Civil_Defence.3_B | ESET NOD32 Antivirus

Erstellt am: 2007-11-27, 20:00:34

Modifiziert am: 2007-11-27, 20:00:34

Plattform: MS-DOS

Typ: Virus

Größe: 6672

Datum: 1995-06

Gefährdete Betriebssystem(e): DOS

Sind gefährdete Bereiche: MBR (Master Boot Record), boot sector

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Civil_Defence.3_B Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Civil Defense-6672-C
AVG	Civil_Defense
BitDefender	Civil_Defense.6656.C
e-Trust	CivilDefence.6672.A
F-PROT	Civil_Defense.6656.C
F-Secure	Virus.Multi.Civil.6656.b
Kaspersky	Virus.Multi.Civil.6656.b
McAfee	Civil.mp(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Civil_6672.F
NOD32 (ESET)	Civil_Defence.3_B
Norton Antivirus	Civil Defense.C/D (d)
Panda	Civil.6672
Rising Antivirus	CivilDefence.3B
Sophos	Civil-c
Trend Micro	CIVILDEFENSE.B*
VirusBuster	Civil_Defense.6656.C

Organisation	Bezeichnung
Wildlist	Civil_Defence.6672.C,Civil_Defence.6672

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der EXE-Dateien

Infizierung der Diskette

Ein erheblicher Teil der Viren überschreibt nicht einfach den Bootsektor der Disketten und der Festplatten, bzw. das mbr und die Partitionstabelle der Festplatten, sondern speichert vorher das ursprüngliche Bootprogramm bzw. den Inhalt vom mbr und von der Partitionstabelle. Dazu kommt es aus mehreren Gründen. Zum einen wird die Gefahr des Auffliegens geringer, wenn nach dem Virus-Code auch das ursprüngliche Bootprogramm geladen wird. Um sich besser tarnen zu können ist es zum anderen unerläßlich, daß der schleichende Virus den Schein der ursprünglichen Zustände an die Stelle der echten Daten fälschen kann.

Der Schädling MS-DOS/Civil_Defence.3_B Virus speichert den Inhalt des ursprünglichen Bootsektors, somit kann er nach Ablauf des Virus-Codes geladen und durchgeführt werden. So kann der Virus das ursprüngliche Operationssystem ohne Aufsehen starten.

Primärer Zielpunkt der Bootviren ist das kleine Startprogramm in der Partitionstabelle (MBR - Master Boot Record) der Festplatten, bzw. in dem Bootsektor des Operationssystems. Auf Disketten (da sich dort keine Partitionen befinden können) gibt es keine Partitionstabelle, dort ist der Bootsektor der primäre Sektor. Die ersten Bootviren waren naturgemäß auf die späteren Diskformate noch nicht vorbereitet. Dementsprechend gibt es welche, die nur die 360 KB großen Disketten, andere nur die 5,1/4 Zoll großen Disketten infizieren. Indes gibt es welche, die bereits mehrere, gar alle Diskformate zu infizieren imstande sind.

Der Schädling MS-DOS/Civil_Defence.3_B Virus infiziert den Bootsektor der Disketten.

Ein Teil der Viren wendet schleichende Technik an, d.h. der speicherresidente Virus ist bemüht, um seine Anwesenheit zu tarnen, glaufhaft zu machen, daß das System virenfrei sei. In einfacherem Fall werden die durch die Infizierung verursachten Veränderungen betreffs Größe, Datum usw. Vor den Programmen des Operationssystems und vor den Anwenderprogrammen verborgen, es kann aber auch vorkommen, daß der ganze Programmbereich vor der Infizierung simuliert wird.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Infizierung der Festplatte

Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den Lücken des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien. Ein erheblicher Teil der Viren überschreibt nicht einfach den Bootsektor der Disketten und der Festplatten, bzw. das mbr und die Partitionstabelle der Festplatten, sondern speichert vorher das ursprüngliche Bootprogramm bzw. den Inhalt vom mbr und von der Partitionstabelle. Dazu kommt es aus mehreren Gründen. Zum einen wird die Gefahr des Auffliegens geringer, wenn nach dem Virus-Code auch das ursprüngliche Bootprogramm geladen wird. Um sich besser tarnen zu können ist es zum anderen unerläßlich, daß der schleichende Virus den Schein der ursprünglichen Zustände an die Stelle der echten Daten fälschen kann.

Der Schädling / veranlaßt, daß der ursprüngliche Bootsektor in 0. Zylinder 0. Kopf 2. Sektor gespeichert wird.

Der Schädling Virus speichert den ursprünglichen Bootsektor der infizierten Diskette, bzw. eine Kopie vom Oroginal MBR auf der infizierten Festplatte verschlüsselt.

Befinden sich mehrere logische Partitionen auf der Festplatte, so verlegt der Schädling Virus während der Bootinfizierung eine Kopie vom Original MBR auf die erste extended Partition.

Der Schädling MS-DOS/Civil_Defence.3_B Virus infiziert das MBR auf der Festplatte.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	bei jedem Aktivieren
Tätigkeit	wird eine Meldung in Englisch angezeigt wird ein Toneffekt ausgegeben wird eine Meldung in Russisch angezeigt

Bedingung	sofern sich eine Diskette im Disk-Laufwerk befindet
Tätigkeit	werden die zugriffbereiten Disketten formatiert

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Civil_Defence.3_B Virus ist speicherresident.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Civil_Defence.3_B enthält folgenden, nie erscheinenden Texte:

CIVIL DEFENSE VIRUS VER 1.1
Formating disc c: complete.
Format another ? (y/n)
Hard disk 1 formated. All your data lost.
How are you feel now ?
Vollständige Liste...
Press any key