Quandary

Létrehozva: 2007-11-22, 16:13:16

Utolsó frissítés: 2009-11-09, 18:51:55

Platform: MS-DOS

Típus: vírus

Méret: 437

Dátum: 2000-11

Veszélyeztetett operációs rendszer(ek): DOS

Veszélyeztetett területek: boot-szektor

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A MS-DOS/Quandary vírus elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Boot-437
AVG	Boot-437
BitDefender	Babol.2048.A (Boot image)
F-PROT	Boot-437.A
F-Secure	Trojan.Win32.Gutted
Ikarus	Trojan.Win32.Gutted
Kaspersky	Trojan.Win32.Gutted
McAfee	Bath(Virus)

vírusvédelem	elnevezés
Microsoft	DOS/Boot.A
NOD32 (ESET)	Quandary
Norton Antivirus	HLLO.Dandler.13112
Panda	Boot-437
Rising Antivirus	Trojan.Gutted
Sophos	Boot
Trend Micro	Generic_1205*
VirusBuster	Boot 437

szervezet	elnevezés
Wildlist	Den_Zuko.2.A,Den_Zuko.A

Fertőzés

A vírusok tevékenységének leglényegesebb célja, hogy más programterületeket fertőzzenek meg. Ezek a programterületek lehetnek programfájlok, programkódot tartalmazó szektorok (boot szektor, MBR - master boot record). Egyes vírusok a fertőzést az egyes területeken különböző eljárással végzik. Előfordulhat az is, hogy egyes speciális állományok (például COMMAND.COM) fertőzésére a víruskód külön algoritmust tartalmaz.

A hajlékonylemez fertőzése

A bootvírusok elsődleges célpontja a merevlemezek partíciós táblájában (MBR - Master Boot Record), illetve az operációs rendszer boot szektorában lévő kis betöltő program. Flopi lemezen (mivel ott nem lehetnek partíciók) nincs partíciós tábla, az első szektor a boot szektor. Az első bootvírusok természetszerűleg még nem voltak felkészítve a később megjelent lemezformátumokra. Ennek megfelelően akadnak, amelyek csak a 360 KB-os flopilemezeket, mások csak az 5,1/4 hüvelykes flopikat fertőzik, míg mások már többféle, akár az összes lemezformátum fertőzésére képesek.

A MS-DOS/Quandary vírus megfertőzi a flopilemezek bootszektorát.

A bootvírusok jelentős hányada nem írja egyszerűen felül a flopilemezek, merevlemezek bootszektorát, illetve a merevlemezek mbr-jét és partíciós tábláját, hanem előtte elmenti az eredeti bootprogramot, illetve mbr és partíciós tábla tartalmakat. Erre több okból is sort kerítenek. Egyrészt csökken a lebukás veszélye, ha a víruskód után az eredeti bootprogram is betöltődik, másrészt a további rejtőzködéshez is elengedhetetlen, hogy a lopakodó vírus az eredeti állapotok látszatát hamisíthassa a valós adatok helyére.

A MS-DOS/Quandary vírus az eredeti bootszektor tartalmát elmenti, így az a víruskód lefutását követően betölthető és végrehajtható. Így tudja a vírus az eredeti operációs rendszert feltűnés nélkül elindítani.

A MS-DOS/Quandary vírus az eredeti bootszektort a 0. cilinder 6. szektorába menti el.

A vírus az eredeti bootszektort a(z) 0 lemezoldalon menti el.

A számítógépvírusok, programférgek, kémprogramok, dialerek, backdoor és rootkit programok és egyéb programkártevők megadott célrendszerek fertőzésére készültek. Bár a Windows különböző változatai sok tekintetben kompatibilisek egymással, a köztük levő különbség gyakran elég lehet, hogy a kártevő a számára nem tökéletes környezetben szaporodás-, illetve működésképtelenné váljon.

A vírus nem teljes értékű a következő rendszer(ek)en:

Windows XP
Windows 2003
Windows 2000
Windows 95
Windows 98
Windows ME

A merevlemez fertőzése

Memória

A vírusok nagyobbik része rezidens módon bekerül a memóriába, ám vannak, amelyek direkt fertőzőként (parazita módon) programkódjuk lefutása után a vezérlést visszaadják a gazdaprogramnak és eltávoznak a memóriából.

A MS-DOS/Quandary vírus memóriarezidens.

A MS-DOS/Quandary vírus a 640K méretű DOS memóriába kerül be.

A memóriába beülő MS-DOS/Quandary vírus lecsökkenti a DOS által elérhető memóriát. Ez a csökkenés 1024 bájt.