Re: Czy to moze byc virus?

Autor: Romek (zylla_at_ck-sg.p.lodz.pl)
Data: Mon 06 Apr 1998 - 18:10:05 MET DST

• Następna wiadomość: Boguslaw Witkowski: "AWE 64 OEM"
• Poprzednia wiadomość: Pawel Tadejko: "Re: Nieprawidlowy plik dzwiekowy wav"
• Przypuszczalnie w odpowiedzi na: Kazimierz Debski: "Czy to moze byc virus?"
• Następna w wątku: Kazimierz Debski: "Re: Czy to moze byc virus?"
• Odpowiedz: Kazimierz Debski: "Re: Czy to moze byc virus?"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

At 15:31 98-04-06 +0200, you wrote:
>Witam,
>
>Kilka osob zglosilo mi taki problem:
>W BOOT sektorze dyskietek tam gdzie powinno pisac OEM ID np.:
>MSDOS5.0 (formatowane pod DOS-em) lub MSWIN40 (formatowane pod
>windows) pisze
>
> (pR1/IHC

  Ciekawe, tez sie z tym spotkalem a system mam czysty.

>Zastanawiajace jest to ze "(" jest staly i "IHC" tez jest stale.
>Natomiast "pR1/" zmieniaja sie. Druga litera w tej sekwencji jest
>stala w danym dniu a moze nawet miesiacu. Trzecia, czwarta i piata
>zmieniaja sie przy kopiowaniu, kasowaniu itp...
>
>Po zmianie daty systemowej na 2 miesiace do tylu literka "p" ulegla
>zmianie na "m".

  numer seryjny dysku jest generowany przy formatowaniu
  z generatora liczb losowych, ktorego nasionkiem jest
  data systemowa

> Niektorzy sprawdzali rozne antyviry ale nic nie wykrywaja.
> Tylko w jednym przypadku NAV 4.0 wyczail "BloodHount.Boot"

  widocznie jednak byla zawirusowana.

>jednak nie potrafil go usunac i w ostatnich sektorach boot-recordu byl
>wpis ze wirus jest sterilized.

  Co oznacza, ze nie mogl dalej zarazac ale byl na dysku.

  radze patrzec na inne bajty w kodzie boot-sectora np. w poblizu
  polowy jego dlugosci.

  Jesli sa tam takie zestawy literek jak: XXX HH PRQ
  to wszystko w porzadku, ten boot sektor tak ma.

  Jesli napisy na koncu sektora sa czesciowo przymazane
  to z pewnoscia zrobil to wirus.

  Jesli w ostatnim sektorze nalezacym do glownego DIR (str 2 sektor 15)
  masz obraz bootsektora zamiast samych zer to z pewnoscia dyskietka
  jest zarazona wirusem bootsektorowym.

>
>Moze sieje niepotrzebna panike bo win95 moze lubi sobie pogrzebac
> po bootsektorach dyskietek, ale troche mnie to niepokoi.

  to nie ma nic do rzeczy

>Kazek

--
Romek
 ============= PeCetologia to nauka experymentalna =============
   ~~~~~~~~~~~~~  ale warto czytać podręczniki.  ~~~~~~~~~~~~~
         W zadnej dziedzinie inzynierskiej lub zblizonej
           nie ma tyle debilizmu co w programowaniu.  (A.L.1998)

• Następna wiadomość: Boguslaw Witkowski: "AWE 64 OEM"
• Poprzednia wiadomość: Pawel Tadejko: "Re: Nieprawidlowy plik dzwiekowy wav"
• Przypuszczalnie w odpowiedzi na: Kazimierz Debski: "Czy to moze byc virus?"
• Następna w wątku: Kazimierz Debski: "Re: Czy to moze byc virus?"
• Odpowiedz: Kazimierz Debski: "Re: Czy to moze byc virus?"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Tue 18 May 2004 - 17:09:16 MET DST