DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win16.RedTeam

Kategorie Virus
Plattform Win16
Beschreibung

Technische Details

Dieser Virus infiziert Windows EXE-Dateien (NewExe) und sendet sich per Eudora-E-Mail an das Internet – es ist der erste bekannte Virus, der Windows infiziert und über das Internet verbreitet. Um Dateien zu infizieren, bleibt der Virus im Windows-Speicher und infiziert NE-Dateien, die ausgeführt werden. Um Eudora-E-Mails zu infizieren, analysiert der Virus das interne Format der Mail-Datenbank und fügt "infizierte" Nachrichten hinzu. Der Virus kann nur dann auf das Internet übertragen werden, wenn das Eudora-E-Mail-System auf dem Computer installiert ist, aber Empfänger infizierter Nachrichten können ein beliebiges Standard-E-Mail-System verwenden, nicht nur Eudora.

Natürlich kann der Virus nicht automatisch von einer infizierten Nachricht ausgeführt werden. Es ist nicht in der Lage, das System zu infizieren, wenn eine infizierte Nachricht geöffnet und gelesen wird. Um den Virus zu verbreiten, muss der infizierte EXE-Anhang extrahiert und ausgeführt werden. Um genau das zu tun (um die angehängte Datei zu extrahieren und auszuführen), überzeugt der Text der Nachricht den Benutzer.

Der Virus wurde nicht in freier Wildbahn gefunden, aber wenn er veröffentlicht wird, kann er als eine echte Gefahr für das globale Computernetzwerk erscheinen, da er sich selbst verbreitet und das populärste Betriebssystem (Windows) und eines der beliebtesten E-Mail-Systeme (Eudora ).

Die Länge des Viruscodes und der Daten beträgt 4766 Bytes. Der Virus wurde nach Textzeichenfolgen im Virenkörper benannt (sie sind in infizierten Dateien verschlüsselt):


<< – RED TEAM – >> (C) Der Seelenmanager.
Hergestellt in Australien – 06.97.
Also, Herr Kurtzhals – Kann F / Win dem Roten Team folgen?

EXE infizieren

Beim Infizieren von NewEXE-Dateien erstellt der Virus dort kein neues Segment – er berechnet die Adresse des Code-Segments, verschiebt den Rest der Datei und schreibt sich selbst in diese Höhle. Der Virus erhöht die Größe des Codesegments und bleibt daher als Teil des Programmcodes bestehen. Der Virus behebt auch notwendige Felder in NE-Kopf- und Verschiebungstabellen. Der Virus ändert dann die Anfangsadresse des Einstiegspunkts oder patcht Adressen von Systemroutinen im Falle von KRNL286 / 386.EXE.

Wenn eine infizierte Datei in einer nicht infizierten Umgebung ausgeführt wird, übernimmt der Virus die Kontrolle und sucht nach dem Win16 Kernel-Modul (KRNL286.EXE oder KRNL386.EXE). Wenn diese Datei gefunden wird, wird der Virus geöffnet und infiziert. Der Virus ändert die Einstiegspunktadresse nicht, er ändert stattdessen Adressen von WINEXEC- oder INITTASK-Routinen. Im Falle von Windows 3.xx setzt der Virus die neue Adresse der WINEXEC-Routine, im Fall von Windows95 / NT führt der Virus dasselbe mit der INITTASK-Routine aus (weil Windows95 / NT WINEXEC nicht aufruft).

Zur Trennung von KRNL 86.EXE-Modulen (Windows 3.xx oder Windows95 / NT) verwendet der Virus den Namen, wenn er die CALLPROC32W-Funktion exportiert, er stellt nur in 32-Bit Windows95 / NT dar.

Der Virus gibt dann die Kontrolle an das Host-Programm zurück und führt keine anderen Aktionen aus. Bei der ersten Ausführung hinterlässt der Virus keinen Code im Systemspeicher – er infiziert nur das Kernel16-Modul von Windows.

Speicher resident gehen

Wenn Windows mit infiziertem Kernel geladen wird, bleibt der Virus als Teil des Kernels im Systemspeicher – dazu ist keine spezielle Aktion erforderlich, da der Code des Virus im selben Codesegment wie die Routinen des ursprünglichen Kernels liegt. Der Virus führt auch keine Aktion aus, um Systemereignisse zu haken, weil sie bereits süchtig waren, während die Infektion – die Adresse von WINEXEC oder INITTASK bereits auf den Virus-Handler zeigt.

Unter Windows 3.xx hakt der Virus WINEXEC, also infiziert er Dateien, die ausgeführt werden. Der Virus macht das auf ziemlich clevere Art und Weise – er übergibt sofort die Kontrolle an den ursprünglichen WINEXEC-Handler und infiziert dann eine Datei im Hintergrund, dh es gibt keine Verzögerung, wenn die Anwendung in einer infizierten Umgebung ausgeführt wird. Das ist ziemlich wichtig für den Virus, weil normalerweise Windows 3.xx auf einem alten langsamen PC installiert ist und Verzögerungen bei der Ausführung einen Benutzer warnen können.

Unter Windows95 / NT hakt der Virus INITTASK, so dass er die Kontrolle abfängt, wenn sich Programme im System registrieren. Der Virus bekommt dann mit Hilfe der GetExePtr-Funktion Modulgriffe für alle NE-Anwendungen, die aktiv sind und sie infiziert.

Infizierte E-Mail

Beim Infizieren einer Datei mit der Wahrscheinlichkeit 1/8 (abhängig vom Schlüssel, der zum Verschlüsseln von Textzeichenfolgen verwendet wird) ändert der Virus seinen Code, so dass die infizierte Datei eine infizierte E-Mail-Nachricht in den Eudora-Postausgang fallen lässt. Wenn eine solche Datei in einem Verzeichnis ausgeführt wird, in dem Eudora-Datenbanken abgelegt sind, öffnet der Virus Eudora-Datendateien: NNDBASE.TOC, OUT.TOC, OUT.MBX. Die erste Datei ("Nick names database") wird vom Virus verwendet, um Namen von Empfängern zu erhalten, an die der Virus eine infizierte Nachricht sendet. Die infizierte Nachricht wird in OUT.MBX (Outbox-Datenbank) platziert und die erforderlichen Referenzen werden in die OUT.TOC-Datei gestellt.

Die Nachricht selbst hat ein Thema "Rotes Team", enthält den Text und die angehängte EXE-Datei. Der Text sieht wie folgt aus:


————————————————– ——————–
Hallo!
Ich dachte nur, ich würde dich vor einem zerstörerischen neuen E-Mail-Virus warnen.
Hier sind einige Informationen:
> Der "Red Team" -Virus ist ein komplexer neuer Computervirus, der sich über das Internet verbreitet
> das Microsoft Windows-Betriebssystem und Internet-E-Mail. Obwohl
> Es ist nicht der erste Virus, der sich per E-Mail verbreitet (das war "Good Times"),
> Der Rote-Team-Virus ist in seinen zerstörerischen Fähigkeiten nicht entlarvt.
> Darüber hinaus ist das Virus äußerst häufig – es war bereits
> berichtet in weiten Teilen Westeuropas, den USA, Russland, Australien und
> Japan. Kurz gesagt, überall.
>
> Wir bei QUEST haben mehrere Wochen damit verbracht, dieses Virus zu analysieren, und sind stolz darauf
> anzukündigen, dass wir endlich eine Heilung haben! Das Programm mit dem Namen "K-RTEAM"
> (Red Team töten), kann in jeder Microsoft Windows Umgebung ausgeführt werden, und
> wird den Red-Team-Virus zuverlässig erkennen (und ggf. entfernen)
> Ihre Systempuffer.
>
> –
> Julia Blumin
> QUALCOMM Enterprise Softwaretechnologien
> World Wide Web: http://www.qualcomm.com
Der Grund, warum ich dachte, ich sollte dich warnen, ist, dass wir vor kurzem einen Einlauf hatten
mit diesem Biest. Glücklicherweise gelang es uns, eine Kopie des ausgezeichneten zu bekommen
"K-RTEAM" Programm vor der Zerstörung begann wirklich. Nur für den Fall
Sie sollten das gleiche Unglück erleiden, ich habe dieses Programm für eingeschlossen
Gleichfalls.
Tschüss!
PS: Stellen Sie sicher, dass Sie alle Ihre Freunde vor dieser neuen Bedrohung warnen!
————————————————– ——————–
Dieser Text im Virenkörper ist komprimiert, so dass das Virus es vor dem Speichern in Eudora outbox dekomprimiert. Die angehängte EXE-Datei hat einen NE-Header und heißt K-RTEAM.EXE ("Kill Red Team"), sie hat eine Länge von 6351 Bytes. Es ist ein infiziertes Do-nothing-Programm (der Virus erstellt es auf dem Laufwerk C: Laufwerk – C: K-RTEAM.EXE), das nur den Virus auf dem Computer verbreitet. Am Kopf und am Ende dieser Datei befinden sich die Textstrings:

K-RTEAM – Rotes Team Anti-Virus
K-RTEAM
Red Team Virus gefunden!
Virus entfernen?
Virus entfernt!
Virus konnte nicht entfernt werden!
Der Virus sendet keine Nachrichten zweimal von demselben infizierten Computer. Dazu erstellt der Virus beim Senden infizierter Nachrichten die Datei RTBASE.TOC. Beim nächsten Mal sucht der Virus nach dieser Datei und beendet die E-Mail-Infektion, wenn diese Datei im Verzeichnis angezeigt wird.

Im Labor

Der Virus repliziert sich unter Windows 3.xx und hatte während der Experimente im Labor keine Nebenwirkungen – alle Dateien wurden korrekt infiziert, die Programme waren nicht beschädigt und Windows zeigte keine Warn- / Fehlermeldungen an.

Der Virus hat seinen Dropper auch im Eudora-Postausgang ohne Probleme gespeichert. Die infizierten Nachrichten wurden dann über das Internet gesendet und korrekt empfangen.

Unter Windows95 / NT hat der Virus ein Problem – er kann KRNL386.EXE nicht infizieren und kann sich daher nicht resident installieren. Der Fehler ist ziemlich dumm – der Virus reserviert Word (DW) für die Variable "NE Header Offset", aber verwendet es als DoubleWord (DD). Das zweite Wort dieses DoubleWord ist Windows-Version Flag: 0 wenn Windows3.xx, FFFFh wenn Windows95 / NT. Unter Windows95 / NT bekommt der Virus also einen falschen Wert von dieser Variable.

Trotzdem funktionieren die unter Windows 3.xx infizierten Dateien problemlos unter Windows95 / NT und infizieren möglicherweise die Eudora-Datenbank sowie unter Windows 3.xx. Außerdem kann dieser dumme Bug leicht behoben werden und eine Windows95-kompatible Version könnte vom Virenautor veröffentlicht werden.


Link zum Original