/
/
/
/
Erstellt am: 2007-11-27, 20:36:18
Modifiziert am: 2007-11-27, 20:36:18
Plattform: MS-DOS
Typ: Virus
Größe: 7800
Datum: 1999-08-15
Gefährdete Betriebssystem(e): DOS
Ungefährdete Betriebssystem(e): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix alle...
Gefährdete Dateien: exe
 

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/HLLP.Toadie.7800.A Virus heißen laut einzelner Virenschutzprogramme:

Antivirus Bezeichnung
Avast HLLT-Toadie-7800
AVG HLLP.Toadie.7800.A
BitDefender HLLP.7800.A
e-Trust HLLP.Toadie
F-PROT HLLP.7800.A
F-Secure Virus.DOS.HLLP.Toadie.7800.a
Ikarus Hllp.5850
Kaspersky Virus.DOS.HLLP.Toadie.7800.a
McAfee Toadie.7800a@MM(Virus)
Antivirus Bezeichnung
Microsoft DOS/Toadie_7800.A
NOD32 (ESET) HLLP.Toadie.7800.A
Norton Antivirus Termite.7800
Panda HLL.Gen
Rising Antivirus Dos.Harm.Hllp.toadie.7800.a
Sophos HLL/Toadie-7800
Trend Micro TOADIE.7800.B
VirusBuster HLLP.Toadie.A
 

Organisation Bezeichnung
Wildlist HLLP.Toadie.7800.A-mm,HLLP.Toadie.7800.A

Installation

Die sich über das Internet oder lokale Netz verbreitenden Würmer bezwecken es vorrangig, einen anderen Rechner zu infizieren. Sie können sich in das Betriebssystem des angegriffenen Computers einbetten, indem sich der Code des Wurms auch nach einem eventuellen Neustart aktiviert. Dafür erstellen die Schädlinge in der Regel eine oder mehrere Datei(en) mit dem Code des Wurms, bzw. fügen einige Einträge in die Regisry ein, die dem startenden Betriebssystem befehlen, auch den frisch eingebetteten Code des Wurms mit zu starten. Darüber hinaus - nicht direkt des Neustarts willen - kopiert sich der Code auch in andere Dateien (Verzeichnisse). Das hat folgendes Doppelziel: Zum einen können die infizierten Bestände nach einer eventuellen VirenVernichtung an versteckten Plätzen bestehen bleiben. Zum anderen ist der Schädling im Stande, sich auch im Intranet, in gemeinsam genutzten Verzeichnissen, in peer-to-peer Netzen zu verbreiten. Weiters kann auch die Einstellung nach der Standardeinstellung von Windows ausgenutzt werden, und zwar kann durch die erstellte AUTORUN.INF Datei bezweckt werden, dass sich auch der Code des Schädlingsprogramms bei der Eröffnung eines Laufwerks aktiviert. Außer Erzeugung von Dateien löschen die Viren, die Würmer fallweise auch Dateien, die zu einer anderen Anwendung, zu einem anderen Virus bzw. Wurm gehören.

Der Schädling MS-DOS/HLLP.Toadie.7800.A Virus löscht folgende Dateien:

  • anti-virus.dat
  • chklist.ms
  • chklist.cps
  • vs.vsn
  • ivb.ntz

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält. Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Anfang der infizierten EXE Datei gesetzt, der Virus bewegt den originalen Programm-Code weiter nach hinten.

image Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer „Dienstleistung” versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Ein Mittel der Öffnung einer Hintertür auf dem angegriffenen Rechner ist die Schaffung der Möglichkeit zur Fernsteuerung durch den Virus oder Wurm über irgendeinen IRC-Kanal. Über die IRC-Kanäle kann er sich auch an andere IRC-Anwender weiterschicken.

Der Schädling MS-DOS/HLLP.Toadie.7800.A Virus verwendet das Chatprogramm: mIRC .

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung

 sofern auf der Systemuhr die Zahl der angezeigten Minuten gerade 17 ist

Tätigkeit
  • werden folgende Meldungen angezeigt: :
  • There once was a bud named B.C.
    He grew on a 7 foot tree
    Till one day I plucked him
    Rolled him and smoked him
    And now I can barely see!
  • Ladies and gentlemen, I stand before you to stand behind you to tell you something I know nothing about. Thursday, which is Good Friday, we are having a Fathers Day party for mothers only. Admission is free, pay at the door, pull out a chair and sit on the floor.
  • Late one night in the middle of the day, two dead soldiers got up to fight. Back to back they faced each other, pulled out their swords and shot one another. A deaf policeman heard the noise, got up and shot the twice dead boys. If you do not believe me, ask the blind man who saw it all, through a knothole in a wooden brick wall.
  • Question: If someone with multiple personalities tries to commit suicide, do the police consider it a hostage situation?
  • One bong hit, Two bong hit, Three bong hit, Floor.
  • wird ein Meldefenster mit folgendem Text angezeigt:
    "TOADiE v1.2 - Raid SLAM< time" for a reinstall... HeHeHe IS>

Die Methoden des Infizierens

Ein Teil der Viren und Programmwürmer hat in senem Code einen speziellen Eintrag, in welchen Verzeichnissen auf der Festplatte des angegriffenen Computers sie infizierbare Dateien zu suchen haben, bzw. in welchem Verzeichnis sie die Programdateien mit dem Code des Schädlingsprogramms in der Hoffnung ablegen können, daß sie zur sicheren und kontinuierlichen Steuerug gelangen.

Der Schädling MS-DOS/HLLP.Toadie.7800.A Der Schädling Virus infiziert die Dateien des aktuellen Verzeichnisses.

So oft eine infizierte Datei durchgeführt wird, infiziert der Schädling 100 eine weitere Datei in demselben Verzeichnis.

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/HLLP.Toadie.7800.A Virus zeigt kein speicherresidentes Verhalten, und er gibt, nach dem er abgelaufen ist, als auf Parasitenart direkt infektiöser dem virustragenden Programm oder dem Operationsssytem die Steuerung zurück.

Die Virenbeschreibungen auf der Webseite wurden im Auftrage der Firma Sicontact Kft. In dem Virenlabor der Firma Veszprog Kft. angefertigt. Die beschriebenen Eigenschaften halten das Erfahrene in der Testumgebung fest, die Schädlinge können sich in einer davon abweichenden Umgebung anders verhalten als beschrieben. © 2007 Sicontact Kft., Veszprog Kft. Alle Rechte vorbehalten.