DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.DOS.Bomber

Erkennungsdatum 01/11/2002
Kategorie Virus
Plattform DOS
Beschreibung

Technische Details

Es ist ein harmloser resident polymorpher Virus. Es hakt INT 21h und infiziert COM-Datei außer COMMAND.COM bei ihrer Ausführung. Es enthält die internen Textnachrichten "COMMANDER BOMBER HAS HERE" und "[DAME]".

Das charakteristische Merkmal dieses Infektors besteht aus einem neuen polymorphen Algorithmus. Nach der Infektion liest der Virus 4096 Bytes aus dem zufällig ausgewählten Offset und schreibt diesen Code in die Datei. Dann schreibt es in dieses "Loch" seinen Code und beginnt mit Polymorphie. Dieser Virus enthält mehrere Subroutinen, die den zufälligen (aber erfolgreich ausgeführten!) Code erzeugen. TRhe Virus fügt diese Teile des Zufallscodes in die zufällig ausgewählte Position in die Host-Datei ein. Etwa 90% aller i8086-Anweisungen sind in diesen Teilen vorhanden. Der Teil des Codes übernimmt die Steuerung aus dem vorherigen Teil durch Anweisungen JMP, CALL, RET, RET xxxx. Der erste Teil wird in den Dateianfang eingefügt und springt zum nächsten Teil, der nächste Teil springt zum dritten Teil usw. Der letzte Teil gibt die Kontrolle an den Hauptviruskörper zurück. Am Ende sieht die infizierte Datei wie 'Flecken' des eingefügten Codes aus.


Link zum Original