Finnspray | ESET NOD32 Antivirus

Erstellt am: 2008-01-30, 16:12:38

Modifiziert am: 2008-01-30, 16:12:38

Plattform: MS-DOS

Typ: Virus

Größe: 512

Datum: 1993-11

Gefährdete Betriebssystem(e): DOS

Ungefährdete Betriebssystem(e): OS/2, Unix, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista, DR-DOS + HDD password

Sind gefährdete Bereiche: MBR (Master Boot Record), boot sector

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Finnspray Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Finnish Sprayer
AVG	Finnish_Sprayer
BitDefender	Finnish_Sprayer.A (Boot image)
F-PROT	Finnish_Sprayer.A
F-Secure	Virus.Boot.Aija
Ikarus	Virus.Boot.Aija
Kaspersky	Virus.Boot.Aija
McAfee	Finnish Sprayer(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Finnish_Sprayer
NOD32 (ESET)	Finnspray
Panda	Finnish_Sprayer
Rising Antivirus	boot.AIJA
Sophos	Aija
Trend Micro	FINNISH_SPRAYER*
VirusBuster	Finnish_Sprayer.A

Organisation	Bezeichnung
Wildlist	Finnish_Sprayer

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der Diskette

Infizierung der Festplatte

Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den Lücken des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien.

Der Virus nutzt für dase Speichern seines eigenen Codes folgenden Sektor: 2 .

Ein erheblicher Teil der Viren überschreibt nicht einfach den Bootsektor der Disketten und der Festplatten, bzw. das mbr und die Partitionstabelle der Festplatten, sondern speichert vorher das ursprüngliche Bootprogramm bzw. den Inhalt vom mbr und von der Partitionstabelle. Dazu kommt es aus mehreren Gründen. Zum einen wird die Gefahr des Auffliegens geringer, wenn nach dem Virus-Code auch das ursprüngliche Bootprogramm geladen wird. Um sich besser tarnen zu können ist es zum anderen unerläßlich, daß der schleichende Virus den Schein der ursprünglichen Zustände an die Stelle der echten Daten fälschen kann.

Der Schädling MS-DOS/Finnspray Virus speichert den Inhalt des ursprünglichen Bootsektors, somit kann er nach Ablauf des Virus-Codes geladen und durchgeführt werden. So kann der Virus das ursprüngliche Operationssystem ohne Aufsehen starten.

Bei der Infizierung der Festplatte speichert der Schädling / in den 2 Letzten Sektor der Festplatte den Inhalt des ursprünglichen Bootsektors.

Primärer Zielpunkt der Bootviren ist das kleine Startprogramm in der Partitionstabelle (MBR - Master Boot Record) der Festplatten, bzw. in dem Bootsektor des Operationssystems. Auf Disketten (da sich dort keine Partitionen befinden können) gibt es keine Partitionstabelle, dort ist der Bootsektor der primäre Sektor. Die ersten Bootviren waren naturgemäß auf die späteren Diskformate noch nicht vorbereitet. Dementsprechend gibt es welche, die nur die 360 KB großen Disketten, andere nur die 5,1/4 Zoll großen Disketten infizieren. Indes gibt es welche, die bereits mehrere, gar alle Diskformate zu infizieren imstande sind.

Der Schädling MS-DOS/Finnspray Virus infiziert das MBR auf der Festplatte.

Ein Teil der Viren wendet schleichende Technik an, d.h. der speicherresidente Virus ist bemüht, um seine Anwesenheit zu tarnen, glaufhaft zu machen, daß das System virenfrei sei. In einfacherem Fall werden die durch die Infizierung verursachten Veränderungen betreffs Größe, Datum usw. Vor den Programmen des Operationssystems und vor den Anwenderprogrammen verborgen, es kann aber auch vorkommen, daß der ganze Programmbereich vor der Infizierung simuliert wird.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	bei jedem Aktivieren
Tätigkeit	werden die hier angegenen Meldungen angezeigt: FINNISH_SPRAYER.1. Send your painting +358-0-43220119 (FAX) [Aija]

Bedingung	am 25. März
Tätigkeit	werden einzelne Teile der aktíven Partition überschrieben

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Finnspray Virus ist speicherresident.

Der Schädling MS-DOS/Finnspray Virus gelangt in den 640K großen DOS Speicher.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Finnspray enthält folgenden, nie erscheinenden Texte:

Tks to B.B, Z-VirX ..... [Aija]