DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win16.CyberTech

Kategorie Virus
Plattform Win16
Beschreibung

Technische Details

Es ist ein sehr gefährlicher Speicher Parasitärer Virus. Wenn ein infiziertes Programm ausgeführt wird, infiziert der Virus die Windows KERNEL-Datei. Wenn ein infizierter KERNEL ausgeführt wird, hakt der Virus die WinExec-Funktion und schreibt sich selbst an das Ende der NewEXE-Dateien, die ausgeführt werden.

Um den KERNEL zu infizieren, erhält der Virus den Zugriff auf diese Datei mit Hilfe der dokumentierten Funktion GetModuleHandle, dann schreibt der Virus seinen Code in die KERNEL-Datei (KRNL286.EXE oder KRNL386.EXE) und patcht die Systemdaten in dieser Datei so, dass der Adresse der WinExec-Routine im infizierten KERNEL verweist auf den Virus-Code. Dann gibt der Virus das Steuerelement an die Host-Datei NewEXE zurück. Wenn die infizierte Datei ausgeführt wird, infiziert der Virus nur die KERNEL-Datei.

Wenn das System mit infiziertem KERNEL geladen wird, bleibt der Virus als Teil des KERNEL-Codes resident-resident und hat WinExec-Adresspunkte an den Virus-Handler gepatcht. Wenn eine NewEXE-Datei ausgeführt wird, infiziert das Virus sie.

Der Virus trennt die infizierten und nicht infizierten Dateien mit dem ID-Label "LROY", das der Virus beim Infizieren einer Datei in das Checksummenfeld im NewEXE-Header schreibt.

Je nach Systemdatum und Tagesnummer zeigt der Virus das Nachrichtenfeld mit dem Titel an:


Chicago 7: Cyber-Aufstand
und die Nachrichten darin. Der Virus zeigt verschiedene Nachrichten an, im April ab dem 29. und am 1. Mai:

Herzlichen Glückwunsch, Los Angeles!
Anarchisten der Welt, vereinigt euch!
An jedem Freitag vor dem 13. eines Monats:

Wenn der Damm bricht, habe ich keinen Platz zum Bleiben …
(Weinen wird dir nicht helfen. Beten wird dir nicht gut tun.)
Am 6. März und im Dezember vom 1. bis zum 26. Dezember:

Rette den Wal, harpune eine fette Katze.
Nach dem Anzeigen der Nachricht löscht der Virus Plattensektoren.

Der Virus enthält auch die Textstrings:


USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)
Sommer 1993: 15 Windowscomputerviren
Demnächst: Diet Riot. Gleicher großer Nachgeschmack – weniger Bytes.
Quellcode verfügbar für $ 15.000.000. Nur ernsthafte Anfragen.
Warum muss IBM mich entlassen? Na ja, ihr Verlust.
McAfees FUD-Gleichung: !!!!!! + ?????? = $$$$$$
Überzeuge die Schweine
Dieses Programm wurde in den Städten Hamburg, Chicago, Seattle und
Berkeley. Copyright (C) 1993 Klash / Skism / George J / Phalcon / Henry Buscombe
und 2 Ex-Softies, die zusammen als Chicago 7 bekannt sind.


Link zum Original