VIREN - Referat von Philipp Gühring (1995)
Begriffserklärung:
Triggermechanismen sind Abfragen, die Funktionen auslösen
Beispiele:
- Datum==Freitag, 13 eines durch 4 teilbaren Jahres -> Formatieren der Festplatte
- 50-ster Aufruf -> spiele eine Melodie
- Keine infizierbaren Dateien mehr gefunden -> Prozessor wird angehalten
Der Bootvorgang von Dos:
Wenn der Computer eingeschaltet wird, wird zuerst das BIOS (Basic Input Output
System) aktiviert. Dieses befindet sich in einem ROM Chip, dessen Speicher
auf F000:0000 abgebildet wird. Die Prozessor Register (CS:IP)befinden sich auf
FFFF:0000 , wo sich der Urlader befindet. Der erste Befehl ist JMP Fxxx:xxx,
der das Starten des Bios bewirkt. Es wird der Speicher, Grafikkarten,
getestet, und die Biosinterrupts (10h-1Fh) installiert. Am Ende des BIOS
wird der INT 19h aufgerufen, der für das weitere Booten zuständig ist
Vom INT 19h wird dann INT 13h(Disketten/Festplatten Funktionen) aufgerufen,
um den Bootsektor von A:(oder C:) an die Speicheradresse 0000:7C00 zu laden
(siehe Abbildung Niedriger Speicher). Wenn dieser Sektor als Bootfähig erkannt
wird (55h AAh -Kennung), wird nach 0000:7C00 gesprungen, und von dort gleich
weiter mitten in die Bootroutine. Diese lädt dann MSDOS.SYS und IO.SYS, und
die Geschichte nimmt ihren Lauf.
Vorraussetzungen:
- Interrupt Tabelle vorhanden (00000h-00400h) (jeweils 4 Bytes pro Handler)
- Standard Bios Routinen installiert:
Wichtige: 10h(Monitor), 13h(Platten/Disketten), 16h Tastatur, 19h Booten
- Bios ROM (F0000-FFFFF)
- Bios Variablen (00400h-00500h)
Wichtige: 13h Ram Speicher(640k)
- Bootsektor (07C00-07DFF)
- Freier Speicher von 10000h-9FFFF
Achtung:
- Kein Betriebssystem außer dem Bios vorhanden
- Keine DOS basierenden Triggerfunktionen möglich
- Kein Dateisystem vorhanden
Techniken von Bootsektor Viren
Speicherallokation:
Bios Variable für Konventionellen Speicher verkleinern (640->639)
Diese Methode ist nur für Boot Viren gut, weil der Speicher nur dann
sicher (noch) nicht belegt ist.
Infektion anderer Bootsektoren:
Beim Lesen eines noch nicht infizierten Bootsektors (Patchen des INT 13h)
Es wird eine Sicherheitskopie angelegt, die beim Lesen eines verseuchten
Sektors vorgetäuscht wird.
Dann wird der eingene VirusCode in den Sektor geschrieben
Wichtige Bootsektorviren:
Parity Boot B, Form, Stoned.Angelina
Verschlüsselungsmethoden:
Gleichbleibender Schlüssel:
JUMP:
??? BYTE PTR [BX],X
INC BX
CMP BX,MAX
JB JUMP
Additive Verschlüsselung: Den Key zu jedem Byte addieren: ADD(durch SUB umkehrbar)
Binäre Verschlüsselung: XOR (durch denselben XOR umkehrbar)
AND / OR sind nicht zu empfehlen, da dadurch meistens Informationen verloren gehen.
Ändernder Schlüssel: Auszug aus CASCADE
LEA SI,...
MOV SP,0682h
JUMP:
XOR WORD PTR [SI],SI
XOR WORD PTR [SI],SP
INC SI
DEC SP
JNZ JUMP
Vollpolymorphe Viren verschlüssel sich jedesmal auf eine andere Art, und
sind für Virenscanner sehr sehr schwer zu finden, aber auch schwer zu
programmieren
Virenscanner
kann man in 2 Kategorieren unterteilen:
Nichtresidente Virenscanner
Scannen 1x gezielt den gesamten Computer. z.B. F-PROT, McAffee, MSAV
Residente Virenscanner
Bleiben aktiv, und überwachen den Computer (Wenn eine Diskette in ein Laufwerk
geschoben wird, Aufruf eines Programmes...) z.B. VSAFE
Virenentfernung
Viren sollte man nur mit Virenscannern entfernen, wenn man keine Erfahrung
im Virenprogrammieren hat. Die Möglichkeiten eines Anti-Viren Produkts
hängen sehr vom Virus ab, da manche Viren Daten überschreiben, und dann nur
noch das Löschen der infizierte Dateien möglich ist.
Warum entwickeln Programmierer Viren?
- Zerstörungsdrang,
- Eigenen Bekanntsheitsgrad steigern,
- Zugang zu einer Mailbox ein Bulgarien ergattern,
- Erpressung von Firmen,
- Langeweile,
- Liebesbrief,
- Microsoft zeigen, wie ein guter Update-Service funktionieren sollte,
- Wissensdurst nach raffinierten Tricks und Techniken,
- Erweiterung des eigenen Systemverständnisses,
- Aufmerksammachen auf drohende Gefahren/Hilferufe (Bosnien),
- (TSR) Techniken ausprobieren,
- Wettbewerbe (kürzester Virus (ca. 40 Bytes), beste Techniken gegen Virenscanner,ausgefallenste Ideen),
- Gegenbeweise liefern:
"Dieses System ist 100% Hacker sicher"(ELBA), Anschauungsmaterial für
Wissenschaftliche Studien (F. Cohen 1984),
- gekränkte, gekündigte Mitarbeiter,
- ...
Kuriositäten:
Viren-Updates jetzt direkt aus Bulgarien, einfachste Installation, keine
Update-Kosten, insgesamt schon mehr als 40 Versionen!
Neu für Musik-Freaks: Yankee Doodle: Um 5 Uhr gibts Musik zu hören!
Nimm Cascade, und deine Buchstaben fallen total aus dem Rahmen!
Für den 3000sten Tastendruck: ERROR 08/15: TOO MANY FINGERS ON KEYBOARD ERROR
Probleme mit Anti-Viren Software? Entfernen Sie diese mit Turbo-448
Sie brauchen Spezialviren mit vielen einstellbaren Optionen?
Trojan Maker 5.6 von Yinon Yamin. At a Mailbox near you.
Ich danke für Ihre Aufmerksamkeit.
Zurück zum Autor