Hare.7786 | ESET NOD32 Antivirus

Erstellt am: 2008-01-30, 16:15:02

Modifiziert am: 2008-01-30, 16:15:02

Plattform: MS-DOS

Typ: Virus

Größe: 7786

Datum: 1996-06-29

Gefährdete Betriebssystem(e): DOS

Ungefährdete Betriebssystem(e): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix alle...

Gefährdete Dateien: exe

Sind gefährdete Bereiche: MBR (Master Boot Record), boot sector

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Hare.7786 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Hare-7786
AVG	Hare.7786
BitDefender	Hare.7786
e-Trust	Krsna_Group
F-PROT	Hare.7786
F-Secure	Virus.DOS.Hare.7750
Kaspersky	Virus.DOS.Hare.7750
McAfee	Hare.mp(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Hare.7786
NOD32 (ESET)	Hare.7786
Norton Antivirus	Hare.7786
Panda	Hare.7786
Rising Antivirus	Virus.Dos.Hare.7786
Sophos	Hare
Trend Micro	HARE_7750*
VirusBuster	Hare.7786

Organisation	Bezeichnung
Wildlist	Hare.mp.7786.A,Hare.7786

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert.

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Ein Teil der Viren ist bemüht, - um nicht so schnell aufzufallen und zu schnell aufzufliegen, das Infizieren von bestimmten, im Vordergrund stehenden, eine größere Aufmerksamkeit erweckenden Dateien zu vermeiden sowie von Dateien, die vermutlich über eine wirksame Selbstkontrolle verfügen, wie z.B. von Antivirenprogrammen. Das wird durch die Überprüfung der Dateinamen oder deren Details erreicht.

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

TB*.*
F-*.*
IV*.*
CH*.*
COMMAND.*

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Schädling MS-DOS/Hare.7786 Virus hat polimorf Eigenschaften, d.h. er ändert seinen Code von Infizierung zur Infizierung, um zu erschweren, oder ga unmöglich zu machen, daß die infizierenden Virusexemplare mit Hilfe von Identifizierungs Bytefolge(n) entdeckt und/oder eindeutig identifiziert werden.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Ein Teil der Viren wendet schleichende Technik an, d.h. der speicherresidente Virus ist bemüht, um seine Anwesenheit zu tarnen, glaufhaft zu machen, daß das System virenfrei sei. In einfacherem Fall werden die durch die Infizierung verursachten Veränderungen betreffs Größe, Datum usw. Vor den Programmen des Operationssystems und vor den Anwenderprogrammen verborgen, es kann aber auch vorkommen, daß der ganze Programmbereich vor der Infizierung simuliert wird.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Infizierung der EXE-Dateien

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

TB*.*
F-*.*
IV*.*
CH*.*
COMMAND.*

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Anfang der infizierten Datei gesetzt, den originalen Programm-Code überschreibend. Von dem überschriebenen Bereich wird keine Kopie erstellt, so kann der Originalzustand nicht zurückgesetzt werden.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Infizierung der Diskette

Primärer Zielpunkt der Bootviren ist das kleine Startprogramm in der Partitionstabelle (MBR - Master Boot Record) der Festplatten, bzw. in dem Bootsektor des Operationssystems. Auf Disketten (da sich dort keine Partitionen befinden können) gibt es keine Partitionstabelle, dort ist der Bootsektor der primäre Sektor. Die ersten Bootviren waren naturgemäß auf die späteren Diskformate noch nicht vorbereitet. Dementsprechend gibt es welche, die nur die 360 KB großen Disketten, andere nur die 5,1/4 Zoll großen Disketten infizieren. Indes gibt es welche, die bereits mehrere, gar alle Diskformate zu infizieren imstande sind.

Der Schädling MS-DOS/Hare.7786 Virus infiziert den Bootsektor der Disketten.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Infizierung der Festplatte

Der Schädling MS-DOS/Hare.7786 Virus infiziert das MBR auf der Festplatte.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	am 22. August and am 22. September
Tätigkeit	werden die Festplatten mit zufälligen Zeichen überschrieben werden die hier angegenen Meldungen angezeigt: "HDEuthanasia-v3" by Demon Emperor: Hare, Krsna, hare, hare...

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Hare.7786 Virus ist speicherresident.

Der in den Speicher gelangende Schädling / beeinträchtigt den von DOS aus erreichbaren Speicher. Diese Beeinträchtigung beträgt: 9216 Byte.