Aufruf des Programms F-HARE.EXE (Version 1.6g) F-HARE.EXE ist ein DOS-Programm, das vom DOS-Prompt in folgender Form aufgerufen wird: F-HARE laufwerk [/DISINFECT] [/MULTI] [/NOMEM] Das "laufwerk", dessen Partition-Record (im Fall von Festplatten) bzw. dessen Boot-Sektor (im Fall von Disketten) und dessen COM- und EXE- Dateien nach dem Hare-Virus durchsucht werden sollen, wird in bekann- ter Weise angegeben. Zus„tzlich k”nnen wahlweise noch Optionen angege- ben werden (siehe Beispiele). Sie besitzen folgende Bedeutung: /DISINFECT Infizierte Partition-Records bzw. Boot-Sektoren werden regeneriert und infizierte Dateien ges„u- bert. /MULTI Mehrere Disketten k”nnen im angegebenen Laufwerk nacheinander durchsucht werden ohne F-HARE neu zu starten. /NOMEM Der Hauptspeicher wird nicht auf einen residenten Virus geprft. VORSICHT, nur bei wiederholten Aufrufen von F-HARE benutzen! Selbstverst„ndlich k”nnen bei einem Aufruf auch mehrere Optionen ange- geben werden. F-HARE setzt ab Version 1.6 das DOS-Error-Level: 0 kein Hare-Virus gefunden 1 angegebener Pfad exisiert nicht 2 Hare ist im Speicher resident 3 Hare wurde mindestens einmal gefunden 4 mindestens ein vom Hare infiziertes Objekt wurde ges„ubert 5 Abbruch durch den Benutzer WICHTIGER HINWEIS: Nach der S„uberung des Partition-Records einer Fest- platte mit F-HARE kann eine DOS-Fehlermeldung auf- treten (kein Zugriff auf C:). Die Ursache dafr ist, daá zwar der Partition-Record bereits ges„ubert wurde, aber DOS bzw. F-HARE diesen sauberen Sektor noch nicht im Speicher zur Verfgung hat. In diesem Fall muá nur ein Kaltstart von einer virenfreien Diskette ausgefhrt und F-HARE noch einmal gestartet werden. Beispiele fr den Aufruf von F-HARE: F-HARE C: /DISINFECT Partition Record, COM- und EXE-Dateien vom Laufwerk C: werden nach Hare durch- sucht. Infizierte Objekte werden ges„u- bert. F-HARE A: /MULTI Mehrere Disketten werden im Laufwerk auf Hare durchsucht. Infizierte Objekte wer- den nicht ges„ubert. Hamburg, 12.08.96 Vorl„ufige Beschreibung des Hare-Virus Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollst„ndig analysiert. Die folgende Beschreibung des Hare-Virus beruht des- halb im wesentlichen auf Informationen von Data Fellows, Vesselin Bontchev, Eugene Kaspersky und auf Tests, die vom BSI (Bundesamt fr Sicherheit in der Informationstechnik) durchgefhrt wurden. Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da ber Internet zumindest aus den News-Gruppen alt.sex, alt.comp.share- ware und alt.cracks infizierte Dateien heruntergeladen werden konnten. Zur Zeit sind drei Varianten dieses Virus bekannt: Hare.7610, Hare.7750 und Hare.7786. Die im Namen der Varianten angegebenen Zahlen entsprechen der L„nge des Virus-Codes (nach der polymorphen Entschls- selungs-Routine) der betreffenden Variante. Virus-Typ: Hare ist ein polymorpher Virus. Die Verl„ngerung infizier- ter Dateien ist deshalb unterschiedlich. Allerdings ist diese auf jeweils einem Datentr„ger (Festplatte oder Diskette) gleich (auch mit "slow polymorphic" bezeichnet). Der Virus wird im Speicher resident und besitzt Tarnkappen-Eigenschaften. Infektionen: Der Hare-Virus ist multipartit. Er infiziert also nicht nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest- platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist, daá der Virus den Virus-Code auf Festplatten und auf Disketten auf Spuren schreibt, die hinter der letzten von DOS benutzbaren Spur lie- gen. Offensichtlich kann dies bei einigen speziellen Systemen zu Ab- strzen fhren, wenn der Zugriff auf diese Spuren fehlschl„gt. Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1). Er berschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der DOS-Befehl FDISK /MBR darf deshalb keinesfalls fr eine manuelle Rege- nerierung des Partition-Records verwendet werden. Bei einem Kaltstart von der Festplatte wird die Partition-Table vom Virus tempor„r restau- riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro- gramm ausgefhrt werden kann. Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese aber mit 17 statt mit 18 Sektoren, so daá diese Spur von vielen Disk- Editoren nicht gelesen werden kann. Spezielle Schutzfunktionen: Dateien deren Name mit "TB" oder "F" oder die den Buchstaben "V" im Namen enthalten, werden nicht infiziert. Verbreitete Anti-Virenprogramme, wie zum Beispiel TBAV und F-PROT, werden also nicht ver„ndert. Auáerdem wird auch COMMAND*.* bergangen. Durch diese Technik soll eine schnelle Entdeckung von Hare durch den Benutzer beziehungsweise durch Selbsttests der Anti-Virenprogramme verhindert werden. Der Virus versucht sich gegen Emulation-Engines, die seiner Erkennung dienen, und gegen eine automatische Analyse zu schtzen Anti-Emulati- on-Engine und Anti-Debugging). Der Virus f„ngt unter anderem den Tastatur-Interrupt ab. Unter noch nicht gekl„rten Bedingungen werden vom Virus die eingegebenen Buchsta- ben "Y" und "N" ausgetauscht. Vermutet wird, daá dadurch BIOS-Schutz- funktionen, die das šberschreiben des Partition-Records erkennen und verhindern sollen, wirkungslos werden. Weiterhin benutzt der Virus - vermutlich aus dem gleichen Grund -den Port I/O-Zugriff zu IDE-Fest- platten. Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion: Am 22. August (1996 ein Donnerstag) und am 22. September (1996 ein Sonntag) wird von Hare die Meldung: "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare... auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerst”rt (Hinweis: HD steht hier sicher fr "hard disk"). Allerdings kann es aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne daá der Inhalt der Festplatte zerst”rt wird (Programmierfehler des Viren-Autors?). Der PC h„ngt sich in diesem Fall unmittelbar nach Ausgabe der Nachricht auf. Auf jeden Fall k”nnen "Do-it-yourself"-Sch„den entstehen, wenn auf einen vom Hare infizierten Partition-Record zu dessen Regenerierung der DOS-Befehl FDISK /MBR angewandt wird. Einige Programme k”nnen nach ihrer Infektion nicht mehr ausgefhrt werden. Der Grund dafr ist vermutlich ein Fehler in der polymorphic Engine. Weiterhin wurde auf mehreren PCs beobachtet, daá von einer infizierten Festplatte kein Kaltstart mehr durchgefhrt werden konnte. Die Ursache ist vermutlich ein Programmierfehler des Viren-Autors bei der Infek- tion des Partition-Records. Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit ein- fachen Bordmitteln m”glich. Allerdings werden die Attribute von BAT- Deteien, die ausgefhrt wurden w„hrend der Virus resident im Speicher ist, gel”scht. Fr das Regenerieren infizierter Partition-Records darf - wie bereits erw„hnt - FDISK /MBR keinesfalls verwendet werden. Die oben angegebenen Varianten des Hare-Virus k”nnen mit Hilfe des von Data Fellows entwickelten DOS-Programms F-HARE.EXE (Freeware) erkannt und entfernt werden. Nach dem Start wird zun„chst geprft, ob sich der Hare-Virus bereits resident im Speicher befindet. Hamburg, 22. Juli 1996 Fragen zu F-HARE und "F-PROT Professional" richten Sie bitte an: Deutschland: perComp-Verlag GmbH Holzmhlenstraáe 84, D-22041 Hamburg Fax: 040/695 99 91 E-Mail: percomp@infohh.rmi.de ™sterrreich: DataPROT OEG Grillparzerstr. 1, A-4020 Linz Fax: 0732/61 39 00 E-MAIL: chschmid@risc.uni-linz.ac.at Schweiz: CIMA AG Kantonsstraáe 374, CH-3902 Brig-Glis Fax: 028/22 20 65 E-Mail: cima@scopus.ch