|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Zerohunt-family
Zerohunt-family befällt ausschließlich COMDateien.
Zerohunt-family wird beim ersten Aufruf resident in den Speicher geladen und verfügt über einige STEALTH- Techniken, die ihm ermöglichen, unentdeckt zu bleiben.
Der Virus lädt sich in den residenten Bereich von COMMAND.COM und belegt ca. 200 Bytes an Speicher, wird aber nicht durch den DOS-Befehl CHKDSK erkannt. Weiters werden von ihm eine große Anzahl von INTERRUPT-Vektoren belegt, unter anderem der DOS-INTERRUPT 21H.
Beim Aufruf einer COM Datei prüft der Virus, ob in der zu befallenden Datei 416 Bytes mit der HEX-Folge "00" vorliegen.
Ist dies der Fall, so wird die Datei infiziert, wobei am Dateianfang eine JUMP-Anweisung zum Viruscode gesetzt wird.
Anmerkung: Der durch "00"-HEX festgelegte Bereich repräsentiert in Dateien einen STACK-Bereich.
Seine wesentlichste STEALTH-Eigenschaft besteht darin, daß er befallene Dateien "desinfiziert", solange er resident im Speicher verankert ist.
Ebenso werden Dateien, die mit dem COPY-Befehl vom befallenen Medium (etwa HARDDISK) auf ein virenfreies Medium kopiert werden, desinfiziert.
Der Virus kann nicht entfernt werden, sondern die befallenen Dateien müssen durch virenfreie Kopien ersetzt werden.
|
|
Linktipps: Stromtarife
|
|
|
|
