DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.
Lösungen für:
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Schwachstellen Bedrohungen
Home Bedrohungen Virus Win16

Virus.Win16.Gollum

Kategorie
Virus
Plattform
Win16

Hauptgruppierung: VirWare

Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.

Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.

Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).

Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.

Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.

Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.

Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:

Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.

Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.

Kategorie: Virus

Viren replizieren auf den Ressourcen der lokalen Maschine.

Im Gegensatz zu Würmern verwenden Viren keine Netzwerkdienste, um andere Computer zu verbreiten oder zu durchdringen. Eine Kopie eines Virus erreicht entfernte Computer nur dann, wenn das infizierte Objekt aus irgendeinem Grund, der nichts mit der Virusfunktion zu tun hat, auf einem anderen Computer aktiviert wird. Beispielsweise:

Wenn infizierbare Festplatten infiziert werden, dringt ein Virus in eine Datei ein, die sich auf einer Netzwerkressource befindet
Ein Virus kopiert sich auf ein Wechselspeichergerät oder infiziert eine Datei auf einem Wechselmedium
Ein Benutzer sendet eine E-Mail mit einem infizierten Anhang.


Mehr Informationen

Plattform: Win16

No platform description

Beschreibung

Technische Details

Dies ist ein parasitärer Virus, der unter Windows und Windows95 "resident" bleibt, den Dateizugriff auf Dateien hemmt und DOS-EXE-Dateien infiziert. Dies ist ein mehrteiliger Virus, weil er zwei verschiedene Plattformen betrifft - Windows und DOS. Der Virus infiziert weder Windows EXE-Dateien für tragbare ausführbare Dateien (PE) noch neue ausführbare Dateien (NE), sondern bleibt als VxD-Treiber in Windows, um DOS EXE-Dateien abzufangen und zu infizieren. Der Virus infiziert also keine Windows-Dateien, sondern Windows-Speicher und infiziert DOS-Speicher nicht, sondern infiziert DOS-EXE-Dateien.

Wenn eine infizierte DOS EXE-Datei ausgeführt wird, löscht der Virus nur sein VxD (die GOLLUM.386-Datei), registriert es in der Windows-Datei SYSTEM.INI, kehrt zu dem Host-Programm zurück und führt keine andere Aktion aus. Wenn Windows startet, lädt es diesen Virus VxD, der Virus übernimmt die Kontrolle, Haken V86 unterbricht Kette und infiziert dann DOS EXE-Dateien. Der GOLLUM.386-Dropper hat eine Länge von 6592 Bytes, während er beim Infizieren 7167 Bytes zu DOS-EXE-Dateien hinzufügt.

Infizierte DOS-EXE-Datei

Der Virus in der DOS-EXE-Datei wird durch die Anweisung NOT (XOR 0FFh) verschlüsselt. Wenn eine infizierte Datei ausgeführt wird, übernimmt der Virus die Kontrolle und entschlüsselt sich selbst. Die Schleife des Entschlüsselungsbefehls enthält einen dummen Anti-Debugging-Trick, und man sollte vorsichtig sein beim Analysieren des Viruscodes.

Der Virus sucht dann nach Windows SYSTEM.INI-Datei. Es gibt fünf Namen, die vom Virus verwendet werden: 

C: WINDOWSSYSTEM.INIC: WINSYSTEM.INIC: WIN31SYSTEM.INIC: WIN311SYSTEM.INIC: WIN95SYSTEM.INI
Wenn keine solchen Dateien vorhanden sind, legt der Virus seine VxD nicht ab und kehrt zum Host-Programm zurück. Andernfalls erstellt es die GOLLUM.386-Datei (Virus VxD) in dem Windows-Verzeichnis und fügt in der Datei SYSTEM.INI den Befehl ein, der dieses VxD lädt: 
GERÄT = GOLLUM.386
Dieser Befehl wird in den Abschnitt [386Enh] eingefügt - der Virus sucht nach der Zeichenfolge "[386" und schreibt diesen Befehl dorthin: 
SYSTEM.INI vor und nach der Infektion... ...[386Enh] [386Enh]Maus = * vmd DEVICE = GOLLUM.386...Maus = * vmd...
Der Virus löscht sein VxD nicht zweimal - es durchsucht die Datei SYSTEM.INI nach der Zeichenfolge "GOLLU" und beendet Infektionsroutine, wenn diese Zeichenfolge gefunden wird.

Virus in der VxD-Datei

Virus VxD (die GOLLUM.386-Datei) hat das LE-Format (Linear Executable). DOS-EXE-Stub in dieser Datei enthält eine kurze Routine, die in den Standardtext-Videomodus wechselt und den Text anzeigt: 
GoLLum!
Der LE-Teil dieser Datei enthält die Installationsroutine, die den Startpfad (zur Verwendung in der Infektionsroutine), Hooks INT 21h (V86-Interrupt-Kette), INT 21h-Handler, Infektionsroutine und Virus-DOS-EXE-Code abruft und speichert. Der Virushandler INT 21h fängt drei Aufrufe ab: Load and Execute (4B00h), Terminate (4C00h) und Change Directory (3Bh).

Wenn eine Datei ausgeführt wird, speichert der Virus nur seinen Namen und gibt die Kontrolle zurück. Die Infektionsroutine erhält die Kontrolle über Anruf beenden. Zuerst überprüft der Virus den Dateinamen. Es infiziert die Dateien nur auf C: Laufwerk und infiziert nicht die Dateien SCAN *. *, F-PR *. *, TB *. * (SCAN, F-PROT, ThunderByte-bezogene Programme) sowie Dateien mit dem Namen enthält 'V' Buchstaben oder Ziffern. Der Virus infiziert auch keine Dateien mit einer Länge von weniger als 7167 Bytes.

Der Virus öffnet dann die Datei, liest und prüft den Header. Der Virus überprüft den EXE-Stempel (MZ bei Dateianfang) und NewExe-Flags, schlägt aber fehl und infiziert in einigen Fällen NewExe-Dateien als DOS EXE. Das kann Dateien beschädigen. Um eine doppelte Infektion zu verhindern, vergleicht der Virus das CRC-Feld (Offset 12h im EXE-Header) mit zwei Bytes - 52h 43h (ASCII "RC").

Der Virus infiziert dann die Datei auf eine Standard-Weise, die von den meisten DOS-Viren verwendet wird - er schreibt seinen Code (DOS- und VxD-Teile) an das Ende der Datei und ändert den EXE-Header (Einstiegspunkt und Stack-Initialwerte, Modulgröße und Identifikator "RC"). Um Code- / Datenzugriffsverletzungen während des Schreibens von VxD-Teilen zu vermeiden, kopiert der Virus diese aus GOLLUM.386 im Startpfad, der während der Installation von Virus VxD gespeichert wurde.

Die Infektionsroutine ist abgeschlossen und der Virus schließt die Datei sowie die Dateiattribute und den Datums- und Zeitstempel der Datei.

Triggerroutinen

Bei der Installation am 4. Juni sendet der Virus eine Systemmeldung mit dem Text, der Windows dazu zwingt, diesen Text als Systemfehlermeldung anzuzeigen: 
GoLLuM ViRuS von Griyo / 29ATief unten am dunklen Wasser lebte der alte Gollum, ein kleiner SchleimpilzKreatur. Ich weiß nicht, woher er kam und wer oder was er war. ErEs war ein Gollum - dunkel und dunkel bis auf zwei große, runde, blasse Augenin seinem dünnen Gesicht.JRR ToLkieN ... Der HoBBitDrücken Sie eine beliebige Taste, um fortzufahren
Bei Auswahl eines Verzeichnisses (INT 21h Change Directory call) erhält der Virus den System-Timer und erstellt abhängig von seinem Wert (mit der Wahrscheinlichkeit 1/256) die GOLLUM.EXE-Datei im aktuellen Verzeichnis und kopiert dessen VxD GOLLUM.386 dorthin. Wenn diese EXE-Datei unter DOS ausgeführt wird, zeigt die DOS-Stub-Routine Folgendes an: 
GoLLum!
Um die Erkennung durch Antiviren-Integritätsprüfer zu verhindern, löscht der Virus seine Datenbanken: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Der Virus enthält auch die Zeichenfolgen: 

GoLLuM ViRuS für Microsoft Windows von GriYo / 29AGPTrap_DDB

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com

Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden? Mitteilen!
Neu: Kaspersky!
Dein digitales Leben verdient umfassenden Schutz!
Erfahren Sie mehr
Kaspersky Next
Let´s go Next: Cybersicherheit neu gedacht
Erfahren Sie mehr
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Sie haben einen Fehler in der Beschreibung der Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Sie haben eine neue Bedrohung oder Schwachstelle gefunden?
Falls Sie eine neue Bedrohung oder Schwachstelle gefunden haben, können Sie uns dies gerne per Mail mitteilen.
newvirus@kaspersky.com
Lösungen für
Privatanwender
Unternehmen
Unternehmen
Unternehmen
Select language
Sorting
Bedrohung
Confirm changes?
Your message has been sent successfully.