^1Analyse des WereWolf.1500.b-Virus                     ...written by Bcherwurm 

WereWolf.1500.b ist polymorph verschlsselt,  stets darum bemht, Debugger und 
Antiviren-Treiber abzuschieáen (habe ich nicht alles zu 100% verstanden!) oder 
zu  umgehen,  Stealth (d.h. man sieht ihn mit  "DIR" meistens nicht,  wenn  er 
resident ist).  Wenn man aber ein infiziertes  Programm so umbenennt,  daá die 
Extension  nicht  mit "CO" oder "EX"  anf„ngt, so wird die  Dateil„nge  wieder 
richtig  angezeigt.  Er  infiziert  nahezu alle .COM-  (Gr”áe:  3-63500  Byte;
.COM-Dateien  ber  63500  Byte  werden  per  Sekundenz„hler  als  "infiziert" 
gekennzeichnet, sind es aber nicht!) und .EXE-Programme beim Starten, wenn sie 
nicht (mechanisch!!) schreibgeschtzt sind.  Dateien, deren Namen mit "CLEAN", 
"AVP",  "TB",  "V",  "SCAN", "NAV", "IBM", "FINDV", "GUARD",  "FV"  oder  "F-"
beginnen,  werden  verschont  und der  Stealth-Mechanismus,  ebenso  wie  beim 
(infizierten!)  CHKDSK, zeitweilig ausgeschaltet. Auch ohne Virenscanner  kann 
man  die  Infektion mit MEM erkennen, welches im Falle einer  Infektion  einen 
2960  Byte (0B90h) groáen (Virus-)Speicherblock an der Obergrenze der  unteren 
640  kB anzeigt. Darin sitzt der residente  Virus, der die  Interrupt-Vektoren 
21h und 13h auf sich umbiegt.  Er markiert den Speicherblock als Systembereich 
(in MEM z.B. "Systemstapel" o.Ž.). Im residenten Virus steht der Text:

^0[WULF] (c) 1995-1996 WereWolf

Žltere  Virenscanner erkennen den WereWolf nicht. F-PROT 2.25  (Dezember 1996) 
erkennt  und beseitigt den Virus auf  Datentr„gern, findet aber die  residente 
Kopie  im Speicher nicht! Der Virus erkennt  infizierte Dateien, indem er  den 
Sekundenz„hler auf 6 setzt  (kann man z.B. im Windows 3.1-Dateimanager sehen).
Installationscheck   im  Speicher  ist  die  selbstdefinierte   "Dos-Funktion" 
AX=33B3h von Interrupt 21h. Die Antwort des residenten Virus ist ein gesetztes 
Carry-Flag  bei unver„ndertem AX-Register,  w„hrend sonst blicherweise  Carry 
unver„ndert  bleibt  und  in  AL der Wert 0FFh  zurckgegeben  wird.  Die  INT 
13h-Routine  ist  wohl  rein destruktiv.  Der Virus  inkrementiert  mit  einer 
Wahrscheinlichkeit von ca. 1:1000 vor  einem Sektor-Schreibzugriff ein Word im 
Speicher  und  dekrementiert  es hinterher wieder.  Glcklicherweise  ist  das 
betreffende  Word oft nicht im Schreibpuffer.  Falls es das aber sein  sollte, 
k”nnen schwerste Datenverluste die Folge sein!  Denkbar w„re sogar die Bildung
neuer  destruktiver Bugs im Virus durch diesen Mechanismus. Der Virus  enth„lt 
mehrere  Programmfehler  und  schlampig programmierte  Teile.  Dadurch  k”nnen 
System- und Programmabstrze eintreten. Kurz und gut: Das Ding ist gef„hrlich! 
Und auáerdem sehr ansteckend.