Explosion.1000.2 | ESET NOD32 Antivirus

Erstellt am: 2008-01-30, 16:11:56

Modifiziert am: 2008-01-30, 16:11:56

Plattform: MS-DOS

Typ: Virus

Größe: 982

Datum: 1993-06

Gefährdete Betriebssystem(e): DOS

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Explosion.1000.2 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Explosion-1000
AVG	Explosion
BitDefender	Explosion.1000.A
e-Trust	Explosion
F-PROT	Explosion.1000.A
F-Secure	Virus.DOS.Explosion.a
Ikarus	Virus.DOS.Explosion.1000
Kaspersky	Virus.DOS.Explosion.a
McAfee	Explosion.1000(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Explosion.1000
NOD32 (ESET)	Explosion.1000
Norton Antivirus	Explosion (2)
Panda	Explosion
Rising Antivirus	Explosion.a
Sophos	Explosion
Trend Micro	EXPLOSN-2
VirusBuster	Explosion

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den Lücken des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien.

Der Schädling / überschreibt mit seinem Virus-Code bei der Infizierung: 3 Byte am Anfang der infizierten Programmdateien, um die Steuerung auf den eigenen Programm-Code zu lenken. Infolge der Überschreiung kann der Originalinhalt des infizierten Bestandes nicht mehr zurückgestellt werden.

Ein Teil der Viren ist bemüht, - um nicht so schnell aufzufallen und zu schnell aufzufliegen, das Infizieren von bestimmten, im Vordergrund stehenden, eine größere Aufmerksamkeit erweckenden Dateien zu vermeiden sowie von Dateien, die vermutlich über eine wirksame Selbstkontrolle verfügen, wie z.B. von Antivirenprogrammen. Das wird durch die Überprüfung der Dateinamen oder deren Details erreicht.

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

SCAN
CLEAN
FINDVIRU
GUARD

Die Größe der COM Pogramme ist - im Gegensatz zu den EXE Programmen - stark begrenzt. Das Operationssystem ist abgesehen von wenigen Ausnahmen nicht imstande, COM Programme über 64 kB zu steuern, so werden Virenexemplare, bei denen die Grüße der infizierten Datei über 64 kB ist, niemals angesteuert. Dementsprechend achtet ein Teil der COM infizierenden Viren darauf und sortiert durch ein entsprechendes Filter die größeren Dateien aus, bei denen die infizierte Datei nicht mehr lauffähig wäre. Obwohl derartige Begrenzung für die EXE Dateien nicht gibt, infizieren viele EXE infizierenden Viren ebenfalls nur bis zu einer bestimmten Dateigröße. Da für den Virus die zu kleinen Dateien ebenfalls gefährlich sein können (die Größenzunahme wäre zu auffällig, bzw. Köderdateien sind zu meiden), infizieren viele Viren nur Dateien, die größer sind, als die im Programm-Code angegebene untere Grenze.

Durch den Schädling / werden nur Dateien, die kleiner als 64534 Byte sind, infiziert.

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Die Länge von der infizierten Datei wird um 1000 Byte vergrößert.

Infizierung der EXE-Dateien

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

SCAN
CLEAN
FINDVIRU
GUARD

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Dateien mit dem Inhalt: Overlay werden nicht infiziert (die Dateigröße wird mit der aus FileHeader berechneten Größe verglichen).

Die Länge von der infizierten Datei wird um 1000 Byte vergrößert.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	am 7. in jedem Monat ein Counter wird zum Nachverfolgen vom eigenen Start genutzt, bei dem Wert "25" des Counters
Tätigkeit	zählt er von 19 bis 0 zurück wird jede Zurücksetzung mit 4 Beep-Ton quittiert schaltet er die eigene Abbruch-Bedienung 21 aus und inifziert nicht weiter werden folgende Meldungen angezeigt: : Dis is one virus. Leave the room IMMEDIATLY !!! Your PC is about to EXPLODE within 20 sec ! EXPLOSION What did you expect ?

Die Methoden des Infizierens

Der in den Speicher gelangte Virus infiziert dann, wenn ein entsprechendes Zielobjekt in sein Blickfeld kommt. Abhängig von überwachtem Abbruch und dem Code des Virenprogramms können wir Viren unterscheiden, die beim Ablauf der Programmdateien infizieren, andere beim Öffnen oder Schließen, beim Kopieren, Lesen oder Schreiben der Dateiern, eventuell bereits bei der Abfrage des Inhaltsverzeichnisses, und es kommt nicht selten vor, daß wir Kombinationen der oben aufgeführten antreffen.

Der sich in den Speicher auf residente Weise eingefügte Schädling MS-DOS/Explosion.1000.2 Virus infiziert jede Programmdatei, auf die man versucht, in einer Weise zuzugreifen.

Der Schädling ist in der Lage, auch die nur lesbaren (read only), die verorgenen (hidden) Dateien und die Dateien vom Systemattribut (system) zu infizieren.

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Explosion.1000.2 Virus ist speicherresident.

Der in den Speicher gelangende Schädling / beeinträchtigt den von DOS aus erreichbaren Speicher. Diese Beeinträchtigung beträgt: 1008 Byte.