Stoned

A Stoned 1987-ben keletkezett indítószektori számítógépes vírus. Ez az egyik legkorábbi vírus, és feltehetően egy wellingtoni (Új-Zéland) tanuló hozta létre.[1][2] 1989-re elterjedt Új-Zéland és Ausztrália nagy részén,[3] és változatai világszerte elterjedtek az 1990-es évek elején.[4]

Az eredeti változat 12,5% valószínűséggel[5][6] okozta az alábbi üzenet megjelenését: „Your PC is now Stoned!”, mely a fertőzött hajlékonylemezek és merevlemezek indítószektorában jelent meg az alábbi szöveggel együtt: „Legalise Marijuana”. A későbbi változatok számos más üzenetet írtak ki.

Eredeti változat

Az eredeti „Your PC is now stoned. Legalise Marijuana” üzenetet feltehetően egy wellingtoni (Új-Zéland) tanuló írta.[1][7]

Az eredeti változat szerzőjének feltehetően csak IBM PC 360 kB-os hajlékonylemezekkel volt tapasztalata, mivel az IBM AT 1,2 MB-os meghajtón vagy a gyökérben 96-nál több fájllal rendelkező rendszereken nem működik. Nagyobb, például 1,2 MB-os meghajtón az eredeti szektor a könyvtár egy részét felülírhatja.

Az üzenet pontosan 8-cal osztható indítási idő esetén jelent meg. Sok ekkori IBM PC-klónon az indítási idők változhattak, így az üzenet véletlenszerűen (8-ból 1-szer) jelent meg. Egyes IBM PC-kompatibilis gépeken vagy eredeti IBM PC-ken az indítási idő konstans volt, így egy fertőzött gép vagy sose mutatta az üzenetet, vagy mindig. Egy fertőzött számítógép 360 kB-os hajlékonylemezzel és 20 MB-os vagy kisebb merevlemezzel egy tünetmentes hordozó, mely funkcióvesztés nélkül képes volt működni, de bármilyen belé helyezett lemezt megfertőzött volna.

Merevlemezeken az eredeti Master Boot Record a 0. henger 0. fejének 7. szektorára, a hajlékonylemezeken az eredeti indítószektor a 0. henger 1. fejének 3. szektorára került, mely a 360 kB-os lemezek utolsó könyvtárszektora. A vírus „biztonságosan” felülírja az indítószektort, ha a gyökérkönyvtárban legfeljebb 96 fájl van.

Változatok

A víruskép könnyen módosítható volt, még programozási ismeretek nélkül is megváltoztatható volt a megjelenő üzenet. Számos változata volt a Stoned-nak, némelyiknek csak az üzenete volt más.

Beijing, Bloody!

A vírus által megjelenített üzenet: „Bloody! Jun. 4, 1989”, utalva arra a napra, hogy a Kínai Népköztársaság ekkor szüntette meg a Tienanmen téri tüntetéseket.

Swedish Disaster

A vírus üzenete „The Swedish Disaster”.

Manitoba

A Manitobának nincs aktivációs eljárása, és nem tárolja az eredeti indítószektort, hanem csak felülírja. 2,88 MB-os EHD lemezeket is sért a vírus.

A Manitoba 2 kB memóriát használ.

NoInt, Bloomington, Stoned III

A NoInt megpróbálja az észlelését megakadályozni. Ez olvasási hibákat okoz a partíciós tábla elérésének kísérletekor. A NoInttel fertőzött rendszerek alapmemóriája 2 kB-tal kisebb.

Flame, Stamford

A Stoned egy változatát Flame-nek nevezték (később ehhez nem kapcsolódó malware kapta e nevet). A korai Flame 1 kB memóriát használ. Az eredeti indítószektort vagy MBR-t a 25. henger 1. fejének 1. szektorán tárolja közegtől függetlenül.

A Flame elmenti a fertőzés hónapját, melynek változásakor a képernyőn színes lángokat mutat, és felülírja az MBR-t.

Angelina

Az Angelina rejtőzik. Merevlemezeken az eredeti MBR-t a 0. henger 0. fejének 9. szektorára helyezi.

Az alábbi beágyazott szöveget tartalmazza, melyet nem jelenít meg a vírus: „Greetings from ANGELINA!!!/by Garfield/Zielona Gora” (Zielona Góra lengyel település).

  • 1995 októberében felfedezték az Angelinát új Seagate Technology 5850 IDE merevlemezekben.[8]
  • 2007-ben egyes, az Aldi üzletekben eladott Medion számítógépekről feltételezték, hogy az Angelinával fertőzött.[9] A Medion sajtóközleményben elmondta, hogy az észlelést nem a vírus, hanem az előtelepített Bullguard antivírus szoftverben lévő hiba okozta. A hibát később javították.[10] A Bullguard hibája rávilágított az eladók által a windowsos számítógépekre előtelepített szoftverekkel kapcsolatos gondokra (túl a felugró ablakokon és a pénzkéréseken), melyek célja a Windows-licencek költségének fedezése. A technológiai médiában gyakran kritizálják, még a Microsofthoz általában nagyon barátságos beszámolókban is megjelenik.[11]

Bitcoinblokklánc-eset

2014. május 15-én a Stoned vírus aláírása megjelent a bitcoin blokkláncában, ezért a Microsoft Security Essentials a blokklánc másolatait vírusnak tekintette, javasolta annak eltávolítását, és a csomópontot a blokklánc újratöltésére kényszerítette, folytatva a ciklust.[12][13]

Csak a vírus aláírása volt a blokkláncban, a vírus maga nem, és ha mégis ott lett volna, nem tudott volna működni.[14]

A helyzetet kevéssel később megoldotta a Microsoft a blokklánc Stonednak észlelésének megakadályozásával.[15] A Microsoft Security Essentials azonban továbbra is képes volt valódi Stoned-példányok észlelésére.

Jegyzetek

  1. a b ...a brief history of PC viruses.. IBM Research . [2012. október 27-i dátummal az eredetiből archiválva].
  2. "The early days", History of Malware
  3. (1989. augusztus 14.) „Marijuana Virus wreaks havoc in Australian Defence Department”. The Risks Digest 9 (9). (Hozzáférés: 2007. augusztus 7.) 
  4. F-Secure Virus Descriptions : Stoned. F-secure.com. (Hozzáférés: 2007. augusztus 7.)
  5. "Analysis of Stoned", Peter Kleissner
  6. "The “Stoned” PC Virus" Archiválva 2014. október 24-i dátummal a Wayback Machine-ben, Commented disassembly of virus code at computerarcheology.com
  7. "The early days" Archiválva 2013. február 14-i dátummal a Wayback Machine-ben, History of Malware
  8. Virus:Boot/Stoned. (Hozzáférés: 2010. augusztus 27.)
  9. Boot virus shipped on German laptops. Virus Bulletin. (Hozzáférés: 2008. január 8.)
  10. Wichtige Produktinformation zum Notebook MD 96290 (német nyelven). Medion AG, 2007. november 10. [2007. november 10-i dátummal az eredetiből archiválva]. (Hozzáférés: 2017. január 11.)
  11. Beat it, bloatware: How to clean Superfish and other crap off your PC (angol nyelven). PCWorld , 2015. február 19. (Hozzáférés: 2020. július 19.)
  12. Microsoft Security Essentials reporting false positives in the Bitcoin blockchain, constantly notifying users.. answers.microsoft.com
  13. Chirgwin, Richard: Bitcoin blockchain allegedly infected by ancient 'Stoned' virus. The Register
  14. A Virus Scare in the Blockchain: Traces of DOS "Stoned" Found • r/Bitcoin. www.reddit.com , 2014. május 19.Sablon:User-generated source
  15. Wei, Wang: Ancient 'STONED' Virus Signatures found in Bitcoin Blockchain

Kapcsolódó szócikkek

  • Brain, egy korábbi indítószektori vírus
  • Michelangelo, a Stonedon alapuló indítószektori vírus