Tequila (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Vom Tequilavirus angezeigte Textmeldung samt Grafik die eine einfache Mandelbrotmenge darstellt.

Der Tequilavirus war ein Computervirus, der sich am Anfang des Jahres 1991 weit verbreitet hat. Trotz verbesserten Schutzmaßnahmen wurden einige deutsche Unternehmen von diesem Virus „überrascht“, darunter Gymnasien und Frankfurter Großbanken. Der Virus wurde von zwei Brüdern aus der Schweiz im Alter von 18 und 21 Jahren geschrieben.

Allgemein[Bearbeiten | Quelltext bearbeiten]

Tequila ist ein sogenannter „Multi-Partite“-Virus (wird heutzutage auch in die Kategorie der Linkviren eingeordnet), der am 4. Januar 1991 entdeckt wurde. Zur heutigen Zeit ist das Risiko für Systeme mit moderner Antivirensoftware sehr gering, jedoch sind noch heute einige Systeme ohne Virenschutz ohne Wissen der Benutzer infiziert.

Charakteristiken[Bearbeiten | Quelltext bearbeiten]

Quellcode des Tequilavirus (Assembler)

Tequila ist ein speicherresidenter, verschlüsselter, versteckter und vielteiliger (multi-partite)-Virus. Seine Angriffsziele sind sowohl EXE- und COM-Dateien als auch der Master Boot Record. Auch wird eine sehr komplexe Verschlüsselungs- und Verstümmelungstechnik verwendet, um vor einer Entdeckung und Zerlegung zu schützen (Stealth-Techniken). Durch diese Maßnahmen ist es für einfache Antivirenprogramme mit Stringsuche nicht möglich, den Virus zu lokalisieren oder zu entfernen. Dies ist auch beim Master Boot Record der Fall, da er die Originalmeldungen und Partitionsdaten „bewahrt“.

Infektion[Bearbeiten | Quelltext bearbeiten]

Eine Infizierung kann entweder durch einen Bootversuch von einer verseuchten Diskette oder dem Ausführen einer infizierten EXE-Datei passieren. Bei einer Infektion schreibt der Virus eine unverschlüsselte Kopie von sich selbst in die letzten sechs Sektoren der Festplatte. Auch der Master Boot Record der Systemfestplatte wird modifiziert; daran ist zu erkennen, dass das System infiziert ist. Trotzdem ist der Virus zu diesem Zeitpunkt noch nicht speicherresident.

Nach einem Neustart wird Tequila speicherresident und schreibt sich als erste Anwendung in den Systemspeicher. Da der Virus nun speicherresident ist, kann er sich selbst vor einem Überschreiben oder Löschen schützen. Auch werden .EXE-Dateien auf dem infizierten PC infiziert mit Tequila. Die schädlichen Programmroutinen werden am Ende der Datei angehängt, ohne das Datum des Verzeichnisses oder der Datei zu ändern. Sobald eines dieser Programme gestartet wird, überprüft der Virus, ob das System bereits befallen ist und infiziert es gegebenenfalls. Die befallenen Anwendungen werden um 2,468 Bytes vergrößert, jedoch ist dies nicht mehr erkennbar, wenn der Virus resident ist. Auch der RAM-Verbrauch steigt um 3,072 Bytes an, wenn er vom DOS-internen CHKDSK-Programm angezeigt wird.

Merkmale einer erfolgten Infektion[Bearbeiten | Quelltext bearbeiten]

Dieser Text wird in die letzten Sektoren der Festplatte geschrieben und ist auch in verschlüsselter Form in den infizierten Programmdateien zu finden:

Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen/Switzerland.
Loving thoughts to L.I.N.D.A

BEER and TEQUILA forever !

$Execute: mov ax, FE03 / int 21. Key to go on!

Vier Monate nach der Infektion und jeden Monat danach zeigt Tequila diesen Text sowie eine Grafik an:

Execute: mov ax, FE03 / int 21. Key to go on!

Welcome to T.TEQUILA's latest production.
Contact T.TEQUILA/P.o.Box 543/6312 St'hausen Switzerland.
Loving thought to L.I.N.D.A.

BEER and TEQUILA forever !

Wird eine Anwendung mit diesem Abschnitt ausgeführt, wird der Text, der in den letzten Sektoren einer Festplatte zu finden ist, angezeigt.

Sonstiges[Bearbeiten | Quelltext bearbeiten]

Den meisten Antivirenprogrammen ist es nicht möglich, den Virus in jedem Dateityp zu entdecken und zu entfernen. Die größte Gefahr geht davon aus, dass durch den Virus Dateizuordnungsfehler von CHKDSK gemeldet werden. Wenn versucht wird, diese mit CHKDSK /F zu beheben, können Daten zerstört werden. Weitere Gefahren sind beschädigte Dateiverbindungen, beschädigte Daten-Dateien, beschädigte Programm- und Overlay-Dateien als auch Änderungen am Laufzeitverhaltens des Systems.

Eine weitere Besonderheit ist das Löschen der Prüfsummen, die von dem Antivirenprogramm McAfee VirusScan an die Dateien angehängt wurden.

Varianten[Bearbeiten | Quelltext bearbeiten]

  • Tequila.A
  • Tequila.C
  • Tequila.D
  • Tequila.F

Weblinks[Bearbeiten | Quelltext bearbeiten]