Hll.3853

Létrehozva: 2007-11-22, 15:44:02

Utolsó frissítés: 2009-11-09, 17:30:34

Platform: MS-DOS

Típus: vírus

Méret: 3855

Dátum: 2002-10-30

Nyelv: Turbo Pascal

Veszélyeztetett operációs rendszer(ek): DOS

Kitömörített mérete 5051 bájt.

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A MS-DOS/Hll.3853 vírus elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	HLLP-Exit
BitDefender	HLLO.3855.A
e-Trust	HLLO.3855
F-PROT	HLLO.3855.A
F-Secure	Virus.DOS.HLLO.3855
Ikarus	Virus.DOS.HLLO.3855
Kaspersky	Virus.DOS.HLLO.3855
McAfee	HLL.ow.3855a(Virus)

vírusvédelem	elnevezés
Microsoft	DOS/3855.A
NOD32 (ESET)	Hll.3853
Norton Antivirus	HLLO.3853
Panda	HLLO.Gen
Rising Antivirus	HLLO.3855
Sophos	HLLO/3855
Trend Micro	ROTATE
VirusBuster	HLLO.3855

Fertőzés

A vírusok tevékenységének leglényegesebb célja, hogy más programterületeket fertőzzenek meg. Ezek a programterületek lehetnek programfájlok, programkódot tartalmazó szektorok (boot szektor, MBR - master boot record). Egyes vírusok a fertőzést az egyes területeken különböző eljárással végzik. Előfordulhat az is, hogy egyes speciális állományok (például COMMAND.COM) fertőzésére a víruskód külön algoritmust tartalmaz.

EXE fájlok fertőzése

A COM típusú programok mérete - ellentétben az EXE programokéval - meglehetősen korlátozott. Az operációs rendszer - kevés kivételtől eltekintve - nem képes a 64 KB méretet meghaladó COM programok futtatására, így azok a víruspéldányok, amelyeknél a fertőzött fájl mérete meghaladja a 64 KB-ot, soha nem kapnak vezérlést. Ennek megfelelően a COM fertőző vírusok egy része figyel erre és egy megfelelő szűrővel válogatja ki azokat a nagyobb méretű fájlokat, ahol a fertőzött fájl már nem lenne futásképes. Bár az EXE fájlokra nincs ilyen korlát, ennek ellenére sok EXE fertőző vírus szintén csak adott mérethatárig fertőz. Mivel a túlságosan kis méretű fájlok is veszélyesek lehetnek a vírus számára (túlságosan feltűnő lenne a méretnövekedés, illetve a csalifájlokat szeretné a vírus készítője elkerülni), számos vírus csak a programkódjában megadott alsó korlátnál nagyobb méretű fájlokat fertőz.

A MS-DOS/Hll.3853 vírus csak a 3885 bájtnál nagyobb fájlokat fertőzi.

A víruskód elhelyezése a megfertőzött gazdaprogramban különösen érdekes, mert a vírusmentesítéskor a takarító programnak pontosan tudnia kell, honnan és mekkora részleteket kell kivágnia. Bootvírusok esetén az 512 bájtnál (1 szektor) nagyobb programkódot már csak további szektorokban lehet elrejteni, amelyek megtalálása a víruskód konkrét ismerete nélkül elég nehéz.

A víruskód a fertőzött fájl elejére kerül, felülírva az eredeti programkódot. A felülírt területről nem készít másolatot, így az eredeti állapot nem visszaállítható.

A víruskészítők már a kezdetektől igyekeztek programjaik elrejtésére. Ennek érdekében a vírusprogramot kódolják, illetve olyan "szolgáltatással" látják el, hogy a kód fertőzésről fertőzésre változzon. Ennek mértéke is változó, és a többalakúság fokának megfelelően megkülönböztetünk polimorf, oligomorf és metamorf kártevőket. Az oligomorf, illetve polimorf kártevőkben alkalmazott kódolásra (és kártevőre) jellemző a beépített dekódoló eljárás (dekriptor) is, mely a legtöbb esetben jól elkülöníthető a víruskód többi részétől.

A vírus programkódja titkosított.

Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel	"8:10" valószínűséggel
tevékenység	a billentyűzetről vár további utasításokat a következő üzeneteket jeleníti meg: Bad command or file name EXiT DOS Version 6.66 (C)Copyright Entrance of Exit Corp 1994 Enter 'EXIT' to exit Exit's EXiT. C:\EXIT>

feltétel	a(z) "VER" parancs fogadásakor
tevékenység	az itt megadott üzenetet jeleníti meg: This is dedicated to EXiT.

feltétel	a(z) "JEANLUC" parancs fogadásakor
tevékenység	újabb parancs fogadására készül fel

feltétel	a(z) "EXIT" parancs fogadásakor
tevékenység	a vírus megszakítja futását

feltétel	a(z) "INFECT" parancs fogadásakor
tevékenység	megfertőzi a parancs mellett megadott fájlt, ha nem létező fájl nevét adjuk meg, akkor kiakad a vírus

feltétel	a(z) "CHECK" parancs fogadásakor
tevékenység	ellenőrzi, hogy a parancs mellett megadott fájl fertőzött-e már

feltétel	a hordozó programot eleve a(z) "JEANLUC" paraméterrel indítják
tevékenység	az itt megadott üzenetet jeleníti meg: SAFE RUN

A fertőzés módszerei

A vírusok és programférgek egy része speciális bejegyzéseket őriz kódjában arra, hogy a megtámadott számítógépek merevlemezén mely könyvtárakban keressenek megfertőzhető fájlokat, illetve mely könyvtárban helyezhetik el a biztos és rendszeres vezérléshez jutás reményében a kártékony program futtatható kódját hordozó programfájlokat.

A MS-DOS/Hll.3853 vírus az aktuális könyvtár fájljait fertőzi meg.

Memória

A vírusok nagyobbik része rezidens módon bekerül a memóriába, ám vannak, amelyek direkt fertőzőként (parazita módon) programkódjuk lefutása után a vezérlést visszaadják a gazdaprogramnak és eltávoznak a memóriából.

A MS-DOS/Hll.3853 vírus nem mutat memóriarezidens viselkedést, és direkt fertőzőként, parazita módon, ha lefutott, visszaadja vezérlést a gazdaprogramnak vagy az operációs rendszernek.