Screaming_Fist.696 | ESET NOD32 Antivirus

Erstellt am: 2007-11-27, 21:30:48

Modifiziert am: 2007-11-27, 21:30:48

Plattform: MS-DOS

Typ: Virus

Größe: 696

Datum: 1992-10

Gefährdete Betriebssystem(e): DOS

Ungefährdete Betriebssystem(e): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix alle...

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Screaming_Fist.696 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Screaming Fist II-696
AVG	Screaming_Fist
BitDefender	Screaming_Fist.696.A
e-Trust	Screaming_Fist
F-PROT	Screaming_Fist.696.A
F-Secure	Virus.DOS.Fist.696
Ikarus	Virus.DOS.Fist.696
Kaspersky	Virus.DOS.Fist.696
McAfee	Fist(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Screaming_Fist.696
NOD32 (ESET)	Screaming_Fist.696
Norton Antivirus	Scream Fist.II.696
Panda	Screamin fist.696
Rising Antivirus	Fist.696
Sophos	Scream Fist-696
Trend Micro	SCREAMING.696
VirusBuster	Scr Fist II-696

Organisation	Bezeichnung
Wildlist	Screaming_Fist.696,Screaming_Fist.II.696,Screaming

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Die Größe der COM Pogramme ist - im Gegensatz zu den EXE Programmen - stark begrenzt. Das Operationssystem ist abgesehen von wenigen Ausnahmen nicht imstande, COM Programme über 64 kB zu steuern, so werden Virenexemplare, bei denen die Grüße der infizierten Datei über 64 kB ist, niemals angesteuert. Dementsprechend achtet ein Teil der COM infizierenden Viren darauf und sortiert durch ein entsprechendes Filter die größeren Dateien aus, bei denen die infizierte Datei nicht mehr lauffähig wäre. Obwohl derartige Begrenzung für die EXE Dateien nicht gibt, infizieren viele EXE infizierenden Viren ebenfalls nur bis zu einer bestimmten Dateigröße. Da für den Virus die zu kleinen Dateien ebenfalls gefährlich sein können (die Größenzunahme wäre zu auffällig, bzw. Köderdateien sind zu meiden), infizieren viele Viren nur Dateien, die größer sind, als die im Programm-Code angegebene untere Grenze.

Durch den Schädling / werden nur Dateien, die größer als 300 Byte , und kleiner als 64000 Byte sind, infiziert.

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Anfang der infizierten Datei gesetzt, den originalen Programm-Code überschreibend. Von dem überschriebenen Bereich wird keine Kopie erstellt, so kann der Originalzustand nicht zurückgesetzt werden.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Schädling MS-DOS/Screaming_Fist.696 Virus hat polimorf Eigenschaften, d.h. er ändert seinen Code von Infizierung zur Infizierung, um zu erschweren, oder ga unmöglich zu machen, daß die infizierenden Virusexemplare mit Hilfe von Identifizierungs Bytefolge(n) entdeckt und/oder eindeutig identifiziert werden.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Infizierung der EXE-Dateien

Durch den Schädling / werden nur Dateien, die größer als 300 Byte , und kleiner als 64000 Byte sind, infiziert.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Die Methoden des Infizierens

Der in den Speicher gelangte Virus infiziert dann, wenn ein entsprechendes Zielobjekt in sein Blickfeld kommt. Abhängig von überwachtem Abbruch und dem Code des Virenprogramms können wir Viren unterscheiden, die beim Ablauf der Programmdateien infizieren, andere beim Öffnen oder Schließen, beim Kopieren, Lesen oder Schreiben der Dateiern, eventuell bereits bei der Abfrage des Inhaltsverzeichnisses, und es kommt nicht selten vor, daß wir Kombinationen der oben aufgeführten antreffen. Folgende Funktionen der sich an die Datei und Operationen anfügenden Unterbrechungen benutzt er zur Verbreitung des Virus-Code:

Durchführung von Dateien

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Screaming_Fist.696 Virus ist speicherresident.

Der in den Speicher gelangende Schädling / beeinträchtigt den von DOS aus erreichbaren Speicher. Diese Beeinträchtigung beträgt: 2048 Byte.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Screaming_Fist.696 enthält folgenden, nie erscheinenden Texte:

C:\COMMAND.COM Screaming Fist II