home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Direkt Starter Games
/
3D GAMES.ISO
/
aricity
/
biblio
/
info
/
f_hare.txt
Wrap
Text File
|
1996-08-22
|
5KB
|
107 lines
VorlΣufige Beschreibung des Hare-Virus
Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollstΣndig
analysiert. Die folgende Beschreibung des Hare-Virus beruht des-
halb im wesentlichen auf Informationen von Data Fellows, Vesselin
Bontchev, Eugene Kaspersky und auf Tests, die vom BSI (Bundesamt
fⁿr Sicherheit in der Informationstechnik) durchgefⁿhrt wurden.
Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da
ⁿber Internet zumindest aus den News-Gruppen alt.sex, alt.comp.share-
ware und alt.cracks infizierte Dateien heruntergeladen werden konnten.
Zur Zeit sind drei Varianten dieses Virus bekannt: Hare.7610,
Hare.7750 und Hare.7786. Die im Namen der Varianten angegebenen Zahlen
entsprechen der LΣnge des Virus-Codes (nach der polymorphen Entschlⁿs-
selungs-Routine) der betreffenden Variante.
Virus-Typ: Hare ist ein polymorpher Virus. Die VerlΣngerung infizier-
ter Dateien ist deshalb unterschiedlich. Allerdings ist diese auf
jeweils einem DatentrΣger (Festplatte oder Diskette) gleich (auch mit
"slow polymorphic" bezeichnet). Der Virus wird im Speicher resident
und besitzt Tarnkappen-Eigenschaften.
Infektionen: Der Hare-Virus ist multipartit. Er infiziert also nicht
nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest-
platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist,
da▀ der Virus den Virus-Code auf Festplatten und auf Disketten auf
Spuren schreibt, die hinter der letzten von DOS benutzbaren Spur lie-
gen. Offensichtlich kann dies bei einigen speziellen Systemen zu Ab-
stⁿrzen fⁿhren, wenn der Zugriff auf diese Spuren fehlschlΣgt.
Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1).
Er ⁿberschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der
DOS-Befehl FDISK /MBR darf deshalb keinesfalls fⁿr eine manuelle Rege-
nerierung des Partition-Records verwendet werden. Bei einem Kaltstart
von der Festplatte wird die Partition-Table vom Virus temporΣr restau-
riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro-
gramm ausgefⁿhrt werden kann.
Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese
aber mit 17 statt mit 18 Sektoren, so da▀ diese Spur von vielen Disk-
Editoren nicht gelesen werden kann.
Spezielle Schutzfunktionen: Dateien deren Name mit "TB" oder "F" oder
die den Buchstaben "V" im Namen enthalten, werden nicht infiziert.
Verbreitete Anti-Virenprogramme, wie zum Beispiel TBAV und F-PROT,
werden also nicht verΣndert. Au▀erdem wird auch COMMAND*.* ⁿbergangen.
Durch diese Technik soll eine schnelle Entdeckung von Hare durch den
Benutzer beziehungsweise durch Selbsttests der Anti-Virenprogramme
verhindert werden.
Der Virus versucht sich gegen Emulation-Engines, die seiner Erkennung
dienen, und gegen eine automatische Analyse zu schⁿtzen Anti-Emulati-
on-Engine und Anti-Debugging).
Der Virus fΣngt unter anderem den Tastatur-Interrupt ab. Unter noch
nicht geklΣrten Bedingungen werden vom Virus die eingegebenen Buchsta-
ben "Y" und "N" ausgetauscht. Vermutet wird, da▀ dadurch BIOS-Schutz-
funktionen, die das ▄berschreiben des Partition-Records erkennen und
verhindern sollen, wirkungslos werden. Weiterhin benutzt der Virus -
vermutlich aus dem gleichen Grund -den Port I/O-Zugriff zu IDE-Fest-
platten.
Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion:
Am 22. August (1996 ein Donnerstag) und am 22. September (1996 ein
Sonntag) wird von Hare die Meldung:
"HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...
auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerst÷rt
(Hinweis: HD steht hier sicher fⁿr "hard disk"). Allerdings kann es
aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne
da▀ der Inhalt der Festplatte zerst÷rt wird (Programmierfehler des
Viren-Autors?). Der PC hΣngt sich in diesem Fall unmittelbar nach
Ausgabe der Nachricht auf.
Auf jeden Fall k÷nnen "Do-it-yourself"-SchΣden entstehen, wenn auf
einen vom Hare infizierten Partition-Record zu dessen Regenerierung
der DOS-Befehl FDISK /MBR angewandt wird.
Einige Programme k÷nnen nach ihrer Infektion nicht mehr ausgefⁿhrt
werden. Der Grund dafⁿr ist vermutlich ein Fehler in der polymorphic
Engine.
Weiterhin wurde auf mehreren PCs beobachtet, da▀ von einer infizierten
Festplatte kein Kaltstart mehr durchgefⁿhrt werden konnte. Die Ursache
ist vermutlich ein Programmierfehler des Viren-Autors bei der Infek-
tion des Partition-Records.
Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen
seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit ein-
fachen Bordmitteln m÷glich. Allerdings werden die Attribute von BAT-
Deteien, die ausgefⁿhrt wurden wΣhrend der Virus resident im Speicher
ist, gel÷scht.
Fⁿr das Regenerieren infizierter Partition-Records darf - wie bereits
erwΣhnt - FDISK /MBR keinesfalls verwendet werden.
Die oben angegebenen Varianten des Hare-Virus k÷nnen mit Hilfe des von
Data Fellows entwickelten DOS-Programms F-HARE.EXE (Freeware) erkannt
und entfernt werden. Nach dem Start wird zunΣchst geprⁿft, ob sich der
Hare-Virus bereits resident im Speicher befindet.