Wählen Sie Ihren Depplevel:   0  - 1  - 2  - 3  - 4  - 5  - 6

ATAT-Homepage - !bang-Virus - 2
der
!bang-virus Zerfetztes Kabel Der !bang-Virus ist der erste einer neuen Generation von Viren, die direkt die Hardware der EDV-Anlage angreifen und folgt damit dem VGA-Virus (der durch Umprogrammieren des Timings des Videosignals die Horizontalablenkung des Bildschirms ueberlastet) und dem Keyboard-Virus (der den Tastaturprozessor umprogrammiert).

Im Fall des !bang-Virus sind nur Systeme mit Twisted Pair-Netzwerken betroffen, die unter Windows 95 oder MSDOS/Win 3.x betrieben werden. Beschädigt werden die Verkabelung und/oder die Netzwerkinterfaces des infizierten und des verbundenen Systems.



Herkunft und Verbreitung

Um etwas über die Verbreitung und Herkunft des !bang-Virus herauszufinden, haben wir im Archie-Server (sozusagen der Yahoo der ftp-Server) nach der Virensignature (Hex: 53 6f 20 65 69 6e 20 53 63 68 77 61 63 68 73 69 6e 6e 21 21 08 15 47 11) gesucht.

Die Programmierer dürten die rumänische Hackergruppe "The bango-Boys" sein; wirklich alarmierend ist, dass der Code bereits Eingang in die "Treiber-Updates" einiger Simtel-Mirrors gefunden hat.


Arbeitsweise

Zerfetztes Kabel Die Schwachstelle, die der !bang-Virus ausnützt, ist, daß die Netzwerkkabel bei twisted pair-Ethernet im Gegensatz zu Koaxialverbindungen nicht terminiert werden.

Wird der !bang-Virus aktiv, sendet er ueber die Netzwerkkarte kontinuerlich Pakete (back-to-back) mit jeweils gleichlangen Perioden von Nullen und Einsen zunehmender Dauer. Diese werden vom nicht terminierten Ende reflektiert und erzeugen, ist einmal die Resonnanzfrequenz erreicht, nahezu ungedäpfte Stehwellen. Dies führt an den Wellenbäuchen zu einer wegen der hohen Frequenz schlagartigen Überlastung des Kabels und bringt dieses explosionsartig zum Schmelzen.

Vor allem bei Qualitätsnetzwerkkarten werden die Ausgangstreiber in der Regel nicht beschädigt, außer wenn beim Schmelzen des Kabels durch Isolationsverlust ein Kurzschluß entsteht. Umgekehrt kann minderwertiges Kabelmaterial wegen der hohen Eigendämpfung bei mittleren bis größeren Kabellängen der Belastung unter Umständen standhalten.


Stehwellen

Zerfetztes Kabel
Wie im Bild deutlich ersichtlich, sind die Verdampfungsstellen in regelmäßigen Abständen von ca. 35cm angeordnet. Die Distanz d der Wellenknoten hängt mit der Signalfrequenz f gemäß folgender Gleichung zusammen (die Wellengeschwindigkeit c liegt nur unwesentlich über der Lichtgeschwindigkeit, der Unterschied kann vernachlässigt werden):
Zerfetztes Kabel 
(1)   f=c/2d

      f: Frequenz in Hertz
      c: 3E08 m/s
      d: Distanz der Knoten
Das ergibt im vorliegenden Fall eine Frequenz von 
300000000  
--------- = 4,286 MHz
 2 * 35
also war im Durchschnitt jedes zweite Bit auf 1 gesetzt. Im Virencode konnte überdies ein FFT (Fast Fourier Transformation)-Code isoliert werden, der im Bedarfsfall, besonders bei kurzen Kabeln, über gezielte Oberwellen - Rechtecksignale sind ja bekanntlich sehr oberwellenreich - das Kabel zu zerstören versuchen soll, falls es mit der Grundfrequenz (Baseband, daher auch der Name 10BASE-T) nicht funktioniert.

Zerfetztes Kabel



Research done by Alexander Talos-Zens, und dann gibt es noch die Wahrheit hinter der Geschichte, nämlich hier.
                           
Impressum