home *** CD-ROM | disk | FTP | other *** search
/ Direkt Starter Games / 3D GAMES.ISO / aricity / biblio / info / f_hare.txt
Text File  |  1996-08-22  |  5KB  |  107 lines
  1.  
  2.  
  3.  
  4.                 VorlΣufige Beschreibung des Hare-Virus
  5.  
  6.       Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollstΣndig
  7.       analysiert. Die folgende Beschreibung des Hare-Virus beruht des-
  8.       halb im wesentlichen auf Informationen von Data Fellows, Vesselin
  9.       Bontchev, Eugene Kaspersky und auf Tests, die vom BSI (Bundesamt
  10.       fⁿr Sicherheit in der Informationstechnik) durchgefⁿhrt wurden.
  11.  
  12. Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da
  13. ⁿber Internet zumindest aus den News-Gruppen alt.sex, alt.comp.share-
  14. ware und alt.cracks infizierte Dateien heruntergeladen werden konnten.
  15. Zur Zeit sind drei Varianten dieses Virus bekannt: Hare.7610,
  16. Hare.7750 und Hare.7786. Die im Namen der Varianten angegebenen Zahlen
  17. entsprechen der LΣnge des Virus-Codes (nach der polymorphen Entschlⁿs-
  18. selungs-Routine) der betreffenden Variante.
  19.  
  20. Virus-Typ: Hare ist ein polymorpher Virus. Die VerlΣngerung infizier-
  21. ter Dateien ist deshalb unterschiedlich. Allerdings ist diese auf
  22. jeweils einem DatentrΣger (Festplatte oder Diskette) gleich (auch mit
  23. "slow polymorphic" bezeichnet). Der Virus wird im Speicher resident
  24. und besitzt Tarnkappen-Eigenschaften.
  25.  
  26. Infektionen: Der Hare-Virus ist multipartit. Er infiziert also nicht
  27. nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest-
  28. platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist,
  29. da▀ der Virus den Virus-Code auf Festplatten und auf Disketten auf
  30. Spuren schreibt, die hinter der letzten von DOS benutzbaren Spur lie-
  31. gen. Offensichtlich kann dies bei einigen speziellen Systemen zu Ab-
  32. stⁿrzen fⁿhren, wenn der Zugriff auf diese Spuren fehlschlΣgt.
  33.  
  34. Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1).
  35. Er ⁿberschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der
  36. DOS-Befehl FDISK /MBR darf deshalb keinesfalls fⁿr eine manuelle Rege-
  37. nerierung des Partition-Records verwendet werden. Bei einem Kaltstart
  38. von der Festplatte wird die Partition-Table vom Virus temporΣr restau-
  39. riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro-
  40. gramm ausgefⁿhrt werden kann.
  41.  
  42. Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese
  43. aber mit 17 statt mit 18 Sektoren, so da▀ diese Spur von vielen Disk-
  44. Editoren nicht gelesen werden kann.
  45.  
  46. Spezielle Schutzfunktionen: Dateien deren Name mit "TB" oder "F" oder
  47. die den Buchstaben "V" im Namen enthalten, werden nicht infiziert.
  48. Verbreitete Anti-Virenprogramme, wie zum Beispiel TBAV und F-PROT,
  49. werden also nicht verΣndert. Au▀erdem wird auch COMMAND*.* ⁿbergangen.
  50. Durch diese Technik soll eine schnelle Entdeckung von Hare durch den
  51. Benutzer beziehungsweise durch Selbsttests der Anti-Virenprogramme
  52. verhindert werden.
  53.  
  54. Der Virus versucht sich gegen Emulation-Engines, die seiner Erkennung
  55. dienen, und gegen eine automatische Analyse zu schⁿtzen Anti-Emulati-
  56. on-Engine und Anti-Debugging).
  57.  
  58. Der Virus fΣngt unter anderem den Tastatur-Interrupt ab. Unter noch
  59. nicht geklΣrten Bedingungen werden vom Virus die eingegebenen Buchsta-
  60. ben "Y" und "N" ausgetauscht. Vermutet wird, da▀ dadurch BIOS-Schutz-
  61. funktionen, die das ▄berschreiben des Partition-Records erkennen und
  62. verhindern sollen, wirkungslos werden. Weiterhin  benutzt der Virus -
  63. vermutlich aus dem gleichen Grund -den Port I/O-Zugriff zu IDE-Fest-
  64. platten.
  65.  
  66. Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion:
  67. Am  22. August (1996 ein Donnerstag) und am 22. September (1996 ein
  68. Sonntag) wird von Hare die Meldung:
  69.  
  70.      "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...
  71.  
  72. auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerst÷rt
  73. (Hinweis: HD steht hier sicher fⁿr "hard disk"). Allerdings kann es
  74. aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne
  75. da▀ der Inhalt der Festplatte zerst÷rt wird (Programmierfehler des
  76. Viren-Autors?).  Der PC hΣngt sich in diesem Fall unmittelbar nach
  77. Ausgabe der Nachricht auf.
  78.  
  79. Auf jeden Fall k÷nnen "Do-it-yourself"-SchΣden entstehen, wenn auf
  80. einen vom Hare infizierten Partition-Record zu dessen Regenerierung
  81. der DOS-Befehl FDISK /MBR angewandt wird.
  82.  
  83. Einige Programme k÷nnen nach ihrer Infektion nicht mehr ausgefⁿhrt
  84. werden. Der Grund dafⁿr ist vermutlich ein Fehler in der polymorphic
  85. Engine.
  86.  
  87. Weiterhin wurde auf mehreren PCs beobachtet, da▀ von einer infizierten
  88. Festplatte kein Kaltstart mehr durchgefⁿhrt werden konnte. Die Ursache
  89. ist vermutlich ein Programmierfehler des Viren-Autors bei der Infek-
  90. tion des Partition-Records.
  91.  
  92. Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen
  93. seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit ein-
  94. fachen Bordmitteln m÷glich. Allerdings werden die Attribute von BAT-
  95. Deteien, die ausgefⁿhrt wurden wΣhrend der Virus resident im Speicher
  96. ist, gel÷scht.
  97.  
  98. Fⁿr das Regenerieren infizierter Partition-Records darf - wie bereits
  99. erwΣhnt - FDISK /MBR keinesfalls verwendet werden.
  100.  
  101. Die oben angegebenen Varianten des Hare-Virus k÷nnen mit Hilfe des von
  102. Data Fellows entwickelten DOS-Programms F-HARE.EXE (Freeware) erkannt
  103. und entfernt werden. Nach dem Start wird zunΣchst geprⁿft, ob sich der
  104. Hare-Virus bereits resident im Speicher befindet.
  105.  
  106.  
  107.