ANTI (počítačový virus) - ANTI (computer virus)

Běžné jménoPROTI
AliasyANTI-0, ANTI-A, ANTI-ANGE, ANTI-B, Anti-Variant
KlasifikaceVirus
TypMacintosh
PodtypInfektor aplikace, ochrana proti kopírování
Izolace1989-02 (ANTI-A), 1990-09 (ANTI-B)
Místo původuFrancie
AutořiNeznámý
Operační systémy) ovlivněnaSystém 6 a starší běží Nálezce
Velikost souboru1 352 bajtů (ANTI-A), 1 152 bajtů (ANTI-B)

PROTI je počítačový virus ovlivňující Jablko Macintosh běžící počítače klasický Mac OS verze až Systém 6. Je obzvláště pozoruhodné, že je prvním virem Macintosh, který nevytváří další zdroje v infikovaných souborech; místo toho opraví existující prostředky CODE.[1][2]

Nejčastěji se vyskytující kmeny ANTI mají jen jemné účinky, a proto mohou existovat a šířit se neomezeně dlouho, aniž by si toho všimli, dokud antivirová aplikace je spuštěn.[3] Kvůli chybě ve viru se nemůže šířit, pokud MultiFinder běží, což mu brání v infikování Systém 7 a novější verze systému Mac OS a také systémy 5 a 6 se systémem MultiFinder.[1][4][5]

Provozní režim

ANTI infikuje pouze aplikace[6] (na rozdíl od systémových souborů), a proto se může šířit pouze při spuštění infikované aplikace.[7] Když taková aplikace volá funkci OpenResFile,[8] virus vyhledá v počítači aplikace, které splňují všechna následující kritéria:

  1. Mají CODE (segment kódu aplikace[9]) prostředky s ID prostředků 0 a 1
  2. KÓD 1 začíná a JSR instrukce (obecně Hlavní zdroj v dané aplikaci)[10]
  3. Aplikace ještě není infikována ANTI
  4. Součet velikosti KÓDU 1 plus velikosti viru je menší nebo roven 32 768 bytům[8]

Všechny odpovídající aplikace jsou poté infikovány připojením viru k prostředku CODE 1[11] a přidání odpovídající položky do tabulky skoků aplikace.[2][8]

Varianty

Existují tři kmeny ANTI s následujícími rozdíly:

  • ANTI-A: 1 344 bajtů[1] plus 8bajtový vstup do tabulky skoků. První verze, která má být izolována, ve Francii[12] v únoru 1989.[3][8] Vyhledá kmeny ANTI-B a převede je na variantu ANTI.[13]
  • ANTI-B: 1 144 bajtů[14] plus 8bajtový vstup do tabulky skoků. Objeveno ve Francii[15] v září 1990.[3] Přes pozdější datum objevu se předpokládá, že jde o nejranější verzi viru.[16] Také známý jako ANTI-0.
  • ANTI-varianta: Objeveno v září 1990.[17] Výsledek zjištění ANTI-A a modifikace kmene ANTI-B. Způsobí zablokování počítače při spuštění infikované aplikace.[18][19] Také známý jako ANTI-ANGE.

Užitečné zatížení

Všechny kmeny nesou a užitečné zatížení související s disketa přístup. Když infikovaná aplikace volá funkci MountVol, virus zkontroluje, zda je disk ve skutečnosti disketa,[8] a pokud ano, přečte první sektor (512 bajtů[20]) stopy 16. Poté virus porovná text s posunem 8 bajtů do tohoto sektoru proti řetězci $ 16 + "%% S".[8] Pokud se text shoduje, virus provede kód na offsetu 0 sektoru prostřednictvím JSR. Je známo, že neexistují žádné disky obsahující odpovídající řetězec, takže v praxi nemá toto užitečné zatížení žádný účinek.

Na základě tohoto hledání očekávaného řetězce na konkrétním místě na disku, Danny Schwendener z ETH Curych předpokládal, že ANTI měla být součástí a ochrana proti kopírování systém,[10] který by detekoval reorganizaci způsobenou standardní kopií souborového systému.

Vedlejší efekty

Během infekce ANTI vymaže všechny atributy prostředků spojené s KÓDEM 1, což může způsobit, že infikovaná aplikace použije více paměti,[13] zejména na starších počítačích Macintosh se 64 KiB ROM.[3]

Zmírnění

Na rozdíl od předchozích virů Macintosh nelze ANTI detekovat podle konkrétních názvů zdrojů a ID; pro vyhledání podpisů spojených s virem je vyžadováno pomalejší vyhledávání řetězců.[1]

The Univerzita v Hamburku Centrum pro testování virů doporučuje detekci pomocí antivirové aplikace, jako je Dezinfekční prostředek (verze 2.3 a novější[21]), Interferon, Virus Detective nebo Virus Rx,[22] zatímco McAfee doporučuje Virex.[8] Ztráta atributů prostředků však znamená, že odstranění viru neobnoví původní aplikaci do původního stavu;[5] pouze obnovení ze zálohy bez virů je zcela efektivní.[11][13]

Viz také

Reference

  1. ^ A b C d Eugene H. Spafford, Kathleen A. Heaphy a David J. Ferbrache, "Počítačový virus Primer ", 28. listopadu 1989, s. 36. Technické zprávy o informatice Papír 795
  2. ^ A b Peter J Denning (redaktor), Počítače pod útokem, ACM Press, 1990, s. 350
  3. ^ A b C d Bruce Schneier, Chraňte svůj Macintosh, Peachpit Press, 1994, s. 124-125
  4. ^ David Harley, Viry a Macintosh
  5. ^ A b Paul Baccas (redaktor), Využití a obrana OS X, Syngress Publishing, 2008, s. 83
  6. ^ Gizzing H. Khanaka a William J. Orvis, Aktualizace informací o viru CIAC-2301 Archivováno 02.03.2017 na Wayback Machine, Department of Energy Computer Incident Advisory Capability, Lawrence Livermore National Laboratory, 21. května 1998, str. 59
  7. ^ David Ferbrache, „Známé viry Apple Macintosh“, Virus Bulletin, Červenec 1989, s. 5
  8. ^ A b C d E F G McAfee, MacOS / ANTI
  9. ^ Apple Computer, Inc., Uvnitř Macintosh, Svazek I, Addison Wesley, 1985, s. 107
  10. ^ A b Seznam známých virů Macintosh
  11. ^ A b John C. Dvořák, Mimi Smith-Dvořák, Bernard J. David a John A. Murphy, Dvořákova Inside Track na Mac, Osborne McGraw-Hill, 1992, s. 178
  12. ^ Virex, Antivirový software pro počítače Macintosh Uživatelská příručka, str. 87
  13. ^ A b C About.com Virus Encyclopedia, PROTI
  14. ^ Centrum pro testování virů, Univerzita v Hamburku, Virus ANTI B.
  15. ^ Edward Valauskas, Pracovní stanice Macintosh, Zpráva o pracovní stanici knihovny, sv. 7, vydání 9
  16. ^ TidBITS, ANTI-B, 1. října 1990
  17. ^ Alan Coopersmith, Definice virů Virex 3.x.
  18. ^ Centrum pro testování virů, Univerzita v Hamburku, Virus ANTI variant
  19. ^ Sydney Morning Herald, Neděle 31. března 1991, s. 45, Boj proti viru
  20. ^ Apple Computer, Inc., Uvnitř Macintosh, Svazek II, Addison Wesley, 1985, s. 211
  21. ^ TidBITS, 2.3 a počítání, 29. října 1990
  22. ^ Centrum pro testování virů, Univerzita v Hamburku, ANTI A Virus

externí odkazy

  • Virová encyklopedie, Proti
  • Nový virus Macintosh - Oznámení Thierryho DeLettreho na CompuServe (obsahuje některé spekulace, o kterých se později zjistí, že jsou nesprávné)