmazások (ezekre a legjobb példát éppen az Office97 alkalmazások szolgáltatják) minden gond nélkül használni tudják egymás szolgáltatásait. Semmi akadálya nincs, hogy egy futó Excel makró létrehozzon egy Word dokumentumot. Ehhez csupán meg kell hívnia a Word objektum modelljének megfelelõ eljárásokat például a következõ formában: wrdApp=New Word.Application wrdApp.DocumentsAdd Ettõl a pillanattól kezdve az Excel makró teljes kontrollal bír a Word és a létrehozott dokumentum felett (már amennyiben persze a Word telepítve van az adott számítógépen), tehát akár

makrókkal meg is fertõzheti azt. Mivel az Office97 alkalmazásai egységesen a VBA (Visual Basic for Applications) makrónyelvet használják, elvileg semmi akadálya nincs annak, hogy ugyanaz a modul több alkalmazásban is életképes vírusként funkcionáljon. Persze az egyes alkalmazások objektummodelljei nem teljesen ugyanazok, de kis odafigyeléssel több alkalmazásban is életképes, azok közötti átjárásra és dokumentumaik fertõzésére egyaránt képes vírusokat lehet alkotni. A többplatformú vírusok persze nem csak az Office97 alkalmazásokra koncentrálódnak, hanem minden olyan makrórendszerre, amely támogatja az OLE automatizmust, így a legújabb célpont a VBScript nyelv lett. Részletes vírusleírások ConceptII Összefoglalás: Egyéb nevei ---- Effektív hossz --- Keletkezés ideje 1998. november Keletkezés helye -Word dokumentumok VBS scriptek Célpontok Tünetek --- Fertõzés elindítója Fertõzött HTML lap megnyitása

Fertõzött dokumentumok bezárása Terjedés elindítója Dokumentumok bezárása Romboló rutin --- Elterjedettsége Csak vírusgyûjteményekben fordul elõ Vírus összetétele: Modulok: ThisDocument Titkosított: --- Részletes leírás: A ConceptII igazi átjárást biztosít a VBS scriptek és a DOC makróvírusok között. Aktivizálódására a vírust tartalmazó HTML lap megnyitása után kerül sor. Ekkor megfertõzi az aktuális könyvtárban található valamennyi .VBS állományt, majd a Word-öt veszi célba Miután ellenõrizte annak fertõzetlenségét (erre a célra a víruskód elején található 1nternal stringet használja), a NORMAL.DOT ThisDocument moduljába másolja magát. A vírus két részbõl áll, a VBScript komponensbõl és a Document Close makrót tartalmazó VBA komponensbõl. Ezek közvetlenül egymás után találhatók a forráskódban (ne felejtsük el, hogy ezek a vírusok forráskód formájában terjednek), ezért mindkét

komponens belekerül a modulba. A VBSript és a VBA közötti minimális különbségek miatt meg kell oldani, hogy egyszerre mindig csak a megfelelõ rész futhasson le. Ennek érdekében a bemásolás után a VBScript fázishoz tartozó sorok elé REM-eket illesztve kizárja azokat a végrehajtásból. A Word fázisban a ConceptII jóravaló makróvírusként teszi a dolgát. Bezáráskor megfertõz minden dokumentumot (ennek során is a kód legelején található 1nternal szavacskát tekinti a már fertõzöttsége jelének). Ha ez valamely hónap 15-én történik, akkor a vírus átlépt VBScript fázisba: végigkeresi a C: meghajtó valamennyi .VBS állományát, és azoknak tartalmát felülírja a vírus kódjával A vírus felkészült az Office97 Service Release 1 fokozott makróvédelmére, ezért a terjedés során magát nem modulként másolja (amire egyébként a ThisDocument speciális modul használata miatt nem is lehetne lehetõség), hanem a célpontként kiszemelt

modul legelejére másolja a vírus forráskódjának szövegét. Corel makróvírusok Általános bevezető: A Corel irodai alkalmazáscsomagja is tartalmaz olyan makrónyelvet, amely alkalmas vírusok írására. Ez a makrónyelv, a Corel Script szegényesebb, mint a Word makrovírusok nyelve a WordBASIC, vagy a Word 97 makrovírusok VBA nyelve, de elégséges az önszaporító programok előállításához. A Corel Script nyelv egy egyszerű BASIC nyelv, néhány beépített függvénnyel kiegészítve. Megalkotásakor nem a Corel alklamazásokat vezérlő makrónyelv lehetett a cél, hanem egy egyszerű BASIC interpreter létrehozása. A nyelv ugyanakkor tartalmazza ugyanazokat a párbeszédablak elemeket, amelyek a WordBASIC-ben is szerepelnek. A Corel Script vírusai Word-beli társaikkal ellentétben nem jelentenek komoly veszélyt. Ennek több oka is van: 1. A Corel scriptjei nem a dokumentumokban tárolódnak, hanem külön, CSC kiterjesztésű állományokban Ezért

bár egy lokális gépen lehetséges nagyobb fertőzés kialakulása, ez nem terjedhet át más számítógépekre, így igazi kiterjedt fertőzésekre nem lehet számítani. 2. A Corel script nem támogatja az automatikus makrókat vagy a menüparancsok átdefiniálását Így ezen vírusok csak akkor aktivizákódhatnak, ha a felhasználó lefuttat egy fertőzött scriptet. Ekkor a futó script meg tud fertőzni más scripteket, de a futás végeztével a vírus inaktívvá válik. Következő aktivizálódására csak a következő script-futtatáskor kerülhet sor. Részletes vírusleírások Corel.GaladrielA Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége CSC.A --1999. május ---Corel scriptek Üzenetek megjelenése Fertőzött script futtatása Fertőzött script futtatása --Csak vírusgyűjteményekben fordul elő Vírus összetétele:

Makrók: Titkosított: ----- Részletes leírás: A Galadriel.A az első ismert vírus, amely a Corel alkalmazáscsomag Corel Script programnyelvében íródott, és amely Colre scripteket fertőző vírus. A vírus aktivizálódására fertőzött scriptek futtatásakor kerül sor. Ekkor a vírus ellenőrzi a dátumot, és ha az éppen június 6-a, akkor egy üzenetablakban megjeleníti az alábbi szöveget (amely a Gyűrűk Ura c. fantasztikus regényből vett idézet): " Ai! laurië to lantar lassi súrinen. Yéni únótime sees rámar aldaron, yéni sees linte yuldar to vánier my oromardi lisse-miruvóreva Andúne Vardo pellet to tellumar nu luini yassen to tintilar i eleni ómaryo airetári-lirinen. " Ezután a vírus végignézi az aktuális könyvtárban levő összes CSC kiterjesztésű scriptet. Ha valamelyik legelső sorának legelején megtalálja a �REM VIRUS� szöveget, akkor azt fertőzöttnek veszi, és a további terjedés forrásának használja.

Ezután keres egy fertőzetlen scriptet (vagyis olyat, aminek az elején nem a fenti szöveg található), és azt a fertőzés célpontjának tekinti. A célpont eredeti tartalmát lementi egy ideiglenes, MALLORN.TMP nevű állományba, kitörli a tartalmát, majd a forrásul szolgáló állomány elejéről egészen a víruskód végét jelző REM END kezdetű sorig soroonként átmásolja a célpontba.Végezetül a víruskód végére illeszti a MALLORN.DAT álományból a célpontul kiválasztott script eredeti tartalmát A Galadriel.A a víruskódban levő szövegek és a használt változónevek alapján minden bizonnyal spanyol nyelvterületen íródott. A vírus nem tartalmaz semmiféle romboló rutint. Hoaxok (számítógépes hírlapi kacsák) Mi is az a hoax? Legegyszerűbben: kacsa, átverés, tréfa, rémhír. Bevezetés Az Interneten folyamatosan információ áramlik a számítógépes vírusokról, "Trójai falovakról" és egyéb kártékony programokról.

A valódi vírus leírások, veszélyre figyelmeztető levelek közé számítógépes hoaxok is vegyülnek. Bár ezek nem fertőzik meg a számítógépes rendszereket, mégis időt és pénzt pocsékolnak azáltal, hogy hamis információ terjesztésére (s így pl. a hálózatok felesleges terhelésére) veszik rá a gyanútlan, jóhiszemű felhasználókat. Általában elmondható, hogy a hoaxok leleplezése és a rémhír terjedésének megakadályozása sokkal több időt és energiát emészt fel, mint a valódi vírusok okozta káresetek kezelése. Ha pontosan nem azonosítható, meg nem erősített figyelmeztetést kapnak, ne küldjék tovább barátaiknak, ismerőseiknek, ahogyan azt legtöbbször maga a szöveg is javasolja, hanem először kérjék ki számítógépes szakemberek véleményét. Lehetőleg ne fogadják el a sokad kézből származó információkat Néha informatikai biztonságtechnikával foglalkozó cégek, vagy vírusellenes szoftverek fejlesztői is

kibocsátanak figyelmeztető felhívásokat, ám ezek eredete minden esetben tisztázottnak vehető (pontosan tudható, ki vagy kik indították el), sokszor a kibocsátó saját PGP kulcsával is aláírja ezeket hitelesíthetőség céljából. Hogyan azonosítsuk a hoaxokat? Sokféle mód létezik a hoaxok azonosítására, de előbb tekintsük át mit csinál a sikeres hoax az Iterneten. A sikernek két tényezője van: 1. A számítógépes szakzsargon használata 2. A hitelesség látszata Ha figyelmeztetés bizonyos tecnikai szakzsargont használ, s a legtöbben, még a szakemberek is, hajlamosak valódinak hinni. Például a Good times hoax a következőt tartalmazza: " ha a program nem áll le, a processzor végtelen ciklusba kerül és ez súlyosan károsíthatja azt." Első olvasásra szakszerű tűnik. Egy kis utánanézéssel viszont kideríthető, hogy szó sem lehet róla, hogy egy végtelen ciklusba került processzor (maga a végtelen ciklus szoftver

hiba folytán előállhat) ettől fizikailag károsodjon. „Szavahihetőség” alatt az üzenet küldőjére utalunk. Ha egy nagy műszaki cég nevében küldik az üzenetet, az emberek hajlamosabbak hitelesnek elfogadni, mert egy „ilyen cégnek tudnia kell ezekről a dolgokról”. Még akkor is, ha a figyelmeztetést küldő személy nem a cég egyik kulcsembere, a cég presztizséből adódóan elfogadják. Ráadásul ha a cég egyik vezetője küldi a figyelmeztetést az a beosztása miatt méginkább hihetőnek tűnik. Különös éberségre int az, ha a figyelmeztetésben hangsúlyozzák a továbbküldés fontosságát. Ez a hoax fontos ismérve. Ha a Federal Communication Commission (FCC) jelzés is benne van, ez újabb intő jel A FCC soha sem küld és nem is fog küldeni ilyen üzeneteket vírusokról. Ez nem az ő feladatuk Mindenkinek csak azt ajánlhatjuk, hogy NE küldjön ilyen figyelmeztető körözvényeket anélkül, hogy előbb meg nem bizonyosodott

valósságukról. Erre alkalmas módszer, ha megkérdezi rendszergazdáját vagy erre specializálódott cégek szakembereit. A valódi figyelmeztetések vírusokkal és egyéb hálózati problémákkal kapcsolatban általában a következő szervezetektől érkezhetnek: pl. CIAC, CERT, ASSIST, NASIRC, vagy bármely antivírus fejlesztô cég és többnyire PGP digitális aláírás van rajtuk. A névtelen üzenetek, vagy azok, amelyek nem létező címet, telefonszámot tartalmaznak, nagy valószínüséggel hoaxok. Figyelmeztető üzenet vétele esetén a hozzá csatolt PGP aláírást kell megvizsgálni, hogy valódi, hiteles szervezettől érkezett-e. Ehhez egy PGP szoftwer és a szervezet publikus kulccsa szükséges, melyet mindenkitôl (legyen az személy vagy szervezet) elsô kézbôl igyekezzünk megszerezni. Ha nincs PGP aláírás a levélen, s ha a levél tartalmazza a feladó adatait, kapcsolatba kell vele lépni és megtudni, valóban küldött-e ilyen üzenetet. Ha

nincsenek benne ilyen adat, vagy azok valótlannak tünnek, megkérdőjelezhető a levél hitelessége, ezért ne küldjük tovább. Ehelyett a rendszergazdának vagy ezzel foglalkozó cégnek adjuk át értékelésre. Az antivírus programokkal foglalkozó vállalkozások web oldalain is található információ az ismert vírusokról és hoaxokról. Őket is érdemes lehet keresni Inerneten keresztül vagy telefonon. Az elterjedtebb hoaxok Microsoft E-Mail Tracking System hoax A hoax eredeti angol szövege a következő: Netscape and AOL have recently merged to form the largest internet company in the world. In an effort to remain at pace with this giant, Microsoft has introduced a new email tracking system as a way to keep Internet Explorer as the most popular browser on the market. This email is a beta test of the new software and Microsoft has generously offered to compensate those who participate in the testing process. For each person you send this email to, you will be given

$5. For every person they give it to, you will be given an additional $3 For every person they send it to you will receive $1. Microsoft will tally all the emails produced under your name over a two week period and then email you with more instructions. This beta test is only for Microsoft Windows users because the email tracking device that contacts Microsoft is embedded into the code of Windows 95 and 98. Pár mappal a hoax elterjedése után bukkant fel ez a kiegészítés: I know you guys hate forwards. But I started this a month ago because I was very short on cash A week ago I got an email from Microsoft asking me for my address. I gave it to them and yesterday I got a check in the mail for $800. It really works I wanted you to get a piece of the action You wont regret it Magyar változat még nem ismeretes. Budweiser Frogs Ez a hoax mostanában Magyarországon is számos alkalommal feléledt és mind angol, mind magyar nyelven sokan küldözgették egymásnak. A szöveg

tipikusnak is nevezhetô: nem derül ki a hír pontos származása, súlyos ártalmakkal fenyegetôzik, de nem ad rá részletes magyarázatot, majd felszólít a hír minél szélesebb körü terjesztésére. Angol nyelvü változata a következô szöveget tartalmazza: DANGER! VIRUS ALERT! THIS IS A NEW TWIST. SOME CREEPOID SCAM-ARTIST IS SENDING OUT A VERY DESIRABLE SCREEN-SAVER {{THE BUD FROGS}}. IF YOU DOWN-LOAD IT, YOULL LOSE EVERYTHING!!!! YOUR HARD DRIVE WILL <<>> CRASH!! DONT DOWNLOAD THIS UNDER ANY CIRCUMSTANCES!!! CIRCULATION ON 05/13/97, AS FAR AS I KNOW!! IT JUST WENT INTO PLEASE DISTRIBUTE THIS WARNING TO AS MANY PEOPLE AS POSSIBLE. Ennek a hoaxnak magyarra fordított változata is él: FIGYELEM! Valaki egy nagyon feltünõ screen-savert (Budweiser Békák) küldözget, de ha letöltöd mindent elveszítesz a winchester-rõl! Semmilyen körülmények között se mentd le! A vírus neve: BUDDYLST.ZIP NE NYISSATOK KI! Vigyázz nagyon! Ha megnyitod, szinte

mindent le fog törölni a disc-edrõl. Ez egy új és nagyon ártalmas vírus és csak kevesen vannak, akik tudnak róla. Ezt az információt nemrég hirdette ki a Microsoft Hogy megállíthassuk, légy szíves küld el ezt az üzenetet minden személynek a címjegyzékedbõl! Cancer chain letter Néhány alkalommal nem félelmeinkre, hanem együttérzésünkre alapozzák a hoax tartalmát, mint például ennél, a súlyos rákbeteg kislányról szóló híradásnál. Az eredeti angol szöveg a következô: Dear All, I just received this mail from a friend of mine in my College. Please respond to it. It will just mean employing a little bit of time and wont cost you a penny. All it needs is the heart for you to send this mail. PLEASE pass this mail on to everybody you know It is the request of a little girl who will soon leave this world as she has been a victim of the terrible disease called CANCER. Thank you for your effort, this isnt a chain letter, but a choice for all of us to

save a little girl thats dying of a serious and fatal form of cancer. Please send this to everyone you knowor dont know. This little girl has 6 months left to live, and as her dying wish,she wanted to send a chain letter telling everyone to live their life to fullest, since she never will. Shell never make it to prom, graduate from high school, or get married and have a family of her own. By you sending this to as many people as possible, you can give her and her family a little hope, because with every name that this is> sent to, The American Cancer Society will donate 3 cents per name to her treatment and recovery plan. One guy sent this to 500 people!!!! So,I know that we can send it to at least 5 or 6. Come on you guys.and if youre too selfish to take 10-15 minutes scrolling this and forwarding it to EVERYONE, then you are one sick person. Just think it could be you one day. Its not even your money, just your time!!! PLEASE PASS ON Dr. Dennis Shields Professor Department of

Developmental and Molecular Biology Albert Einstein College of Medicine of Yeshiva University 1300 Morris Park Avenue Bronx, New York 10461 Phone 718-430-3306 Fax 718-430-8567 Free Gap Clothes hoax Ez a hoax a Microsoft E-mail Tracking System hoax változata. A hoax eredeti angol szövege a következő: FREE GAP CLOTHS - FOR REAL!!! Abercrombie & Fitch have recently merged to form the largest hottie outfitter company in the world! In aneffort to remain at pace with this giant, the GAP has introduced a new email tracking system to determine who has the most loya followers. This email is a beta test of the new clothing lineand GAP has generously offered to compensate those who participate in the testing process. For each person you send this e-mail to, you will be given a pair of cargo pants. For every person they give it to, you will be given an additional Hawaiian print T-shirt, for every person they send it to, you will recieve a fishermans hat! GAP will tally all the emails

produced under your name over a two week period and then email you with more instructions. This beta test is only for Microsoft Windows users because the email tracking device that contacts GAP is embedded into the code of Windows 95 and 98. If you wish to speed up the "clothes receiving process" then you can email the GAPs P.R rep for a free list of email addresses to try, at "gollygap@yahoocom (mailto:gollygap@yahoo.com)" (this was forwarded to me, its not me saying this) I know you guys hate forwards, but I started this a month ago because I was naked and couldnt get a date. A week ago, I got an email from the GAP asking me for my address I gave it to them yesterday and I got a box load of mechandise in the mail from the GAP!!!!! It really works! I wanted you to get a piece of the action, you wont regret it! Alison Rowan Assistant Director Annual Funds 5998 Alcala Park San Diego, CA 92110-2492 (619)260-2991 A hoax folytatása a következõ: Hello everyone! My

name is Amber McClurkin. You have probably heard about the email from Gap offering free clothes to anyone who will forward the message on. Well, I am the founder of Abercrombie and Fitch, and I am willing to make a better deal with you. You will receive a twenty-five dollar gift certificate for every five people you forward this to. This is a sales promotion in order to get our name our name out to young people around the world. We believe this project can be a success, but only with your help Thank you for your support !! Sincerely, Amber McClurkin Founder of Abercrombie and Fitch Magyar változat még nem ismeretes. Free Windows 2000 Update CD hoax A hoax eredeti angol szövege a következő: Date: Tuesday, August 03, 1999 8:39 PM Subject: Fw: This is real I called Microsoft and this is for real. They are mailing me a Y2K update CD which is not available on the Web. Paul B. ---------You may or may not need these numbers, but pass it on to people who do! Windows 95 and 98 both

need CDs to ready them for y2k. I called the numbers and its TRUE For no charge they mail you what is needed.the MS lady told me it makes them MORE y2k compliant or something like that.so I sent for one for my neighbor too, they dont mind sending more than 1 in a package Here is the info. she sent me below: Notice to anyone running Windows 98 - it is NOT year 2000 compliant. Call Microsoft at 1-888-219-1302 to order the upgrade on CD-ROM. [Windows 95 see below] When you call, do not use the digital telephone number access. STAY on the line until the recording is done, and youll get an operator to take your order. Tell them you want "Windows 98 Year 2000 Update" on CD-ROM. It IS free and there is no charge whatsoever for the CD or the shipping. If you are using Windows 95 you must call 1-888-673-8925, option # 4 for 2000 update, which is free. Magyar változat még nem ismeretes. Frog and Fish A hoax eredeti angol szövege a következő: If youve had forwarded Frog blender

and Fish bowl to you, PLEASE get rid of them ASAP. Seems there is a terrible virus attached to them set to go on MAY 28th. If you do not delete them, your hard drive will get wiped out. Please delete these two immediately and run your virus protection Please be advised: That I have been informed that the joke regarding the frog being splattered in a blender and the similar fish joke both contain viruses set to execute on the 28th of May and if you still have them on your hard drive to delete them a.sap The programs were called blender.exe and fishexe PLEASE make sure everyone has deleted it and run their virus check program. This virus is the worst one yet - it wipes your harddrive completely Remember to check your temp. files as well to make they are not lurking there, and also to make sure that you empty out your Recycle / Delete bins. Regards Please forward this to anyone you may have sent this e-mail to!!! Magyar változat még nem ismeretes. Good Times A "Good

Times" virus figyelmeztetés is egy hoax. Ilyen néven nem ismeretes egyetlen vírus sem Mégis, már évek óta kering az interneten ez a figyelmeztetés. Tipikus módon használja a szakszerüség látszatát keltô elemeket, valamint a tekintélyes forrásra való hivatkozást. Az üzenet eredeti angol szövege: * VIRUS ALERT VERY IMPORTANT INFORMATION: PLEASE READ ! There is a computer virus that is being sent across the Internet. If you receive an email message with the subject line "Deeyenda", DO NOT read the message, DELETE it immediately. Please read the messages below Some miscreant is sending email under the title "Deeyenda" nationwide, if you get anything like this DONT DOWNLOAD THE FILE! It has a virus that rewrites your hard drive, obliterating anything on it. Please be careful and forward this mail to anyone you care about. FCC WARNING !!!!! ----- DEEYENDA PLAGUES INTERNET ---The internet community has again been plagued by another computer

virus. This message is being spread throughout the internet, including USENET posting, EMAIL, and other interent activities. The reason for all the attention is because of the nature of this virus and the potential security risks it makes. Instead of a destructive trojan virus (most viruses!), this virus, referred to as Deeyenda Maddick, performs a comprehensive search on your computer, looking for valuable information, such as email and login passwords, credit cards, personal info, etc. The Deeyenda virus also has the capability to stay memory resident while running a host of applications and operation systems, such as Windows 3.11 and Windows 95 What this means to internet users is that when a login and PASSWORD are sent to the server, this virus can COPY this information and SEND IT OUT TO AN UNKNOWN ADDRESS (varies). The reason for this warning is because the Deeyenda virus is virtually undetectable. Once attacked, your computer will be unsecure Although it can attack any O/S, this

virus is most likely to attack those users viewing Java enhanced Web Pages (Netscape 2.0+ and Microsoft Internet Explorer 3.0+ which are running on Windows 95) Researchers at Princeton University have found this virus on a number of World Wide Web pages and fear its spread. Please pass this on, for we must alert the general public at the security risks. Bõvebb információ: http://ciac.llnlgov/ciac/notes/Notes09shtml Hallmark Greeting Card hoax A hoax eredeti angol szövege a következő: The subject was: "Tag" and the the message body is: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! If Life is a waste of time, & time is a waste of life, then lets all get wasted together and have the time of our lives. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! There was a binary attachment which seems to be from hallmark (the card developers). A nice animation is shown of a dog who taps on the screen and says: "Tag your it! forward this to

everyone and keep the chain alive" or something. I scanned the file with 4 AVs but they say it was clean Then my Internet explorer wouldnt start anymore. So apparently this program wrecks your Internet Explorer (and maybee some different programms) Magyar változat még nem ismeretes. How to Give a Cat a Colonic hoax A hoax eredeti angol szövege a következő: IF YOU RECEIVE AN E-MAIL ENTITLED, "HOW TO GIVE A CAT A COLONIC," DO NOT OPEN IT!!!!!!!! It will erase everything on your hard drive. Forward this letter out to as many people as you can This is a new, very malicious virus and not many people know about it This information was announced by IBM Please share it with everyone that might access the Internet. Once again, pass this along to EVERYONE in your address book so that this may be stopped. AOL has said that this is a very dangerous virus and that there is NO remedy for it at this time. Please practice cautionary measures and forward this message to all your

online friends ASAP. Magyar változat még nem ismeretes. "Join the crew","Penpal greetings" A "Join the crew" vagy "Penpal greetings" vírus figyelmeztetés is egy hoax. A benne leírtak sem helyesek, mivel önmagában egy elektronikus levél nem képes károkozásra illetve fertõzésre. A figyelmeztetés sok formában elõfordulhat, az alábbiakban látható néhány változat: Magyar változat: "Ha "Join the crew" vagy "penpal greetings" címu üzenetet kapsz (ráadásul látszólag az IBM-tol), NE OLVASD EL. A "Join the crew" levél elolvasáskor mindent töröl a merevlemezrol. A "penpal greetings" ártatlan meghívásnak tunik, de megnyitásakor a benne lévo Trójai vírus megfertozi a boot szektort és minden adatot töröl. Önreplikáló vírusról van szó: automatikusan továbbküldi magát a címjegyzékben szereplo valamennyi címre. Ha a levelezo kliens támogatja, célszeru

automatikusan törölni azokat a beérkezo üzeneteket, amelyek subject sora a "join the crew" vagy "penpal greetings" szövegeket tartalmazza." Magyar változat: "Ha kapsz egy JOIN THE CREW. vagy PENPAL, esetleg hasonló címzésu levelet, NE NYISSÁTOK MEG ! VÍRUS REJOZIK BENNE! Ez a PENPAL(levelezotárs) egy barátságos levél, hogy érdekel-e egy levelezotárs (vagy valami hasonló,gyenge vagyok angolból)de akkor már túl késo. Ez a trójai vírus már megfertozte a lemezed boot szektorát és megsemmisíti az adataidat, ráadásul elküldi saját másolatait a te címjegyzékedben lévo összes címre. Úgyhogy, ha PENPAL vagy JOIN THE CREW címzésu levelet kapsz azonnal TÖRÖLD KI, mert nagy kárt tehet az egész világon" Angol változat: "WARNING!!!! If you receive an e-mail titled. JOIN THE CREW for PENPALS, DO NOT open it! It will erase EVERYTHING on your hard drive! Send this letter out to as many people as you can. this is

a new virus and not many people know about it!! This information was received this morning by IBM, Please share it with anyone that might access the Internet! PENPAL appears to be a friendly letter asking you if you are interested In a pen pal but by the time you read this letter it is TOO late. The Trojan horse virus will have already infected the boot sector of your hard drive, destroying all the data present. It is a self-replicating virus, and once the message is read it will AUTOMATICALLY forward itself to anyone whos e-mail address is present in your box!!! This virus will destroy your hard drive and holds the potential to DESTROY the hard drive of anyone whose mail is in your box and whose mail is in their box and so on and on! So delete any message titled PENPAL or JOIN THE CREW. This virus can do major DAMAGE to worldwide networks!!! PLEASE PASS THIS ALONG TO ALL YOUR FRIENDS AND PEOPLE IN YOUR MAILBOXES." Macro Virus from Microsoft hoax A hoax eredeti angol szövege a

következő: There is a macro virus going off on Oct 1!!! All computers installed with Windows 95 are installed with this virus. It is a time bomb Virus Microsoft has already apologized for the mass breakdown of computers around the world on that day. However they had yet to come up with a remedy Some versions of Win95 are safe but some are not. Please be careful, and forward to all your on-line friends ASAP Not a lot of people know about it, just let everyone know, so they wont be a victim. Please forward this e-mail Magyar változat még nem ismeretes. Email Bomb Warning A hoax eredeti angol szövege a következő: Subject: Email Bomb Warning We have received several notices of a new email virus called "y2kstat.exe" This is not a hoax If you receive a mail message with the "y2kstat.exe" program, do not run the program DELETE THE MAIL MESSAGE This program destroys systems files that are required to boot the machine. We are currently filtering email messages

for this virus in hopes of preventing any destruction. Magyar változat még nem ismeretes. Night Kiss Greeting CardWarning Ez a hoax 1999. júliusában jelent meg Az említett "Night Kiss" üdvözlõkártya és a Kiss Card webhely nem létezik. A hoax eredeti angol szövege a következő: Night Kiss Animated greeting card Night: dont get it ! If you get an animated greeting card named Night Kiss from a site called Kiss card, dont download the card, dont execute the file under named My kiss and dont accept any cookie form that site. Its a hacker site that uses musical animated greeting cards to infect your computer. Magyar változat még nem ismeretes. PKZ300 A PKZ300 egy tipikus Trójai faló. Elôször 1995 közepén adtak hírt róla A figyelmeztetés maga már szinte legenda számba megy. Nagyon kevés alkalommal találkoztak ezzel a Trójaival, mely kivételesen még létezik is. A kezdetben szétküldött riasztások helyénvalók voltak Hoaxszá akkor lett, amikor e

figyelmeztetô írások sokadik alkalommal indultak útjukra és nagyon sok emberhez újra és újra megérkeztek. Ezek az ismétlõdõ figyelmezetések már értelmetlenek Bõvebb információ: http://www.pkwarecom Red Alert hoax A hoax eredeti angol szövege a következő: Red Alert for anybody using Microsofts Internet Explorer as their web browser. This came in on the virus forum at the University of Hamburg from a fairly reliable source: Mikko H. Hypponen (Mikko.Hypponen@datafellowscom) in Finland (datafellows is an anti-virus company) The first indication that something was amiss was when the computer of an MIS professional friend of Mikkos was completely wiped -- including BIOS and CMOS -- on 11-20-96. It took a great deal of arguing with Microsoft until 11-2296 (logged at 0930 hours) when they finally admitted something was wrong and took "their homepage into their lab." Mikkos first report was at 11:13 on 11-22-96 By 13:17 on 11-22-96 the following message was

received: Okay, its official (last conversation with techs at 1200 hrs, 11-22-96, virus confirmed) Western Digital and Microsoft confirm that a new virus is on the web and they cannot isolate it. The only thing they know for sure is that it completely wipes out a computer. As of this time, they cannot determine how best to get rid of the thing once it is in your system. [irrelevant "in-joke" cut] They are recommending that until they can isolate it (it appears to be coming from several locations) you just stay off the web. This sounds like a trojan rather than a virus, but it is extremely destructive nonetheless. Unless you can filter addresses so your webbrowser will not go to Microsofts home page, stay off Microsofts home page until further notice. (As Mikko post updates, Ill forward them.) Incidentally, Mikko and his friend *were frequent users of Microsofts Web browser. Magyar változat még nem ismeretes. Win a holiday A hoax eredeti szövege: If you receive an

email titled "WIN A HOLIDAY" DO NOT open it. It will erase everything on your hard drive. Forward this letter out to as many people as you can. This is a new, very malicious virus and not many people know about it. This information was announced yesterday morning from Microsoft; please share it with everyone that might access the internet. Once again, pass this along to everyone in your address book so that this may be stopped. Wobbler hoax A hoax eredeti angol szövege a következő: Thought you might be interested in this message. If you receive an email with a file called "California" do not open the file. The file contains the "WOBBLER" virus This information was announced yesterday morning by IBM. The report says that "This is a very dangerous virus, much worse than "Melissa" and there is NO remedy for it at this time. Some very sick individual has succeeded in using the reformat function from Norton Utilities causing it to completely

erase all documents on the hard drive. It has been designed to work with Netscape Navigator and Microsoft Internet Explorer. It destroys Macintosh and IBM compatible computers This is a new, very malicious virus and not many people know about it at this time. Please pass this warning to everyone in your address book and share it with all your online friends ASAP so that the destruction it can cause may be minimized. Magyar változat még nem ismeretes. Work Virus hoax Nagyon jópofa ez a figyelmeztető levél. A munka vírus veszélyeiről fenyeget, melyek közé a társadalmi élet törlődése is beletartozik. A "virus" írtásához küldjünk egy levelet a főnökünknek a következő szöveggel: "Elegem van a hülyeségeidből.lementem a kocsmába:" Ha netán a "munka" vírusfertőzést papír dokumentum formában kapjuk, csak egyszerűen dobjuk a kukába. A hoax eredeti angol szövege a következő: This virus warning is genuine. There is a new virus

going around, called "work." If you receive any sort of "work" at all, whether via email, internet or simply handed to you by a colleague.DO NOT OPEN IT This has been circulating around our building for months and those who have been tempted to open "work" or even look at "work" have found that their social life is deleted and their brain ceases to function properly. If you do encounter "work" via email or are faced with any "work" at all, then to purge the virus, send an email to your boss with the words "Ive had enough of your crap. Im off to the pub" The "work" should automatically be forgotten by your brain. If you receive "work" in paper-document form, simply lift the document and drag the "work" to your garbage can. Put on your hat and coat and skip to the nearest bar with two friends and order three pints of beer (or rum punch). After repeating this action 14 times, you will

find that "work" will no longer be of any relevance to you and that "Scooby Doo" was the greatest cartoon ever. Send this message to everyone in your address book. If you do NOT have anyone in your address book, then Im afraid the "work" virus has already corrupted your life. Magyar változat még nem ismeretes. Y2K Computer Clock Bug Fix hoax A hoax arra buzdít mindenkit, hogy állítsa át a dátum formátumát, mert így elkerőlhető az un. y2k bug Ennek persze semmi értelme sincs, a lent leírt beállítások nem teszik 2000 év kompatibilissá a számítógépünket, ha még nem lenne az. A hoax eredeti angol szövege a következő: Hey all, If you havent heard of this, you need to do it. It is simple and quick Send it to everyone else you know Best regards, Bill Snyder-Computer Guru Y2K Computer Clock Bug Fix I received this and checked my computer and found it to be set up to fail. I recommend you check and fix your computers. If you are running

Windows, this is a fix for a small Y2K problem almost everyone should do. After running this quick little test, much to my surprise, I learned that my computer would have failed on 01-01-2000 due to a computer clock glitch. Fortunately, a quick fix is provided, should your computer fail the test. I submit the following for your consideration: TEST 1. Double click on "My Computer" 2. Double click on "Control Panel" 3. Double click on "Regional Settings" icon 4. Click on the "Date" tab at the top of the page 5. Where it says, "Short Date Sample", look and see if it shows a "two digit" year Of course it does Thats the default setting for Windows 95, Windows 98 and NT. This date RIGHT HERE is the date that feeds application software and WILL NOT rollover in the year 2000. It will roll over to 00 NOW TO FIX IT : 6. Click the drop-down arrow to the right of "Short Date Style" 7. Select the option mm/dd/yyyy (Be sure your

selection has four Ys, not two) 8. Click "OK" Easy enough to fix. However, every single installation of Windows worldwide is defaulted to fail Y2K rollover Makes you wonder. Please feel free to pass this on to your friends and associates Magyar változat még nem ismeretes. Internet worm-ok Általános bevezető: Az Internet széleskörű elterjedése magával hozta az e-mail en terjedő vírusokat is. Ezek a vírusok felismerhetőek arról, hogy mindíg tartalmaznak valamilyen csatolt állományt, ami maga a vírus. Ha nem indítjuk el, nem nyitjuk meg ezeket a mellékleteket, akkor a vírus nem tud semmilyen kárt okozni. A beérkezett levelünk nem kap indítási jogot, csak mikor a csatolt fájlhoz nyúlunk hozzá. A csatolt fájlban lévő vírus makró vagy programvírus lehet. A wormok másik tulajdonsága, hogy önmagukat küldözgetik a fertőzött gép e-mail címével mint feladó. Részletes vírusleírások Back Orifice 2000 Összefoglalás: Egyéb nevei

Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége --1999 július USA Minden -Fertőzött melléklet futtatása nem terjed -Világszerte elterjedt Részletes leírás: A Back Oricife 2000 inkább trójai program mint worm, hiszen lopakodva megbújik egy másik program belsejében. A BO2K program két részre osztható, kliens és szerver oldali programra A kliens oldali programot a hacker használja, míg a szerver oldali programot az irányítandó gépen találjuk meg. A program installálás után rezidenssé válik, és egy portot figyel, ahol a kliens fel tud kapcsolódni rá. kapcsolódás után a hacker bármit megtehet, pl. fájlokat törölhet, másolhat, feltölthet, újraindíthatja a gépet, megtudhatja a jelszavakat, üzenetablakot irathat ki a képernyőre, zinte bármit megtehet, amit a gép előtt ülő felhasználó. Ahhoz, hogy a gép indulásakor aktíválódni

tudjon a BO2K, a windows registry állományt kell átírnia. A következő bejegyzés alá szúrja be magát Windows 9x alatt: HKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices Illetve Windows NT alatt: HKEY LOCAL MACHINESoftwareMicrosoftWindowsCurrentVersionRun Ezen kulcsok értékeinek törlésével nem csak a BO2K-t hatástalanítjuk, hanem a tálcán, az óra mellett lévő programokat is, mint pl. a hangerőszabályzó Bár a telepítéskor bármilyen nevet kaphat a BO2K szerver fájl, az alapbeállítás szerint UMGR32.EXE névre hallgat ha ilyen nevű fájlt találunk a WindowsSystem, illetve a WindowsSystem32 könyvtárban, akkor mozgassuk át valahova máshová, és a BO2K máris inaktív, de csak a következő rendszerindítás után! Win32.Ska Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége Happy99 10000 bájt 1999

-Levél és news üzenetek --Fertőzött melléklet futtatása Levél vagy news üzenet külése --Világszerte elterjedt Részletes leírás: A Happy99 féregnek tekintendő, bár attól eltérően nem úgy terjed, hogy közvetlenül megsokszorozza és szétküldi magát, hanem vírusokhoz hasonlóan parazita módon belefészkeli magát a normális levélküldési folyamatba, és annak aktivizálódásakor (vagyis egy e-mail vagy news-üzenet elküldésekor) önmagát is továbbküldi. Ennek során egy új levelet hoz létre az eredetivel azonosfejléccel, ami csak egy attachment-et tartalmaz, a férget EXE formában. Emiatt, mivel önmagát sokszorozza, és nem az elküldendő levélhez adja magát, hanem egy újat hoz létre, nem tekinthető vírusnak. Mindig egy normális küldeményhez csapódva, általában biztonságos forrásból jön, ezért nagyobb a veszélye a jóhiszemű futtatásának. A fertőzött melléklet végrehajtásakor a féreg szórakoztató tűzijátékot

mutat be. Közben a háttérben azonban telepíti magát a rendszerbe, majd elfogja az Internetre kuldott emaileket, es mellékletként hozzájuk fűzi magát Ennek eredményeképpen a féreg képes továbbterjedni mindazokra a rendszerekre, amelyekre a fertőzött rendszerről levél érkezik. A HAPPY99EXE program a féreg droppere, ez hozza létre önmagából kibontva a SKA.EXE-t és a SKADLL állományokat Először a WSOCK32.DLL-t módosítja (az eredeti példányt a biztonság okáért elmenti WSOCK32SKA néven) úgy, hogy a végére biggyeszt egy rövid kódot, és a DLL azon importált eljárásait, amelyek a levél vagy newscikk elküldéséért felelősek, erre a kódra irányítja. Levél küldésekor ez a kód lefut, és az eredeti küldemény elküldése mellett ugyanolyan fejléccel, de a férget tartalmazó melléklettel elküld egy újabb levelet. A féreg pontosan egy, 10000 byte-os HAPPY99.EXE nevű Win32 Portable Executable (PE) belső struktúrájú végrehajtható

állományként érkezik. Windows 95/98 rendszereken probléma nélkül telepíti magát és megkezdi a szaporodást. Windows NT alatt programhibák miatt nem képes a szaporodásra A féreg különböző szövegeket tartalmaz, némelyiket kódolva: Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999. Happy New Year 1999 !! Pretty Park Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége CHV 37 kbyte 1999 -Levél és news üzenetek -Fertőzött melléklet futtatása Levél vagy news üzenet külése backdoor Világszerte elterjedt Részletes leírás: A PrettyPark nevű vírus internet worm, jelszólopó trojai és backdoor program egyszerre. A fertőzés 1999 junius elején terjedt el Európában. A PrettyPark e-mailen keresztül terjeszti magát, akár csak a Melissa, és csatolt fájlként van mellette a Pretty Park.exe fájl, ami maga

a vírus Ha ezt a mellékletként kapott fájlt elindítjuk, akkor a címlistában levő címekre elküldi saját magát, és elküldi valakinek (valószínű a vírus írójának) a megfertőzött rendszer beállításait és jelszavait. Így könnyen be lehet jutni a fertőzött gépbe kívülről A vírus első indulásakor megnézi, hogy aktív-e már a gépen. Ha még nem, akkor elkezdi a telepítő rutinját futtatni. A lebukás elkerülése miatt rejtett feladatként működik, így nem látható a feladatkezelőben A vírus létrehozza a FILES32.VXD fájlt a WindowsSystem könyvtárban, és módosítja a rendszerleíró adatbázist, hogy minden .EXE fájl futtatása esetén a FILES32VXD is induljon el Ha törlődik a FILES32.VXD, és a regisztrációs kulcs még nincs kijavítva, egyetlen EXE fájl sem fog elindulni A kulcs a következő: HKEY CLASSES ROOTexefileshellopencommand Ha a worm valamilyen hibát észlel a telepítés közben elindítja az SSPIPES.SCR

képernyővédőt, vagy ha ezt nem találja akkor a Cansalisation3D.SCR -el próbálkozik Amikor a vírus internet kapcsolatot érzékel aktíválja két rutinját. Az elsőt 30 másodpercenként, amely üzenetet küld egy IRC szerverre. Így jelenti a worm, hogy aktív egy gépen. Ha ez a vírus írójának a tudomására jut, akkor a program segítségével bármit meg tud tenni a fertőzött gépen: törölni, futtatni, létrehozni fájlokat, jelszavakat, telefonszámokat megnézni. A következő IRC szervereken próbálkozik a worm: irc.twinynet irc.stealthnet irc.groliernet irc.club-internetfr ircnet.ircaolcom irc.emnfr irc.anetcom irc.insatcom irc.ncalverionet irc.cifnetcom irc.skybelnet irc.eurecomfr irc.easynetcouk A második rutin, amely 30 percenként aktíválódik, megnyitja a címlistát, kiolvassa az e-mail címeket, és üzenetet küld ezekre a címekre. A tárgy mezőbe a következő sor kerül: C:CoolProgsPretty Park.exe A levél törzsbe nem kerül semmi, viszont

mellékletként szerepel a Pretty Park.exe program Zipped Files Összefoglalás: Egyéb nevei Effektív hossz Keletkezés ideje Keletkezés helye Célpontok Tünetek Fertőzés elindítója Terjedés elindítója Romboló rutin Elterjedettsége ExploreZIP -1999 -Levél és news üzenetek -Fertőzött melléklet futtatása Levél vagy news üzenet külése fájlok csonkolása -- Részletes leírás: A Zipped Files szintén egy Melissa alapú internet worm. Felismerhetőségét rontja, hogy az Inbox-ban lévő levelekre küld választ, tehát olyan, mintha egy elküldött levelünkre kapnánk visszajelzést. Az e-mail felépítése a következő: Hi [címzett neve]! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. sincerely [küldő neve] Mellékletként a zipped files.exe fájlt kapjuk Ha megnyitjuk a fájlt, úgy tesz, mintha egy WinZip lenne, de hibaüzenettel megáll. Ezalatt a vírus bemásolja magát a

WINDOWSSYSTEMEXPLORE.EXE fájlba, majd módosítja a WININI fájlt, hogy minden rendszerindításkor fusson le a vírus. Amint az EXPLOREEXE elindult, 0 hosszúságra csonkolja a következő kiterjesztésű fájlokat: DOC, XLS, PPT, ASM, C, HA A vírus felismerhető a windows feladatkezelőjében (zipped files.exe), nem álcázza magát A vírus kézzel is eltávolítható az EXPLORE.EXE törlésével, és a WININI fájlból a run= sor kitörlésével A gép újraindítását követően törölhető az EXPLORE.EXE fájl is Windows NT alatt nem a WIN.INI -be ír a vírus, hanem a rendszerleíró adatbázisban hoz létre egy kulcsot, ami minden gépinduláskor elindítja a vírust. A kulcs, amelyet meg kell keresni, a következő: HKEY CURRENT USERSoftwareMicrosoftWindowsNTCurrentVersionWindows Ezalól a következő bejegyzést kell törölni: "run=C:\WINNT\System32\Explore.exe" A gép újraindítása után az EXPLORE.EXE is törölhető A vírusleírásokban használt

mezõk magyarázata Egyéb nevei Az egyes vírusokat a különbözõ víruskeresõk különbözõképpen nevezik. Bár jórészt a nagy cégek törekszenek a nevek egységesítésére, az újonnan felbukkanó vírusokat a felhasználók érdekében azonnal hozzá kell adni az adatbázishoz, az esetleges névegyeztetésre csak jóval késõbb, és csak a vírusok kis része esetében kerül sor. Emiatt egy és ugyanazon vírus különbözõ nevek alatt bukkanhat fel. Effektív hossz A különbözõ vírustípusoknál mást jelent ennek a mezõnek a tartalma. A Word 6.0/70 makróvírusok esetében ez a mezõ a vírusmakrók bináris reprezentációjának teljes hosszát jelenti. Ez nem az jelenti, hogy a megfertõzött dokumentum ennyivel lesz hosszabb, mivel egyrészt ezen kívül egy, a makrók általános adatait is tartalmazó táblázattal is megnõ a dokumentum mérete, másrészt a Word sajátos OLE2 fájltárolási módszerének köszönhetõen a növekmény függ a dokumentum

eredeti hosszától is. Mindenesetre az így megadott effektív hossz jellemzõ a vírusokra, minden fertõzött dokumentumban ugyanakkora lesz. A Word 97/Excel 97 makróvírusok esetében ez a mezõ a vírusmakrókat tartalmazó struktúrákon (streameken) belül a makrók bináris reprezentációjának teljes hosszát jelenti. Ez nem az jelenti, hogy a megfertõzött dokumentum ennyivel lesz hosszabb, mivel magukat a víruskód által használt változónevek egy teljesen más objektumban tárolódnak. Mindenesetre az így megadott effektív hossz jellemzõ a vírusokra, minden fertõzött dokumentumban ugyanakkora lesz. Célpontok A vírusok által célba vett állományok specifikációját tartalmazza ez a mezõ. A makróvírusok esetében is meg kell különböztetni a .DOC illetve a DOC állományokat fertõzõ vírusokat Az elõbbiek ugyanis a DOC kiterjesztésû állományokat veszik célba, az utóbbiak viszont a Word dokumentumnak megfelelõ belsõ szerkezetû

állományokat. Keletkezés helye és ideje A vírusok egy részének esetében pontosan lehet tudni, hol és mikor keletkeztek - erre utalhatnak a víruskódban elhelyezett üzenetek illetve az, hogy a vírusírók nagy része el szokta küldeni legfrissebb teremtményeit a vírusszakértõknek. A többi esetben csak a vírus elsõ felbukkanási helye vagy a kódban talált apró utalások alapján lehet meghatározni a hozzávetõleges keletkezési helyet és idõt. Tünetek A vírusok jelenlétére a számítógépen különféle jelekbõl lehet következtetni. Ezek egyrészt szándékoltan a vírustól (üzenetek vagy a felhasználói környezet megváltoztatása révén), másrészt a vírus mellékhatásai és bizonyos programokkal való kölcsönhatásaiból származhatnak. Fertõzés elindítója Egy vírus életciklusának legelsõ fázisa (az aktivizálódás) az, hogy a gazdagépre kerülve valamilyen módon végrehajtódjon. Ez a programvírusok esetében általában a

program futtatása révén jön létre, a boot vírusok esetében a floppy-meghajtóban felejtett lemezrõl való rendszerindítás által, makróvírusok esetében pedig leggyakrabban pusztán a fertõzött dokumentum megnyitásával fertõzõdik a globális sablon. Ez a kezdeti lépés mindenképpen szúkséges ahhoz, hogy a vírus megvesse a lábát a számítógépen, és ott átvegye az események irányítását. Terjedés elindítója Miután a vírus átvette az irányítást a gazdagépen, a következõ fázis a továbbterjedés, amikor is új célpontokat kell keresni. Ez történhet úgy, hogy a vírus az aktivizálódás során rögtön megfertõzi a következõ célponot, de történhet úgy is, hogy az aktivizálódás után a vírus vár a következõ célpont felbukkanására. A programvírusok esetében tipikusan a fájlmûveletek felett veszi át a vírus az irányítást, és például programok másolásakor vagy futtatásakor végzi el a fertõzést.

Makróvírusok esetében a leggyakoribb esetekben a dokumentumok megnyitásakor, bezárásakor vagy mentésekor történik a fertõzés. Romboló rutin A vírusok többsége ártalmatlan, kisebb részük azonban szándékoltan hordoz magában olyan kódrészleteket, amelyek alkalmasak a gazdagépen való károkozásra, amely lehet akár a fájlok tõrlése, a merevlemez formázása vagy a CMOS memória törlése. Elterjedtsége Nem minden vírus fordul elõ szerte a nagyvilágban és okoz komoly fertõzéseket. Sõt, ennek éppen az ellenkezõje igaz, az összes ismert vírusnak a töredéke bukkan csak fel a valós életben, a többit az írójuk nem engedte szabadon, így csak a vírusgyûjteményekben bukkannak fel