DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.DOS.Frodo

Erkennungsdatum 11/20/2003
Kategorie Virus
Plattform DOS
Beschreibung

Dies ist ein speicherresidenter Stealth-Virus, der 4096 (1000h) Byte lang ist. Es infiziert Dateien bei der Ausführung oder beim Schließen. Eine Kontamination von Dateien ist ebenfalls möglich. Der Virus vervollständigt seine Kopie so, dass die Größe einer infizierten Datei genau um 4096 Byte wächst (siehe "Eddie.2000"). In infizierten Dateien erhöht der Virus die Zeit der letzten Modifikation um 100 Jahre. In COM-Dateien ändert es die ersten 6 Bytes und in EXE-Dateien ändert es den Header.

Beim Eingeben der Dateien verwendet "Frodo" die wahren Werte der Interrupt-Vektoren 13h und 21h, die er mit dem "Yankee" -Algorithmus erhält. Zusätzlich ändert "Frodo" die ersten 5 Bytes des INT 21h Handlers.

Beim Erstellen seiner TSR-Kopie belegt der Virus die obersten Adressen, die zur Infektion der Datei COMMAND.COM führen. "Frodo" setzt die Adresse des Eigentümers in seinem MCB, die mit der Adresse des ersten MCB-Besitzers im System übereinstimmt, und maskiert sie so wie DOS. Später könnte sich die Kopie des Virus durch den Speicher in Richtung niedriger Adressen bewegen, neue Speicherbereiche zuweisen und alte löschen.

Ein echter Stealth-Virus: fängt INT 21h ab, behandelt 20 (!) Funktionen davon (FindFirst, FindNext, Lesen, Schreiben, Lseek, Öffnen, Erstellen, Schließen, Ausführen usw.) und maskiert sich effektiv. Wenn DOS versucht, auf eine infizierte Datei zuzugreifen, ersetzt der Virus seine ursprüngliche Länge und die letzte Änderungszeit. Beim Lesen oder Laden einer Datei in den Speicher werden die von der Festplatte gelesenen Informationen so geändert, dass die Datei so aussieht, als wäre sie nicht infiziert. Wenn eine infizierte Datei zum Schreiben geöffnet wird, heilt der Virus sie (weil das Schreiben in die Datei möglicherweise einen Teil des Virus löscht) und führt beim Schließen eine erneute Infektion durch.

Der Virus läuft jedes Jahr vom 22. September bis zum 31. Dezember. Es ist nicht bekannt, wie der Virus selbst läuft, da der entsprechende Bereich des Virencodes zufällig gelöscht wird. Es ist davon auszugehen, dass der Virus den Boot-Sektor einer Diskette und den MBR-Sektor der Festplatte löscht und dort seinen eigenen Code schreibt. Nach dem Neustart von einer solchen Diskette zeigt der Bildschirm (unter Verwendung pseudographischer Symbole) die Nachricht "FRODO LIVES!" in großen Buchstaben.


Link zum Original