АНТИ (компьютерный вирус)

АНТИ
АНТИ
Псевдоним	АНТИ-0, АНТИ-А, АНТИ-АНЖ, АНТИ-B, Антивариант
Тип	Макинтош
Подтип	Инфектор приложений, защита от копирования
Классификация	Вирус
Дата изоляции	1989-02 (АНТИ-А), 1990-09 (АНТИ-Б)
Источник	Франция
Авторы	Неизвестный
Технические детали
Платформа	Система 6 и старше, использующая Finder
Размер	1352 байта (АНТИ-А), 1152 байта (АНТИ-Б)

ANTI — компьютерный вирус , поражающий Apple Macintosh, компьютеры работающие под управлением классических версий Mac OS вплоть до System 6 . Это был первый вирус Macintosh, который не создавал дополнительные ресурсы в зараженных файлах; вместо этого он исправляет существующие ресурсы CODE. ^{[ 1 ]}^{[ 2 ]}

Наиболее часто встречающиеся штаммы ANTI оказывают лишь незначительное воздействие и поэтому могут существовать и распространяться неопределенно долго, оставаясь незамеченными до тех пор, пока не антивирусное приложение . будет запущено ^{[ 3 ]} Из-за ошибки в вирусе он не может распространяться, если запущен MultiFinder , что предотвращает заражение системы 7 и более поздних версий Mac OS, а также систем 5 и 6, на которых работает MultiFinder. ^{[ 1 ]}^{[ 4 ]}^{[ 5 ]}

Режим работы

ANTI заражает только приложения ^{[ 6 ]} (в отличие от системных файлов) и поэтому может распространяться только при запуске зараженного приложения. ^{[ 7 ]} Когда такое приложение вызывает функцию OpenResFile, ^{[ 8 ]} вирус ищет на компьютере приложения, соответствующие всем следующим критериям:

У них есть КОД (сегмент кода приложения ^{[ 9 ]}) ресурсы с идентификаторами ресурсов 0 и 1
КОД 1 начинается с инструкции JSR (обычно это основной ресурс в данном приложении). ^{[ 10 ]}
Приложение еще не заражено ANTI
Сумма размера КОДА 1 плюс размер вируса меньше или равна 32 768 байт. ^{[ 8 ]}

Все соответствующие приложения затем заражаются путем добавления вируса к ресурсу CODE 1. ^{[ 11 ]} и добавление соответствующей записи в таблицу переходов приложения. ^{[ 2 ]}^{[ 8 ]}

Варианты

Существует три штамма ANTI со следующими отличиями:

АНТИ-А : 1344 байта. ^{[ 1 ]} плюс 8-байтовая запись таблицы переходов. Первая изолированная версия во Франции. ^{[ 12 ]} в феврале 1989 года. ^{[ 3 ]}^{[ 8 ]} Ищет штаммы ANTI-B и преобразует их в ANTI-вариант. ^{[ 13 ]}
АНТИ-Б : 1144 байта. ^{[ 14 ]} плюс 8-байтовая запись таблицы переходов. Обнаружен во Франции ^{[ 15 ]} в сентябре 1990 года. ^{[ 3 ]} Несмотря на более позднюю дату открытия, считается, что это самая ранняя версия вируса. ^{[ 16 ]} Также известен как АНТИ-0 .
АНТИ-Вариант : Обнаружен в сентябре 1990 года. ^{[ 17 ]} Результат обнаружения и модификации штамма ANTI-B. Вызывает зависание компьютера при запуске зараженного приложения. ^{[ 18 ]}^{[ 19 ]} Также известен как АНТИ-АНЖ .

Полезная нагрузка

Все штаммы несут полезную нагрузку, связанную с доступом к дискетам . Когда зараженное приложение вызывает функцию MountVol, вирус проверяет, что диск на самом деле является дискетой. ^{[ 8 ]} и если да, то читает первый сектор (512 байт). ^{[ 20 ]}) дорожки 16. Затем вирус сравнивает текст со смещением 8 байт в этом секторе со строкой $16+"%%S". ^{[ 8 ]} Если текст совпадает, вирус выполняет код со смещением 0 сектора через JSR. Известно, что диски, содержащие соответствующую строку, не существуют, поэтому на практике эта полезная нагрузка не имеет никакого эффекта.

Основываясь на этом поиске ожидаемой строки в определенном месте на диске, Дэнни Швенденер из ETH Zurich выдвинул гипотезу, что ANTI был задуман как часть схемы защиты от копирования . ^{[ 10 ]} который обнаружит реорганизацию, вызванную стандартной копией файловой системы.

Побочные эффекты

Во время заражения ANTI очищает все атрибуты ресурсов, связанные с CODE 1, что может привести к тому, что зараженное приложение будет использовать больше памяти. ^{[ 13 ]} особенно на старых Macintosh с ПЗУ объемом 64 КиБ. ^{[ 3 ]}

смягчение последствий

В отличие от предыдущих вирусов Macintosh, ANTI не может быть обнаружен по конкретным именам и идентификаторам ресурсов; для поиска сигнатур, связанных с вирусом, требуется более медленный поиск по сравнению строк. ^{[ 1 ]}

рекомендует Центр вирусного тестирования Гамбургского университета обнаруживать вирус с помощью антивирусного приложения, такого как Disinfectant (версия 2.3 и более поздние версии). ^{[ 21 ]}), Интерферон, Вирусный детектив или Вирусный рецепт, ^{[ 22 ]} в то время как McAfee рекомендует Virex . ^{[ 8 ]} Однако потеря атрибутов ресурса означает, что удаление вируса не возвращает исходное приложение в исходное состояние; ^{[ 5 ]} Полностью эффективно только восстановление из безвирусной резервной копии. ^{[ 11 ]}^{[ 13 ]}

См. также

Расширенная защита от копирования , более поздняя спорная вредоносная программа для защиты от копирования.

Ссылки

^ Jump up to: ^а ^б ^с ^д Юджин Х. Спаффорд, Кэтлин А. Хифи и Дэвид Дж. Фербраш, « Учебник по компьютерным вирусам », 28 ноября 1989 г., с. 36. Технические отчеты по информатике, документ 795.
^ Jump up to: ^а ^б Питер Дж. Деннинг (редактор), Компьютеры под атакой , ACM Press, 1990, стр. 350
^ Jump up to: ^а ^б ^с ^д Брюс Шнайер, Защитите свой Macintosh , Peachpit Press, 1994, стр. 124–125.
^ Дэвид Харли, Вирусы и Macintosh
^ Jump up to: ^а ^б Пол Баккас (редактор), «Эксплойты и защита OS X» , Syngress Publishing, 2008, стр. 83
^ Гиззинг Х. Ханака и Уильям Дж. Орвис, Обновление информации о вирусах CIAC-2301. Архивировано 2 марта 2017 г. в Wayback Machine , Служба консультирования по компьютерным инцидентам Министерства энергетики, Ливерморская национальная лаборатория Лоуренса, 21 мая 1998 г., стр. 59
^ Дэвид Фербраш, «Известные вирусы Apple Macintosh», Вирусный бюллетень , июль 1989 г., стр. 5
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г Макафи, MacOS/АНТИ
^ Apple Computer, Inc., Внутри Macintosh , Том I, Аддисон Уэсли, 1985, стр. 107
^ Jump up to: ^а ^б Список известных вирусов Macintosh
^ Jump up to: ^а ^б Джон К. Дворжак, Мими Смит-Дворак, Бернард Дж. Дэвид и Джон А. Мерфи, Внутренний путь Дворжака к Mac , Осборн МакГроу-Хилл, 1992, стр. 178
^ Virex, Руководство пользователя антивирусного программного обеспечения для компьютеров Macintosh , стр. 87
^ Jump up to: ^а ^б ^с Энциклопедия вирусов About.com, ANTI
^ Центр вирусного тестирования, Гамбургский университет, ANTI B Virus
^ Эдвард Валаускас, Рабочие станции Macintosh , Отчет о библиотечной рабочей станции, Vol. 7, Выпуск 9
↑ TidBITS, ANTI-B , 1 октября 1990 г.
^ Алан Куперсмит, Определения вирусов Virex 3.x
^ Центр вирусного тестирования, Гамбургский университет, ANTI вариант вируса
^ Sydney Morning Herald, воскресенье, 31 марта 1991 г., стр. 45 , Борьба с вирусом
^ Apple Computer, Inc., Внутри Macintosh , Том II, Аддисон Уэсли, 1985, стр. 211
↑ TidBITS, 2.3 и продолжает расти , 29 октября 1990 г.
^ Центр вирусного тестирования, Гамбургский университет, ANTI A Virus

Внешние ссылки

Вирусная энциклопедия, Анти
Новый вирус Macintosh — объявление Тьерри Делеттра на CompuServe (включает некоторые предположения, которые позже были признаны неверными)

[primer-1] Jump up to: ^а ^б ^с ^д Юджин Х. Спаффорд, Кэтлин А. Хифи и Дэвид Дж. Фербраш, « Учебник по компьютерным вирусам », 28 ноября 1989 г., с. 36. Технические отчеты по информатике, документ 795.

[attack-2] Jump up to: ^а ^б Питер Дж. Деннинг (редактор), Компьютеры под атакой , ACM Press, 1990, стр. 350

[schneier-3] Jump up to: ^а ^б ^с ^д Брюс Шнайер, Защитите свой Macintosh , Peachpit Press, 1994, стр. 124–125.

[macintosh-4] Дэвид Харли, Вирусы и Macintosh

[exploits-5] Jump up to: ^а ^б Пол Баккас (редактор), «Эксплойты и защита OS X» , Syngress Publishing, 2008, стр. 83

[ciac-6] Гиззинг Х. Ханака и Уильям Дж. Орвис, Обновление информации о вирусах CIAC-2301. Архивировано 2 марта 2017 г. в Wayback Machine , Служба консультирования по компьютерным инцидентам Министерства энергетики, Ливерморская национальная лаборатория Лоуренса, 21 мая 1998 г., стр. 59

[bulletin-7] Дэвид Фербраш, «Известные вирусы Apple Macintosh», Вирусный бюллетень , июль 1989 г., стр. 5

[mcafee-8] Jump up to: ^а ^б ^с ^д ^и ^ж ^г Макафи, MacOS/АНТИ

[inside1-9] Apple Computer, Inc., Внутри Macintosh , Том I, Аддисон Уэсли, 1985, стр. 107

[macdigest-10] Jump up to: ^а ^б Список известных вирусов Macintosh

[dvorak-11] Jump up to: ^а ^б Джон К. Дворжак, Мими Смит-Дворак, Бернард Дж. Дэвид и Джон А. Мерфи, Внутренний путь Дворжака к Mac , Осборн МакГроу-Хилл, 1992, стр. 178

[virex-12] Virex, Руководство пользователя антивирусного программного обеспечения для компьютеров Macintosh , стр. 87

[about-13] Jump up to: ^а ^б ^с Энциклопедия вирусов About.com, ANTI

[antib-14] Центр вирусного тестирования, Гамбургский университет, ANTI B Virus

[emerald-15] Эдвард Валаускас, Рабочие станции Macintosh , Отчет о библиотечной рабочей станции, Vol. 7, Выпуск 9

[tidbits-16] TidBITS, ANTI-B , 1 октября 1990 г.

[virexdefs-17] Алан Куперсмит, Определения вирусов Virex 3.x

[antivari-18] Центр вирусного тестирования, Гамбургский университет, ANTI вариант вируса

[smh-19] Sydney Morning Herald, воскресенье, 31 марта 1991 г., стр. 45 , Борьба с вирусом

[inside2-20] Apple Computer, Inc., Внутри Macintosh , Том II, Аддисон Уэсли, 1985, стр. 211

[disinfectant-21] TidBITS, 2.3 и продолжает расти , 29 октября 1990 г.

[antia-22] Центр вирусного тестирования, Гамбургский университет, ANTI A Virus

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]