Létrehozva: 2007-11-22, 15:46:34
Utolsó frissítés: 2009-11-09, 17:28:26
Platform: MS-DOS
Típus: vírus
Méret: 7800
Dátum: 1999-08-15
Veszélyeztetett operációs rendszer(ek): DOS
Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix összes...
Veszélyeztetett fájlok: exe
 

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A MS-DOS/HLLP.Toadie.7800.B vírus elnevezései az egyes vírusvédelmek szerint:

vírusvédelem elnevezés
Avast HLLT-Toadie-7800-B
AVG HLLP.Toadie.7800.B
BitDefender HLLP.7800.B
e-Trust HLLP.Toadie
F-PROT HLLP.7800.B
F-Secure Virus.DOS.HLLP.Toadie.7800.b
Ikarus Virus.DOS.HLLP.Toadie.7800.b
Kaspersky Virus.DOS.HLLP.Toadie.7800.b
McAfee Toadie.7800b@MM(Virus)
vírusvédelem elnevezés
Microsoft DOS/Toadie_7800.B
NOD32 (ESET) HLLP.Toadie.7800.B
Norton Antivirus Termite.7800.B
Panda HLL.Gen
Rising Antivirus Dos.Harm.Hllp.toadie.7800.b
Sophos HLL/Toadie7800b
Trend Micro TOADIE.7800.A
VirusBuster HLLP.Toadie.B
 

szervezet elnevezés
Wildlist HLLP.Toadie.7800.B-mm,HLLP.Toadie.7800.B

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód. Az állományok létrehozása mellett a vírusok, férgek esetenként más alkalmazáshoz, esetleg másik vírushoz, féreghez tartozó állományokat is letörölnek.

A MS-DOS/HLLP.Toadie.7800.B vírus letörli az alábbi fájlokat:

  • anti-virus.dat
  • chklist.ms
  • chklist.cps
  • vs.vsn
  • ivb.ntz

Fertőzés

A vírusok tevékenységének leglényegesebb célja, hogy más programterületeket fertőzzenek meg. Ezek a programterületek lehetnek programfájlok, programkódot tartalmazó szektorok (boot szektor, MBR - master boot record). Egyes vírusok a fertőzést az egyes területeken különböző eljárással végzik. Előfordulhat az is, hogy egyes speciális állományok (például COMMAND.COM) fertőzésére a víruskód külön algoritmust tartalmaz. A víruskód elhelyezése a megfertőzött gazdaprogramban különösen érdekes, mert a vírusmentesítéskor a takarító programnak pontosan tudnia kell, honnan és mekkora részleteket kell kivágnia. Bootvírusok esetén az 512 bájtnál (1 szektor) nagyobb programkódot már csak további szektorokban lehet elrejteni, amelyek megtalálása a víruskód konkrét ismerete nélkül elég nehéz.

A víruskód a fertőzött fájl elejére kerül, a vírus az eredeti programkódot hátrébb mozgatja.

A víruskészítők már a kezdetektől igyekeztek programjaik elrejtésére. Ennek érdekében a vírusprogramot kódolják, illetve olyan "szolgáltatással" látják el, hogy a kód fertőzésről fertőzésre változzon. Ennek mértéke is változó, és a többalakúság fokának megfelelően megkülönböztetünk polimorf, oligomorf és metamorf kártevőket. Az oligomorf, illetve polimorf kártevőkben alkalmazott kódolásra (és kártevőre) jellemző a beépített dekódoló eljárás (dekriptor) is, mely a legtöbb esetben jól elkülöníthető a víruskód többi részétől.

A vírus programkódja titkosított.

image A megtámadott számítógépen a hátsóajtó nyitásának egy eszköze, ha valamilyen IRC csatornán keresztül a féreg vagy vírus lehetőséget teremt a távvezérlésre. Az IRC csatornákon keresztül tovább is küldheti magát más IRC felhasználókhoz.

A MS-DOS/HLLP.Toadie.7800.B vírus a(z) mIRC csevegőprogramot használja.


Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel

a rendszerórán a percek száma épp 17

tevékenység

  • a következő üzeneteket jeleníti meg:
  • There once was a bud named B.C.
    He grew on a 7 foot tree
    Till one day I plucked him
    Rolled him and smoked him
    And now I can barely see!
  • Ladies and gentlemen, I stand before you to stand behind you to tell you something I know nothing about. Thursday, which is Good Friday, we are having a Fathers Day party for mothers only. Admission is free, pay at the door, pull out a chair and sit on the floor.
  • Late one night in the middle of the day, two dead soldiers got up to fight. Back to back they faced each other, pulled out their swords and shot one another. A deaf policeman heard the noise, got up and shot the twice dead boys. If you do not believe me, ask the blind man who saw it all, through a knothole in a wooden brick wall.
  • Question: If someone with multiple personalities tries to commit suicide, do the police consider it a hostage situation?
  • One bong hit, Two bong hit, Three bong hit, Floor.
  • üzenetablakot jelenít meg a következő szöveggel:
    "TOADiE v1.2 - Raid SLAM< time" for a reinstall... HeHeHe IS>

A fertőzés módszerei

A vírusok és programférgek egy része speciális bejegyzéseket őriz kódjában arra, hogy a megtámadott számítógépek merevlemezén mely könyvtárakban keressenek megfertőzhető fájlokat, illetve mely könyvtárban helyezhetik el a biztos és rendszeres vezérléshez jutás reményében a kártékony program futtatható kódját hordozó programfájlokat.

A MS-DOS/HLLP.Toadie.7800.B vírus az aktuális könyvtár fájljait fertőzi meg.

Valahányszor egy fertőzött fájlt végrehajtanak, a vírus megfertőz 100 újabb fájlt ugyanabban a könyvtárban.


Memória

A vírusok nagyobbik része rezidens módon bekerül a memóriába, ám vannak, amelyek direkt fertőzőként (parazita módon) programkódjuk lefutása után a vezérlést visszaadják a gazdaprogramnak és eltávoznak a memóriából.

A MS-DOS/HLLP.Toadie.7800.B vírus nem mutat memóriarezidens viselkedést, és direkt fertőzőként, parazita módon, ha lefutott, visszaadja vezérlést a gazdaprogramnak vagy az operációs rendszernek.