-----BEGIN PGP SIGNED MESSAGE-----




			     I T W - G E R

		    "Viruses in the wild - Germany"

	   Beschreibungen der in Deutschland verbreitesten Viren

                                  1.0

				  ---

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
*** EINLEITUNG +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

   Die ITW-GER befasst sich mit den Viren, die in Deutschland verstaerkt
   verbreitet sind und die fast 90% aller hier auftretenden Virusinfek-
   tionen ausmachen. Solche Viren sind "in the wild", kommen sozusagen
   in freier Wildbahn vor.
   Wenn jemand in die ungluecklichen Lage kommt sich einen Virus einge-
   fangen zu haben wird es hoechstwahrscheinlich einer der Viren sein,
   die hier beschrieben sind.
   Hier findet man detailierte Beschreibungen der Viren und ihrer Aus-
   wirkungen. Zusaetzlich gibt es noch das Archiv ITWxxDIS.ZIP, in dem
   Share- bzw. Freewarereinigungsprogramme fuer viele der hier genannten
   Viren vorhanden sind. [1]

   Mittlerweile geht die Zahl der bekannten Viren fuer DOS-System weit
   ueber 4000 und jeden Monat erscheinen neue Viren, die von Scannern
   nicht erkannt werden. Man moechte meinen das bei dieser riesigen
   Anzahl von Viren jeder Rechner infiziert ist und die Viren sich un-
   gestoert verbreiten koennen.
   In Wirklichkeit sind von diesen 4000-5000 Viren weltweit ca. 50 bis
   100 wirklich bei den Anwendern verbreitet; hier in Deutschland liegt
   die Zahl der verbreiteten Viren bei gerade mal einem Dutzend.
   Viele dieser 4000 Viren sind ueberhaupt nicht lauffaehig oder eine
   Verbreitung ist absolut unwahrscheinlich. (Ueberschreibende Viren,
   Virons) Oft werden neue Viren direkt in sogenannten VX-Mailboxen
   (Virentausch-Mailboxen) angeboten oder sogar direkt bei bekannten
   Antivirenfirmen in die Support-Mailboxen geladen. Solche Viren werden
   als Research-Viren bezeichnet und koennen nur in den Sammlungen der
   Virenforscher gefunden werden, aber nie "in the wild".
   Wenn so viele Viren nicht richtig funktionieren, muessten ja diese
   stark verbreiteten 50 Viren ein Meisterwerk der Programmiertechnik
   sein und nur vor Tricks wie Stealthfunktionen und polymorpher Ver-
   schluesselung strotzen.
   Auch das ist nicht der Fall! Viele der "In the wild"-Viren sind er-
   schreckend primitiv, ohne mit irgendwelchen technischen Tricks aufzu-
   warten. Dazu kommt das diese Viren zum Teil schon mehrere Jahre lang
   bekannt sind (!) und auch noch von den verstaubtesten Antivirenpro-
   gramm erkannt werden (sollten). Und trotzdem treten gerade diese Viren
   immer wieder auf! (Besonders <FORM.A> und <PARITY_BOOT.B> )
   Letztendlich haengt es davon ab, wie der betreffende Virus in Umlauf
   gebracht wurde, und nicht, wieviele technische Tricks er enthaelt.
   Ist ein Virus erstmal wirklich weit verbreitet, ist er nur noch schwer
   auszurotten. Immer wieder treten Reinfektionen auf, weil Daten von
   Systemen kopiert werden, wo so gut wie nie nach Viren gesucht, oder
   unzureichende Software zur Virensuche benutzt wird.
   Immer wieder wird solche Veteranen wie <FORM> oder <Parity_Boot.B> auf,
   manchmal werden sie erst gefunden, weil sich Windows mit seinem 32-Bit
   Festplattenzugriff nicht mit Bootviren vertraegt. [2]
   Auch stammen nicht alle der hier verbreiteten Viren aus Deutschland
   selber, sondern aus Bulgarien, Israel, USA und anderen Laendern.
   Und viele Viren, von denen bekannt ist das sie aus Deutschland stammen
   sind nie in groesseren Umfang bei den Anwendern aufgetreten.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
*** DIE "WILDLIST" +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

   Folgende Viren treten besonders stark auf:

   Parity_Boot.B
   FORM.A
   Tai-Pan.434 (Whisper)
   Junkie
   AntiEXE.A
   Natas.4744
   One_Half.3544
   Neuroquila
   Tremor
   Jack_the_Ripper
   Yankee_Doodle.TP.44.A
   Cascade.1701 / 1704
   Tequila
   V-Sign
   NYB
   WET
   Breasts
   Stoned.Angelina
   Stoned.Michelangelo.A
   Stoned.June_4th.A
   Stoned.Flame
   Stoned.Standard.A
   Stoned.Empire.Monkey.B
   Vacsina.TP.5.A
   Sirius
   Butterfly
   VLamiX
   Jerusalem.1808.Standard.A
   Jerusalem.AntiCad.3004/3012/4096
   Jumper
   GoldBug
   Chinese_Fish
   Maltese_Amoeba

   Einige dieser Viren treten nur regional verstaerkt auf und sind sonst kaum
   verbreitet.


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
*** DON'T PANIK!!! +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Oft versuchen User, die einen Virus bei sich im System entdecken direkt ihre
Festplatte komplett zu formatieren und so den Virus loszuwerden.
DAS IST UEBERHAUPT NICHT NOTWENDIG!!! Ausserdem fuehrt es oft nicht zu
den gewuenschten Erfolg. Viren werden meistens ueber infizierte Disketten
bzw. infizierten Programmen auf Disketten eingefuehrt. Die Festplatte mag
nach der Formatierung zwar sauber sein, aber spaetestens innerhalb einiger
Wochen hat sich der Virus wieder eingenistet. [3]

Nur die wenigsten der oben genannten Viren sind wirklich destruktiv.
Michelangelo loescht z.B. am 6.3. die Partition, Jack_The_Ripper bearbeitet
die CMOS-Informationen und der mittlerweile schon fast ausgestorbene
Dark_Avenger.1800.A loescht vereinzelte Sektoren von Festplatte mit weniger
als 40 MB.
Viele Viren haben nur den "Auftrag" sich zu vermehren und bestenfalls Texte
auszugeben oder Geraeusche ueber den PC-Speaker von sich zu geben.
Meistens ist ein Virus schon laenger aktiv, bevor ein Anwender ihn bemerkt.
Es hat dann auch keinen Sinn mehr durch ueberhastete Panikaktionen zu ver-
suchen Daten zu retten. Als erstes sollte man sich informieren, was genau
der Virus macht. Es nuetzt nichts, <Tremor> mit "FDISK /mbr" beseitigen zu
wollen, auch wenn dieser Trick so schoen mit <FORM> funktionierte.


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
*** Allgemeine Virenerkennung und Beseitigung ++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

GenP , GenB, Generic-1:
~~~~~~~~~~~~~~~~~~~~~~~

Hierbei handelt es sich nicht um spezielle Viren, sondern um typische
Partitions- und Bootsektoviren. Viele dieser Viren sind einfach Varianten
der "Stammvaeter" wie <Stoned> oder <Brain>. Neue Varianten werden von
Scannern mit den oben genannten Begriffen erkannt, wobei GenP fuer Partitions-
virus und GenB fuer Bootsektorvirus steht. In der Regel sind diese Viren
resident und werden erst aktiv, wenn von einer infizierte Diskette gestartet
wird. Es ist ein Geruecht, das schon ein DIR ausreicht um den Virus zu
aktivieren. Ist der Virus allerdings einmal aktiv, wird so gut wie jede
eingelegte Diskette infiziert, die nicht schreibgeschuetzt ist. Viren dieses
Typs greifen normalerweise keine Programme an, sind aber evtl. destruktiv
wie zum Beispiel der Virus <Michelangelo>. Sektorviren fallen in der Regel
dadurch auf, dass der zu Verfuegung stehende konventionelle DOS-Speicher von
den sonst ueblichen 640K verringert wird. Allerdings belegt das BIOS einiger
Hersteller ebenfalls 1K. Weitere Merkmale sind, dass der 32-Bit Festplatten-
zugriff von Windows sich nach einer Warnung ausschaltet oder das der Speicher-
manager QEMM (Quarterdeck) meldet, das bestimmte Interruptvektoren nicht
ermittelt werden koennen. Sektorviren belegen oft den letzten Sektor des Haupt-
verzeichnis auf Disketten und koennen so moeglicherweise Datenverlust verur-
sachen.

Reinigung des Systems:
~~~~~~~~~~~~~~~~~~~~~~
Sektorviren koennen oft mit DOS-eigenen Mitteln entfernt werden! (Nicht MSAV!)
Dazu benoetigt man eine garantiert saubere Startdiskette mit der gleichen DOS-
Version, wie sie auf der Festplatte installiert ist. Es hat wenig Sinn, eine
Startdiskette zu erzeugen, wenn der Rechner bereits infiziert ist. Die
Diskette sollte mit "SYS C: A:" erzeugt werden und die DOS-Befehle FDISK,
FORMAT und SYS enthalten. Es ist sinnvoll eine weitere Diskette bereitzu-
halten, die aktuelle Antivirenprogramme enthaelt.

WICHTIG!!!
~~~~~~~~~~
Als erstes muss nach den Booten von dieser Disketten (Rechner komplett aus-
schalten!!!) festgestellt werden, ob die Festplatte noch lesbar ist. Erhaelt
man bei "DIR C:" nur noch die Meldung "Ungueltiges Laufwerk C:" oder das Ver-
zeichnis der zweiten Festplatte, darf in keinen Fall FDISK benutzt werden!!!

Kann man noch normal auf die Festplatte zugreifen sollten folgende Befehle
ausgefuehrt werden:

"FDISK /MBR" - Es wird ein neues Partitionsprogramm mit den Groessenangaben
	       der alten Partition geschrieben. Viren, die den Partitions-
	       sektor infiziert haben, werden ueberschrieben.
	       Die Partition wird NICHT geloescht!!!

"SYS A: C:"  - Der Bootsektor wird aehnlich wie bei FDISK /MBR korregiert und
	       zurueckgeschrieben. COMMAND.COM wird ebenfalls von der Diskette
	       auf die Festplatte uebertragen.


Sicherer als diese Methode ist jedoch, sich eine Rettungsdiskette anzulegen.
Die gaengigen Tools wie NORTON UTILITIES oder PC-TOOLS bieten diese Funktion
an. Allerdings muss die Rettungsdiskette aktualisiert werden, wenn ein neues
Betriebssystem installiert oder die Partition geaendert wird.


Dateistealthviren:
~~~~~~~~~~~~~~~~~~
Viren dieses Typs wie z.B. <Tremor> oder <Natas> verbergen ihre Anwesenheit
vollstaendig vor dem User. Infizierte Programme haben (angeblich) die gleiche
Laenge und den selben Inhalt wie vor der Infektion. Pruefsummenprogramme
werden keinen Unterschied feststellen koennen, wenn der Virus einmal resident
ist. An zwei Merkmalen kann man jedoch Dateistealthviren erkennen:

a) Die Datumsmethode
   Stealthviren muessen irgendwie infizierte Programme markieren, damit sie
   wissen bei welchen Dateien sie den Inhalt korregieren muessen um unbemerkt
   zu bleiben. Bevorzugte Methode ist es, die Dateiuhrzeit auf 62 Sekunden
   oder das Dateidatum um 100 Jahre auf ueber 2080 zu veraendern. Diese Mark-
   ierungen sind mit DIR nicht sichtbar. Es gibt nur recht wenige Programme
   die diese Felder ueberhaupt anzeigen; die meisten Programme beschraenken
   sich auf eine Anzeige wie "DATEI.COM  15-12-95  12:35am".
   Ein neues, unbekanntes Programm mit einen solchen ungueltigen Dateidatum
   sollte nur mit Vorsicht benutzt werden!
   Ausserdem nuetzt diese Methode nur dann was, wenn der Virus noch nicht
   aktiv ist.

b) CHKDSK.EXE (DOS)
   Ein Nebeneffekt der meisten Dateistealthviren ist es, das CHKDSK zu
   jedem (!) infizierten Programm eine Fehlermeldung ausgibt!
   Eine infizierte Festplatte koennte z.B. so aussehen:

##############################################################################

Datentraeger FESTPLATTE1 erzeugt 31.08.1994 22:12
Datentraegernummer: 1179-1DD5
Fehler gefunden. Option /F nicht angegeben
Datentraeger wird nicht berichtigt

C:\DOS\COMMAND.COM
   Zuordnungsfehler, Groesse berichtigt
C:\NU\NCC.EXE
   Zuordnungsfehler, Groesse berichtigt
C:\TOOLS\AVP\AVP.EXE
   Zuordnungsfehler, Groesse berichtigt
C:\TREMOR.EXE
   Zuordnungsfehler, Groesse berichtigt

##############################################################################

   Das sind keine echten Fehler auf der Festplatte! Es sollte in keinem Fall
   der Parameter "/F" angegeben werden, da sonst Datenverlust auftritt!!!
   Der Grund fuer diese Meldung ist, das der Virus zwar die alte Dateigroesse
   vortauescht, aber nicht auch gleichzeitig die FAT (File Allocation Table)
   anpasst.
   Diese Methode funktioniert nur, wenn der Virus bereits aktiv ist.


++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
*** BESCHREIBUNGEN DER VIREN +++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Dokumentation des PARITY_BOOT.B-Virus			      29.01.95
Fragen, Kommentare, Korrekturen, Anregungen an:
Uli Schaefer@2:2449/600.12 oder 2:2480/149.6

Typ:		Bootsektor, Resident (TOM), Stealth
Groesse:	512 Byte (1 Disk-Sektor)
Merkmale:	Konventioneller Speicher wird um 1 KB kleiner; ohne
		geladenem Tastaturtreiber: Meldung 'PARITY CHECK' zu
		einer vollen Stunde (Systemzeit); Ctrl-Alt-Del fuehrt
		einen Pseudo-Warmstart aus; Debugger u.ae. verursachen
		Abstuerze.
Schaeden:	Computer haengt zu einer vollen Stunde mit der Meldung
		'PARITY CHECK' im 40*25-Anzeigemodus; Bootsektoren von
		Disketten und Festplatten werden verschoben; auf Floppy
		Disks wird der dadurch letzte Sektor des Hauptverzeich-
		nisses ueberschrieben.
Interrupts:	09h (Keyboard) zeigt auf Offset 7D62h
		13h (Disk) zeigt auf Offset 7C82h
		Segmente von 01h (Single Step) und 03h (Breakpoint)
		ungueltig
Desinfektion:	Kopie des Bootsektors in Original-Bereich schreiben.
Signatur:	26 80 BF BC 01 C9 74 7A E8 8B 00 E8 31 00 8B F3 80 FA
		?? 77


	  Der Parity_Boot.B-Virus (PBB) ist ein residenter Bootsektor-
	Virus mit Stealth-Eigenschaften.  Er gelangt durch  infizierte
	Disketten  oder  Festplatten  in das System,  indem von diesen
	Medien gebootet wird. Bei der Infektion einer Platte oder Dis-
	kette kopiert er den sauberen Original-Bootsektor in einen un-
	benutzten Bereich des Mediums und lenkt alle  Lesezugriffe vom
	Bootsektor auf diese Kopie um.	Er installiert sich  im hoech-
	sten  konventionellen  Speicherbereich	und reduziert den ver-
	fuegbaren konv. Speicher um 1 KByte.

	  Die Installationsroutine des PBB  kopiert zuerst die Adresse
	des Interrupts 13h in einen eigenen JMP-Befehl.  Die momentane
	Stunde der Systemzeit wird gespeichert.  Dann wird die Groesse
	des konventionellen Speichers (bis 640k) um 1 KB dekrementiert
	und anhand  dieses Wertes  das oberste Segment im Speicher be-
	rechnet (tom - top of memory),	in das sich der Virus  hinein-
	kopiert.  Die beiden Interrupt-Vektoren  werden  mit den neuen
	Adressen der beiden Handler im obersten Segment belegt.  Damit
	ist die Installation abgeschlossen, und der Interrupt 19h wird
	erneut ausgefuehrt.
	  Dieser Boot Strap Loader ruft den Int 13h auf, der nun durch
	den PBB abgefangen wird,  liest die saubere Kopie des BootSek-
	tors und fuehrt den originalen Boot-Code aus  (der die System-
	dateien laedt).  Da dem Betriebssystem	der Speicher des Virus
	nicht mehr zur Verfuegung steht, ist der Virus vor dem Zugriff
	und dem Ueberschreiben durch andere Programme geschuetzt.
	  Die Kopie des Bootsektors befindet sich bei 360K-  und 720K-
	Disketten auf  Seite 1,  Spur 0, Sektor 3,  bei 1.2M-Disketten
	auf Seite 1, Spur 0, Sektor 5,	bei 1.44M-Disketten  auf Seite
	1,  Spur 0, Sektor 14 und bei Festplatten auf Seite 0, Spur 0,
	Sektor	14  -  auf Disketten ist das der letzte bzw. vorletzte
	Sektor des  Hauptverzeichnisses,  in dem sich jedoch nur recht
	selten Eintraege befinden, da sich meist nicht so viele Datei-
	en auf einer Diskette befinden. Aus diesem Grund ist ein durch
	die Infektion verursachter Datenverlust selten.

	  Der  Interrupt 13h-Handler des Virus	kehrt bei der Funktion
	AH=AAh sofort zur  Anwendung zurueck.  Ein Lesezugriff auf den
	Bootsektor wird  ausgefuehrt und der  Virus prueft,  ob dieser
	bereits infiziert ist.	Wenn dieses nicht  der Fall ist,  wird
	der  gelesene Sektor in einen  unbenutzten Sektor geschrieben.
	Falls die Diskette schreibgeschuetzt ist, wird der auftretende
	Fehler vor der	Anwendung versteckt,  andernfalls wird der Be-
	reich der  Disketten-Parameter	in den	Viruscode  kopiert und
	dieser	schliesslich in den Bootsektor geschrieben.  Bei jeder
	Infektion wird die gespeicherte Stunde des Systemstarts inkre-
	mentiert.  Vor der  Rueckkehr zur  Anwendung werden stets alle
	Register  so  geaendert,  als  sei der	saubere  Bootsektor an
	seiner urspruenglichen Position gelesen worden.

	  Durch die Belegung des Keyboard-Interrupts faengt  der Virus
	die  Tastenkombination	fuer den  Warmstart  Ctrl-Alt-Del  ab.
	Statt eines  Warmstarts  ruft der Virus einfach nur  den  Boot
	Strap  Loader auf - dieser  laedt  zwar  von neuem die System-
	dateien, doch das  Zuruecksetzen  der Interrupt-Vektoren waeh-
	rend  eines Warmstarts	findet nicht statt,  wodurch der Virus
	aktiv im Speicher bleibt.  Bei jedem anderen  Tastendruck ver-
	gleicht der Virus  die momentane Stunde  der Systemuhr mit der
	Zahl,  die sich aus  der Summe der Stunde des Systemstarts und
	der Zahl der jeweils infizierten  Bootsektoren	zusammensetzt.
	Erst wenn die System-Stunde diesen Wert erreicht hat, gibt der
	Virus seine Meldung 'PARITY CHECK' aus und haelt den Prozessor
	an.
	  Bei einem Warmstart ist die Infektion  eines	Systems leicht
	daran zu erkennen,  dass die uebliche Ausgabe  des BIOS zu Be-
	ginn fehlt.  Der PBB loescht einfach den Bildschirm  und laedt
	anschliessend die Systemdateien.
	  Bei  Verwendung  eines Tastatur-Treibers  wird der Interrupt
	09h-Handler des Virus deaktiviert.  Der PBB kann dann zwar das
	System nicht mehr anhalten, dennoch weiterhin Datentraeger in-
	fizieren. Auch werden die Interrupts 01h (Single Step) und 03h
	(Breakpoint) nicht zerstoert, weshalb z.B. Debugger dann lauf-
	faehig bleiben und ein Warmstart korrekt ablaeuft.
	(c) 95 by uli schaefer


==============================================================================

VIRUSNAME:	Tai-Pan, Whisper
URSPRUNG:	Schweden
BEKANNT SEIT:	Sommer 1994
VIRUSTYP:	Resident, EXE-Virus
GROESSE:	Speicher.................: 528/752 Bytes
INFIZIERT:	EXE-Programme
SYMPTOME:	Freie Speichermenge reduziert, Programmabstuerze
VARIANTEN:	Tai-Pan.666, Tai-Pan.434

Tai-Pan ist  ein  einfacher,  residenter  Dateivirus.	Beim  Starten eines
infizierten Programmes ueberprueft der Virus mit der selbstdefinierten	INT
21h-Funktion  AX=7BCEh (Resultat: AX=7BCEh) ob er bereits im Speicher aktiv
ist.  Ist das nicht der Fall verkuerzt	der Virus die MCB-Kette um 528 bzw.
752 Bytes und kopiert sich  in	den  Speicherbereich,  der  als  SYSTEM-MCB
markiert  wird	um  nicht  ueberschrieben  zu  werden.	 Der  Virus  belegt
Interrupt  21h	ohne  besondere  Tricks  und  springt  nach der Aktivierung
zurueck zum eigentlichen Programmstart.

Der  Virus  ueberwacht	die  EXEC-Funktion   von  DOS  und  infiziert  alle
Programme, die kleiner als 64833  Bytes  sind  und  die  EXE-Signatur  "MZ"
aufweisen.   Der  Wert	von  IP im EXE-Header wird als Infektionsmarkierung
benutzt um erneute  Infektionen  auszuschliessen.   Tai-Pan verlaengert die
Datei um 438 Bytes und befindet sich am Dateiende.  Der Virus  behaelt	bei
der  Infektion	das urspruengliche Dateidatum bei, er kann allerdings nicht
das DOS-Dateiattribut READ-ONLY, SYSTEM oder HIDDEN umgehen.

Der von Virus berechnete  neue	EXE-Header  hat einen ungueltigen Stack und
kann unter Umstaenden zum Absturz des Programmes fuehren.   Sonst  hat	der
Virus keine weiteren Schadesroutinen.

Folgender Text kann in jeder infizierten Datei gefunden werden:

>		      [Whisper presenterar Tai-Pan]


Tai-Pan  ist  in Deutschland recht stark verbreitet.  Er wurde zum Teil mit
Terminate 1.50 und anderen Sharewarearchiven in Umlauf gebracht.


VARIANTE: Tai-Pan.434
~~~~~~~~~~~~~~~~~~~~~
Tai-Pan.434 ist gegenueber den urspruenglichen	Virus  leicht  modifiziert.
Der Virus verlaengert jetzt Programme um 434 Bytes und enthaelt den Text:

>				    CoSmO

Zusaetzlich wird das Schreiben von Daten (ueber Handles) kontrolliert. Bild-
schirmausgaben sind mit aktiven Tai-Pan.434 nicht mehr lesbar.


VARIANTE: Tai-Pan.666
~~~~~~~~~~~~~~~~~~~~~
Diese Variante ist  fast  identisch  mit  dem urspruenglichen Tai-Pan.	Die
Interrupt-Selbsterkennung  wurde  auf  AX=7BCFh  geaendert  und  die   neue
Viruslaenge betraegt jetzt 666 Bytes.

Geaendert wurde auch der Text innerhalb des Virus:

> DOOM2.EXE
> Illegal DOOM II signature
> Your version of DOOM2.EXE matches the illegal RAZOR release of DOOM2
> Say bye-bye HD
> The programmer of DOOM II DEATH is in no way affiliated with ID software.
> ID software is in no way affiliated with DOOM II DEATH.

Dieser	Text  ist  ein	Scherz;  der  Virus  enthaelt keinerlei destruktive
Routinen.  Er kontrolliert nicht einmal ob ein Programm "DOOM2.EXE" heisst.

Diese Variante wurde  mit  einem  Tool	fuer  das  Spiel  DOOM II in Umlauf
gebracht.  (DMNCHEAT.ZIP)

(Analyse von Stefan Kurtzhals, Virus Help Munich)

==============================================================================

Dokumentation des FORM.A-Virus				      08.01.95
Fragen, Kommentare, Korrekturen, Anregungen an:
Uli Schaefer@2:2480/149.6   Virus Help Munich, Fido
	     2:2449/600.12  Porta BBS, Fido
	     9:492/7157     Porta BBS, VirNet

Typ:		Bootsektor, Resident (TOM)
Groesse:	1017 Byte (2 Sektoren)
Merkmale:	Der konventionelle Speicher ist um 2 KB kleiner. Am
		24. Tag jedes Monats klickt der Lautsprecher bei jedem
		Tastendruck. Der Original-Bootsektor ist verschoben.
		Mit 'bad' markierte Sektoren sind auf dem Datentraeger.
Schaeden:	Keine explizite Schadensfunktion. Die letzten beiden
		Sektoren der Festplatte werden ueberschrieben.
Interrupts:	13h (Disk), zeigt auf Offset 0346h.
		09h (Kbd), zeigt auf Offset 035Dh (nur am 24.).
Desinfektion:	Mit dem DOS-Befehl "SYS <Laufwerk:>" wird ein neuer
		DOS-Bootsektor geschrieben (und auch die Systemdateien
		uebertragen).
		Ein neuer Master Boot Record wird mit dem (undokumen-
		tierten) DOS-Befehl "FDISK /MBR" erzeugt. Spezielle
		Killer-Programme koennen die Kopie des Bootsektors
		zurueckschreiben.
		Der FORM.A-Virus wird von allen guten AV-Tools erkannt
		und beseitigt.
Signatur:	81 BF 3F 00 01 FE 74 3C 81 7F 0B 00 02 75 35 B8 01 03


		  Der FORM.A-Virus ist ein residenter Bootsektor-Virus
		mit der Faehigkeit, Festplatten und Disketten zu infi-
		zieren. Um in das System zu gelangen, muss von einem
		infizierten Datentraeger gebootet werden. Dann instal-
		liert sich der FORM.A-Virus in den obersten 2 Kilobyte
		unterhalb der 640k-Grenze im konventionellen Speicher.

		  Um diesen Speicher zu lokalisieren, dekrementiert
		der FORM-Virus zunaechst den Wert des verfuegbaren
		Speichers um 2k und berechnet damit das neue Segment,
		in welches er seinen Code kopiert. Dann speichert er
		dieses Segment und einen Offset auf dem Stack, liest
		den zweiten Sektor mit seinem Code in diesen Speicher
		und fuehrt einen RET FAR aus. Nun wird der Virus-Code
		im obersten Segment ausgefuehrt.

		  Von dem verseuchten Datentraeger wird als erstes der
		saubere, kopierte Bootsektor in die Boot Location bei
		0:7C00h gelesen. Danach ermittelt der FORM.A die Para-
		meter der Hard Disk. Der MBR von C: wird gelesen und
		die Partition Table nach der aktiven Boot Partition
		durchsucht. Die physikalische Position des DOS Boot-
		sektors dieser Partition wird gespeichert und dann der
		Bootsektor gelesen. Falls er nicht infiziert ist, wird
		er in den letzten Sektor der Festplatte geschrieben.
		Der zweite Teil des Virus-Codes wird im vorletzten
		Disk-Sektor gespeichert. Dann kopiert der Virus die
		relevanten Datenbereiche aus dem Bootsektor in den er-
		sten Teil seines Code und schreibt diesen als neuen
		DOS-Bootsektor der aktiven Partition auf die Festplat-
		te.

		  Nach der Infektion der Festplatte wird der Vektor
		des Interrupt 13h (Disk) gespeichert und auf einen
		eigenen Handler bei Offset 0346h umgebogen. Dann wird
		das aktuelle Systemdatum gelesen und getestet, ob der
		24. des Monats ist - wenn ja, wird auch der Interrupt
		09h (Keyboard) neu belegt. An diesem Punkt ist die
		Installation abgeschlossen und es beginnt die Aus-
		fuehrung des originalen Bootsektor-Codes bei 0:7C00h.

		  Der Interrupt 13h-Handler braucht sich nur noch um
		die Infektion von Floppy Disks zu kuemmern. Es reicht
		aus, wenn er lediglich bei Lesezugriffen auf die Spur
		Null aktiv wird - andere Interrupt Requests werden
		ungehindert durchgelassen (kein Stealth).
		  Der Virus liest erstmal den Bootsektor der Diskette
		in seinen Puffer und ueberprueft, ob dieser eventuell
		bereits infiziert worden ist. Wenn nicht, erstellt der
		Virus zunaechst in seinem Puffer einen verseuchten
		Bootsektor. Dann errechnet er anhand der Laenge der
		FAT, des Hauptverzeichnisses und noch weiterer Daten
		den Bereich der Diskette, der zwischen Hauptverzeich-
		nis und dem Ende der Diskette liegt. In diesem Bereich
		sucht sich der FORM.A den ersten unbenutzten Cluster
		(2 Sektoren) und markiert ihn in der FAT als defekt.
		Dann schreibt er in einen freien Sektor die saubere
		Kopie des Bootsektors und in den anderen freien Sek-
		tor des Clusters den zweiten Teil seines Codes. Nun
		wird nur noch der infizierte Bootsektor gespeichert
		und die Diskette ist infiziert.

		  Am 24. eines jeden Monats installiert der FORM.A-
		Virus zusaetzlich einen Interrupt-09h-Handler, der bei
		jedem Tastendruck aufgerufen wird und fuer kurze Zeit
		den Lautsprecher einschaltet, so dass der Benutzer
		einen Keyklick hoeren kann.
		  Er enthaelt den Text 'The FORM-Virus sends greetings
		to everyone who's reading this text.FORM doesn't de-
		stroy data! Don't panic! Fuckings go to Corinne.' (im
		2. Sektor), der Text erscheint allerdings nicht auf
		dem Bildschirm.
		  Der Virus hat keine Schadensfunktionen. Abgesehen
		von den letzten beiden Sektoren der Festplatte sucht
		sich der FORM.A-Virus nur unbelegte Bereiche zur
		Speicherung. Es ist daher sehr unwahrscheinlich, dass
		dieser Virus ueberhaupt einen Schaden anrichtet.
		  FORM.A ist in Deutschland weit verbreitet.
		(c) 1995 by Uli Schaefer

==============================================================================

VIRUSNAME:	Natas.4744
BEKANNT SEIT:	Juni 1994
URSPRUNG:	Nordamerika
VIRUSTYP:	Resident, Stealth, Polymorph, Multipartite
GROESSE:	Programme..............: 4744 Bytes
		Speicher...............: 6144 Bytes
		Festplatte/Disketten...: 9 Sektoren
INFIZIERT:	HDD Partition, FDD Bootsektoren, .COM/.EXE-Programme
SYMPTOME:	Speicher um 6K reduziert, Dateidatum ueber 2084
VARIANTEN:	Natas.4746, Natas.4988

Natas ist ein komplexer Virus der neben .COM und .EXE-Programmen auch den
Partitionssektor der Festplatte und Bootsektoren von Disketten infiziert.
Er ist in allen Bereichen vollstaendig stealth und kann ausser im Speicher
nicht gefunden werden, solange der Virus aktiv ist. Der Virus ist polymorph
und zudem noch destruktiv.

Wird ein infiziertes Programm gestartet entschluesselt sich der Virus und
prueft, ob er bereits resident ist. Dazu benutzt Natas die selbstdefinierte
Interruptfunktion INT 21h/30h, BX=F99Ah wobei das Resultat AX/BX = 0 erwartet
wird. Ist der Virus noch nicht aktiv wird der letzte MCB um 5664 Bytes
gekuerzt und die DOS-Speicherobergrenze um 6K verringert. Natas kopiert sich
dann in diesen Bereich und ermittelt durch Tracen die urspruenglichen
Interruptvektoren 13h, 15h, 21h und 40h.

Der Tracer weist einen besonderen Trick auf: wird versucht festzustellen ob
das Trace-Flag der CPU gesetzt taeuscht der Virus ein nicht gesetztes Trace-
Flag vor um residente Virenblocker zu unterlaufen. Natas belegt dann die
Interruptvektoren und infiziert den Partitionssektor der Festplatte.

Waehrend der Installation wird an mehreren Stellen geprueft, ob TBCLEAN oder
Debugger aktiv sind. Ist das der Fall, wird TBCLEAN bzw. der Debugger ausge-
schaltet und Natas formatiert alle vorhandenen Festplatten. Die Methode zur
Erkennung von TBCLEAN funktioniert allerdings nur mit aelteren Versionen, die
noch den Einzelschrittmodus der CPU benutzten.

Der Virus ist jetzt aktiv, und da der transiente Teil von COMMAND.COM ueber-
schrieben wurde wird der Kommandointerpreter beim Nachladen direkt von Natas
infiziert.

Der infizierte Partitions- und Bootsektor enthaelt nur einen kleinen Lader,
der den Speicher um 6K reduziert und den restlichen Teil des Virus nachlaedt.
Diese 9 Sektoren befinden sich auf der Festplatte am Ende der ersten Spur,
Kopf 0 und auf Disketten innerhalb der letzten Spur des Datentraegers.
Es werden nur Bootsektoren infiziert, die als ersten Befehl einen SHORT oder
NEAR JMP aufweisen. Der Virus kopiert sich dann an die Stelle, auf der dieser
Sprungbefehl zeigt.

Im Sektor wie im Dateibereich ist Natas vollstaendig stealth. Lesezugriffe
auf den Partitons- oder Bootsektor werden auf die gespeicherten Originale
umgeleitet. Beim Lesen von infizierten Programmen wird im RAM die originale
Dateilaenge, dass alte Dateidatum und der urspruengliche Dateiinhalt vorge-
taeuscht. Virenscanner oder Pruefsummenprogramme, die den Virus nicht bereits
im Speicher erkennen koennen Natas nicht finden, wenn der Virus aktiv ist.
Wird versucht eine infizierte Datei zu veraendern wird diese vorher komplett
gereinigt. CHKDSK erzeugt keine Fehlermeldungen wie es sonst bei Datei-
stealthviren ueblich ist.

Der Virus deaktiviert seine Dateistealth-Eigenschaften, wenn er feststellt
das das aktive Programm ARJ, LHA oder PKZIP heisst. Ebenfalls wird
kontrolliert, ob der Namen des aktiven Programmes BACK oder MODEM enthaelt.
Diese Eigenschaft wird jedoch zufaellig beim aktivieren des Virus ausgewaehlt
und ist nicht immer festzustellen.

Der Virus infiziert Programme beim Starten und Schliessen, wobei waehrend
der Infektion INT 13h und INT 40h auf die urspruenglichen Werte gesetzt werden
um residente Virenprogramm zu umgehen. Diese Methode fuehrt zu Datenverlust,
wenn ein Cache mit Schreibverzoergerung wie z.B. SmartDrv aktiv ist.
Befindet sich das zu infizierende Programm auf einer Diskettes prueft der
Virus mittels direkten Sektorzugriff ob die Diskette schreibgeschuetzt ist.
Gleichzeitig wird INT 24h deaktiviert um Fehlermeldungen zu unterdruecken.
Natas prueft auf die EXE-Signatur "MZ"/"ZM" und infiziert auch Programme die
kein ".EXE" als Dateierweiterung haben. Weiterhin werden keine EXE-Programme
infiziert, die interne Overlays aufweisen. Der Virus addiert 100 Jahre auf
das Dateidatum einer infizierten Datei, was jedoch nicht sichtbar ist.
Der Virus benutzt wahrend der Infektion die System File Table um unter anderen
den Zugriffsmodus von Dateien zu veraendern.

Natas benutzt eine Polymorph-Engine, die eine grosse Anzahl moeglicher
Entschluesselungsroutinen erzeugen kann. Eine Suche mit Scanstrings ist nicht
moeglich, der Virus erkennt sich selber anhand des Dateidatums.

Neben den Text "Natas" sind die Texte "BACK" und "MODEM" verschluesselt im
Code ablegt.

Der Autor dieses Virus (Pseudonym "Priest") ist ebenfalls verantwortlich fuer
den Virus <SatanBug>. Natas ist Satan rueckwaerts buchstabiert.

VARIANTE: Natas.4988
~~~~~~~~~~~~~~~~~~~~
Der Sourcecode von Natas wurde in dem Virenmagazin 40Hex veroeffentlicht, was
dazu gefuehrt hat, das einige Varianten des Virus erschienen. Die aus Belgien
stammende Variante ist fast identisch mit dem Original. An einigen Stellen
wurde der Code geringfuegig veraendert. Die Viruslaenge betraegt jetzt 4988
Bytes und der Text im Virus wurde geaendert auf:

>		     Time has come to pay (c)1994 NEVER-1


(Analyse von Stefan Kurtzhals, Virus Help Munich)

==============================================================================

VIRUSNAME:	One_Half, FreeLove, Slovak Bomber
URSPRUNG:	Slovakei
BEKANNT SEIT:	Fruehling 1994
VIRUSTYP:	Resident, Stealth, Polymorph, Multipartite
GROESSE:	Programme................: 3544/3577
		Speicher.................: 4096 Bytes
		Festplatte...............: 8 Sektoren
INFIZIERT:	HDD Partition, .COM/.EXE-Programme
SYMPTOME:	Speicher um 4K reduziert, Verschluesselung der Festplatte

OneHalf infiziert die  Partition  der  Festplatte  und	Programme  vom	Typ
.COM/.EXE.  Beim Start eines infizierten Programmes entschluesselt sich der
Virus	im   Speicher	und   ueberprueft  mit	der  selbstdefinierten	INT
21h-Funktion AX=4B53h (Resultat: AX=454Bh) ob  er bereits aktiv im Speicher
ist.  Ist das nicht der Fall durchlaeuft der  Virus  im  Einzelschrittmodus
INT  13h  um  mit  der	urspruenglichen  Adresse  aktive Antivirenprogramme
unterlaufen zu koennen.  Waehrend des  Tracen wird der Partitionssektor der
Festplatte gelesen und geprueft, ob  er  bereits  infiziert  ist.   (Offset
25h=00d3h,  Offset  180h=072eh).   Ist	die  Partition noch nicht infiziert
ermittelt der  Virus  die  maximale  Anzahl  der  Sektoren  und  Spuren der
Festplatte und	sucht  die  aktive  Partition  der  Festplatte,  wobei	nur
Partitionen vom Typ DOS 12 Bit, DOS 16 BIT und DOS 32 BIT infiziert werden.
Ein  Schluessel  wird  ermittelt  und  zusammen  mit  den  Daten  ueber die
Festplatte verschluesselt in den Partitionsektor geschrieben.  Der Rest des
Virus (7 Sektoren) befindet sich  innerhalb der ersten Spur der Festplatte.
Der Virus restauriert jetzt die Stellen  der  gestarteten  Datei,  die	mit
seiner Entschluesselungsroutine und dem Sprung zum Viruscode ueberschrieben
worden	sind.	Ist  das infizierte Programm vom Typ EXE und wurden bei der
Infektion  Relokationseintraege   ueberschrieben,   laedt   der  Virus	die
urspruenglichen Eintraege nach und korregiert  das  Programm  im  Speicher.
Der  Virus  wird  erst	resident,  wenn  von  einer  verseuchten  Partition
gestartet wird.

Wird  von  einer infizierten Festplatte gestartet, verringert der Virus die
Speicherobergrenze um  4K,  belegt  Interrupt  13h  und  1Ch  und laedt die
restlichen 7 Sektoren nach.  OneHalf verschluesselt  bei  jedem  Start	des
Rechners  einen  weiteren  Sektor und arbeitet sich vom Ende der Festplatte
bis zur Haelfte der  vorhandenen  Spuren  vor.	 Erreicht er diesen Sektor,
gibt OneHalf bei jedem Neustart eine Meldung aus:

		 Dis is one half. Press any key to continue

Der Schuessel ist variabel  und  ist  innerhalb des infizierten Partitions-
sektors gespeichert  (Offset  29h).   Ist  der	Virus  aktiv,  werden  ver-
schluesselte  Sektoren	vor  den  Zugriff anderer Programme entschluesselt.
Wird  der  Virus  allerdings  entfernt	tritt  hoechstwahrscheinlich Daten-
verlust auf!  Man kann nicht mehr feststellen, welchen Wert der Virus  zur
Verschluesselung  benutzt  hat	und  wie  weit die Verschluesselung bereits
fortgeschritten war.

Wie bei Multipartite-Viren ueblich, wartet OneHalf solange bis die INT 1Ch-
Routine bemerkt, das DOS geladen wird und wird dann erst vollstaendig aktiv
indem noch zusaetzlich Interrupt 21h belegt wird.

Ist  der  Virus  aktiv	kann  der  Virus  nicht  mehr  in der Partition und
innerhalb der ersten Spur der  Festplatte  gefunden werden.  Beim Lesen der
Partition wird der Zugriff auf den  gespeicherten  originalen  Sektor umge-
leitet;  beim  Lesen  des Festplattenbereichs, den der Virus nutzt wird der
Lesebuffer mit Nullbytes aufgefuellt.

Der  Virus  infiziert  .COM/.EXE  Programme  beim  Programmstart,  Oeffnen,
Umbennen,  Schliessen  und   Erstellen;   allerdings   nur  wenn  sich	das
betreffende Programm auf einer Diskette oder sonstigen entfernbaren  Medien
(Netzwerk, RamDrive) bedindet.	In der Regel werden also keine Programm auf
der  Festplatte  infiziert.   Der  Virus prueft auf die Signatur "MZ"/"ZM",
infiziert also auch Programme, die  nicht die Dateierweiterung "EXE" haben.
OneHalf umgeht alle Schreibschutzattribute von DOS  und  erzeugt  keinerlei
Fehlermeldung, falls die Diskette auf der sich das zu infizierende Programm
befindet schreibgeschuetzt ist.

OneHalf verlaengert Programme um 3544 bzw.  3577 Bytes (je nach  Variante),
wobei die Dateiverlaengerung bei DIR nicht sichtbar ist und die infizierten
Programme  anhand  des	Dateidatums  erkannt  werden.	CHKDSK	gibt  keine
Fehlermeldungen  aus.	Der Virus ungeht Warnungen von Antivirenprogrammen,
indem er SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE und MSAV nicht infiziert.

Der Virus haengt sich ans Programmeende an, modifiziert allerdings noch ca.
1K vor dem Viruscode das  urspruengliche  Programm.  Hier befinden sich die
Codefragmente der Entschluesselungsroutine  in	zufaelliger  Anordnung	und
Abstand, was die Erkennung des Virus ohne speziellen Algorithmus unmoeglich
macht.	 Das  Einstreuen  der Codefragmente erinnert an den Virus COMMANDER
BOMBER, erreicht allerdings nicht dessen Komplexitaet.

Die Verschluesselungsroutine wird polymorph generiert,	besteht  im  Grunde
aber  nur  aus XOR [Offset],Faktor1 / ADD Faktor1,Faktor2 wobei Faktor1 und
Faktor2 zufaellig gewaehlt werden.

Der Virus enthaelt die Texte "Dis is  one half.  Press any key to continue"
und "Did you leave the room ?", wobei diese Text in  Programmen  wegen  der
Verschluesselung nicht sichtbar sind.

Der Virus sollte nicht einfach mit "FDISK /mbr" oder sonstigen Hilfsmitteln
aus  der  Partition entfernt werden, da dann die vom Virus verschluesselten
Bereiche unwiederruflich verloren gehen!
Viele Antivirenprogramme entfernen den Virus nur aus Programmen und aus der
Partition,  lassen  aber   den	 verschluesselten  Bereich  der  Festplatte
unangetastet!  Die sicherste Methode ist, ein Backup aller Daten  auf  der
Festplatte  zu	machen,  wenn der Virus noch aktiv ist; die Platte dann mit
FDISK /mbr und FORMAT  zu  behandeln  und  schliesslich alle Daten zurueck-
zulesen.

SCAN  (2.1.3)  erkennt	den  Virus  nur mangelhaft: die meisten infizierten
Programme werden nicht erkannt!

(Analyse von Stefan Kurtzhals, Virus Help Munich)

==============================================================================

VIRUSNAME:	NEUROQUILA, NEURO.HAVOC, WEDDING
URSPRUNG:	Deutschland
BEKANNT SEIT:	1.9.1994
VIRUSTYP:	Residenter Retrovirus, Stealth, Polymorph, Multipartite
GROESSE:	.EXE-Programme...........: 4644-4675 Bytes
		Speicher.................: 5344 Bytes
		Festplatte & Disketten...: 9 Sektoren
INFIZIERT:	HDD Partition, FDD-Bootsektoren, .EXE-Programme
SCHADEN:	Verlangsamung des Rechners, Textausgabe mit Pause
VIRUSSIGNATUR:	Partition und Bootsektor:
		"FA 33 C0 8E D0 BC 00 7C FB 8E C4 06 68 ?? ?? 93 B8 ?? ??
		 B9 ?? ?? BA ?? ?? CD 13"
		Speicher:
		"FC AA B8 E0 04 AB 33 C0 AB B0 90 F3 AA C3 B8 00 43 CD 2F"
		Dateien:
		---

HAVOC infiziert die Partition der Festplatte, Bootsektoren von 1.2 und
1.44MB Disketten und .EXE Programme. Er kann durch alle drei Infektions-
arten aktiv werden. Wird von einer verseuchten Partition oder Diskette
gebootet kopiert sich der Virus in den freien Speicher ab 7C00:0. Inter-
rupt 13h und 21h werden auf normale Art belegt und der Virus damit aktiv.
Im Speicher ab 0:4E0 und 0:4F0 werden Sprungbefehle eingefuegt, auf die
die Interruptvektoren 21h bzw. 13h von HAVOC umgeleitet werden. Der Virus
versucht an dieser Stelle die Partition der Festplatte zu infizieren und
laedt dann den urspruenglichen Partitions- oder Bootsektor nach, der erst
entschluesselt und dann gestartet wird.
Der Virus wartet, bis Interrupt 21h von DOS belegt wird und aktiviert dann
eine weitere Int21h-Routine, die das Starten von MSDOS.SYS abfaengt.
Ist zu diesem Zeitpunkt DOS- oder XMS-UMB vorhanden belegt der Virus dort
Speicher, andernfalls verlaengert er den STACKS-Bereich. Der Virus belegt
in beiden Faellen 5344 Bytes an Speicher. Nachdem der Viruscode in den
neuen Speicherbereich kopiert wurde, und die beiden "Hooks" bei 0:4e0h
und 0:4f0h korregiert wurden versucht der Virus den Einsprung ins DOS-
Kernel in der HMA zu berechnen. Dort wird in den Int21h-Einsprung ein
Sprung auf den Viruscode eingefuegt (Splicing). Interruptlister und System-
infoprogramme zeigen keinerlei Veraenderung von Int21h an.
Die endgueltige Int21-Routine ueberprueft folgende DOS-Funktionen:
4Bh, 4Ch, 11h, 12h, 4Eh, 4Fh, 3Fh, 3Eh, 3Dh, 32h, 44h, 25h, 40h.
Waehrend des Bootvorganges wird die CONFIG.SYS kontrolliert und folgende
Programme uebersprungen: VIRSTOP.EXE (F-PROT) und DOSDATA.SYS (QEMM).
Ebenfalls wird ein Programm names "QC*" deaktiviert, wobei es sich wahr-
scheinlich um ein weiteres Antivirenprogramm handelt.

Wird ein infiziertes Programm gestartet, installiert sich der Virus, falls
nicht schon aktiv (Selbsttest: Int13h, Funktion F2h:Carryflag), in den
freien Speicher ab 7C00:0 und ueberschreibt dabei moeglicherweise speicher-
residente Programme, die dort bereits aktiv sind. Interrupt 13h und 21h
werden im Einzelschrittmodus durchlaufen (Tracer) und die urspruenglichen
Einsprungsadressen im DOS Kernel bzw. BIOS ermittelt.
Wie beim Bootvorgang wird das DOS-Kernel gepatcht, die Int13h und Int21h-
Routinen des Virus aktiviert, die Partition infiziert und schliesslich das
eigentlich aufgerufene Programm gestartet.
Beim Tracen werden bereits aktive Antivirenprogramme so gepatcht, das sie
den Virus nicht mehr aufhalten koennen. Dieselbe Methode benutzt HAVOC bei
der Ueberpruefung der Funktion 25h des Int21h. Residente Antivirenpro-
gramme die sich installieren wollen werden noch im gleichen Augenblick vom
Virus im Speicher deaktiviert.
HAVOC modifiziert TBDRIVER, TBDISK (TBAV), VSAFE/TSAFE (CPAV/MSAV/TNT) und
- - - -D. (KAMI) Ist das Antivirenprogramm NEMESIS (1.10) aktiv, bleibt der
Rechner stehen, oder eine Exception wird ausgeloest.
Da der Virus im freien Speicher aktiv ist, fuehrt das Starten von
groesseren Programmen zum Absturz des Rechners. Da allerdings sofort die
Partition infiziert wird, kann sich der Virus beim naechsten Neustart des
Systems normal aktivieren und es treten keine Systemabstuerze mehr auf.

Die Partition und der Bootsektor der Festplatte werden verschluesselt und
die Partition nach Spur 0, Kopf 0 und Sektor 7 kopiert. Der infizierte
Partitionssektor enthaelt nur einen kleinen Lader, der den restlichen
Virus von Spur 0, Kopf 0 und Sektor 8 nachlaedt. Die Partitionsdaten
werden geloescht und der eigentliche Viruscode in die Sektoren 8 bis 16
geschrieben. Versucht man von einer saubere Startdiskette aus auf die Fest-
platte zuzugreifen, erhaelt man lediglich die Fehlermeldung "Ungueltiges
Laufwerk C:".
Der Versuch mit "FDISK /mbr" den Virus zu entfernen fuehrt von einer Boot-
diskette aus zu Datenverlust, bei aktiven Virus hat er keine Auswirkungen.
HAVOC infiziert nur Partitionen vom Typ DOS-12BIT, DOS-16BIT und BIGDOS.
Ist die Partition mit TBUTIL (TBAV) immunisiert, wird jedesmal vor dem
Start dieser Partition diese so modifiziert, das der Virus nicht bemerkt
wird. Windows im 32-Bit Zugriffsmodus erzeugt keine Fehlermeldung wie es
normalerweise bei Partitions- oder Bootsektorviren der Fall ist.

Disketten, die nicht schreibgeschuetzt sind, werden beim Zugriff auf den
Bootsektor infiziert, z.B. schon bei DIR A:. Der Virus formatiert 10
Sektoren ab Spur 81 und kopiert dorthin den originalen Bootsektor und
seinen Programmcode. Der verseuchte Bootsektor enthaelt wieder nur den
kleinen Viruslader, der von keinen heuristischen Scanner (F-PROT, TBAV
und AVP) erkannt wird.

Ist der Virus erstmal aktiv, kontrolliert er das komplette Betriebs-
system. Lese- und Schreibzugriffe auf die verseuchte Partition, den ver-
schluesselten Bootsektor der Festplatte und auf Bootsektoren von Disketten
werden erkannt und auf die gespeicherten Originale umgeleitet, die vom
Virus im Speicher wieder entschluesselt werden.
Lese- und Schreibzugriff auf infizierte Programme werden ebenfalls erkannt
und gefiltert. Verseuchte Programme habe die gleiche Dateilaenge und den
gleichen Dateiinhalt wie vor der Infektion. CHKDSK meldet keine Datei-
belegungsfehler wie bei anderen Dateistealthviren. Der Virus unterlaueft
mit seinen Stealthfunktionen alle Scanner und Pruefsummenprogramme und
kann nur gefunden werden, wenn der Virus im Speicher deaktiviert ist.
Der Virus benutzt nicht das Dateidatum (+100 Jahre) oder die Dateiuhrzeit
(Sekunden ueber 59) als Infektionsmarkierung.
Obwohl der Virus Programme um einen variablen Wert verlaengert, wird bei
DIR die korrekte, urspruengliche Dateilaenge angezeigt.
Enthaelt ein Verzeichnis viele infizierte Programme, wird die Anzeige von
DIR spuerbar verlangsamt, falls kein Disk-Cache aktiv ist.
HAVOC umgeht den Selbsttest von TBSCAN und deaktivert dessen Antistealth-
Modus beim Dateizugriff. Der Virus manipuliert den Zugriff auf die Pruef-
summendateien "SMARTCHK" oder "CHKLIST" von CPAV bzw. MSAV.

Der Virus infiziert .EXE-Programme beim Starten. Programme werden um 4644
bis 4675 Bytes verlaengert, obwohl die Veraenderung bei aktiven Virus nicht
mehr sichtbar ist. Das Dateidatum und die Uhrzeit bleiben erhalten,
Schreibschutzattribute umgangen. Der Virus erzeugt keine Schreibschutz-
fehlermeldungen falls versucht wird, Programme auf schreibgeschuetzten
Disketten zu infizieren. Programme werden nur befallen, wenn sie groesser
als 10000 Bytes sind, keine internen Overlays haben (z.B. Windows Pro-
gramme) und ein Dateidatum ungleich dem aktuellen Monat und Jahr haben.
Waehrend des Infizierens belegt der Virus Speicher ab BE00:0 (Textspeicher).
Der Virus ueberprueft ob sich die Anzeige im Textmodus befindet und infiz-
iert keine Programme, wenn Grafik angezeigt wird. (z.B. unter Windows)
Wird versucht, verseuchte Programme zu debuggen oder zu veraendern, werden
diese vorher komplett von HAVOC gereinigt.
TBCLEAN im heuristischen Reinigungsmodus kann den Virus nicht entfernen.

In infizierten Programmen ist der Virus polymorph verschluesselt. Die HAVOC-
Engine nimmt etwa 1300 Bytes der Viruslaenge ein und erzeugt eine gewaltige
Anzahl von Verschluesselungen, wobei die Auswahl der Verschluesselungs-
methoden und Fuellbytes extrem Datums- und Zeitabhaengig ist.
Die erzeugten Entschluesselungsroutinen (Decryptors) sind ca. 64 Bytes lang
und benutzen unter anderen XOR, ADD, ADC, SUB, SBB, NEG, NOT, ROL und ROR
als Verschluesselungstechnik. Bei der HAVOC-Engine handelt es sich an-
scheinend keine der bekannten Engines wie etwa MtE, TPE oder SMEG.
Der Viruscode in der Partition und in den Bootsektoren liegt unverschluesselt
vor und kann mit Scanstrings gefunden werden, falls der Virus nicht bereits
aktiv im Speicher ist.

Beim Infizieren der Partition wird im Virus das aktuelle Systemdatum ge-
speichert. Nach drei Monate werden Verzoegerungsschleifen aktiviert, die
bei jedem Zugriff das System immer mehr verlangsamen und beim Erreichen
eines bestimmten Wertes eine Textausgabe aktivieren:

" <HAVOC> by Neurobasher'93/Germany -GRIPPED-BY-FEAR-UNTIL-DEATH-US-DO-PART- "

Das gerade unterbrochene Programm wird nach Druecken einer Tasten fortgesetzt.

Der aktive Virus verlangsamt das Starten von Programmen, die Anzeige von DIR
und den Zugriff auf Disketten.

HAVOC enthaelt 80286 Opcodes, hat anti-heuristische Strukturen und
besitzt Aehnlichkeiten zu den Viren TREMOR und ALPHASTRIKE, die
laut internen Text ebenfalls vom gleichen Autor stammen.

Bemerkung: Da ein anderer Virus bereits <Havoc> benannt wurde ist der
offiziell CARO-Name Neuroquila.

(Analyse von Stefan Kurtzhals, Virus Help Munich)

==============================================================================

JUNKIE.1035

Der JUNKIE Virus wurde Ende Mai 1994 durch verschiedene europaeische Mailboxen
verbreitet. In den meisten Fllen durch das File HV-PSPTC.ZIP. Laut der
Beschreibung sollte das File es ermoeglichen, illegale Kopien eines Spiels auf
Festplatte zu installieren, doch das Packet ernthielt nur das Programm
PSPATCH.COM, welches der JUNKIE-Virus war.

JUNKIE stammt aus Schweden und ist ein multipartide Virus, er infiziert also
MBRs und COM-Dateien. Wenn auf einem unverseuchten Rechner zum ersten mal ein
infiziertes Programm gestartet wird, ueberschreibt der Virus den MBR der
Festplatte (sonst macht er nichts). Beim naechsten Virusaufruf wird JUNKIE
speicherresident und infiziert alle von da ab gestarteten COM-Programme.

Infizierte COM-Dateien werden um 1035 Bytes groesser. Da der Virus nur COM
Dateien infizieren kann, zerstoert er alle Programme, die zwar ein COM
Extension haben, aber keine echten COM-Dateien sind (mache EXE Programme).
Der Virus ist zweifach verschluesselt und enthaelt folgenden (ebenfalls
verschluesselten) Text:

	Dr White - Sweden 1994
	Junkie Virus - Written in Malmo...M01D

Den JUNKIE kann man auch daran erkennen, dass der zu Verfuegung stehende
Hauptspeicher verringert ist. Manche Programme bringen daher auch die
Fehlermeldung "Program too big to fit in memory".

(uebersetzt aus dem 2.13 Update Bulletin von F-PROT)

==============================================================================

Die Chronologie des Channel-Videodat-Unfalls (Tremor)
- - - -----------------------------------------------------

Zunaechst einige Bemerkungen zur Uebertragung von Daten per Satellit. Fuer die
Ausstrahlung von TV-Bildern werden nicht alle Zeilen benoetigt. Pro
Bildschirmseite sind jeweils drei Zeilen frei, die fuer andere Aufgaben
genutzt werden koennen. Die zusaetzliche Kapazitaet eines Videokanals, der von
der Telekom - unabhaengig vom Benutzer des Videokanals - verkauft wird, kann
beispielsweise fuer die Uebertragung von Texten oder von Programmen genutzt
werden. Jeder Teilnehmer benoetigt fuer deren Empfang zwischen seinem
Fernsehgeraet und seinem PC einen Konverter (Hersteller: unter anderen
Wiegand Video Datensysteme GmbH in Wesseling).

Die Firma Videodat Medien GmbH in Wesseling hat von der Telekom einen
Teil der Kapazitaet des Kanals gemietet, der fuer die Ausstrahlung des
TV-Programms Pro 7 genutzt wird. Dieser Kanal kann in Europa ueber Satellit
und ueber Kabel empfangen werden. Fuer die unter dem Namen "Channel Videodat"
ausgestrahlten Informationen und Programme traegt die Firma Videodat
Medien GmbH, Wesseling, die redaktionelle Verantwortung.

Das MicroBIT Virus Center der Universitaet Karlsruhe wurde am 06. Mai von
einer Unternehmensberatung, die ihre Kunden auch bezueglich der Bekaempfung
von Viren beraet, wegen eines - diesem Unternehmen noch nicht bekannten -
Virus um Hilfe gebeten. Die telefonische Beschreibung der beobacheten
Effekte wiesen deutlich auf den Tremor-Virus hin. Das betroffene Unter-
nehmen gab an, das der Virus durch ein Download eines Programms aus
Channel Videodat eingeschleppt worden waere. Zur gleichen Zeit gingen
weitere Anrufe bei der Virus-Hotline des MicroBIT ein. Ein eindeutiger
Nachweis, von wem die tremor-infizierten Dateien verteilt worden waren,
konnte aber nicht gefuehrt werden.


Die aus der genannten Sendung stammende erste Diskette mit einem vom Tremor
infizierten Programm traf am 07. Mai beim MicroBIT ein. Die Videodat Medien
GmbH wurde sofort ueber diesen Verdacht informiert. Sie entgegnete einer-
seits, dass keine infizierten Programme ausgestrahlt worden waeren,
schilderte aber andererseits die Techniken, die von ihr fuer die Pruefung
auf Virenfreiheit verwendet werden - es lag bereits eine schriftliche
Anfrage eines Teilnehmers vor. Aus diesem Gespraech ergab sich die
Vermutung, dass die Viren-Tests der Videodat Medien GmbH nicht ausreichend
waren. MicroBIT sandte deshalb der Firma Videodat Medien GmbH ein
spezielles Programm, das ausschliesslich den Tremor-Virus erkennt, erhielt
aber darauf keine Antwort. Diese Erkennungsroutine wurde in das Programm
BFK-Tools integriert.

Am 17. Mai strahlte Channel Videodat um 14.04 Uhr die Version 104 von
McAfee's SCAN und das Programm PKUNZIP.EXE aus, mit dem die Datei
SCANV104.ZIP vor ihrem Einsatz dekomprimiert werden muss. Die Datei
PKUNZIP.EXE war mit dem Tremor-Virus infiziert. Die ausgestrahlte Version
von SCAN kann den Tremor nicht erkennen. Mit dem von MicroBIT zur Ver-
fuegung gestellten speziellen Programm zur Erkennung des Tremor-Virus
waere es aber moeglich gewesen, die Infektion auf einem (durch Kaltstart von
einer sauberen Diskette) sauberen PC (besser: sauberen Hauptspeicher) vor
der Ausstrahlung zu erkennen und den Unfall zu vermeiden. Die Infektion
der Datei PKUNZIP.EXE wurde vermutlich von aufmerksamen Teilnehmern
sofort gemeldet. Auf jeden Fall wurde bereits am gleichen Tag gegen
16.00 Uhr ueber Channel Videodat eine saubere Version ausgestrahlt. Nur
die Teilnehmer, die zu dieser Zeit noch online waren, erhielten die
saubere Version, mit der die infizierte ueberschrieben wurde. Zusaetzlich
hat Channel Videodat anschliessend mehrfach Anti-Viren-Programme und
Warnungen ausgestrahlt.

Das Programm PKUNZIP.EXE, das am 05.05.93 mit dem Tremor infiziert wurde,
erhielt Videodat zusammen mit McAfee's SCAN vermutlich von einem
Shareware-Anbieter, der allerdings kein autorisierter Distributor von
McAfee-Produkten ist. Aus dieser Sicht heraus erklaert sich auch die enorm
schnelle Verbreitung des Tremor-Virus in Deutschland. Obwohl primaer
private PC-Anwender bei Shareware-Anbietern kaufen, gelangten sicher auch
tremor-infizierte Programme auf diesem Umweg in Unternehmen.

Einige Viren-Opfer behaupten, dass - wie oben bereits erwaehnt - schon
frueher infizierte Dateien ueber Channel Videodat ausgestrahlt worden waeren.
Ein Nachweis kann heute jedoch nicht mehr gefuehrt werden. Tatsache ist
auf jeden Fall, dass sich der Tremor-Virus, der zum ersten Mal im
Januar 1993 auftauchte, zumindest in Deutschland sehr schnell und stark
ausgebreitet hat.


Quelle: eicar - European Institute for Computer Anti-Virus Research

==============================================================================

VIRUSNAME:	AntiEXE, NewBug, D3
VIRUSTYP:	Resident, Stealth, Partitions/Bootsektorvirus
GROESSE:	Speicher.................: 1024 Bytes
		Festplatte/Disketten.....: 2 Sektoren
INFIZIERT:	HDD Partition, FDD Bootsektoren
SYMPTOME:	Speicher um 1K reduziert
SIGNATUR:	"33 C0 8E C0 CD D3 0E 1F B8 01 02 5B 8B 0E 04 00 83 F9 0D"

Der AntiEXE-Virus infiziert Bootsektoren von Disketten und den	Partitions-
sektor	der  ersten Festplatte.  Beim Booten von einer verseuchten Diskette
oder Partition kopiert der  Virus  die	Werte  des Interruptvektor 13h nach
Interrupt D3h.	Dieser Interrupt  wird	spaeter  fuer  alle  Sektorzugriffe
benutzt  um  residente	Virenblocker  zu  umgehen.   AntiEXE  reduziert den
DOS-Speicher um 1K und belegt die Interruptvektoren 13h und D3h.

Wurde der Virus von einer Diskette aktiv, wird falls noch nicht  geschehen,
die  Partition	infiziert und schliesslich die gespeicherte Kopie des Boot-
sektors bzw. der Partition nachgeladen und ausgefuehrt.

Der Virus  speichert  den  originalen  Partitionssektor  von Festplatten im
Sektor 13, Spur 0, Kopf 0 und  den  Bootsektor	von  Disketten	im  jeweils
letzten   Sektor  des  Stammverzeichnisses  ab.   Dabei  kann  Datenverlust
auftreten,  falls  sehr   viele  Verzeichniseintraege  im  Stammverzeichnis
vorhanden sind.

Ist der Virus aktiv wird bei Lesezugriff  auf  den  Bootsektor	jede  nicht
schreibgeschuetzte   Diskette	infiziert.   Der  Virus  hat  Stealtheigen-
schaften; wenn versucht wird den verseuchten Partitions- oder Bootsektor zu
lesen, leitet der Virus den Zugriff auf die gespeicherten Kopien um.

Bei jeden Lesezugriff  prueft  der  Virus  den Systemzeit-Zaehler (40:6Ch).
Sind Bit 0 und Bit 1 gesetzt wird kontrolliert ob der  gelesene  Sektor  zu
einem EXE-Programm gehoert, das 196160 Bytes lang ist und 3895 Relokations-
eintraege  im  EXE-Header  hat.   Ist das der Fall wird der EXE-Header beim
Lesen manipuliert und das Programm unbrauchbar gemacht.

Der Virus kann mit der ueblichen "FDISK /mbr"-Methode aus der Partition und
mit "SYS C: A:" von  Disketten  entfernt  werden nachdem von einer sauberen
Bootdiskette gestartet wurde.

Es  werden  Warnungen  ausgeben, wenn der Windows 32-Bit Festplattenzugriff
oder der Stealthmodus von QEMM benutzt werden.

(Analyse von Stefan Kurtzhals, Virus Help Munich)

==============================================================================

Dokumentation des Stoned.Standard.A-Virus		      20.12.94
Fragen, Kommentare, Korrekturen, Anregungen an:
Uli Schaefer@2:2480/149.6   Virus Help Munich, Fido
	     2:2449/600.12  Porta BBS, Fido
	     9:492/7157     Porta BBS, VirNet

Typ:		Bootsektor, Resident (TOM)
Groesse:	440 Byte
Merkmale:	Konventioneller Speicher ist um 2 KB kleiner.
		Der Bootsektor enthaelt zwei Texte: "Your PC is now
		Stoned!" (wird beim Booten manchmal angezeigt) und
		"LEGALISE MARIJUANA!".
		Der Original-Bootsektor ist verschoben.
Schaeden:	Evtl. werden die hinteren Hauptverzeichnis-Eintraege
		ueberschrieben (auf Disketten). Keine explizite
		Schadensfunktion.
Interrupts:	13h (Disk), zeigt auf Offset 0015
Desinfektion:	Mit dem DOS-Befehl "SYS <Laufwerk:>" wird ein neuer
		DOS-Bootsektor geschrieben (und auch die Systemdateien
		uebertragen).
		Ein neuer Master Boot Record wird mit dem (undokumen-
		tierten) DOS-Befehl "FDISK /MBR" erzeugt. Spezielle
		Killer-Programme koennen die Kopie des Bootsektors
		zurueckschreiben.
		Der Stoned-Virus wird von vielen gaengigen AV-Tools
		erkannt und erfolgreich beseitigt.
Signatur:	33 F6 BF 00 02 FC 0E 1F AD 3B 05 75 06 AD 3B 45 02 74 21


	  Der Stoned.Standard.A-Virus ist ein simpler residenter Boot-
	sektor-Virus aelteren Jahrgangs (1988).  Er besitzt zahlreiche
	Varianten. Er gelangt durch verseuchte	Disketten  in  das Sy-
	stem, wenn von ihnen gebootet wird.  Bei  der  Infektion einer
	Disk kopiert er den Original-Bootsektor an eine andere Stelle,
	um  in den spaeteren Bootphasen auf den Boot-Code zugreifen zu
	koennen.  Der Stoned installiert sich im hoechsten konvention-
	ellen  Speicherbereich	und  reduziert den verfuegbaren Haupt-
	speicher um 2 KByte.

	  Die Installationsroutine des Stoned-Virus  speichert	zuerst
	den Interrupt 13h-Vektor.  Die Groesse des verfuegbaren Haupt-
	speichers  wird  um  2 KByte reduziert und mit diesem Wert das
	oberste freie Segment berechnet.  Dann werden ein Pointer  und
	der  Int13h-Vektor darauf gesetzt und der Virus-Code dort hin-
	einkopiert.  Mit  einem Sprung auf die so nach oben verlagerte
	Fortsetzung des Codes ist die Installation im  Speicher  abge-
	schlossen.

	  Diese Fortsetzung fuehrt einen Disk Reset aus und liest  die
	bei  der  Infektion  angefertigte Kopie des Bootsektors in den
	Speicher bei 0:7C00h (der Boot Location).  Nun	ermittelt  der
	Virus,	auf welchem Laufwerk die Bootphase stattfindet. Ist es
	die  Festplatte,  wird	der Bootcode ausgefuehrt, da der Virus
	seine Arbeit getan hat	(der  neue Int 13h-Handler ist bereits
	installiert und kann weitere Infektionen vornehmen).
	  Wird hingegen von Diskette gebootet,	entscheidet der Zufall
	(der System Timer),  ob nun der Text  "Your PC is now Stoned!"
	ausgegeben wird.  Danach  wird	der Bootsektor von C: gelesen.
	Sollte dieser bereits infiziert sein, endet die Bootphase, ist
	er jedoch noch nicht infiziert, kopiert  der  Stoned-Virus den
	Bootsektor der Festplatte  auf Sektor 7, uebernimmt die Parti-
	tion Table in seinen Datenbereich und schreibt	sich  mit  ihr
	zusammen in den Bootsektor. Damit ist die Festplatte infiziert
	und die Bootphase auf A:  kann mit dem Original-Bootcode fort-
	gesetzt werden.

	  Die Systemdateien werden  von der Diskette geladen, waehrend
	der Interrupt 13h-Handler des Stoned im Speicher sitzt und je-
	den Schreib- oder Lese-Zugriff auf das Laufwerk A abfaengt und
	testet,  ob  der Laufwerksmotor von A ein-  oder ausgeschaltet
	ist.  Solange sich der Laufwerksmotor von A dreht, werden alle
	Zugriffe uneingeschraenkt zugelassen.
	  Nur  in  dem Fall, dass das Laufwerk A noch nicht laeuft und
	ein Zugriff  erfolgen  soll, testet der Virus, ob die Diskette
	bereits infiziert ist. Andernfalls wuerde bei einer groesseren
	Datei nach jedem Sektor der Lesekopf auf Spur 0  zurueckfahren
	und dadurch die Existenz des Virus fruehzeitig verraten.
	  Faellt der Infektionstest negativ aus, kopiert der Virus den
	Bootsektor nach Seite 1, Spur 0,  Sektor 3 und schreibt seinen
	eigenen Code in den Bootsektor. Solange nun der Laufwerksmotor
	eingeschaltet bleibt, wird Interrupt 13h  unveraendert	ausge-
	fuehrt und die Anwendung kann ganz normal mit der Diskette ar-
	beiten.
	(c) 1994 by Uli Schaefer

==============================================================================

Dokumentation des ANGELINA-Virus			      02.01.95
Fragen, Kommentare, Korrekturen, Anregungen an:
Uli Schaefer@2:2449/600.12  Porta BBS, Fido
	     2:2480/149.6   Virus Help Munich, Fido
	     9:492/7157     Porta BBS, VirNet

Typ:		Bootsektor, Resident (TOM), Stealth
Groesse:	392 Byte
Merkmale:	Konventioneller Speicher wird um 1 KB kleiner.
		Original-Bootsektor ist verschoben.
Schaeden:	Es wird der letzte Sektor des Hauptverzeichnisses
		ueberschrieben. Ansonsten keine explizite Schadens-
		funktion.
Interrupts:	13h (Disk) zeigt auf Offset 006Fh
Desinfektion:	Mit dem DOS-Befehl "SYS <Laufwerk:>" wird ein neuer
		DOS-Bootsektor geschrieben (und auch die Systemdateien
		uebertragen).
		Ein neuer Master Boot Record wird mit dem (undokumen-
		tierten) DOS-Befehl "FDISK /MBR" erzeugt. Spezielle
		Killer-Programme koennen die Kopie des Bootsektors
		zurueckschreiben.
Signatur:	9C 2E FF 1E 84 01 73 03 E9 A7 00 26 81 BF F0 00 81 C6


	  Der Angelina-Virus ist ein residenter Bootsektor-Infektor
	(BSI) mit der Faehigkeit, sich auf dem infizierten Medium zu
	verstecken (also ein Stealth-Virus). Wie jeder reine BSI ge-
	langt er durch verseuchte Medien in das System, wenn von die-
	sen gebootet wird. Waehrend der Infektion kopiert der Virus
	den sauberen Original-Bootsektor in einen meist unbenutzten
	Bereich im Hauptverzeichnis des Mediums und lenkt alle Lese-
	zugriffe vom Bootsektor auf diese Kopie um. Er installiert
	sich im hoechsten konventionellen Speicherbereich und redu-
	ziert den fuer DOS verfuegbaren Speicher um 1 KByte.

	  Angelina besitzt eine kleine Installations-Routine, um sich
	im hoechsten Speicher zu verankern. Diese Routine dekremen-
	tiert zuerst die Speichergroesse um das Kilobyte, das Angelina
	selbst belegen wird, und berechnet dann anhand dieses Wertes
	das Segment, in welches er sich nun hineinkopiert. Danach wird
	der Text "Greetings for ANGELINA !!!/by Garfield/Zielona Gora"
	im Datenbereich des Virus entschluesselt, der Interrupt-Vektor
	13h gesichert und auf den Int 13h-Handler des Virus umgebogen.
	Nun ist Angelina (genauer: der virulente Int 13h) installiert,
	und der Boot Strap Loader (Interrupt 19h) kann noch einmal
	ausgefuehrt werden.

	  Der Int 13h-Handler faengt ausschliesslich Lesezugriffe auf
	den Bootsektor ab, alle anderen Sektoren koennen normal gelesen
	oder geschrieben werden. Der Bootsektor wird in den Speicher
	gelesen, der von der Anwendung bestimmt worden ist, und der
	Angelina-Virus testet, ob der Sektor bereits infiziert worden
	ist. Ist das der Fall, liest Angelina die Kopie des sauberen
	Bootsektors in den Puffer der Anwendung und kehrt zu dieser
	zurueck.
	  Falls der Bootsektor nicht infiziert ist, berechnet Angelina
	die Position, an die der eben gelesene Sektor geschrieben
	wird. Diese Position errechnet sich aus den Disk-Parametern
	und haengt daher von der Speicherkapazitaet des Mediums ab.
	Der Virus versucht dann, den saubereren Bootsektor dorthin zu
	schreiben. Auf schreibgeschuetzten Disketten wird der dort auf-
	tretende Schreibfehler verdeckt, und die Anwendung wird in
	ihrem Ablauf fortgesetzt, ohne etwas von der Taetigkeit des
	Virus mitzubekommen.
	  Nach der erfolgreichen Sicherung des Bootsektors werden die
	Bereiche der Disk Parameter Table und des Partition Records in
	das Segment des Virus kopiert und zusammen mit dem Angelina-
	Code in den Bootsektor geschrieben. Damit ist der Bootsektor
	infiziert. Zuletzt werden die eingangs gesicherten Prozessor-
	Register auf ihre alten Werte zurueckgesetzt. Die Anwendung,
	die den Bootsektor anforderte, bekommt lediglich den gesicher-
	ten, sauberen Sektor vom Int 13h zurueck.

	  Der Angelina wird als Stoned-Variante bezeichnet, obwohl er
	dem Parity_Boot.B wesentlich aehnlicher ist.
	(c) 1995 by Uli Schaefer

==============================================================================

HONECKER Trojan (DOSINFO Trojan)

       HONECKER ist im eigentlichen Sinne gar kein echter Virus, eher ein
       Trojan, der sich dadurch verbreitet, dass er Batchfiles so
       modifiziert, das er moeglichst oft aufgerufen wird. An bestimmten
       Tagen,

	      1.5.  -  Tag der Arbeit
	      17.6  -  Aufstand vom 17. Juni
	      13.8. -  Tag des Mauerbau
	      3.10. -  Tag der dt. Einheit
	      7.10. -  Tag der Republik (Nationalfeiertag der DDR)
	      9.11. -  Grenzoeffnung
	      25.12 -  eigentlich kein soz. Feiertag

	spielt HONECKER dann die Nationalhymne der DDR und bringt eine
	nette Grafik auf den Schirm. Ansonsten ist HONECKER nicht weiter
	schaedlich.

Im Detail:
	Das Wirtsprogramm heisst DOSINFO.EXE und bei jedem Aufruf kopiert
	sich dieses Programm in einige Verzeichnisse, in denen auch
	Batchdateien liegen. Diese Batchdateien erhalten ausserdem als
	ersten Aufruf den Call von DOSINFO, um zu gewaehrleisten, dass das
	Programm auch gestartet wird.

Entfernung:
	Um HONECKER los zu werden, geht man wie folgt vor:
	1) Man durchsucht die gesammte Festplatte (z.B. mittels Norton
	   Utilities Suchfunktion) nach DOSINFO.EXE und loescht jedes dieser
	   Files.
	2) Man muss bei allen Batchfiles den Aufruf von DOSINFO mit einem
	   Editor entfernen.

(Martin Roesler, Virus Help Munich)




++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Weitere Informationen und naeheres zur Virenthematik :

* VIRUS.GER - FAQ (Martin Roesler)
* VIRONCD - Liste der Viren auf CD (Rainer Marxen)
* Buecherliste der VIRUS.GER (Howard Fuhs)
* WildList - International (Joe Wells)
* VSUM (Patricia Hoffman)
* Viren-Katalog des VTC

Desweiteren gibt es viele lesenswerte Artikel, z.B. von Vesselin Bontchev
("Bulgarian Virus Factories", "Known polymorphic Viruses").

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


V H M - Virus Help Munich :
~~~~~~~~~~~~~~~~~~~~~~~~~~~

Martin Roesler - Moderator VIRUS.GER
FIDO 2:2480/149
Internet: mrj@nemetschek.de

Stefan Kurtzhals - Autor SUSPICIOUS (SSC & SVS)
FIDO 2:2480/149.2
Internet: kurtzhal@wrcs1.urz.uni-wuppertal.de

Thomas Dehn
FIDO 2:2480/149.3

Tjark Auerbach (H+BEDV)
FIDO 2:2480/149.4

Howard Fuhs (CVRL)
FIDO 2:2480/149.5

Uli Schaefer - Virenanalyse (Bootsektorviren)
FIDO 2:2480/149.6

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

DIESER TEXT DARF FREI WEITERVERTEILT WERDEN, EINE WEITERVERWERTUNG, WIEDER-
VEROEFFENTLICHUNG ODER ANDERWEITIGE VERARBEITUNG, AUCH AUSZUGSWEISE, IST ALLER-
DINGS NICHT GESTATTET UND BEDARF DER AUSDRUECKLICHEN GENEHMIGUNG DER AUTOREN.
FUER DIE KORREKTHEIT DER INFORMATIONEN UND BESCHREIBUNGEN KANN KEINE GARANTIE
UEBERNOMMEN WERDEN.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

[1] ITWxxDIS.ZIP enthaelt Share- bzw. Freewarereinigungsprogramme fuer Viren
    wie etwa Tremor, FORM, Parity_Boot.B und andere. Requestbar z.B. bei
    Martin Roesler (2:2480/149)

[2] Diese Meldung kann verschiedene Ursachen haben:
    - Exotische Festplattenhardware (BIOS) oder Software (z.B. ein Cache)
    - ein residentes Antivirenprogramm (TBDISK, NEMESIS usw.)
    - ein Sektorvirus

##############################################################################

Der Microsoft Windows 32-Bit-Festplattentreiber (WDCTRL) kann nicht geladen
werden. Auf Ihrem Computer ist nicht identifizierbare Festplattensoftware
installiert.

Die Adresse, die MS-DOS zur Kommunikation mit der Festplatte benutzt, wurde
geaendert. Gewisse Programme, wie z.B. Festplatten-Cache-Programme, tun dies.

Wenn Sie Programme dieser Art nicht benutzen, sollten Sie Ihre Festplatte
auf Software-Viren hin untersuchen, um eine "Infizierung" auszuschliessen.

Um den Startvorgang von Windows ohne den 32-Bit-Festplatten-
treiber fortzusetzen, druecken Sie eine beliebige Taste.

##############################################################################

[3] Bei solchen Reinfektionen hilft nur eine Methode:
    Jede (!) Diskette scannen und auch jeden ZIP/ARJ/LZH usw. Archivinhalt
    ueberpruefen. Praktisch fuer die erste Aufgabe sind residente Scanner,
    die jede eingelegte Diskette automatisch nach Viren ueberpruefen.
    Das Shareware-Antivirenprogramm AVP kann automatisch Archive durchsuchen.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

History:

1.0 - 05.2.95	:	Erste oeffentliche Version.
			Hinzugefuegte Virenbeschreibungen:
			One_Half, Natas, Neuroquila, Tai-Pan, Parity_Boot.B
			Stoned.Standard.A, Stoned.Angelina, FORM.A, AntiEXE,
			Junkie, Honecker



-----BEGIN PGP SIGNATURE-----
Version: 2.3a

iQCVAgUBLzWRoxQJonPBt/hRAQFEOwQAjngMDJHeHB71cbzyDJKlPrzvg5kZXqz2
g7txfkyXQBPIyxyBvoXIrbCYT6EHq3dQHHyxYBZ1tbuMgE5GniApAREY1L4RYkiY
+1369Nrh9Zjtb4eSFL1YDoGUjjyCiBXSqQQf4tmir9PSE33xIcvr2Z+TW6CXKm5p
+UGAQhTcNnY=
=oM0V
-----END PGP SIGNATURE-----
