A kártevők a keletkezett fájlokat manapság már igen megtévesztően nevezik el. Íme egy példa: a futó folyamatok közül az LSASS.EXE általában a Local Security Authentication Server program, de van olyan kártevő, amelyik ugyanilyen EXE néven kerül a gépbe. Itt egy jó víruskereső segíthet, és az a megfigyelés: míg az eredeti LSASS a System32 mappában lakozik, a Trojan.Lsass a Drivers/Etc mappába települ.


Íme egy mai hír, érdemes megnézni a létrehozott fájlok listáját:

• %Windir%\iexplore.exe
• %Windir%\System32\mslogon.dll
• %Windir%\diskguard.dll
• %Windir%\find32.exe
• %Windir%\mspwd.exe.
• %Windir%\System32\manager.dll
• %Windir%\System32\ckcn.exe.

Általában is megfigyelhető, hogy a jobb megtévesztés miatt mennyire trükkös neveket használnak a vírusírók, kinek lenne például bátorsága letörölni mondjuk egy igen hivatalosnak látszódó HOSTS.EXE nevű állományt a Windows könyvtárából? Persze aki tudja, hogy alapból ilyen nem is létezik, annak könnyebb a helyzete, de most a laikus átlagfelhasználó szemszögéből akartuk mutatni, ha nem pont virus.exe-nek hívják (erre kár is lenne várni) a kártékony kódot, mindig lehet némi zavart okozni a berkekben ;-)

Van aztán olyan is, hogy egy alkalmazás védeni akarja magát - lehet ez egy biztonsági program (pl. AVG AntiRootkit) vagy akár egy keylogger - és igyekszik saját magát rejtett processzként, de legalábbis minden futtatásnál random processnévvel létrehozni, hogy a fix névlistákkal dolgozó programok dolgát ezzel is megnehezítse.


Majdnem minden vírusvédelmi programnak komoly erőfeszítései vannak, hogy saját állományaik sértetlenségét (nincs-e patchelve, fertőzve, kicserélve, letörölve, meghookolva, stb.) detektálni tudja, és különböző technikákkal megakadályozza az ilyen jellegű hibás működést. Ez régebben még zömmel csak az egyszerű CRC ellenőrző összeget jelentette, ma egyre inkább a digitális aláírással (de más módokon is) való ellenőrzés irányába mozdul el. Az úgynevezett retrovírusok egyébként pontosan a vírusvédelmi alkalmazások ismert nevű összetevőit támadják: megkísérlik folyamataikat leállítani, moduljaikat fizikailag is törölni, illetve újabban szokás még a hosts fájl mérgezésével a frissítési folyamatok meghiúsítása is. Egy klasszikus példa a retrovírus kategóriából a majd 8 éve megjelent Klez.


E kis áttekintés végén az alábbi retro klipekkel kívánunk minden kedves Olvasónknak bitekben gazdag, vírusokban pedig szegény Boldog Új Évet!