Eaf.737 | ESET NOD32 Antivirus

Erstellt am: 2007-11-27, 20:16:02

Modifiziert am: 2007-11-27, 20:16:02

Plattform: MS-DOS

Typ: Virus

Größe: 737

Datum: 1993-06

Gefährdete Betriebssystem(e): DOS

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Eaf.737 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	K-4C-737
AVG	Kohn_6
BitDefender	K-4.737
e-Trust	K-4.737
F-PROT	K-4.737
F-Secure	Virus.DOS.EAF.737
Ikarus	K-4.737
Kaspersky	Virus.DOS.EAF.737
McAfee	Univ/a(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/K4.737
NOD32 (ESET)	Eaf.737
Norton Antivirus	K4.737
Panda	K-4C.737
Rising Antivirus	Eaf.737
Sophos	Eaf-737
Trend Micro	K4.737
VirusBuster	K-4.737

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Die Größe der COM Pogramme ist - im Gegensatz zu den EXE Programmen - stark begrenzt. Das Operationssystem ist abgesehen von wenigen Ausnahmen nicht imstande, COM Programme über 64 kB zu steuern, so werden Virenexemplare, bei denen die Grüße der infizierten Datei über 64 kB ist, niemals angesteuert. Dementsprechend achtet ein Teil der COM infizierenden Viren darauf und sortiert durch ein entsprechendes Filter die größeren Dateien aus, bei denen die infizierte Datei nicht mehr lauffähig wäre. Obwohl derartige Begrenzung für die EXE Dateien nicht gibt, infizieren viele EXE infizierenden Viren ebenfalls nur bis zu einer bestimmten Dateigröße. Da für den Virus die zu kleinen Dateien ebenfalls gefährlich sein können (die Größenzunahme wäre zu auffällig, bzw. Köderdateien sind zu meiden), infizieren viele Viren nur Dateien, die größer sind, als die im Programm-Code angegebene untere Grenze.

Durch den Schädling / werden nur Dateien, die kleiner als 64850 Byte sind, infiziert.

Es kann vorkommen, daß der COM infizierende Virus ausgesprochen auf die Infizierung von COMMAND.COM absieht, bzw. im Gegenteil, er meidet die im Vordergrund stehende, daher durch rasches Auffliegen drohende COMMAND.COM Infizierung.

Der Schädling MS-DOS/Eaf.737 Virus meidet die Infizierung von COMMAND.COM Dateien.

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Lauten die ersten beiden Dateibits 4D5Ah oder 5A4Dh, wird die Datei nicht infiziert, wei bei Novell DOS 7 und bei DR-DOS 6 der COMMAND.COM damit beginnt.

Der Schädling Virus kann die Dateien mit nur lesbarem (readonly) Attribut nicht infizieren.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	bei der Anwendung vom Programm Debugger (da auch hier der 3-er Abbruch verwendet wird)
Tätigkeit	stürzt der Computer

Die Methoden des Infizierens

Der Schädling infiziert folgende Dateien 1 , sobald er die Steuerung einmal übernimmt.

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Eaf.737 Virus ist speicherresident.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Eaf.737 enthält folgenden, nie erscheinenden Texte:

EAF0FF00F0

Der Programm-Code des Virus MS-DOS/Eaf.737 enthält folgenden, nie erscheinenden Texte:

K-4C VIRUS by Köhntark*.COM