Kaspersky Threats — CyberTech

Kategorie

Plattform

Beschreibung

Technische Details

Es ist ein sehr gefährlicher Speicher Parasitärer Virus. Wenn ein infiziertes Programm ausgeführt wird, infiziert der Virus die Windows KERNEL-Datei. Wenn ein infizierter KERNEL ausgeführt wird, hakt der Virus die WinExec-Funktion und schreibt sich selbst an das Ende der NewEXE-Dateien, die ausgeführt werden.

Um den KERNEL zu infizieren, erhält der Virus den Zugriff auf diese Datei mit Hilfe der dokumentierten Funktion GetModuleHandle, dann schreibt der Virus seinen Code in die KERNEL-Datei (KRNL286.EXE oder KRNL386.EXE) und patcht die Systemdaten in dieser Datei so, dass der Adresse der WinExec-Routine im infizierten KERNEL verweist auf den Virus-Code. Dann gibt der Virus das Steuerelement an die Host-Datei NewEXE zurück. Wenn die infizierte Datei ausgeführt wird, infiziert der Virus nur die KERNEL-Datei.

Wenn das System mit infiziertem KERNEL geladen wird, bleibt der Virus als Teil des KERNEL-Codes resident-resident und hat WinExec-Adresspunkte an den Virus-Handler gepatcht. Wenn eine NewEXE-Datei ausgeführt wird, infiziert das Virus sie.

Der Virus trennt die infizierten und nicht infizierten Dateien mit dem ID-Label "LROY", das der Virus beim Infizieren einer Datei in das Checksummenfeld im NewEXE-Header schreibt.

Je nach Systemdatum und Tagesnummer zeigt der Virus das Nachrichtenfeld mit dem Titel an:



Chicago 7: Cyber-Aufstand

und die Nachrichten darin. Der Virus zeigt verschiedene Nachrichten an, im April ab dem 29. und am 1. Mai:



Herzlichen Glückwunsch, Los Angeles!

Anarchisten der Welt, vereinigt euch!

An jedem Freitag vor dem 13. eines Monats:



Wenn der Damm bricht, habe ich keinen Platz zum Bleiben …

(Weinen wird dir nicht helfen. Beten wird dir nicht gut tun.)

Am 6. März und im Dezember vom 1. bis zum 26. Dezember:



Rette den Wal, harpune eine fette Katze.

Nach dem Anzeigen der Nachricht löscht der Virus Plattensektoren.

Der Virus enthält auch die Textstrings:



USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)

Sommer 1993: 15 Windowscomputerviren

Demnächst: Diet Riot. Gleicher großer Nachgeschmack – weniger Bytes.

Quellcode verfügbar für $ 15.000.000. Nur ernsthafte Anfragen.

Warum muss IBM mich entlassen? Na ja, ihr Verlust.

McAfees FUD-Gleichung: !!!!!! + ?????? = $$$$$$

Überzeuge die Schweine

Dieses Programm wurde in den Städten Hamburg, Chicago, Seattle und

Berkeley. Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe

und 2 Ex-Softies, die zusammen als Chicago 7 bekannt sind.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	Win16
Beschreibung	Technische Details Es ist ein sehr gefährlicher Speicher Parasitärer Virus. Wenn ein infiziertes Programm ausgeführt wird, infiziert der Virus die Windows KERNEL-Datei. Wenn ein infizierter KERNEL ausgeführt wird, hakt der Virus die WinExec-Funktion und schreibt sich selbst an das Ende der NewEXE-Dateien, die ausgeführt werden. Um den KERNEL zu infizieren, erhält der Virus den Zugriff auf diese Datei mit Hilfe der dokumentierten Funktion GetModuleHandle, dann schreibt der Virus seinen Code in die KERNEL-Datei (KRNL286.EXE oder KRNL386.EXE) und patcht die Systemdaten in dieser Datei so, dass der Adresse der WinExec-Routine im infizierten KERNEL verweist auf den Virus-Code. Dann gibt der Virus das Steuerelement an die Host-Datei NewEXE zurück. Wenn die infizierte Datei ausgeführt wird, infiziert der Virus nur die KERNEL-Datei. Wenn das System mit infiziertem KERNEL geladen wird, bleibt der Virus als Teil des KERNEL-Codes resident-resident und hat WinExec-Adresspunkte an den Virus-Handler gepatcht. Wenn eine NewEXE-Datei ausgeführt wird, infiziert das Virus sie. Der Virus trennt die infizierten und nicht infizierten Dateien mit dem ID-Label "LROY", das der Virus beim Infizieren einer Datei in das Checksummenfeld im NewEXE-Header schreibt. Je nach Systemdatum und Tagesnummer zeigt der Virus das Nachrichtenfeld mit dem Titel an: Chicago 7: Cyber-Aufstand und die Nachrichten darin. Der Virus zeigt verschiedene Nachrichten an, im April ab dem 29. und am 1. Mai: Herzlichen Glückwunsch, Los Angeles! Anarchisten der Welt, vereinigt euch! An jedem Freitag vor dem 13. eines Monats: Wenn der Damm bricht, habe ich keinen Platz zum Bleiben … (Weinen wird dir nicht helfen. Beten wird dir nicht gut tun.) Am 6. März und im Dezember vom 1. bis zum 26. Dezember: Rette den Wal, harpune eine fette Katze. Nach dem Anzeigen der Nachricht löscht der Virus Plattensektoren. Der Virus enthält auch die Textstrings: USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.) Sommer 1993: 15 Windowscomputerviren Demnächst: Diet Riot. Gleicher großer Nachgeschmack – weniger Bytes. Quellcode verfügbar für $ 15.000.000. Nur ernsthafte Anfragen. Warum muss IBM mich entlassen? Na ja, ihr Verlust. McAfees FUD-Gleichung: !!!!!! + ?????? = $$$$$$ Überzeuge die Schweine Dieses Programm wurde in den Städten Hamburg, Chicago, Seattle und Berkeley. Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe und 2 Ex-Softies, die zusammen als Chicago 7 bekannt sind.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.Win16.CyberTech

Technische Details