Ambulance (Computervirus)

Ambulance
Name	Ambulance
Aliase	RedX, Red Cross
Bekannt seit	1990
Erster Fundort	Deutschland
Virustyp	Dateivirus
Dateigröße	796 Bytes
Wirtsdateien	COM-Dateien
Verschlüsselung	nein
Stealth	nein
Speicherresident	nein
System	IBM-PC mit MS-DOS
Programmiersprache	x86-Assembler

Ambulance ist ein Computervirus, das ab Juni 1990 Programme auf Computern mit DOS-Betriebssystem infizierte. Es wurde zuerst in Westdeutschland entdeckt.

Das Virus war darauf ausgelegt, sich eher langsam zu verbreiten, und hatte keine gezielt schädlichen Funktionen integriert. Es erreichte aber einige Bekanntheit, insbesondere da der integrierte Payload gelegentlich eine markante Animation zeigte, die einen Krankenwagen über den Bildschirm fahren ließ.

Es gab in der Folge noch zahlreichen Varianten. Die originale Version erreichte die weiteste Verbreitung.

Aliasse

Der Viruscode enthält keine Signatur. Aufgrund des Payload etablierten sich die Bezeichnungen Ambulance bzw. Ambulance Car oder RedX. Im deutschen Sprachraum wurde es auch einfach als das Krankenwagen-Virus bezeichnet. Hersteller von zeitgemäßen Antivirusprogrammen nannten das Schadprogramm häufig Ambulance.A oder Ambulance.796.A.

Versionen und Derivate

In der Folge kamen zahlreiche Versionen des Originalvirus auf, die oft nur minimale Änderungen aufwiesen. Einige der bekannten Varianten von Ambulance sind:[1]

Ambulance Car-B: Bei dieser Variante wurde im Vergleich zum Original lediglich 7 Bytes der Infektionroutine abgeändert. Die B-Version infiziert bei der Aktivierung aber random eine oder zwei COM-Dateien oder auch gar keine. Die Herkunft ist unbekannt, erste Berichte über das Virus gab es im April 1992.
Ambulance.793.A: Die Version ist speicherresident und verwendet dazu den Interrupt 21h und kann nicht nur COM-, sondern auch EXE-Dateien infizieren.[2][3]
Ambulance.795: Diese Version von Ambulance ist 795 Bytes groß. Sie infiziert bis zu zwei Dateien gleichzeitig. Datum und Uhrzeit der Wirtsdatei werden in der Verzeichnisliste bei der Infektion nicht verändert. Innerhalb des viralen Codes ist kein Text sichtbar. Auch bei dieser Variante wird bei Ausführung eines infizierten Programms gelegentlich die Animation als Payload ausgeführt. Ambulance.795 wurde im Juli 1995 entdeckt.
RedX-Any: Bei dieser Variante wurde der Trigger verändert, so dass sowohl Infektionsroutine als auch Payload jedes Mal ausgelöst werden, wenn ein infiziertes Programm ausgeführt wird. RedX-Any infiziert auch die COMMAND.COM. Die Variante wurde im Januar 1992 entdeckt.

Das 1.641 Bytes große Virus Hafenstrass 2 ist ein Dateivirus, das sich über EXE-Programme verbreitet. Gleichzeitig kann es aber auch COM-Dateien mit Ambulance infizieren. Bei seiner Entdeckung im Februar 1992 war eine derartige Chimäre aus zwei verschiedenen Computerviren ein Novum.[4]

Funktion

Animation des Payload von Ambulance

Ambulance ist ein nicht-speicherresidentes Dateivirus, das COM-Dateien auf MS-DOS-Rechnern infizieren kann.

Infektionsroutine

Ambulance wird nicht speicherresident. Es breitet sich als direct action infector aus. Das Virus infiziert nur eine COM-Datei in einem beliebigen Verzeichnis auf dem Laufwerk C:\, aber nicht die erste. Daher müssen sich mindestens zwei COM-Dateien in einem Dateiordner befinden, damit sich das Virus verbreiten kann. Da die Systemdatei COMMAND.COM bei einer Standardinstallation die erste COM-Datei im Root-Verzeichnis ist, wird sie auf diesem Weg umgangen. Ambulance infiziert Dateien als Appender, der Viruscode wird also an das Ende der Datei angefügt. An den Anfang der Datei wird ein Link auf das Virus gesetzt. Der Link ist 3 Bytes lang, die 3 Bytes des Originalcodes werden zuvor gesichert.

Datum und Zeitangabe der Dateien werden bei der Infektion nicht auf den neuen Wert gesetzt. Die Dateigröße nimmt aber um 796 Bytes zu.

In seltenen Fällen sind Programme nicht für eine Infektion mit Amulance geeignet und können dann nicht mehr ordnungsgemäß ausgeführt werden.

Payload

Ambulance ist kein absichtlich zerstörerisches Virus. Es zeigt als Payload lediglich eine Grafik an, die von einem Soundeffekt begleitet wird.

Wenn eine infizierte Datei ausgeführt wird, kann man sehen, wie sich die ASCII-Grafik eines Krankenwagens am unterem Bildschirmrand über den Screen bewegt. Dazu ertönt eine Sirene. Einige Varianten zeigen den Payload nur einmal pro Systemstart an, bei manchen Derivaten fährt der Krankenwagen gegen eine Mauer und baut einen Unfall.

Ist die Grafikkarte des infizierten Rechners nicht in der Lage, die Animation abzuspielen, wird der Payload nicht ausgelöst.

Heutige Situation

Für zeitgemäße IT-Systeme stellt das veraltete MS-DOS-Virus keine Gefahr mehr dar. Bereits im Laufe des Jahres 1990 konnten alle etablierten Virenscanner Ambulance aufspüren und infizierte Dateien bereinigen.[5]

Anfällige Systeme dürften mittlerweile nur noch in der Retrocomputing-Szene betrieben werden.

Siehe auch

Einzelnachweise

wiw.org Online VSUM Ambulance Car Virus
archive.is – securelist.com Virus.DOS.Ambulance.793.a
web.archive.org – viruslist.com DOS.Ambulance.793
wiw.org Online VSUM Hafenstrass-2-Virus
web.archive.org - turbocashuk.com Ambulance virus removal by Turbo Cash

Weblinks

f-secure Datenbankeintrag zu Ambulance
web.archive.org – codebreakers-journal.com Ausführliche Dokumentation und Erläuterung zu Ambulance (englisch)
web.archive.org – probertencyclopaedia.com Datenbankeintrag zu Ambulance
malware.fandom.com Datenbankeintrag zu Ambulance

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[1] wiw.org Online VSUM Ambulance Car Virus

[2] rchive.is – securelist.com Virus.DOS.Ambulance.793.a

[3] web.archive.org – viruslist.com DOS.Ambulance.793

[4] wiw.org Online VSUM Hafenstrass-2-Virus

[5] web.archive.org - turbocashuk.com Ambulance virus removal by Turbo Cash