home *** CD-ROM | disk | FTP | other *** search
/ Hacker / Hacker.iso / HACKER / ANTIVIR / k_grief / GRIEF.DOC < prev    next >
Text File  |  1997-05-03  |  6KB  |  126 lines
  1.       ─══[  11 GRIEF.3584  ]═══════════════════════════════════════════─
  2.  
  3.  
  4.          Aka Lucky.3584 oder Nostradamus
  5.          Ursprung: Kiev, Rußland
  6.  
  7.          Genauer Namen  steht noch  nicht fest.  Gefunden wird dieser
  8.          Virus von VSP z.Z. als Grief von anderen Antivirenprogrammen
  9.          als Nostradamus.
  10.  
  11.          Dieser Virus  wurde im Dezember 1996 in Deutschland entdeckt
  12.          und stellt  einen technisch brillanten Virus dar. Es handelt
  13.          sich hierbei  um einen  vollständigen  Tarnkappenvirus,  der
  14.          zudem polymorph verschlüsselt ist. Erkannt wird dieser Virus
  15.          im Dez.  96 nur von VirScan Plus sowie durch AVP, der in ein
  16.          paar wenigen  Dateien einen  Nostardamus.3584 findet (dieser
  17.          Virus wurde in Frühjahr dann von AVP korrekt gefunden).
  18.  
  19.          Infiziert werden COM, OV? und EXE Dateien. Der Längenzuwachs
  20.          beträgt immer  3584 (0x0E00)  Bytes. Der Virus versucht sich
  21.          im Speicher per MCB zu installieren, ist jedoch UMB Speicher
  22.          frei, so wird dieser belegt.
  23.  
  24.          Bemerkenswert ist  zudem, daß die polymorphe Verschlüsselung
  25.          Anti-Emulation Code  enthält, der  einige Virenscanner irri-
  26.          tiert. Nach  der polymorphen Verschlüsselung können noch bis
  27.          zu 3  weitere jedoch  konstante Verschlüsselungsebenen nach-
  28.          folgen. Eine  Verschlüsselungsebene  hiervon  benützt  einen
  29.          Stacktrick, der  recht wirksam gegen jeden Realmode Debugger
  30.          ist. Aus  diesen Grund  kann der  Virus nicht  mit DECOM/RVK
  31.          gereinigt  werden.  Deshalb  ist  es  auch  schwierig  einen
  32.          Virenkiller für  diesen Virus zu schreiben, weil ja bis zu 4
  33.          Verschlüsselungsebenen dekodiert werden müssen.
  34.  
  35.          Der Virus  benützt ein  Teil des Videospeichers um seine po-
  36.          lymorphe Verschlüsselungen  dort zu  erzeugen.  Wird  dieser
  37.          Teil etwa von EMM386/QEMM als Speicher verwaltet, stürzt der
  38.          Virus   natürlich    ab.   Das    Erzeugen   der    linearen
  39.          Verschlüsselung erfolgt  auf Zufallsbasis.  Hierbei wird der
  40.          Virus im  Puffer jedesmal neu reloziert. Als Mutation-Engine
  41.          wird die  EMME-3 benutzt,  die recht  guten "Trashcode"  er-
  42.          zeugt. Die  damit erzeugten  Decryptoren haben  jedoch nicht
  43.          die Qualität einer TPE-Engine. Benutzt werden alle Register,
  44.          bis auf  SP. Wie  üblich wird  je ein  Register für  Zeiger,
  45.          Zähler und  Schlüssel verwendet.  Der Schlüssel wird hierbei
  46.          modifiziert. Deshalb  kann  der  Virus  nicht  mit  X-Raying
  47.          Verfahren gefunden werden!
  48.  
  49.          COM-Dateien, die  normalerweise einen  Sprung zum Virus auf-
  50.          weisen haben  diesen Sprung ebenfalls polymorph "versteckt",
  51.          was wiederum  einige Virenscanner  irritiert.  Auch  VirScan
  52.          Plus mußte  an diese  Gegebenheit  angepaßt  werden,  findet
  53.          diesen Virus jedoch ab der Version 11.38c als Grief.
  54.  
  55.          Der Virus  hat eine  Schadensfunktion: Das Überschreiben der
  56.          Festplatte. Diese  Schadensfunktion  tritt  in  Kraft,  wenn
  57.          folgendes Datum vorliegt:
  58.  
  59.                             (Wochentag+1)*2 == Tag
  60.  
  61.          So habe  ich den Virus am Samstag den 14. Dez. 96 gestartet,
  62.          somit wurde  die Schadensfunktion gleich aktiviert, weil der
  63.          Wochentag Sa=6 und Tag=14 war.
  64.  
  65.          Tarnkappeneigenschaften: Der  Virus ist 100% Stealth, selbst
  66.          VirScan's   Live    Bait    Test    wird    umgangen!    Die
  67.          Tarnkappenfunktion wird jedoch deaktiviert, wenn ChkDsk, ein
  68.          Packprogramm    (ARJ,ZIP,LHA    etc.),    Windows,    einige
  69.          Antivirenprogramme oder  Ad-Inf gestartet  wird. Somit  wird
  70.          einer Verbreitung  über Archive Vorschub geleistet bzw. o.g.
  71.          Software umgangen.
  72.  
  73.          Weiterhin enthält der Virus Anti-Debugger Tricks, kann somit
  74.          auch nicht mit TBClean gereinigt werden. Ad-Inf Checksummen-
  75.          Tabellen werden  beim ersten  Start des  Virus gelöscht. Der
  76.          Virus ermittelt den Int 21h durch einen speziellen Trick, er
  77.          kann damit  auf das  sogenannte Tracen verzichten und umgeht
  78.          dadurch etliche Wächterprogramme!
  79.  
  80.       Virusmerkmale:
  81.         »  Virus infiziert .COM, .OV? und .EXE Programme
  82.         »  Virus infiziert Programme beim Öffnen ("Fast Infector")
  83.         »  Virus infiziert Programme beim Ausführen
  84.         »  Virus fängt das Erstellen von Programmen ab
  85.         »  Virus infiziert beim Umbenennen von Dateien
  86.         »  Virus manipuliert den Dateianfang
  87.         »  Virus hängt sich an das Ende des Programmes
  88.         »  Virus ist polymorph verschlüsselt
  89.         »  Virus benutzt Datei-Stealthfunktionen (Länge)
  90.         »  Virus benutzt Datei-Stealthfunktionen (Inhalt)
  91.         »  Virus benutzt Dateiuhrzeit als Markierung (Sekunde=60+)
  92.         »  Virus prüft auf .EXE-Programmheader ("MZ")
  93.         »  Virus prüft auf .EXE-Programmheader ("ZM")
  94.         »  Virus behält Dateidatum- und Uhrzeit beim Infizieren bei
  95.         »  Virus umgeht READ-ONLY, HIDDEN oder SYSTEM Dateiattribute
  96.         »  Virus unterdrückt Schreibschutz-Fehlermeldungen bei
  97.            Disketten
  98.         »  Virus ist speicherresident
  99.         »  Virus durchsucht/verändert die MCB-Kette (3184 Bytes)
  100.         »  Virus benutzt INT 21h,24h,13h
  101.         »  Virus ermittelt BIOS Disk-Interruptvektor für die
  102.            Schadensfunktion.
  103.         »  Virus verschiebt seinen Code im Speicher (3036 Bytes)
  104.         »  Virus überprüft das Systemdatum
  105.         »  Virus überschreibt Sektoren der Festplatte oder Diskette
  106.            (Schadensfunktion)
  107.  
  108.       Der Virus enthält folgende Texte:
  109.  
  110.            *********************************************
  111.            $-= LUCKY B.R.D 1996 PRESENTS A NEW MONSTER =-
  112.            $*********************************************
  113.            $DON∩T WORRY BE HAPPY. TJA WAS SOLL ICH GROß AN
  114.            $DIE GLOCKE HÄNGEN. NUR VIELLEICHT DAß EURE
  115.            $ADINF-TABLE JETZT ZERSTÖRT IST..TUT MIR JA SO
  116.            $LEID..ABER DAS MUßTE JETZT MAL SEIN..
  117.            $SO UND NUN NOCH VIELE GRÜßE AN MEINEN BESTEN FREUND
  118.            $[ UWE POLIAK ] ......CU......
  119.            $
  120.            COMEXEOVLOVRPROSCAEXTWEBF-PTBAICEARJRARLHAZIPTARWINVLMCHK
  121.            -=LUCKY'B.R.D 1996=-
  122.  
  123.          Beschreibung (C) 19.12.96 by ROSE Softwareentwicklung, Ralph
  124.          Roth
  125.  
  126.