home *** CD-ROM | disk | FTP | other *** search
/ Chip Hitware 6 / Chip_Hitware_Vol_06.iso / chiphit6 / _virus / fhare / f-hare.doc next >
Text File  |  1996-07-15  |  7KB  |  146 lines
  1.                    Aufruf des Programms F-HARE.EXE
  2.  
  3. F-HARE.EXE ist ein DOS-Programm, das vom DOS-Prompt in folgender Form 
  4. aufgerufen wird:
  5.  
  6.      F-HARE laufwerk [/DISINFECT] [/MULTI] [/NOMEM]
  7.  
  8. Das "laufwerk", dessen Partition-Record (im Fall von Festplatten) bzw. 
  9. dessen Boot-Sektor (im Fall von Disketten) und dessen COM- und EXE-
  10. Dateien nach dem Hare-Virus durchsucht werden sollen, wird in bekann-
  11. ter Weise angegeben. Zusätzlich können wahlweise noch Optionen angege-
  12. ben werden (siehe Beispiele). Sie besitzen folgende Bedeutung:
  13.  
  14.      /DISINFECT     Infizierte Partition-Records bzw. Boot-Sektoren 
  15.                     werden regeneriert und infizierte Dateien gesäu-
  16.                     bert.
  17.      /MULTI         Mehrere Disketten können im angegebenen Laufwerk 
  18.                     nacheinander durchsucht werden ohne F-HARE neu zu 
  19.                     starten.
  20.      /NOMEM         Der Haupspeicher wird nicht auf einen residenten 
  21.                     Virus geprüft. VORSICHT, nur bei wiederholten 
  22.                     Aufrufen von F-HARE benutzen!
  23.  
  24. Selbstverständlich können bei einem Aufruf auch mehrere Optionen ange-
  25. geben werden.
  26.  
  27. Beispiele für den Aufruf von F-HARE:
  28.  
  29.      F-HARE C: /DISINFECT     Partition Record, COM- und EXE-Dateien 
  30.                               vom Laufwerk C: werden nach Hare durch-
  31.                               sucht. Infizierte Objekte werden gesäu-
  32.                               bert.
  33.  
  34.      F-HARE A: /MULTI         Mehrere Disketten werden im Laufwerk auf 
  35.                               Hare durchsucht. Infizierte Objekte wer-
  36.                               den nicht gesäubert.
  37.  
  38.  
  39.                 Vorläufige Beschreibung des Hare-Virus
  40.  
  41.      Wichtiger Hinweis: Der Hare-Virus wurde noch nicht vollständig 
  42.      analysiert. Die folgende Beschreibung des Hare-Virus beruht des-
  43.      halb im wesentlichen auf Informationen von Eugene Kaspersky und 
  44.      auf Tests und Teil-Analysen, die vom BSI (Bundesamt für Sicher-
  45.      heit in der Informationstechnik) durchgeführt wurden.
  46.  
  47. Der Hare-Virus breitete sich offensichtlich weltweit schnell aus, da 
  48. über Internet aus den News-Gruppen alt.sex, alt.comp.shareware und 
  49. alt.cracks infizierte Dateien heruntergeladen werden konnten. Zur Zeit 
  50. sind drei Varianten dieses Virus bekannt: Hare.7610, Hare.7750 und 
  51. Hare.7786. Die für die Varianten angegebenen Zahlen entsprechen der 
  52. Länge des entschlüsselten Virus-Codes der betreffenden Variante.
  53.  
  54. Virus-Typ: Der Hare-Virus ist ein polymorpher Virus. Die Verlängerung 
  55. infizierter Dateien ist deshalb unterschiedlich. Allerdings ist diese 
  56. auf jeweils einem Datenträger (Festplatte oder Diskette) gleich. Der 
  57. Virus wird im Speicher resident und besitzt Tarnkappen-Eigenschaften.
  58.  
  59. Infektionen: Der Hare-Virus ist multipartit: Er infiziert also nicht 
  60. nur COM- und EXE-Dateien, sondern auch den Partition-Record von Fest-
  61. platten und sogar den Boot-Sektor von Disketten. Bemerkenswert ist, 
  62. daß der Virus den Virus-Code und Informationen auf Festplatten und auf 
  63. Disketten auf Spuren schreibt, die hinter der letzten von DOS benutz-
  64. baren Spur liegen. Offensichtlich kann dies bei einigen speziellen 
  65. Systemen zu Abstürzen führen, wenn der Zugriff auf diese Spuren fehl-
  66. schlägt.
  67.  
  68. Der Virus sichert das Original des Partition-Records (Sektor 0, 0, 1). 
  69. Er überschreibt danach im Sektor 0, 0,1 auch die Partition-Table. Der 
  70. DOS-Befehl FDISK /MBR darf deshalb keinesfalls für eine manuelle Rege-
  71. nerierung des Partition-Records verwendet werden. Bei einem Kaltstart 
  72. von der Festplatte wird die Partition-Table vom Virus temporär restau-
  73. riert, damit der eigentliche Boot-Sektor ermittelt und das Boot-Pro-
  74. gramm ausgeführt werden kann.
  75.  
  76. Auf Disketten verwendet der Virus die Spur 81. Er formatiert diese 
  77. aber mit 17 statt mit 18 Sektoren, so daß diese Spur von vielen Disk-
  78. Editoren nicht gelesen werden kann. Spezielle Schutzfunktionen: Datei-
  79. en mit einem Namen TB*.*, F-*.*, IV*.*, CH*.* und Dateien, die den 
  80. Buchstaben "V" im Namen enthalten, werden nicht infiziert. Verbreitete 
  81. Anti-Virenprogramme, wie zum Beispiel F-PROT oder TBAV, werden also 
  82. nicht verändert. Außerdem wird auch COMMAND*.* übergangen. Durch diese 
  83. Technik soll eine schnelle Entdeckung von Hare durch den Benutzer 
  84. beziehungsweise durch Selbsttests der Anti-Virenprogramme verhindert 
  85. werden.
  86.  
  87. Der Virus fängt unter anderem den Tastatur-Interrupt ab. Unter noch 
  88. nicht geklärten Bedingungen werden vom Virus die eingegebenen Buch-
  89. staben "Y" und "N" ausgetauscht. Vermutet wird, daß dadurch BIOS-
  90. Schutzfunktionen, die das Überschreiben des Partition-Records erkennen 
  91. und verhindern sollen, wirkungslos werden.
  92.  
  93. Schadfunktionen: Der Virus besitzt eine programmierte Schadfunktion: 
  94. Am  22. August (1996 ein Donnerstag) und am 22. September (1996 ein 
  95. Sonntag) wird von Hare die Meldung:
  96.  
  97.      "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare...
  98.  
  99. auf dem Bildschirm ausgegeben und der Inhalt der Festplatte zerstört 
  100. (Hinweis: HD steht hier sicher für ,hard disk"). Allerdings kann es 
  101. aber nach der Ausgabe dieser Nachricht zu einem Absturz kommen ohne 
  102. daß der Inhalt der Festplatte zerstört wird (Programmierfehler des 
  103. Viren-Autors?).  Der PC hängt sich in diesem Fall nach Ausgabe der 
  104. Nachricht auf.
  105.  
  106. Auf jeden Fall können "Do-it-yourself"-Schäden entstehen, wenn auf 
  107. einen vom Hare infizierten Partition-Record zu dessen Regenerierung 
  108. der DOS-Befehl FDISK /MBR angewandt wird.
  109.  
  110. Weiterhin wurde auf mehreren PCs beobachtet, daß von einer infizierten 
  111. Festplatte kein Kaltstart mehr durchgeführt werden konnte. Die Ursache 
  112. dafür können Probleme beim Zugriff auf die zusätzlich vom Virus einge-
  113. richtete Spur sein.
  114.  
  115. Erkennen und Entfernen: Das Erkennen und Entfernen von Hare ist wegen 
  116. seiner Eigenschaften sehr aufwendig und deshalb auch nicht mit einfa-
  117. chen Bordmitteln möglich.
  118.  
  119. Für das Regenerieren infizierter Partition-Records darf - wie bereits 
  120. erwähnt - FDISK /MBR keinesfalls verwendet werden.
  121.  
  122. Die oben angegebenen Varianten des Hare-Virus können mit Hilfe des 
  123. DOS-Programms F-HARE.EXE (Freeware) erkannt und entfernt werden. Nach 
  124. dem Start wird zunächst geprüft, ob sich der Hare-Virus bereits resi-
  125. dent im Speicher befindet.
  126.  
  127. Hamburg, 12. Juli 1996
  128.  
  129.  
  130. Fragen zu F-HARE und "F-PROT Professional" richten Sie bitte an:
  131.  
  132. Deutschland:   perComp-Verlag GmbH
  133.                Holzmühlenstraße 84, D-22041 Hamburg
  134.                Fax:      040/695 99 91
  135.                E-Mail:   percomp@infohh.rmi.de
  136.  
  137. Österrreich:   DataPROT OEG
  138.                Grillparzerstr. 1, A-4020 Linz               
  139.                Fax:      0732/61 39 00
  140.                E-MAIL:   chschmid@risc.uni-linz.ac.at
  141.  
  142. Schweiz:       CIMA AG
  143.                Kantonsstraße 374, CH-3902 Brig-Glis
  144.                Fax:      028/22 20 65
  145.                E-Mail:   cima@scopus.ch
  146.