CARA
Alias:
Strain: --
erkannt, wenn:
wo:
Klassifizierung: COM-Infektor, wohnhaft
Länge: 3 Kilobyte (s) + 256 (ORIGINAL Absatz (n) S Absatz (n) VON ZEIT DER INSTALLATION)

Voraussetzungen
Operating System (n): MS-DOS
Version / Release: Alle Modelle
Computer-Modell (n): PC's
Caroname: CARA

Attribute
Einfache Identifizierung:
Art der Infektion:
Der Virus hängt sich an den Dateien Selfrec im Speicher: Jede der Interrupt-Vektoren 61h64h Nicht-Null Selfrec auf der Festplatte: Die Datei [4] == "CARA"

Infektion Technik:
Infektion Trigger: (Open | | GET / set_attr | | Laden | | Umbenennen) & & (4096 <= Dateigröße <32767)
Speichermedien betroffen:
Interrupts Haken: 21/00, 21/3D, 21/43, 21/4B, 21/4C, 21/56, 20, 13/02, 24
Stealth:
Tunneling / Selfprot:
Oligo / Polymorphismus: --
Encoding Methode:
Schaden: Transient: - Ständige: --
Schäden Trigger: Transient: - Ständige: --
Besonderheiten: Das Virus befindet sich vor der letzten MCB Interrupt-Vektoren 61h64h verwendet werden, um den früheren vectorsfor Interrupts 21h, 20h, 13h und 24h Nach der Infektion die Datei Datum / timeis gelesen und sofort wieder (nicht sicher, ob dies preserveoriginal Datum / Uhrzeit) Reemplaza BootClandestinoAuto-ReproductivoAnti-Virus "ist passender für" COM "(Groß-und unbedeutend) überall in der filenamewhich wird nicht immer eine COM-Datei Int21; ah = 0 und Int20 sind trappedonce nur, auf TSR die PSP Erkennt Boot [100h] == 1B1h; 6C0h; 0CD00h; 2073h; 2020h; 0C982h Die Nutzlast überschreibt theprevious Boot-Programm und druckt die Warnmeldung Wenn noneof diese Werte gefunden, der 8 Byte auf OEM-Boot-[3] sind die overwrittenwith (hex ) Byte-Sequenz 01 34 12 25 12 8C C8 8C
Ähnlichkeiten:

Bevollmächtigte
Gegenmaßnahmen:
Standard bedeutet:

Danksagung
Lage: Virus Test Center, Universität Hamburg, BRD
Klassifikation von: David Adam, Frisk Software International
Dokumentation von: David Adam, Frisk Software International
Datum: 28793
Informationen Quelle: Caroentry (automconverter von SFreitag)