Ambulance (Computervirus)

Computervirus

Ambulance ist ein Computervirus, das ab Juni 1990 Programme auf Computern mit dem Betriebssystem DOS infizierte. Es wurde zuerst in Westdeutschland entdeckt.

Ambulance
Name Ambulance
Aliase RedX, Red Cross
Bekannt seit 1990
Erster Fundort Deutschland
Virustyp Dateivirus
Dateigröße 796 Bytes
Wirtsdateien COM-Dateien
Verschlüsselung nein
Stealth nein
Speicherresident nein
System DOS-PC
Programmiersprache x86-Assembler

Das Virus war darauf ausgelegt, sich eher langsam zu verbreiten und hatte keine gezielt schädlichen Funktionen integriert. Es erreichte aber einige Bekanntheit, insbesondere da der integrierte Payload gelegentlich eine markante Animation zeigte, die einen Krankenwagen über den Bildschirm fahren ließ.

Es gab in der Folge noch zahlreiche Varianten. Die originale Version erreichte die weiteste Verbreitung.

Der Viruscode enthält keine Signatur. Aufgrund des Payload etablierten sich die Bezeichnungen Ambulance bzw. Ambulance Car oder RedX. Im deutschen Sprachraum wurde es auch einfach als das Krankenwagen-Virus bezeichnet. Hersteller von zeitgemäßen Antivirusprogrammen nannten das Schadprogramm häufig Ambulance.A oder Ambulance.796.A.

Versionen und Derivate

Bearbeiten

In der Folge kamen zahlreiche Versionen des Originalvirus auf, die oft nur minimale Änderungen aufwiesen. Einige der bekannten Varianten von Ambulance sind:[1]

  • Ambulance Car-B: Bei dieser Variante wurde im Vergleich zum Original lediglich 7 Bytes der Infektionroutine abgeändert. Die B-Version infiziert bei der Aktivierung aber random eine oder zwei COM-Dateien oder auch gar keine. Die Herkunft ist unbekannt, erste Berichte über das Virus gab es im April 1992.
  • Ambulance.793.A: Die Version ist speicherresident und verwendet dazu den Interrupt 21h und kann nicht nur COM-, sondern auch EXE-Dateien infizieren.[2][3]
  • Ambulance.795: Diese Version von Ambulance ist 795 Bytes groß. Sie infiziert bis zu zwei Dateien gleichzeitig. Datum und Uhrzeit der Wirtsdatei werden in der Verzeichnisliste bei der Infektion nicht verändert. Innerhalb des viralen Codes ist kein Text sichtbar. Auch bei dieser Variante wird bei Ausführung eines infizierten Programms gelegentlich die Animation als Payload ausgeführt. Ambulance.795 wurde im Juli 1995 entdeckt.
  • RedX-Any: Bei dieser Variante wurde der Trigger verändert, so dass sowohl Infektionsroutine als auch Payload jedes Mal ausgelöst werden, wenn ein infiziertes Programm ausgeführt wird. RedX-Any infiziert auch die COMMAND.COM. Die Variante wurde im Januar 1992 entdeckt.

Das 1.641 Bytes große Virus Hafenstrass 2 ist ein Dateivirus, das sich über EXE-Programme verbreitet. Gleichzeitig kann es aber auch COM-Dateien mit Ambulance infizieren. Bei seiner Entdeckung im Februar 1992 war eine derartige Chimäre aus zwei verschiedenen Computerviren ein Novum.[4]

Funktion

Bearbeiten
 
Animation des Payload von Ambulance

Ambulance ist ein nicht-speicherresidentes Dateivirus, das COM-Dateien auf MS-DOS-Rechnern infizieren kann.

Infektionsroutine

Bearbeiten

Ambulance wird nicht speicherresident. Es breitet sich als direct action infector aus. Das Virus infiziert nur eine COM-Datei in einem beliebigen Verzeichnis auf dem Laufwerk C:\, aber nicht die erste. Daher müssen sich mindestens zwei COM-Dateien in einem Dateiordner befinden, damit sich das Virus verbreiten kann. Da die Systemdatei COMMAND.COM bei einer Standardinstallation die erste COM-Datei im Root-Verzeichnis ist, wird sie auf diesem Weg umgangen. Ambulance infiziert Dateien als Appender, der Viruscode wird also an das Ende der Datei angefügt. An den Anfang der Datei wird ein Link auf das Virus gesetzt. Der Link ist 3 Bytes lang, die 3 Bytes des Originalcodes werden zuvor gesichert.

Datum und Zeitangabe der Dateien werden bei der Infektion nicht auf den neuen Wert gesetzt. Die Dateigröße nimmt aber um 796 Bytes zu.

In seltenen Fällen sind Programme nicht für eine Infektion mit Amulance geeignet und können dann nicht mehr ordnungsgemäß ausgeführt werden.

Ambulance ist kein absichtlich zerstörerisches Virus. Es zeigt als Payload lediglich eine Grafik an, die von einem Soundeffekt begleitet wird.

Wenn eine infizierte Datei ausgeführt wird, kann man sehen, wie sich die ASCII-Grafik eines Krankenwagens am unteren Bildschirmrand über den Screen bewegt. Dazu ertönt eine Sirene. Einige Varianten zeigen den Payload nur einmal pro Systemstart an, bei manchen Derivaten fährt der Krankenwagen gegen eine Mauer und baut einen Unfall.

Ist die Grafikkarte des infizierten Rechners nicht in der Lage, die Animation abzuspielen, wird der Payload nicht ausgelöst.

Heutige Situation

Bearbeiten

Für zeitgemäße IT-Systeme stellt das veraltete MS-DOS-Virus keine Gefahr mehr dar. Bereits im Laufe des Jahres 1990 konnten alle etablierten Virenscanner Ambulance aufspüren und infizierte Dateien bereinigen.[5]

Anfällige Systeme dürften mittlerweile nur noch in der Retrocomputing-Szene betrieben werden.

Siehe auch

Bearbeiten

Einzelnachweise

Bearbeiten
  1. wiw.org Online VSUM Ambulance Car Virus
  2. archive.is – securelist.com Virus.DOS.Ambulance.793.a
  3. web.archive.org – viruslist.com DOS.Ambulance.793
  4. wiw.org Online VSUM Hafenstrass-2-Virus
  5. web.archive.org - turbocashuk.com Ambulance virus removal by Turbo Cash
Bearbeiten