home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Direkt Starter Games
/
3D GAMES.ISO
/
aricity
/
viren
/
scanner
/
f_hare.txt
< prev
next >
Wrap
Text File
|
1996-08-20
|
8KB
|
181 lines
Aufruf des Programms F-HARE.EXE (Version 1.6g)
F-HARE.EXE ist ein DOS-Programm, das vom DOS-Prompt in folgender Form
aufgerufen wird:
F-HARE laufwerk [/DISINFECT] [/MULTI] [/NOMEM]
Das "laufwerk", dessen Partition-Record (im Fall von Festplatten) bzw.
dessen Boot-Sektor (im Fall von Disketten) und dessen COM- und EXE-
Dateien nach dem Hare-Virus durchsucht werden sollen, wird in bekann-
ter Weise angegeben. Zusätzlich können wahlweise noch Optionen angege-
ben werden (siehe Beispiele). Sie besitzen folgende Bedeutung:
/DISINFECT Infizierte Partition-Records bzw. Boot-Sektoren
werden regeneriert und infizierte Dateien gesäu-
bert.
/MULTI Mehrere Disketten können im angegebenen Laufwerk
nacheinander durchsucht werden ohne F-HARE neu zu
starten.
/NOMEM Der Hauptspeicher wird nicht auf einen residenten
Virus geprüft. VORSICHT, nur bei wiederholten
Aufrufen von F-HARE benutzen!
Selbstverständlich können bei einem Aufruf auch mehrere Optionen ange-
geben werden.
F-HARE setzt ab Version 1.6 das DOS-Error-Level:
0 kein Hare-Virus gefunden
1 angegebener Pfad exisiert nicht
2 Hare ist im Speicher resident
3 Hare wurde mindestens einmal gefunden
4 mindestens ein vom Hare infiziertes Objekt wurde gesäubert
5 Abbruch durch den Benutzer
WICHTIGER HINWEIS: Nach der Säuberung des Partition-Records einer Fest-
platte mit F-HARE kann eine DOS-Fehlermeldung auf-
treten (kein Zugriff auf C:). Die Ursache dafür ist,
daß zwar der Partition-Record bereits gesäubert wurde,
aber DOS bzw. F-HARE diesen sauberen Sektor noch nicht
im Speicher zur Verfügung hat. In diesem Fall muß nur
ein Kaltstart von einer virenfreien Diskette ausgeführt
und F-HARE noch einmal gestartet werden.
Beispiele für den Aufruf von F-HARE:
F-HARE C: /DISINFECT Partition Record, COM- und EXE-Dateien
vom Laufwerk C: werden nach Hare durch-
sucht. Infizierte Objekte werden gesäu-
bert.
F-HARE A: /MULTI Mehrere Disketten werden im Laufwerk auf
Hare durchsucht. Infizierte Objekte wer-
den nicht gesäubert.
Hamburg, 12.08.96
Vorläufige Beschreibung des Hare-Virus
Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollständig
analysiert. Die folgende Beschreibung des Hare-Virus beruht des-
halb im wesentlichen auf Informationen von Data Fellows, Vesselin
Bontchev, Eugene Kaspersky und auf Tests, die vom BSI (Bundesamt
für Sicherheit in der Informationstechnik) durchgeführt wurden.
Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da
über Internet zumindest aus den News-Gruppen alt.sex, alt.comp.share-
ware und alt.cracks infizierte Dateien heruntergeladen werden konnten.
Zur Zeit sind drei Varianten dieses Virus bekannt: Hare.7610,
Hare.7750 und Hare.7786. Die im Namen der Varianten angegebenen Zahlen
entsprechen der Länge des Virus-Codes (nach der polymorphen Entschlüs-
selungs-Routine) der betreffenden Variante.
Virus-Typ: Hare ist ein polymorpher Virus. Die Verlängerung infizier-
ter Dateien ist deshalb unterschiedlich. Allerdings ist diese auf
jeweils einem Datenträger (Festplatte oder Diskette) gleich (auch mit
"slow polymorphic" bezeichnet). Der Virus wird im Speicher resident
und besitzt Tarnkappen-Eigenschaften.
Infektionen: Der Hare-Virus ist multipartit. Er infiziert also nicht
nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest-
platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist,
daß der Virus den Virus-Code auf Festplatten und auf Disketten auf
Spuren schreibt, die hinter der letzten von DOS benutzbaren Spur lie-
gen. Offensichtlich kann dies bei einigen speziellen Systemen zu Ab-
stürzen führen, wenn der Zugriff auf diese Spuren fehlschlägt.
Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1).
Er überschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der
DOS-Befehl FDISK /MBR darf deshalb keinesfalls für eine manuelle Rege-
nerierung des Partition-Records verwendet werden. Bei einem Kaltstart
von der Festplatte wird die Partition-Table vom Virus temporär restau-
riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro-
gramm ausgeführt werden kann.
Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese
aber mit 17 statt mit 18 Sektoren, so daß diese Spur von vielen Disk-
Editoren nicht gelesen werden kann.
Spezielle Schutzfunktionen: Dateien deren Name mit "TB" oder "F" oder
die den Buchstaben "V" im Namen enthalten, werden nicht infiziert.
Verbreitete Anti-Virenprogramme, wie zum Beispiel TBAV und F-PROT,
werden also nicht verändert. Außerdem wird auch COMMAND*.* übergangen.
Durch diese Technik soll eine schnelle Entdeckung von Hare durch den
Benutzer beziehungsweise durch Selbsttests der Anti-Virenprogramme
verhindert werden.
Der Virus versucht sich gegen Emulation-Engines, die seiner Erkennung
dienen, und gegen eine automatische Analyse zu schützen Anti-Emulati-
on-Engine und Anti-Debugging).
Der Virus fängt unter anderem den Tastatur-Interrupt ab. Unter noch
nicht geklärten Bedingungen werden vom Virus die eingegebenen Buchsta-
ben "Y" und "N" ausgetauscht. Vermutet wird, daß dadurch BIOS-Schutz-
funktionen, die das Überschreiben des Partition-Records erkennen und
verhindern sollen, wirkungslos werden. Weiterhin benutzt der Virus -
vermutlich aus dem gleichen Grund -den Port I/O-Zugriff zu IDE-Fest-
platten.
Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion:
Am 22. August (1996 ein Donnerstag) und am 22. September (1996 ein
Sonntag) wird von Hare die Meldung:
"HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...
auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerstört
(Hinweis: HD steht hier sicher für "hard disk"). Allerdings kann es
aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne
daß der Inhalt der Festplatte zerstört wird (Programmierfehler des
Viren-Autors?). Der PC hängt sich in diesem Fall unmittelbar nach
Ausgabe der Nachricht auf.
Auf jeden Fall können "Do-it-yourself"-Schäden entstehen, wenn auf
einen vom Hare infizierten Partition-Record zu dessen Regenerierung
der DOS-Befehl FDISK /MBR angewandt wird.
Einige Programme können nach ihrer Infektion nicht mehr ausgeführt
werden. Der Grund dafür ist vermutlich ein Fehler in der polymorphic
Engine.
Weiterhin wurde auf mehreren PCs beobachtet, daß von einer infizierten
Festplatte kein Kaltstart mehr durchgeführt werden konnte. Die Ursache
ist vermutlich ein Programmierfehler des Viren-Autors bei der Infek-
tion des Partition-Records.
Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen
seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit ein-
fachen Bordmitteln möglich. Allerdings werden die Attribute von BAT-
Deteien, die ausgeführt wurden während der Virus resident im Speicher
ist, gelöscht.
Für das Regenerieren infizierter Partition-Records darf - wie bereits
erwähnt - FDISK /MBR keinesfalls verwendet werden.
Die oben angegebenen Varianten des Hare-Virus können mit Hilfe des von
Data Fellows entwickelten DOS-Programms F-HARE.EXE (Freeware) erkannt
und entfernt werden. Nach dem Start wird zunächst geprüft, ob sich der
Hare-Virus bereits resident im Speicher befindet.
Hamburg, 22. Juli 1996
Fragen zu F-HARE und "F-PROT Professional" richten Sie bitte an:
Deutschland: perComp-Verlag GmbH
Holzmühlenstraße 84, D-22041 Hamburg
Fax: 040/695 99 91
E-Mail: percomp@infohh.rmi.de
Österrreich: DataPROT OEG