DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win16.Gollum

Kategorie Virus
Plattform Win16
Beschreibung

Technische Details

Dies ist ein parasitärer Virus, der unter Windows und Windows95 "resident" bleibt, den Dateizugriff auf Dateien hemmt und DOS-EXE-Dateien infiziert. Dies ist ein mehrteiliger Virus, weil er zwei verschiedene Plattformen betrifft – Windows und DOS. Der Virus infiziert weder Windows EXE-Dateien für tragbare ausführbare Dateien (PE) noch neue ausführbare Dateien (NE), sondern bleibt als VxD-Treiber in Windows, um DOS EXE-Dateien abzufangen und zu infizieren. Der Virus infiziert also keine Windows-Dateien, sondern Windows-Speicher und infiziert DOS-Speicher nicht, sondern infiziert DOS-EXE-Dateien.

Wenn eine infizierte DOS EXE-Datei ausgeführt wird, löscht der Virus nur sein VxD (die GOLLUM.386-Datei), registriert es in der Windows-Datei SYSTEM.INI, kehrt zu dem Host-Programm zurück und führt keine andere Aktion aus. Wenn Windows startet, lädt es diesen Virus VxD, der Virus übernimmt die Kontrolle, Haken V86 unterbricht Kette und infiziert dann DOS EXE-Dateien. Der GOLLUM.386-Dropper hat eine Länge von 6592 Bytes, während er beim Infizieren 7167 Bytes zu DOS-EXE-Dateien hinzufügt.

Infizierte DOS-EXE-Datei

Der Virus in der DOS-EXE-Datei wird durch die Anweisung NOT (XOR 0FFh) verschlüsselt. Wenn eine infizierte Datei ausgeführt wird, übernimmt der Virus die Kontrolle und entschlüsselt sich selbst. Die Schleife des Entschlüsselungsbefehls enthält einen dummen Anti-Debugging-Trick, und man sollte vorsichtig sein beim Analysieren des Viruscodes.

Der Virus sucht dann nach Windows SYSTEM.INI-Datei. Es gibt fünf Namen, die vom Virus verwendet werden:


C: WINDOWSSYSTEM.INI
C: WINSYSTEM.INI
C: WIN31SYSTEM.INI
C: WIN311SYSTEM.INI
C: WIN95SYSTEM.INI
Wenn keine solchen Dateien vorhanden sind, legt der Virus seine VxD nicht ab und kehrt zum Host-Programm zurück. Andernfalls erstellt es die GOLLUM.386-Datei (Virus VxD) in dem Windows-Verzeichnis und fügt in der Datei SYSTEM.INI den Befehl ein, der dieses VxD lädt:

GERÄT = GOLLUM.386
Dieser Befehl wird in den Abschnitt [386Enh] eingefügt – der Virus sucht nach der Zeichenfolge "[386" und schreibt diesen Befehl dorthin:

SYSTEM.INI vor und nach der Infektion
… …
[386Enh] [386Enh]
Maus = * vmd DEVICE = GOLLUM.386

Maus = * vmd

Der Virus löscht sein VxD nicht zweimal – es durchsucht die Datei SYSTEM.INI nach der Zeichenfolge "GOLLU" und beendet Infektionsroutine, wenn diese Zeichenfolge gefunden wird.

Virus in der VxD-Datei

Virus VxD (die GOLLUM.386-Datei) hat das LE-Format (Linear Executable). DOS-EXE-Stub in dieser Datei enthält eine kurze Routine, die in den Standardtext-Videomodus wechselt und den Text anzeigt:

GoLLum!
Der LE-Teil dieser Datei enthält die Installationsroutine, die den Startpfad (zur Verwendung in der Infektionsroutine), Hooks INT 21h (V86-Interrupt-Kette), INT 21h-Handler, Infektionsroutine und Virus-DOS-EXE-Code abruft und speichert. Der Virushandler INT 21h fängt drei Aufrufe ab: Load and Execute (4B00h), Terminate (4C00h) und Change Directory (3Bh).

Wenn eine Datei ausgeführt wird, speichert der Virus nur seinen Namen und gibt die Kontrolle zurück. Die Infektionsroutine erhält die Kontrolle über Anruf beenden. Zuerst überprüft der Virus den Dateinamen. Es infiziert die Dateien nur auf C: Laufwerk und infiziert nicht die Dateien SCAN *. *, F-PR *. *, TB *. * (SCAN, F-PROT, ThunderByte-bezogene Programme) sowie Dateien mit dem Namen enthält 'V' Buchstaben oder Ziffern. Der Virus infiziert auch keine Dateien mit einer Länge von weniger als 7167 Bytes.

Der Virus öffnet dann die Datei, liest und prüft den Header. Der Virus überprüft den EXE-Stempel (MZ bei Dateianfang) und NewExe-Flags, schlägt aber fehl und infiziert in einigen Fällen NewExe-Dateien als DOS EXE. Das kann Dateien beschädigen. Um eine doppelte Infektion zu verhindern, vergleicht der Virus das CRC-Feld (Offset 12h im EXE-Header) mit zwei Bytes – 52h 43h (ASCII "RC").

Der Virus infiziert dann die Datei auf eine Standard-Weise, die von den meisten DOS-Viren verwendet wird – er schreibt seinen Code (DOS- und VxD-Teile) an das Ende der Datei und ändert den EXE-Header (Einstiegspunkt und Stack-Initialwerte, Modulgröße und Identifikator "RC"). Um Code- / Datenzugriffsverletzungen während des Schreibens von VxD-Teilen zu vermeiden, kopiert der Virus diese aus GOLLUM.386 im Startpfad, der während der Installation von Virus VxD gespeichert wurde.

Die Infektionsroutine ist abgeschlossen und der Virus schließt die Datei sowie die Dateiattribute und den Datums- und Zeitstempel der Datei.

Triggerroutinen

Bei der Installation am 4. Juni sendet der Virus eine Systemmeldung mit dem Text, der Windows dazu zwingt, diesen Text als Systemfehlermeldung anzuzeigen:

GoLLuM ViRuS von Griyo / 29A
Tief unten am dunklen Wasser lebte der alte Gollum, ein kleiner Schleimpilz
Kreatur. Ich weiß nicht, woher er kam und wer oder was er war. Er
Es war ein Gollum – dunkel und dunkel bis auf zwei große, runde, blasse Augen
in seinem dünnen Gesicht.
JRR ToLkieN … Der HoBBit
Drücken Sie eine beliebige Taste, um fortzufahren
Bei Auswahl eines Verzeichnisses (INT 21h Change Directory call) erhält der Virus den System-Timer und erstellt abhängig von seinem Wert (mit der Wahrscheinlichkeit 1/256) die GOLLUM.EXE-Datei im aktuellen Verzeichnis und kopiert dessen VxD GOLLUM.386 dorthin. Wenn diese EXE-Datei unter DOS ausgeführt wird, zeigt die DOS-Stub-Routine Folgendes an:

GoLLum!
Um die Erkennung durch Antiviren-Integritätsprüfer zu verhindern, löscht der Virus seine Datenbanken: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Der Virus enthält auch die Zeichenfolgen:


GoLLuM ViRuS für Microsoft Windows von GriYo / 29A
GPTrap_DDB


Link zum Original