home *** CD-ROM | disk | FTP | other *** search
- ═════ Software Laboratory ══════════════════════════════════════════════════
- Jürgen Liskowskis Brückleweg 19 D-7845 Buggingen
- Programmierung Tel. 07631 / 2413 Fax: 07631 / 2449
- ════════════════════════════════════════════════════════════════════════════
-
-
- Name : Mannequin
-
- Ursprung : unbekannt
-
- entdeckt : Januar 1992
-
- Länge : 778 Byte
-
- Typ : Residenter COM-, EXE- und Overlay-Datei Infektor.
-
- Entfernung: Infizierte Dateien löschen.
-
-
-
-
-
- Beschreibung :
-
-
- Der Mannequin Virus ist ein speicherresidenter COM-, EXE- und
- Overlay-Datei Infektor. Wird ein infiziertes Programm gestartet,
- wird der Virus resident. Man findet ihn am oberen Ende des Arbeits-
- speicher ab der Adresse [9FCC:0000], mit einer Länge von 848 Byte.
-
- Wird das DOS-Programm CHKDSK gestartet, kann man beobachten, daß der
- der gesamte Speicherplatz um 848 Byte verringert wurde.
-
- vorher: 655.360 Byte Arbeitsspeicher
- 595.344 Byte frei
-
- nachher: 654.512 Byte Arbeitsspeicher
- 594.496 Byte frei
-
- Der Mannequin Virus leitet die Interrupts 17h und 21h um.
-
- Nachdem der Virus resident im Speicher ist, werden alle COM-, EXE-
- und Overlay-Dateien, die gestartet werden, infiziert. Infizierte
- Programme vergrößern sich um 778 Byte. Der Virus-Code ist am Ende
- der jeweiligen Dateien zu finden.
-
- Eine Ausnahme bildet der Befehlsinterpreter COMMAND.COM, der nicht
- infiziert wird.
-
- Die Zeichenkette "COMMAND.COM" kann in infizierten Dateien nahe am
- Ende gefunden werden.
-
- Der Datum- und Zeit-Eintrag von infizierten Dateien wird vom Virus
- nicht verändert.
-
- Jede Datei wird nur einmal infiziert.
-
-
