Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Bat.Winstart.297


Dieser Virus wurde nach der Datei benannt, in der sic der Virus befindet. Diese Datei beinhaltet 4 Text-Zeilen auf die
binäre Daten folgen:

@echo off
:s%r#
COPY %0.BAT C:\Q.COM>NUL
C:\Q
[binary data]

Wenn diese Datei ausgeführt wird, kopiet sich der Virus in den "COM dropper", und startet sich. Dieser "COM dropper" befindet sich
im wurzel verzeichniss auf C: mit dem Namen "Q.COM". Wenn es sich selbst installiert hat kopiert es sich in den "High Memory Area".
Dann erzeugt es die WINSTART.BAT Datei im Diskettenlaufwerk und kopiert den Virus in die neu erzeugte BAT Datei.

Danach startet er die BAT Datei.

Der Virus installiert sich wie die erste BAT Datei und heisst dann BATMAN. Die BATMAN Datei konvertiert sich wie die
erste BAT Datei in eine COM Datei:

command action
------- ------
@ECHO OFF disable the echoing
:s%r# this is the label, it is nit executed in batch
COPY %0.BAT C:\Q.COM>NUL copy the host file to C:\Q.COM
C:\Q run newly created C:\Q.COM

Die nächsten Zeilen beinhalten die binären Daten die mit 1Ah beginnen. Dieses Byte bedeutet "end-of-file", deshalb wird
der code nicht ausgeführt.

Die COM Datei wird danach ausgeführt.

Die Q.COM datei sit die Kopie der Haupt-BAT Datei. der inhalt der COM Datei beinhaltet "do-nothing" Befehle:

INC AX ; '@'
INC BP ; 'E'
INC BX ; 'C'
DEC AX ; 'H'
DEC DI ; 'O'
AND [BX+SI],AH ; ' '

Diese Befehle tuhen nichts. Der Prozessor startet diesen Teil des Viruses als HauptBefehle:

JNC Install ; 's%'
JC Install ; 'r#'

Diese Befehle schaffen die Verbindung zum binären Teil des Viruses. Dieser Teil installiert auch den speicher residenten
Teil des Viruses.

Installation in den System-Speicher

Als erstes gibt dir Virus "Are you here?" aus.

Wenn kein Eintrag mit dem Namen WINSTART im System Speicher ist, kopiert sich der Virus in den [High Memory Area (HMA)]. Der
Virus braucht nur 173 bytes, um sich in den Speicher zu installieren. Er kopiert einen Teil seines Codes in eine freie Lücke und
speichert die Adresse. Nur die infections-Routine wurde in den Speicher kopiert.

Dann bennent er die C:\Q.COM Datei in C:\WINSTART.BAT um und löscht die C:\Q.COM Datei. Es besteht das Risko, wenn WINSTART.BAT wirklich existiert,
funktioniert der "rename" command nicht. Dann wird auch die C:\Q.COM nicht gelöscht. Nach der Prozedur setzt der Virus die
Attribute der Datei C:\WNISTART.BAT auf "read-only" und löscht sich selbst.

Die Folge der Installation ist: Der Virus lässt die C:\WINSTART.BAT Datei zurück.

Der Virus beinhaltet 2 Funktionen:
1) Die "Are you here?" Funktion"
2) Die COMMAND.COM Funktion. Mit dieser funktion kann der Virus Dateien infizieren.

Die Infections-Routine kopiert den Virus in einen vorgegeben Ordner. Aber nur unter 2 Bedingungen:

1)Das vorgegebene Verzeichniss ist A: B:
2)Das vorgegebene Verzeichniss muss weniger als 50% freien Speicher haben.

Wenn alles den Vogaben entspricht erstellt der Virus am Zielverzeichniss die Datei WINSTART.BAT.
Das Erstelldatum wird auf das der Haupt-Datei umgeschrieben.








Linktipps: Abdeckplanen