Form (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 19. September 2022 um 08:58 Uhr durch imported>Y2kbug(217280) (x86, DOS).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Form
Name Form
Aliase Form18, Forms, FORM.A
Bekannt seit 1990
Erster Fundort Schweiz
Virustyp Bootsektorvirus
Dateigröße 512 KByte
Wirtsdateien Bootsektor
Verschlüsselung nein
Stealth nein
Speicherresident ja
System MS-DOS (x86-PC)
Info Infiziert keine Festplatten

Form ist der Name einer Gruppe von Bootsektorviren für DOS-Rechner. Das originale Virus wurde erstmals im Juni 1990 auf einem Computer in der Schweiz entdeckt. Es wird vermutet, dass der Urheber aus dem Kanton Zug stammt.[1]

Form gehörte Anfang bis Mitte der 1990er Jahre zu den verbreitetsten Computerviren weltweit. Die letzte Meldung war im Jahr 2006.[2][3]

Varianten und Derivate

Aufgrund der Bekanntheit und der hohen Verbreitung des Virus, gibt es mehrere bekannte Varianten. Als In-the-wild-Viren sind folgende Versionen bekannt:

  • FORM.A oder meist einfach nur FORM: Die vermutlich erste und mit Abstand häufigste Version.
  • FORM.B: Ein zu Beginn der 1990er ebenfalls häufiges Virus-Derivat, bei dem der Payload immer am 24. (statt dem 18.) eines jeden Monats aktiviert wird. Ab Mitte der 1990er wurden kaum mehr Infektionen gemeldet.
  • FORM.C: Der Payload wird nur im Monat Mai ausgelöst. Die C-Variante war ein eher seltenes Virus
  • FORM.D: Der Viruscode ist direkt hinter der Partitionstabelle gespeichert. Diese Version ist nach der originalen die häufigste. Infektionen wurden bis 1998 regelmäßig gemeldet.[3]
  • FORM-II und FORM-Canada sind dokumentierte Varianten, über die keine Einzelheiten bekannt sind.

Funktion

Der Programmcode enthält folgenden Text:[3]

 The FORM Virus sends greetings to everyone who's reading this text.
 FORM doesn't destroy data! Don't panic! Fuckings go to Corinne.
Übersetzung: Das FORM Virus grüßt alle, die diesen Text lesen. FORM zerstört keine Daten! Keine Panik! Fick dich, Corinne.[4]

Infektion

Beim Form-Virus handelt es sich um einen Bootvirus, der sich über Disketten verbreitet. Sobald eine infizierte Diskette in einen Computer gesteckt wird und von dieser gebootet wird, installiert sich das Virus selbstständig in den Arbeitsspeicher. Dabei werden vom DOS-Speicher 2 KB reserviert. Danach wird der Bootsektor der Harddisk infiziert, wobei der Originalinhalt in die letzten beiden Sektoren geschrieben wird. Zur Tarnung werden die Sektoren als beschädigt markiert. Dies hat zur Folge, dass das Virus nach jedem Neustart des Computers sofort wieder aktiviert wird, erst dann wird der ursprüngliche Bootsektor geladen. Von da an wird jede angesprochene, nicht schreibgeschützte Diskette infiziert, wobei der originale Bootsektor überschrieben wird.[1] Im Gegensatz zu vielen anderen Bootsektorviren infiziert Form nicht den MBR.[3]

Bei der Infektion einer Festplatte mit NTFS-Dateisystem kann Form aufgrund unsauberer Infektion unter Umständen auch Datenverluste verursachen.

Payload

Am 18. Tag im Monat (Systemzeit) erzeugt das Virus bei jedem Tastenanschlag einen Klickton aus den PC-Lautsprecher.[5][6][3]

Der damals häufig verwendete Tastaturtreiber keyb.com kann die Aktivierungs-Routine des Payload unterdrücken. Auf vielen zeitgemäßen Rechnern war daher kein Klicken zu hören.[3]

Erkennung und Beseitigung

  • Bei der Infektion einer Festplatte mit NTFS-Dateisystem und Windows NT als Betriebssystem musste der Bootsektor mit einem speziellen Tool repariert werden.[3]
  • Da heutzutage nur noch selten Disketten benötigt werden, ist das Virus so gut wie ausgestorben.
  • Moderne BIOS-Varianten sind zusätzlich mit einem Schutz für das Überschreiben des Harddisk-MBR ausgerüstet.
  • Antiviren-Programme erkennen das Virus bereits seit Anfang der 1990er.

Einzelnachweise