Form (Computervirus)
Form | |
---|---|
Name | Form |
Aliase | Form18, Forms, FORM.A |
Bekannt seit | 1990 |
Erster Fundort | Schweiz |
Virustyp | Bootsektorvirus |
Dateigröße | 512 KByte |
Wirtsdateien | Bootsektor |
Verschlüsselung | nein |
Stealth | nein |
Speicherresident | ja |
System | MS-DOS (x86-PC) |
Info | Infiziert nicht den MBR |
Form ist der Name einer Gruppe von Bootsektorviren für DOS-Rechner. Das originale Virus wurde erstmals im Juni 1990 auf einem Computer in der Schweiz entdeckt. Es wird vermutet, dass der Urheber aus dem Kanton Zug stammt.[1]
Form gehörte Anfang bis Mitte der 1990er Jahre zu den verbreitetsten Computerviren weltweit. Die letzte Meldung war im Jahr 2006.[2][3]
Varianten und Derivate
[Bearbeiten | Quelltext bearbeiten]Aufgrund der Bekanntheit und der hohen Verbreitung des Virus gibt es mehrere bekannte Varianten. Als In-the-wild-Viren sind folgende Versionen bekannt:
- FORM.A oder meist einfach nur FORM: Die vermutlich erste und mit Abstand häufigste Version.
- FORM.B: Ein zu Beginn der 1990er ebenfalls häufiges Virus-Derivat, bei dem der Payload immer am 24. (statt dem 18.) eines jeden Monats aktiviert wird. Ab Mitte der 1990er wurden kaum mehr Infektionen gemeldet.
- FORM.C: Der Payload wird nur im Monat Mai ausgelöst. Die C-Variante war ein eher seltenes Virus.
- FORM.D: Der Viruscode ist direkt hinter der Partitionstabelle gespeichert. Diese Version ist nach der originalen die häufigste. Infektionen wurden bis 1998 regelmäßig gemeldet.[3]
- FORM-II und FORM-Canada sind dokumentierte Varianten, über die keine Einzelheiten bekannt sind.
Funktion
[Bearbeiten | Quelltext bearbeiten]Der Programmcode enthält folgenden Text:[3]
The FORM Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
- Übersetzung: Das FORM-Virus grüßt alle, die diesen Text lesen. FORM zerstört keine Daten! Keine Panik! Fick dich, Corinne.[4]
Infektion
[Bearbeiten | Quelltext bearbeiten]Beim Form-Virus handelt es sich um einen Bootvirus, der sich über Disketten verbreitet. Sobald eine infizierte Diskette in einen Computer gesteckt wird und von dieser gebootet wird, installiert sich das Virus selbstständig in den Arbeitsspeicher. Dabei werden vom DOS-Speicher 2 KB reserviert. Danach wird der Bootsektor der Harddisk infiziert, wobei der Originalinhalt in die letzten beiden Sektoren geschrieben wird. Zur Tarnung werden die Sektoren als beschädigt markiert. Dies hat zur Folge, dass das Virus nach jedem Neustart des Computers sofort wieder aktiviert wird, erst dann wird der ursprüngliche Bootsektor geladen. Von da an wird jede angesprochene, nicht schreibgeschützte Diskette infiziert, wobei der originale Bootsektor überschrieben wird.[1] Im Gegensatz zu vielen anderen Bootsektorviren infiziert Form nicht den MBR.[3]
Bei der Infektion einer Festplatte mit NTFS-Dateisystem kann Form aufgrund unsauberer Infektion unter Umständen auch Datenverluste verursachen.
Payload
[Bearbeiten | Quelltext bearbeiten]Am 18. Tag im Monat (Systemzeit) erzeugt das Virus bei jedem Tastenanschlag einen Klickton aus dem PC-Lautsprecher.[5][6][3]
Der damals häufig verwendete Tastaturtreiber keyb.com
kann die Aktivierungs-Routine des Payload unterdrücken. Auf vielen zeitgemäßen Rechnern war daher kein Klicken zu hören.[3]
Erkennung und Beseitigung
[Bearbeiten | Quelltext bearbeiten]- Bei der Infektion einer Festplatte mit NTFS-Dateisystem und Windows NT als Betriebssystem musste der Bootsektor mit einem speziellen Tool repariert werden.[3]
- Da heutzutage nur noch selten Disketten benötigt werden, ist das Virus so gut wie ausgestorben.
- Moderne BIOS-Varianten sind zusätzlich mit einem Schutz für das Überschreiben des Harddisk-MBR ausgerüstet.
- Antiviren-Programme erkennen das Virus bereits seit Anfang der 1990er.
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ a b https://www.virusbulletin.com/uploads/pdf/magazine/1990/199008.pdf VirusBulletin Juni 1990 (PDF-Download)
- ↑ http://www.wildlist.org/WildList/200601.htm WildList January 2006
- ↑ a b c d e f g https://www.f-secure.com/v-descs/form.shtml F-Secure.com Form
- ↑ Daniel Schurter: Die schrägsten Computerviren aller Zeiten – AIDS-Trojaner, Stoned-Virus etc. In: watson.ch. 27. Mai 2017, abgerufen am 7. März 2024.
- ↑ Die Geschichte des Computer-Virus: 1990: Form. In: cio.de. Abgerufen am 7. März 2024.
- ↑ David M. Chess, Jeffrey O. Kephart, Gregory B. Sorkin, Steve R. White: Kampf den Computerviren - Spektrum der Wissenschaft. In: spektrum.de. 1. Mai 1998, abgerufen am 7. März 2024.