안티바이러스(컴퓨터 바이러스)

ANTI (computer virus)
통칭안티
에일리어스안티-0, 안티A, 안티ANGE, 안티B, 안티변수
분류바이러스
유형매킨토시
서브타입응용 프로그램 감염자, 복사 방지
격리1989-02(ANTI-A), 1990-09(ANTI-B)
원점프랑스.
작성자알 수 없는
영향을 받는 운영 체제Finder를 실행하고 있는 시스템 6 이상
파일 크기1,352바이트(ANTI-A), 1,152바이트(ANTI-B)

안티바이러스(ANTI)는 Mac OS 버전부터 System 6까지를 실행하는 Apple Macintosh 컴퓨터에 영향주는 컴퓨터 바이러스입니다.감염된 파일 내에 추가 리소스를 생성하지 않은 첫 Macintosh 바이러스입니다. 대신 기존 CODE 리소스에 [1][2]패치를 적용합니다.

가장 흔히 볼 수 있는 ANTI의 변종은 미미한 효과만 있기 때문에 안티바이러스애플리케이션[3]실행될 때까지 눈치채지 못하고 무한히 존재하거나 확산될 수 있습니다.바이러스의 버그로 인해 MultiFinder가 실행 중일 경우 전파되지 않으며, 이로 인해 [1][4][5]MultiFinder를 실행하는 시스템 5 및 6뿐만 아니라 시스템 7 및 이후 버전의 Mac OS에도 감염되지 않습니다.

동작 모드

안티바이러스(ANTI)는 시스템파일이 아닌 응용 프로그램만[6] 감염되므로 감염된 응용 프로그램이 [7]실행될 때만 확산됩니다.이러한 응용 프로그램이 OpenResFile [8]함수를 호출하면 바이러스는 컴퓨터에서 다음 기준을 모두 충족하는 응용 프로그램을 검색합니다.

  1. 리소스 ID가 0 및 1인 CODE(어플리케이션 코드[9] 세그먼트) 리소스가 있습니다.
  2. CODE 1은 JSR 명령으로 시작합니다(일반적으로 특정 애플리케이션의 [10]메인 리소스).
  3. 응용 프로그램이 아직 ANTI에 감염되지 않았습니다.
  4. CODE 1의 사이즈와 바이러스의 사이즈의 합계가 32,768바이트[8] 이하입니다.

그런 다음 바이러스를 CODE 1 리소스에[11] 추가하고 해당 엔트리를 응용 프로그램의 점프 [2][8]테이블에 추가하면 일치하는 모든 응용 프로그램이 감염됩니다.

변종

ANTI에는 3가지 종류가 있으며 다음과 같은 차이가 있습니다.

  • 안티A: 1,344바이트[1] + 8바이트 점프 테이블 엔트리1989년 [3][8]2월 프랑스에서 처음[12] 분리된 버전입니다.ANTI-B 변종을 검색하여 ANTI-Variant로 [13]변환합니다.
  • ANTI-B: 1,144바이트[14] + 8바이트 점프 테이블 엔트리1990년 [3]9월 프랑스에서 발견되었다[15].더 늦은 발견 날짜에도 불구하고,[16] 그것은 바이러스의 가장 이른 버전인 것으로 믿어진다.ANTI-0이라고도 합니다.
  • 안티변수:1990년 [17]9월에 발견.AANTI-B 균주를 발견하여 수정한 결과입니다.감염된 응용 프로그램이 [18][19]실행될 때 컴퓨터가 중단됩니다.ANTI-ANGE라고도 합니다.

페이로드

모든 균주는 플로피 디스크 액세스와 관련페이로드를 운반합니다.감염된 응용 프로그램이 MountVol 함수를 호출하면 바이러스는 디스크가 실제로 플로피 [8]디스크인지 확인하고, 그럴 경우 트랙 16의 첫 번째 섹터(512바이트[20])를 읽습니다.다음으로 바이러스는 오프셋8 바이트의 텍스트를 해당 섹터에 16+"%" 문자열과 비교합니다.S".[8] 텍스트가 일치하는 경우 바이러스는 JSR을 통해 섹터의 오프셋 0에서 코드를 실행합니다.일치하는 문자열을 포함하는 디스크가 존재하지 않으므로 실제로 이 페이로드에는 영향이 없습니다.

ETH Zurich의 Danny Schwendener는 디스크 상의 특정 위치에서 예상되는 문자열을 검색한 결과, ANTI가 표준 파일 시스템 복사본으로 인한 재구성을 탐지하는 복사 방지 계획의 일부[10]구성하기 위한 것이었다고 가정했습니다.

부작용

감염 중 ANTI는 CODE 1과 관련된 모든 자원 Atribut을 클리어합니다.이로 인해 감염된 응용 프로그램은 특히 64KiB [3]ROM이 있는 오래된 Macintosh에서 [13]더 많은 메모리를 사용할 수 있습니다.

경감

이전 Macintosh 바이러스와 달리 ANTI는 특정 리소스 이름 및 ID로 검출할 수 없습니다.바이러스 [1]관련 시그니처를 검색하려면 더 느린 문자열 비교 검색이 필요합니다.

함부르크 대학의 바이러스 테스트 센터에서는 소독제(버전 2.3 이상[21]), Interferon, Virus Detect 또는 Virus [22]Rx와 같은 안티바이러스 응용 프로그램을 사용하는 것이 권장되며 McAfee에서는 Virex[8]사용하는 것이 좋습니다.그러나 리소스 속성이 손실된다는 것은 바이러스를 제거해도 원래 애플리케이션이 원래 상태로 [5]복원되는 것이 아니라 바이러스 없는 백업에서 복원하는 것만이 완전히 [11][13]효과적이라는 것을 의미합니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b c d 유진 H. 스파포드, 캐슬린 A히피와 데이비드 J.Ferbrache, "A Computer Virus Primer", 1989년 11월 28일, 페이지 36.컴퓨터 사이언스 테크니컬 리포트 문서795
  2. ^ a b Peter J Denning (편집자), Computers Under Attack, ACM Press, 1990, 페이지 350
  3. ^ a b c d Bruce Schneier, Peachpit Press, 1994년, 페이지 124-125
  4. ^ David Harley, Virus and the Macintosh
  5. ^ a b Paul Baccas (편집자), OS X의 이용과 방어, Sungress Publishing, 2008, 페이지 83
  6. ^ Gizzing H. Khavaka & William J. Orvis, 바이러스 정보 업데이트 CIAC-2301 Archived 2017-03-02, 에너지 컴퓨터 사고 어드바이저리 능력 부문, 로렌스 리버모어 국립연구소, 1998년 5월 21일, 페이지 59.
  7. ^ David Ferbrache, "Apple Macintosh 바이러스" 바이러스 게시판, 1989년 7월, 페이지 5
  8. ^ a b c d e f g McAfee, MacOS/ANTI
  9. ^ Apple Computer, Inc., Inside Macintosh, Volume I, Adison Wesley, 1985, 페이지 107
  10. ^ a b 알려진 Macintosh 바이러스 목록
  11. ^ a b 존 C. 드보락, 미미 스미스 드보락, 버나드 J. 데이비드, 존 A.Murphy, Dvorak's Inside Track to the Mac, Osborne McGraw-Hill, 1992, 페이지 178
  12. ^ Virex, Macintosh 컴퓨터용 안티바이러스 소프트웨어 사용자 가이드, 페이지 87
  13. ^ a b c About.com 바이러스 백과사전, 안티
  14. ^ 바이러스 테스트 센터, 함부르크 대학, 안티 B 바이러스
  15. ^ Edward Valauskas, Macintosh Workstation, Library Workstation Report, Vol.7, 9호
  16. ^ TidBITS, ANTI-B, 1990년 10월 1일
  17. ^ Alan Coopersmith, Virex 3.x 바이러스 정의
  18. ^ 바이러스 테스트 센터, 함부르크 대학, 안티 변종 바이러스
  19. ^ 시드니 모닝 헤럴드, 1991년 3월 31일 일요일, 페이지 45, 바이러스 퇴치
  20. ^ Apple Computer, Inc., Inside Macintosh, Volume II, Adison Wesley, 1985, 페이지 211
  21. ^ TidBITS, 2.3 카운트, 1990년 10월 29일
  22. ^ 바이러스 테스트 센터, 함부르크 대학, 안티 A 바이러스

외부 링크

  • 바이러스 백과사전, 안티
  • 새로운 Macintosh 바이러스 - Tierry DeLettre의 CompuServe 발표 (나중에 잘못된 추측도 포함)