Tequila.2468.A | ESET NOD32 Antivirus

Erstellt am: 2007-11-27, 21:48:44

Modifiziert am: 2007-11-27, 21:48:44

Plattform: MS-DOS

Typ: Virus

Größe: 2468

Datum: 1999-01

Gefährdete Betriebssystem(e): DOS

Ungefährdete Betriebssystem(e): Windows 3.xx, Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows Server 2003, Windows XP, Linux, Unix alle...

Gefährdete Dateien: exe

Sind gefährdete Bereiche: MBR (Master Boot Record)

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Tequila.2468.A Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Helloween 2
AVG	Tequila
BitDefender	Tequila.2468 (Boot image)
e-Trust	Tequila
F-PROT	Tequila.2468
F-Secure	Virus.Boot-DOS.Tequila.a
Ikarus	VirTool.DOS.NoLite
Kaspersky	Virus.Boot-DOS.Tequila.a
McAfee	Tequila.dr(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Tequila
NOD32 (ESET)	Tequila.2468.A
Norton Antivirus	Tequila
Panda	Tequila File
Rising Antivirus	TEQUILA.A
Sophos	Tequila
Trend Micro	TEQUILA-1
VirusBuster	Tequila

Organisation	Bezeichnung
Wildlist	Tequila.mp.2468.A,Tequila.2468.mp.A,Tequila.2468.A,Tequila.A,Tequila

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Ein Teil der Viren ist bemüht, - um nicht so schnell aufzufallen und zu schnell aufzufliegen, das Infizieren von bestimmten, im Vordergrund stehenden, eine größere Aufmerksamkeit erweckenden Dateien zu vermeiden sowie von Dateien, die vermutlich über eine wirksame Selbstkontrolle verfügen, wie z.B. von Antivirenprogrammen. Das wird durch die Überprüfung der Dateinamen oder deren Details erreicht.

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

sc*.*
v*.*

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Schädling MS-DOS/Tequila.2468.A Virus hat polimorf Eigenschaften, d.h. er ändert seinen Code von Infizierung zur Infizierung, um zu erschweren, oder ga unmöglich zu machen, daß die infizierenden Virusexemplare mit Hilfe von Identifizierungs Bytefolge(n) entdeckt und/oder eindeutig identifiziert werden.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Ein Teil der Viren wendet schleichende Technik an, d.h. der speicherresidente Virus ist bemüht, um seine Anwesenheit zu tarnen, glaufhaft zu machen, daß das System virenfrei sei. In einfacherem Fall werden die durch die Infizierung verursachten Veränderungen betreffs Größe, Datum usw. Vor den Programmen des Operationssystems und vor den Anwenderprogrammen verborgen, es kann aber auch vorkommen, daß der ganze Programmbereich vor der Infizierung simuliert wird.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

In den Uhrzeiteinträgen der infizoerten Dateien, im Anzeigefeld für Sekkunden wird der Wert 62 Eingestellt. (das zeigt dem Virus oft den bereits infizierten Zustand an)

Infizierung der EXE-Dateien

Obwohl sich die Erweiterung selbst zum Infizieren geeignet wäre, infiziert der Virus folgende Dateien nicht:

sc*.*
v*.*

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

In den Uhrzeiteinträgen der infizoerten Dateien, im Anzeigefeld für Sekkunden wird der Wert 62 Eingestellt. (das zeigt dem Virus oft den bereits infizierten Zustand an)

Infizierung der Festplatte

Ein erheblicher Teil der Viren überschreibt nicht einfach den Bootsektor der Disketten und der Festplatten, bzw. das mbr und die Partitionstabelle der Festplatten, sondern speichert vorher das ursprüngliche Bootprogramm bzw. den Inhalt vom mbr und von der Partitionstabelle. Dazu kommt es aus mehreren Gründen. Zum einen wird die Gefahr des Auffliegens geringer, wenn nach dem Virus-Code auch das ursprüngliche Bootprogramm geladen wird. Um sich besser tarnen zu können ist es zum anderen unerläßlich, daß der schleichende Virus den Schein der ursprünglichen Zustände an die Stelle der echten Daten fälschen kann.

Der Schädling MS-DOS/Tequila.2468.A Virus speichert den Inhalt des ursprünglichen Bootsektors, somit kann er nach Ablauf des Virus-Codes geladen und durchgeführt werden. So kann der Virus das ursprüngliche Operationssystem ohne Aufsehen starten.

Bei der Infizierung der Festplatte speichert der Schädling / in den 6 Letzten Sektor der Festplatte den Inhalt des ursprünglichen Bootsektors.

Primärer Zielpunkt der Bootviren ist das kleine Startprogramm in der Partitionstabelle (MBR - Master Boot Record) der Festplatten, bzw. in dem Bootsektor des Operationssystems. Auf Disketten (da sich dort keine Partitionen befinden können) gibt es keine Partitionstabelle, dort ist der Bootsektor der primäre Sektor. Die ersten Bootviren waren naturgemäß auf die späteren Diskformate noch nicht vorbereitet. Dementsprechend gibt es welche, die nur die 360 KB großen Disketten, andere nur die 5,1/4 Zoll großen Disketten infizieren. Indes gibt es welche, die bereits mehrere, gar alle Diskformate zu infizieren imstande sind.

Der Schädling MS-DOS/Tequila.2468.A Virus infiziert das MBR auf der Festplatte.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	mit dem Monat "4" , nach der Infizierung des Systems
Tätigkeit	wird ein Bild angezeigt werden folgende Meldungen angezeigt: : Execute: mov ax, FE03 / INT 21. Key to go on! Welcome to T.TEQUILA's latest production. Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland. Loving thoughts to L.I.N.D.A BEER and TEQUILA forever !

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Tequila.2468.A Virus ist speicherresident.

Der in den Speicher gelangende Schädling / beeinträchtigt den von DOS aus erreichbaren Speicher. Diese Beeinträchtigung beträgt: 3072 Byte.

Sonstiges

Die Programmierer der Schädlinge können Meldungen und Bilder in den fertigen Code einfügen, welche verschleiert werden. In dem Code der Viren/Würmer und sonstiger Schädlinge sehen wir in vielen Fällen charakteristische Texte, in denen entweder die Signatur des Virenherstellers oder bezeichnende Textteile für die Funktion des Virus (Datei- und Verzeichnisnamen usw.) zu finden sind. Diese Texte sind nicht immer unmittelbar zu erkennen, meistens werden sie erst durch die Entschlüsselung des Schädlings sichtbar und lesbar.

Der Programm-Code des Virus MS-DOS/Tequila.2468.A enthält folgenden, nie erscheinenden Texte:

Welcome to T.TEQUILA's latest production
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland