АНТИ (компьютерный вирус) - ANTI (computer virus)

Распространенное имяАНТИ
ПсевдонимыАНТИ-0, АНТИ-А, АНТИ-АНГ, АНТИ-В, Антивариант
КлассификацияВирус
ТипMacintosh
ПодтипИнфектор приложений, защита от копирования
Изоляция1989-02 (АНТИ-А), 1990-09 (АНТИ-Б)
Начало координатФранция
Авторы)Неизвестно
Операционные системы) затронутыйСистема 6 и старше работает Finder
Размер файла1352 байта (ANTI-A), 1152 байта (ANTI-B)

АНТИ это Компьютерный вирус влияющий яблоко Macintosh компьютеры работают классическая Mac OS версии до Система 6. Он особенно примечателен тем, что является первым вирусом Macintosh, который не создает дополнительных Ресурсы внутри зараженных файлов; вместо этого он исправляет существующие ресурсы CODE.[1][2]

Наиболее часто встречающиеся штаммы ANTI обладают лишь незначительными эффектами и, следовательно, могут существовать и распространяться бесконечно долго, не будучи замеченными до тех пор, пока антивирусное приложение запущен.[3] Из-за ошибки в вирусе он не может распространяться, если MultiFinder работает, что предотвращает заражение Система 7 и более поздние версии Mac OS, а также System 5 и 6, работающие с MultiFinder.[1][4][5]

Режим работы

ANTI заражает только приложения[6] (в отличие от системных файлов), поэтому может распространяться только при запуске зараженного приложения.[7] Когда такое приложение вызывает функцию OpenResFile,[8] вирус ищет на компьютере приложения, удовлетворяющие всем следующим критериям:

  1. У них есть КОД (сегмент кода приложения[9]) ресурсы с идентификаторами ресурсов 0 и 1
  2. КОД 1 начинается с JSR инструкция (обычно основной ресурс в данном приложении)[10]
  3. Приложение еще не заражено АНТИ
  4. Сумма размера КОДА 1 плюс размер вируса меньше или равна 32 768 байтам.[8]

Затем все подходящие приложения заражаются путем добавления вируса к ресурсу CODE 1.[11] и добавление соответствующей записи в таблицу переходов приложения.[2][8]

Варианты

Существует три штамма ANTI со следующими отличиями:

  • АНТИ-А: 1344 байта[1] плюс 8-байтовая запись таблицы переходов. Первая изолированная версия во Франции.[12] в феврале 1989 г.[3][8] Ищет штаммы ANTI-B и преобразует их в ANTI-Variant.[13]
  • АНТИ-В: 1144 байта[14] плюс 8-байтовая запись таблицы переходов. Обнаружен во Франции[15] в сентябре 1990 г.[3] Несмотря на более позднюю дату обнаружения, считается, что это самая ранняя версия вируса.[16] Также известен как АНТИ-0.
  • АНТИ-вариант: Обнаружен в сентябре 1990 года.[17] Результат обнаружения и модификации ANTI-A штамма ANTI-B. Заставляет компьютер зависать при запуске зараженного приложения.[18][19] Также известен как АНТИ-АНЖ.

Полезная нагрузка

Все штаммы несут полезная нагрузка относится к дискета доступ. Когда зараженное приложение вызывает функцию MountVol, вирус проверяет, действительно ли диск является дискетой,[8] и если да, читает первый сектор (512 байт[20]) дорожки 16. Затем вирус сравнивает текст со смещением в 8 байтов в этом секторе со строкой $ 16 + "%% S".[8] Если текст совпадает, вирус выполняет код со смещением 0 сектора через JSR. Известно, что о существовании дисков, содержащих соответствующую строку, не существует, поэтому на практике эта полезная нагрузка не имеет никакого эффекта.

Основываясь на этом поиске ожидаемой строки в определенном месте на диске, Дэнни Швенденер из ETH Цюрих выдвинули гипотезу, что АНТИ должен был стать частью защита от копирования схема,[10] который обнаружит реорганизацию, вызванную стандартной копией файловой системы.

Побочные эффекты

Во время заражения ANTI очищает все атрибуты ресурсов, связанные с CODE 1, что может привести к тому, что зараженное приложение будет использовать больше памяти,[13] особенно на старых Macintosh с 64 KiB ROM.[3]

Смягчение

В отличие от предыдущих вирусов Macintosh, ANTI не может быть обнаружен по определенным именам ресурсов и идентификаторам; Чтобы найти сигнатуры, связанные с вирусом, требуется более медленный поиск сравнения строк.[1]

В Гамбургский университет Центр тестирования вирусов рекомендует обнаружение с помощью антивирусного приложения, например Дезинфицирующее средство (версия 2.3 и выше[21]), Интерферон, вирусный детектив или вирусный прием,[22] в то время как McAfee рекомендует Вирекс.[8] Однако потеря атрибутов ресурсов означает, что удаление вируса не восстанавливает исходное состояние исходного приложения;[5] полностью эффективно только восстановление из резервной копии, свободной от вирусов.[11][13]

Смотрите также

использованная литература

  1. ^ а б c d Юджин Х. Спаффорд, Кэтлин А. Хифи и Дэвид Дж. Фербраш "Учебник по компьютерным вирусам ", 28 ноября 1989 г., стр. 36. Технические отчеты по информатике Документ 795.
  2. ^ а б Питер Дж. Деннинг (редактор), Компьютеры под атакой, ACM Press, 1990, стр. 350
  3. ^ а б c d Брюс Шнайер, Защитите свой Macintosh, Peachpit Press, 1994, стр. 124-125.
  4. ^ Дэвид Харли, Вирусы и Macintosh
  5. ^ а б Поль Баккас (редактор), OS X Эксплойты и защита, Syngress Publishing, 2008, стр. 83
  6. ^ Гиззинг Х. Ханака и Уильям Дж. Орвис, Обновление информации о вирусах CIAC-2301 В архиве 2017-03-02 в Wayback Machine, Департамент энергетики по вопросам компьютерных инцидентов, Ливерморская национальная лаборатория, 21 мая 1998 г., стр. 59
  7. ^ Дэвид Фербраш, «Известные вирусы Apple Macintosh», Бюллетень вирусов, Июль 1989 г., стр. 5
  8. ^ а б c d е ж г McAfee, MacOS / АНТИ
  9. ^ Apple Computer, Inc., Внутри Macintosh, Том I, Эддисон Уэсли, 1985, стр. 107
  10. ^ а б Список известных вирусов Macintosh
  11. ^ а б Джон К. Дворжак, Мими Смит-Дворак, Бернард Дж. Дэвид и Джон А. Мерфи, Внутренний путь Дворжака для Mac, Осборн Макгроу-Хилл, 1992, стр. 178
  12. ^ Вирекс, Антивирусное программное обеспечение для компьютеров Macintosh Руководство пользователя, п. 87
  13. ^ а б c About.com Вирусная энциклопедия, АНТИ
  14. ^ Вирусный тест-центр, Гамбургский университет, АНТИ В Вирус
  15. ^ Эдуард Валаускас, Рабочие станции Macintosh, Отчет о библиотечной рабочей станции, Том. 7, выпуск 9
  16. ^ TidBITS, АНТИ-В, 1 октября 1990 г.
  17. ^ Алан Куперсмит, Определения вирусов Virex 3.x
  18. ^ Вирусный тест-центр, Гамбургский университет, АНТИ вариантный вирус
  19. ^ Сидней Морнинг Геральд, Воскресенье, 31 марта 1991 г., стр. 45, Борьба с вирусом
  20. ^ Apple Computer, Inc., Внутри Macintosh, Том II, Эддисон Уэсли, 1985, стр. 211
  21. ^ TidBITS, 2.3 и подсчет, 29 октября 1990 г.
  22. ^ Вирусный тест-центр, Гамбургский университет, АНТИ Вирус

внешние ссылки

  • Вирусная энциклопедия, Анти
  • Новый вирус Macintosh - Объявление Тьерри Делеттра на CompuServe (включает некоторые предположения, которые позже были признаны неверными)