VIRUSNAME: NEUROQUILA.N8FALL.A URSPRUNG: Deutschland BEKANNT SEIT: Februar 1995 (?) VIRUSTYP: Residenter Retrovirus, Stealth, Polymorph GROESSE: .EXE-Programme...........: 4554-4585 Bytes Speicher.................: 4688 Bytes INFIZIERT: .COM und .EXE-Programme SCHADENSFN.: Verlangsamung des Rechners (bei DIR), Textausgabe mit Pause Maus wird deaktiviert (unter DOS), zufaellige PrintScreens basiert offensichtlich auf , obwohl die Faehigkeit Fest- platten und Disketten zu infizieren fehlt. Die Polymorphic-Engine stimmt bis auf ein paar kleinere Aenderungen mit der von ueberein. Statt dessen infiziert jetzt auch beim Schliessen von Programmen (Fast Infector) und neben EXE-Programmen befaellt jetzt auch COM-Programme. Wird ein infiziertes Programm gestartet entschluesselt sich der Virus zuerst im Speicher und ueberprueft anhand der Speicherstelle 0:4e0h ob er bereits aktiv ist. Ist das nicht der Fall belegt der Virus DOS- bzw. XMS-UMB oder falls dies nicht moeglich ist Speicher unterhalb der 640K-Grenze. Es werden 4688 Bytes belegt und als SYSTEM-Bereich markiert. Der Virus benutzt wie kein Einzelschritt-Modus (Tracer) zum Ermitteln des ursprueng- lichen INT 21h-Einsprungs sondern sucht direkt innerhalb der HMA nach den typischen Einsprung und patcht ihn so, das der Virus aufgerufen wird. Die Adresse von INT 2Fh wird auf die gleiche Methode ermittelt, der Interrupt selber aber nicht belegt. War die Suche nach den DOS-Kernel erfolgreich infi- ziert der Virus ueber die "COMSPEC="-Angabe COMMAND.COM. Bei COM-Programmen stellt der Virus die ersten drei Bytes des Programmes, bei EXE-Programmen die urspruengliche MCB-Laenge (ohne Virus) wieder her bevor er zum eigentlichen Programm springt. (MCB-Stealth) Wie ueberprueft der Virus eine Reihe von INT 21h-Funktionen: 4Bh, 4Ch, 11h, 12h, 4Eh, 4Fh, 42h, 3Fh, 3Eh, 3Dh, 32h, 44h, 25h, 40h, 48h, 4Ah, 45h und 46h. Anhand dieser Funktionen kann der Virus den Dateizugriff total kontrollieren. Programme werden beim Starten oder Schliessen infiziert, wobei intensiver Gebrauch der SYSTEM FILE TABLE gemacht wird um u.a. den Schreibzugriffmodus des geoeffneten Programmes zu aendern. Der Virus infiziert nur Programme, die entweder "COM" als Dateierweiterung oder "MZ"/"ZM" als Programmerkennung haben. Wird ein infiziertes COM-Programm mit aktivem Virus umbenannt ist die Kopie sauber. Desweiteren werden nur Programme mit mindestens 4000 Bytes und bei COM mit maximal 60000 Bytes infiziert. Zusaetzlich werden keine Programme befallen, die das aktuelle Systemdatum (Monat und Jahr) als Dateidatum haben oder "NE*.*" / "IB*.*" heissen. Programme mit internen Overlays wie etwa Windows- Programme werden ebenfalls nicht infiziert. Der Virus benutzt den Textspeicher waehrend des Infizierens als Buffer. Ist der Rechner im Graphikmodus (z.B. unter Windows) werden keine Programme befallen. verlaengert Programme um 4554-4585 Bytes, wobei sich der Virus auf die uebliche Art ans Dateiende haengt. Ist der Virus aktiv kann keine Dateiverlaengerung oder Veraenderung festge- stellt werden. Der Virus ist vollstaendig stealth, benutzt aber nicht wie viele andere Stealthviren das Dateidatum als Erkennung sondern die Datei- laenge. CHKDSK meldet keine Fehler, DIR ohne Festplattencache wird ver- langsamt. kann nur in Programmen gefunden wenn der Virus nicht aktiv im Speicher ist. Wird ein Programm mit DEBUG aufgerufen reinigt die Datei vorher komplett. Ist die Schadesroutine aktiviert zeigt der Virus nach Verlassen des Programmes folgenden Text an: > Invisible and silent - circling overland : > > \\\ N 8 F A L L /// > > Rearranged by Neurobasher - Germany > > -MY-WILL-TO-DESTROY-IS-YOUR-CHANCE-FOR-IMPROVEMENTS- Danach piepst der Rechner solange bis eine Taste gedrueckt wird. Der Virus aktiviert sich 3 Monate nachdem COMMAND.COM infiziert wurde. In zufaelligen Abstaenden fuehrt der Virus dann ein Print Screen durch und veraendert INT 33h (Maus-Unterstuetzung). Waehrend der Installation und des normalen Betriebs kontrolliert der Virus ob Antiviren-TSR's installiert sind. Ist NEMESIS (1.10) resident wird der Virus nicht aktiv, TBDRIVER und VSAFE/TSAFE werden im Speicher gepatcht und unwirksam gemacht. Wird TBSCAN gestartet schaltet der Virus den Scanner in den Kompabilitaets-Modus und kann somit umbemerkt bleiben. Werden Programme mit dem Namen "ME*.*", "MI*.*", "MF*.*", "CH*.*", "CO*.*", "SI*.*" oder "SY*.*" (z.B. MEM, SYSINFO, CHKDSK) gestartet gibt der Virus den von ihm belegten Speicher scheinbar frei; diese Programme zeigen dann die urspruengliche freie Speichermenge an. Der Virus ist polymorph verschluesselt, es koennen keine Scanstrings ange- geben werden. Die Engine entspricht der von , sie ist nur gering- fuegig modifiziert. ist zweistufig verschluesselt, wobei nur die auessere Ebene polymorph ist. Die Engine erzeugt eine Vielzahl von moeg- lichen Verschluesselungsmethoden; wobei der Zufallsgenerator stark die Zeit- und Datumsfunktionen des System benutzt. Der Virus stammt offenbar vom selben Autor wie und . VARIANTE: NEUROQUILA.N8FALL.B GROESSE: .EXE-Programme...........: 5801-5832 Bytes Speicher.................: 6048 Bytes Dieser Virus ist wesentlich groesser als die urspruengliche Variante, ent- haelt aber keine wesentlichen Veraenderungen am eigentlichen Viruscode. Die Viruslaenge liegt jetzt bei 5801 bis 5832 Bytes bei infizierten Pro- grammen und 6048 Bytes Speicherbelegung. Wie belegt der Virus den Speicher durch direkte MCB-Manipulation oder allokiert DOS bzw. XMS UMB-Speicher. Der Sprungbefehl zu dem eigentlichen Viruscode wurde von 0:4E0h nach 0:5E0h verschoben, die Methode wie der Virus sich im DOS-Kernel aktiviert ist gleichgeblieben. Die Verschluesselung in der zweiten Stufe enthaelt jetzt Anti-Debugger Tricks, wurde aber sonst nicht weiter modifiziert. Auch die eigentliche polymorphe Verschluesselung ist identisch mit der von . Neu ist das der Virus jetzt nur Programme mit mindestens 5000 Bytes infiziert, den Text "C:\NCDTREE\NAVINOC.DAT" und einen weiteren, voellig selbststaendigen Virus enthaelt. Die Pfadangabe der Pruefsummendatei von Norton Antivirus liegt in ver- schluesselter Form vor, wird allerdings seltsamerweise nicht weiter genutzt. Ebenfalls wurde die Wartezeit der Ausloesefunktion von drei auf sechs Monate erhoeht und der im Virus enthaltene, verschluesselte Text geaendert: > "Any means necessary for survival" > > * N8FALL/2XS * > > "By the perception of illusion we experience reality" > > Art & Strategy by Neurobasher 1994 - Germany > > "I don't think that the real violence has even started yet" Anhand dieser Angabe scheint diese Variante zeitlich nach dem ursprueng- lichen Virus programmiert worden zu sein, von dem auch grosse Teile an Programmcode uebernommen wurden. erzeugt keine Print Screens mehr und manipuliert auch nicht mehr Interrupt 33h (Maus), dafuer wird nach sechs Monaten Aktivitaet der zweite, im Code enthaltene Virus aktiviert. Wird ein verseuchtes Programm mit einem Debugger geladen reinigt der Virus das Programm vor dem Zugriff und zeigt nach Beenden des Debuggers obigen Text an. VIRUSNAME: NEUROQUILA.N8FALL.COMPANION URSPRUNG: Deutschland VIRUSTYP: Residenter Companion-Virus, Semi-Stealth, Fast Infector GROESSE: .COM-Programme...........: 527 Bytes Speicher.................: 672 Bytes INFIZIERT: .EXE-Programme (Indirekt) SCHADENSFN.: Keine Dieser Virus wird von sechs Monate nachdem COMMAND.COM infiziert wurde aktiviert. ist speicherresident und belegt 672 Bytes an konven- tionellen DOS-Speicher indem der letzte MCB verkuerzt und als Systembereich markiert wird. Als Selbsterkennung benutzt der Virus die Speicheradresse 0:5D2h an der bei aktivem Virus die Zahl 5832h zu finden ist. INT 21h wird auf die uebliche Methode mittels direkter Manipulation der Interrupttabelle belegt. Normalerweise wuerden Antivirus-Waechterprogramme diesen Virus beim Installieren blockieren, aber da bereits aktiv ist und seinerseits viele der bekannten Schutzprogramme deaktiviert kann sich meist ungestoert aktivieren. Der Virus infiziert Programme beim Aufruf der DOS-Funktionen "Programme Starten" und "Datei Erstellen", wobei sich der Virus allerdings auf Disketten nur beim Erstellen von Programmen verbreitet. prueft ob das gestartete oder erzeugte Programm EXE- Strukturen ("MZ"-Check) hat und erzeugt dann gleichnamige COM-Programme, die das READ-ONLY, HIDDEN und SYSTEM Dateiattribut sowie das Dateidatum auf den 1-1-94, 11:55:00 gesetzt haben. Diese erzeugten Dateien enthalten den Virus in unverschluesselter Form und sind stets 527 Bytes lang. Zu Programmen mit den Dateinamen "F-" erzeugt der Virus keine Datei, damit wird verhindert das F-PROT den Virus bemerkt. Ist der Virus aktiv versteckt er mittels Stealthroutinen bei der Anzeige von Verzeichnissen die erzeugten doppelten Dateien, verursacht allerdings keine Fehlermeldungen bei CHKDSK. Ausser Programme zu infizieren hat dieser Virus keine weiteren Schadens- funktionen. Folgender Text kann in den 527 Bytes langen Dateien gefunden werden: > -A-VICTORY-THAT-WON`T-LAST- Heuristische Scanner wie F-PROT, TBSCAN oder AVP erkennen den Virus nicht. [ (c) 1995 Stefan Kurtzhals, Virus Help Munich ]