virusi.1dejanr,
Kompjuterska tema 1989. godine su virusi - o njima se dosta
zna ali se od njih i dalje dosta strada. U okviru ove teme
izložite svoja iskustva vezana za PC viruse sa kojima ste
imali posla.
virusi.2dejanr,
U IBMPC direktorijum upisani su programi FSP_16 (Flu Shot
Plus) i VSCAN koji, po našem mišljenju i mišljenju stručnjaka
PC Magazine-a, predstavljaju najbolju shareware bateriju za
borbu protiv virusa. VSCAN će pregledati vaše diskove i
pronaći fajlove zaražene virusima (prepoznaje četrdesetak
vrsta virusa, verovatno više nego što će ikada stići do
Jugoslavije) dok Flu Shot predstavlja rezidentnu vakcinu koja
će presresti svaki (ne garantujemo!) nasrtaj na vaš hard disk
ili CMOS RAM. Posebno vas upozoravamo na duhovitu
dokumentaciju koja prati Flu Shot.
Ukoliko na nekoj od disketa "gajite viruse", svakako je
izložite dejstvu VSCAN-a i izvestite o tome šta je pronađeno a
šta (eventualno) nije - da znamo čega se treba manje a čega
više bojati!
virusi.3godza,
Vscan mi se sviđa, samo ne bi bilo loše kada bi
mogao da pregleda i *.APP fajlove. Probao sam ga na
jednom računaru koji je bio "zaražen" virusom "STAMP",
ili tako nešto ali on ga nije otkrio. Doduše radilo
se o verziji 039 ,koja otkriva "samo" 39 vrsta virusa.
Virus je otkriven pomoću programa serum.exe , koji je
ujedno i "izlečio" dotični fajl. Toliko o VSCANU i
njegovoj pouzdanosti.
Flu Shot sam isto probao ali ne volim mnogo
rezidentne programe. Smešno mi je što štiti i beč
fajlove od ispravke, mada se to u datoteci Flushot.dat
može uvek ispraviti.
Pozdrav Godža
virusi.4vkostic,
Rezidentni programi (kao FLU-SHOT) definitivno nisu zgodni.
Zauzimaju memoriju i sudaraju se sa drugim rezidentnim programima.
SCAN je zaista fantastican! Napraviti virus jeste izaziv. Ali
napraviti virus da drugima unistava diskove, to ne razumem.
Neverovatno, ali softverom je moguce napraviti dosta stete na PC-u.
Moze se spaliti monitor, na primer. Moze se unistiti i motor za
pomeranje glava na disk jedinici. Kako je krenulo, uskoro cemo videti
i takve viruse koji bukvalno sahrane kompjuter.
Predlazem da se u okviru ove konferencije izvestava o zarazenim
programima koji kruze okolo (uz podatke kako prepoznati takve
kopije).
virusi.5dejanr,
-> #4, vkostic Nisu tu samo virusi opasni - prave se hardverske zaštite koje, ako
neko pokuša da hakeriše po programu, uništavaju podatke. Neko će
možda reći "što je tražio to je i dobio" ali nije tako - čim nešto
slično postoji u kodu, postoji i šansa da se zbog neke greške ili ko
zna čega to i izvrši. Zbog toga bi američkoj firmi koja bi prodavala
ovakav softver na sudu odrali kožu ali u manjim zemljama tog pravnog
sistema nema - čuo sam da proizvođači domaćih hardverskih zaštita u
program ugrađuju ovakve stvari (ili bar pričaju da ih ugrađuju... ko
će ga znati) što znači da nas svašta čeka...
Lično nikada ne bih koristio program zaštićen hardverskim ključem
- probao sam neki Multi Lingual Scribe i bilo mi ga je dosta za sat
vremena!
virusi.6vkostic,
-> #5, dejanrDejane, dobro si informisan. Takve zaštite zaista postoje, a neke
od njih sam ja lično pravio.
Ti si Dejane svojevremeno na temu piratovanja rekao nešto ovako:
"Ako nekome dam program za koji znam da mu treba, a da ga sigurno
neće (ili ne može) kupiti, onda je to OK". Ja se slažem sa tim
stavom. Amerikanac može da kupi neki C kompajler, na primer, za
neznatan deo svoje plate. Jugosloven za to mora da radi mesecima.
Prema tome, piratovanje je suviše kompleksna tema da bi se na to
gledalo kao na crno/belo. Ali stoje i to da se u Jugoslaviji NE
MOŽE prodavati program ako on nema neku zaštitu. Ako je program
dobar, on će jednostavno planuti preko drugarskog davanja i
piratovanja, i od prodaje nema ništa. A onaj ko je uložio veliki
napor da taj program napiše ima prava da nešto i zaradi.
Za jednog privatnika sam napravio vrlo zgodnu karticu za zaštitu
programa. Stvar je dimenzije 5x11 cm i jednostavno se utakne u
bilo koji prazan slot. Jeste da treba otvoriti kompjuter, ali
zato posle iz njega ne vire nikakvi dodatci koji se priključuju
na RS232. Sa tom karticom se programi vrlo jednostavno štite.
Neke zaštite sa tom karticom sam zaista radio tako da program
obriše hard disk ako primeti da je neko pokušavao da skine
zaštitu. Moj stav je krajnje jednostavan: Ako ti prodam program,
instaliraj karticu i koristi program. A ako si ti toliko drzak da
pokušaš da razvališ zaštitu (verovatno da bi program piratovao),
onda si stvarno SAM TRAŽIO đavola.
Sećaš se da sam ti svojevremeno dao program XRD. Taj program sam
napisao za svoju ličnu upotrebu. Tebi sam ga dao jer je to bila
tvoja ideja. Davao sam ga i drugim ljudima jer nisam sebičan i
drago mi je da što više ljudi koristi taj program. Međutim skoro
sam naleteo na jednu kopiju tog programa koji se više nije zvao
XRD nego nekako drukčije, i na kojem je neki majmun stavio svoje
ime. XRD nažalost nije bio zaštićen, ali neke moje nove rutine
jesu. Ako neko stavi svoje ime umesto mojeg, onda program obriše
hard disk. Dali je to moralno? Za mene jeste. Program neće ništa
uraditi onome ko ga normalno koristi. A majmunu koji pokuša da
ukrade moju intelektualnu svojinu sledi ono što sledi.
Ako se Dejane i dalje ne slažeš sa mnom, razmisli o ovome: šta bi
radio kada bi ja nekako ukrao tvoj program RIND, stavio na njega
svoje ime i počeo da ga prodajem po Beogradu? Mogao bi samo da
slegneš ramenima, jer mi u takvoj situaciji ne možeš ništa. Takva
je Jugoslavija. Pa zašto onda da programeri ne štite svoje
programe?
P.S.
Dejane, imam novu verziju programa XRD (bez zaštite!). Ako još
uvek koristiš tu rutinu, javi da ti pošaljem novu verziju.
virusi.7dejanr,
-> #6, vkosticVrlo zanimljiva tema za diskusiju!
>> Ali stoje i to da se u Jugoslaviji NE MOŽE prodavati
>> program ako on nema neku zaštitu.
Mislim da ne stoji! U Jugoslaviji u principu važe isti
mehanizmi kao i u svakoj drugoj (kako tako tržišno
orijentisanoj) državi, prosto su možda neke konstante
drugačije. A ti mehanizmi su sledeći: ako se ja bavim nekim
poslom, ako u tom poslu pokušavam da budem konkurentan i ako
kupim kompjuter a onda i neki program da bi u poslu bio još
konkurentniji, onda sam ja potpuno lud ako program dajem
drugima! Naravno, desiće se da ja i još neko kupimo program i
platimo ga po pola ali ćemo tada obojica biti ludi ako program
dalje delimo. Ukoliko je program jako opšti i jeftin, potreban
koeficijent ludila je manji pa će i širenje biti brže. Ako je
program specijalizovan i skup, vrlo malo će se piratovati! U
Americi je nekada bilo mnogo zaštićenih programa a sada ih
gotovo i nema - čak ni novi Lotus i dBASE nisu zaštićeni!
Naravno, i tamo ima piratstva ali ipak softverske firme vrlo
lepo prolaze - kad i kod nas bude bilo više računara i više
tržišta, pravila će više važiti i to je sve!
Drugo, ako program za nešto stvarno koristim, *mnogo* mi
znači podrška autora koju nemam ako dobijem piratovanu verziju
- neka su na mom računaru YU slova malo drugačije raspoložena
i piratovani tekst procesor lepo mogu da bacim! Zato mislim da
se kod nas (kao i svugde drugde) program može sasvim lepo
prodavati bez zaštite - štiteće ga orijentacija na uže
tržište, visoka cena, dokumentacija i podrška kupcima! Navodim
jedno iskustvo sa prodajom ćiriličnih fontova za laser - čovek
pita "a da li ja to mogu da dam kolegi" i dobije odgovor "vaša
stvar, ali onda to sami instalirajte". Naravno, kupila su
obojica po jedan set!
>> Za jednog privatnika sam napravio vrlo zgodnu karticu za
>> zaštitu programa. Stvar je dimenzije 5x11 cm i jednostavno
>> se utakne u bilo koji prazan slot. Jeste da treba otvoriti
>> kompjuter, ali zato posle iz njega ne vire nikakvi dodatci
>> koji se priključuju na RS232. Sa tom karticom se programi
>> vrlo jednostavno štite.
Zvuči zanimljivo... zgodnije nego dongle koji odbija
računar od zida. Ali ima i mana - konkretno, znam jednu
odličnu 386 ploču koja ima 6 slotova: jedan za memoriju, jedan
za serijsko paralelnu karticu, jedan za modem, jedan za
skaner, jedan za disk kontroler, jedan za grafičku karticu
i... gde ćemo zaštitu? A zaštitu drugog programa drugog
autora? Ali nema udobne zaštite!
>> Neke zaštite sa tom karticom sam zaista radio tako da
>> program obriše hard disk ako primeti da je neko pokušavao
>> da skine zaštitu. Moj stav je krajnje jednostavan: Ako ti
>> prodam program, instaliraj karticu i koristi program. A ako
>> si ti toliko drzak da pokušaš da razvališ zaštitu
>> (verovatno da bi program piratovao), onda si stvarno SAM
>> TRAŽIO đavola.
Ja takav program nikad ne bi stavio u računar pa ne znam
kako da je koristan - ako tu negde ima kod koji briše podatke,
otkud ja znam da se nekom greškom (recimo, neki drugi program
"poludi" i lupi na hard disk neki podatak koji uleti u tvoj
program - ja ni kriv ni dužan) neće desiti havarija! Uostalom,
mislim da su sve te hardverske zaštite relativno lake za
razbijanje uz dobru opremu - PCAD je pao na emulator 80286 i
to za 3 sata! Nevolja sa takvim zaštitama je što se uz malo
opreme može *vrlo lako* uloviti trenutak kada program pristupa
periferiji a posle stvarno nije teško malo disasemblirati
unaokolo i tražiti "opasan" kod. Uz to, čak i bez opreme može
se instalirati Flu Shot ili neki drugi antivirus program i
sasvim sigurno uloviti pokušaj brisanja podataka sa diska!
>> ... šta bi radio kada bi ja nekako ukrao tvoj program RIND,
>> stavio na njega svoje ime i počeo da ga prodajem po
>> Beogradu? Mogao bi samo da slegneš ramenima, jer mi u
>> takvoj situaciji ne možeš ništa.
Ne bi to bio prvi put da se tako nešto desi i stvarno bih
slegao ramenima - mislim da onaj ko to radi govori sasvim
dovoljno o sebi i da će to vrlo brzo svaki potencijalni
"kupac" ukapirati; ja "stradam" ali bar ostajem zapamćen kao
neko ko je napravio dobar program! Ali mislim da ni zaštita tu
mnogo ne pomaže - pre ili posle (verovatno pre) neko će je
razbiti i tek onda počinje deljenje unaokolo - ja ostajem
zapamćen kao neko ko je napravio lošu zaštitu!
>> imam novu verziju programa XRD (bez zaštite!). Ako još uvek
>> koristiš tu rutinu, javi da ti pošaljem novu verziju.
Kako da ne, XRD stalno i vrlo rado koristim mada mi je
jednom napravio havariju - naime, da bih obrisao direktorijum
moram da se "popnem" iznad njega a ja sam jednom hteo da budem
pametan pa otkucao XRD . (šatro, tačka je tekući dir). Nešto
mi je izgledalo da brisanje predugo traje pa sam resetovao
računar i našao... disk u haosu. Srećom, bio je drajv E na
kome i tako nema prevažnih stvari ali mi je otišla tabela
skorova u tetrisu što me je unazadilo za dva meseca! Nova
verzija me itekako interesuje.
Za one koji ne koriste XRD (niti taj ekvivalent "nepoznatog
autora"), XRD TEMP briše direktorijum TEMP i sve datoteke u
njemu; sa XRD TEMP /S možete obrisati i sve poddirektorijume -
zgodno kad treba "ubiti" neki od Microsoftovih jezika ili
Logitech Modulu 2...
virusi.8vkostic,
Kako iz C-a pristupiti printeru? Vrlo Lako:
#include<stdio.h>
#include<stdlib.h>
main()
š
FILE *fp;
if( (fp=fopen("prn","w")) == NULL ) š
printf("ERRORĐn");
exit(1);
ć
fprintf(fp,"TESTĐn");
fclose(fp);
ć
E, da. Ali program ne radi. Bar tako kažu ljudi. A kod mene radi
savršeno. Dobro, kažem ja, probajte onda "prn:", "lpt", "lpt1",
"lpt1:", itd. Ne ide. Probajte drugi kompajler. TC 1.0, TC 1.5,
TC 2.0, MSC 5.0. Ne ide. Probajte drugi DOS - 3.10, 3.20, 3.30,
3.31. Ne ide!
Pa dobro, dali taj C ne valja ništa? Ne, C je savršen. Samo što
je u sistem uleteo virus koji blokira periferne uređaje!
Ako ni vama ne radi gore navedeni program, vreme je za antivirus
vakcinu!
virusi.9vkostic,
-> #7, dejanr
Dejane, mislim da smo trebali da otvorimo novu temu - "MORALNI
ASPEKTI PROGRAMIRANJA I ZAŠTITE PROGRAMA". Naša rasprava ne spada
pod "VIRUSI".
XRD sam unapredio prema tvojoj zadnjoj primedbi: da može da obriše
sve iz direktorijuma, ali da sam direktorijum ne ukloni. Otkucaj
samo XRD i dobićeš uputstva. Takođe, emituje jedno vrlo dugačko
beep ako pokušaš da obrišeš ceo disk C ili D.
XRD V2.1 šaljem u okviru ove poruke. Namenjen je svima koji žele
da ga koriste (i nema nikakvu zaštitu).
Ono sa tačkom ću sada da probam. Ako se radi o bug-u, onda ćemo
uskoro imati XRD V3.0.
Pozdrav, V.K.
virusi.10dejanr,
-> #9, vkostic Tema je otvorena (ZASTITA), poruke prepisane, čak je i XRD tamo...
Ovde ćemo i dalje diskutovati o običnim virusima!
virusi.11zormi,
"Nabavio" sam virus koji kruzi okolo, a ne otkrivaju ga meni
poznati anti-virus programi (VSCAN48, ANTI-VIR, VSTOP, SERUM2...).
Kaci se za .COM i .EXE (samo po jedanput) i produzava ih za
oko 2880 bajtova. Vrlo je zarazan, u radu se ne primecuje, ne
otkriva ga nijedan memory map program.
Izdvojio sam deo koda virusa pomocu koga se moze otkriti:
HEX: C4 08 5D C3 50 53 51 52 56 57 06 9C FA B8 08 00
Istu sekvencu sadrze i neki Vienna virusi koje VSCAN otkriva,
pa pretpostavljam da je ovo neka doradjena verzija "austrijanaca".
virusi.12dejanr,
-> #11, zormi Znaš li možda šta taj virus uradi na kraju balade? Mora da je u
pitanju neki YU virus - prosto ne mogu da verujem da ga VSCAN ne
prepoznaje ako je stranski.
Inače, imam negde ekvivalent VSCAN-a koji IBM prodaje i koji
omogućava korisnicima da sami zadaju sekvence koje karakterišu viruse
što, kako sam autor kaže, ima dobrih i loših strana. Tu bismo mogli
da dodamo i taj virus...
virusi.13dejanr,
-> #11, zormi VIRSCAN.ZIP je u IBMPC direktorijumu. Svi ćemo zamoliti Zorana da
ga isproba na tom virusu i, ako ne ide, ugradi u odgovarajuću
datoteku šifru virusa pa nam je pošalje da se zaštitimo...
virusi.14zormi,
-> #13, dejanrNazalost (na srecu !), ne znam sta je bio krajnji cilj
virusa. U radu se ni po cemu nije primecivao, a nisam
"cackao mecku" i postavljao datum na "Petak 13." i sl.
Datoteku VIRSCAN.DAT sa ubacenom sekvencom (na 53. mestu)
saljem u prilogu.
virscdat.zipvirusi.15vkostic,
Kako skinuti famozni ping pong virus kada se uglavi na boot
sektor hard diska? Neko ce reci da treba formatirati hard disk,
ali postoji jednostavnije resenje.
Treba samo uzeti NDD i reci mu da hard disk napravi boot-abilnim.
Posle toga NDD ce generisati novi boot sektor *bez* virusa.
Jednostavno i brzo. Posle ovog otkrica ping pong virus ne smatram
vise za nezgodnim za skidanje.
Inace, da kucnem o drvo, ni jedan virus se jos nije uglavio na
moj hard disk.
virusi.16gnoc,
řÚZdravo svima !
Mi o virusima, virusi po nama.
Kolega ljekar, dr. M.Erjavec, koji sodjeluje u evropskom projektu
COST B2 - uniformizacija hard i soft ware-a u medicini i ima puno
"Electronic MAIL" veza sa centrima u evropi, dostavio mi je material
o veoma destruktivnom virusu. Nalazi se na disketi sa inace
interesantnom tematikom : "AIDS information disk".
U prilogu saljem datoteku AIDS.ZIP. Sadrzi dio EMAIL konferencije
na tu temu.
Pozdrav,
Gorazd
aids.zipvirusi.17dejanr,
-> #16, gnocTekst je neverovatan, za one koji nisu čitali našli su se
ludaci koji su investirali $150,000 u slanje zaraženih disketa
na nekoliko hiljada adresa, u okviru diskusije se opisuje kako
ovaj "trojan" radi... Super stvar. U direktorijumu IBMPC je
novi SCANV52 koji između ostalog testira i AIDS - probajte!
Za Gorazda pitanje - diskusija koja je išla uz poruku je pre-
kinuta na najinteresantnijem mestu. Može li se pribaviti još
te diskusije ili bar dobiti broj tog BBS-a/mreže na kome se
stvari događaju (neki VAX?) pa da skupimo sami?
virusi.18gnoc,
I sam sam bio veoma zainteresiran za o sto Ę$9XŻć âg■ űsledi. Ali na
zalost to je sve sto imam o AIDS virusu.
Pozdrav,
Gorazd
P.S. Mozda neko u YU vec posjeduje to cudo, pa cemo njega zamoliti za
printer listing.
virusi.19gnoc,
Jos nesto oAIDS-u. U ZIP-u ima puno MAIL adresa, ali se ja na te
stvari, ne razumijem bas nista. Mozda neko drugi ...
Zanimljivo je, da jugosloveni ocito nismo tako zanimljivi kao
Zimbabve. Radim naime na Onkoloskom institutu u LJ. i do nas ta
disketa nije dosla. Bas nam je sa srecom.
Pozdrav,
Gorazd
virusi.20zcvijetic,
-> #3, godzaGorane!
Molio bih te da mi posaljes taj virus STAMP (ukoliko ga jos uvijek
posjedujes), jer bih ga rado analizirao i napravio vakcinu za njega.
Pozdrav,
Zoran
virusi.21zcvijetic,
-> #11, zormiZorane!
Molio bih te da mi posaljes taj virus koji produzava za cca 2880
bajtova
(ukoliko ga jos uvijek posjedujes), jer bih ga rado analizirao i
napravio
vakcinu za njega. Inace, tom virusu je ime 2885 i izgleda da potice
iz
nasih krajeva (pogledaj MM 1/90).
Pozdrav,
Zoran
virusi.22dejanr,
Korisnik SEZAM-a je od nedavno i Zoran Cvijetić, saradnik
"Računara" koji ima dosta iskustva sa virusima i koji je napisao
komercijalni antivirus program. Osim nekog vida predstavljanja
tog programa, bilo bi vrlo zanimljivo da dalje diskutujemo od
virusima i zaštiti.
Predložio bih sledeću početnu temu koja se meni kao korisnika
PC-ja koji do sada (na sreću) nije imao posla sa virusima
nameće. Dakle, na raspolaganju su mnogi antivirus programi
koje ću ja zvati vakcine - dakle nešto što se instalira u
memoriju, bude rezidentno, i kada god neki program proba
nešto opasno, cap, prozor i upozorenje. Ovakve vakcine
mogu da budu manje ili više efikasne ali svaka od njih je
veoma dosadna (barem meni) - u normalnom radu toliko puta
se pojavi upozorenje da čovek iskoči iz kože. Zato ni jedan
program tipa Flu Shota kod mene nije preživeo pola sata.
Sa druge strane imamo programe kao VSCAN koje ću zvati
detektori: oni u sebi sadrže kod karakterističan za neke
viruse i prema tome ih pronalaze u raznim datotekama na
disku; neki mogu i da ga odstrane ali mi to nije toliko
bitno; nek on lepo nađe virus, a ja ću ga lepo obrisati
i čist račun! Za mene ovakav program predstavlja jedino
upotrebljivo rešenje jer kad stavim neku novu disketu,
lupim VSCAN A: i ako kaže da je sve u redu, ne treba mi
nikakav rezidentni smetač. Naravno, loša strana ove kon-
cepcije je što ako se pojavi novi virus, VSCAN ga ne na-
lazi. Ali opet, mislim da virus do Juge stiže mnogo pos-
le VSCAN-a koji ga otkriva - suočeni smo, na sreću, sa
"matorim" virusima dok zahvaljujući BBS-ovima imamo naj-
noviji VSCAN (ja ga skinem preko na 4089884004 čim se
pojavi). Problem je i u domaćim virusima ali mislim da se
i oni mogu nekako zaobići prosto pazeći šta se uzima.
Dakle, ima li nekog među oblika vakcine koji ne bi smetao
pri normalnom radu a otkrivao bi i stare i nove viruse?
Dejan
virusi.23dejanr,
Prilog diskusiji o virusima - razgovor sa Homebase/CVIA BBS-om,
izvorom VSCAN-a. Videćete spisak PC antivirus programa koje oni
nude kao i deo diskusije iz relevantne konferencije.
virusi.zipvirusi.24zcvijetic,
-> #22, dejanrZdravo!
Odmah na pocetku jedna ispravka. Nisam saradnik "Racunara"
vec dobrih pola godine, nego "Mog mikra". Da odmah predjemo na
stvar.
Predstavljanje mog programa cu ostaviti za neku drugu
priliku (u izradi je demo verzija, pa cim bude gotova poslati cu
je). Sada je bitnije da malo porazgovaramo o konceptima zastite.
Zastita od virusa se, po meni, mora odvijati na tri nivoa
(prevencija-detekcija-lijecenje) da bi bila cjelokupna, a time i
efikasna. Svaki dio sam za sebe ima prednosti i nedostataka, dok
sva tri zajedno pokrivaju nedostatke onih drugih, tako da ostaju
samo prednosti.
Bez lijecenja se ne moze, to znamo svi. Medjutim, lijecenje
nije univerzalno rjesenje, a stara mudra poslovica glasi "Bolje
sprijeciti nego lijeciti". U Jugoslaviji virusi kasne, to je
istina, ali tko kaze da neki virus ne moze do nas doci prije
nego do drugih (2885 virus je primjer upravo toga)?! I u nas ima
momaka koji su sposobni i spremni napisati virus! Pri tome
budimo svjesni toga da se virusi ne mogu zaobici samo tako sto
pazimo sta se uzima ili sta se izvrsava na racunaru. Postoje i
prefinjeniji nacini sirenja (o kojima ne bih ovdje, to spada
pomalo u domen poslovne tajne) i to je ono sto me najvise brine
i zbog cega cijelo vrijeme govorim da su anti-virus programi
nezaobilazni. Problem je i sa "bombama". Virus je lako
detektirati, ali bombu ne. Kad nju primjetis onda je vec kasno
za lijecenje. Tu je, takodjer, potrebna rezidentna zastita, jer
je to jedini nacin da se takve akcije sprijece. Jos jedan
argument u korist rezidentnoj zastiti je da je ona korisna, cak
i kad nema virusa, jer stiti korisnika od njegovih gresaka.
DOBRA rezidentna zastita NECE korisnika uznemiravati i smetati
mu. To je jedan od faktora koji odvajaju dobar anti-virus od
losega. Cijela stvar je dakle u tome da je program efikasan, a
ne preosjetljiv. Flu-Shot Plus je otisao na stranu
preosjetljivosti, iako ima dobar koncept (nije to jedini program
koji ima dobru ideju, a losu implementaciju, ali ovdje je to za
shvatiti, jer njegov autor ne zivi od njega). Zbog toga ga mnogi
ne koriste. Medjukorak postoji, ali nije efikasan, i glasi:
najobicniji prosireni ceksum datoteka (provjerava se i duzina
datoteke, datum itd.). Tu tehniku je upotrijebio T. Erjavec u
RETROVIR-u, samo sto on nju naziva tehnika diferencijalne
dijagnoze, dok je cijeli ostali svijet naziva tehnika signatura.
Nije efikasan zbog toga sto, kako nije rezidentan, suvise
opterecuje korisnikovo vrijeme (mora pregledati sve programe
na svim tvrdim diskovima odjednom), pa se upotrijebljava rijetko
(kada korisnik ima vremena i zivaca za tako nesto), a u
medjuvremenu neka nam je Alah na pomoci! Rezidentna
implementacija (opet lose ostvarena) tehnike signatura je
ukljucena u Flu-Shot. Moj RTSC - Run-Time Signature Check (dio
ANVIS-a) pravi takodjer korake u tom smjeru (opis nacina kako on
funkcionira pogledajte u prikazu koji je u MM 1/90), s time sto
vec sad ne ometa korisnika skoro nikad kad nije potrebno, a
nadam se da ce u iducoj verziji (upravo u izradi) biti jos
bolji. U razvoju imam jos par programa, koji ce kad budu gotovi
pokriti sva ona 3 nivoa o kojima sam govorio. Pri tome se vodim
slijedecim: malen utrosak memorije-velika brzina-ljubaznost
prema korisniku bez opterecenja. Ako uspijem u ovome smatram da
cu imati program kakav bi Dejan zelio, uz punu efikasnost.
Mislim da je ovo put koji bi trebali slijediti i ostali autori
anti-virusa.
Pozdrav,
Zoran
P.S. Molim svakoga tko ima neki primjerak virusa da mi ga
posalje radi analize, pogotovo ukoliko ga nemam (zasada imam
648, 1701/1704, 1808, 1813 i Italian).
Unaprijed zahvalan!
virusi.25rkorda,
-> #24, zcvijeticZorane virus 2885 postoji opisan u fajlu virusi.txt koji se nalazi u
programu scanv52.zip na sezamu. Hteo sam da uputim jedno sarkasticno
pismo Mom mikru (koga redovno kupujem i citam uostalom kao i Svet
kompjutera i Racunare. ). Autori claNaka bi morali pazljivije da
prate stranu literaturu a i programe koji se pojavljuju. Proveri
mislim da se ovaj virus nalazi i u nekim ranijim verzijama programa
scan. Imam viruČ└Ůž÷ ´Ýˇöŕâ┴Tăˇ┼ş]s Ping pong na jednoj disketi- to
jeű▀ ű virus boot sektora. Nisam ga obrisao pa cu ti ga rado
ustupiti.
Ako ga zelis trazi me u radno vreme na telefon 626-235 (poz br.011)
pozdrav korda
virusi.26zormi,
-> #21, zcvijetic:: Molio bih te da mi posaljes taj virus koji produzava za cca
:: 2880 bajtova (ukoliko ga jos uvijek posjedujes), jer bih ga
:: rado analizirao i napravio vakcinu za njega...
Sorry, preformatirao sam disketu gde sam ga (za svaki
slucaj) cuvao. Inace, virus sam "dobio" uz igru BLOCKOUT
na Sajmu ucila u Beogradu (mislim da je bio stand EI).
Pozdrav !
virusi.27pcemerikic,
Dali znate za virus koji ima karakteristican kod (nadlazite ga sa
PCTOOLSom) XDD, ili pa virus o kojem se u Mom Mikru od 1.'90 kaze da
je izmisljen u Sloveniji? To je virus koji svira (Yankee) u 17:00 h.
Ko bi hteo da ga dobije neka ostavi poruku za PREDRAG CEMERIKIC, a na
raspolaganju je i ANTIDOTE - program (za ciscenje).
Pozdrav ULTRA!
virusi.28mikij,
Zamolio bih da mi neko kaze (napise) kaki sta rade antivirus
programi VSTOP i VACCINE (Mace).
Miki.
virusi.29dejanr,
-> #28, mikijKoliko ja shvatam stvari, VACCINE je rezidentni program koji čuči
u memoriji i čim neko nešto proba, on tup, upozorenje pa sad ti do-
pusti ili nemoj (recimo, kad radiš sa Nortonom to te izludi).
VSTOP u sebi ima "signaturu" nekoliko virusa - i on je rezidentan,
kad naleti program kgŕh ima virus on te lepo upozori i još ga star-
tuje sa isključenim virusom. Ovo je očito mnogo zgodnije rešenje od
vakcine... bar do dana kada dobiješ program čija signatura nije
ugrađena u VSTOP.
Inače bih umesto oba preporučio VSCAN.
virusi.30dejanr,
******** PAŽNJA, PAŽNJA, VIRUS HARA YU BBS-OVIMA ********
(sorry za ovako senzacionalistički naslov, al ako privuče
pažnju bio je dobar)
Fajl SIMCSS.ZIP ("Odličan simulator CGA kartice, probajte") koji
je na MIPS-u ima virus. Virus je 1701/1704 tip B (tako ga VSCAN
naziva), kači se na COM fajlove i produžuje ih za pomenuti broj
bajtova; osim toga je rezidentan u memoriji. Nemam pojma kakav
mu je konačan cilj ali do daljega svakako treba smatrati da je
vrlo opasan.
Jedini lek koji ja vidim (i koji sam kod sebe primenio, kako iz-
gleda uspešno) je:
1) Butovati sistem sa DOS diskete koja je zaštićena od upisa.
2) Startovati VSCAN C: VSCAN D: VSCAN E: i tako za sve diskove
u sistemu. Ako nemate VSCAN na DOS disketi, poslužiće i VSCAN
sa zaraženog diska pošto je EXE a ne COM.
3) Sve u čemu je virus nađen, obrisati i skinuti sa backup disketa.
Onda još jednom VSCAN i tako dok ne dobijete čist disk. Pošto
se virus verovatno proširio i na COMMAND.COM, moraćete i ovaj
fajl da skinete sa DOS diskete pri čemu treba biti oprezan.
4) Dok radite 1-3, ponavljajte ime Antun Kovačević ("pošiljalac"
zaraženog fajla) uz odgovarajuće epitete i lepe želje.
Inače, zanimljivo je kako se SIMCSS širio na mom računaru. Starto-
vao sam ga preksinoć (ne znam šta mi bi da prvo ne uradim VSCAN),
video da je simulator jad i beda (lete dve slike po ekranu), onda
otkucao RELEASE da ga skinem iz memorije i, pošto to nešto nije
išlo, resetovao računar i obrisao SIMCSS. Na žalost, tom prilikom
se RELEASE.COM zarazio. Posle je sve bilo u redu dok danas nisam
skidao neke rezidentne programe iz memorije (inače vrlo retko
koristim MARK/RELEASE ali ... desilo se) posle čega je MINFO davao
neke vrlo čudne podatke, neke blokove koji nisu oslobođeni i tako
to. Mislio sam da je RELEASE koji koristim mator i da ne ume da
se snađe sa 386 ali posle izvesnog vremena MINFO poče da daje još
čudnije stvari iz čista mira. Tu ja posumljam, VSCAN i...
Ne znam ni sam šta je iz ovoga zaključiti, MIPS iz nekog razloga
raspakuje fajl pa ga opet ZIP-uje i ja sam živeo u ubeđenju da se
tom prilikom izvrši i VSCAN (zašto bi ga inače dearhivirao i
arhivirao?). Međutim, VSCAN bi primetio virus (jedino ako koriste
neku staru verziju VSCAN-a) pa se očito kontrola ne vrši. Stvarno
ne bih hteo da obezvredim vredne upload-e raznih korisnika ali ja
od sada ne uzimam i ne koristim softver sa BBS-ova, pogotovu ne
male i simpatične rutine koje treba "obavezno probati". Koga jednom
ujede zmija....
Pozdrav,
Dejan :-(((
virusi.31dejanr,
-> #30, dejanrPošto je pročitao poruku, Davor Stare mi je ponudio program
CLEANP55.ZIP, pandan VSCAN-a (isti autori) koji uklanja viruse
koje VSCAN prethodno pronađe. Program je u IBMPC direktorijumu
i, kako sam na brzinu probao, zaista uklanja ovaj virus vraća-
jući fajlove na normalu (generalno je mnogo lakše ukloniti virus
iz COM nego iz EXE fajla). Ja se, ipak, srećnije osećam kada
zaražene datoteke obrišem ali ako je nešto čega nema na backupu...
virusi.32mikij,
-> #29, dejanr Dejane hvala. Ja inace koristim VSCAN ali sam hteo da znam
informativno na sta sve mogu da se oslonim (koliko sam siguran) jer
mi nije potrebno da navucem "neku zaraznu bolest". Hvala jos jednom.
Miki.
virusi.33bojt,
-> #30, dejanrVirus 1701/1704 B je harao gradjevinskim fakultetom i *kači se i na
EXE fajlove
virusi.34dejanr,
-> #16, gnocEvo još malo podataka o AIDS virusu; to je, ako se sećate, onaj
trojan koji su neki ludaci poslali na 9000 adresa (što košta
reda veličine $150,000) a koji posle dvadesetak dana jednostavno
pobriše hard disk.
Izgleda da program baš i ne pobriše disk, nego ga šifruje a nji-
hova ideja je da naplate dešifrovanje. Kompanija postoji, u Panami
je ali vlasnik nije Norijega nego neki Nigerijci. Verovatno su se,
međutim, malo "prebacili" u računu jer nisu predvideli da će
USA napasti Panamu i da će se tako naći tačno tamo gde nikako
nisu hteli da se nađu... Ali da vam ne prepričavam, evo izvoda
sa BIX-a, konferencija SECURITY.
aids2.zipvirusi.35dejanr,
Niko, naravno, ne voli da bude zaražen virusom ali mnogi vole
da čitaju o virusima. Nešto literature za njih: tema Critters
sa BIX-ove konferencije SECURITY. Naći ćete svašta - koliko
autor Flu Shot-a zarađuje, koliko plaća pomoćnicu, zašto od
shareware-a nema ništa, zašto će od shareware-a biti nešto,
da li je neko ko distribuira programe "zađaba" lud, da li se
uopšte može zaraditi na antivirus programima, koliko ljudi
veruje da u stvari isti ljudi prvo prave viruse pa onda
antivirus programe i tako dalje...
Meni je najzanimljiviji neki jadnik čija firma stalno ratuje
sa nekim virusom na lokalnoj mreži - malo malo pa sve ode
do đavola. Ljudi su se najzad setili da čim im nešto postane
sumnjivo, brišu WordPerfect sa svih čvorova; posle opet sve
OK!
virusi.zipvirusi.36dejanr,
-> #35, dejanrEvo i ostatak, Critters do današnjeg dana. Novi termin 'safe
hex' i slične stvarčice...
critt2.zipvirusi.37dejanr,
Vesti sa BIX-a o novim virusima - našao se jedan VRLO interesantan
koji je gotovo nemoguće detektovati pošto samog sebe šifruje i ima
samo 8 instrukcija koje vrše dešifrovanje na početku a i tih
osam instrukcija se raspoređuju na 24 razna načina, na primer:
INC SI CLC MOV AX,86FA
MOV AX,F69F MOV DI,0147 MOV DI,0147
NOP INC SI INC SI
MOV CX,0550 CLD CLD
CLC DEC BX DEC BX
Ljudska zloba je zbilja neograničena!
virusi.zipvirusi.38dejanr,
-> #16, gnocSećate li se idiota koji su napravili AIDS virus (ili bolje
Trojan) i poslali ga grdnim bolnicama po svetu potrošivši
$150,000 za celu akciju? E, ukebaše ih - evo vam super
friška vest o tome (još friškija kada uzmete u obzir
razliku između našeg i Američkog vremena):
==========================
tojerry/copy.protect #1761, from gkewney, 616 chars,
Fri Feb 2 16:26:06 1990
--------------------------
TITLE: Gottim!
The character who distributed the Aids Information Disk
around the world has (police say) been traced to
Cleveland, Ohio.
His name is Dr Joseph Popps, a medical computer consultant.
He distributed a disk with information about the disease,
with a "copy protection" scheme which involved trashing your
hard disk after 50 to 100 reboots -- whether or not you
used his software -- and insisting on sending him $178 for
the cure.
He has been arrested on blackmail charges, demanding money
with menaces, and is expected to be extradicted from Ohio to
London within two months to stand trial.
Guy K.
virusi.39majkl,
-> #24, zcvijetic Uz casopis "What micro?" februar 89 firma űStrange Software
prilozila je i program TESTVACC ű koji na ű 4 nacina upisuje
poruke na boot sektor. Nazalost program je pod kopirajtom...
Ako ga posedujes, zanima me kako ű je tvoj antivirus program
prosao na testu.
U mojoj magnetnoj ba űsti drzim na oku par virusa (Viena ver.A,
Jerusalem B), ako se SYSOP-i sloze da oznaceni kao ZARAZENx
´kuz promenu ekstenzija na XEE i MOC mogu da se salju uz poruke
poslacu ih sledeci űput
pozdrav MAJKL
virusi.40dejanr,
-> #39, majklVirusi?? Uh... možda da ih pošalješ na šifru !VIRUS i u svakoj
poruci da naglasiš "... ovi programi su zaraženi..." A opet,
možda je bolje da se ne igramo đavola.
virusi.41zormi,
-> #39, majkl Imam sledece viruse:
Vienna B (DOS 62) - ne znam sta radi
1701/1704 - "padajuca slova"
Yankee Doodle - svira istoimenu melodiju
Da li nekog interesuje razmena ?
P.S. Koliko znam taj "Jerusalim B" je mnogo gadan (brise disk).
Pozdrav !
virusi.42dejanr,
-> #37, dejanr>> Ljudska zloba je zbilja neograničena!
Ali i pamet se nekako drži :-) ...
Dakle, SCANV57.ZIP koji je u IBMPC direktorijumu pronalazi
i ovakve "kameleonske viruse".
virusi.43dejanr,
Nema kraja virusima - u IBMPC direktorijumu je SCANV58.ZIP za
koji, u okviru dokumentacije, piše:
Notes on Version 58:
Version 58 contains checks for a number of new viruses. The
EDV virus submitted by Dave Chess at IBM is a boot sector and
Partition table virus that was identified in mid-January. It is
a troublesome virus that causes program crashes and some data
destruction. Another new virus, the 512, is a sophisticated virus
from Bulgaria. It was discovered by Vesselin Bontchev and
forwarded through Fridrk Skulasson in Iceland. The virus infects
COM files, including COMMAND.COM, and can cause run time problems
including program crashes and hung systems. The third new virus
was sent out over the VALERT-L network accidently on February 13th
to about 600 people. It is a memory resident COM and EXE infector
that increases file size by 1559 bytes. It has not yet been fully
analysed but it has been included in this version of scan due to
the widespread distribution of the virus.
virusi.44dejanr,
Iako znam da nije lepo smejati se nevolji, opis ovog Trojana
me je ljudski nasmejao - ludaci su smisli kako da vas ZAISTA
ubede da vam je računar neispravan i to na 12 raznih načina,
posle svakog reseta sledi novi. Da bi stvar bila još strašnija,
program je napravljen tako da "zaobilazi" Flu Shot+ i, kako
izgleda, svaki drugi rezidentni antivirus program. Teško nama
ako ovo stigne do Juge!
Poruka je, jasno, preuzeta sa BIX-a.
virusi.45dejanr,
-> #44, dejanr==========================
security/long.messages #48, from hshubs, 13259 chars,
Mon Feb 26 00:55:21 1990
--------------------------
The "Twelve Tricks" trojan - alert and description
We have recently received and analysed a trojan that we believe
warrants an urgent alert. We are calling it the Twelve Tricks
trojan, and it is very interesting, very nasty, and quite complex.
This message is not meant to be a complete description of the
trojan - we feel that it is important to get a warning out quickly,
rather than aim for completeness. It is not a virus.
The trojan consists of a program (more about this aspect later)
which you run; running the program, as well as the obvious things
that the program is expected to do, also replaces the partition
record (also called the Master Boot Record, or MBR) on your hard
disk with its own version. This can easily be recognised by
inspecting the hard disk at cylinder zero, head zero, sector one,
which can be done with a disk sector editor such as Peeka.
If the partition has this trojan in place, it will contain the
following text near the beginning:
SOFTLoK+ V3.0 SOFTGUARD SYSTEMS INC
At this point, let us state that we believe that the company
mentioned above has nothing whatsoever to do with the trojan;
perhaps the trojan author has a grudge against them.
The trojan uses a far call to the hard disk Bios code in order
to plant this partition. To do this, it must know the location
in memory of the entry point; it tries five different ones,
one of which is the one documented in the IBM PC-XT Technical
reference manual, and the other four are presumably fairly
common alternatives.
The purpose of planting the trojan with a far call is, we
believe, to escape detection by Active Monitor programs that
protect a computer by monitoring the interrupt table, and
preventing unauthorised writes to system areas on the hard disk.
Since Twelve Tricks doesn't use an interrupt to plant the MBR,
such programs won't be able to prevent it. We tested this using
Flushot+, probably the most successful of the Active Monitors,
and Twelve Tricks went straight through it - the same would be
true, we think, of any other Active Monitor.
**The Replacement MBR**
When the MBR is run, which is every time you boot from the hard
disk, Twelve Tricks copies 205 (d7h) bytes of itself onto
locations 0:300h to 0:3d6h. This overwrites part of the
interrupt vector table, but it is a part that doesn't get used
very much. This means that these d7h bytes are memory resident
without having to use any of the TSR calls of Dos, and without
having to reserve part of high memory. Reserving part of high
memory is the usual ploy used by Boot Sector Viruses, but the
drawback of that route is that you might notice that a few kb
from your 640 kb has disappeared (CHKDSK would reveal this).
The method used by Twelve Tricks would not show up as a loss
from your 640 kb.
When the computer is started up, a random number generator
determines which of the Twelve Tricks will be installed. It
does the installation by replacing one of the interrupt
vectors with a vector that points to the Twelve Tricks own
code, and then chains on to the original code. The twelve
tricks are:
1. Insert a random delay loop in the timer tick, so that 18.2
times per second, the computer executes a loop that is
randomly between 1 and 65536 long (different each time it is
executed). This slows the machine down, and makes it work
rather jerkily.
2. Insert an End-Of-Interrupt in the timer tick. This
interferes with the servicing of hardware interrupts, so for
example, the clock is stopped, TSRs that depend on the timer
tick don't work, and the floppy motor is permanently on.
3. Every time a key is pressed or released, the timer tick
count is incremented by a random number between 0 and 65535.
This has a variety of effects; programs sometimes won't run,
when you type "TIME" you get "Current time is divide
overflow", and copying files sometimes doesn't work.
4. Every time interrupt 0dh is executed, only do the routine
three times out of four. Interrupt 0dh is used on PCs and XTs
for the fixed disk, on ATs for the parallel port.
5. Every time interrupt 0eh is executed, only do the routine
three times out of four. Interrupt 0eh is used for the floppy
disk.
6. Every time interrupt 10h is called (this is the video
routine), insert a delay loop that is randomly between 1 and
65536 long (different each time it is executed). This slows
the video down, and makes it work rather jerkily and/or
slowly.
7. Every time the video routine to scroll up is called,
instead of the requested number of lines being scrolled, the
entire scrolling window is blanked.
8. Every time a request is made to the diskette handler, it
is converted into a write request. This means that the first
time you try to read or write to a diskette, whatever happens
to be in the buffer will be written to the diskette, and will
probably overwrite the boot sector, FAT or directory, as these
must be read before anything else can be done. If you try to
read a write protected diskette, you get "Write protect error
reading drive A". If you do a DIR of a write enabled
diskette, you get "General Failure ...", and if you inspect
the diskette using a sector editor, you'll find that the boot
and FAT have been zeroed or over-written.
9. Every time interrupt 16h is called (read the keyboard) the
keyboard flags (Caps lock, Num lock, shift states etc) are set
randomly before the keystroke is returned. This means that at
the Dos prompt, the keyboard will only work occasionally.
Programs that poll interrupt 16h will be unusable. Holding
down the Del key will trigger a Ctrl-Alt-Del.
10. Everything that goes to the printer is garbled by xoring
it with a byte from the timer tick count.
11. Every letter that is sent to the printer has its case
reversed by xoring it with 20h. Also, non-alpha characters
are xored, so a space becomes a null, and line feeds don't
feed lines.
12. Whenever the Time-Of-Day interrupt (1ah) is executed, do
an End-Of-Interrupt instead. This means that you can't set the
system clock, and the time is set permanently to one value.
These are the twelve tricks. In addition there are two more
things that the trojan does. It uses a random number
generator; one time out of 4096, it does a low level format of
the track that contains the active boot sector; this will also
destroy part of the first copy of the FAT. You can recover
from this by creating a new boot sector, and copying the
second copy of the FAT back over the first copy. After it
does the format, it will display the message "SOFTLoK+ " etc
as above, and hang the computer.
If it doesn't do the format, it makes a random change to a
random word in one of the first 16 sectors of the FAT, which
will make a slight and increasing corruption in the file
system. This is perhaps the worst of the things that it does,
as it will cause an increasing corruption of the files on the
disk.
**The Dropper program**
The program that drops the trojan was, in the specimen that we
analysed, a hacked version of CORETEST, a program to benchmark
hard disk performance. The file is CORETEST.COM, it is
version 2.6, (dated 1986 in the copyright message) had a
length of 32469 bytes, and it was timestamped 6-6-86, 9:44.
When we looked in more detail at this program, we found some
interesting things.
It looks as if the original CORETEST program was an EXE file,
and the trojan author prepended his code to it. This code
consists of some relocation stuff, then a decryptor, to
decrypt the following 246h bytes. The decryption is a double
xor with a changing byte. Those 246h bytes, when run, examine
the memory to try to find one of five sets of hard disk
handler code (presumably corresponding to five Bioses). When
it finds one of them, (we have identified the first one as
being the IBM XT Bios) it plants the trojan MBR in place,
using a far call to the Bios code. The trojan MBR is 200h of
the 246h bytes. The trojan is patched so that it also does
disk accesses using a far call to the same location. Finally,
the prepended trojan passes control to the original program.
We call the combination of the prepended code, plus the
original program, the Dropper.
The main purpose of the encryption, we would guess, is to
evade detection by programs that check code for bombs and
trojans. There are no suspicious strings or interrupt calls in
the code until it is decrypted at run time.
As far as we can tell, it is not a virus, but a trojan.
However, it is unlikely that all the patching to the original
program was done by hand - it is far more likely that the
trojan author wrote a prepender program (we would call this
the Prepender), to automatically attach his code to the target
executable. If this is the case, then there are two
consequences. The first is that he might have trojanised
other programs besides the one that we have examined. In
other words, there might be other Droppers around besides the
one we have examined. The second is that if that is the case,
we cannot rely on the encryption having the same seed each
time, as the Prepender might change the seed each time it
operates. So it would be unsafe to search files for the
encrypted MBR. Instead, we propose a search string based on
the decryptor.
Indeed, a further possibility exists. The Prepender program
might have been placed into circulation, and people running it
would unwittingly be creating additional Droppers. There is
absolutely no evidence to suggest that that is actually the
case, but we would ask anyone who detects this Dropper in one
of their files, to also examine all the others.
**Detection**
Here's a variety of ways to detect the trojan. The hexadecimal
string e4 61 8a e0 0c 80 e6 61 is to be found in the MBR. This
string will also be found in memory if you have booted from a
trojanised MBR, at location 0:38b. You can use Debug to search
in memory.
A useful search string to detect the Dropper is
be 64 02 31 94 42 01 d1 c2 4e 79 f7
**Getting rid of it**
It's easy to get rid of Droppers; just delete them and replace
them with a clean copy. If you find the string above in the
MBR or in memory at 0:38b, you need to boot from a clean Dos
diskette and replace the partition record. DO NOT use Fdisk
to do this unless you are prepared for Fdisk to zero your FAT
and directory; you will lose all your data that way. One way
would be to do a file-by-file backup, low-level format to get
rid of the trojan MBR, then Fdisk Format and restoer your
backup. We would recommend doing two backups using as
different methods as possible if you use this route, in case
one of them fails to restore.
The other way to replace the partition is to run a program
that drops a clean partition record onto the MBR, but doesn't
change the partitioning data. We are currently preparing one
of these - please ask if you need it.
**Damage done**
The whole of the MBR is used for the code. Most normal MBRs
don't use more than half the space, and a number of other
programs have started using this space. For example Disk
Manager, and the Western Digital WDXT-Gen controllers (but the
Dropper doesn't work on the WDXT-Gen). This means that the
Dropper might cause an immediate problem in some
circumstances.
The main damage done, however, will be in the impression that
this trojan creates that your hardware is suffering from a
variety of faults, which usually go away when you reboot (only
to be replaced by other faults). Also, the FAT gets
progressively corrupted.
** Occurrences **
So far, this has only been reported in Surrey, England. It
was noticed because it made a disk using Speedstor to control
it, non-bootable. Disks that are controlled in the normal
way, remain bootable. We would be grateful if any sightings
could be reported to us, especially if the Dropper program is
different from the one we have examined; we would also like a
specimen of it.
virusi.46dejanr,
Po ko zna koji put, novi SCANV999 je u direktorijumu IBMPC.
Teško virusima!
virusi.47vkostic,
-> #46, dejanrOdakle kupis te silne SCAN-ove Dejane?
virusi.48dejanr,
-> #47, vkosticNajčešće sa izvora - Homebase CVIA BBS, 4089884004; tamo ih
prave.
Ponekad i sa MIPS-a (mnogo brže ide) ako ga Tom pre mene
pokupi.
Bilo kako bilo, ažurni smo :-)
virusi.49zormi,
-> #41, zormi
Nabavio sam i virus Jerusalem B (PLO)... Dobio sam ga na
"poklon" od jednog naseg BBS-a u Paul Mace-ovoj vakcini koja
"potpuno stiti od svih poznatih virusa" kako je pisalo u di-
rektorijumu.
Inace, pronasao ga je FLUSHOT (a nalaz potvrdio SCAN).
Nisam znao da FLUSHOT pored zastite vrsi i detekciju...
virusi.50dejanr,
-> #49, zormi>> Nabavio sam i virus Jerusalem B (PLO)... Dobio sam ga na
>> "poklon" od jednog naseg BBS-a u Paul Mace-ovoj vakcini
Kaži nam koji BBS i koji tačno fajl - da se još neko ne
nasadi! Ja inače čim nešto razzipujem (makar stajalo na mojim
rođenim disketama :-) ) kucam SCAN!
Pozdrav,
Dejan
virusi.51zormi,
-> #50, dejanr Posto zarazeni program nije skinut sa liste (ostavio sam poruku
SYSOP-u pre 3 dana) evo: AB OVO BBS (Zagreb), VACCINE.COM.
virusi.52vkostic,
-> #50, dejanr
>> Ja inače čim nešto razzipujem (makar stajalo na mojim
>> rođenim disketama :-) ) kucam SCAN!
Da, to i ja radim. Da kucnem o drvo, jos ni jedan virus nije upao
na moj hard.
Pozdrav, V.K.
virusi.53zormi,
-> #49, zormi
Imam i virus PING PONG version B (BOOT virus). U jednoj
nasoj radnoj organizaciji su ga imali na prakticno svakoj
nezasticenoj disketi. Otkriva ga SCAN.
Dakle, lista virusa koji (provereno) kruze Beogradom
se uvecala na 6 vrsta.
virusi.54dejanr,
-> #53, zormiMožda bi bilo dobro da ipak skupimo te viruse radi nekakvog
proučavanja. Šta mislite, da na šifru !virusi šaljemo poruke praćene
datotekama sa virusima? Ja ću prikupiti par koje imam u staklenoj
bašti pa ću ih danas-sutra poslati.
virusi.55vkostic,
-> #54, dejanr
>> Šta mislite, da na šifru !virusi šaljemo...
Dali se moze znati spisak svih javnih sifri? Ja sam do sada znao
samo za !INFO.
Pozdrav, V.K.
virusi.56dejanr,
-> #55, vkostic>> Dali se moze znati spisak svih javnih sifri?
!ALL, !DUGI, !INFO, evo sad ćemo i !VIRUSI. Naravno, i vicevi
ali to je tajna javna šifra koja se dobija kad potpišeš izjavu.
Pozdrav,
Dejan
virusi.57dejanr,
Ne znam prati li to neko još, ali u IBMPC direktorijumu imamo
novu verziju SCANV-a, mislim da je broj 60. Sad teško virusima :-)
virusi.58dejanr,
Nadam se da nas neće skoro pogoditi, ali evo podataka o
nekim novim virusčićima.
==========================
security/alert #77, from jonr, 2058 chars,
Fri Mar 23 03:25:42 1990
--------------------------
TITLE: Pretoria and Durban virus; some early details.
I am still waiting for more detailed material, but have
received the following, kindly FAXed by Ian Melamed, BSS FAX
(011) 804-3105. I can also do a certain amount of playing
postman, if necessary. We ourselves have not so far seen or
suffered from either of these viruses:
PRETORIA VIRUS hits .COM files only, growing them by 879 bytes
(or enlarging them to 1758 bytes if they were originally
under 879 bytes). When an infected file is run, the current
drive (or, the drive noted in unallocated FCB1 of the PSP if
there was a drive-specific first parameter on the command
line) is scanned for COM files. All uninfected files are
infected, wham. Obviously, on XT-machines, very long boot
times have been reported at infected sites, since the scan
is always a full-depth recursive directory tree scan!
The Trojan is actuated only when the date is June 16th. On this
date, running an infected file causes all entries in the root
directory of the "selected" drive to be renamed "ZAPPED". File
attributes of the affected files are all changed to 0x20 too.
The virus is weedily encrypted (Caesar cipher) and doesn't
"recrypt" itself when infecting files. In fact, the
signature is in the encrypted part - I call it "sigma
frethole", as that's what it is (chars 229,159).
DURBAN VIRUS infects both .COM and .EXE files, growing them
up to a paragraph boundary and then another 669 bytes. It
works by indirect action, having some "Jerusalem
reminiscent" aspects to its "I am already resident"
function. The Trojan date is Saturday the Fourteenth (isn't
that mind-splittingly funny), on which days the first 100
logical sectors of drive C, then B, then A are overwritten
with rubbish. No messages, warnings or cookie requests.
Paul Ducklin, CACDS, CSIR Pretoria.
OK, courtesy of Mssrs Melamed & Ducklin, you now know what I
know. Enjoy! Obviously many of the standard techniques will
be effective against these two, but many of the static
scanners will not, not till they have been updated. Jon.
virusi.59zurh,
Povodom svih ovih novih i starih virusa, evo odgovora :
CLEANP60.ZIP 45375 Heals/Removes ALL Viruses-from McAfee(03-18-90)
SCANV60.ZIP 44482 Viruscan System Scanner Ver 60 (03-18-90)
SCANRS60.ZIP 29651 SCANRES Infection Prevention Prog. (03-18-90)
CKOT11.ZIP 49040 Checks archived files for viruses (12-23-89)
sve ovo mozete naci u datoteci s&c.zip
Pozdrav Svima !
virusi.60dejanr,
-> #59, zurhProgrami su prebačeni u IBMPC direktorijum. Hvala na prilogu.
Pozdrav,
Dejan
virusi.61vkrstonosic,
Danas sam sa McAfee BBS-a prebacio nove verzije SCANV60 i CLEANP60.
AKO je neko u redakciji zainteresovan, odnosno ako to niko nije
ranije prebacio,
javite da posaljem, da mogu i drugi da koriste. Na BBS-u pise da su
to verzije
iz marta 90.
Pozdrav svima,
Vlada
virusi.62vkrstonosic,
Ja prvo ostavim poruku, pa onda vidim da su me ljudi vec pretekli,
nema veze.
Ipak, moram nesto da dodam, imam problema sa scanv60, slabo radi sa
mojim hardom. Svaki cas prijavljuje greske, treba neko stalno da mu
pritiska "R". Kazu neki, da se McAfee trudio da sto vise ubrza
postupak, pa zato ima problema sa nekim diskovima. Ostavicu mu poruku
u njegov licni BBS, pa cu javiti sta je bilo.
Vlada
řÚ
virusi.63vkostic,
-> #62, vkrstonosic
:: ... imam problema sa scanv60, slabo radi sa mojim hardom.
:: Svaki cas prijavljuje greske, treba neko stalno da mu
:: pritiska "R".
A dali si siguran da ti je hard OK? Probaj sa PCT ili NDD da
zadas da ti testira ceo hard disk - mozda imas neke BAD SECTOR-e
u sred fajlova.
Pozdrav, V.K.
virusi.64vkrstonosic,
-> #63, vkosticVlado, hard mi je u reduű▀, ali imam nekih problema u komunikaciji
diska i kontrolera.Nam se da cu uskoro da menjam sistem, pa sve nije
ni tako bitno. Ipak hvala.
Pozdrav,
Vlada
virusi.65valeksic,
Posedujem 4 virusa:
1.Bouncing ball I
2.Bouncing ball II
3.Jerusalem virus version B
4.Yankee Doodle
Prva tri virusa dobio sam protiv svoje volje,dok sam poslednji
dobio razmenom.Ako nekoga interesuje razmena ili informacija
o pomenutim virusima,neka mi se javi na tel.(011)/192-980.
virusi.66dejanr,
Rat između proizvođača virusa i asocijacije McAfee se nastavlja
- u IBM PC direktorijumu je SCANV62.ZIP.
virusi.67dejanpolo,
PAZNJA: Novi 'dobri' SCAN62, SCAN59, SCANRS60 ne registruju
prisustvo Jerusalem Virus Vers B u memoriji, dok ga uspesno,
i pod ovim nazivom nalaze na disku. Sto je jos cudnije stari
SCAN45 pronalavaj virus u memoriji. Izgleda da je brzina uzela
svoju zrtvu.
Pozdarav Dejan Polomcic.
virusi.68mikij,
Sada nesto zanimljivo!
Demo program Zorana Zivotica LED (to je editor...) ne moze da se
zarazi virusom Yenky Doodle (da li se ovako pise?).
Sta drugi misle o ovome?
Miki.
virusi.69dejanr,
-> #68, mikij>> Demo program Zorana Zivotica LED (to je editor...) ne moze
>> da se zarazi virusom Yenky Doodle (da li se ovako pise?).
>>
>> Sta drugi misle o ovome?
U čemu je štos? Jel YD napada samo .COM a LED je EXE? Ili
je u njega skriven neki serum... :)
virusi.70znesovic,
-> #68, mikij
Posto sam video da neko ima Zoranovu datoteku LED molio bih da
je neko ostavi da bih je download-ovao. Datoteku sam video na ETF
BBS-u
ali verovatno zbog losih veza nikad nisam uspeo da je uzmem.
Unapred puno hvala
Zeljko
virusi.71dejanr,
Loša vest: pojavio se virus STEROID, napraviće čudo svakog
6. juna (FORUM/MICROB 25.139)
Dobra vest: u pitanju je virus za Maca :)
virusi.72bulaja,
-> #70, znesovic
>> Posto sam video da neko ima Zoranovu datoteku LED molio bih da
>> je neko ostavi da bih je download-ovao. Datoteku sam video na ETF
>> BBS-u ali verovatno zbog losih veza nikad nisam uspeo da je uzmem.
Stize LED. Mogao bi Sysop da ga stavi u IBMPC direktorijum, kad
vec nije do sada.
Pozdrav !
led.zipvirusi.73mikij,
-> #69, dejanr Ne znam. YD napada i EXE i COM programe. Hteo sam da vidim za
koliko prosiruje programe da bi mozda!!! napravio vakcinu, ali
LED uopste nije rastao.
Po meni postoje dve mogucnosti.
1) Da LED u sebi sadrzi potpis YD pa da ovaj misli da je program vec
zarazen, ali sta onda ceka SCAN koji nalazi YD u svim drugin
programima (mozda koriste razlicite potpise za raspoznavanje).
2) Da Zoran Zivotic pise strasne programe (BB na primer). :-)
He,he malo sale nije na odmet.
Mozda bi trebale da se prave vakcine tako da se u zdrave programe
ubacuje potpis virusa... Ali dokle bi to dovelo.
Pozdrav, Miki.
P.S. Bilo bi pozeljno da mi se javi neko ko ima viruse u svom
uzgajalistu, jer sam se stvarno zainteresovao za njih.(kao
programer he,he,he (a moze i :-)))))) ) ).
virusi.74djovicevic,
Zdravo svima,
Prilazem ovde fajl MYTHS.ZIP, skinut sa Exec-PC, koji treba
obavezno procitati! Zdravo!
Dragan
myths.zipvirusi.75znesovic,
-> #72, bulaja
Ja se zaista slazem sa tobom da bi tu datoteku trebalo staviti
u IBMPC direktorijum. Bio sam zacudjen kada sam video da je nema na
SEZAMU
a daj je na ETF BBS-u odavno ima. Medjutim sta vredi sto je ima kada
nisam
uspeo da je skinem a probao sam najmanje 5-6 puta.
Jos jednom hvala!
Zeljko
virusi.76majkl,
ű▀
Danas mi je do ruku došla disketa sa EMS drajverom, koja se
isporučuje uz računar, 5.25" flopi koji sa desne strane uopšte nema
prorez tj. zaštićena je od upisa. Ništa neobično, sem što se u boot
sektoru nalazi Disk Killer virus (SCAN ga je odmah detektovao) !!
Ne znam tačno poreklo ove diskete, ali je očigledno da se
danas sve češće postavlja pitanje da li je i regularno nabavljen
softver, u originalnom pakovanju 'čist'. I tamo rade ljudi, zar ne?
SCAN nije svemoćan, ali vredi...
Pozdrav,
Majkl
virusi.77dejanr,
-> #76, majkl>> Danas mi je do ruku došla disketa sa EMS drajverom, koja se
>> isporučuje uz računar, 5.25" flopi koji sa desne strane
>> uopšte nema prorez tj. zaštićena je od upisa. Ništa neobično,
>> sem što se u boot sektoru nalazi Disk Killer virus (SCAN ga
>> je odmah detektovao) !!
Ne mora nepostojanje otvora značiti da je disketa originalna
- (skoro) svaki drajv ima mikroprekidač kojim se određuje da li
je write-protect kada otvor postoji ili kada ne postoji. Neko se
samo malo više potrudio da disketu zarazi.
>> SCAN nije svemoćan, ali vredi...
Da, a od danas je u katalogu i SCANV63... zahvaljujući
vzivkovicu.
virusi.78vkostic,
-> #76, majkl
>> ... u boot sektoru nalazi Disk Killer virus.
Sta radi taj Disk Killer? Ja sam ga skoro skidao sa jednog harda, ali
nisam primetio da je napravio neku narocitu stetu, osim sto se drajv
A: cesto blokirao.
Pozdrav, V.K.
virusi.79dejanr,
Izašao ne novi SCANV64. Evo šta kažu o njemu:
This version, as well as adding detection for numerous new
virii, has the capability to search files compressed with
LZEXE. It will first search the compressed file, then
uncompress it and search again. Scan V64 identifies 111
different strains, or 186 substrains of virus.
Ako ga neko ima, neka posašalje. Ako nema, ostaje samo da
se download-uje iz Amerike što je sporo, dosadno, skupo...
Ali ako ne bude druge...
Pozdrav,
Dejan
virusi.80milan,
-> #79, dejanrDejane,
na fakultetu (na onoj triosamsestici koja ima VGA u maloj sobi gde
je i laser, u direktorijumu TRICKLE (na E: ili F:)) imamo sve verzije
64 anti virusa i SCAN i CLEAN i VSHIELD. Imam i ja kod sebe ali ne
znam kako da ti srucim 200 kB a ne znam ni kako se upucuje jer ja
uglavnom napamet lupam po tastaturi kada sam u Sezamu (kupio sam
jedne tvoje novine sa uputama za uporabu ali nisam stigao da
procitam). Ako ti treba javi se.
Milan
virusi.81milan,
-> #79, dejanr Dejane,
e sada sam shvatio (kada sam ti napisao prethodnu poruku) kako se
salje datoteka - pa evo je (ili ih dok me tvoja sprava ne iskljuci)
Milan
virusi.82milan,
-> #79, dejanrEvo i CLEANP64.zip
milan
virusi.83milan,
-> #79, dejanrevo jos
virusi.84milan,
-> #79, dejanrEvo i poslednji put da posaljem ařÚntiřÚvirusne datoteke.
1. Ne znam kako drukcije pa svaki put moram ponovo da
saljem poruku¸│
2. Stalno mi na ekran baca neko djubre
3. Razocarenje - ! antivirusna verzija 64 proverava viruse samo
u file-ovima spakovanim lzeexe metodom
Pozdrav, milan
virusi.85dejanr,
-> #81, milanHvala na virus detektoru i ostaloj artiljeriji - prebacio sam
ih u IBMPC direktorijum.
Sutra će da bude masovni download :)
Pozdrav,
Dejan
virusi.86vkrstonosic,
Prebacio sam od McAfee-a program VCOPY64.ZIP duzine 30.720 bajtova.
Program zamenjuje standardnu dos komandu COPY i pri kopiranju
pronalazi preko 100 virusa (kao scan64). Ako je neko zainteresovan
neka se javi, da ga ne saljem bez veze.
Pozdrav,
Vlada
virusi.87dejanr,
-> #86, vkrstonosicVCOPY64.ZIP već imamo zahvaljujući dr Milanu Božiću.
Uz poruku 6.86 u ovoj konferenciji.
virusi.88dejanr,
==========================
security/alert #87, from hshubs, 637 chars, Thu Aug 9 20:25:18 1990
There is/are comment(s) on this message.
--------------------------
**COPIED FROM: ==========
ibm.exchange/front.desk #213, from smckinty, 519 chars, Wed Aug 8 11:32:40
1990
----------
TITLE: PC Today Virus (August issue)
The following note has just been emailed around my office. I have no idea
as to its validity, or whether it is old news or a UK only problem. I
am submitting it for info, just in case.
***** VIRUS ALERT *****
The August edition of PC Today Volume 4 No. 4
published by Database Publications contains a free
diskette.
The diskette is infected with the OGRE virus.
The diskette should not be used on any PC.
virusi.89dejanr,
U IBMPC direktorijumu je novi SCANV - verzija 66. Skok sa 64 na
66 je objašnjen u ovom segmentu dokumentacije koji opisuje i ostale
novitete nove verzije.
Danas će da radi download ... :))
Notes on Version 66:
We skipped version 65 since a trojan version 65 of SCAN
appeared on a few bulletin boards in March of this year. Better
safe than sorry. So this version logically follows version 64 of
SCAN.
This version of SCAN has added an option to transparently
attach a CRC validation code to all of your executable files, your
boot sector and your partition table. This will help protect your
system in case a virus unknown to SCAN is encountered. SCAN will
check these validation codes if requested and will alert the user
to any files or system areas that have changed. Subsequent
versions of VSHIELD (Version 67 and above) will also check this
validation field if present, and will prevent programs infected
with unknown viruses from executing.
Version 66 has added 31 new viruses to the list of known
viruses, bringing the current total to 213 viruses. We have also
added the Joshi, Fish6, Vienna and Zerobug to the list of viruses
that can be non-destructively removed from your system by Clean-
Up. All four of these viruses are becoming widespread.
Of interest in this release are two new viruses that infect
both executable programs and boot sectors. The 1253 virus, which
activates on December 24th, infects boot sectors of floppies, the
partition table of hard disks and any COM files in the system,
including COMMAND.COM. The virus originated in Eastern Europe.
It is very destructive. The second virus has been named Anthrax,
and is also from Eastern Europe. This virus infects COM files, EXE
files and the partition table of the hard disk. Both viruses are
difficult to remove without appropriate detectors and removers.
virusi.90mikij,
Zdravo svima. Interesuje me da li jos uvek neko gaji viruse. Veoma sam se
zainteresovao za njih i hteo bih da ih proucavam. Tako da bi mi bilo drago kada
bi mi neko dao neki (virus).
Pozdrav Miki
virusi.91zkristek,
Prilog: podaci o virusima sa amaterskih BBS-ova
virus.zipvirusi.92zkadic,
Da li je neko mozda cuo nesto o virusima na XENIXU/UNIXU?
Samo sam nacuo nesto da postoje i to mnogo opasniji nego na DOS-u. Nadam
se da to nije tacno.
Zoran
virusi.93dejanr,
-> #92, zkadic>> Samo sam nacuo nesto da postoje i to mnogo opasniji nego na DOS-u.
>> Nadam se da to nije tacno.
Teško da bi virus koji startuje običan korisnik mogao napraviti neku
veću štetu. Ako ga startuje root.... bilo bi jednako opasno kao pod
DOS-om.
virusi.95dejanr,
Navali narode - u IBMPC direktorijumu je SCANV67.ZIP. Evo šta kažu
o novitetima:
Our apologies for the delay in releasing V67. At the last
minute a major new virus -- the Invader -- was reported at multiple
sites across the U.S. and in Asia. We have included a detector and
remover for this virus in V67 SCAN and CLEAN.
Version 67 has added a report feature to allow the creation
of a report file containing a list of found infected files when
scanning an infected system. We have also implemented an EXTINCT
switch that defaults to not searching for viruses that have become
extinct or viruses that are exclusively research viruses. Any
virus that has not been reported in the public domain for more than
a year has been classified as extinct. Extinct viruses are marked
with an asterisk in the VIRLIST.TXT file that accompanies the SCAN
program. If you are a researcher and have any of the extinct
viruses, you must use the /X switch to force SCAN to search for
them. In addition, 10 new viruses have been added to the list of
viruses that are identified by SCAN. These viruses are outlined
in the VIRLIST.TXT file.
Koliko sam na brzinu pogledao, nema ni pomena o onom Frodo ili
kako-se-već zvaše virusu koji kod nas na TV pretvoriše u
nacionalnu tragediju (dnevnik, A.A i ostali). Pošto nisam
video taj virus niti znam ikoga ko ga je video a nema ga ni
u novom SCAN-u... pitam se nešto da to nije bila patka?
virusi.96alazic,
Da li neko koristi/ili je koristio paket vakcina V.Bonchova(valjda
se ovako to pise..)? Ja posedujem jednu njegovu disketu od 89
godine koja pored nekih vakcina (doduse stare ali ipak rade) i
cetiri ili pet raznih programa za provere CheckSum-a datoteka, sve
njihove moguce izmene , jedan sjajan int. alarm preko koga se moze
sto sta podesiti (na sta da reaguje) i jos nekoliko programa za
koje nisam mogao da utvrdim kako rade . Moj problem je u tome sto
ti programi koriste asc kodove za rusku cirilicu (128-256 opseg)
tako da je svaki rad sa njima nije moguc. Ipak kod jednoga od njih
, tj nekakav Alarm4 isprobavao sam sve moguce opcije i uz pomoc
stapa i kanapa (tj disk editora ) sam preveo znacenje nekih stavki
. Inace smatram da je Alarm4 mnogo bolji od FSP-a i da objedinjuje
funkcije vise slicnih takvih programa .. Dakle interesuje me da li
neko koristi ove programe ili ima zivce da ih prevodi. Posto je to
ipak 360K poslacu na Sezam ali samo ako neko to hoce ..
virusi.97georges,
-> #96, alazicPPostoji u mojoj prirodi, dragi prijatelju, jedan izvanredan kompjuterski inat,
MMMMMMHzato bih se problemom kompjuterskog rusofilstva mogao pozabaviti .
Preferiram francuski (otud Georges - Zzorzz!), no kojekude sam u Provinciji
ucio osam godina ruskog. Kada ne pisem i citam, "drogiram" se kompjuteristikom.
Zato cu se rado pozabaviti tvojim "baljsoi" programom za tamanjenje v-irusa
cirusa! Vive l'Ordinateur & comp! Votre amie Georges!
virusi.98alazic,
-> #97, georges Dakle evo vam obecane vakcine. Lepo se zabavljajte....
vacc.zipvirusi.99georges,
-> #98, alazicMerci! Zahvaljujem! Sada cu se ja u medjuvremenima sa ovim dk i dr preparatima
malo glavolomkati. Pokusacu da vam posaljem sh ekstrakte. Vive l'Ordinateur!
GEORGES, votre ami!
virusi.100dejanr,
========================================================================
Date: 10-22-90 (10:10) Number: 10260 Patriquin's BB
To: ALL Refer#: NONE
From: KIM MARTIN Read: YES
Subj: NEW TROJAN DETECTED !! Conf: (0) Main Board
------------------------------------------------------------------------
Dear Telecommunicators,
I recently received a file called SCANV70.ZIP on The Library! BBS. This
file contains a trojan that is not detectable by the current version
of McAffees Scan program (SCANV67C.ZIP). This trojan will take out your
entire file system. I verified with McAffees bulletin board that the
most current scan was SCANV67C.ZIP. The next available release will not
be out until mid-november according to his board. I also, verified that
SCANV70.ZIP contained a trojan and that he is aware of it. Please
avoid using SCANV70 or passing it around as there is no defense for it.
The file was uploaded under a false logon. I've talked to the person
whose name it was uploaded in and he swears it wasn't him. (People,
please change your passwords and make them unique by bbs.)
Sincerely,
Kim Martin, The Library! BBS
virusi.101alazic,
*****************************************************
*****************************************************
***** PAZNJA *****
***** VIRUSI NA BBS-OVIMA *****
*****************************************************
*****************************************************
Na mome racunaru pojavio se nepoznati virus, koji se ne
registruje SCAN67 programom. Smatram da prethodni zakljucak (za
viruse na BBS-ovima) je sasvim opravdana jer sticajem okolnosti ni
jedan novi byte nije prispeo u moj racunar u zadnjih 4-5 meseci
posredstvom disketa (sve datoteke koje imam na disketama(koje su
uzgledbudireceno ReadOnly- imaju markice) su stare bar 4-5 meseci i
sve su bile izolovan testirane). Jedine nove datoteke sam preuzeo
posredstvom modema i to od: TANJUG BBS FENIKS BBS i od SEZAM-a
Konkretan zakljucak ne bih mogao da izvedem odakle je ta
gamad dosla ali disk mi se potpuno gusi. Takodje ovim niukome
slucaju ne bih hteo da ogovaram/olajavam/optuzujem ni jedan od
navednih servisa ali zelim da upozorim ostale.
Verovatno se pitate kako sam otkrio virus ili vec sta je.
Instalirao sam u Autoexec.bat tri programa koja su testirali na
nekoliko nacina CheckSum Crc ili vec sta je. Takodje bili su aktivni
FSP alarm i Alarm4 (dve godine oba programa su testirani i
apsolutno sam siguran u njihovu "nevinost"). Svi su programi po
svakome "dizanju" sistemu prijavljivali po desetak novih izmenejnih
datoteka.
Na kraju napomenucu da nemam nameru da se igram rata sa
virusima i nemogu za nikoga da izolujem virus vec dok budete ovo
citali kompletan sistem ce biti prebrisan
AL