home *** CD-ROM | disk | FTP | other *** search
/ Direkt Starter Games / 3D GAMES.ISO / aricity / viren / scanner / f_hare.txt < prev    next >
Text File  |  1996-08-20  |  8KB  |  181 lines
  1.            Aufruf des Programms F-HARE.EXE (Version 1.6g)
  2.  
  3. F-HARE.EXE ist ein DOS-Programm, das vom DOS-Prompt in folgender Form
  4. aufgerufen wird:
  5.  
  6.      F-HARE laufwerk [/DISINFECT] [/MULTI] [/NOMEM]
  7.  
  8. Das "laufwerk", dessen Partition-Record (im Fall von Festplatten) bzw.
  9. dessen Boot-Sektor (im Fall von Disketten) und dessen COM- und EXE-
  10. Dateien nach dem Hare-Virus durchsucht werden sollen, wird in bekann-
  11. ter Weise angegeben. Zusätzlich können wahlweise noch Optionen angege-
  12. ben werden (siehe Beispiele). Sie besitzen folgende Bedeutung:
  13.  
  14.      /DISINFECT     Infizierte Partition-Records bzw. Boot-Sektoren
  15.                     werden regeneriert und infizierte Dateien gesäu-
  16.                     bert.
  17.      /MULTI         Mehrere Disketten können im angegebenen Laufwerk
  18.                     nacheinander durchsucht werden ohne F-HARE neu zu
  19.                     starten.
  20.      /NOMEM         Der Hauptspeicher wird nicht auf einen residenten
  21.                     Virus geprüft. VORSICHT, nur bei wiederholten
  22.                     Aufrufen von F-HARE benutzen!
  23.  
  24. Selbstverständlich können bei einem Aufruf auch mehrere Optionen ange-
  25. geben werden.
  26.  
  27. F-HARE setzt ab Version 1.6 das DOS-Error-Level:
  28.  
  29.      0  kein Hare-Virus gefunden
  30.      1  angegebener Pfad exisiert nicht
  31.      2  Hare ist im Speicher resident
  32.      3  Hare wurde mindestens einmal gefunden
  33.      4  mindestens ein vom Hare infiziertes Objekt wurde gesäubert
  34.      5  Abbruch durch den Benutzer
  35.  
  36. WICHTIGER HINWEIS: Nach der Säuberung des Partition-Records einer Fest-
  37.                    platte mit F-HARE kann eine DOS-Fehlermeldung auf-
  38.                    treten (kein Zugriff auf C:). Die Ursache dafür ist,
  39.                    daß zwar der Partition-Record bereits gesäubert wurde,
  40.                    aber DOS bzw. F-HARE diesen sauberen Sektor noch nicht
  41.                    im Speicher zur Verfügung hat. In diesem Fall muß nur
  42.                    ein Kaltstart von einer virenfreien Diskette ausgeführt
  43.                    und F-HARE noch einmal gestartet werden.
  44.  
  45. Beispiele für den Aufruf von F-HARE:
  46.  
  47.      F-HARE C: /DISINFECT     Partition Record, COM- und EXE-Dateien
  48.                               vom Laufwerk C: werden nach Hare durch-
  49.                               sucht. Infizierte Objekte werden gesäu-
  50.                               bert.
  51.  
  52.      F-HARE A: /MULTI         Mehrere Disketten werden im Laufwerk auf
  53.                               Hare durchsucht. Infizierte Objekte wer-
  54.                               den nicht gesäubert.
  55.  
  56. Hamburg, 12.08.96
  57.  
  58.  
  59.  
  60.                 Vorläufige Beschreibung des Hare-Virus
  61.  
  62.       Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollständig
  63.       analysiert. Die folgende Beschreibung des Hare-Virus beruht des-
  64.       halb im wesentlichen auf Informationen von Data Fellows, Vesselin
  65.       Bontchev, Eugene Kaspersky und auf Tests, die vom BSI (Bundesamt
  66.       für Sicherheit in der Informationstechnik) durchgeführt wurden.
  67.  
  68. Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da
  69. über Internet zumindest aus den News-Gruppen alt.sex, alt.comp.share-
  70. ware und alt.cracks infizierte Dateien heruntergeladen werden konnten. 
  71. Zur Zeit sind drei Varianten dieses Virus bekannt: Hare.7610, 
  72. Hare.7750 und Hare.7786. Die im Namen der Varianten angegebenen Zahlen
  73. entsprechen der Länge des Virus-Codes (nach der polymorphen Entschlüs-
  74. selungs-Routine) der betreffenden Variante.
  75.  
  76. Virus-Typ: Hare ist ein polymorpher Virus. Die Verlängerung infizier-
  77. ter Dateien ist deshalb unterschiedlich. Allerdings ist diese auf 
  78. jeweils einem Datenträger (Festplatte oder Diskette) gleich (auch mit
  79. "slow polymorphic" bezeichnet). Der Virus wird im Speicher resident 
  80. und besitzt Tarnkappen-Eigenschaften.
  81.  
  82. Infektionen: Der Hare-Virus ist multipartit. Er infiziert also nicht 
  83. nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest-
  84. platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist, 
  85. daß der Virus den Virus-Code auf Festplatten und auf Disketten auf 
  86. Spuren schreibt, die hinter der letzten von DOS benutzbaren Spur lie-
  87. gen. Offensichtlich kann dies bei einigen speziellen Systemen zu Ab-
  88. stürzen führen, wenn der Zugriff auf diese Spuren fehlschlägt.
  89.  
  90. Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1).
  91. Er überschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der
  92. DOS-Befehl FDISK /MBR darf deshalb keinesfalls für eine manuelle Rege-
  93. nerierung des Partition-Records verwendet werden. Bei einem Kaltstart 
  94. von der Festplatte wird die Partition-Table vom Virus temporär restau-
  95. riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro-
  96. gramm ausgeführt werden kann.
  97.  
  98. Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese 
  99. aber mit 17 statt mit 18 Sektoren, so daß diese Spur von vielen Disk-
  100. Editoren nicht gelesen werden kann.
  101.  
  102. Spezielle Schutzfunktionen: Dateien deren Name mit "TB" oder "F" oder 
  103. die den Buchstaben "V" im Namen enthalten, werden nicht infiziert. 
  104. Verbreitete Anti-Virenprogramme, wie zum Beispiel TBAV und F-PROT, 
  105. werden also nicht verändert. Außerdem wird auch COMMAND*.* übergangen. 
  106. Durch diese Technik soll eine schnelle Entdeckung von Hare durch den 
  107. Benutzer beziehungsweise durch Selbsttests der Anti-Virenprogramme 
  108. verhindert werden.
  109.  
  110. Der Virus versucht sich gegen Emulation-Engines, die seiner Erkennung 
  111. dienen, und gegen eine automatische Analyse zu schützen Anti-Emulati-
  112. on-Engine und Anti-Debugging).
  113.  
  114. Der Virus fängt unter anderem den Tastatur-Interrupt ab. Unter noch
  115. nicht geklärten Bedingungen werden vom Virus die eingegebenen Buchsta-
  116. ben "Y" und "N" ausgetauscht. Vermutet wird, daß dadurch BIOS-Schutz-
  117. funktionen, die das Überschreiben des Partition-Records erkennen und 
  118. verhindern sollen, wirkungslos werden. Weiterhin  benutzt der Virus - 
  119. vermutlich aus dem gleichen Grund -den Port I/O-Zugriff zu IDE-Fest-
  120. platten.
  121.  
  122. Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion: 
  123. Am  22. August (1996 ein Donnerstag) und am 22. September (1996 ein 
  124. Sonntag) wird von Hare die Meldung:
  125.  
  126.      "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...
  127.  
  128. auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerstört 
  129. (Hinweis: HD steht hier sicher für "hard disk"). Allerdings kann es 
  130. aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne 
  131. daß der Inhalt der Festplatte zerstört wird (Programmierfehler des 
  132. Viren-Autors?).  Der PC hängt sich in diesem Fall unmittelbar nach
  133. Ausgabe der Nachricht auf.
  134.  
  135. Auf jeden Fall können "Do-it-yourself"-Schäden entstehen, wenn auf 
  136. einen vom Hare infizierten Partition-Record zu dessen Regenerierung 
  137. der DOS-Befehl FDISK /MBR angewandt wird.
  138.  
  139. Einige Programme können nach ihrer Infektion nicht mehr ausgeführt 
  140. werden. Der Grund dafür ist vermutlich ein Fehler in der polymorphic 
  141. Engine.
  142.  
  143. Weiterhin wurde auf mehreren PCs beobachtet, daß von einer infizierten 
  144. Festplatte kein Kaltstart mehr durchgeführt werden konnte. Die Ursache
  145. ist vermutlich ein Programmierfehler des Viren-Autors bei der Infek-
  146. tion des Partition-Records.
  147.  
  148. Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen 
  149. seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit ein-
  150. fachen Bordmitteln möglich. Allerdings werden die Attribute von BAT-
  151. Deteien, die ausgeführt wurden während der Virus resident im Speicher 
  152. ist, gelöscht.
  153.  
  154. Für das Regenerieren infizierter Partition-Records darf - wie bereits 
  155. erwähnt - FDISK /MBR keinesfalls verwendet werden.
  156.  
  157. Die oben angegebenen Varianten des Hare-Virus können mit Hilfe des von 
  158. Data Fellows entwickelten DOS-Programms F-HARE.EXE (Freeware) erkannt 
  159. und entfernt werden. Nach dem Start wird zunächst geprüft, ob sich der 
  160. Hare-Virus bereits resident im Speicher befindet.
  161.  
  162.  
  163. Hamburg, 22. Juli 1996
  164.  
  165. Fragen zu F-HARE und "F-PROT Professional" richten Sie bitte an:
  166.  
  167. Deutschland:   perComp-Verlag GmbH
  168.                Holzmühlenstraße 84, D-22041 Hamburg
  169.                Fax:      040/695 99 91
  170.                E-Mail:   percomp@infohh.rmi.de
  171.  
  172. Österrreich:   DataPROT OEG
  173.