Tremor.4000 | ESET NOD32 Antivirus

Erstellt am: 2007-11-27, 21:52:12

Modifiziert am: 2007-11-27, 21:52:12

Plattform: MS-DOS

Typ: Virus

Größe: 4000

Datum: 1992-07

Gefährdete Betriebssystem(e): DOS 3.30+

Bezeichnungen

Die verschiedenen Antiviren-Programme können die einzelnen Viren, Würmer mit unterschiedlichen Namen bezeichnen. Es kann vorkommen, dass ein Virenschutzsystem die verschiedenen Exemplare eines bestimmten Schadprogramms unter verschiedenen Namen identifiziert. Es ist aber auch möglich, dass verschiedene Viren, Würmer mit dem gleichen Namen bezeichnet werden. In der folgenden Liste sind die Bezeichnungen der meist verbreiteten Virenschutzprogramme zur Information angeführt, die sich natürlich selbst bei den verschiedenen Varianten des jeweiligen Virenschutzprogrammes unterscheiden können.

Die Bezeichnungen des Schadprogramms MS-DOS/Tremor.4000 Virus heißen laut einzelner Virenschutzprogramme:

Antivirus	Bezeichnung
Avast	Tremor-4000
AVG	Tremor
BitDefender	Tremor.4000.A
e-Trust	Tremor
F-PROT	Tremor.4000.A
F-Secure	Virus.DOS.Tremor.a
Ikarus	Virus.DOS.Tremor.a
Kaspersky	Virus.DOS.Tremor.a
McAfee	Tremor.4000(Virus)

Antivirus	Bezeichnung
Microsoft	DOS/Tremor.4000
NOD32 (ESET)	Tremor.4000
Norton Antivirus	Tremor.4000
Panda	Tremor.4000.A
Rising Antivirus	DOSCOM.Virus.Tremor
Sophos	Tremor
Trend Micro	TREMOR.1
VirusBuster	Tremor

Organisation	Bezeichnung
Wildlist	Tremor.4000,Tremor.4000.A,Tremor.A,Tremor

Infizierung

Wichtigstes Ziel der Virenfunktion ist die Infizierung anderer Programmbereiche. Diese Programmbereiche können Programmdateien, Programmcode enthaltende Sektoren (Bootsektor, MBR - master boot record). Die einzelnen Viren führen die Infizierung mittels verschiedener Verfahren in den einzelnen Bereichen durch. Es kann auch vorkommen, daß der Virus-Code für die Infizierung einzelner speziellen Bestände (beispielsweise COMMAND.COM) gesonderten Algorithmus enthält.

Infizierung der COM-Dateien

Ein Teil der Viren ist bemüht, - um nicht so schnell aufzufallen und zu schnell aufzufliegen, das Infizieren von bestimmten, im Vordergrund stehenden, eine größere Aufmerksamkeit erweckenden Dateien zu vermeiden sowie von Dateien, die vermutlich über eine wirksame Selbstkontrolle verfügen, wie z.B. von Antivirenprogrammen. Das wird durch die Überprüfung der Dateinamen oder deren Details erreicht.

Der Schädling MS-DOS/Tremor.4000 Virus infiziert die Dateien nicht, deren Name mit folgenden Zeichen beginnt:

CH
ME
MI
F2
F-
Vollständige Liste...

Das Ablegen des Virus-Codes in dem virustragenden Programm ist besonders interessant, da bei der Virenentfernung das Reinigungsprogramm genau wissen muß, woher und wie große Details es auszuschneiden hat. Bei Bootviren kann der über 512 Byte (1 Sektor) große Programm-Code nur noch in weiteren Sektoren abgelegt werden, die zu finden ohne konkreten Kenntnis des Virus-Code ist ziemlich schwierig.

Der Virus-Code wird am Ende der infizierten Datei(en) gesetzt, am Anfang des Programms wird nur ein Sprungbefehl geändert, damit beim Start des virustragenden Programms zuerst der Virus-Code ablaufen soll, dann springt er auf den originalen Eintrittspunkt zurück.

Die Virusverfasser bemühten sich von Anfang an um das Verbergen ihrer Programme. In diesem Interesse verschlüsseln sie das Virusprogramm, bzw. es wird mit einer Dienstleistung versehen, wodurch sich der Code von Infizierung zur Infizierung ändert. Auch das Maß ist variabel, und der Stufe der Mehrgestaltung entsprechend können wir polimorf, oligomorf und metamorf Schädlinge unterscheiden. Typisch für die Codierung in den oligomorf, bzw. polimorf Schädlingen (und für den Schädling) ist auch das indegrierte decdierende Verfahren (dekriptor), das in den meisten Fällen von den weiteren Teilen des Virus-Codes gut abgesondert werden kann.

Der Schädling MS-DOS/Tremor.4000 Virus hat polimorf Eigenschaften, d.h. er ändert seinen Code von Infizierung zur Infizierung, um zu erschweren, oder ga unmöglich zu machen, daß die infizierenden Virusexemplare mit Hilfe von Identifizierungs Bytefolge(n) entdeckt und/oder eindeutig identifiziert werden.

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Ein Teil der Viren wendet schleichende Technik an, d.h. der speicherresidente Virus ist bemüht, um seine Anwesenheit zu tarnen, glaufhaft zu machen, daß das System virenfrei sei. In einfacherem Fall werden die durch die Infizierung verursachten Veränderungen betreffs Größe, Datum usw. Vor den Programmen des Operationssystems und vor den Anwenderprogrammen verborgen, es kann aber auch vorkommen, daß der ganze Programmbereich vor der Infizierung simuliert wird.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Infizierung der EXE-Dateien

Der Schädling MS-DOS/Tremor.4000 Virus infiziert die Dateien nicht, deren Name mit folgenden Zeichen beginnt:

CH
ME
MI
F2
F-
Vollständige Liste...

Der Programm-Code des Schädlings Virus ist verschlüsselt.

Der schädling Virus hat schleichende (stealth) Eigenschaften.

Tätigkeiten

Jeder Virus, Wurm macht, was er will, bzw. die vom Programmierer programmierten Funktionen. Manche Viren, Würmer verbinden ihre Tätigkeit (Strafrutine) mit einem Ereignis, meistens mit einem Zeitpunkt.

Bedingung	bei jedem Aktivieren
Tätigkeit	werden die Datumeinträge der infizierten Dateien um 100 Jahre erhöht

Bedingung	bei der Betätigung der Tastenkombination Ctrl-Alt oder Ctrl-Del
Tätigkeit	wird der Bildschirm gelöscht werden die hier angegenen Meldungen angezeigt, mit schwarzem Hintergrund: -=> T.R.E.M.O.R. was done by NEUROBRASHER/ May-June '92, Germany <=- -MOMENT-OF-TERROR-IS-BEGINNING-OF-LIFE-

Bedingung	mit dem Monat "3" , nach der Infizierung des Systems
Tätigkeit	stürzt der Computer beginnt der Bildschirm zu vibrieren

Der Schädling Virus führt einen Angriff

Central Point Antivirus (CPAV)
Microsoft Antivirus (MSAV)

Die Methoden des Infizierens

Der in den Speicher gelangte Virus infiziert dann, wenn ein entsprechendes Zielobjekt in sein Blickfeld kommt. Abhängig von überwachtem Abbruch und dem Code des Virenprogramms können wir Viren unterscheiden, die beim Ablauf der Programmdateien infizieren, andere beim Öffnen oder Schließen, beim Kopieren, Lesen oder Schreiben der Dateiern, eventuell bereits bei der Abfrage des Inhaltsverzeichnisses, und es kommt nicht selten vor, daß wir Kombinationen der oben aufgeführten antreffen. Folgende Funktionen der sich an die Datei und Operationen anfügenden Unterbrechungen benutzt er zur Verbreitung des Virus-Code:

Durchführung von Dateien

Memory

Der größere Teil der Viren gelangt auf residenter Art in den Speicher, es gibt jedoch welche, die als direkt infektiöse (auf Parasitenart) nach Ablauf des eigenen Programmcodes dem virustragenden Programm die Steuerung zurückgeben und den Speicher verlassen.

Der Schädling MS-DOS/Tremor.4000 Virus ist speicherresident.

Der Schädling MS-DOS/Tremor.4000 Virus gelangt in den 640K großen DOS Speicher.