Satan.602 | ESET NOD32 Antivirus

Erstellt am: 2008-01-30, 16:24:34

Modifiziert am: 2008-01-30, 16:24:34

Plattform: MS-DOS

Typ: Virus

Größe: 602

Datum: 1995-05

Gefährdete Betriebssystem(e): DOS

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Satan.602 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Satan-602
AVG	Satan
BitDefender	PS-MPC.0602.AW.Gen
e-Trust	Satan.602
F-PROT	Satan.602
F-Secure	Virus.DOS.Lct.602
Ikarus	Virus.DOS.Lct.602
Kaspersky	Virus.DOS.Lct.602
McAfee	Univ/r(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Satan.602
NOD32 (ESET)	Satan.602
Norton Antivirus	Satan.602
Panda	Satan.602
Rising Antivirus	SATAN.612
Sophos	Lct-602
Trend Micro	SATAN.612
VirusBuster	Satan.602

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Der Programmcode der Viren nimmt einen meßbaren Platz in den Dateien, Bootsektoren, im MBR bzw. in den Sektoren der Diskette oder Festplatte ein. Diese Größe stimmt mit der tatsächlichen und sichtbaren Größenzunahme nicht immer überein, da auch sonstige Einflüsse mitwirken. So zum Beispiel, wenn der Virus kleinere oder grőßere Programmabschnitte in der Datei mit seinem Code überschreibt, oder wenn er in den Lücken des virustragenden Programms seinen Code ablegt. Es kann auch vorkommen, daß der Schädling die infizierten Dateien bis zur Segmentgrenze mit irgendwelchem (meist neutralem) Inhalt füllt. In vielen Fällen kann nur den Anzahl der belegten Sektoren statt der tatsächlichen Größe des Virus-Code angegeben werden. Bei Schädlingen, die gleich mehrere Zielobjekte infizieren, kann oft vorkommen, daß die Größe des Virus-Codes in den COM- und EXE-Infizierungen aufgrund der unterschiedlichen Struktur der jeweiligen Dateien anders ist, bzw. die Bootviren und Multitarget-Viren, die auch den MBR und den Bootsektor infizieren, haben eine andere Größe im Bootsektor der Diskette, als im MBR, oder gar in den COM- und/oder EXE-Dateien.

Der Schädling / überschreibt mit seinem Virus-Code bei der Infizierung: 5 Byte am Anfang der infizierten Programmdateien, um die Steuerung auf den eigenen Programm-Code zu lenken. Infolge der Überschreiung kann der Originalinhalt des infizierten Bestandes nicht mehr zurückgestellt werden.

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Ein erheblicher Teil der Viren kennzeichnet in einer Weise die infizierte Datei. Dadurch wird gezeigt, daß der betreffende Bestand bereits infiziert ist, er braucht diesen nicht noch einmal zu infizieren. Andernfalls führt die wiederholte Infizierung zur unerwünschten Dateivergörßerung und verlangsamt das System.

Der Schädling markiert die bereits erfolgreich infizierten Dateien mit dem, beim 05 Offset abgelegten 3C 54 Wert, um das mehrfache Infizieren vermeiden zu können.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	am 25. Dezember
Tätigkeit	werden selbst die infizierten Programme nicht laufen wird nicht infiziert

Die Methoden des Infizierens

Ein Teil der Viren und Programmwürmer hat in senem Code einen speziellen Eintrag, in welchen Verzeichnissen auf der Festplatte des angegriffenen Computers sie infizierbare Dateien zu suchen haben, bzw. in welchem Verzeichnis sie die Programdateien mit dem Code des Schädlingsprogramms in der Hoffnung ablegen können, daß sie zur sicheren und kontinuierlichen Steuerug gelangen.

Der Schädling MS-DOS/Satan.602 Der Schädling Virus infiziert die Dateien des aktuellen Verzeichnisses.

Der Schädling infiziert folgende Dateien 1 , sobald er die Steuerung einmal übernimmt.

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Satan.602 Virus zeigt kein speicherresidentes Verhalten, und er gibt, nach dem er abgelaufen ist, als auf Parasitenart direkt infektiöser dem virustragenden Programm oder dem Operationsssytem die Steuerung zurück.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Satan.602 enthält folgenden, nie erscheinenden Texte:

<T3> <tm> LiquidCode 92