Suche Virencsanner für DOS

Du hast eine Frage aber bist neu im Thema?
Benutzeravatar
Xaar
DOS-Kenner
Beiträge: 450
Registriert: Di 22. Jan 2008, 14:57
Wohnort: Łužyca

Re: Suche Virencsanner für DOS

Beitrag von Xaar »

Hallöchen!

Da kann ich aus eigener Erfahrung von dieser Woche berichten: Die hier installierten Microsoft Security Essentials haben bei einer alten Diskette hier einen alten Bekannten gefunden: DOS/Parity_Check. Obwohl der bei Windows 7 keinen Schaden anrichten dürfte (und auch nicht bei XP), wurde er dennoch gefunden...

Aber mal eine andere Frage: Gibt's irgendwo die aktuellste Version von F-PROT und den neusten Definitionen archiviert? Hab' ein paar alte Disketten, die ich durchchecken will...

Grüße, Xaar.
Atari PC3 - Compaq Portable III & 386 - IBM 5140 & 5155 & 5160 & 5162 & 5170 - IBM PS/2 30 & 55sx & 56 486SLC2 & 70 386 & 76i & 77 486 & 80 - Robotron A7100 & CM1910 & EC1834 - Soemtron PC286
Multisync
MemMaker-Benutzer
Beiträge: 71
Registriert: Mo 22. Jun 2015, 09:42
Wohnort: Grasbrunn ( bei München)

Re: Suche Virencsanner für DOS

Beitrag von Multisync »

Ich archiviere seit mehr als 15 Jahren originale DOS und Win16 Software. Das eine oder andere Original hatte mal einen "Form" oder "Parity" Virus im Bootsektor. Die beiden Viren-Rentner können einer DOS-Installation ganz schön zusetzen. Aber ein McAfee 2.6 mit Definitionen aus dem Jahre 1996 wird problemlos damit fertig. Recht viel mehr ist auf einem reinen DOS-Rechner bisher auch noch nicht untergekommen, und ich hatte im Zuge der Archivierung schon viele tausend Disketten in der Hand.
ranger85

Re: Suche Virencsanner für DOS

Beitrag von ranger85 »

Gegen DOS-Viren auf DOS-Rechnern (bzw. überwiegend beim testen von neu erhaltenen Fremddisketten und anderen Datenträgern) nutze ich F-Prot 2.28 aus dem Jahr 1998. Das war schon so ziemlich am Ende der DOS-Viren Ära und damit für meine zwecke vollkommen ausreichend, der findet und eliminiert alles, was an DOS-Viren so Rang und Namen hatte. Parity_Boot, Form, Sampo, etc.

@Multisync:
Hast du in deinem Softwarearchiv evtl. etwas aus diesem Beitrag da?
http://www.dosforum.de/viewtopic.php?f= ... ilit=doors
Benutzeravatar
Heilbar
DOS-Übermensch
Beiträge: 1678
Registriert: Mi 5. Mär 2014, 07:25
Wohnort: Hamburg

Re: Suche Virencsanner für DOS

Beitrag von Heilbar »

Und wieder.....da denkt man an nichts Böses
und will am Tag der Deutschen Einheit aus ein paar Spielständen, die Midis extrahieren und aufnehmen
....und schon wird man aufgehalten.

Wo hat der sich bloß versteckt....und wie heißt du überhaupt...Ich mach dem jetzt mit lauter Musik den Garaus!!! :-) :twisted:
Boot-Virus.jpg
Boot-Virus.jpg (328.11 KiB) 11336 mal betrachtet
ranger85

Re: Suche Virencsanner für DOS

Beitrag von ranger85 »

Die Kombo: Disk-Manager & Bootvirus ist durchaus fatal. Beide "wohnen" im MBR...

Musst wahrscheinlich den MBR komplett neu machen von einer sauberen Bootdisk aus und dann deinen Diskmanager wieder installieren, sonst wirst du den nie los. (Und natürlich die Dateien die den Virus enthalten auch bereinigen lassen duch einen Virenscanner)
LeChris

Re: Suche Virencsanner für DOS

Beitrag von LeChris »

Ich hab noch den alten DOS-Virenscanner "TNTVIrus" da, oder evtl. gibts den noch im www...
Benutzeravatar
HSM
Kommandozeilenfetischist
Beiträge: 162
Registriert: Do 10. Feb 2022, 20:51

Re: Suche Virencsanner für DOS

Beitrag von HSM »

Hi, ich habe ein ganz ähnliches Problem.
Auch einer der Delwin-Viren hat sich mit der Duke Nukem Shareware eingeschlichen.
Den Kill Delwin habe ich mir bereits aus dem Link geholt.
Allerdings und das wäre an dieser Stelle meine Frage läuft auf dem betroffenen 486er ein Ontrack Laufwerks-Programm,
Welches sich vor dem Bootsektor einrichtet.
Das lässt sich nicht mit Fdisk /MBR verschieben und da hat sich der Delwin eingenistet.
Kommt man an den Teil des Boot-Sektors irgendwie ran ohne seine Aufteilung zu verlieren?
device=USBASPI.SYS
Benutzeravatar
HSM
Kommandozeilenfetischist
Beiträge: 162
Registriert: Do 10. Feb 2022, 20:51

Re: Suche Virencsanner für DOS

Beitrag von HSM »

Kommt man da wirklich nicht ran mit Ptedit, oder mit Diskedit.exe von Norton?
Irgendwie geladen mit 'ner Schreibgeschützten Disk?
Ich bin kein Programmierer )-:
device=USBASPI.SYS
Benutzeravatar
Daryl_Dixon
DOS-Übermensch
Beiträge: 1347
Registriert: Di 30. Jun 2015, 19:35

Re: Suche Virencsanner für DOS

Beitrag von Daryl_Dixon »

HSM hat geschrieben: Mi 25. Mai 2022, 18:09 Kommt man an den Teil des Boot-Sektors irgendwie ran ohne seine Aufteilung zu verlieren?
vielleicht kann Dir da das Tool WipeMBR weiterhelfen.
Damit kann man den ausführbaren Codebereich des MBR leeren wobei die Partitionstabelle intakt bleibt.
http://support.fccps.cz/download/adv/frr/wipembr.html

vG; Daryl_Dixon
Benutzeravatar
HSM
Kommandozeilenfetischist
Beiträge: 162
Registriert: Do 10. Feb 2022, 20:51

Re: Suche Virencsanner für DOS

Beitrag von HSM »

Vielen Dank!
Das ist auf jeden Fall ein Ansatz. Hoffnung macht der Satz von dem mir unbekannten Tschechischen Herrn Rysanek
"Or to delete the executable code from the MBR, while keeping the partition table intact (= the original purpose and motivation)."
Ich dachte (naiver?) Weise, da der Virus 'DELWIN' sich ja sogar beim Auslesen mit Debug zu erkennen gibt, gibt es einen Programierkniff, den da wieder raus zu lösen aus dem Teil des MBR, wo auch das Ontrack sitzt.
Ich werde dir berichten ob das Programm da ein Zugang hat.
Danke nochmals.
device=USBASPI.SYS
Benutzeravatar
HSM
Kommandozeilenfetischist
Beiträge: 162
Registriert: Do 10. Feb 2022, 20:51

Re: Suche Virencsanner für DOS

Beitrag von HSM »

Jetzt gibt es zusätzlich noch eine Möglichkeit dem Virus bei zu kommen.
Fdisk /MBR greift ja nur nach dem Platten-Partitionierer 'Ontrack Disk Manager 9.57' der übrigens im Download-Bereich von Phil zu finden ist und nur auf einem echten XP-Rechner eine Bootdisk erstellt (Kompatibilitäts-Modus geht nicht).
In dieser Version versteckt sich etwas ähnliches wie Fdisk /MBR.
Ontrack.jpg
Ontrack.jpg (1.3 MiB) 4377 mal betrachtet
Das hab ich jetzt mal gemacht und das Antiviren Programm K_delwin findet im Anschluss erstmal wirklich nichts mehr.
Das Programm von Dixon -WipeMBR ist erstmal zu studieren. :-)
wipembr.jpg
wipembr.jpg (935.1 KiB) 4377 mal betrachtet

Ich Verstehe nicht genau wie die Struktur und die Boot-Programmierung im Sektor 1 Spur 0 Kopf 0 im Offset 0bh und 1eh
überhaupt auslesbar ist. :-)
Übrigens erkennt das NSSI immer (noch) ein Virus. Aber dem will ich nicht so recht glauben.
Hier mal das Dokument von K_Delwin:

---[ 5 DELWIN ]-------------------------------------------------

Name: Delwin.1759, Goblin.1759
Virentyp: Residenter EXE/MBR-Infektor, Verschlüsselt,
Stealth
Größe: EXE-Programme 1759 Bytes
Sektoren: 1+4+1 Sektoren (MBR/Code/Kopie)
Infiziert: EXE-Programme ("EXE"-Endung und "MZ"-Test) sowie
den MBR
Symtome: Bildschirmflackern, falsche DOS-Version wird
gemeldet
Status: In Deutschland ist die 1759 Variante stark
verbreitet.

Varianten: Von Delwin existieren zur Zeit zwei Varianten,
einmal Delwin.1199 der auch als Goblin.1199 bekannt ist und
Delwin.1759. Nur die 1759-Byte Variante ist in Deutschland
sehr stark verbreitet, sie unterscheidet sich von der 1199-
Byte Variante durch die Datei-Stealthfunktionen, die in der
kürzeren Variante fehlen. Delwin.1759 enthält den Text
"DELWIN", Delwin.1199 den Text "GOBLIN".

Infektionsmechanismus: Wird ein mit Delwin infiziertes
Programm gestartet, entschlüsselt sich der Virus zunächst
einmal im Speicher. Der Code ist nur mit einer statischen
Verschlüsselungsroutine kodiert (XOR [1199] bzw. SUB
[1759]), der Virus kann also leicht anhand einer Signatur
gefunden werden. Mit der selbstdefinierten Interrupt 21h-
Funktion AX=FD1Ch erkennt der Virus, ob er bereits im
Speicher aktiv ist (Rückgabewert: AX=02E3h). Die 1199-
Variante verwendet die Werte: AX=E67E -> AX=1981? Ist Delwin
bereits aktiv, überspringt er seine Installationsroutine und
springt sofort zum ursprünglichen Programmstart des
infizierten Wirtprogramms. Ist der Virus noch nicht aktiv im
RAM, ermittelt Delwin per INT 21h, AH=52h das DOS-Segment,
installiert eine eigene INT 1-Routine (CPU-Einzelschritt-
modus) und versucht durch Tracing den ursprünglichen INT 13h
(Festplatte/ Diskette) zu ermitteln. Als Dummy-Funktion für
den Tracer benutzt Delwin ein Lesezugriff auf den
Partitionssektor. Anhand des eingelesenen Sektors erkennt
Delwin ob die Partition bereits infiziert wurde, ist das
nicht der Fall verseucht der Virus nun den Partitionssektor.
Der ursprüngliche Sektor wird nach Spur 0, Kopf 0, Sektor 2
kopiert (0/0/2), der Viruscode (4 Sektoren) nach 0/0/3.
Eventuell. dort vorhandene Daten, wie etwa ein
Partitionsmanager werden hierbei überschrieben. Der MBR-Code
wird infiziert, indem die ersten 46 Bytes durch Viruscode
ersetzt werden (Loader). Bevor der Viruscode in die Spur 0
geschrieben wird, ermittelt der Virus das aktuelle
Systemdatum, ermittelt ein Datum ungefähr 5 Monate in der
Zukunft und speichert diesen Wert im zu sichernden Code ab.
Zum Ermitteln des Wertes liest der Virus die Werte der
internen Uhr direkt aus dem CMOS aus.

Nachdem das Infizieren abgeschlossen wurde, wird das
Wirtprogramm gestartet. Delwin wird durch das Starten von
infizierten EXE-Programmen nicht resident. Wird der Rechner
neu gestartet, bleibt der Viruscode aus dem Partitionssektor
resident im Speicher. Der DOS-Speicher wird dadurch um 2048
Bytes reduziert und der Interrupt 13h (Sektorzugriffe)
belegt. Der Virus wartet dann solange bis DOS geladen wird
(INT 21h-Segment unterhalb von 800h) und klinkt sich dann in
den INT 21h (Dateistealth, Infektion), INT 13h
(Sektorstealth-Routinen) und INT 1Ch (Schadensfunktion) ein.
INT 1Ch wird nur dann belegt, wenn das beim Infizieren der
Partition festgelegte Systemdatum erreicht ist. Die zweite
INT13h-Routine beinhaltet die Stealthfunktion für den
Partitionssektor, sämtliche Zugriffe auf den infizierten MBR
werden auf die bei Spur 0, Kopf 0, Sektor 2 gespeicherte
saubere Kopie umgeleitet. Wichtig: Ist der Virus aktiv kann
also der verseuchte Partitionssektor weder erkannt noch
gereinigt werden!

Infektionsstrategie: Delwin infiziert Programme beim Öffnen
(AH=3Dh, 6Ch), beim Umbenennen (AH=56H), Starten (AX=4B00h)
sowie unter bestimmten Umständen beim Setzen des Dateidatums
(AX=5701). INT 24h wird ausgeschaltet um Fehlermeldungen auf
schreibgeschützten Disketten zu vermeiden. Der Virus
infiziert EXE-Programme, wobei Programm die mit "SC" (SCAN)
und "VI" anfangen nicht infiziert werden. Der Virus
infiziert nur EXE-Dateien, die ".EXE" als Dateiendung haben,
prüft aber auch noch ob die EXE-Signatur "MZ" vorhanden ist.
Zusätzlich muß das Programm länger als 2048 Bytes sein und
darf keine internen Overlays enthalten (Windows-EXE werden
somit nicht infiziert). Der Virus setzt das Sekundenfeld von
infizierten auf 62 und benutzt diesen Wert als
Selbsterkennung beim Infizieren und für die
Stealthfunktionen. Der Virus umgeht die Dateiattribute von
DOS und behält bis auf die Änderung des Sekundenfeldes auf
62 die alte Dateiuhrzeit bei. Ist der Virus aktiv im
Speicher filtert er alle Zugriff auf infizierte Programme
so, das die Dateien sauber erscheinen und den alten Inhalt
und die alte Dateilänge haben. Die Funktion zum Korrigieren
der Dateilänge prüft ob das aktuell laufende Programm im
MCB-Namen den Eintrag "DS" enthält. Damit wird vermieden das
CHKSDK durch die Stealthfunktionen des Virus irrtümlich
Fehler im Dateisystem findet ('Ungültige Programmgröße').

Schadensfunktion: Wird ein Programm mit dem Namen "WIN????"
gestartet (Windows, WIN.COM) gibt der Virus bei der DOS-
Funktion AH=30h (DOS-Versionsnummer ermitteln) die DOS-
Version 2.10, Hersteller IBM an. Dieser Wert wird
normalerweise von OS/2 zurückgeliefert, Windows bricht
deshalb den Startvorgang ab. Die Zeitgeber Routine von
Delwin verändert in Abhängigkeit des Systemzeitgebers (Daily
Counter bei 40:6Ch) das Register 0Fh des CRT Controllers.
Das Resultat ist ein schnelles vertikales Flackern der
Bildschirmanzeige.

Entfernung: Der Virus muß zuerst aus dem Partitionssektor
entfernt werden. Dies erfolgt durch das Programm MBR-Kill.
Anschließend von einer virenfreien Diskette booten und den
Delwin-Killer "K-DELWIN" mit folgenden Parametern starten:

k-delwin c: -r -a
device=USBASPI.SYS
Benutzeravatar
Daryl_Dixon
DOS-Übermensch
Beiträge: 1347
Registriert: Di 30. Jun 2015, 19:35

Re: Suche Virencsanner für DOS

Beitrag von Daryl_Dixon »

:like: ich denke da darf man Dir gratulieren !

Danke auch dass Du nicht nur das Problem sondern auch die Lösung postest. So hilfst Du allen die in der
Zukunft ein ähnliches Problem haben und dann diesen Thread finden. Das ist wirklich vorbildlich!

vG; Daryl_Dixon
Benutzeravatar
HSM
Kommandozeilenfetischist
Beiträge: 162
Registriert: Do 10. Feb 2022, 20:51

Re: Suche Virencsanner für DOS

Beitrag von HSM »

:-) Obwohl ich hoffe, dass bald keiner mehr das Problem haben wird. ;-)
Aber es ist so, wie mit Vielem innerhalb dieses Hobbies.
Erst stört ein Virus und dann versteht man plötzlich seine Festplatte :lol:
device=USBASPI.SYS
Antworten