Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist ein parasitärer Virus, der unter Windows und Windows95 "resident" bleibt, den Dateizugriff auf Dateien hemmt und DOS-EXE-Dateien infiziert. Dies ist ein mehrteiliger Virus, weil er zwei verschiedene Plattformen betrifft – Windows und DOS. Der Virus infiziert weder Windows EXE-Dateien für tragbare ausführbare Dateien (PE) noch neue ausführbare Dateien (NE), sondern bleibt als VxD-Treiber in Windows, um DOS EXE-Dateien abzufangen und zu infizieren. Der Virus infiziert also keine Windows-Dateien, sondern Windows-Speicher und infiziert DOS-Speicher nicht, sondern infiziert DOS-EXE-Dateien.

Wenn eine infizierte DOS EXE-Datei ausgeführt wird, löscht der Virus nur sein VxD (die GOLLUM.386-Datei), registriert es in der Windows-Datei SYSTEM.INI, kehrt zu dem Host-Programm zurück und führt keine andere Aktion aus. Wenn Windows startet, lädt es diesen Virus VxD, der Virus übernimmt die Kontrolle, Haken V86 unterbricht Kette und infiziert dann DOS EXE-Dateien. Der GOLLUM.386-Dropper hat eine Länge von 6592 Bytes, während er beim Infizieren 7167 Bytes zu DOS-EXE-Dateien hinzufügt.

Infizierte DOS-EXE-Datei

Der Virus in der DOS-EXE-Datei wird durch die Anweisung NOT (XOR 0FFh) verschlüsselt. Wenn eine infizierte Datei ausgeführt wird, übernimmt der Virus die Kontrolle und entschlüsselt sich selbst. Die Schleife des Entschlüsselungsbefehls enthält einen dummen Anti-Debugging-Trick, und man sollte vorsichtig sein beim Analysieren des Viruscodes.

Der Virus sucht dann nach Windows SYSTEM.INI-Datei. Es gibt fünf Namen, die vom Virus verwendet werden:



C: WINDOWSSYSTEM.INI

C: WINSYSTEM.INI

C: WIN31SYSTEM.INI

C: WIN311SYSTEM.INI

C: WIN95SYSTEM.INI

Wenn keine solchen Dateien vorhanden sind, legt der Virus seine VxD nicht ab und kehrt zum Host-Programm zurück. Andernfalls erstellt es die GOLLUM.386-Datei (Virus VxD) in dem Windows-Verzeichnis und fügt in der Datei SYSTEM.INI den Befehl ein, der dieses VxD lädt:



GERÄT = GOLLUM.386

Dieser Befehl wird in den Abschnitt [386Enh] eingefügt – der Virus sucht nach der Zeichenfolge "[386" und schreibt diesen Befehl dorthin:



SYSTEM.INI vor und nach der Infektion

… …

[386Enh] [386Enh]

Maus = * vmd DEVICE = GOLLUM.386

…

Maus = * vmd

…

Der Virus löscht sein VxD nicht zweimal – es durchsucht die Datei SYSTEM.INI nach der Zeichenfolge "GOLLU" und beendet Infektionsroutine, wenn diese Zeichenfolge gefunden wird.

Virus in der VxD-Datei

Virus VxD (die GOLLUM.386-Datei) hat das LE-Format (Linear Executable). DOS-EXE-Stub in dieser Datei enthält eine kurze Routine, die in den Standardtext-Videomodus wechselt und den Text anzeigt:



GoLLum!

Der LE-Teil dieser Datei enthält die Installationsroutine, die den Startpfad (zur Verwendung in der Infektionsroutine), Hooks INT 21h (V86-Interrupt-Kette), INT 21h-Handler, Infektionsroutine und Virus-DOS-EXE-Code abruft und speichert. Der Virushandler INT 21h fängt drei Aufrufe ab: Load and Execute (4B00h), Terminate (4C00h) und Change Directory (3Bh).

Wenn eine Datei ausgeführt wird, speichert der Virus nur seinen Namen und gibt die Kontrolle zurück. Die Infektionsroutine erhält die Kontrolle über Anruf beenden. Zuerst überprüft der Virus den Dateinamen. Es infiziert die Dateien nur auf C: Laufwerk und infiziert nicht die Dateien SCAN *. *, F-PR *. *, TB *. * (SCAN, F-PROT, ThunderByte-bezogene Programme) sowie Dateien mit dem Namen enthält 'V' Buchstaben oder Ziffern. Der Virus infiziert auch keine Dateien mit einer Länge von weniger als 7167 Bytes.

Der Virus öffnet dann die Datei, liest und prüft den Header. Der Virus überprüft den EXE-Stempel (MZ bei Dateianfang) und NewExe-Flags, schlägt aber fehl und infiziert in einigen Fällen NewExe-Dateien als DOS EXE. Das kann Dateien beschädigen. Um eine doppelte Infektion zu verhindern, vergleicht der Virus das CRC-Feld (Offset 12h im EXE-Header) mit zwei Bytes – 52h 43h (ASCII "RC").

Der Virus infiziert dann die Datei auf eine Standard-Weise, die von den meisten DOS-Viren verwendet wird – er schreibt seinen Code (DOS- und VxD-Teile) an das Ende der Datei und ändert den EXE-Header (Einstiegspunkt und Stack-Initialwerte, Modulgröße und Identifikator "RC"). Um Code- / Datenzugriffsverletzungen während des Schreibens von VxD-Teilen zu vermeiden, kopiert der Virus diese aus GOLLUM.386 im Startpfad, der während der Installation von Virus VxD gespeichert wurde.

Die Infektionsroutine ist abgeschlossen und der Virus schließt die Datei sowie die Dateiattribute und den Datums- und Zeitstempel der Datei.

Triggerroutinen

Bei der Installation am 4. Juni sendet der Virus eine Systemmeldung mit dem Text, der Windows dazu zwingt, diesen Text als Systemfehlermeldung anzuzeigen:



GoLLuM ViRuS von Griyo / 29A

Tief unten am dunklen Wasser lebte der alte Gollum, ein kleiner Schleimpilz

Kreatur. Ich weiß nicht, woher er kam und wer oder was er war. Er

Es war ein Gollum – dunkel und dunkel bis auf zwei große, runde, blasse Augen

in seinem dünnen Gesicht.

JRR ToLkieN … Der HoBBit

Drücken Sie eine beliebige Taste, um fortzufahren

Bei Auswahl eines Verzeichnisses (INT 21h Change Directory call) erhält der Virus den System-Timer und erstellt abhängig von seinem Wert (mit der Wahrscheinlichkeit 1/256) die GOLLUM.EXE-Datei im aktuellen Verzeichnis und kopiert dessen VxD GOLLUM.386 dorthin. Wenn diese EXE-Datei unter DOS ausgeführt wird, zeigt die DOS-Stub-Routine Folgendes an:



GoLLum!

Um die Erkennung durch Antiviren-Integritätsprüfer zu verhindern, löscht der Virus seine Datenbanken: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ.

Der Virus enthält auch die Zeichenfolgen:



GoLLuM ViRuS für Microsoft Windows von GriYo / 29A

GPTrap_DDB

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	Win16
Beschreibung	Technische Details Dies ist ein parasitärer Virus, der unter Windows und Windows95 "resident" bleibt, den Dateizugriff auf Dateien hemmt und DOS-EXE-Dateien infiziert. Dies ist ein mehrteiliger Virus, weil er zwei verschiedene Plattformen betrifft – Windows und DOS. Der Virus infiziert weder Windows EXE-Dateien für tragbare ausführbare Dateien (PE) noch neue ausführbare Dateien (NE), sondern bleibt als VxD-Treiber in Windows, um DOS EXE-Dateien abzufangen und zu infizieren. Der Virus infiziert also keine Windows-Dateien, sondern Windows-Speicher und infiziert DOS-Speicher nicht, sondern infiziert DOS-EXE-Dateien. Wenn eine infizierte DOS EXE-Datei ausgeführt wird, löscht der Virus nur sein VxD (die GOLLUM.386-Datei), registriert es in der Windows-Datei SYSTEM.INI, kehrt zu dem Host-Programm zurück und führt keine andere Aktion aus. Wenn Windows startet, lädt es diesen Virus VxD, der Virus übernimmt die Kontrolle, Haken V86 unterbricht Kette und infiziert dann DOS EXE-Dateien. Der GOLLUM.386-Dropper hat eine Länge von 6592 Bytes, während er beim Infizieren 7167 Bytes zu DOS-EXE-Dateien hinzufügt. Infizierte DOS-EXE-Datei Der Virus in der DOS-EXE-Datei wird durch die Anweisung NOT (XOR 0FFh) verschlüsselt. Wenn eine infizierte Datei ausgeführt wird, übernimmt der Virus die Kontrolle und entschlüsselt sich selbst. Die Schleife des Entschlüsselungsbefehls enthält einen dummen Anti-Debugging-Trick, und man sollte vorsichtig sein beim Analysieren des Viruscodes. Der Virus sucht dann nach Windows SYSTEM.INI-Datei. Es gibt fünf Namen, die vom Virus verwendet werden: C: WINDOWSSYSTEM.INI C: WINSYSTEM.INI C: WIN31SYSTEM.INI C: WIN311SYSTEM.INI C: WIN95SYSTEM.INI Wenn keine solchen Dateien vorhanden sind, legt der Virus seine VxD nicht ab und kehrt zum Host-Programm zurück. Andernfalls erstellt es die GOLLUM.386-Datei (Virus VxD) in dem Windows-Verzeichnis und fügt in der Datei SYSTEM.INI den Befehl ein, der dieses VxD lädt: GERÄT = GOLLUM.386 Dieser Befehl wird in den Abschnitt [386Enh] eingefügt – der Virus sucht nach der Zeichenfolge "[386" und schreibt diesen Befehl dorthin: SYSTEM.INI vor und nach der Infektion … … [386Enh] [386Enh] Maus = * vmd DEVICE = GOLLUM.386 … Maus = * vmd … Der Virus löscht sein VxD nicht zweimal – es durchsucht die Datei SYSTEM.INI nach der Zeichenfolge "GOLLU" und beendet Infektionsroutine, wenn diese Zeichenfolge gefunden wird. Virus in der VxD-Datei Virus VxD (die GOLLUM.386-Datei) hat das LE-Format (Linear Executable). DOS-EXE-Stub in dieser Datei enthält eine kurze Routine, die in den Standardtext-Videomodus wechselt und den Text anzeigt: GoLLum! Der LE-Teil dieser Datei enthält die Installationsroutine, die den Startpfad (zur Verwendung in der Infektionsroutine), Hooks INT 21h (V86-Interrupt-Kette), INT 21h-Handler, Infektionsroutine und Virus-DOS-EXE-Code abruft und speichert. Der Virushandler INT 21h fängt drei Aufrufe ab: Load and Execute (4B00h), Terminate (4C00h) und Change Directory (3Bh). Wenn eine Datei ausgeführt wird, speichert der Virus nur seinen Namen und gibt die Kontrolle zurück. Die Infektionsroutine erhält die Kontrolle über Anruf beenden. Zuerst überprüft der Virus den Dateinamen. Es infiziert die Dateien nur auf C: Laufwerk und infiziert nicht die Dateien SCAN . , F-PR . , TB . (SCAN, F-PROT, ThunderByte-bezogene Programme) sowie Dateien mit dem Namen enthält 'V' Buchstaben oder Ziffern. Der Virus infiziert auch keine Dateien mit einer Länge von weniger als 7167 Bytes. Der Virus öffnet dann die Datei, liest und prüft den Header. Der Virus überprüft den EXE-Stempel (MZ bei Dateianfang) und NewExe-Flags, schlägt aber fehl und infiziert in einigen Fällen NewExe-Dateien als DOS EXE. Das kann Dateien beschädigen. Um eine doppelte Infektion zu verhindern, vergleicht der Virus das CRC-Feld (Offset 12h im EXE-Header) mit zwei Bytes – 52h 43h (ASCII "RC"). Der Virus infiziert dann die Datei auf eine Standard-Weise, die von den meisten DOS-Viren verwendet wird – er schreibt seinen Code (DOS- und VxD-Teile) an das Ende der Datei und ändert den EXE-Header (Einstiegspunkt und Stack-Initialwerte, Modulgröße und Identifikator "RC"). Um Code- / Datenzugriffsverletzungen während des Schreibens von VxD-Teilen zu vermeiden, kopiert der Virus diese aus GOLLUM.386 im Startpfad, der während der Installation von Virus VxD gespeichert wurde. Die Infektionsroutine ist abgeschlossen und der Virus schließt die Datei sowie die Dateiattribute und den Datums- und Zeitstempel der Datei. Triggerroutinen Bei der Installation am 4. Juni sendet der Virus eine Systemmeldung mit dem Text, der Windows dazu zwingt, diesen Text als Systemfehlermeldung anzuzeigen: GoLLuM ViRuS von Griyo / 29A Tief unten am dunklen Wasser lebte der alte Gollum, ein kleiner Schleimpilz Kreatur. Ich weiß nicht, woher er kam und wer oder was er war. Er Es war ein Gollum – dunkel und dunkel bis auf zwei große, runde, blasse Augen in seinem dünnen Gesicht. JRR ToLkieN … Der HoBBit Drücken Sie eine beliebige Taste, um fortzufahren Bei Auswahl eines Verzeichnisses (INT 21h Change Directory call) erhält der Virus den System-Timer und erstellt abhängig von seinem Wert (mit der Wahrscheinlichkeit 1/256) die GOLLUM.EXE-Datei im aktuellen Verzeichnis und kopiert dessen VxD GOLLUM.386 dorthin. Wenn diese EXE-Datei unter DOS ausgeführt wird, zeigt die DOS-Stub-Routine Folgendes an: GoLLum! Um die Erkennung durch Antiviren-Integritätsprüfer zu verhindern, löscht der Virus seine Datenbanken: ANTI-VIR.DAT, CHKLIST.TAV, CHKLIST.MS, AVP.CRC, IVB.NTZ. Der Virus enthält auch die Zeichenfolgen: GoLLuM ViRuS für Microsoft Windows von GriYo / 29A GPTrap_DDB
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.Win16.Gollum

Technische Details

Infizierte DOS-EXE-Datei

Virus in der VxD-Datei

Triggerroutinen