Veszélyeztetett területek:
MBR (a merevlemez legelső szektora), boot-szektor
Elnevezések:
A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik.
Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja,
de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven.
Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző
verziója esetén is más és más lehet.
A MS-DOS/Rhuharb vírus
elnevezései az egyes vírusvédelmek szerint:
vírusvédelem
elnevezés
Avast
Rhubard
AVG
RP
BitDefender
RP.A (Boot image)
F-PROT
RP.A
F-Secure
Virus.Boot.RP.a
Ikarus
Virus.Boot.RP.a
Kaspersky
Virus.Boot.RP.a
McAfee
RP(Virus)
vírusvédelem
elnevezés
Microsoft
DOS/RP_December17
NOD32 (ESET)
Rhuharb
Panda
RP
Rising Antivirus
Virus.boot.RP.a
Sophos
RP
Trend Micro
RP.A-B
VirusBuster
RP.A
szervezet
elnevezés
Wildlist
RP.A,RP
Fertőzés
A vírusok tevékenységének leglényegesebb célja, hogy más programterületeket fertőzzenek meg. Ezek a programterületek lehetnek programfájlok, programkódot tartalmazó szektorok (boot szektor, MBR - master boot record). Egyes vírusok a fertőzést az egyes területeken különböző eljárással végzik. Előfordulhat az is, hogy egyes speciális állományok (például COMMAND.COM) fertőzésére a víruskód külön algoritmust tartalmaz.
A bootvírusok elsődleges célpontja a merevlemezek partíciós táblájában (MBR - Master Boot Record), illetve az operációs rendszer boot szektorában lévő kis betöltő program. Flopi lemezen (mivel ott nem lehetnek partíciók) nincs partíciós
tábla, az első szektor a boot szektor. Az első bootvírusok természetszerűleg még nem voltak felkészítve a később megjelent lemezformátumokra. Ennek megfelelően akadnak, amelyek csak a 360 KB-os flopilemezeket, mások csak az 5,1/4 hüvelykes flopikat fertőzik, míg mások már többféle, akár az összes lemezformátum fertőzésére képesek.
A MS-DOS/Rhuharb vírus
megfertőzi a flopilemezek bootszektorát.
A vírusok egy része lopakodó technikákat alkalmaz, ami azt jelenti, hogy a memóriába rezidens módon betelepedett vírus saját jelenlétét elrejtendő megpróbálja elhitetni a felhasználóval, hogy a rendszer vírusmentes. Egyszerűbb esetben a fertőzés okozta méret, dátum és egyéb változásokat rejti el az operációs rendszer programjai és a felhasználói programok elől, de előfordulhat, hogy a teljes fertőzés előtti programterületet szimulálja.
A vírus
lopakodó (stealth) tulajdonságokkal rendelkezik.
A bootvírusok elsődleges célpontja a merevlemezek partíciós táblájában (MBR - Master Boot Record), illetve az operációs rendszer boot szektorában lévő kis betöltő program. Flopi lemezen (mivel ott nem lehetnek partíciók) nincs partíciós
tábla, az első szektor a boot szektor. Az első bootvírusok természetszerűleg még nem voltak felkészítve a később megjelent lemezformátumokra. Ennek megfelelően akadnak, amelyek csak a 360 KB-os flopilemezeket, mások csak az 5,1/4 hüvelykes flopikat fertőzik, míg mások már többféle, akár az összes lemezformátum fertőzésére képesek.
A MS-DOS/Rhuharb vírus
a merevlemez MBR-jét fertőzi.
A vírusok egy része lopakodó technikákat alkalmaz, ami azt jelenti, hogy a memóriába rezidens módon betelepedett vírus saját jelenlétét elrejtendő megpróbálja elhitetni a felhasználóval, hogy a rendszer vírusmentes. Egyszerűbb esetben a fertőzés okozta méret, dátum és egyéb változásokat rejti el az operációs rendszer programjai és a felhasználói programok elől, de előfordulhat, hogy a teljes fertőzés előtti programterületet szimulálja.
A vírus
lopakodó (stealth) tulajdonságokkal rendelkezik.
Tevékenységek
Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen
eseményhez, legtöbbször valamilyen időponthoz kötik.
feltétel
december
17-én
tevékenység
felülírja a merevlemezt
a képernyő oszlopszámát 40-re állítja
az itt megadott üzenetet jeleníti meg:
Only bug exist! ->RP 1995 Bucharest
feltétel
véletlenszerűen
tevékenység
lefagyasztja a számítógépet
A fertőzés módszerei
A memóriába bekerült vírus akkor fertőz, ha megfelelő célpont kerül a látókörébe. A felügyelt megszakítástól és a vírusprogram kódjától függően megkülönböztethetünk olyan vírusokat, melyek a programfájlok futtatásakor fertőznek, mások a fájlok megnyitásakor vagy zárásakor, másolásakor, olvasásakor vagy írásakor, esetleg már a tartalomjegyzék lekérésekor is, és nem ritka eset, amikor ezek kombinációival találkozunk.
A fájl és lemezműveletekhez kapcsolódó megszakítások következő funkcióit használja fel a víruskód terjesztésére:
fájl vagy lemez beolvasása
Memória
A vírusok nagyobbik része rezidens módon bekerül a memóriába, ám vannak, amelyek direkt fertőzőként (parazita módon) programkódjuk lefutása után a vezérlést visszaadják a gazdaprogramnak és eltávoznak a memóriából.
A MS-DOS/Rhuharb vírus
memóriarezidens.
A memóriába beülő MS-DOS/Rhuharb vírus
lecsökkenti a DOS által elérhető memóriát. Ez a csökkenés 1024
bájt.
