Changsha.3072 | ESET NOD32 Antivirus

Erstellt am: 2008-01-30, 16:06:06

Modifiziert am: 2008-01-30, 16:06:06

Plattform: MS-DOS

Typ: Virus

Größe: 3100

Datum: 1991-05-12

Gefährdete Betriebssystem(e): DOS

Ungefährdete Betriebssystem(e): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix alle...

Gefährdete Dateien: com, exe

Sind gefährdete Bereiche: MBR (Master Boot Record)

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Changsha.3072 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Changsa-3072
AVG	Changsha
BitDefender	Changsha (Boot image)
e-Trust	Changsha
F-PROT	Changsha
F-Secure	Virus.Multi.Changsha
Ikarus	Virus.Multi.Changsha
Kaspersky	Virus.Multi.Changsha
McAfee	Changsha.mp(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Changsha
NOD32 (ESET)	Changsha.3072
Norton Antivirus	Changsha
Panda	Changsha
Rising Antivirus	New centry
Sophos	Changsha
Trend Micro	BOOT.GENERIC*
VirusBuster	Azusa

Organisation	Bezeichnung
Wildlist	Changsha.3072,Changsha.A,Changsha

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den Lücken des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien.

Der Schädling / verursacht folgende Bytezunahme: 3072 in der Dateiröße bei der Infizierung der COM-dateien.

Ein Teil der Viren ist bemüht, - um nicht so schnell aufzufallen und zu schnell aufzufliegen, das Infizieren von bestimmten, im Vordergrund stehenden, eine größere Aufmerksamkeit erweckenden Dateien zu vermeiden sowie von Dateien, die vermutlich über eine wirksame Selbstkontrolle verfügen, wie z.B. von Antivirenprogrammen. Das wird durch die Überprüfung der Dateinamen oder deren Details erreicht.

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

co*.*
ib*.*

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Schädling MS-DOS/Changsha.3072 Virus hat oligomorf Eigenschaften.

Die infizierten Dateien werden zerstört.

Die angegriffenen Dateien werden gelöscht.

Infizierung der EXE-Dateien

Der Schädling / verursacht folgende Bytezunahme: 3091 in der Dateiröße bei der Infizierung der EXE-dateien.

Der Schädling MS-DOS/Changsha.3072 Virus hat nicht einen gleich großen Code wie die Dateizunahme ist, der Virus füllt die zu infizierende Datei vor der Infizierung bis zur folgenden Segmentgrenze auf.

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

co*.*
ib*.*

Der Schädling MS-DOS/Changsha.3072 Virus hat oligomorf Eigenschaften.

Die infizierten Dateien werden zerstört.

Die angegriffenen Dateien werden gelöscht.

Infizierung der Festplatte

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	am 4. Mai
Tätigkeit	werden die hier angegenen Meldungen angezeigt: XqR: Wherever, I love you Forever and ever ! The beautiful memory for ours in that summer time has been recorded in the Com- puter history. Vollständige Liste...

Bedingung	sonntags
Tätigkeit	wird die Systemuhr geändert

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Changsha.3072 Virus ist speicherresident.

Der Schädling MS-DOS/Changsha.3072 Virus gelangt in den 640K großen DOS Speicher.

Der in den Speicher gelangende Schädling / beeinträchtigt den von DOS aus erreichbaren Speicher. Diese Beeinträchtigung beträgt: 3344 Byte.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Changsha.3072 enthält folgenden, nie erscheinenden Texte:

Welcome ! Auto-Copy Deluxe R3.00 (C) Copyright 1991. Mr. YaQi Changsha China No one can Beyond me !

Der Programm-Code des Virus MS-DOS/Changsha.3072 enthält folgenden, nie erscheinenden Texte:

New Century of Computer Now!