BachKhoa.3999

Létrehozva: 2007-11-22, 15:01:00

Utolsó frissítés: 2009-11-09, 16:39:49

Platform: MS-DOS

Típus: vírus

Méret: 399

Dátum: 1998-03

Veszélyeztetett operációs rendszer(ek): DOS

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix összes...

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A MS-DOS/BachKhoa.3999 vírus elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	BachKhoa-3999
AVG	Bachkhoa
BitDefender	Bach.3999
e-Trust	Bachkhoa.3999
F-PROT	Bach.3999
F-Secure	Virus.DOS.BachKhoa.3999
Ikarus	Virus.DOS.BachKhoa.3999
Kaspersky	Virus.DOS.BachKhoa.3999
McAfee	Bach(Virus)

vírusvédelem	elnevezés
Microsoft	DOS/Bach.3999
NOD32 (ESET)	BachKhoa.3999
Norton Antivirus	DuBug.3999 (1)
Panda	Bachkhoa.3999
Rising Antivirus	Virus.Dos.BachKhoa.3999
Sophos	Vusdut
Trend Micro	DUBUG
VirusBuster	Bach.3999

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód. Az állományok létrehozása mellett a vírusok, férgek esetenként más alkalmazáshoz, esetleg másik vírushoz, féreghez tartozó állományokat is letörölnek.

A MS-DOS/BachKhoa.3999 vírus letörli az alábbi fájlokat:

CHKLIST.MS
CHKLIST.CPS
FILESIGN.SAV
FILE-ID.DIZ

Fertőzés

A vírusok tevékenységének leglényegesebb célja, hogy más programterületeket fertőzzenek meg. Ezek a programterületek lehetnek programfájlok, programkódot tartalmazó szektorok (boot szektor, MBR - master boot record). Egyes vírusok a fertőzést az egyes területeken különböző eljárással végzik. Előfordulhat az is, hogy egyes speciális állományok (például COMMAND.COM) fertőzésére a víruskód külön algoritmust tartalmaz.

COM fájlok fertőzése

A vírusok egy része - elkerülendő a feltűnést, és a túl gyors lebukást - bizonyos szem előtt levő, nagyobb figyelemnek örvendő fájlok, valamint a gyaníthatóan hatékony önellenőrzéssel rendelkező fájlok, így az antivírus programok fertőzését igyekszik elkerülni. Ezt az adott fájlnevek, vagy azok részleteinek ellenőrzésével éri el a vírus készítője.

Annak ellenére, hogy maga a kiterjesztés megfelelne a fertőzéshez, a vírus nem fertőzi meg következő fájlokat:

SCAN
F-PROT

A COM típusú programok mérete - ellentétben az EXE programokéval - meglehetősen korlátozott. Az operációs rendszer - kevés kivételtől eltekintve - nem képes a 64 KB méretet meghaladó COM programok futtatására, így azok a víruspéldányok, amelyeknél a fertőzött fájl mérete meghaladja a 64 KB-ot, soha nem kapnak vezérlést. Ennek megfelelően a COM fertőző vírusok egy része figyel erre és egy megfelelő szűrővel válogatja ki azokat a nagyobb méretű fájlokat, ahol a fertőzött fájl már nem lenne futásképes. Bár az EXE fájlokra nincs ilyen korlát, ennek ellenére sok EXE fertőző vírus szintén csak adott mérethatárig fertőz. Mivel a túlságosan kis méretű fájlok is veszélyesek lehetnek a vírus számára (túlságosan feltűnő lenne a méretnövekedés, illetve a csalifájlokat szeretné a vírus készítője elkerülni), számos vírus csak a programkódjában megadott alsó korlátnál nagyobb méretű fájlokat fertőz.

A MS-DOS/BachKhoa.3999 vírus csak a 489 bájtnál nagyobb és a 60000 bájtnál kisebb fájlokat fertőzi.

A víruskód elhelyezése a megfertőzött gazdaprogramban különösen érdekes, mert a vírusmentesítéskor a takarító programnak pontosan tudnia kell, honnan és mekkora részleteket kell kivágnia. Bootvírusok esetén az 512 bájtnál (1 szektor) nagyobb programkódot már csak további szektorokban lehet elrejteni, amelyek megtalálása a víruskód konkrét ismerete nélkül elég nehéz.

A víruskód a fertőzött fájl(ok) végére kerül és a program elején csupán egy ugróutasítást módosít, hogy a gazdaprogram indításakor először a víruskód fusson le, majd visszaugrik az eredeti belépési pontra.

A vírusok egy jelentős hányada a megfertőzött fájlt valamilyen módon megjelöli. Ezzel jelzi, az adott állomány már fertőzött, azt nem kell mégegyszer megfertőznie. Ellenkező esetben az ismételt fertőzés nem kívánt méretnövekedéshez és a rendszer lassulásához vezet.

A MS-DOS/BachKhoa.3999 vírus a megfertőzött fájlokat azzal jelöli, hogy a fájl végén a hexadecimális hexa: 0x4F 0xCF 0xCB 0x4F jelölősztringet helyezi el.

A víruskészítők már a kezdetektől igyekeztek programjaik elrejtésére. Ennek érdekében a vírusprogramot kódolják, illetve olyan "szolgáltatással" látják el, hogy a kód fertőzésről fertőzésre változzon. Ennek mértéke is változó, és a többalakúság fokának megfelelően megkülönböztetünk polimorf, oligomorf és metamorf kártevőket. Az oligomorf, illetve polimorf kártevőkben alkalmazott kódolásra (és kártevőre) jellemző a beépített dekódoló eljárás (dekriptor) is, mely a legtöbb esetben jól elkülöníthető a víruskód többi részétől.

A MS-DOS/BachKhoa.3999 vírus oligomorf sajátságokkal rendelkezik.

EXE fájlok fertőzése

Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel	november 25-én
tevékenység	szektorokat töröl a merevlemezről

Memória

A vírusok nagyobbik része rezidens módon bekerül a memóriába, ám vannak, amelyek direkt fertőzőként (parazita módon) programkódjuk lefutása után a vezérlést visszaadják a gazdaprogramnak és eltávoznak a memóriából.

A MS-DOS/BachKhoa.3999 vírus memóriarezidens.

Egyebek

A kártékony programok programozói az elkészült kódban üzeneteket, képeket helyezhetnek el, melyeket általában valamilyen formában titkosítanak. A vírusok, programférgek és egyéb kártevők programkódjában sok esetben találunk jellegzetes szövegeket, amelyekben vagy a vírus készítőjének szignóját tisztelhetjük, vagy a vírus működéséhez felhasznált jellemző szövegrészeket (fájl és könyvtárnevek stb.). E szövegek nem mindig ismerhetők fel közvetlenül, többnyire csak a kódolt vírusprogram dekódolásával válnak láthatóvá és olvashatóvá.

A MS-DOS/BachKhoa.3999 vírus programkódjában szereplő, de soha meg nem jelenő szöveg(ek):

Ha Noi University of Technology
Your PC was infected by BACH KHOA virus version 1.5