Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.
Die Bezeichnungen des Schadprogramms MS-DOS/John Virus
heißen laut einzelner Virenschutzprogramme:
Antivirus
Bezeichnung
Avast
John-1962
AVG
John
Avira
Nice-Dir
BitDefender
PS-MPC.1962.AN.Gen
e-Trust
John
F-PROT
John.1962.A
Fortinet
John.1949
F-Secure
Type_Com
Virus.DOS.Ari.1962.a
Ikarus
Virus.DOS.Ari.1962.a
Kaspersky
Type_Com
Virus.DOS.Ari.1962.a
McAfee
John.1962.a(Virus)
Antivirus
Bezeichnung
NOD32 (ESET)
John
Microsoft
DOS/John_1962.B
Norton Antivirus
Bloodhound.DirActCOM
Bloodhound.File.String
John
Panda
John
Rising Antivirus
John-1
Sophos
Ari-1962
Trend Micro
JOHN-1
Trival.A.3
VirusBuster
John.1962
Weitere Bezeichnungen:
Page,
, Jimmy Page,
, Aristotle,
, John,
Infizierung
Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.
Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.
Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.
Am Anfang des infizierten Bestandes befindet sich der ARI is a NARC Text.
Die ersten 16 Oroginalbyte der virustragenden Datei befindet sich in dem Code des Schädlings und zwar: 078A Offset.
Tätigkeiten
Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.
Bedingung
bei einer Tastenbetätigung
und
im Durchschnitt, nach jedem zweiten Infizierungszyklus
Tätigkeit
wird der Bildschirm gelöscht
beim Textschreiben wird nach jedem erscheinenden Zeichen ein Piepston ausgegeben
werden folgende Meldungen angezeigt:
, mit grüner Schrift, wodurch die Anzeige den Terminalen in den Scifis ähnelt
:
Real Name: John A. Buchanan
Alias: Page, Jimmy Page, Aristotle
Home Phone: (804) 595-2672
Work Phone: (804) 857-6000 Vollständige Liste...
BBS Phone: Black Axis, (804) 599-4152
Address: 502 Hammond Street
City/State: Newport News, Virginia
Employer: Information Technology Solutions
Work Loc: 2551 East Elthoma
InMode: Unstable, Insecure
ExMode: Egoist, Braggart
Motivation: Power (or the appearance thereof)
Intelligence: Average (below average for computer underground)
Please Press Any Key To Continue..........
Details:
John A. Buchanan, better known as Aristotle (or ARiSToTLE), is a member
of the ever-degrading Virus eXchange (VX) underground. Not a programmer
of any degree himself, he has relied on his mouth to gain a name in the Vollständige Liste...
scene. Aristotle runs a BBS system dedicated to exchanging viruses, and
claims to be a member of NuKE, an elite underground group with a partial
focus in viruses. NuKE, however, seems to view him as a pest - at best.
For an occasional power-trip, Aristotle has been known to post real
information, including name, phone, etc. of virus writers to attempt to
scare them. He has allegedly given the same information to law-enforcement
agencies on several occasions, and seems to have been the cause of several
people's arrests. This is the only way, it seems, that he can feel that
he has any power. He is also commonly inciting flame wars (arguments on
a very base level) for a similar purpose.
Please Press Any Key To Continue..........
folgende Animation wird abgespielt:
Die Methoden des Infizierens
Ein Teil der Viren und Programmwürmer hat in senem Code einen speziellen Eintrag, in welchen Verzeichnissen auf der Festplatte des angegriffenen Computers sie infizierbare Dateien zu suchen haben, bzw. in welchem Verzeichnis sie die Programdateien mit dem Code des Schädlingsprogramms in der Hoffnung ablegen können, daß sie zur sicheren und kontinuierlichen Steuerug gelangen.
Der Schädling MS-DOS/John Der Schädling Virus
infiziert die Dateien des aktuellen Verzeichnisses.
Alle Bestände mit der Erweiterung COM und vom Typ COM werden infiziert.
Memory
Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.
Der Schädling MS-DOS/John Virus
zeigt kein speicherresidentes Verhalten, und er gibt, nach dem er abgelaufen ist, als auf Parasitenart direkt infektiöser dem virustragenden Programm oder dem Operationsssytem die Steuerung zurück.
Sonstiges
Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden.
In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.
Der Programm-Code des Virus
MS-DOS/John enthält folgenden, nie erscheinenden Texte:
Ari is a NARC
Die für den Virus typische, auch für die Identifizierug geeignete Codereihe ist am Ende der Datei zu finden.
