Junkie | ESET NOD32 Antivirus

Erstellt am: 2007-11-27, 20:47:42

Modifiziert am: 2007-11-27, 20:47:42

Plattform: MS-DOS

Typ: Virus

Größe: 1027

Datum: 1994-05

Gefährdete Betriebssystem(e): DOS

Gefährdete Dateien: co_, cow

Sind gefährdete Bereiche: MBR (Master Boot Record), boot sector

Der Schädling hat sich zuerst in einer Datei unter der Bezeichnung: "PSTATCH.COM" im Internet verbreitet.

Der Schädling hat sich in einer ZIP-Datei unter der Bezeichnung "PSPTC.ZIP" im Internet verbreitet.

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Junkie Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Junkie
AVG	Junkie
BitDefender	Junkie.1027
e-Trust	Junkie
F-PROT	Junkie.1027.A
F-Secure	Virus.Multi.Junkie.1027
Ikarus	Virus.Multi.Junkie.1027
Kaspersky	Virus.Multi.Junkie.1027
McAfee	Junkie.mp(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Junkie.1000
NOD32 (ESET)	Junkie
Norton Antivirus	Junkie
Panda	Junkie.1027.A
Rising Antivirus	Junki
Sophos	Junkie
Trend Micro	JUNKIE.1308*
VirusBuster	BOOT.Junkie

Organisation	Bezeichnung
Wildlist	Junkie.mp.1027.A,Junkie.1027.A,Junkie.1027,Junkie

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den Lücken des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien.

Der Schädling / steigert die Grőße der infizierten Dateien. Diese Größenzunahme kann sich aber bei jeder Infizierung ändern. Der kleinste Wert der Größenzunahme beträgt: 1027 Byte, und der höchste Wert beträgt: 1042 Byte.

Der Schädling MS-DOS/Junkie Virus hat nicht einen gleich großen Code wie die Dateizunahme ist, der Virus füllt die zu infizierende Datei vor der Infizierung bis zur folgenden Segmentgrenze auf.

Die Größe der COM Pogramme ist - im Gegensatz zu den EXE Programmen - stark begrenzt. Das Operationssystem ist abgesehen von wenigen Ausnahmen nicht imstande, COM Programme über 64 kB zu steuern, so werden Virenexemplare, bei denen die Grüße der infizierten Datei über 64 kB ist, niemals angesteuert. Dementsprechend achtet ein Teil der COM infizierenden Viren darauf und sortiert durch ein entsprechendes Filter die größeren Dateien aus, bei denen die infizierte Datei nicht mehr lauffähig wäre. Obwohl derartige Begrenzung für die EXE Dateien nicht gibt, infizieren viele EXE infizierenden Viren ebenfalls nur bis zu einer bestimmten Dateigröße. Da für den Virus die zu kleinen Dateien ebenfalls gefährlich sein können (die Größenzunahme wäre zu auffällig, bzw. Köderdateien sind zu meiden), infizieren viele Viren nur Dateien, die größer sind, als die im Programm-Code angegebene untere Grenze.

Durch den Schädling / werden nur Dateien, die größer als 5000 Byte sind, infiziert.

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Infizierung der Diskette

Infizierung der Festplatte

Ein erheblicher Teil der Viren überschreibt nicht einfach den Bootsektor der Disketten und der Festplatten, bzw. das mbr und die Partitionstabelle der Festplatten, sondern speichert vorher das ursprüngliche Bootprogramm bzw. den Inhalt vom mbr und von der Partitionstabelle. Dazu kommt es aus mehreren Gründen. Zum einen wird die Gefahr des Auffliegens geringer, wenn nach dem Virus-Code auch das ursprüngliche Bootprogramm geladen wird. Um sich besser tarnen zu können ist es zum anderen unerläßlich, daß der schleichende Virus den Schein der ursprünglichen Zustände an die Stelle der echten Daten fälschen kann.

Der Schädling Virus speichert das Original MBR in verschlüsseltem Zustand, somit ist bei der Virenentfernung auch für das Entschlüsseln zu sorgen.

Primärer Zielpunkt der Bootviren ist das kleine Startprogramm in der Partitionstabelle (MBR - Master Boot Record) der Festplatten, bzw. in dem Bootsektor des Operationssystems. Auf Disketten (da sich dort keine Partitionen befinden können) gibt es keine Partitionstabelle, dort ist der Bootsektor der primäre Sektor. Die ersten Bootviren waren naturgemäß auf die späteren Diskformate noch nicht vorbereitet. Dementsprechend gibt es welche, die nur die 360 KB großen Disketten, andere nur die 5,1/4 Zoll großen Disketten infizieren. Indes gibt es welche, die bereits mehrere, gar alle Diskformate zu infizieren imstande sind.

Der Schädling MS-DOS/Junkie Virus infiziert das MBR auf der Festplatte.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Junkie Virus ist speicherresident.

Der Schädling MS-DOS/Junkie Virus ist, gestartet von der Diskette, speicherresident.

Der Schädling MS-DOS/Junkie Virus ist, gestartet von der Festplatte, speicherresident.

Der aus der COM-Datei gestartete Schädling MS-DOS/Junkie Virus funktioniert nicht auf residenter Art, er bleibt nicht im Speicher, nach Ablauf seines Programmcodes gibt er dem virustragenden Programm die Steuerung zurück.

Der in den Speicher gelangende Schädling / beeinträchtigt den von DOS aus erreichbaren Speicher. Diese Beeinträchtigung beträgt: 3072 Byte.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Junkie enthält folgenden, nie erscheinenden Texte:

DrW-3 Dr White - Sweden 1994 Junkie Virus - Written in Malmo...M01D