Verschiedene Interessante Viren by SnakeByte [ SnakeByte@kryptocrew.de ] Geschrieben für: www.oberberg-aktuell.de Hier werde ich versuchen mal etwas über mehrere interessante Viren zu schreiben, die nicht unbedingt in den Medien diskutiert worden sind, um einmal die Vielfalt der Möglichkeiten eines Viruses und seinen Authors aufzuzeigen. Im Grunde gilt, das ein Virus all das kann was normale Programme auch können, der Kreativität sind keine Grenzen gesetzt. Win32.Harrier Dieser Virus ist zwar nicht sonderlich effektiv, da er einfach zu groß ist, als das er unbemerkt auf einem Rechner laufen könnte, allerdings ist er dies durch ein paar interessante "Features". Dieser Virus wurde in Assembler geschrieben und durch ein kleines Programm der Quellcode vor dem kompilieren modifiziert. Es wurde nach jedem Befehl ein Sprung eingefügt, der auf Programmteile verweist, die zwischen 4 und 20 KB weit weg liegen. Dort steht dann der nächste Befehl. Dadurch schafft es keine Heuristik den Virus komplett zu emulieren und ihn als Virus zu erkennen. Des weiteren kontrolliert der Virus Systemaufrufe und ändert Textstücke die vom Benutzer eingegeben werden: MICROSOFT -> MIcrOSOFT WINDOWS -> WINDOwS BILL GATES -> Gill Bates HARRIER -> Oh! Guys! Is it about me? Caterpillar-Virus Die Viren der Caterpillar Familie ( Dos Viren ) lassen teilweise eine grüne Raupe über den Bildschirm laufen, die Buchstaben auffrisst. Haben allerdings keine Schadensfunktionen und infizieren nur EXE und COM Dateien. Cascade-Virus Die Viren der Cascade Familie manifestiert sich darin, das die Buchstaben, vom Bildschirm fallen, sie lösen sich von ihrem Platz und bewegen sich auf den unteren Rand des Bildschirmes zu. Bis auf einen Virus sind alle Viren dieser Familie harmlos. Die Cascade.1491 Variante löscht jedoch auch Teile der Festplatte, hier ist also Vorsicht geboten. Pro-Alife.3423 Dieser Virus zeigt dem infizierten Benutzer eine Nachricht, die für das löschen von Antivirusprogrammen plädiert, da diese zuviele Viren töten, die wohl nach Ansicht des Programmierers künstliche Lebewesen dastellen. Leider hat dieser Virus die unangenehme Angewohnheit Antivirenprogramme vor ihrer Anwendung mit einem Trojaner zu überschreiben, der dann das oben genannte Bild präsentiert. PeterII Der PeterII Virus infiziert den Masterbootrecord (MBR) von Festplatten und wird dadurch bei jedem Start aktiv. Am 27 Februar meldet sich dann der Virus zu Wort: Good morning,EVERYbody,I am PETER II Do not turn off the power, or you will lost all of the data in Hardisk!!! WAIT for 1 MINUTES,please... Während diese Nachricht angezeigt wird, verschlüsselt der Virus die gesamte Festplatte, wodurch tatsächlich alle Daten beim Ausschalten verloren gehen würden. Nach dem Beenden der Verschlüsselung fragt der Virus den Anwender 3 Fragen zu der Musikszene der 80er Jahre. Wenn man alle 3 richtig beantwortet wird die Festplatte wiederhergestellt, ansonsten bleiben die Daten verschlüsselt. Playgame Die Viren der Playgame Familie sind auch interaktiv. Sie laden den infizierten Benutzer zum spielen eines einfachen Rennspiels ein, wenn eine infizierte Datei im Dezember gestartet wird. Dieser Virus hat glücklicherweise im Gegensatz zu dem PeterII Virus keine Schadensfunktion. IDEA.6126 Dieser Virus beherbergt neben einer netten Animation noch eine andere interessante Idee. Der Virus verschlüsselt sich selbt mit IDEA ( Einer der stärksten Verschlüsselungsalgorithmen, die ohne öffentliche Schlüssel arbeiten ) und startet einen sogenannten Brute-Force Angriff bevor er sich entschlüsselt. Das bedeutet, das er alle möglichen Schlüsselkombinationen ausprobiert, bevor er den richtigen findet. Dies hat zur Folge, das er nicht den Schlüssel speichern muss, so das auch ein Antivirenprogramm alle möglichen Schlüssel ausprobieren muss, wobei eine Heuristik normalerweise ausgibt, da dies ca. 10 Sekunden dauern würde ( pro Datei ). Dies wäre ein nicht zu vertredender Aufwand. A2Space Die Viren dieses Types infizieren EXE und COM Dateien unter DOS. Dazu wird die Ausgabe des Druckers kontrolliert und alle 'a' und 'A' Buchstaben durch ein Leerzeichen ersetzt. Win.RedTeam Dies ist der erste Virus, der es unter Windows schafft sich über das Internet zu verbreiten. Er infiziert nur Windows 3.x EXE Dateien und benutzt das weniger bekannte E-Mail Programm Eudora um sich an alle Addressaten im Addressbuch des Benutzers zu verschicken. Die E-Mail enthält raffinierterweise eine Warnung vor dem eigenen Virus und das Programm wird als Antivirusprogramm dafür angegeben. Win.Tentacle_II Dieser Virus verändert zu bestimmten Zeiten die Windows Registry, dahingehend, das bei Betrachtung einer GIF Datei ( Bildformat ) ein Bild angezeigt wird, das der Virus vorher angelegt hat. Ein Bild einer Tentakel. Autoworm Der Autoworm macht sich die Autorun Funktion von CD's zunutze. Immer wenn eine CD in das Laufwerk eingelegt wird, sucht Windows nach einer Datei namens "Autorun.inf". Ist diese vorhanden, werden die dort enthaltenen Befehle ausgeführt. Dieser Virus schreibt sich beim Starten auf alle verfügbaren Laufwerke inklusive einer Autostart-Datei, die als einzigen Befehl den Start des Viruses beinhaltet. Win95.Babylonia Dieser Virus versendet sich unter Windows per E-Mail und infiziert sowohl EXE als auch HLP ( Hilfe ) Dateien. Desweiteren setzt er sich in den Speicher und infiziert diese Dateien, wenn sie geöffnet, gelesen oder gestartet werden. Doch das interessante an diesem Virus ist die Update Funktion. Der Virus beinhaltet Routinen, die sogenannte Plugins ( Erweiterungen ) für den Virus aus dem Internet laden können, wodurch der Virus effektiver wird und mit neuen Fähigkeiten ausgestattet werden kann. Bekannte Plugins sind ein mIRC Wurm ( Verbreitet sich über das Chatsystem IRC ) eine Datei mit Grüßen und ein Plugin, das dem Author von jeder infizierten Maschiene eine E-Mail schreibt. Win95.CIH Der CIH Virus ( auch als Spacefiller oder Tschernobyl bekannt ) stammt aus Taiwan und infiziert Windows Exe Dateien. Je nach Version löscht dieser Virus entweder nur am 26. April oder am 26ten jeden Monats das Flash Bios und den Masterbootrecord. Um es einfacher auszudrücken, den Computer kann man nicht mehr gebrauchen. Alle Daten sind im Grunde verloren und auch Rettungsaktionen über Bootdisketten sind nicht mehr möglich. Um den Computer wieder lauffähig zu bekommen, muss das Motherboard oder das Flash Bios ausgetauscht werden. Wenn der Virus eine Datei infiziert sucht er im inneren der Datei nach stellen, die nur mit Nullen gefüllt sind und schreibt sich in diese. Win95.CIH-Killer Dieser Virus infiziert alle Dateien die er findet vom CIH ( Tschernobyl / Spacefiller ) Virus. Im Grunde ist er eine Kopie des echten CIH Viruses, mit dem Unterschied, das die destruktiven Teile entfernt wurden und er den destruktiven CIH entfernt. Macro.Word97.Melissa Dies ist eine Kombination zwischen einem Macro Virus und einem E-Mail Wurm. Der Virus Teil infiziert unter Word 97 und 2000 alle Dokumente die geöffnet werden, und verschickt sich selbst an die ersten 50 Adressaten, die im Outlook Adressbuch des Infizierten stehen. Interessant ist noch zu erwähnen, das der Author den Virus nach einer Striptease- Tänzerin benannt hat. VBS/Love-Letter Worm Dieser Wurm, der mit den Visual Basic Scripting Host verwendet um seine Funktion auszuführen tarnt sich als Liebesbrief. Nach dem Starten der angehängten Datei, verschickt sich dieser Wurm ähnlich dem Melissa Wurm an alle Adressaten im Outlook Adressbuch. Durch den Schneeballeffekt verbreitete sich dieser Wurm mit einer rasenden Geschwindigkeit, da wohl viele den Liebesbrief lesen wollten. Unter den Personen die den Brief lesen wollten, war unter anderem auch ein Antivirenforscher, der gleich 8 dieser Mails in seiner Mailbox hatte und dennoch keinen Verdacht schöpfte. Es kann also jeden treffen.