/
/
/
/
Erstellt am: 2008-01-30, 16:15:44
Modifiziert am: 2008-01-30, 16:15:44
Plattform: MS-DOS
Typ: Virus
Größe: 1314
Datum: 1992-10
Gefährdete Betriebssystem(e): DOS
Gefährdete Dateien: sys
 

Größe der Viren, die Dateien mit der Erweiterung: .sys infizieren 2832 Byte.

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Invol.A Virus heißen laut einzelner Virenschutzprogramme:

Antivirus Bezeichnung
Avast Involuntary
AVG Involuntary
BitDefender BehavesLike:Dos.FileInfector
e-Trust Involuntary
F-PROT Involuntary.1368
F-Secure Virus.DOS.Invol.1401
Ikarus Virus.DOS.Invol.1401
Kaspersky Virus.DOS.Invol.1401
McAfee Involuntary.1403(Virus)
Antivirus Bezeichnung
Microsoft DOS/Involuntary.1368
NOD32 (ESET) Invol.A
Norton Antivirus Involuntary.A
Panda Invol
Rising Antivirus DosExe.Virus.Invol
Sophos Invol
Trend Micro INVOL2
VirusBuster Invol
 

Organisation Bezeichnung
Wildlist Involuntary

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält. Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den ’Lücken’ des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien.

Der Schädling / steigert die Grőße der infizierten Dateien. Diese Größenzunahme kann sich aber bei jeder Infizierung ändern. Der kleinste Wert der Größenzunahme beträgt: 1409 Byte, und der höchste Wert beträgt: 1421 Byte.

Die Viren können außer den gewöhnlichen COM- und EXE-Dateien, bzw. bei Makroviren Dateien mit den Erweiterungen DOC, DOT, PPT, MDB und XLS auch Dateien mit sonstiger Erweiterung infizieren. Das ist möglicht, weil sich unter den Dateien des Operationssystems und der Anwenderprogramme zahlreiche befinden, deren innere Struktur, ihr Aufbau mit denen der COM- oder EXE-Dateien übereinstimmt, nur die Erweiterung heißt anders (zum Beispile: SYS, OVL, DLL oder sonstiges).

Der Schädling MS-DOS/Invol.A Virus infiziert (auch) Die Dateien mit der Erweiterung: sys .

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer „Dienstleistung” versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Schädling MS-DOS/Invol.A Virus hat polimorf Eigenschaften, d.h. er ändert seinen Code von Infizierung zur Infizierung, um zu erschweren, oder ga unmöglich zu machen, daß die infizierenden Virusexemplare mit Hilfe von Identifizierungs Bytefolge(n) entdeckt und/oder eindeutig identifiziert werden.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung

 bei jedem Aktivieren

Tätigkeit
  • werden die hier angegenen Meldungen angezeigt:
    You have helped spread this virus.
    This has been a message from your friendly
    neighborhood infection service.
    Thank you for your involuntary cooperation.
  • wird die Datei: CONFIG.SYS mit folgendem Text verändert:
    DEVICE=VANSI.SYS

Bedingung

 am 19. in jedem Monat

Tätigkeit

 wird die FAT-Tabelle im Laufwerk a C: gelöscht

Die Methoden des Infizierens

Der in den Speicher gelangte Virus infiziert dann, wenn ein entsprechendes Zielobjekt in sein Blickfeld kommt. Abhängig von überwachtem Abbruch und dem Code des Virenprogramms können wir Viren unterscheiden, die beim Ablauf der Programmdateien infizieren, andere beim Öffnen oder Schließen, beim Kopieren, Lesen oder Schreiben der Dateiern, eventuell bereits bei der Abfrage des Inhaltsverzeichnisses, und es kommt nicht selten vor, daß wir Kombinationen der oben aufgeführten antreffen. Folgende Funktionen der sich an die Datei und Operationen anfügenden Unterbrechungen benutzt er zur Verbreitung des Virus-Code:
  • Durchführung von Dateien

Der Schädling Virus wird als Gerätetreiber in den Speicher geladen. Bei der Infizierung des Systems sucht er nämlich in der Datei C:\CONFIG.SYS die erste Reihe, die mit "DEVICE=" beginnt und infiziert die Datei, auf die dieser Eintrag hindeutet.

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Invol.A Virus ist speicherresident.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

In dem Virus-Code ist ein verkappter Text zu finden.

Der Programm-Code des Virus MS-DOS/Invol.A enthält folgenden, nie erscheinenden Texte:

c:\config.sys EVICE C:\vansi.sys device=vansi.sys vansi

Die Virenbeschreibungen auf der Webseite wurden im Auftrage der Firma Sicontact Kft. In dem Virenlabor der Firma Veszprog Kft. angefertigt. Die beschriebenen Eigenschaften halten das Erfahrene in der Testumgebung fest, die Schädlinge können sich in einer davon abweichenden Umgebung anders verhalten als beschrieben. © 2007 Sicontact Kft., Veszprog Kft. Alle Rechte vorbehalten.