|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Tequila
Tequila befällt nur EXE-Dateien. Beim ersten Aufruf installiert er sich in der Bootpartition der Festplatte:
Tequila ersetzt den originären Bootbereich durch einen viruseigenen Bootsektor und schreibt den originären Bootbereich, zusammen mit seinem eigenen Code, in die letzten sechs Sektoren der Festplatte. Dabei wird er jedoch keineswegs speicherresident. Es w erden keinerlei Dateien infiziert. Die benötigten sechs Sektoren werden vom Virus von der Gesamtkapazität der DOS-Partition der Festplatte subtrahiert. Seinen eigenen Code legt er dort unverschlüsselt ab.
Wird der Rechner einer dermaßen "behandelten" Festplatte neu gebootet, so wird der Virus resident geladen und verringert den gesamten Speicher um 3K, den verbleibenden freien Arbeitsspeicher um ca. 2K.
Von nun an befällt er EXE Dateien, wenn sie exekutiert werden. Um sich vor einer allzu raschen Entdeckung durch den Benützer zu schützen, werden EXE Dateien, die ein "V" oder den String "SC" in ihrem Namen tragen, nicht infiziert, da diese Zeichen häufi g in Dateinamen von Virenscannern Verwendung finden.
Der Virus vermerkt zusätzlich im Sekundenbereich befallener Dateien den sogenannten "Timestamp" (=62-Sekunden-Eintrag, der von Vienna und einigen anderen Viren hinlänglich bekannt ist). Dieser dient ihm aber nicht als Kennung der Infektion.
Tequila hat seinen Namen von einem Textstring erhalten, der im Virus-Code in verschlüsselter Form implementiert ist:
Welcome to T.TEQUILA's latest production. Contact T.TEQUILA/P.o.Box 543/6312 St'hausen Switzerland. Loving thought to L.I.N.D.A. BEER and TEQUILA forever !" "$Execute: mov ax, FE03 / int 21. Key to go on!
Dieser Text kann im unverschlüsselten Code des Virus in den letzten sechs Sektoren der infizierten Festplatte eingesehen werden.
Der Virus ist nach einem ausgeklügelten, völlig neuartigen Mechanismus aufgebaut und ist durchgehend verschlüsselt. So ist im Virus keine einzige durchgehende, signifikante Code-Passage enthalten, sondern nach einigen Bytes Code folgt immer eine Serie von Müllzeichen, die die Auffindung und Entfernung von Tequila besonders schwierig gestalten.
Die STEALTH-Funktion besteht darin, daß der Virus die Länge befallener Dateien bei speicherresidentem Virus um die Länge seines eigenen Codes vermindert. Wird der DOS-Befehl DIR eingegeben, kann die Verlängerung infizierter Dateien nicht eingesehen werd en.
Wird der Befehl CHKDSK aufgerufen, so treten bei aktivem Virus "Dateizuordnungsfehler" auf, die keinesfalls mit dem Befehl CHKDSK /F repariert werden dürfen, da sonst die Daten restlos verloren sind.
Neben dem Befall von Dateien ist als weitere Schadensfunktion ein Fractal im Viruscode implementiert, das unter bestimmten, noch nicht näher erforschten Umständen, auf dem Bildschirm ausgegeben wird.
Ist der Virus aktiv im Speicher, so wird das von der VIRUS UTILITIES bei der Speicherüberprüfung erkannt und die Programmausführung wird mit der Meldungsausgabe, daß Tequila im Speicher entdeckt wurde, unterbrochen.
Schalten Sie den Rechner aus und booten Sie von einem virenreien, schreibgeschützten Betriebssystem.
Starten Sie sodann die VIRUS UTILITIES mit der Option "Alle Viren suchen".
Ferner werden Bootbereiche von Festplatten bytegenau reorganisiert und die Partitiongrenzen berichtigt, wobei der Virus aus den letzten fünf Sektoren der Festplatte gelöscht wird.
|
|
Linktipps: Webkatalog
|
|
|
|
